BLOG

Risco, Resiliência e PCN pós COVID-19.

enigma.consultoria Sem categoriaLeave a comment

MÁRIO  SÉRGIO RIBEIRO (*)

Quem é ou foi meu aluno sabe que já não é de hoje que comento que o mundo que cria inúmeras facilidades de um lado, cria também inúmeras dificuldades e incertezas do outro. Vamos ter que nos acostumar com a ideia de lidar com cada vez mais incertezas, a despeito de toda tecnologia e metodologia de previsão que dispomos.

A Pandemia do COVID-19 que se abateu sobre o mundo é um de vários possíveis eventos catastróficos que pode vir a nos colocar “de joelhos”. Como consequência desse atual evento que vivenciamos, fica uma pergunta: os negócios sobreviventes da COVID-19, como ficarão? As empresas têm Resiliência organizacional para aguentar um tranco desse tamanho? Como podem desenvolver estratégias de continuidade e sobreviver, mesmo diante de eventos dessa magnitude, que pelo jeito, pode vir a nos visitar novamente?

Há quase dez anos atrás o matemático americano John Casti escreveu um livro com o título “O colapso de tudo” – os eventos extremos que podem destruir a civilização a qualquer momento”. Título impactante? O autor quis chamar a atenção, alguns poderiam pensar, para vender livro? Em um primeiro momento talvez sim. Mas se você ler o currículo de Casti provavelmente não apostaria nisso. No livro, Casti analisa onze eventos alarmantes – e prováveis – situações que podem arrastar o mundo para uma idade das trevas, como diz a contracapa. Vamos a eles:

(1) Um apagão na Internet

(2) A falência do sistema global de abastecimento de alimentos

(3) Um ataque por pulso eletromagnético que destrói todos os aparelhos eletrônicos

(4) O fracasso da globalização

(5) A destruição provocada pela criação de partículas exóticas

(6) A desestabilização do panorama nuclear

(7) O esgotamento das reservas de petróleo

(8) Uma Pandemia Global

(9) Pane no sistema elétrico e no suprimento de água potável

(10) Robôs inteligentes que dominam a humanidade

(11) Uma crise no sistema financeiro global

Eu li e reli nesses dias este livro de Casti e confesso que não duvido do que ele fala! Alguns deles já acenderam sinal amarelo…Trata-se de um livro excelente e que recomendo a leitura a todos. Infelizmente, um dos eventos previstos por Casti estamos vivenciando: a Pandemia Global do COVID-19. E quando sairmos dela, machucados, mas vivos, até que ponto estaremos preparados para outros eventos que porventura possam vir, como alguns dos citados por Casti? Devemos, tanto como pessoas como empresa, ampliar nossa Resiliência. Mas afinal, o que essa tal de Resiliência organizacional?

 Resiliência Organizacional é a capacidade de uma organização em absorver e se adaptar em um ambiente em mudança e capacitada a cumprir seus objetivos, sobreviver e prosperar. Organizações mais resilientes podem antecipar e responder a ameaças e oportunidades, decorrentes de mudanças repentinas ou graduais em seu contexto interno e externo. (fonte: ISO 22316:17)

O aumento da resiliência pode ser uma meta organizacional estratégica e é o resultado de boas práticas comerciais e gerenciamento eficaz de riscos. E é nesse aspecto do gerenciamento eficaz de riscos que quero iniciar meu raciocínio nesse aumento da Resiliência organizacional.

 Ao sairmos dessa Pandemia veremos um mundo de outra forma e certamente as empresas olharão para essa questão da Resiliência. Mais conservadora e mais ressabiada com eventos de rara probabilidade, mas de impactos catastróficos, elas investirão em aumentar sua resiliência ou, pelo menos, deverão pensar muito mais do que antes do COVID-19 na sua Avaliação de Risco, em suas estratégias de continuidade e em seus planos de continuidade de negócios. Disso eu não tenho dúvida! Vamos explorar a questão…

Quando desenvolvemos nosso Plano de Continuidade de Negócios passamos por uma etapa que chamamos de Processo de Avaliação de Risco, que tem como objetivo: identificar os riscos de interrupção das atividades prioritárias da empresa, bem como os processos, sistemas, informações, pessoas, bens, parceiros terceirizados e outros recursos que os suportam. Em seguida, esses riscos identificados devem ser analisados, avaliados e identificados tratamentos que se alinhem com os objetivos de continuidade de negócios e de acordo com o apetite de risco da empresa.

