Quando gestão de riscos e planejamento estratégico andam separados, a organização fica exposta sem perceber. O planejamento define onde quer chegar. A gestão de riscos mapeia o que pode impedir isso. Sem integração, você tem dois documentos que nunca conversam, e uma lacuna que o mercado eventualmente preenche.
Em muitas organizações, a gestão de riscos vive numa área de compliance ou auditoria interna, produz uma matriz de riscos anual, apresenta ao conselho e arquiva. O planejamento estratégico vive na área de estratégia ou no escritório do CEO, produz um mapa estratégico com KPIs e metas, e segue seu ciclo paralelo.
Os dois processos raramente se cruzam. O resultado é que os riscos identificados não estão vinculados aos objetivos que podem comprometer, e as iniciativas estratégicas são desenhadas sem considerar os eventos que podem desviar sua execução.
Numa operadora de saúde, por exemplo, o risco de aumento de sinistralidade acima do projetado é um evento crítico. Se esse risco não está vinculado ao objetivo estratégico de sustentabilidade financeira, e se não há um plano de contingência desenhado previamente, a organização só reage quando o indicador já está no vermelho.
"Risco estratégico não é o que pode acontecer de ruim. É o que pode impedir que os objetivos estratégicos sejam alcançados. Essa distinção muda completamente como a gestão de riscos é estruturada."
O COSO ERM (Enterprise Risk Management), em sua versão de 2017, representa uma evolução importante em relação às versões anteriores: o risco passa a ser tratado explicitamente como componente da estratégia, não como uma preocupação separada de controles internos.
Os cinco componentes do COSO ERM 2017 são:
O Balanced Scorecard de Kaplan e Norton organiza os objetivos estratégicos em quatro perspectivas (financeira, clientes, processos internos, aprendizado e crescimento) e cria relações de causa e efeito entre eles. O mapa estratégico visualiza essas relações e permite identificar onde cada objetivo está na cadeia de valor da estratégia.
O ponto de integração com o COSO ERM é direto: cada objetivo no mapa estratégico tem riscos que podem impedir seu alcance. A gestão de riscos integrada vincula esses riscos aos objetivos correspondentes, cria um apetite ao risco por objetivo e define respostas proporcionais.
O apetite ao risco define quanto de variação a organização aceita na busca de um objetivo. Para cada objetivo do mapa estratégico, é necessário definir: qual o nível de risco aceitável? Quais eventos, se ocorrerem, exigem resposta imediata? Quais podem ser monitorados sem ação preventiva? Sem esse vínculo, o apetite ao risco vira um conceito genérico que ninguém usa na prática.
O erro mais comum ao tentar integrar COSO e BSC é começar pelo inventário de riscos e depois tentar encaixá-los nos objetivos. O caminho certo é o inverso: pegar cada objetivo do mapa estratégico e perguntar "o que pode impedir que esse objetivo seja alcançado?"
Essa abordagem muda o resultado. Em vez de uma lista genérica de riscos operacionais e regulatórios desconectados, você obtém um mapa de riscos estratégicos onde cada evento está vinculado ao objetivo que pode comprometer e ao KPI que seria impactado.
O apetite ao risco pode variar significativamente entre perspectivas. Uma operadora de saúde pode ter apetite baixo para riscos na perspectiva financeira (variação de sinistralidade acima de 2% já dispara alerta) e apetite maior para riscos na perspectiva de aprendizado (experimentar novos modelos de atenção à saúde tem tolerância maior para não atingir metas).
A matriz de riscos estratégicos, diferente da matriz de riscos operacionais convencional, tem como eixo adicional o peso do objetivo estratégico impactado. Um risco de probabilidade média que incide sobre um objetivo de alto peso estratégico tem prioridade maior do que um risco de alta probabilidade que impacta um objetivo secundário.
| Elemento | Matriz Convencional | Matriz Estratégica (COSO+BSC) |
|---|---|---|
| Eixos | Probabilidade x Impacto | Probabilidade x Impacto x Peso Estratégico |
| Vínculo | Processo ou área | Objetivo estratégico específico do BSC |
| Revisão | Anual | Trimestral, integrada ao ciclo de planejamento |
| Responsável | Compliance / Auditoria | Dono do objetivo estratégico |
| Resultado | Relatório de riscos | Insumo para decisão estratégica e alocação de recursos |
O último passo é operacional, mas é onde a integração ou se consolida ou morre. As reuniões de análise crítica do BSC (mensais ou bimestrais) precisam incluir, na pauta, o status dos riscos vinculados aos objetivos em discussão.
Quando um KPI entra em zona amarela, a primeira pergunta deveria ser: qual evento de risco foi materializado ou aumentou de probabilidade? E o plano de resposta para esse risco, já definido previamente, é ativado. Sem essa integração, o gestor improvisa uma resposta a cada desvio.
A gestão de riscos ganha reputação de burocrática quando o processo gera mais documentação do que decisão. Três comportamentos criam esse problema:
"O sinal de que a integração funcionou é simples: quando um gestor, numa reunião de análise crítica, menciona um risco que pode comprometer uma meta antes que o indicador piore. Isso é gestão de riscos integrada à estratégia."
Organizações que nunca integraram COSO e BSC formalmente podem começar com uma versão simplificada que já gera valor no primeiro ciclo:
Com 5 objetivos e 3 riscos cada, você tem 15 riscos estratégicos monitorados com vínculo explícito ao plano. É suficiente para criar cultura de gestão de riscos integrada antes de ampliar o escopo.
Converse com um especialista Omni-Z. Diagnóstico inicial gratuito.
Solicitar diagnóstico