Por que as organizações precisam medir a resiliência
Por Neil Hodge | Revista Risk Management - RIMS
Medindo a resiliência organizacional
Os eventos dos últimos anos demonstram o quão importante é para as empresas serem resilientes. A interrupção operacional e a turbulência econômica geral da pandemia, os riscos geopolíticos causados pela invasão da Ucrânia pela Rússia, a guerra Israel-Hamas e as crescentes tensões do Ocidente com a China, a insegurança energética e a crescente frequência de desastres naturais causados pelas mudanças climáticas destacam a necessidade de as organizações priorizarem o planejamento de contingência e a continuidade dos negócios.
No entanto, pode haver uma incompatibilidade entre a importância que as organizações dão à resiliência e as etapas que elas realmente tomam para serem resilientes. Uma pesquisa recente da SAS com executivos seniores revelou uma "lacuna de resiliência", com 97% dos executivos dizendo que acreditam que a resiliência é importante, mas apenas 47% percebendo sua empresa como resiliente. Apenas um quarto das empresas pesquisadas foram consideradas "altamente resilientes".
Ao mesmo tempo, as empresas estão sob crescente pressão de reguladores, investidores e outras partes interessadas para divulgar quais medidas estão tomando para melhorar sua resiliência e fornecer garantias de que podem continuar a entregar bens e serviços apesar dos desafios globais e locais. Como resultado, os profissionais de risco precisam determinar as melhores maneiras de avaliar e relatar o nível de resiliência de sua organização diante do risco, incluindo a identificação das métricas que podem contar sua história de forma mais eficaz e garantir aos constituintes que o negócio está preparado para os riscos que pode enfrentar.
O valor dos relatórios de resiliência
Há uma série de padrões voluntários reconhecidos globalmente para medir e relatar resiliência. Por exemplo, a ISO 22301:2019 se relaciona com segurança e resiliência para sistemas de gerenciamento de continuidade de negócios; a ISO 27001:2017 é para resiliência de informações; e a ISO 22316:2017 fornece orientação para aprimorar a resiliência organizacional para qualquer tamanho ou tipo de organização. Além disso, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) desenvolveu uma estrutura que ajuda as organizações a gerenciar e reduzir riscos de segurança cibernética e melhorar a resiliência de TI, ao mesmo tempo em que promove uma comunicação eficaz sobre segurança cibernética dentro da organização e com partes interessadas externas.
Da mesma forma, o COSO Framework, fornecido pelo Committee of Sponsoring Organizations of the Treadway Commission, ajuda a demonstrar resiliência operacional avaliando controles internos e garantindo a integridade dos relatórios financeiros. Para instituições financeiras, as Diretrizes do Financial Stability Board (FSB) sobre Resiliência Operacional são projetadas especificamente para aprimorar a capacidade das empresas de serviços financeiros de resistir e se recuperar de interrupções operacionais severas, concentrando-se em manter funções críticas sob pressão.
Embora úteis como ponto de partida, especialistas alertam que tais padrões podem ter uso limitado no geral. “A certificação formal com padrões da indústria não garantirá 100% de garantia de resiliência”, disse Steve Richardson, diretor de inovação em resiliência da empresa de software Fusion Risk Management.
No entanto, uma divulgação melhor e mais profunda sobre medidas de resiliência continua importante. “Relatar contra posturas de resiliência é uma oportunidade de evangelizar o investimento contínuo da organização em proteger a confiança de seus clientes e stakeholders, pois a organização está preparada para lidar com interrupções inesperadas, identificou riscos e vulnerabilidades importantes para a entrega de produtos e serviços importantes e está executando planos de remediação”, disse Richardson.
Ele acrescentou que relatar o progresso em relação às iniciativas de resiliência também pode destacar oportunidades de criação de valor — como a rapidez com que a organização pode se expandir para novos mercados e regiões geográficas — bem como identificar mudanças na eficiência operacional para melhorar as experiências do cliente.
“Clientes atuais e futuros estão esperando cada vez mais de seus provedores em relação a medidas de resiliência e redução de risco”, disse Richardson. “Portanto, os provedores estão vivenciando níveis maiores de escrutínio e diligência dos clientes em relação às suas capacidades de risco e resiliência. Relatórios formais podem criar oportunidades de diferenciação no mercado, à medida que os clientes avaliam as abordagens e os investimentos dos concorrentes em risco e resiliência. Como resultado, as organizações devem revisar consistentemente seus programas para garantir o alinhamento com as melhores práticas em evolução para reforçar sua narrativa e credibilidade em relação ao gerenciamento de risco e resiliência.”