Essa pandemia do COVID-19 acendeu uma luz amarela sobre o processo de avaliação de riscos. Eventos que antes poderiam ser considerados de probabilidade raríssima e que nem eram avaliados na maioria dos planos, devem passar a serem considerados e, seu tratamento, alinhado com as devidas estratégias de continuidade. Esse certamente é o momento ideal para que se faça uma análise desse processo dentro da continuidade de negócios. Para ajudar nessa análise, uma série de perguntas devem ser feitas. Vejamos algumas delas:

(1) Estou usando uma metodologia devidamente referendada para Avaliar o Risco da continuidade dos negócios?

(2) A identificação dos riscos tem processo e critérios definidos que tragam para o contexto os riscos de quaisquer probabilidade e magnitude?

(3) Ainda no que diz respeito a identificação dos riscos, estamos usando metodologia que nos permite identificar todas as categorias de riscos possíveis que tenham uma alinhamento direto com a continuidade de negócios?

(4) Existem riscos catastróficos (ou quase) que eu poderia estar incluindo em minha avaliação?

(5) Existe metodologia claramente definida que permite avaliar quais riscos de interrupção podem ser tratados?

(6) Os tratamentos escolhidos estão alinhados com os objetivos de continuidade de negócios e de acordo com o apetite de risco da empresa?

Os riscos que foram identificados e que necessitem de tratamento, a empresa deve considerar medidas proativas que possam reduzir a probabilidade, diminuir o período de interrupção e limitar o impacto da interrupção. Para alguns riscos, o tratamento, com o intuito de aumentar a resiliência organizacional, será a inclusão em algumas das estratégias de continuidade a serem definidas.

As estratégias de continuidade que são definidas e selecionadas a partir da análise de impacto nos negócios e no processo de avaliação de riscos tem como propósito proteger atividades prioritárias, estabilizar, continuar, retomar e recuperar atividades priorizadas, além de suas dependências e recursos de apoio. Faz ainda parte de seu escopo, mitigar, responder e gerenciar impactos.

Nessa pandemia do COVID-19 uma grande maioria de empresas “descobriu na marra” a estratégia do home office e do trabalho virtual. Obviamente as empresas que já tinham seu PCN, em sua grande parte, deveriam ter essa estratégia de home office definida para algumas de suas atividades e, portanto, saíram na frente. Mas, mesmo assim, provavelmente para uma boa parte delas, se tornou insuficiente para tirar a empresa de uma situação complicada, em alguns casos, dramática.

A questão central é que o evento da COVID-19 parou a roda da economia porque o seu ativo principal saiu de cena: Pessoas! E sem as pessoas, a roda não gira, não há como as empresas existirem. Dessa forma, o que se pode aprender com o COVID-19?

Eventos catastróficos, que podem ir desde um incêndio total das instalações de sua empresa ou uma crise sistema financeiro global (como a de 2008) e que Casti coloca que pode voltar (está entre os onze eventos), devem começar a fazer parte de seu processo de avaliação de risco, estratégia de continuidade de negócios e planos de continuidade de negócios.

A preocupação até hoje na elaboração e implementação de PCNs era com eventos como no máximo um incêndio com perda total. Estratégias de continuidade que estabilizem, continuem, retomem e recuperem as atividades priorizadas de uma empresa em um evento dessa natureza ou semelhante, é possível de se planejar e implementar. As estratégias não dependem de um contexto externo.

Mas o que fazer para eventos nos quais você depende de um governo, de uma situação extrema, onde a decisão não está com você, que se vê de “mãos atadas” para enfrenta-la? Para cada tipo de evento desse deve ser pensada e elencada uma solução. Vejamos como exemplo o próprio COVID-19.

Em um primeiro plano sugestiono que as empresas comecem a olhar com mais carinho para os Riscos Emergentes. Risco Emergente é um termo usado para descrever novos riscos que não encaixam no universo de riscos atual ou riscos que estão mudando, assim como sua interação com outros riscos. Comum a ambos é que Riscos Emergentes são difíceis de quantificar, mas considerados como tendo potencial para impactar a empresa de forma substancial.

