A maioria das organizações constrói os seus quadros de gestão de risco e de resiliência com base numa premissa simples: identificar ameaças, avaliá-las e controlá-las. Desenvolvem um plano de continuidade do negócio para o caso de sistemas ou processos críticos falharem. Durante muitos anos, esta abordagem cumpriu o seu propósito.
Mas o ambiente operacional atual é definido por riscos interligados, cadeias de abastecimento inter-relacionadas, tecnologia integrada e dependências de terceiros, o que significa que as disrupções raramente ocorrem de forma isolada. Propagam-se em cascata por equipas, parceiros e sistemas, o que significa que a gestão de risco e resiliência centrada num único evento já não é suficiente. Este ambiente volátil e complexo levou as organizações a reforçar a forma como se preparam e respondem.
Construir um modelo mais integrado, em que risco e resiliência funcionam como uma capacidade unificada, ajuda as equipas a identificar lacunas, manter o desempenho sob pressão e adaptar-se à mudança.
Gerir riscos através de controlos e planeamento de continuidade continua a ser essencial, mas as organizações devem alargar essa base para incluir antecipação, adaptabilidade e alinhamento com a estratégia de longo prazo.
Esta mudança leva as organizações para além de abordagens em silos, rumo a um modelo centrado na resiliência que apoia a continuidade da operação durante a disrupção.
Da prevenção do risco à adaptação numa crise
Embora manter o foco na prevenção do risco continue a ser importante, nem todos os riscos podem ser previstos, quantificados ou prevenidos.
A sua organização deve estar preparada para responder quando os controlos falham, as premissas se quebram ou ocorrem eventos de risco imprevistos. Isto reformula a gestão de risco de “Como evitamos que isto aconteça?” para “Como respondemos, nos adaptamos e continuamos a operar quando acontece?”
Na prática, isto introduz um conjunto diferente de capacidades:
- Antecipar como os riscos se propagam em cascata pela empresa
- Absorver choques sem falha imediata
- Adaptar-se em tempo real
- Definir prioridades sob pressão, mantendo os serviços críticos
- Reconhecer e capitalizar oportunidades em crises
Estas capacidades estão no cerne de uma organização resiliente.
As organizações enfrentam disrupções em cascata num ambiente de policrise
A disrupção sistémica está a transformar cada vez mais a forma como o risco é gerido. Cadeias de abastecimento, sistemas e dependências de terceiros estão agora estreitamente interligados, o que significa que as disrupções raramente ficam contidas. Em vez disso, propagam-se em cascata por funções e parceiros, muitas vezes em simultâneo. Isto é normalmente designado por policrise, em que múltiplas disrupções sobrepostas se acumulam, em vez de ocorrerem de forma isolada.
“Um incidente cibernético já não é apenas TI. Pode desencadear uma paragem operacional, violações regulamentares, danos reputacionais e perda de talento. Do mesmo modo, eventos climáticos afetam a cadeia de abastecimento, a disponibilidade de seguros e a segurança da força de trabalho.”
— Agnès de Calbiac, Head of Enterprise Risk and Assurance, Southern Cross Healthcare
Os quadros tradicionais de risco foram concebidos para eventos mais contidos e isolados. As categorias de risco tinham responsáveis claros, controlos definidos e linhas de reporte estruturadas. Quando ocorria uma única disrupção, os percursos de resposta eram claros. Quando ocorrem várias disrupções ao mesmo tempo, essas estruturas ficam desconectadas e os impactos espalham-se pelas unidades de negócio.
Esta desconexão torna-se mais grave quando as equipas de risco, resiliência e operações respondem de forma independente, sem uma compreensão partilhada da situação. Um choque geopolítico, por exemplo, pode desencadear escassez de combustível, perturbar cadeias de abastecimento, aumentar custos, reduzir vendas e pressionar a estabilidade da força de trabalho.
