Inteligência de riscos e a empresa resiliente

Adotar uma abordagem mais lógica para a gestão de riscos pode ajudar os líderes a sustentar a geração de valor em meio à disrupção e à incerteza.

Construir a resiliência de grandes empresas complexas é crucial no mundo interconectado de hoje. A inteligência de risco – a capacidade afiada de interpretar rigorosamente os riscos e as consequências ou oportunidades que eles representam para uma empresa – apoia a resiliência organizacional ajudando os líderes a identificar e gerenciar uma ampla gama de ameaças potenciais ao sistema de troca de valor de sua empresa, tanto ao longo do tempo quanto em contextos empresariais em mudança. 

Para fortalecer a inteligência de risco de sua organização, os líderes devem categorizar e interpretar sistematicamente eventos de risco, compartimentalizar a incerteza e reduzir seu impacto, e construir e contextualizar uma rede de riscos empresariais.

Construir a resiliência de grandes empresas complexas é fundamental no mundo incerto e interconectado de hoje. Em um momento em que um navio porta-contêiner encalhado no Canal de Suez pode engarrafar 12% do comércio mundial, ou um vírus pode interromper o fluxo global de commodities, componentes e talentos, a capacidade de adaptação rápida de uma corporação diante de eventos em desenvolvimento é essencial para sua sobrevivência e prosperidade.

A resiliência empresarial é uma propriedade dinâmica que é medida retrospectivamente pela estabilidade e longevidade do valor corporativo em diferentes contextos. Em tempo real, ela se manifesta na adaptação oportuna da empresa tanto às mudanças imediatas quanto às graduais no ambiente de negócios.

Nosso trabalho, que emprega uma visão de sistemas adaptativos complexos para os negócios, mostra que a resiliência deriva de três capacidades adaptativas fundamentais:

  1. Sensoriamento e monitoramento, para reconhecer mudanças emergentes no ambiente de negócios;
  2. Desenvolvimento de portfólio de modelos de negócios, para construir e testar capacidades em diferentes contextos operacionais;
  3. Desenvolvimento de capacidades fundamentais, para impulsionar o crescimento com longevidade e evitar estagnação corporativa.

Além disso, cada uma dessas capacidades depende do desenvolvimento de uma capacidade para inteligência de riscos.

Definimos inteligência de riscos como a habilidade aprimorada de interpretar rigorosamente os riscos e as consequências ou oportunidades que eles representam para uma empresa.

Isso permite que os líderes vejam através da complexidade ambiental e identifiquem, categorizem e interpretem sistematicamente os riscos. Isso os capacita a olhar além dos fatores de risco conhecidos e explorar intencionalmente riscos ainda desconhecidos, abraçando em vez de evitar a incerteza.

Importante, a inteligência de riscos traz o reconhecimento de que os riscos individuais ou as formas em que se manifestam importam muito menos do que as consequências compartilhadas que eles têm no sistema de troca de valor de uma empresa — isto é, a maneira como a empresa gerencia, identifica, cria, transmite, entrega, captura, protege e sustenta valor.

Finalmente, ela fornece aos líderes uma visão em rede dos riscos, o que permite uma alocação mais eficaz dos recursos de mitigação de riscos, iluminando não apenas as consequências diretas dos riscos, mas a maneira como eles poderiam se espalhar pelo sistema de troca de valor da empresa. Neste artigo, dividimos a inteligência de riscos em elementos acionáveis que os líderes podem perseguir para ajudar a fortalecer suas organizações a longo prazo.

Identificar, Categorizar e Interpretar eventos de risco

Os líderes não podem prever com precisão eventos de risco específicos, nem preparar suas empresas para todos os riscos. Eles podem, no entanto, identificar, categorizar e interpretar eventos de risco de maneira sistemática que revela como eventos aparentemente diferentes podem ter consequências semelhantes.

O primeiro passo é analisar cada função de valor do negócio e identificar eventos de risco plausíveis que possam impactar sua eficácia. Para auxiliar nesse processo, construímos um inventário agnóstico à indústria, organizando três níveis de 99 categorias principais de risco identificadas em nosso estudo em relação aos componentes individuais do sistema de troca de valor. Embora inevitavelmente não seja exaustivo, esse recurso serve como um ponto de partida robusto para identificar potenciais riscos enfrentados por qualquer empresa.

