Gerenciamento holístico do risco

por Robert Schneier, Jerry Miccolis

HSM Management
setembro-outubro/1998

Quase todos os dias os jornais descrevem as sérias conseqüências de frustrar as expectativas dos investidores, como uma empresa, que viu suas ações caírem mesmo tendo um grande aumento de lucros. Somem a isso as exigências de regulamentação e controle e fica evidente por que o risco é tão importante para os altos executivos das empresas. Afinal, é a eles que cabe gerenciar os riscos do negócio, e o não-cumprimento desse preceito é uma quebra da responsabilidade confiada.

Mesmo que os lucros e os preços, das ações sejam saudáveis, a obtenção de resultados atualmente é bem mais arriscada que no passado. O motivo é que a maioria dos negócios se globalizou. Esse âmbito expandido traz maiores oportunidades, mas também maior complexidade. O aumento da complexidade por sua vez, traz um potencial maior de as coisas darem errado.

A maioria das decisões envolve uma escolha entre algum tipo de risco e a recompensa a ele associada. Cria-se valor para o acionista quando a recompensa excede o custo do risco. O custo do capital é uma taxa genérica que reflete o risco de determinada classe de investimento. Se a recompensa (ROI- Retorno sobre o Investimento) for maior do que essa taxa, o investimento vale proporcionalmente mais.
Embora os investidores sejam indiferentes às ferramentas ou aos modelos que as empresas utilizam, eles pagarão um prêmio para a companhia que melhor souber lidar com o risco. Tal prêmio depende do desempenho, porém entre 20% e 30% do prêmio acima do valor contábil é atribuível a quão bem a companhia gerência o risco.
Algumas companhias parecem compreender melhor o risco do que outras. Na verdade, elas não tomam atitudes mais ousadas; apenas sabem o que podem ou não suportar. Tais empresas não são invencíveis e sofrem nas mãos do mercado de ações quando não atendem às expectativas dos investidores. Elas, no entanto, fracassam com menor frequência.

"Risco" é a possibilidade de alguma coisa dar errado. "Fatores de risco" são as condições que dão origem a essa possibilidade. O risco é um resultado não algo que se possa gerenciar ou controlar diretamente. Os fatores de risco, como causas, sim. Ao gerenciar o risco, a maioria das empresas presta atenção ao resultado e não à causa. E erra.
A abordagem-padrão é concentrar-se no financiamento do risco, provisionando recursos para atenuar a variabilidade de receita de riscos não controlados. A idéia básica é que algum risco financeiro tem possibilidade razoável de ocorrer. Como não se pode fazer nada para impedi-lo, os executivos deveriam separar uma quantia para pagar os danos.
Há problemas nessa abordagem. Primeiro, ela não é "pró-ativa", como se diz no jargão administrativo. Segundo, é incompleta e tende a compartimentar a atenção da gerência: com freqüência, o conjunto de riscos para os quais existe financiamento (hedging de moeda, seguro contra desastres) determina os tipos aos quais a empresa presta atenção e tenta gerenciar. Entretanto, a empresa enfrenta riscos que vão além de, digamos, terremotos ou mudanças no preço do petróleo. Há companhias cujos preços de ações despencam em decorrência de prática de discriminação racial ou sexual, sistemas de computação falhos ou conduta irregular de funcionários.
Acrescente-se a esses dois problemas um terceiro. A abordagem de financiamento para o gerenciamento de risco não é muito eficaz. Pesquisas mostram, por exemplo, que o mercado de ações é indiferente ao financiamento de risco - isto é, se acontecer um desastre, as reações do mercado se basearão na maneira como a gerência lida com a crise, e não como ou até onde o risco está financiado. Gasta-se muito dinheiro em seguros que não ajudam a proteger os investimentos dos acionistas.

