Pergunte ao CEO de uma média empresa se ele tem gestão de riscos e a resposta quase sempre será “sim”. Ele vai citar auditoria interna, apólices de seguro, controles de compliance e matrizes de conformidade tributária. Tudo isso existe, funciona e é necessário. Mas nada disso responde à pergunta que realmente importa: o que faríamos se o principal mercado da empresa mudasse de regra em 90 dias? Se um concorrente adotasse uma tecnologia que tornasse nosso produto obsoleto? Se um conflito geopolítico interrompesse nossa cadeia de suprimentos?
Essa é a fronteira que a maioria das médias empresas ainda não atravessou. Elas têm gestão de risco operacional — e não têm governança de risco estratégico.
A Diferença que Muda Tudo
Risco operacional trata do que pode dar errado dentro da empresa: uma fraude, um erro contábil, um acidente, um descumprimento regulatório. É gerenciado de baixo para cima, com foco em controle, prevenção e conformidade. Tem dono claro — auditoria, jurídico, controladoria — e opera em ciclos previsíveis.
Risco estratégico trata do que pode tornar a própria estratégia da empresa irrelevante. Não é sobre executar mal o plano — é sobre o plano deixar de fazer sentido. Vem de fora: geopolítica, mudança tecnológica, movimentos de mercado, alterações no comportamento do cliente. Não se resolve com controle interno, mas com capacidade de decisão rápida sob incerteza.
O erro fatal é aplicar a lógica do primeiro ao segundo. Quando o risco estratégico é tratado como pauta de auditoria, ele vira um relatório trimestral que ninguém lê e uma matriz de calor que ninguém usa para decidir. O relatório da McKinsey de julho de 2025 sobre a atuação de conselhos reforça exatamente esse ponto: as empresas que atravessam bem os ciclos de volatilidade não são as que têm mais controles, mas as que institucionalizaram um processo de leitura e resposta a riscos estratégicos no topo da hierarquia.

Um Processo Prático em Três Movimentos
Governança de risco estratégico não exige uma estrutura pesada. Exige disciplina e um modelo mental compartilhado pela liderança. Aqui está um esqueleto aplicável.
1. Identificação: Mapear o que Pode Quebrar a Tese do Negócio
Comece por uma pergunta desconfortável: quais são as três premissas que, se falhassem, inviabilizariam nossa estratégia atual? A resposta expõe onde estão os riscos estratégicos reais — e eles costumam se concentrar em três frentes:
- Geopolíticos: dependência de fornecedores, mercados ou insumos concentrados em regiões instáveis; exposição cambial; mudanças em barreiras comerciais e regimes de sanção.
- Tecnológicos: tecnologias emergentes que podem substituir seu produto, canal ou modelo de custo; automação que altera a estrutura competitiva; obsolescência de plataformas em que a operação se apoia.
- De mercado: mudança de comportamento do cliente, entrada de novos concorrentes com modelos diferentes, movimentos de consolidação, alteração no poder de barganha da cadeia.
O objetivo não é listar 40 riscos — é identificar os 8 a 12 com potencial de mudar o jogo. Um exercício útil: reunir a liderança e pedir que cada área nomeie a ameaça externa que mais a mantém acordada à noite. As repetições revelam o que é sistêmico.
2. Priorização: Cruzar Impacto com Velocidade de Materialização
A matriz de risco tradicional cruza probabilidade e impacto. Para risco estratégico, essa lente é insuficiente — probabilidade é quase impossível de estimar em ambientes voláteis. Substitua “probabilidade” por velocidade de materialização: quão rápido o risco pode passar de latente a real?
Isso cria quatro quadrantes de ação:
- Alto impacto, alta velocidade: exigem gatilhos de decisão pré-definidos e monitoramento contínuo.
- Alto impacto, baixa velocidade: permitem construção de resposta ao longo do tempo — investimento, diversificação, hedge estrutural.
- Baixo impacto: monitoramento leve, sem consumir energia da liderança.
A pergunta de priorização não é “qual é mais provável?”, mas sim: “qual nos deixaria sem tempo de reagir se ignorássemos?”
3. Gatilhos de Decisão: Definir o “Quando”, Não Só o “Se”
Este é o passo que separa empresas que decidem rápido das que improvisam. Para cada risco prioritário, defina antecipadamente:
- O indicador de alerta: que sinal observável indica que o risco está se materializando?
- O gatilho: o valor ou evento específico que aciona uma resposta.
- A resposta pré-acordada: o que faremos e quem tem autoridade para acionar.
Gatilhos eliminam o improviso porque a decisão difícil já foi debatida antes da crise, quando havia tempo e cabeça fria. Na hora do impacto, a liderança executa em vez de discutir do zero.
Onde Isso Realmente Pertence: No Topo
Nada disso funciona se for delegado. Risco estratégico não é atribuição da área de riscos, da auditoria interna ou de um comitê técnico — é responsabilidade indelegável da alta liderança e do conselho.
Isso significa três coisas concretas. Primeiro, a pauta de risco estratégico deve estar integrada ao ciclo de planejamento estratégico, e não em uma trilha separada de conformidade — toda revisão de estratégia deveria começar revisitando as premissas que podem quebrá-la. Segundo, o conselho precisa dedicar tempo de reunião a cenários e gatilhos, não apenas a resultados passados. Terceiro, deve haver um responsável no nível executivo que mantenha o mapa vivo e provoque a liderança quando os indicadores de alerta sinalizarem.
Conclusão
Volatilidade não é uma fase que vai passar. É a condição permanente do ambiente de negócios. Nesse cenário, a vantagem competitiva não está em prever o futuro — ninguém consegue —, mas em reduzir o tempo entre perceber uma ameaça e responder a ela.
Empresas que tratam risco como pauta de auditoria continuarão reagindo tarde, no improviso, sob pressão. As que instalam um processo simples de identificação, priorização e gatilhos no topo da hierarquia transformam incerteza em disciplina. O risco deixa de ser um relatório e passa a ser o que sempre deveria ter sido: uma ferramenta de decisão.
Conheça todos nossos serviços de estratégia.
Ronaldo Guedes – Diretor de Estratégia