Em seguida, os líderes devem caracterizar e agrupar os eventos de risco pelo seu escopo de impacto, a permanência das mudanças que induzem e a frequência de ocorrência dos eventos. Os líderes podem então interpretar as conexões entre cada grupo de eventos de risco e os componentes do sistema de troca de valor da empresa.

A categorização dos riscos começa com a compreensão do escopo de um evento de risco, que transmite uma noção de quão amplamente os efeitos de um risco serão sentidos entre os stakeholders afetados. O amplo escopo da pandemia de Covid19 criou efeitos tanto no lado da oferta quanto da demanda em redes de valor inteiras, enquanto eventos de escopo mais restrito, como uma greve de trabalhadores em uma única instalação de manufatura, tendem a ter efeitos mais limitados.

Quando múltiplos stakeholders enfrentam interrupções simultâneas ou sequenciais, a complexidade aumentada do impacto impede o sistema de se auto-organizar de volta à normalidade.

Tais circunstâncias também podem convidar intervenções de estados soberanos ou organizações internacionais, que podem auxiliar na recuperação ou atuar como novas forças disruptivas.

Para categorizar completamente os eventos de risco, os líderes também devem considerar a permanência de suas consequências. Tanto a pandemia quanto o bloqueio do Canal de Suez em 2021 causaram interrupções no lado da oferta, mas a permanência das mudanças induzidas por cada evento variou significativamente.

Enquanto choques na cadeia de suprimentos, como o bloqueio do canal de Suez em 2021, frequentemente seguem um mecanismo de correção auto-organizadora em que aumentos de preço reduzem a demanda e normalizam a oferta defasada, a mesma fórmula não pode ser aplicada para contrapor uma situação prolongada como a pandemia.

É importante entender a permanência antes de planejar e implementar uma estratégia de resposta. Por exemplo, a interrupção dos negócios causada pela pandemia teve um escopo mais amplo e consequências de maior permanência, afetando um conjunto significativamente maior de funções do sistema de valor em comparação ao impacto mais limitado do bloqueio do canal.

A frequência com que um evento de risco ocorre também é importante, porque os mecanismos empresariais necessários para lidar com eventos frequentes podem ser diferentes daqueles empregados para eventos singulares.

Embora as empresas aprendam com todos os eventos, suas respostas aos que ocorrem repetidamente são tipicamente convertidas em procedimentos operacionais padrão. Por exemplo, a adoção de códigos de barras e scanners para rastrear e gerenciar inventário em tempo real praticamente eliminou erros de registro de estoque e atrasos resultantes de dados não correspondentes.

Nosso framework de escopo, permanência e frequência (SPF, do inglês Scope, Permanence, e Frequency) fornece uma visão estruturada que mostra como um evento de risco em si é menos importante do que suas consequências. O framework é especialmente útil quando múltiplos eventos de risco ocorrem ao mesmo tempo, porque oferece aos gerentes uma abordagem lógica comum para considerá-los e rapidamente ganhar informações e entendimento. Ao conectar esses eventos ao sistema de troca de valor da empresa, os gerentes podem ver mais facilmente quando riscos diversos estão, no entanto, levando a consequências semelhantes para suas funções de valor.

Considere um fabricante lidando com um fornecedor estrangeiro cujos produtos subitamente são sujeitos a tarifas muito mais altas devido a uma guerra comercial, e a falência de um parceiro da cadeia de valor. Esses eventos de risco compartilham características SPF (o escopo de ambos é interempresarial, sua permanência é reversível e sua frequência é baixa) e, igualmente importante, ambos os eventos também afetam as mesmas funções de valor.

A falência e a guerra comercial provavelmente desacelerariam os insumos e aumentariam os custos do lado da oferta, tornando mais difícil atender à demanda dos clientes. Ambos também exigiriam que o fabricante garantisse novas fontes de fornecimento e estabilizasse o fluxo de caixa operacional. Ao caracterizar esses eventos de risco potenciais de acordo com o framework SPF e ligá-los às funções de valor, os gerentes podem então vê-los mais simplesmente como grupos de riscos que têm consequências compartilhadas para funções de valor específicas de uma empresa e merecem preparação e resposta semelhantes.

