Inteligência de risco: a chave das empresas prósperas e resilientes

A aplicação de uma abordagem mais sofisticada à gestão de riscos pode ajudar os líderes a navegar em mares incertos

Ananya Sheth e Joseph V. Sinfield

30 de Junho

Artigo Inteligência de risco: a chave das empresas prósperas e resilientes

Vivemos em um tempo em que um único navio porta-contêineres encalhado no Canal de Suez pode engarrafar 12% do comércio mundial, em que um vírus pode interromper o fluxo global de commodities, componentes e talentos. A capacidade de uma corporação de se adaptar rapidamente diante dos acontecimentos é essencial para sua sobrevivência e prosperidade.

Nosso trabalho, que emprega uma visão sistêmica complexa e adaptativa dos negócios, mostra que a resiliência deriva de três capacidades adaptativas fundamentais: detecção e monitoramento, para reconhecer mudanças que surjam no ambiente de negócios; desenvolvimento de um portfólio de modelos de negócios, para construir e testar capacidades em contextos operacionais; e desenvolvimento de competências fundamentais, para impulsionar o crescimento e evitar a paralisação corporativa. Além disso, cada um desses fatores depende do desenvolvimento de uma capacidade de inteligência de risco.

Definimos inteligência de risco como a capacidade refinada de interpretar os riscos e as consequências ou oportunidades que eles representam para a empresa. Isso permite que se abrace a incerteza, em vez de evitá-la. Neste artigo, dividimos a inteligência de risco em elementos acionáveis que os líderes podem buscar para ajudar a fortalecer as organizações em longo prazo.

Segmentar os eventos de risco

O primeiro passo é trabalhar cada função de valor do negócio e identificar eventos de risco plausíveis que possam ter implicações para sua eficácia. Para auxiliar nesse processo, construímos um inventário independente da indústria, organizando três níveis de 99 grandes categorias de risco identificadas em nosso estudo.

Em seguida, os líderes devem caracterizar e agrupar os eventos de risco pelo escopo de seu impacto, pela permanência das mudanças que induzem e pela frequência que ocorrem. Os líderes podem então interpretar as ligações entre cada grupo de eventos de risco e os componentes do sistema.

Para categorizar os eventos de risco, os líderes devem considerar a duração de suas consequências. Tanto a pandemia quanto o bloqueio do Canal de Suez em 2021 causaram interrupções no lado da oferta, mas a permanência das mudanças que cada evento induziu variou. Embora choques na cadeia de suprimentos, como o bloqueio do canal, geralmente sigam um mecanismo de correção auto-organizável em que os aumentos de preços diminuam a demanda e normalizem a oferta atrasada, a mesma fórmula não pode ser aplicada para combater uma situação prolongada como a pandemia. É importante entender essa duração antes de planejar e implementar uma estratégia de resposta.

A frequência com que um evento de risco ocorre também é importante, porque os mecanismos necessários para lidar com eles podem ser diferentes daqueles empregados para situações singulares. As respostas àqueles que ocorrem com frequência são normalmente convertidas em procedimentos operacionais padrão. Por exemplo, a adoção de códigos de barras e scanners para rastrear produtos eliminou em grande parte os erros de registro de estoque.

Thumbs MIT 15-25

Nossa estrutura de escopo, permanência e frequência (SPF, na sigla em inglês) mostra como um evento de risco em si é menos importante do que suas consequências. A estrutura é especialmente útil quando vários deles ocorrem ao mesmo tempo, porque dá aos gestores uma abordagem lógica comum.

Considere um fabricante lidando com um fornecedor no exterior cujos produtos estão subitamente sujeitos a tarifas muito mais altas devido a uma guerra comercial e à falência de um parceiro. Esses eventos de risco compartilham características de SPF (são situações entre empresas, de duração finita e frequentes). A falência e a guerra comercial devem elevar os custos do lado da oferta e dificultar o atendimento à demanda dos clientes. Ambos também exigiriam que o fabricante garantisse novas fontes de suprimento e estabilizasse o fluxo de caixa operacional. Ao caracterizar esses eventos de risco potenciais de acordo com a estrutura SPF, os gerentes podem vê-los de forma mais simples.

Thumbs MIT 15-26

Reduzir a incerteza

Ela é inevitável, mas pode ser gerenciada. Os líderes devem procurar converter riscos com níveis mais altos de incerteza de impacto em outros mais baixos (veja a seguir).

Os eventos de risco que causam incerteza de nível 1 incluem variação rotineira na produção, perdas de vendas esperadas e erros humanos na execução de tarefas manuais. Quando esse tipo ocorre com frequência, há algum erro de processo ou supervisão que pode ser corrigido. Por exemplo, roubos de carga – um problema comum em centros de transporte congestionados – podem ser evitados usando scanners de reconhecimento que rastreiam o frete de contêineres e mantêm registros em tempo real.

Os exercícios formais de planejamento de cenários das empresas geralmente envolvem eventos de nível 2, nos quais o conhecimento previamente adquirido sobre o impacto dos fatores de risco leva a uma melhor precisão e a um exercício eficaz em geral. O bloqueio do Canal de Suez era previsível: em 2018, um amontoado de navios já havia fechado o canal.

