Durante décadas, corretores de seguros, seguradores, resseguradores e consultores de gestão de risco aconselharam as organizações sobre a sua exposição ao risco de interrupção das suas atividades de exploração. Considerando o impacto da pandemia de Covid-19 nas empresas de todo o mundo, a forma como este tipo de exposição ao risco será gerida daqui para a frente tem de evoluir.
Diz‑se frequentemente que os seres humanos e as organizações, empresas e instituições que lideram, aprendem sobretudo com os seus erros. Exemplo disso é a crise financeira (de hipotecas) mundial de 2008, momento em que muitas empresas não só sofreram perdas económicas devidas à interrupção da sua atividade, mas também viram diminuir a sua resistência e capacidade de recuperação. Aparentemente, esta lição esqueceu‑se depressa.
INTERRUPCÃO OPERACIONAL OU INTERRUPÇÃO DAS ATIVIDADES DE EXPLORAÇÃO?
Interrupção operacional é um termo muito lato que se refere a qualquer interrupção de um processo que cause a interrupção de uma operação. Contudo, nem todas as interrupções operacionais geram automaticamente uma interrupção das atividades de exploração ou produtivas. Qual é, então, a diferença entre uma interrupção das atividades de exploração de algo que é apenas uma perturbação?
De acordo com a Organização Internacional de Normalização, a ISO(1), podemos definir a perturbação como "acontecimento, previsto ou imprevisto, que cause um desvio não planeado e negativo da entrega esperada de produtos ou serviços de acordo com as expectativas de uma organização”. Por isso, para que uma interrupção operacional seja uma interrupção das atividades de exploração, a interrupção operacional tem de gerar adicionalmente um desvio negativo (redução) da entrega esperada de produtos ou serviços por parte de uma organização.
Esta redução deve exceder quaisquer níveis planeados de tolerância na entrega no contexto do plano de atividades da operação, porque uma interrupção das atividades de exploração pode nem sempre resultar numa interrupção operacional dos processos internos.
ANÁLISE DE IMPACTO NO NEGÓCIO (BUSINESS IMPACT ANALYSIS, BIA)
Para avaliar se uma interrupção operacional gerará uma interrupção das atividades de exploração, as organizações devem realizar análises de impacto no negócio (BIA). Estas análises podem identificar quais os produtos e / ou serviços relativamente aos quais uma redução nas entregas aos clientes e / ou beneficiários teria mais impacto, e também o seu potencial de criar um impacto negativo nos objetivos da organização. Tendo‑se completado a BIA, a empresa pode entender claramente quais dos seus processos são críticos e que interrupção operacional entre todos os seus processos críticos tem potencial para resultar numa perda de exploração.
CONTINUIDADE OPERACIONAL
Muitas organizações de dimensão significativa usam um sistema de gestão de continuidade de negócio para as ajudar a lidar com interrupções das atividades de exploração. A continuidade de negócio é definida(2) como "capacidade de uma organização continuar a entrega de produtos ou serviços a níveis predefinidos aceitáveis a seguir a uma perturbação”.
Para que a continuidade de negócio continue a produzir efeitos positivos e dar uma garantia razoável da entrega de produtos e/ou serviços, deve ser integrada na cultura de uma organização e o conceito deve ser plenamente assumido durante o seu desenvolvimento, implementação e operação. A própria gestão da continuidade de negócio é definida(3) como "processo integral de gestão que identifica ameaças potenciais a uma organização e o impacto que essas ameaças, se realizadas, podem ter sobre as atividades de exploração, e dá um quadro para a construção de resiliência com capacidade de resposta eficaz que salvaguarde os interesses das principais partes interessadas, reputação, marca e atividades criadoras de valor”.
Um sistema bem estruturado de gestão da continuidade de negócio deve incluir os seguintes componentes(4):
a. Uma política.
b. Pessoas com responsabilidades definidas.
c. Processos de gestão relacionados com
1) políticas;2) planeamento;3) implementação e operação;4) avaliação de desempenho;5) revisão da gestão e6) melhoria.
d. Documentação que forneça provas auditáveis; e
e. Quaisquer processos de continuidade de negócio relevantes para a organização.