Compartimentar e reduzir a incerteza

A incerteza sobre as consequências de um evento de risco é inevitável, mas pode ser gerida com base no nível de incerteza, que se situa entre o conhecimento completo e a ignorância completa (ambos extremos e improváveis). Os líderes devem procurar converter riscos com maiores níveis de incerteza de impacto para níveis mais baixos.

Os eventos de risco que causam incerteza de nível 1 geralmente envolvem um número muito limitado de cenários futuros com efeitos claros dentro da empresa, onde as ligações causais entre os eventos de risco e o sistema de troca de valor da empresa podem ser conhecidas com precisão.

Exemplos desses eventos incluem variações rotineiras na produção, perdas de vendas esperadas e erros humanos na execução de tarefas manuais.

Quando tipos específicos de eventos de nível 1 ocorrem frequentemente, eles indicam erros de processo ou supervisão que podem ser corrigidos permanentemente se diagnosticados corretamente. Por exemplo, os roubos de carga — um problema recorrente em centros de transporte congestionados — podem ser prevenidos usando scanners de reconhecimento óptico de caracteres que rastreiam o frete em contêineres e mantêm registros em tempo real. Importante, no nível 1, a incerteza geral do impacto no valor da empresa está dentro de uma faixa esperada e aceitável.

Os eventos de risco que causam incerteza de nível 2 envolvem um número maior de cenários futuros alternativos e têm consequências interempresariais; no entanto, mesmo que sejam mais desafiadores, a probabilidade de ocorrência e seus efeitos podem ser estimados.

Os exercícios formais de planejamento de cenários das empresas muitas vezes envolvem eventos de nível 2, nos quais o conhecimento previamente adquirido sobre o impacto dos fatores de risco leva a uma precisão melhorada e um exercício eficaz no geral. O bloqueio do Canal de Suez por seis dias era previsível porque um engarrafamento de vários navios já havia fechado o canal por dois dias em 2018. Como resultado, o Pentágono já havia incluído um bloqueio mais longo em sua preparação operacional normal.

Os eventos de risco que causam incerteza de nível 3 envolvem um conjunto limitado de cenários onde certos eventos de risco conhecidos podem afetar a empresa de maneiras desconhecidas. Há conhecimento limitado sobre como uma reação em cadeia de consequências de um evento de risco pode se manifestar nesse nível. Tipicamente, esses riscos incluem eventos menos frequentes com escopo intra-industrial e implicações para múltiplas partes interessadas, que devem ser considerados cenários piores.

O Port Revel, uma instalação de treinamento situada em um lago nos Alpes Franceses, reduz a incerteza de nível 3 ajudando empresas de transporte marítimo a simular piores cenários e identificar as consequências anteriormente desconhecidas de operar navios de contêineres cada vez maiores através de uma infraestrutura de transporte projetada principalmente para embarcações menores.

Ele replica de perto as condições nos pontos mais complicados do transporte marítimo, permitindo que pilotos em treinamento naveguem em navios de contêineres gigantes em escala através de fortes rajadas de vento em um mini-Suez, manobrem e atraquem navios de cruzeiro em uma baía miniatura de São Francisco lotada e manobrem petroleiros através de uma imitação do Porto de Arthur. Esses exercícios revelam desempenhos inesperados dos navios e comportamentos dos pilotos, ajudando a identificar e abordar consequências de eventos anteriormente desconhecidas.

A incerteza de nível 4 abrange eventos com fatores de risco desconhecidos que poderiam ter uma variedade de consequências negativas, cujas repercussões não podem ser estimadas. Esses desconhecidos são geralmente expressos em formulários 10-K através de declarações como “Outros riscos desconhecidos podem impactar nossas operações comerciais e desempenho projetado”. É desafiador desenvolver modelos de cenários na presença de desconhecidos desconhecidos. Os modelos são representações incompletas do mundo que poderiam envolver riscos inimagináveis durante seu desenvolvimento.

Uma vez que os líderes organizem a incerteza do impacto em níveis, eles podem se concentrar em converter a incerteza de impacto de níveis mais altos em níveis mais baixos descobrindo os desconhecidos através de dados, modelagem de simulação e análises lógicas.