Stuart Swindell, diretor de estratégia de risco e conformidade de terceiros na empresa de dados empresariais Dun & Bradstreet, concordou que relatar riscos publicamente "é uma parte essencial da criação de um ecossistema empresarial forte e saudável que esteja em conformidade com as regulamentações e mitigue ameaças potenciais às operações". No entanto, relatar sobre resiliência é irregular, disse ele, porque, embora muitas empresas possam aderir aos padrões ISO ou orientações semelhantes, atualmente há pouca ou nenhuma exigência para relatar sua resiliência ou os riscos individuais que suas organizações enfrentam no curto, médio ou longo prazo.
No entanto, isso está mudando lentamente. “O relato de riscos e considerações ESG está rapidamente se tornando um processo formalizado em muitos países, o que pode abrir caminho para outros critérios de relato baseados em resiliência no futuro”, disse ele. “No entanto, esses critérios provavelmente serão diferentes dos padrões ISO, que são binários — sua empresa está em conformidade ou não.”
Swindell acredita que, fundamentalmente, todas as empresas devem se esforçar para relatar seus riscos e sua resiliência a eles, independentemente de tal dever ser imposto por um órgão governamental. “Ao desenvolver uma compreensão abrangente dos riscos do seu negócio, você criará um ambiente operacional resiliente. E embora inevitavelmente haja riscos que ocorrem e que não foram planejados, ao colocar em prática as melhores práticas e uma compreensão do negócio orientada por dados, até mesmo riscos inesperados serão de alguma forma mitigados”, disse ele.
“No final das contas, as empresas que são bem administradas continuarão a ser bem administradas e continuarão a manter um bom nível de governança, independentemente de os padrões de relatórios ou outros critérios mudarem”, disse Swindell. “Para as empresas que enfrentam dificuldades, no entanto, é crucial que elas entendam seus ativos de dados e desenvolvam uma visão abrangente de suas cadeias de suprimentos. Isso ajudará muito a aderir aos padrões ISO existentes e, eventualmente, a entender sua própria resiliência.”
Medindo a resiliência de forma eficaz
Alguns especialistas acreditam que os padrões da indústria podem significar apenas conformidade, em vez de fornecer uma visão "real" do nível de resiliência de uma empresa. Portanto, as organizações devem usar uma série de outras métricas tangíveis.
Bassem Mostafa, analista líder de mercado e proprietário da consultoria empresarial Globemonitor, disse que as empresas estão cada vez mais observando o quão bem gerenciam a continuidade dos negócios como uma forma de medir e relatar sua resiliência. Por exemplo, as organizações estão rastreando seu objetivo de tempo de recuperação (RTO) e objetivo de ponto de recuperação (RPO), que medem o tempo necessário para retomar as operações e a quantidade de perda de dados tolerada durante uma interrupção, respectivamente. Elas também estão conduzindo simulações regulares de testes de estresse para avaliar como elas se sairiam em vários cenários de crise, ajudando a identificar vulnerabilidades e áreas para melhoria.
Mostafa disse que os profissionais de risco podem desempenhar um “papel fundamental” nos esforços de resiliência de uma organização, particularmente porque são centrais para identificar quais recursos são necessários para garantir a continuidade e a recuperação dos negócios; como os planos devem ser testados, avaliados e atualizados; e como as estratégias resultantes devem ser colocadas em ação. Além disso, os profissionais de risco são centrais para o processo de integração da resiliência na cultura corporativa. Isso ocorre porque eles geralmente são encarregados de promover a conscientização sobre a resiliência em toda a organização e garantir que os funcionários em todos os níveis entendam seus papéis na manutenção e no aprimoramento da resiliência.
“Ao relatar sobre resiliência, os gerentes de risco contribuem com insights e dados valiosos”, disse Mostafa. “Eles frequentemente lideram o processo de compilação e análise de métricas de resiliência, garantindo que os relatórios sejam abrangentes, precisos e reflitam o verdadeiro estado de resiliência da organização. Além disso, eles estão envolvidos no monitoramento e melhoria contínuos das estratégias de resiliência. Eles se mantêm a par de novos desenvolvimentos, melhores práticas e ameaças em evolução, ajustando a abordagem da organização à resiliência conforme necessário.”