“A gestão de risco não é apenas uma questão de: como evitamos que as coisas corram mal? Mas, antes, como garantimos que a organização continua a funcionar quando várias coisas correm mal ao mesmo tempo?”
— Agnès de Calbiac, Head of Enterprise Risk and Assurance, Southern Cross Healthcare
As expectativas da liderança também mudaram. Os conselhos de administração estão focados em quão rápida e eficazmente a organização responde às disrupções, se os serviços críticos conseguem continuar e adaptar-se sob pressão e quanto valor a organização preserva.
A regulamentação está a levar as organizações a ligar risco e resiliência
Os requisitos regulamentares estão cada vez mais focados em as organizações manterem as operações, gerirem terceiros e responderem a disrupções como um sistema ligado e coordenado.
Em diferentes jurisdições, os reguladores esperam que ligue o risco operacional, a continuidade do negócio e a supervisão de terceiros. Na Austrália, a APRA CPS 230 define expectativas para a resiliência operacional de ponta a ponta, incluindo mapeamento de serviços, tolerâncias de impacto e supervisão de prestadores críticos. Na Nova Zelândia, a Financial Markets Authority foca-se na resiliência operacional e na notificação atempada de incidentes. Na UE, a DORA estabelece requisitos para a gestão de risco de TI, testes de resiliência e controlos de risco de terceiros.
Mesmo fora dos serviços financeiros, estas orientações são relevantes. As organizações devem integrar os seus processos de gestão de risco e resiliência num único modelo operacional, o que reforça a sua capacidade de fornecer produtos e serviços durante disrupções, adaptar-se à medida que as condições mudam ou os impactos se propagam em cascata, e incorporar aprendizagem nos seus processos de risco e resiliência.
Com base na experiência intersetorial, David Turner, CEO da Risk New Zealand, destaca práticas comuns entre organizações que estão a reforçar a resiliência:
- Testar planos de continuidade com maior frequência, aumentando a periodicidade de ciclos anuais ou de 18 meses para exercícios trimestrais ou semestrais
- Alargar a monitorização e a garantia a toda a cadeia de abastecimento, incluindo dependências de terceiros e de quartos
- Formalizar o planeamento de sucessão para funções críticas e reforçar a formação cruzada e a partilha de conhecimento
- Planear disrupções sistémicas através de testes de cenários estruturados e planeamento de contingência
- Expandir a educação e a formação para aumentar a consciencialização sobre risco e resiliência em todos os níveis
As normas de resiliência focam-se numa abordagem integrada
As normas internacionais fornecem agora orientação às organizações sobre como ligar a gestão de risco, a continuidade do negócio e a resiliência organizacional num modelo estratégico e operacional eficaz:
- ISO 31000 – Diretrizes de Gestão de Risco: define como identificar, avaliar e gerir o risco em toda a organização
- ISO 22301 – Sistemas de Gestão da Continuidade do Negócio: define como planear a disrupção, realizar a análise de impacto no negócio e recuperar serviços críticos
- ISO 22316 – Resiliência Organizacional (Princípios e Atributos): descreve como a liderança, a cultura e a adaptabilidade reforçam a resiliência a longo prazo
- ISO 22332 – Quadro de Resiliência Organizacional: fornece orientação sobre como incorporar a resiliência na estratégia, nas operações e na tomada de decisão
Importa salientar que estas normas sugerem uma abordagem conectada entre a estratégia e os objetivos organizacionais, garantindo que as abordagens integradas de risco e resiliência se alinham com o sucesso do negócio.
Resiliência operacional vs. resiliência organizacional
A resiliência na organização tem dois focos distintos: 1) Resiliência Operacional – manter serviços, operações e infraestruturas críticas durante disrupções; e 2) Resiliência Organizacional – a capacidade de toda a organização para antecipar, adaptar-se e prosperar perante disrupções.