Diante disso, um novo conceito chega ao universo dos executivos financeiros: o gerenciamento holístico do risco. Coisas da Nova Era? Não. As técnicas do gerenciamento holístico do risco têm sido uma ferramenta gerencial poderosa para várias empresas, quando aplicadas corretamente. Nós as chamamos de "Enterprise Risk Management" (ou ERM, que significa Gerenciamento do Risco do Empreendimento), porque abordam os principais riscos da companhia em um determinado nível do empreendimento. A prática do ERM varia, pois cada empresa é singular do ponto de vista de riscos, mas há algumas características comuns.
O ERM é uma abordagem sistemática segundo a qual os fatores de risco e os programas de atenuação são considerados em relação ao negócio como um todo, interna e externamente. Admite, assim, que os acionistas são indiferentes à compartimentação arbitrária do risco. Admite também que os fatores de risco possuem efeitos múltiplos e, para terem algum valor, os programas de atenuação devem considerar todos esses efeitos.
O ERM é "pró-ativo". A primeira linha de defesa contra o risco é "conformá-lo", que significa controlá-lo por meio do comportamento organizacional. Os controles comportamentais são balanceados com os controles sistemáticos - políticas, procedimentos e similares. Os gerentes precisam recorrer ao financiamento apenas se essa "conformação" não puder conter o risco. Mesmo nesse caso, o financiamento deve ser feito na forma de uma carteira abrangente - não compartimentada- para aproveitar as "proteções naturais" que existem entre alguns fatores de risco e a interdependência de muitos deles.
Quando corretamente implantado, o ERM exige trabalho árduo e comprometimento da alta gerência. Entretanto, para companhias que praticam o ERM com eficácia, as recompensas podem ser liderança de mercado, crescimento contínuo, elevação nos preços das ações e confiança dos investidores.

Tome-se o exemplo da Ajax (nome fictício, por motivo de sigilo), empresa de artigos de luxo considerada como das mais bem-sucedidas no mundo. Seus lucros, seu crescimento e sua participação de mercado são invejáveis. Suas ações são negociadas nos valores mais altos entre suas similares. A Ajax possui um programa de ERM eficaz em funcionamento, sob a direção de um comitê diretor formado pela alta gerência.
O comitê realiza uma revisão abrangente de risco de cada um de seus negócios, concentrando-se na estrutura total, nas capacidades da organização e no ambiente operacional. A partir dessa revisão, identifica os riscos dos objetivos dos negócios, determina os fatores subjacentes, prioriza-os e empreende as iniciativas necessárias.
Para ajudar na atribuição de prioridades, o comitê define o limiar quantitativo de risco da companhia como um todo e de cada unidade de negócios. O quadro da abaixo apresenta uma lista dos fatores de risco de alta prioridade da Ajax (e não são exclusivos).
Uma maneira de verificar se o ERM está sendo implantado com eficácia é determinar se os fatores de risco da empresa se parecem com os de suas concorrentes. Em caso positivo - ou se eles não mudarem à medida que a organização e seu ambiente operacional mudarem-, é provável que esses riscos estejam definidos de forma muito genérica.
Feito isso, o comitê ajuda cada negócio a desenvolver um plano de ação. O tipo de iniciativa requerido depende da natureza do risco e é direcionado pela matriz mostrada no final do artigo. Os riscos gerenciáveis são os que não exigem investimento significativo e podem ser abordados na condução normal dos negócios. Os riscos estratégicos, por outro lado, talvez exijam um investimento razoável de capital ou mudança de rumo.
Os fatores de risco que ficarem abaixo do limiar de "alta prioridade" são monitorados, mas não se toma nenhuma iniciativa a menos que sua situação mude. A companhia tem uma cultura robusta em relação a riscos, que geralmente corrigirá a maioria desses problemas sem necessidade de a administração agir.
Esse princípio é demonstrado pela empresa de produtos de consumo Acme (outro nome fictício). Logo depois de constatar um defeito de fabricação, a Acme conseguiu recolher e substituir todos os produtos defeituosos das prateleiras do mundo inteiro sem que os consumidores, os distribuidores e a imprensa notassem.
Como isso foi feito de forma tão eficaz? Os executivos da Acme garantem que agiram instintivamente. A companhia não tem manual, listas de controle ou memorandos da alta gerência que ditem os procedimentos. Não há necessidade disso, porque a companhia tem uma cultura robusta em relação a riscos, que advém da forte convergência da companhia em relação à meta.
Todos, por intuição, entendem os objetivos da companhia e trabalham em direção a eles. O histórico de desastres, grandes e pequenos, mostra que os problemas ocorrem quando o controle cultural não funciona, e não quando os controles de sistema não funcionam.
É preciso, contudo, haver equilíbrio entre cultura forte e sistemas de controle. Se os controles forem fracos demais, o gerenciamento cultural do risco pode ser levado até o ponto de ruptura. Por analogia, sem a convergência de uma cultura forte em relação à meta, os sistemas de controle são simplesmente tirânicos e ineficazes. Se a gerência criar cada vez mais controles, a companhia pode ficar à deriva em termos de estratégia.