Por exemplo, o intervalo de três anos entre o referendo do Brexit no Reino Unido em 2016 e sua saída da União Europeia em 2019 ofereceu aos líderes a oportunidade de converter o evento imaginado em cenários prováveis e captar suas vastas implicações comerciais. Ao focar nos aspectos mais vulneráveis de suas cadeias de valor, como aqueles com o maior número de transações trans-fronteiriças, os líderes poderiam ter reconhecido a redistribuição iminente de mercadorias passando por portos congestionados e modelado cenários de redirecionamento.

Por exemplo, sabia-se que Felixstowe estava lidando com 48% do comércio de contêineres do Reino Unido, que poderia ter sido enviado para múltiplos portos menores e menos movimentados. Evidências de congestionamento iminente nos portos também poderiam ter implicado a alta probabilidade de atrasos e a necessidade de manter mais estoque no Reino Unido para garantir entregas pontuais.

Mudanças sistêmicas que provavelmente terão efeitos permanentes são geralmente causadas por megatendências perceptíveis, como avanços tecnológicos, mudanças nos padrões de demanda dos consumidores, eventos globais ou intervenções de órgãos reguladores. Uma vez que essas tendências estão no radar de uma empresa, elas podem ser monitoradas e rapidamente interpretadas (se as capacidades de observação e modelagem necessárias estiverem em vigor).

Por exemplo, o imposto de carbono da União Europeia, que foi promulgado em dezembro de 2022 após anos de debate, não será totalmente implementado até 2026, oferecendo às empresas vários anos para reduzir a incerteza decorrente disso.

Além disso, para eventos potenciais que podem ser infrequentes, mas de alto impacto, as empresas podem examinar outras indústrias onde as consequências de eventos semelhantes possam ser melhor reconhecidas; depois, podem interpretar as implicações para o seu próprio sistema de troca de valor.

Por exemplo, os estrategistas do Brexit poderiam ter estudado o comércio trans-fronteiriço entre os EUA e o Canadá e entre os EUA e o México nos setores automotivo e de eletrodomésticos para ajudá-los a navegar nos iminentes acordos de livre comércio e nas regulamentações de fronteira.

A identificação ativa de eventos de risco plausíveis e suas potenciais consequências são o tipo de ação que contribui para construir uma verdadeira inteligência de risco.

No entanto, nossa pesquisa indica que as empresas dão pouca ênfase à descoberta de eventos de risco desconhecidos e plausíveis e seus desfechos, e, em vez disso, concentram a atenção na gestão de riscos conhecidos.

Também descobrimos que as empresas não têm um conhecimento igualmente completo dos riscos, mesmo quando esses riscos são divulgados publicamente por concorrentes diretos. Nosso estudo de 10-Ks revelou uma variação significativa no reconhecimento de fatores de risco, mesmo entre empresas do mesmo setor.

Por exemplo, houve um atraso de até oito anos no reconhecimento de riscos cibernéticos após a primeira violação de dados pública dentro de um grupo de 18 empresas comparáveis no setor financeiro. Esse padrão foi consistente em outros quatro setores — incluindo varejo, telecomunicações, tecnologia e saúde.

Além disso, nossas análises revelaram níveis marginais de reconhecimento das relações causais entre fatores de risco, que são como os riscos impactam as empresas no mundo real. É lógico que um fator de risco conhecido ou desconhecido, quando manifestado, provavelmente influenciaria outros fatores de risco conhecidos e desconhecidos ligados, criando assim uma cascata de consequências. Isso, em última análise, afetaria uma empresa de maneiras potencialmente conhecidas, mas inesperadas (ou, pior, mal compreendidas).

Embora a maioria das empresas acredite que está se preparando para eventos de risco, elas tendem a focar apenas na incerteza de nível 1 e 2 e, portanto, desenvolvem planos de mitigação altamente específicos, mas estreitos.

Tome como exemplo a Maersk, que em 2017 foi vítima de um ataque cibernético de ransomware que derrubou toda a sua rede por dias e paralisou suas operações em 76 terminais portuários globalmente, a um custo de aproximadamente 300 milhões de dólares.