Os elementos de cada uma podem ser resumidos da seguinte forma:
| RESILIÊNCIA OPERACIONAL | RESILIÊNCIA ORGANIZACIONAL |
|
|
Os elementos de resiliência operacional precisam de estar implementados e a funcionar de forma eficaz para apoiar uma abordagem bem-sucedida à resiliência organizacional.
“A resiliência operacional protege as operações de hoje, enquanto a resiliência organizacional protege a relevância de amanhã.”
— Agnès de Calbiac, Head of Enterprise Risk and Assurance, Southern Cross Healthcare
Os líderes e gestores precisam de uma estratégia, processos, funções e responsabilidades claros para a resiliência operacional e organizacional, para garantir que estão a tomar as decisões certas e a executar as ações necessárias no momento certo. Isto permite testar as premissas subjacentes à estratégia, identificar onde as disrupções as poderiam quebrar e agir sobre oportunidades para se adaptar ou reposicionar.
O lado humano da resiliência
A tecnologia, os processos e a governação são apenas parte da equação. A resiliência depende de pessoas capazes de tomar decisões rápidas e informadas, alterar prioridades e realocar recursos quando a disrupção acontece.
Essa capacidade não surge por acaso. É moldada de cima para baixo. A liderança define o tom sobre a seriedade com que a resiliência é encarada, como e quando as decisões são tomadas e quanta autonomia as equipas têm ao responder à disrupção. Quando os líderes dão prioridade à resiliência, comunicam expectativas claras e dão o exemplo com um comportamento decisivo, isso propaga-se por toda a organização, das equipas executivas à linha da frente.
“A gestão de risco, atualmente, move-se demasiado devagar, e essa lentidão cria os seus próprios riscos. Precisamos de pensamento mais rápido e de ações mais rápidas. Precisamos de conhecer suficientemente bem o ambiente operacional da nossa organização para o permitir.”
— David Turner, CEO, Risk New Zealand
Não pode confiar apenas na estrutura. As pessoas determinam quão eficazmente a sua organização responde quando a disrupção acontece.
As organizações que incorporam a resiliência nas operações diárias capacitam as suas equipas de risco e resiliência para irem além da manutenção de controlos e planos. Estas equipas testam como os processos se comportam sob stress, desafiam premissas e comunicam insights que suportam decisões mais rápidas e melhores.
Isto exige mais do que competência técnica em quadros de risco e planos de continuidade do negócio. Garanta que as suas equipas conseguem trabalhar entre funções, participar em testes de cenários, adaptar-se rapidamente a circunstâncias em mudança e alinhar-se com os objetivos do negócio. Isto permite-lhes influenciar decisões, construir relações entre funções e assegurar apoio para iniciativas de resiliência.
O planeamento de sucessão e a gestão do conhecimento também exigem atenção. A dependência de pessoas-chave continua a expor as organizações a risco desnecessário. A documentação, por si só, não chega. Processos não testados e playbooks estáticos oferecem pouca proteção quando as condições mudam.
A resiliência reforça-se quando o conhecimento e a aprendizagem são disseminados pelas equipas, em vez de ficarem com indivíduos ou bloqueados em sistemas.
Construir resiliência através de antecipação e sinais informativos
A resiliência não diz respeito apenas a como a sua organização responde à disrupção, mas também a quão cedo consegue vê-la a emergir. A diferença entre uma disrupção gerida e uma disrupção que se agrava resume-se, muitas vezes, à velocidade e à qualidade da antecipação e dos sinais.
Os processos tradicionais de gestão de risco e resiliência focam-se fortemente em avaliações periódicas e análise de cenários estruturada. Embora continuem a ser importantes, são frequentemente demasiado estáticos para captar riscos rápidos ou interligados.
A gestão prospetiva de risco e resiliência desloca a atenção do que aconteceu historicamente para o que mais poderia acontecer. Isto exige um horizon scanning estruturado, não como um exercício teórico, mas como um processo contínuo de monitorização de sinais e indicadores externos e internos.