Alguns outros especialistas acreditam que as métricas financeiras de uma empresa podem ser um bom indicador de resiliência. “Padrões da indústria como índices de dívida e fluxo de caixa são úteis”, disse Michael Ashley Schulman, sócio e diretor de investimentos da empresa de serviços profissionais Running Point Capital Advisors, sediada nos EUA. “No entanto, eles devem ser analisados não apenas em uma base absoluta, mas também em relação aos pares e normas da indústria. Algumas indústrias, especialmente aquelas com melhor fluxo de caixa, tendem a operar em níveis de dívida mais altos, por exemplo.”
De acordo com Schulman, algumas das principais métricas que as partes interessadas devem considerar são baixas taxas de dívida para patrimônio líquido, porque isso indica uma estrutura financeira mais saudável e permite à empresa mais flexibilidade durante tempos desafiadores, ou fluxo de caixa positivo forte e consistente, pois isso pode refletir uma capacidade de cumprir obrigações de curto prazo e investir em crescimento futuro. Empresas em setores como varejo e hospitalidade já estão relatando mais sobre suas posições de liquidez, reservas de caixa e estruturas de dívida, refletindo um foco maior na estabilidade financeira.
Ele acrescentou que é tão importante entender a resiliência operacional quanto “manter as operações durante e após uma interrupção é crítico para qualquer empresa em qualquer local”. A resiliência operacional pode ser medida de várias maneiras: rastreando o tempo que leva para se recuperar de uma interrupção; a porcentagem de sistemas críticos que permanecem operacionais durante uma interrupção; e o número de interrupções que ocorrem em um determinado período de tempo. Ela também pode ser medida por meio de gastos com pesquisa e desenvolvimento e investimento em inovação porque tais gastos indicam o comprometimento de uma empresa em permanecer competitiva e se adaptar às mudanças nas demandas do mercado.
No entanto, Schulman alertou contra a avaliação de riscos futuros buscando lições de eventos catastróficos ou disruptivos anteriores. “As empresas podem alegar resiliência a eventos climáticos 'que ocorrem uma vez a cada cem anos', mas ao analisar riscos, esse tipo de perspectiva histórica pode ser inútil em uma era de mudanças climáticas globais que alteram os padrões de temperatura, vento, chuva e inundação”, disse ele. “É preciso mergulhar mais fundo na flexibilidade corporativa, redundâncias e resistência para entender a resiliência operacional e financeira para obter algo significativo. Os gráficos comuns de desvio padrão de risco me fazem rir. Posso pensar em inúmeros riscos situacionais e institucionais que não se encaixam em um desvio padrão claro. Ou está tudo bem, ou algo explode.”
Nicholas Tate, proprietário do site de serviços jurídicos do Reino Unido Injury Claims, também acredita que mostrar resiliência por meio de métricas operacionais é um método eficaz. Um foco em adaptabilidade, escalabilidade e eficiência pode destacar a capacidade de uma empresa de se adaptar em resposta a mudanças de mercado, enquanto métricas como flexibilidade da cadeia de suprimentos, tempo de lançamento de novos produtos ou serviços no mercado e a capacidade de se ajustar rapidamente às mudanças nas demandas dos clientes podem ressaltar a resiliência de uma empresa diante de circunstâncias imprevistas.
As taxas de satisfação e retenção dos funcionários também são métricas críticas, pois uma força de trabalho motivada e estável contribui significativamente para a capacidade de uma empresa de navegar pelos desafios e sustentar o sucesso a longo prazo. Alguns setores também podem priorizar algumas métricas em detrimento de outras. No setor de tecnologia, por exemplo, dar um prêmio à segurança digital e à integridade dos dados é crucial, enquanto a resiliência da cadeia de suprimentos pode ter precedência em setores como a manufatura. “Ao monitorar e melhorar consistentemente essas métricas, as empresas podem fornecer evidências tangíveis de sua resiliência e capacidade de crescimento sustentado”, disse Tate.
De acordo com Erik Pham, CEO e fundador da publicação online de bem-estar Health Canal, há três medidas principais que as empresas devem considerar ao tentar relatar sua resiliência em áreas não financeiras: 1) métricas relacionadas à retenção e crescimento de talentos; 2) métricas para gerenciamento da cadeia de suprimentos; e 3) métricas para resiliência a riscos ambientais.
