Por Dr. Philip Moulton | Consultor de Risco Estratégico | Diretor de Risco

ERM e resiliência empresarial têm tradicionalmente funcionado em programas paralelos – mas separados. Um acompanha o apetite ao risco estratégico e as exposições corporativas. O outro assegura a continuidade quando o inesperado ocorre.

Mas essa separação já não é apenas ineficiente. Pode também atrair o escrutínio dos órgãos de supervisão.

Atualmente, os reguladores, as agências de classificação e os conselhos de administração esperam mais. A resiliência não se trata apenas de recuperar de uma crise – trata-se de continuar a operar durante uma. ERM e resiliência precisam de trabalhar em perfeita sintonia para otimizar ambos os programas.

A Nova Expectativa

Esta convergência de melhores práticas está a tornar-se rapidamente a nova expectativa básica.

Ao longo dos últimos 10 anos, e em muitos setores da indústria – serviços financeiros, saúde, utilities, telecomunicações e outros – os reguladores têm vindo a elevar o nível de exigência.

  • A Regra de Divulgação Cibernética da SEC exige que as empresas públicas divulguem incidentes cibernéticos materiais no prazo de quatro dias, juntamente com atualizações anuais sobre a supervisão da governança.
  • O ORSA da NAIC espera que as seguradoras incorporem o planeamento de continuidade nas estratégias de capital.
  • NERC CIP, AWIA da EPA e as diretivas da CISA exigem planeamento de recuperação validado para setores de infraestruturas críticas.
  • Nos setores da saúde e farmacêutico, CMS e FDA exigem preparação para emergências, BIAs e testes de continuidade que sejam consistentes com as prioridades informadas pelo risco.

A mensagem daqueles encarregados das responsabilidades de supervisão é consistente: Identificar o risco e a mitigação do risco não é suficiente. As organizações devem demonstrar que podem continuar a operar quando ocorrem eventos de risco de alto impacto.

Apesar destas expectativas, as equipas de ERM e resiliência podem permanecer desconectadas, falando línguas diferentes, utilizando dados diferentes e reportando através de canais e partes diferentes da organização.

Essa divisão levará inevitavelmente a objetivos desalinhados, esforços duplicados e uma visão fragmentada do risco e da recuperação.

Em contrapartida, quando as equipas de ERM e resiliência colaboram, as organizações ganham uma vantagem estratégica. As declarações de apetite ao risco desenvolvidas pela equipa de ERM podem transformar-se em metas de recuperação quantificáveis desenvolvidas pela equipa de resiliência. Os exercícios de continuidade de negócio podem funcionar como testes de stress de cenários. Os conselhos de administração obtêm uma narrativa coesa e detalhada sobre as exposições a eventos disruptivos e a capacidade operacional para os gerir. E o programa de resiliência fica mais estreitamente ligado aos objetivos estratégicos e prioritários da empresa.

Desafios Quotidianos

Um desafio na integração é que as equipas de ERM e resiliência operam de forma diferente no dia-a-dia. ERM é orientado para cenários, estratégico e frequentemente focado em questões e desafios financeiros, reputacionais ou regulatórios. A resiliência empresarial é processual, operacional e preocupada em manter pessoas, processos e sistemas a funcionar sob stress. Isto pode ser uma simplificação excessiva, mas, na minha experiência, não está muito longe da realidade.