No entanto, a empresa de transporte marítimo não reconheceu publicamente o risco de um ataque cibernético até seu relatório anual de 2013, apesar do risco de hacking e outras ameaças cibernéticas serem bem conhecidos desde o final dos anos 1990 (embora talvez não fossem seriamente considerados um risco primário para transportadoras). Assim, poucos riscos são totalmente desconhecidos, e os desconhecidos específicos do setor podem não ser desconhecidos em outros setores.

Construir e Contextualizar uma Rede de Riscos Empresariais

Para obter uma visão mais clara sobre as incertezas de nível 3 e 4, é importante entender as conexões entre os riscos empresariais. Desenvolver redes de riscos quantificadas (QRNs – do inglês Quantified Risk Networks) pode ajudar.

Uma QRN é um mapa ponderado que liga todos os riscos potenciais identificados às funções do sistema de troca de valor de uma empresa e ajuda os tomadores de decisão a interpretar os impactos relacionados. Além disso, QRNs podem revelar insights contraintuitivos, como a exposição indireta de uma função a riscos tipicamente associados a uma função diferente, mas conectada. Por exemplo, o risco de prever incorretamente a demanda de transporte em uma empresa de frete afeta diretamente a função de gestão de despesas operacionais e indiretamente afeta a capacidade das instalações, a capacidade operacional, as concessões aos clientes e a reputação da empresa.

As empresas devem construir suas próprias redes de riscos por três razões.

Primeiro, cada empresa tem seu próprio sistema de troca de valor único, melhor compreendido por seus líderes.

Segundo, empresas resilientes precisam construir redundâncias, o que é desafiador em ambientes com recursos limitados. QRNs personalizadas destacam as funções de valor mais conectadas — e mais vulneráveis — criando uma ordem de prioridade para alocar recursos para fortalecer a empresa.

Terceiro, QRNs personalizadas fornecem uma visão compartilhada dos riscos para os líderes da empresa, que podem ou não concordar sobre as vulnerabilidades críticas.

A atividade de construção de QRNs concentra a atenção gerencial nas funções frequentemente negligenciadas, mas potencialmente cruciais, e nas categorias de risco relacionadas para, em última análise, ajudar os líderes a antecipar e se preparar para o futuro.

Para começar a construir a rede de riscos da sua empresa, identifique os eventos de risco que são particularmente relevantes para o seu negócio, partindo das funções de valor críticas nas quais se baseia e das categorias de risco capturadas no inventário. Identifique eventos de risco plausíveis em cada categoria a partir de fontes de dados, como memorandos da empresa, divulgações públicas de risco, relatórios de analistas de investimento e conhecimento histórico.

Por exemplo, líderes que gerenciam a função de operações podem usar categorias de risco do inventário, como gestão de instalações e processos, fornecimento e distribuição, para construir uma lista de fatores ou eventos de risco plausíveis (como uma tempestade inesperada, uma falha de equipamento, escassez de insumos, estoques de emergência esgotados, emergências de saúde dos trabalhadores, interrupções nas comunicações ou greves trabalhistas) que poderiam afetar a continuidade dos negócios. Note que essas listas provavelmente conterão vários fatores de risco em cada categoria de risco.

Em seguida, caracterize os riscos relevantes usando a estrutura SPF (Escopo, Permanência e Frequência), identifique cenários plausíveis relacionados às funções de valor da empresa e identifique respostas potenciais. Este exercício dá aos gerentes a oportunidade de prestar atenção extra aos riscos menos apreciados e ajuda a reduzir o nível geral de incerteza do impacto dos riscos no sistema de troca de valor da empresa.

Como a empresa arquetípica é organizada por função, as consequências de potenciais riscos nas funções individuais (como o efeito de uma greve trabalhista no fornecimento) e a interconectividade entre diferentes funções de valor devem ser estimadas para cada nó funcional na QRN. Por exemplo, uma vez que os gerentes definem o nível de interconectividade entre as funções de fornecimento e operações em sua empresa, eles podem deduzir as consequências diretas de uma greve trabalhista para o fornecimento e suas consequências indiretas para as operações.

A ponderação dos impactos, mesmo usando termos relativos como alto, médio e baixo, fornece uma linguagem comum para os gerentes discutirem riscos significativos e cenários plausíveis e pode ajudar a resolver debates sobre o que é provável ou importante. Funções identificadas como particularmente importantes ou vulneráveis devem ser analisadas por especialistas para desenvolver uma compreensão mais profunda dos riscos que as afetam e sua interconectividade.

