Num mundo volátil, a resiliência é um pré-requisito cada vez mais crítico para o desempenho empresarial. A pandemia COVID-19 causou um choque maciço na saúde pública, com consequências humanas terríveis, destaca a McKinsey, num artigo sobre a gestão de risco e a resiliência estratégica.
Como aponta, a crise tem demonstrado dramaticamente a sensibilidade das economias aos choques da procura, bem como as vulnerabilidades da indústria às perturbações da cadeia de abastecimento.
Além disso, a propagação da pandemia num ambiente definido pela aceleração das alterações climáticas e a procura cada vez mais urgente de reduzir as emissões de gases com efeito de estufa.
Para além das pressões da saúde pública e ambientais, as organizações estão sujeitas a muitos desafios empresariais, incertezas societais, e tensões geopolíticas.
As correntes perturbadoras incluem a aceleração da digitalização, ameaças cibernéticas, e inflação e volatilidade dos preços. O ritmo dinâmico da mudança torna as perturbações difíceis de prever, mesmo quando crescem em gravidade e frequência. As empresas de todas as indústrias precisam, assim, de planear o inesperado e desenvolver as suas capacidades de resposta com antecedência.
A crise pandémica também revelou o verdadeiro valor da gestão da resiliência aos líderes empresariais. Reconheceram que os seus planos de contingência de crise foram fundamentais para a gestão através da crise. Embora a magnitude da pandemia e os seus efeitos dominó não fossem geralmente previstos, os processos e procedimentos que as empresas tinham em vigor provaram estar (ou não) em condições muito difíceis.
Importância da gestão de risco
A McKinsey apoiou recentemente a Federation of European Risk Management Associations (FERMA) num inquérito abrangente sobre o impacto da pandemia na resiliência empresarial.
O inquérito obteve respostas de mais de 200 altos executivos e profissionais de riscos e seguros, reflectindo uma vasta gama de sectores industriais e países. O inquérito procurou obter opiniões sobre a relevância para as organizações, as capacidades para gerir a resiliência estratégica, e a importância da resiliência em e através das funções corporativas, incluindo estratégia, operações, e risco.
Os executivos revelaram que, no passado, o seu foco de gestão do risco era um pequeno número de riscos bem definidos, principalmente riscos financeiros. Disseram-nos que agora, o risco abrange um espectro mais amplo da gestão da resiliência. Está ligado ao desenvolvimento de estratégias a longo prazo em organizações de topo, ajudando as empresas a navegar num ambiente operacional muito mais dinâmico.
Quase 60% dos inquiridos consideram que as suas organizações têm excelentes ou muito boas capacidades de resiliência, o que significa que estão bem equipadas para construir e gerir a resiliência em geral. Em parte, esta é uma resposta directa à pandemia, o que alargou a visão dos líderes sobre a função de risco para além de um ou dois riscos específicos. Mais de metade dos inquiridos reconhecem que a pandemia global tornou o risco e a resiliência significativamente mais importantes para as suas organizações.
Entre as áreas específicas de resiliência, as empresas concentram-se claramente na segurança no local de trabalho e no trabalho remoto na gestão através da pandemia. Mais de 75% dizem que as medidas de implementação nestas duas áreas estão largamente concluídas. Cinquenta e dois por cento dos inquiridos afirmam que, para as suas organizações, as capacidades mais eficazes estão implementadas para gerir a resiliência financeira.
Ao mesmo tempo, os executivos informaram que há margem para melhorias. A gestão das operações comerciais e da cadeia de abastecimento surgiram como pontos fracos durante a pandemia. Muitas empresas ainda não implementaram plenamente novas medidas correctivas. Os executivos de topo afirmam que o risco ainda está principalmente envolvido na resposta a crises.
“Estamos a aprender com a crise, revendo, por exemplo, o nosso processo de avaliação de fornecedores”, disse o director de risco de uma empresa em Itália. “No passado, concentrámo-nos principalmente no impacto financeiro, mas desde então adoptámos uma visão holística, analisando a pegada geográfica e as questões de conformidade, entre outros factores”. Os resultados do inquérito incluíram estas conclusões:
Quase dois terços das empresas respondentes afirmaram que a resiliência é central no processo estratégico das suas organizações – seja como prioridade máxima, seja em grande medida. Os gestores de riscos e seguros estão fortemente envolvidos nas áreas de resiliência, incluindo a resiliência operacional e a resiliência digital e tecnológica. Para além destas duas áreas, as finanças e as operações foram mais frequentemente citadas pelos inquiridos como as quatro áreas de resiliência mais importantes.
As capacidades de previsão (cenários e testes de stress) emergiram como uma das áreas fulcrais para a melhoria. As empresas foram divididas na sua utilização de cenários e exercícios de testes de esforço.
Cerca de metade dos executivos raramente ou nunca as utilizam na tomada de decisões estratégicas, e metade utilizam-nas frequentemente ou em todos os exercícios de risco e resiliência.