A transição de funções paralelas em diferentes faixas para um programa integrado de risco e resiliência não exige um esforço total de reconstrução e transformação. Pode simplesmente começar com algumas iniciativas básicas – mas importantes:

  1. Definir “resiliência” e “criticidade” em conjunto. Definições partilhadas são fundamentais. As equipas de ERM e resiliência devem definir conjuntamente o que significa “crítico” para produtos, serviços, sistemas e fornecedores – e garantir que tanto o registo de riscos empresariais como os BIAs refletem os mesmos pressupostos.
  2. Estabelecer uma estrutura de governação conjunta. Um comité de direção partilhado mantém o risco e a resiliência alinhados com a estratégia do negócio e assegura uma comunicação consistente até à liderança e ao conselho de administração.
  3. Aproveitar os dados de ERM para priorizar os testes de BR. Utilize o registo de risco empresarial para priorizar cenários de teste de resiliência. Por exemplo, se um fornecedor ou instalação específica aparecer na camada de risco superior na Gestão de Risco Empresarial (ERM), isso deverá impulsionar simulações de mesa e testes de recuperação.
  4. Traduza o apetite pelo risco em objetivos de recuperação – As equipas de ERM estabelecem as tolerâncias. As equipas de resiliência operacionalizam-nas. Alinhe os objetivos de tempo de recuperação (RTOs) com o apetite pelo risco declarado para estabelecer uma ponte entre a estratégia e a execução operacional.
  5. Realize exercícios conjuntos. Os exercícios co-liderados e os relatórios pós-ação permitem que tanto a ERM como a resiliência validem pressupostos, identifiquem pontos cegos e comuniquem conjuntamente os resultados aos executivos e conselhos de administração.
  6. Sincronize métricas e painéis de controlo. Relacione os indicadores-chave de risco (KRIs) com o desempenho da recuperação operacional. Os painéis de controlo partilhados nas plataformas de GRC podem mostrar quando os limites são ultrapassados – e com que rapidez a organização recupera.

O Retorno da Sincronização

Para além da sincronização da governança e do processo, a elaboração de relatórios integrados é onde o retorno se torna tangível e altamente visível para os decisores. Quando os resultados de risco e continuidade estão alinhados:

  • Os conselhos de administração podem ver como as tolerâncias ao risco declaradas se relacionam com a capacidade operacional real. Por exemplo, podem verificar se as tolerâncias ao risco aprovadas para sistemas críticos são consistentes com os RTOs reais.
  • Os reguladores ganham confiança na governança e preparação a nível empresarial. Por exemplo, no risco cibernético, a ERM pode demonstrar uma avaliação estruturada em todas as categorias de impacto, enquanto a resiliência mostra como os planos de resposta abordam cada uma dessas categorias.
  • A liderança vê onde os investimentos em resiliência protegem o valor. Numa empresa alimentar dos EUA no final de 2021, um workshop conjunto de ERM e resiliência empresarial sobre riscos geopolíticos sinalizou que um ingrediente-chave era proveniente da Ucrânia. A equipa de resiliência iniciou contratos de fornecimento opcionais com fornecedores canadianos. À medida que a crise Rússia-Ucrânia se intensificava, esses contratos foram finalizados antes da invasão, garantindo a continuidade enquanto os concorrentes se debatiam.

O último exemplo é a razão mais convincente pela qual precisamos de integrar. Quando ocorre uma disrupção – ou está prestes a ocorrer – a organização pode agir rapidamente porque a estratégia, as funções e as operações estão em maior sincronia.

Frequentemente, a resiliência empresarial é vista como um documento, um teste ou um plano numa prateleira. É muito mais do que isso. A verdadeira resiliência é uma capacidade a nível empresarial – uma que é continuamente informada pela perceção do risco estratégico e pela prontidão operacional.

Ao reunir a ERM e a resiliência, as organizações constroem não apenas uma defesa mais forte, mas uma resposta mais inteligente e rápida. Soluções proativas são identificadas mais cedo – antes de ocorrer uma disrupção. E num mundo onde as crises já não são raras, isso não é apenas uma vantagem competitiva. É sobrevivência.

Para uma análise mais aprofundada sobre a união da ERM e da resiliência, participe no nosso webinar de 27 de maio, Adotando uma Abordagem Interfuncional para ERM e Resiliência, e consulte as soluções de ERM e Continuidade de Negócios & Resiliência da Riskonnect.