Os eventos de risco que causam incerteza de nível 3 envolvem um conjunto limitado de cenários em que certos eventos conhecidos podem afetar a empresa de maneiras desconhecidas. Normalmente, devemos considerar os piores cenários possíveis. A Port Revel, uma instalação de treinamento situada em um lago nos Alpes franceses, reduz a incerteza de nível 3 ao ajudar empresas de navegação marítima a simular as piores hipóteses e identificar consequências, até então desconhecidas, de operar navios porta-contêineres cada vez maiores. Ela replica as condições nos pontos mais complicados do mundo, permitindo que novos pilotos estudem situações bastante adversas.

Thumbs MIT 15-27

Uma vez que os líderes ordenam a incerteza do impacto em níveis, eles podem se concentrar em reduzir tais níveis, descobrindo incógnitas por meio de dados, modelagem de simulação e análises lógicas. Por exemplo, o intervalo de três anos entre o referendo do Brexit do Reino Unido em 2016 e sua saída da União Europeia em 2019 ofereceu uma oportunidade de converter o evento imaginado em cenários prováveis e capturar as vastas implicações comerciais.

Mudanças que provavelmente terão efeitos permanentes são causadas por megatendências perceptíveis, como avanços tecnológicos ou eventos globais. Quando essas tendências estão no radar de uma empresa, elas podem ser rastreadas e interpretadas. Por exemplo, o imposto de fronteira de carbono da União Europeia, promulgado em 2022, não será totalmente implementado até 2026, oferecendo às empresas alguns anos para se adaptar a ele.

As empresas podem também sempre examinar outros setores. Os estrategistas do Brexit poderiam ter estudado o comércio entre os EUA e o Canadá e o México para ajudá-los a navegar pelos iminentes acordos de livre comércio e regulamentações de fronteira.

A identificação de eventos de risco plausíveis e das consequências potenciais é o tipo de ação que contribui para a construção de uma verdadeira inteligência de risco. No entanto, nossa pesquisa indica que as empresas dão pouca ênfase à descoberta de eventos desconhecidos, porém plausíveis, e em vez disso concentram a atenção no gerenciamento de riscos conhecidos. Também constatamos que as empresas não têm conhecimento igualmente completo dos riscos, mesmo quando são divulgados publicamente por concorrentes diretos. Houve defasagem de até oito anos no reconhecimento de riscos cibernéticos após a primeira violação de dados públicos em um grupo de 18 empresas do setor financeiro. Esse padrão se repetiu em setores como varejo, tecnologia e saúde.

Thumbs MIT 15-28

Embora a maioria das empresas pense que está se preparando para eventos de risco, elas tendem a se concentrar apenas nos níveis 1 e 2 de incerteza. Veja o caso da Maersk, que em 2017 foi vítima de um ataque cibernético que derrubou toda sua rede por dias e interrompeu as operações em 76 terminais portuários, a um custo de cerca de US$ 300 milhões. A empresa só reconhecera publicamente esse tipo de ameaça em 2013, apesar de ataques hackers e outros riscos do tipo serem bem conhecidos desde os anos 1990. Poucos riscos são uma incógnita total.

Contextualize uma rede de risco

Para obter uma visão mais clara sobre os níveis 3 e 4 de incerteza, é importante entender as ligações entre os riscos da empresa. As redes de risco quantificado (QRN, na sigla em inglês) podem ajudar. Uma QRN é um mapa de todos os riscos potenciais identificados.

Para começar a construir a QRN de sua empresa, identifique os eventos de risco relevantes e plausíveis em cada categoria a partir de fontes de dados, como memorandos, relatórios de analistas de investimentos e histórico. Por exemplo, os líderes que gerenciam a função de operações podem usar categorias de risco de estoque, como gerenciamento de instalações e processos, para criar uma lista de fatores ou eventos plausíveis (como tempestade ou escassez de insumos) que possam afetar a continuidade dos negócios. Observe que essas listas provavelmente conterão vários fatores em cada categoria.

Em seguida, caracterize os riscos relevantes usando a estrutura SPF, identifique cenários plausíveis e potenciais respostas. Isso dá aos gestores a oportunidade de prestar atenção extra aos riscos menos evidentes.

Uma vez que as empresas são organizadas por função, as consequências de riscos potenciais sobre funções individuais e a interconectividade elas devem ser estimadas para cada nó funcional no QRN. A ponderação de impactos fornece uma linguagem comum para se discutir o que é provável ou o que é importante.

O QRN ajuda os líderes a entender melhor a vulnerabilidade de uma empresa. Um evento de risco que afete uma função central implicaria uma forte cascata de efeitos negativos. Por exemplo, a gestão de capital financeiro conecta-se diretamente a 15 categorias de risco financeiro e indiretamente a 30 categorias de risco de outras funções. Qualquer evento que ocorra em relação à gestão do capital financeiro terá implicações para todas as outras funções conexas. QRNs são recursos de linha de base que ajudam a organização a isolar e modelar os piores cenários, estimar padrões de causa-efeito e reduzir os níveis 3 e 4 de incerteza.