A pandemia continua a salientar a necessidade de infra-estruturas técnicas seguras e flexíveis e a forte intersecção da digitalização dentro de outras áreas de resiliência, incluindo a implementação de processos de trabalho a partir de casa.
As funções de risco e as equipas executivas desempenham papéis de liderança na construção de uma organização resiliente, muito mais do que as equipas de estratégia. No entanto, os gestores de risco não estão ainda no centro da resolução de crises em todos os momentos.
Um melhor modelo de governação de risco é fundamental para uma tomada de decisão eficiente e eficaz e para a gestão de crises.
Para reforçar a resiliência no futuro, a maioria dos gestores de risco (75%) acredita que as acções mais importantes serão a melhoria da cultura de risco e o reforço da integração da resiliência no processo estratégico.
Outras áreas importantes são uma melhor agregação de dados e relatórios de risco e capacidades de previsão mais avançadas. Os executivos também querem revisitar a governança do risco e irradiar uma melhor compreensão do papel crítico que a função de risco desempenha.
O desafio agora é sair de um modo reactivo de resposta a crises e integrar o risco com outras funções nucleares numa base mais permanente.
Do mesmo modo, ao orientarem as suas organizações na transição da gestão de crises e riscos para a resiliência, os gestores de topo podem enfatizar a governação de riscos e a agregação de dados de risco para desenvolver melhores capacidades de informação e previsão.
O risco tem um papel fundamental a desempenhar e deve associar-se à estratégia e à equipa executiva para orientar as organizações na transição da gestão do risco e da crise para a resiliência.
Da resposta à crise a uma estratégia de resiliência holística
Como muitas crises, a pandemia revelou vulnerabilidades ocultas nas organizações e fraquezas nas suas capacidades de resposta.
Os executivos tiveram de responder rapidamente a uma variedade de desafios emergentes nas operações, incluindo descontinuidades da força de trabalho e questões da cadeia de abastecimento que envolviam carências críticas e barreiras logísticas.
Os decisores aprenderam a valorizar dados oportunos e perspicazes à medida que definiam prioridades e acções sob condições de stress.
O inquérito FERMA-McKinsey revelou alguns bons exemplos de respostas resilientes aos desafios imediatos provocados pela pandemia:
Desafios operacionais e da cadeia de abastecimento. Muitas empresas permitiram soluções digitais, incluindo análises avançadas, para questões da cadeia de abastecimento desde o início da crise. Uma empresa líder mundial de consumo melhorou a fiabilidade da sua cadeia de abastecimento ao avançar para a manutenção preditiva da sua maquinaria; outra empresa global aplicou tecnologia de IA de próxima geração para monitorizar e identificar padrões de encomendas invulgares e responder em conformidade; uma empresa de energia aplicou um plano de digitalização inteligente da cadeia de abastecimento para proporcionar a continuidade do negócio. À medida que a crise evoluía, a procura de carga aumentava e os portos ficavam congestionados. Algumas empresas tomaram medidas ousadas em resposta: um gigante das bebidas transferiu algumas operações do seu transporte de contentores para navios graneleiros; os retalhistas de caixas grandes começaram a alugar os seus próprios contentores e a fretar navios.
Desafios tecnológicos. Durante a pandemia, os ciberatacantes têm tirado partido das vulnerabilidades de segurança criadas na mudança para operações de trabalho a partir de casa. Em resposta, muitas organizações reforçaram as defesas, colmatando potenciais lacunas antes que os criminosos possam comprometer as redes. Algumas empresas fizeram investimentos significativos nas suas capacidades, por vezes contratando peritos; gigantes tecnológicos e outras empresas globais também adquiriram empresas de cibersegurança de menor dimensão.
Desafios organizacionais. No início da crise, era necessário escalar e implementar disposições de trabalho à distância para o trabalho de escritório, enquanto os trabalhadores no local precisavam de medidas de segurança adequadas, incluindo testes e equipamento de protecção. O registo para o trabalho no local tem sido irregular, especialmente no início da pandemia, e muitas lições deveriam ser incorporadas em planos futuros. A mudança do escritório para casa, contudo, foi tratada com pronta competência por muitas grandes empresas. A força de trabalho remota exigiu uma nova estratégia cibernética, alargando o escudo de segurança para os pontos finais remotos nas casas das pessoas. Os líderes exploraram então vias para evitar a fragmentação da cultura organizacional, manter um elevado desempenho, e apoiar a saúde e o bem-estar da força de trabalho à distância.
Para além destas acções frequentemente bem executadas, contudo, poucas empresas adoptaram uma perspectiva estratégica abrangente para enfrentar os desafios da próxima perturbação no horizonte.
No entanto, é isto que as organizações precisam de fazer se quiserem girar durante as crises e acelerar para o novo ambiente definido pela crise.
A orientação necessária é pró-activa, baseada numa perspectiva empresarial, e vai além de uma abordagem reactiva e de segunda linha de defesa à incerteza.