Pham disse que altas taxas de retenção de funcionários e um foco no crescimento de talentos indicam um ambiente de trabalho positivo, robusto e resiliente, então as empresas devem medir a porcentagem de funcionários que permanecem na empresa por um período definido. Ele também recomendou rastrear o investimento em programas de desenvolvimento de funcionários e iniciativas de treinamento porque um compromisso com o aprendizado contínuo contribui para uma força de trabalho qualificada e adaptável. Além disso, as empresas devem divulgar mais prontamente seus planos de sucessão, pois eles mostrarão a prontidão da organização para navegar nas mudanças de liderança, bem como mostrar as medidas em vigor para garantir uma transição suave durante mudanças inesperadas de liderança.
Manter uma cadeia de suprimentos resiliente e eficiente também é essencial para as organizações, disse Pham, então as empresas devem avaliar e fornecer detalhes sobre o nível de concentração/diversificação entre os fornecedores, bem como medir a eficiência da gestão de estoque e o prazo de reposição necessário, já que uma cadeia de suprimentos ágil pode se adaptar às flutuações na demanda e na oferta.
Finalmente, a resiliência ambiental “abrange a capacidade de uma empresa de se adaptar e prosperar diante de desafios ambientais, incluindo mudanças climáticas e preocupações com a sustentabilidade”. Em termos de medição dessa resiliência, as métricas relevantes podem incluir: rastrear iniciativas para reduzir a pegada de carbono da empresa por meio de práticas de eficiência energética, fornecimento sustentável e gerenciamento responsável de resíduos; avaliar o comprometimento da organização com a sustentabilidade ambiental por meio de certificações como ISO 14001 ou outros padrões específicos do setor; e medir a capacidade da empresa de se adaptar e permanecer em conformidade com as regulamentações ambientais em evolução e as melhores práticas.
Uma questão de sobrevivência
Embora o caso para as empresas investirem em melhor gerenciamento de risco de resiliência possa ser óbvio, alguns especialistas acreditam que o caso para melhor divulgação sobre como a resiliência é avaliada e medida é igualmente convincente. As partes interessadas e reguladores querem cada vez mais maior garantia de que as empresas com as quais fazem negócios podem suportar choques sérios e que têm um plano para voltar a funcionar de forma rápida e completa. Alguns também acreditam que uma divulgação melhor e mais profunda usando uma variedade de métricas lhes dará uma vantagem competitiva a longo prazo, pois empresas mais bem administradas tendem a ter melhores taxas de sobrevivência.
“Resiliência não é apenas sobre a chance de algo quebrar, mas também a capacidade dinâmica de um sistema de se auto-reparar em resposta a mudanças ou intrusões”, disse Schulman. “Empresas resilientes devem superar períodos difíceis ainda mais fortes e, ao fazer isso, aumentar sua confiança com clientes e comunidade.”
Neil Hodge é um jornalista freelancer baseado no Reino Unido.
https://www.rmmagazine.com/articles/article/2024/07/09/why-organizations-need-to-measure-resilience
---------------------------------------------------------------------------------
Acesse as edições mais recentes
das publicações do Mercado de Seguros:
Revista Apólice: https://revistaapolice.com.br/2024/06/apolice-298-muitas-coisas-acontecendo-ao-mesmo-tempo/
Revista Cobertura: https://www.revistacobertura.com.br/revistas/revista-cobertura-edicao-265/#1
Revista Insurance Corp: https://insurancecorp.com.br/pt/content/pdf/ic_ed53_2024.pdf
Revista Seguro Total : https://revistasegurototal.com.br/2024/06/06/ed-242-geracao-de-riqueza-nas-estradas-brasileiras/
Revista Segurador Brasil: https://revistaseguradorbrasil.com.br/revita-segurador-brasil-edicao-186/
Revista de Seguros: https://revistadeseguros.cnseg.org.br/revistas/928-jan-fev-mar-2024/
Conjuntura CNseg: https://cnseg.org.br/publicacoes/conjuntura-c-nseg-n-105
Revista Insurtalks: https://www.insurtalks.com.br/revista/revista-insurtalks-10
Revista Brasil Energia: https://brasilenergia.com.br/flip/1076
Portal CQCS: https://cqcs.com.br/