Três em cada quatro empresas (73%) estão a atualizar os seus planos de continuidade da atividade para se prepararem para uma crise. No entanto, apenas 5% se sentem preparadas para avaliar, gerir e recuperar de um evento de risco futuro desconhecido e imprevisível.

Estas são algumas das conclusões de um novo relatório da Riskonnect. O relatório inquiriu mais de 300 profissionais de risco e conformidade em todo o mundo sobre as novas ameaças que as organizações enfrentam atualmente e sobre a forma como estão a renovar os seus manuais de gestão do risco para navegar em território desconhecido.

Podias estar a fazer mais?

Atualmente, a maioria das empresas baseia-se em planos de continuidade do negócio fragmentados que são construídos em silos ou que não consideram a natureza em cascata do risco. O problema com estas abordagens é que os problemas que parecem não estar relacionados ou isolados num departamento específico podem espalhar-se para criar perturbações maiores e fazer com que o negócio pare. A menos que todos na organização estejam a trabalhar a partir do mesmo manual, os planos de continuidade do negócio são criados em vão.

A outra lacuna comum no planeamento da continuidade do negócio é a falta de alinhamento entre as partes interessadas quanto à tolerância ao risco. Imagina que uma organização está a planear um potencial ataque de ransomware. Os executivos pensam que a organização pode voltar a pôr a rede a funcionar em poucos dias. Na realidade, porém, a TI precisa de semanas. O problema é que as partes interessadas nunca se reuniram.

LÊ ESTE ESTUDO DE CASO

Esta falta de alinhamento entre as principais partes interessadas é demasiado comum. Uma das maneiras pelas quais as organizações podem superar esse desafio é facilitando workshops sobre riscos. De facto, 37% das organizações afirmam estar a realizar workshops sobre riscos atualmente.

Estes workshops reúnem todas as partes interessadas relevantes na mesma sala para terem conversas reais e produtivas sobre a preparação, tolerância e plano de ação da organização para eventos de risco específicos. Utilizando o exemplo do ransomware, os pontos importantes a discutir incluem:

  • O que aconteceria se a empresa fosse atingida por um ataque de ransomware hoje?
  • Quanto tempo de inatividade pode ser tolerado?
  • Quanto tempo demorarias a voltar a funcionar?
  • Consideraríamos pagar o resgate – e quais são as implicações de pagar ou não pagar?
  • Como, o quê e quando comunicaríamos aos clientes, parceiros, funcionários e investidores?
  • Que outros eventos de risco podem decorrer deste evento e prejudicar a organização?

Outras medidas que as empresas inquiridas estão a tomar para se prepararem para as crises incluem

  • Reavalia continuamente o seu ambiente de risco (66%)
  • Avaliação dos planos de resposta a crises (64%)
  • Preparar a liderança para gerir crises inesperadas (53%)
  • Colaborar com as partes interessadas de vários departamentos (51%)

“A gestão do risco consiste em gerir a incerteza. Quando o negócio se torna incerto, é aí que a capacidade de te sentares na torre de controlo, compreenderes o que se aproxima, teres visibilidade sobre o que pode acontecer a seguir – incluindo os efeitos periféricos – e a forma como isso pode afetar o negócio é o que te dá uma base sólida de visibilidade do risco para definires estratégias de resposta. Depois, podes utilizar estas estratégias para te adaptares e te orientares de acordo com a forma como uma determinada situação se desenrola.”

– Bob Bowman, Diretor Sénior, Diretor de Risco Diretor, Diretor de Risco
Gestão de Risco, Governação de Dados Empresariais
The Wendy’s Company

Fecha o fosso para melhorar a resiliência

Embora as empresas estejam finalmente a mudar a forma como gerem, dão prioridade e supervisionam o risco, a maioria (63%) não simulou os seus piores cenários, que, segundo a maioria dos inquiridos, giram em torno de catástrofes naturais, ameaças cibernéticas e riscos geopolíticos.

Esta conclusão é surpreendente, tendo em conta a quantidade de eventos “pessimistas” que ocorreram nos últimos anos – a pandemia, as perturbações na cadeia de abastecimento e as falências bancárias, para citar apenas alguns. As organizações foram atingidas ou testemunharam muitos eventos perturbadores que, na sua essência, eram conhecidos e previsíveis e, no entanto, a maioria ainda não dá prioridade ao planeamento ou teste de cenários robustos.

Especificamente, o colapso do Silicon Valley Bank foi um cenário quase pessimista para muitas empresas. Apesar da escala e do impacto económico global do colapso, quase (42%) dos que afirmaram que o colapso foi relevante para eles não fizeram alterações subsequentes à sua estratégia de gestão de riscos. O planeamento de cenários é uma parte fundamental da gestão de riscos e deve ser incorporado nas estratégias futuras para aumentar a resiliência.

Os planos de continuidade de negócios bem-sucedidos não são um exercício único. São regularmente discutidos, praticados, revistos e, acima de tudo, coordenados em toda a empresa. Se o fizeres, terás um manual valioso para manter a empresa a funcionar quando mais precisas.

Para uma análise completa dos resultados do inquérito, descarrega o relatório A Nova Geração de Riscos e consulta a solução de Continuidade e Resiliência Empresarial da Riskonnect.