Criamos uma QRN generalizada, começando por pedir a líderes com expertise setorial e funcional que indicassem a interconectividade entre sua função e outras funções empresariais em uma escala de 10 pontos. Em seguida, pedimos aos líderes que indicassem o impacto potencial de riscos específicos em sua área funcional decorrentes dessas conexões.

Por exemplo, um especialista em vendas e marketing que indicou significativa interconectividade com a função de estratégia de negócios foi questionado se riscos de previsão de vendas, riscos de execução de vendas e riscos de reputação teriam um impacto alto, médio ou baixo na estratégia de negócios. As empresas podem seguir esse processo para construir uma compreensão codificada aproveitando seus líderes internos, bem como especialistas externos. Uma vez codificados, os dados formam a base para uma representação de rede de riscos e uma QRN específica da empresa.

Tal QRN ajuda os líderes a entender melhor a vulnerabilidade de uma empresa a eventos de risco, iluminando aquelas funções que são centrais para o sistema de troca de valor. Um evento de risco que afeta uma função central implicaria uma forte cascata de efeitos negativos no sistema de troca de valor da empresa.

Por exemplo, a gestão de capital financeiro conecta-se diretamente a 15 categorias de risco financeiro e indiretamente a 30 categorias de risco de outras funções. Qualquer evento que ocorra em qualquer uma das categorias de risco que afetam a gestão de capital financeiro terá implicações para todas as outras funções conectadas; por exemplo, uma exposição cambial significativa provavelmente afetará as decisões de fornecimento da empresa. Assim, proteger a função de gestão de capital financeiro é crucial para a resiliência. Em contraste, um efeito negativo na função de marketing e vendas é improvável de causar um impacto em cascata nesta empresa.

Conhecimento especializado, insights da indústria, experiência e simulações são todos úteis na construção de uma visão de rede dos riscos empresariais. QRNs são recursos básicos que ajudam uma empresa a isolar e modelar objetivamente cenários de pior caso, estimar padrões de causa-efeito e efetivamente reduzir a incerteza de nível 3 e 4.

Uma empresa com uma QRN bem desenvolvida será capaz de diferenciar entre o escopo e as consequências de uma interrupção nos negócios devido, por exemplo, a uma pandemia e a um bloqueio de rota de transporte. Ela também será capaz de identificar as partes do negócio que provavelmente experimentarão consequências significativas desses eventos, como entrega de valor, criação de valor e proteção de valor, e identificar as funções de negócios precisas que devem ser protegidas para cada um desses eventos.

No caso da pandemia, essas funções incluiriam gestão de capital financeiro, avaliação de risco de mercado e gestão de tecnologia; para o bloqueio de menor escopo, incluiriam gestão de operações e controle de despesas operacionais. Além disso, a empresa poderia usar o inventário de riscos da função de valor e construir modelos de cenários para eventos de risco identificados dentro de cada uma dessas funções.

Em última análise, combinar o conhecimento de eventos de risco plausíveis e suas prováveis interações com as funções de valor da empresa permite que os estrategistas desenvolvam planos de mitigação e estratégias de resposta sob medida. Líderes que reconhecem a necessidade de entender melhor um conjunto específico de cenários podem investir no desenvolvimento de modelos precisos para reduzir a incerteza de seu impacto na empresa.

O sistema de troca de valor que dirige qualquer grande empresa complexa é continuamente desafiado à medida que os contextos variam no ambiente dinâmico de negócios. Isso aumenta a importância de antecipar mudanças, explorar novas variações de modelos de negócios e buscar continuamente a próxima onda de capacidades que permitem o crescimento. A inteligência de risco ajuda os líderes nesse trabalho, permitindo-lhes focar melhor na manutenção da troca de valor contínua e fomentar a adaptabilidade necessária para alcançar a resiliência.