Para construir resiliência na sua tomada de decisões estratégicas a longo prazo, as organizações precisam de desenvolver certas capacidades multifuncionais e reforçar a resiliência em várias áreas estratégicas.
Capacidades abrangentes e áreas centrais de resiliência
As capacidades abrangentes incluem capacidades de previsão e de perturbação e prontidão de resposta a crises.
Para desenvolver capacidades de previsão, as organizações recolhem e estudam os dados relevantes, desenvolvem cenários pertinentes para descobrir lacunas na resiliência, e utilizam este método para antecipar e preparar-se para futuras crises.
As capacidades adequadas de resposta a crises podem então ser prosseguidas: aquelas que podem ser desenvolvidas e implementadas com antecedência, para serem aplicadas rápida e eficazmente em caso de rupturas.
Estas capacidades – tais como reforço financeiro, melhor segurança (seja para TI e software ou activos físicos), flexibilidade do mercado, e opcionalidade – podem, por concepção, criar uma vantagem competitiva que impulsiona um desempenho superior ao longo do próximo ciclo industrial.
As áreas nucleares de resiliência podem ser agrupadas da seguinte forma:
Resiliência financeira. As instituições devem equilibrar os objectivos financeiros a curto e a longo prazo. Uma sólida posição de capital e liquidez suficiente permitem às organizações resistir a quedas rápidas de receitas, aumento de custos, ou questões de crédito. As empresas resilientes são capazes de alcançar margens superiores, aumentando as receitas mais do que controlando os custos.
Mas a investigação da McKinsey sugere também que as empresas resilientes de amanhã são mais propensas a ser as que impulsionam o crescimento do valor acrescentado, equilibrando ao mesmo tempo a opcionalidade (crescimento dos lucros retidos) do que as que concentram a maior parte da sua atenção na manutenção das margens operacionais à custa de outras medidas proporcionais.
Resiliência operacional. As organizações resilientes mantêm uma capacidade de produção robusta, que pode ser pivot para responder a mudanças na procura ou permanecer estável face a perturbações operacionais, tudo isto sem sacrificar a qualidade.
Também fortificam tanto as suas cadeias de fornecimento como os mecanismos de entrega para manter a capacidade operacional e o fornecimento de bens e serviços aos clientes, mesmo sob tensão de todas as formas, desde falhas de fornecedores ou distribuidores individuais até catástrofes naturais e eventos geopolíticos.
Resiliência tecnológica. As empresas resilientes investem em infra-estruturas fortes, seguras e flexíveis para gerir as ameaças cibernéticas e evitar falhas tecnológicas. Mantêm e utilizam dados de alta qualidade de forma a respeitar a privacidade e evitar enviesamentos, cumprindo todos os requisitos regulamentares.
Ao mesmo tempo, implementam projectos de TI tanto grandes como pequenos – de alta qualidade, dentro do prazo, do orçamento e sem avarias – para acompanhar as necessidades dos clientes, as exigências competitivas e os requisitos regulamentares.
Se algo correr mal, eles mantêm uma sólida continuidade de negócio e capacidade de recuperação de desastres, evitando interrupções de serviço para os clientes e operações internas.
Resiliência organizacional. As empresas resilientes são capazes de atrair e desenvolver talento em áreas críticas para o seu crescimento futuro; onde muitas outras falham, encontram uma forma de assegurar as pessoas procuradas – com escassa capacidade analítica ou de cibersegurança, por exemplo.
Tais organizações fomentam uma força de trabalho diversificada onde todos se sentem incluídos e podem ter o seu melhor desempenho. Recrutam deliberadamente os melhores talentos, desenvolvem esses talentos de forma equitativa, e aumentam ou reescalonam de forma flexível e rápida. Implementam processos de pessoas fortes que são livres de preconceitos e mantêm planos de sucessão robustos em toda a organização. A cultura e o comportamento desejado reforçam-se mutuamente, apoiados por regras e normas ponderadas que promovem uma tomada de decisão rápida e ágil.
Resiliência reputacional. Instituições resilientes alinham valores com acções e palavras. Uma vasta gama de intervenientes – funcionários, clientes, reguladores, investidores e sociedade em geral – responsabilizam as empresas pelas suas acções, promessa de marca, e postura em questões ambientais, sociais e de governação (ESG). A resiliência exige uma forte missão, valores e objectivos que orientem as acções. Requer também flexibilidade e abertura na escuta e comunicação com as partes interessadas, antecipando e respondendo às expectativas da sociedade, e respondendo genuinamente às críticas ao comportamento firme.
Resiliência do modelo empresarial. Organizações resilientes desenvolvem modelos de negócio que podem adaptar-se a mudanças significativas na procura dos clientes, ao panorama competitivo, às mudanças tecnológicas, e ao terreno regulamentar. Isto envolve a manutenção de uma carteira de inovação e a valorização do empreendedorismo. Especialmente em tempos de crise, as organizações resilientes são capazes de adaptar os modelos de negócio ao ambiente dinâmico e incerto.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.