A quantificação dos fatores e dos limiares de risco é uma parte desencorajadora porém necessária do ERM. Há vários modelos e metodologias, alguns mais acessíveis, outros mais complexos. Com um pouco de criatividade, os gerentes conseguem quantificar os fatores de risco de forma rápida e fácil.
A abordagem feita por uma reputada siderúrgica (a fictícia AAA) é ilustrativa. Ao dedicar atenção especial aos relatórios-padrão de contabilidade gerencial, a AAA conseguiu construir uma simulação econômica da operação de sua siderúrgica. Para a quantificação, o grupo da alta administração da AAA identificou os fatores de risco incorporando pesquisa de mercado, previsões econométricas e tino comercial. O departamento de RH também forneceu insumos quanto a fatores de risco relacionados à organização e ao pessoal, e os gerentes determinaram as interações entre os fatores utilizando medidas qualitativas O resultado da simulação foi colocado num modelo financeiro pró-forma que gerou, entre outros resultados, as mudanças esperadas de valor para o acionista em cada cenário de risco.
Para monitorar as mudanças em relação a exposição ao risco, o grupo gerencial periodicamente revisa os fatores de risco e executa novas simulações. Esse processo é um pouco desajeitado, mas funciona. A AAA superou quedas de mercado e evitou alguns problemas trabalhistas potencialmente graves.
Como no caso da Ajax e da Acme, o programa de ERM da AAA ajuda companhia a administrar os riscos de forma sistemática e cultural. A situação ajuda a companhia a implantar controles que minimizem a exposição ao risco. O compromisso da alta gerência com o ERM aumenta a conscientização dos funcionários sobre os fatores de risco - o que por si só, já é uma medida preventiva. Isso também ajuda a incorporar comportamentos de gerenciamento de riscos à organização. Em algumas companhias, o ERM não é tanto um esforço consciente, mas sim uma parte já arraigada da cultura.

Mesmo nas companhias mais bem administradas, nem todos os riscos podem ser descartados ou contidos por completo. Os riscos que sobrarem precisam ser financiados. Há novos produtos no mercado, híbridos de seguro e hedging, que permitem às empresas comprar proteção da demonstração de resultados contra combinações específicas de riscos de acidentes (como danos à propriedade e responsabilidade civil) e riscos financeiros (como taxa de juros, crédito, câmbio) em um único pacote.
A empresa varejista ABC - nome também fictício - deu vários passos adiante. Ela criou um modelo probabilístico para cada risco de alta prioridade. Alguns desses modelos foram adaptados de outros, criados por fornecedores - por exemplo, um modelo de terremoto gerado pela corretora de seguros da ABC e um modelo de risco de mercado gerado pelo banco da empresa. Com esses modelos, a companhia analisou a relação entre os riscos (a covariância, uma medida estatística) e embutiu essas informações num modelo estocástico global de seu perfil de ERM.
Com isso, a ABC conseguiu avaliar vários programas alternativos de financiamento do ponto de vista de sua capacidade de contrabalançar riscos e recompensas. Foi atribuído a cada programa um "valor de recompensa" e um "valor de risco" - o primeiro, baseado no custo, e o segundo, baseado na capacidade de amortecer o impacto volátil dos riscos combinados sobre o demonstrativo de lucros. Utilizando técnicas da teoria moderna de portfólio, a empresa pôde desenhar a "fronteira eficiente".
Esse demonstrativo permitiu à alta gerência tomar decisões abalizadas quanto ao tipo de programa de financiamento de riscos para ser considerado. O departamento financeiro então abordou diretamente os mercados de resseguros e de capitais para implantar seu programa preferido segundo seus próprios termos.

A adoção de práticas de ERM exige comprometimento e um nível razoável de esforço em duas fases principais:

Fase I: Avaliação do risco. O objetivo da avaliação é identificar, priorizar e agregar todos os riscos com que a companhia depara.
1 Revisão da infra-estrutura. A empresa começa por uma revisão sistemática da infra-estrura, dos processos decisórios e dos sistemas. Identifica as preocupações da gerência por entrevistas ou focus groups e verifica-as a partir de dados xternos. Procura um acordo quanto a um meio objetivo de medir o desempenho.
2 Avaliação qualitativa do limiar do risco. (O risco, não se pode esquecer, é tanto subjetivo quanto objetivo.)
3 Definição preliminar do risco. A empresa reduz e sintetiza os dados de desempenho e do limiar do risco em um conjunto preliminar de riscos, que deve ser validado e classificado.
4 Quantificação preliminar. Em geral, é aconselhável que a empresa use um modelo do tipo "criação de valor para o acionista" para testar as sensibilidades e identificar fatores de risco. Então, a empresa deve checar os resultados, cruzando-os com um ou vários métodos subjetivos de avaliação. Se tiverem sido identificados fatores de risco prospectivos, ela precisa determinar o meio mais apropriado de aferição.
5 Priorização do risco. Aqui se priorizam fatores de risco com base na probabilidade de acontecerem, no valor presente de suas conseqüências e na qualidade dos controles já em funcionamento. A empresa identifica as interações entre os fatores de risco de alta prioridade e suas conseqüências e agrega esses fatores com base em conseqüências comuns. Entre as áreas nas quais vale a pena se concentrar estão comportamento e atitudes da organização, capitais empregados no negócio (de mercado, infra-estrutura, humano, financeiro) e principais indicadores de desempenho da companhia.
6 Delineamento de estratégia. A essa altura já deve haver uma lista abrangente dos fatores de risco de alta prioridade e compreensão de suas conseqüências. Se houver acordo quanto às prioridades, a empresa delineia as estratégias gerais para atenuação.
As companhias ficam espantadas com a lista de fatores de risco de alta prioridade gerada na fase de avaliação. Esses fatores muitas vezes diferem daqueles nos quais os gerentes tradicionalmente concentram sua atenção.

Fase 2: Conformação do risco. Antes de os gerentes estarem prontos para delinear os programas de conformação, eles precisam de uma medida mais sólida dos fatores de risco. Precisam também de uma boa compreensão de como funciona a organização e como mudar os comportamentos.

1 Modelagem. São necessários três tipos de modelagem para medir o impacto individual e coletivo dos fatores de risco. É preciso modelar os determinantes de cada fator de risco, o impacto operacional e financeiro de cada um e, por fim, o preço da ação e o value at risk. A parte mais difícil é medir a covariância entre os fatores de risco, mas pode-se fazê-lo separadamente ou estimá-lo subjetivamente.
A empresa prevê fatores de risco usando modelos estocásticos, análise de cenários ou Delphi. Em alguns casos, é possível comprar previsões ou usar avaliações qualitativas. Os modelos operacionais devem ser baseados em um acúmulo de cristas ao longo da cadeia de valor da companhia. Deve-se estar certo de que as mudanças nos requisitos de recursos sejam identificadas. Os modelos pró-forma precisam estar vinculados a algum modelo de valor econômico, permitindo testar a elasticidade de cada risco em relação ao preço da ação.
Por fim, quantifica-se o value at risk dos capitais empregados no negócio (financeiro, de mercado, de infra-estrutura e humano).

2 Quantificação do risco. A empresa descobre as interdependências entre os fatores de risco e avalia o impacto de cada cenário na organização como um todo. O grupo gerencial deve revisar isso e chegar a um consenso sobre o que acredita ser o cenário mais provável. A empresa calcula então a exposição geral a riscos ao mesmo tempo que se cruza a razoabilidade dos dados com as avaliações qualitativas feitas na fase de avaliação.

3 Mudança organizacional. Agora começa a parte difícil. Dentro do cenário que se determinou como mais provável, talvez seja preciso projetar programas para mudar o comportamento. Em alguns casos, pode-se atenuar os fatores de risco ao fazer mudanças operacionais bem diretas. Em outros casos, é preciso desenvolver estratégias para reformular o comportamento dos funcionários, as capacidades da organização e a cultura.

4 Financiamento do risco. Aqui, a empresa deve determinar se os programas escolhidos atenuarão suficientemente os riscos da companhia. Em caso negativo, é preciso projetar um programa para financiar parte do risco - ou ignorá-lo. Como outros aspectos do ERM, o financiamento de risco deve ser visto de forma holística. Primeiro, a empresa determina a exposição (relativa ao limiar de risco) após a aplicação dos programas de atenuação. Em seguida, identifica as interdependências de exposição e os melhores instrumentos de financiamento. Finalmente, define a melhor fonte desses instrumentos.
Uma vez que os gerentes tiverem desenvolvido e implantado com sucesso a estratégia de conformação do risco, eles precisarão realizar revisões periódicas dos fatores de risco da companhia e sintonizar os programas de atenuação. Entretanto, é improvável que seja preciso repetir as fases de Avaliação e Conformação de Risco na totalidade.
À medida que os programas de atenuação começarem a funcionar, a companhia será mais bem-sucedida ao lidar com riscos e autoconfiante. Depois de um tempo, o gerenciamento de riscos se enraizará na cultura da organização, com a conseqüente melhora de desempenho.