GESTÃO DO RISCO DE CONTINUIDADE DE NEGÓCIO
Para gerir os riscos de interrupção das atividades de exploração, as organizações devem estabelecer, implementar e continuamente manter um processo formal e documentado de gestão do risco de continuidade de negócio. Esta abordagem sistemática permite a uma empresa analisar, avaliar, tratar e monitorizar todos os riscos e exposições ao risco de interrupção das atividades de exploração que possam surgir. É crucial que a gestão do risco de continuidade de negócio não seja feita de forma isolada, mas se enquadre no programa ERM (Enterprise Risk Management) da organização. Alguns dos riscos de continuidade de negócio identificados nesse quadro exigirão medidas para a) reduzir a probabilidade de ocorrência de interrupções; b) reduzir o período de interrupção e c) limitar o impacto de qualquer interrupção em produtos e serviços críticos. Qualquer medida tomada precisará, contudo, de se enquadrar na tolerância e apetite de risco globais da organização.
PLANO DE CONTINUIDADE DE NEGÓCIO (BUSINESS CONTINUITY PLAN, BCP)
A forma mais habitual de abordar estes riscos é através do desenvolvimento de um plano de continuidade de negócio, que se define(5) como "procedimentos documentados que orientam uma organização na resposta, recuperação, retoma e restauração da mesma a um nível predefinido de operação a seguir a uma perturbação (tipicamente isto abrange recursos, serviços e atividades necessárias à continuidade de funções chave da empresa)”.
Existem, contudo, muitos tipos diferentes de BCP que abrangem um espectro alargado de riscos devidos a pessoas, processos, tecnologias e até governação interna da empresa. As soluções podem ir do uso de servidores redundantes para reduzir o tempo de baixa associado às falhas das plataformas tecnológicas aos planos de sucessão de pessoal para as funções e pessoal chave.
CONCLUSÃO
Não há dúvida de que, à medida que as organizações amadurecem, têm uma melhor perspetiva sobre a importância estratégica, tácita e operacional da gestão da continuidade de negócio. Num mundo cada vez mais complexo e globalizado, com a tecnologia a avançar a uma velocidade exponencial, com cadeias de valor com componentes de matriz e clientes em qualquer parte do mundo, a necessidade de abordagens eficientes e fiáveis à gestão da continuidade de negócio é mais elevada que nunca. Com o desenvolvimento de arquiteturas empresariais cada vez mais complexas, o papel dos profissionais de gestão de risco e de continuidade de negócio nunca foi tão importante.
1) ISO 22300 Social Security: 2018 ‑Terminology standard
2) Social Security: 2018 – Terminology
3) Social Security: 2018 – Terminology
4) ISO 22301: Societal security — Business continuity management systems — Requirements)
5) ISO 22301: Societal security — Business continuity management systems — Requirements)
Alessandro De Felice
Chief Risk Officer na Prysmian S.p.A, responsável pela implementação de comunicação de risco ao CEO e ao Conselho de Administração, por avaliar o apetite de risco e cultura de risco na organização, supervisionar atividades de analise de risco, garantir e verificar a adequação das metodologias aplicadas e a eficácia operacional do modelo ERM. Anteriormente, trabalhou na estrutura de gestão de risco do Grupo Pirelli, e na corretagem de seguros, na Marsh e Sedgwick. E presidente da ANRA (Associação Italiana de Gestores de Risco e Seguro) e já foi vice‑Presidente da FERMA, bem como Secretário-geral da IFRIMA (Federação Internacional das Associações de Gestão de Risco).
Jorge Luzzi
CEO da RCG-Risk Consulting Group e da HighDome, começou a sua carreira no mercado de seguros com a Marsh, e na gestão de risco com a Ciba Geigy. Em 1988, entrou na Pirelli e, em 2005, tornou‑se Diretor de Gestão de Risco Global do grupo, detendo esse cargo até 2013. O percurso de Jorge Luzzi mostra um contributo sustentado para o desenvolvimento de novas competências na gestão de risco, uma vez que esse desenvolvimento e fundamental para que a profissão cresça no plano global. A sua participação em associações do setor começou no Brasil, onde liderou as Associações Brasileira e Sul‑ Americana de Gestão de Risco. Também já presidiu a IFRIMA — Federação Internacional de Associações de Gestão de Risco e Seguro; e, de outubro de 2011 a outubro de 2013, a FERMA — Federação de Associações de Gestão de Risco Europeias. Jorge Luzzi tem um diploma em Administração da Universidade de Belgrano, um BA da ECEA, uma pós-graduação de Saint Gallen e é membro da Academia Nacional de Seguros e Previdência. Completou cursos de especialização na Mapfre e na Universidade Politécnica de Milão. É presidente da Apogeris, a Associação Portuguesa de Gestão de Riscos e Seguros.