O sistema de troca de valor que impulsiona qualquer empresa grande e complexa é continuamente desafiado à medida que os contextos variam no ambiente dinâmico de negócios. Isso aumenta as apostas para antecipar mudança e buscar a próxima onda de recursos que permitam o crescimento. A inteligência de risco ajuda os líderes nesse trabalho, permitindo que eles se concentrem melhor em promover a adaptabilidade necessária para alcançar a resiliência.

Para criar e alimentar a inteligência de risco, a empresa precisa de uma função central de gestão de riscos, que possa contar com ampla experiência funcional e com os recursos necessários para identificar e categorizar riscos. Ela precisa adotar uma mentalidade de incerteza de risco versus evitar riscos e reduzir os níveis de incerteza. Precisa de uma rede de risco quantificada específica da empresa e que seja atualizada de forma dinâmica. E, finalmente, precisa de uma cultura de inteligência de risco na qual os líderes em toda a organização compartilhem uma estrutura e uma linguagem comuns para interpretar os riscos e orientar a alocação de recursos para os esforços de mitigação.

Bibliografia:

1. A.B. Sheth, “Pathways to Enterprise Resilience” (Ph.D. diss., Purdue University Graduate School and the Lyles School of Civil Engineering, 2021). We define “growth with longevity” as multi-decadal business growth founded on one or more fundamental capabilities that enable the pursuit of multiple new markets across contexts over time.

2. “Risk intelligence” has been defined in various ways. See F. Caldwell, “Risk Intelligence: Applying KM to Information Risk Management,” Vine 38, no. 2 (June 2008): 163-166; D. Evans, “Risk Intelligence,” in “Handbook of Risk Theory: Epistemology, Decision Theory, Ethics, and Social Implications of Risk,” eds. S. Roeser, R. Hillerbrand, P. Sandin, et al. (Dordrecht, Netherlands: Springer, 2012), 603-620; S. Mashingaidze, “Risk Intelligence: How Lessons From Folktales/Fables Contribute to the Implementation of Risk Management in Banks,” Risk Governance & Control: Financial Markets & Institutions 5, no. 4 (October 2015): 19-25; D. Wu and J. Birge, “Risk Intelligence in Big Data Era: A Review and Introduction to Special Issue,” IEEE Transactions on Cybernetics 46, no. 8 (August 2016): 1718-1720; and A. Marshall, U. Ojiako, V. Wang, et al., “Forecasting Unknown-Unknowns by Boosting the Risk Radar Within the Risk Intelligent Organisation,” International Journal of Forecasting 35, no. 2 (April-June, 2019): 644-658.

3. J. Liu, T. Tong, and J. Sinfield, “Toward a Resilient Complex Adaptive System View of Business Models,” Long Range Planning 54, no. 3 (June 2021): article 102030.

4. Y. Sheffi, “What Everyone Gets Wrong About the Never-Ending COVID-19 Supply Chain Crises,” MIT Sloan Management Review 63, no. 2 (winter 2022): 7-10.

5. A. Griffiths and M. Winn, “Slack and Sustainability” (presentation at the Academy of Management Annual Meeting, Honolulu, Hawaii, August 2005).

6. M.K. Linnenluecke, A. Griffiths, and M. Winn, “Extreme Weather Events and the Critical Importance of Anticipatory Adaptation and Organizational Resilience in Responding to Impacts,” Business Strategy and the Environment 21, no. 1 (January 2012): 17-32.

7. A. Sheth and A. Kusiak, “Resiliency of Smart Manufacturing Enterprises via Information Integration,” Journal of Industrial Information Integration 28 (July 2022): article 100370.

8. “Decision-Making Under Deep Uncertainty: From Theory to Practice,” eds. V.A.W.J. Marchau, W.E. Walker, P.J.T.M. Bloemen, et al. (Cham, Switzerland: Springer, 2019); and H. Courtney, J. Kirkland, and P. Viguerie, “Strategy Under Uncertainty,” Harvard Business Review 75, no. 6 (November-December 1997): 67-79.

9. M. Shelbourne, “Pentagon Said It Was Ready for Extended Suez Canal Blockage,” USNI News, March 29, 2021, https://news.usni.org.

10. J. Leovy, “Cyberattack Cost Maersk as Much as $300 Million and Disrupted Operations for 2 Weeks,” Los Angeles Times, Aug. 17, 2017, www.latimes.com.

11. To identify pairs that are important to the risk network, we chose pairs that experts deemed as having 40% or more risk impact. In practice, however, this value should be selected based on qualitative criteria, such as the risk positioning of the company and industry.

Artigo publicado na MIT Sloan Management Review Brasil nº 15.

Autoria

Ananya Sheth e Joseph V. Sinfield

Ananya Sheth é pesquisadora de pós-doutorado na School of Business Stevens Institute of Technology. Joseph V. Sinfield é professor de engenharia civil e diretor do Institute for Innovation Science da Purdue University.