A análise de cenários desempenha um papel crítico na transformação de insights em ação. Ao testar como diferentes tipos de disrupções poderiam evoluir, as organizações podem identificar pontos de pressão, desafiar premissas e compreender o potencial impacto no negócio antes de os eventos se materializarem.
Evolua as suas avaliações de risco regulares para identificar e avaliar riscos emergentes. Esta abordagem envolve identificar dependências, bem como sinais e indicadores, para melhorar a qualidade dos insights e apoiar a intervenção precoce.
O valor desta abordagem não é apenas uma melhor consciencialização. Reduz riscos inesperados e melhora a qualidade e a rapidez da tomada de decisão quando ocorrem disrupções. As organizações que investem em antecipação minimizam a surpresa, respondem mais cedo e limitam a escala e o impacto da disrupção no negócio.
Isto transforma a gestão de risco e resiliência de uma análise periódica para uma consciencialização contínua, em que os sinais são monitorizados e acionados em tempo real, em vez de depender exclusivamente de revisões e atualizações programadas.
Evoluir os seus processos de risco para uma capacidade centrada na resiliência
A mudança de gerir registos de risco e planos de continuidade do negócio em funções isoladas para uma capacidade integrada e centrada no risco e na resiliência exige que sejam feitas várias alterações na organização.
Agnès de Calbiac, Head of Enterprise Risk and Assurance na Southern Cross Healthcare, descreve quatro passos práticos que pode adotar:
- Utilize o planeamento de cenários para identificar precocemente onde a sua estratégia pode falhar. Isto ajuda-o a agir mais cedo e a tomar melhores decisões de investimento antes de os riscos se agravarem.
- Ligue as atividades de risco em toda a sua empresa. Isto melhora o alinhamento de equipas, dados e prioridades e clarifica a autoridade de tomada de decisão durante um incidente.
- Mapeie e faça testes de stress a dependências-chave. Isto ajuda-o a compreender como as disrupções se propagam por fornecedores, parceiros e pela sua força de trabalho, e não apenas por controlos individuais.
- Trate as disrupções como oportunidades de aprendizagem. Isto permite a melhoria contínua através de exercícios, revisões e adaptação para o futuro.
Reforce a resiliência operacional com gestão de risco integrada
Uma abordagem desconectada ao risco e à resiliência deixa lacunas e vulnerabilidades durante eventos de disrupção. Reuni-los proporciona planos e processos mais eficazes, sustentados por dados e insights partilhados, que podem depois ser mobilizados para garantir uma resposta rápida e uma tomada de decisão célere.
Na Parte Um da série de webinars Resilience Reset com a Riskonnect, Agnès de Calbiac destacou três cenários comuns em que a integração de risco e resiliência melhora os resultados.
Ciberataque
Considere um ataque de ransomware. Uma abordagem de risco orientada por controlos enfatiza a prevenção através de firewalls, controlos de acesso e autenticação, enquanto os esforços de resiliência se focam na recuperação após falhas dos sistemas. Quando estes esforços permanecem separados, surgem lacunas durante incidentes e a resposta abranda.
Uma abordagem integrada prepara-o tanto para a prevenção como para a continuidade. Concebe sistemas para falharem de forma segura, mantém serviços críticos a um nível reduzido mas funcional e estabelece antecipadamente uma autoridade de decisão clara. Mesmo que um ataque ultrapasse os seus controlos, pode continuar a servir os clientes e limitar a disrupção operacional.
Disrupção na cadeia de abastecimento
Considere uma operação de fabrico altamente dependente de combustível. Um evento geopolítico faz subir os preços do combustível e restringe a disponibilidade, pressionando tanto os custos como a capacidade de entrega. Uma abordagem tradicional de risco gere a exposição financeira através de cobertura (hedging), preços fixos ou alterações de fornecedores, mas deixa a produção vulnerável quando a capacidade de transporte se reduz.