Para criar e nutrir a inteligência de risco, uma empresa precisa de uma função central de gestão de risco equipada com ampla expertise funcional e com os recursos necessários para identificar e categorizar riscos. Ela precisa adotar uma mentalidade de incerteza de risco versus evasão de risco e reduzir os níveis de incerteza. Ela precisa de uma rede de riscos quantificada específica da empresa que seja atualizada de maneira dinâmica. E, finalmente, ela precisa de uma cultura de inteligência de risco na qual líderes em toda a organização compartilhem uma estrutura e linguagem comuns para interpretar riscos e orientar a alocação de recursos para esforços de mitigação de riscos. Em última análise, desenvolver uma capacidade de inteligência de risco representa a chave para construir uma empresa resiliente.

Framework:

Gerenciando níveis de incerteza de impacto

Níveis operacionais típicos de incerteza de impacto:

Nível 1: Baixa Incerteza de Impacto

Características:

  • Riscos conhecidos com mecanismos causais claros.
  • Impactos previsíveis e bem compreendidos.
  • Cenários futuros são claros e limitados em número.

Exemplos:

    • Variações rotineiras na produção.
    • Perdas esperadas de vendas.
    • Erros humanos em tarefas manuais.

Nível 2: Incerteza moderada de impacto

Características:

  • Riscos com vínculos bem compreendidos e probabilidade estimada.
  • Múltiplos futuros alternativos, cada um com uma probabilidade associada.
  • Modelos simples podem ser usados para prever cenários.

Exemplos:

    • Bloqueios temporários de canais de navegação, como o Canal de Suez.
    • Cenários de planejamento formal.

Nível 3: Alta incerteza de impacto

Características:

  • Vínculos bem estimados, mas impactos dos riscos podem variar significativamente.
  • Diversos futuros alternativos com poucos modelos de cenários disponíveis.
  • Desconhecimento parcial de como os impactos dos riscos podem se manifestar.

Exemplos:

    • Incidentes de impacto intra-industrial com múltiplos stakeholders.
    • Simulações de cenários de pior caso em operações de transporte marítimo.

Nível 4: Máxima Incerteza de Impacto

Características:

  • Futuros plausíveis e alguns desconhecidos, com poucos modelos de cenário.
  • Desconhecimento significativo dos fatores de risco e suas consequências potenciais.
  • Cenários de impacto difíceis de prever e modelar.

Exemplos:

    • Eventos de risco desconhecidos com consequências imprevisíveis.
    • Desastres naturais sem precedentes ou pandemias globais.

Ações Críticas para Gerenciar Níveis de Incerteza

1. Gerenciar conhecimentos e impactos conhecidos:

Aplicável aos riscos de nível 1. Envolve o uso de procedimentos operacionais padrão para mitigar variações previsíveis.

2. Planejamento e exercícios de mitigação:

Reduzir a incerteza de nível 2 por meio de planejamento formal e simulações para preparar a empresa para múltiplos futuros prováveis.

3. Entender a variação dos impactos dos riscos conhecidos:

Converter incertezas de nível 3 para nível 2 ao adquirir conhecimento detalhado sobre como diferentes cenários podem afetar a empresa.

4. Expandir conhecimento das redes de impacto dos riscos:

Reduzir a incerteza de nível 4 para nível 3 por meio de sensoriamento contínuo, descoberta e aproveitamento do conhecimento experiencial da empresa.

Fonte:

Periódico MIT Sloan Business Review, 64 – 4 – Outuno 2023

Sobre os autores:

Ananya Sheth é pesquisadora pós-doutoral na Escola de Negócios do Stevens Institute of Technology.

Joseph V. Sinfield é professor de engenharia civil e diretor do Instituto de Ciência da Inovação na Purdue University.

Sobre a pesquisa

  • Os autores realizaram um estudo holístico sobre a resiliência empresarial, começando pela extração de fatores de risco corporativo de duas décadas de formulários 10-K apresentados por empresas do S&P 500, relatórios de analistas de investimentos e bancos de dados acadêmicos.
  • Eles organizaram os riscos em uma estrutura centrada no valor composta por oito funções e 99 categorias principais de risco; em seguida, cruzaram as categorias e funções com a contribuição de especialistas em risco e líderes de 10 setores econômicos e 26 indústrias para criar uma rede quantitativa de risco.
  • Também analisaram o reconhecimento do risco de cibersegurança nos formulários 10-K do S&P 500 para cinco setores.