A pandemia de Covid-19 foi “mais um fenómeno que veio pôr à prova a preparação das empresas face ao risco avança José Miguel Baptista, Head of Risk Management, da Willis Towers Watson Portugal. Como avança à Security Magazine, a estratégia de gestão de risco deve assentar na revisão periódica de riscos e respectivos controlos e na existência de um Plano de Continuidade de Negócio adaptado às caraterísticas, actividade e dimensão de cada empresa.
Security Magazine – Que desafios colocou a actual pandemia às empresas nacionais, nomeadamente no que toca à gestão de risco?
José Miguel Baptista – Os riscos acompanham o nosso dinamismo enquanto pessoas, enquanto empresas. À medida que vamos inovando processos, que nos expandimos para novos mercados ou produtos, somos confrontados com novas e diferentes formas de risco.
Estes riscos surgem em todas e quaisquer áreas: Recursos Humanos, Legal e Regulatória, Financeira, Estratégica, Operacional, Ambiental, etc.
A pandemia de Covid-19 foi mais um fenómeno que veio pôr à prova a preparação das empresas face ao risco. Se é certo que muitas souberam reinventar os seus métodos para continuarem a operar, também é verdade que as que já possuíam uma cultura de risco e que tinham implementadas metodologias de revisão, identificação e mitigação de riscos foram mais ágeis na sua reacção, logo, minimizando perdas.
A Covid-19 trouxe a novidade de ser um cisne negro – fenómeno de probabilidade muitíssimo baixa mas com um impacto extremamente elevado – com impacto global o que provocou, e continua a provocar, por exemplo, disrupções nas cadeias de abastecimento.
Se é certo que cisnes negros devem ser considerados pelas empresas nos seus mapas de risco (e na maior parte das vezes isso não acontece), também devem estar perfeitamente mitigados todos os riscos que pressuponham uma interrupção da atividade.
Se estivermos a falar da interrupção de abastecimento de um produto crítico para a empresa, esses planos de mitigação poderão ser a diferença entre a sua viabilidade futura e o seu desaparecimento.
Os grandes desafios ou, vendo por outra perspectiva, as lições que surgiram com a Covid-19 em matéria de gestão de risco, são encarar esta gestão como naturalmente dinâmica; com a necessidade de se reverem periodicamente os riscos identificados, de se avaliarem os mesmos e de se estabelecerem os respectivos planos de mitigação. Outro desafio, ou lição, passa por tornar as organizações mais resilientes e preparadas para enfrentar paragens de actividade.
Sobre este último ponto, os planos de contingência que existem e que foram postos em prática são excelentes formas de responder a uma crise, mas não são suficientes.
Devemos dar um passo em frente nesta área prevendo, planeando e formalizando a restauração da actividade nos tempos previamente definidos, ou seja, há que evoluir para um Plano de Continuidade de Negócio.
Em suma, o grande desafio passa pela preparação prévia e não confiar no poder de improviso. Apesar deste último poder ter sido suficiente no passado, em incidentes futuros o planeamento atempado e os controlos que daí surjam podem ser a diferença entre uma resposta atempada ou tardia, entre a sobrevivência da empresa ou o seu desaparecimento.
Em temos de incerteza, como a que atravessamos actualmente, que estratégias devem adoptar as empresas para melhor gerir os riscos actuais e futuros?
A melhor ferramenta é encarar o risco não como algo que se deve evitar, mas como algo que é natural porém tem de ser controlado.
Por outro lado, deve-se criar essa cultura dentro da empresa, de forma transversal, para que cada colaborador tenha por hábito não só identificar os riscos inerentes à sua área, mas também avaliá-los devidamente, sem medo de se expor ou sem preconceitos que se houver um risco severo tal seja interpretado que o seu trabalho não tem sido competente.
A qualidade do trabalho em matéria de gestão de risco deve ser avaliada pela qualidade dos planos de mitigação e não da severidade cada risco.
Assim, a estratégia de gestão de risco deve assentar em dois pontos: na revisão periódica de riscos e respectivos controlos; na existência de um Plano de Continuidade de Negócio adaptado às caraterísticas, actividade e dimensão de cada empresa.
Os cenários de incerteza que hoje atravessamos, por exemplo, a disrupção nas cadeias de abastecimento, vêm apenas reforçar essa necessidade de trabalho prévio de forma a quando algum dos riscos se materializar existam condições para restabelecer a atividade da empresa, operando dentro dos limites mínimos exigíveis, no menor curto espaço de tempo. Estes dois parâmetros devem estar perfeitamente definidos e de acordo com os objectivos da empresa.
Só assim, conseguimos não só estar preparados para enfrentar algum incidente mas também alocar os recursos disponíveis de uma forma racional e eficiente, minimizando os custos inerentes à implementação dos controlos que sejam necessários.
Em que medida, a Willis Towers Watson pode ajudar as empresas nestes actuais desafios?
A Willis Towers Watson conta com uma equipa de consultores certificados nas áreas de Mapeamento de Riscos e de Continuidade de Negócio com experiência adquirida há mais de uma década pela realização de dezenas de projetos de consultoria de Gestão de Risco.
É através desta experiência que auxiliamos os nossos clientes a desenvolverem os seus sistemas de gestão de risco e modelos de governação para, desse modo, a aumentarem o seu grau de preparação face a eventuais incidentes. Por outro lado, uma vez que o trabalho inicial passa pela classificação dos riscos e consequente priorização de medidas, consegue-se uma otimização de recursos, alocando-os às ações imediatas em detrimento do que não é urgente.
Esta sistematização traduz-se então nestes dois ganhos para as empresas: minimização de perdas em caso de um incidente e optimização de recursos inerentes aos planos de mitigação.
Também pretendemos estar na vanguarda da identificação e mitigação de riscos emergentes dos quais o risco cibernético é um excelente exemplo.
Este risco em concreto, face ao conjunto complexo de exposições que lhe estão inerentes, aconselha as organizações a implementarem um plano de segurança cibernética totalmente integrado e abrangente que trate de todo o espectro de riscos. Tendo isto em mente, a nossa abordagem foi projectada para gerir com eficácia o risco cibernético em toda a empresa de forma a desenvolver a sua resiliência.
Em vez de focar um aspeto específico, criámos uma gama completa de soluções cibernéticas projectadas para testar hipóteses e ajudar os nossos clientes a otimizar sua resiliência face a um incidente cibernético. Essas soluções de diagnóstico e avaliação analisam, em primeiro lugar, as vulnerabilidades cibernéticas e incluem avaliações abrangentes de risco, análises cibernéticas, workshops de resposta a incidentes e assessoria em caso de um evento.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.