Uma resposta orientada pela resiliência cria flexibilidade no aprovisionamento, na produção e na logística. Diversifica opções de fornecimento, ajusta o planeamento de produção e dá prioridade a outputs críticos sob restrição. Em conjunto, estas ações ajudam-no a manter as entregas enquanto controla o impacto nos custos.
Dependência de pessoa-chave
Um engenheiro principal detém um conhecimento profundo e prático de um sistema crítico. Uma resposta tradicional de risco baseia-se na documentação, mas os materiais escritos raramente captam como os sistemas se comportam sob pressão ou como os problemas são resolvidos na prática.
Uma abordagem integrada dissemina o conhecimento através de formação cruzada estruturada, simulações e exercícios práticos. Prepara vários membros da equipa para operar e recuperar o sistema sob stress, reduzindo a dependência de qualquer indivíduo e reforçando o desempenho do dia a dia.
O que muda com a integração?
Em todos estes cenários, a integração melhora a sua resposta. Mantém o serviço durante a disrupção, toma decisões mais rápidas sob pressão e reduz o impacto financeiro e operacional, enquanto organizações menos preparadas enfrentam atrasos, perda de receitas e disrupção para os clientes.
Justificar a integração de risco e resiliência na sua organização
A integração de risco e resiliência leva tempo e exige um forte apoio da liderança, e o valor torna-se claro quando analisa como a disrupção afeta as operações e os resultados do negócio. Pode começar por envolver executivos seniores e orientar a discussão para os riscos colocados por abordagens tradicionais em silos. Estes incluem o foco em riscos de evento único, a dependência excessiva de controlos preventivos, a dependência de pessoas-chave e vulnerabilidades operacionais durante períodos de inatividade que limitam a resposta rápida e a recuperação de eventos de disrupção.
Os conselhos de administração e os executivos exigem garantia do desempenho das operações críticas sob disrupção, da rapidez com que os serviços essenciais do negócio podem recuperar e de como a organização atua quando os controlos falham ou a capacidade fica limitada.
Comece por mapear os pontos de integração entre as funções e processos de risco e resiliência na sua organização. Identifique que dados são necessários, como são partilhados, onde as fronteiras funcionais atrasam as respostas a disrupções emergentes e onde responsabilidades e tomada de decisão em silos ou fragmentadas enfraquecem as iniciativas de resiliência.
Reúna as partes interessadas desde cedo para estabelecer uma compreensão partilhada da exposição estratégica e operacional. Relacione as discussões com os objetivos organizacionais e as prioridades do negócio já incorporadas na tomada de decisão executiva, incluindo continuidade do negócio, estabilidade organizacional e financeira, proteção da reputação e manutenção de uma posição competitiva sustentável.
À medida que as organizações se aproximam do alinhamento entre as funções de risco e resiliência, a interação entre equipas aumenta de forma constante, os processos melhoram e os dados partilhados reforçam a visibilidade sobre exposições emergentes e apoiam uma tomada de decisão informada. Isto, por sua vez, melhora a sua capacidade de manter as operações e o desempenho do negócio sob disrupção.
A gestão de risco e a resiliência, enquanto disciplinas, continuam a evoluir. As mudanças na regulamentação, nas normas e diretrizes internacionais e nas organizações de referência estão a impulsionar uma transição de simplesmente gerir registos de risco e planos de continuidade do negócio para construir um negócio que antecipa e gere a exposição ao risco, se adapta e prospera sob stress. Estão a fazê-lo ao combinar o seu risco com uma capacidade centrada na resiliência.
Obtenha mais insights sobre como pode integrar o risco e o planeamento de continuidade para reforçar a resiliência. Veja o nosso webinar on-demand com David Turner, CEO, Risk New Zealand, e Agnès de Calbiac, Head of Enterprise Risk and Assurance, Southern Cross Healthcare.