A importância de gerir Riscos Emergentes se encontra no seu potencial para afetar a estratégia de negócios; consideração antecipada e mitigação podem ser vista como uma atividade chave de agregar valor através das Funções de Gestão de Risco. Não é objeto aqui fazer um detalhamento sobre Riscos Emergentes, que farei breve em outro artigo, mas se as empresas já estivessem inserido essa abordagem em sua função de riscos, muito provavelmente teriam detectado uma ameaça nas Endemias já ocorridas. Vejamos:

1. Poderiam dar atenção, entre outros, a estudos como de Casti, que é um dos fundadores do X-Center, instituição de pesquisa com sede em Viena que analisa eventos extremos causados pelo homem e como prever sua ocorrência;

2. Recorrer a base histórica sobre eventos de endemia, que já tivemos. Vejamos:

  • Coronavírus são conhecidos desde meados da década de 1960;
  • 2003: SARS (síndrome respiratória aguda grave);
  • 2005: Gripe aviária;
  • Síndrome Respiratória do Oriente Médio (MERS) foi identificada em 2012 e segunda onda em 2018;
  • Mercado de Whuan na China já foi fechado e reaberto três vezes.

3. Os eventos citados protagonizaram Endemias e uma Pandemia não foi questionada, mas poderia. Entre alguns aspectos, a globalização diminuiu as fronteiras e o vai e vem pelo mundo ocorre em abundância e em um piscar de olhos. A China comunista virou um potência capitalista e seus aeroportos são dos mais movimentados do mundo. Saímos da Ásia em um dia e depois de 18 horas estamos no Brasil? Ou em sete na Europa? E assim com qualquer país do mundo…

Com essa abordagem não tenho pretensão nenhuma de fazer previsões, de se prestar a um tolo, que fala depois do ocorrido, de encontrar uma fórmula de encontrar os cisnes negros de Taleb ou de encontrar culpados (OMS, governos, empresas, etc.). Nada disso! O que pretendo é mostrar que nosso cuidado com a Avaliação de Riscos de agora em diante deve ser muito mais contínuo e detalhado, carecendo de um monitoramento diário de dados e informações, em função da ampliação das categorias de risco que podem afetar o negócio de uma empresa. Talvez, incluir a raridade em sua Avaliação seja um começo…

Um dos maiores, senão o maior problema, enfrentado pelas empresas agora é a falta de caixa para suportar esse período incerto de inatividade. Uma das mais variadas soluções que podem ser adotadas para o futuro, baseada nessa nova avaliação de risco a ser realizada, é entender a Alocação de Capital para Risco Operacional como uma excelente resposta à um evento de risco operacional de elevada magnitude. Isso já existe de forma obrigatória em alguns setores regulados de nossa economia. Essa alocação seria usada diante de um evento, como o da COVID-19 por exemplo, por meio de políticas claramente definidas e aprovadas pela Alta Administração da empresa.

Na sequência de nossa revisão da Gestão da Continuidade de Negócios, a partir da avaliação de riscos e das estratégias, os procedimentos dos planos devem ser revistos. A resposta e estabilização da emergência, a gestão da crise, a comunicação com partes interessadas, a recuperação e o retorno ganham novos contextos que devem ser reavaliados com detalhes e critérios. Um item muito importante e que muitos esquecem é a sua cadeia de suprimentos! Reavaliar o risco de seus fornecedores/parceiros, pelo menos os mais críticos, é fundamental!

Muito dessa reavaliação tem como aprendizado este exato momento em que as empresas estão passando e tendo que resolver e resolver e… É um momento duro, mas deve ser guardado como forma de avaliar o que deu certo e o que deu errado. O certo entra como resposta a essa reavaliação, o errado, como aprendizado para um novo acerto.

De toda forma temos um novo paradigma. Os tomadores de decisão da empresa devem começar a pensar que infelizmente o imprevisto faz parte de nossa vida humana nesse planeta. Que os Eventos Extremos devem aparecer com maior frequência e que precisaremos desenvolver nossa Resiliência, ou mais ainda como define Taleb em seu livro Antifrágil: precisamos ser mais do que resilientes, precisamos ser Antifrágeis!

Em A Peste, romance existencialista de 1947, o escritor Albert Camus pinta um quadro emocionante de profissionais de saúde que se unem para combater um surto de peste bubônica. Camus em seu livro diz: parece ser que os seres humanos têm, na melhor hipótese, uma ilusão de controlar seu destino e que, em última análise, a irracionalidade governa os acontecimentos.

Se cuidem!

Abraço.

Até a próxima.

_______________________________________________________________

(*) 60 anos, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br