Há vários anos, a BT decidiu atualizar o seu sistema de gestão de riscos e controlos com uma abordagem coesa que melhorasse a visibilidade em toda a organização e fornecesse dados credíveis e atempados à equipa de liderança sénior e ao conselho de administração.
DESAFIO
O BT Group é o principal fornecedor de comunicações fixas e móveis do Reino Unido, incluindo serviços de banda larga, comunicações móveis, segurança, televisão, redes e TI. Com operações em 180 países e mais de 100.000 funcionários, a organização tem uma estrutura complexa, o que tornava difícil avaliar a verdadeira imagem da sua exposição ao risco.
Simultaneamente, o Código de Governo das Sociedades do Reino Unido revisto exigirá que, até 2026, os conselhos de administração determinem o que consideram ser riscos e controlos importantes e decidam o nível de supervisão e garantia de que necessitam para declarar a eficácia dos controlos importantes no relatório e contas anuais.
“Era evidente que havia espaço para melhorar a abordagem à gestão do risco. Precisávamos de um quadro que proporcionasse aos responsáveis pela gestão e supervisão do risco os processos e a estrutura para o fazer. Era vital que a estrutura o fizesse de forma consistente e eficaz, ajudando a apoiar decisões de qualidade e a dar importantes sinais de alerta precoce, caso algo estivesse prestes a correr mal”, recorda Dan Maclennan, diretor de risco do grupo BT. “Decidimos redesenhar o processo a partir do zero.”
Mas havia um potencial ponto de discórdia: a nova estrutura foi feita sob medida para a BT e tinha um processo de relatório de risco muito personalizado, juntamente com suas próprias convenções de nomenclatura que eram críticas para manter. Muitos estavam cépticos quanto à possibilidade de um novo sistema replicar a estrutura e produzir os relatórios exigidos pelo conselho de administração.
SOLUÇÃO
A BT recorreu à Riskonnect para fornecer uma plataforma para dar vida a esta estrutura, integrando todas as actividades de risco, controlo e garantia. O projeto começou com a implementação da solução de Gestão de Risco Empresarial da Riskonnect, seguida das soluções de Controlo Interno e Auditoria.
“Escolhemos o Riskonnect porque é muito configurável”, explica Maclennan. “A filosofia por trás de nossa abordagem era criar uma comunidade focada em riscos, incluindo profissionais de gerenciamento de riscos corporativos, controle e garantia. Com o Riskonnect, conseguimos reunir tudo numa única estrutura.”
É importante referir que a BT pôde continuar com a sua metodologia estabelecida de risco, controlo e garantia. A distinção entre “riscos duradouros” e “riscos dinâmicos”, por exemplo, é a pedra angular do seu programa de risco. Os riscos duradouros são aqueles que persistem ao longo do tempo e que vale a pena investir na estrutura de controlos e processos para uma mitigação a longo prazo. Os riscos dinâmicos são riscos significativos “do momento” e incertezas que surgem, que não podem ser mitigados através da estrutura de controlo existente e requerem uma resposta específica.
Um grande passo foi a criação do modelo de dados para alimentar os relatórios. A equipa passou mais de um ano a definir os seus riscos permanentes – saúde e segurança, cibernética, proteção de dados, etc. – mapeando controlos e atribuindo responsabilidades. “Demorou esse tempo para obter resultados significativos”, diz Maclennan.
Os dados de todos os riscos permanentes e seus controles correspondentes estão agora armazenados no Riskonnect para mostrar como esses riscos se manifestam em toda a organização. Os proprietários dos controles e os provedores de garantia têm acesso total ao sistema para realizar suas atividades. Outros podem fornecer atualizações por meio de um portal, o que facilita a participação de mais pessoas no processo.
RESULTADOS
Com o Riskonnect, a BT realizou o que alguns pensavam ser uma jornada sem fim: Todos os dados de risco, controlo e garantia estão agora num único quadro para uma melhor visibilidade – e a sua estrutura de risco única foi preservada.
“A estrutura molda a forma como cada área de risco especializada é gerida”, afirma Maclennan. “Muitas partes da empresa já estavam a fazer um bom trabalho, mas não de uma forma consistente que facilitasse a monitorização de todo o panorama e a definição de prioridades quando necessário. Cada área tem agora uma responsabilidade e uma estrutura claras, o que ajuda todos a fazerem o seu trabalho de forma mais eficaz.”
Os encargos administrativos foram eliminados e os relatórios foram simplificados e melhorados para uma visão de ponta a ponta. “Precisamos de ver muitos aspectos diferentes do risco, desde o mais ínfimo pormenor até à visão a nível do conselho de administração. Isso pode ser um campo minado”, diz ele. “A solução fornecida pela Riskonnect permitiu que nossa estrutura fizesse isso acontecer.”
O Riskonnect apresenta os dados corretos em relatórios automatizados que fornecem à diretoria uma linha de visão dos riscos grandes e complexos. Os líderes podem escolher uma categoria – por exemplo, cibernética – e executar um relatório que mostra a eficácia dos controlos. “Temos visibilidade de todo o cenário”, diz Maclennan.
A existência de um quadro também define as normas em relação às quais tudo pode ser avaliado para dar prioridade aos recursos, à concentração e ao orçamento. Vê o risco cibernético, por exemplo. “A nossa equipa de cibersegurança tem estado na vanguarda da adoção do quadro e da ferramenta Riskonnect, que está agora a ser utilizada para monitorizar a nossa exposição e acompanhar as acções para reforçar continuamente a nossa postura de segurança”, explica Maclennan.
A BT tem sido bem sucedida na superação de qualquer resistência persistente a um novo sistema. “Recebemos um bom feedback”, observa Maclennan. “As pessoas podem realmente ver os benefícios de usar o Riskonnect.”
E isso, por sua vez, está a influenciar a cultura. “Nas reuniões, ouço as pessoas referirem-se a riscos pontuais e riscos emergentes. Começa a fazer parte do nosso vernáculo.”
Embora a conformidade com os novos regulamentos não fosse inicialmente uma prioridade máxima, o novo quadro está bem alinhado com os requisitos. “Preparámo-nos inadvertidamente e estamos em muito boa posição para cumprir os requisitos de controlo reforçados do Código de Governo das Sociedades do Reino Unido, porque já estávamos a caminhar nessa direção.”
“O Riskonnect está a promover o nosso objetivo de ajudar o Grupo BT a ser inteligente com o risco e a tomar decisões informadas”, afirma Maclennan.
Para saber mais sobre como gerenciar riscos de forma holística, faz o download do nosso ebook, Governance, Risk, and Compliance: O Guia Definitivo, e confere as soluções de software GRC da Riskonnect.
