Na última década, várias organizações foram abaladas por vulnerabilidades e disrupções imprevistas no supply chain, levando a recalls que custaram centenas de milhões de dólares em setores que vão do farmacêutico e automotivo ao de bens de consumo e de eletrônicos. E diversas organizações governamentais e empresas privadas vêm enfrentando violações da segurança cibernética, tendo perdido propriedade intelectual essencial devido a falhas no ecossistema de fornecedores.
Fique em dia com seus tópicos favoritos
No centro dessas crises há um tema comum: a falta de processos robustos para identificar e gerir com sucesso os crescentes riscos no supply chain, à medida que o mundo se torna mais interconectado. Novas ameaças, como os ataques cibernéticos com pedido de resgate, estão surgindo ao lado de riscos mais tradicionais e conhecidos há mais tempo envolvendo fornecedores, como a falência de um fornecedor.
O desafio da gestão de riscos no supply chain foi exacerbado pela globalização, sendo que até mesmo produtos sensíveis, como sistemas de defesa, usam matérias-primas, placas de circuito e componentes correlatos que podem ter origem em países onde o fabricante do sistema nem sequer sabia que tinha um supply chain. Esse aumento da complexidade trouxe consigo mais pontos de falha em potencial e maiores níveis de risco.
No entanto, o avanço na abordagem desses riscos tem sido lento. Em nossa pesquisa realizada em 2010 com 639 executivos de diversas regiões e setores, 71% disseram que sua empresa estava correndo mais risco de disrupção no supply chain do que antes e 72% previram que esses riscos continuariam aumentando. Em 2018, o governo dos Estados Unidos estabeleceu vários órgãos e forças-tarefa para lidar melhor com os riscos no supply chain (entre as quais Agência de Segurança de Infraestrutura Essencial e Segurança Cibernética, no Departamento de Segurança Interna, e a Força-Tarefa de Proteção de Tecnologia Essencial, no Departamento de Defesa), e o setor privado continua buscando uma metodologia uniforme e comprovada para avaliar e monitorar os riscos de uma maneira que realmente minimize a disrupção nos negócios.
Acreditamos que as organizações dos setores público e privado vêm tendo dificuldade para fazer progressos substanciais nessa questão por diversos motivos:
- A transparência no supply chain é difícil (ou impossível) de ser alcançada. Nos modernos supply chains de múltiplos níveis, centenas ou milhares de fornecedores podem contribuir para um único produto. A própria identificação do conjunto completo de fornecedores, das fontes de matérias-primas ao sistema final montado, pode exigir um investimento de tempo significativo.
- O escopo e a escala dos riscos são intimidantes. A probabilidade e a gravidade de muitos riscos são difíceis de determinar (Qual a probabilidade de certos padrões climáticos? Com que frequência o funcionário de um fornecedor será descuidado em práticas de segurança cibernética?) e, portanto, difíceis de abordar, quantificar e mitigar.
- As restrições dos dados confidenciais retardam o progresso. Em produtos complexos, os fornecedores de 1º ou 2º Nível podem considerar seus supply chains confidenciais, limitando a visibilidade no nível do comprador ou do fabricante-integrador.
Em vez de ficarem admirando o problema e essas dificuldades, sugerimos que as organizações comecem a lidar com as questões de maneira estruturada, catalogando e abordando os riscos conhecidos, ao mesmo tempo que aumentam a resiliência da organização para o inevitável risco desconhecido que se torna um problema no futuro.
Would you like to learn more about our Operations Practice?
Uma abordagem estruturada da gestão de riscos no supply chain
Recomendamos que, para começar, as organizações pensem em termos de riscos conhecidos e desconhecidos.
Os riscos conhecidos podem ser identificados e é possível medi-los e geri-los ao longo do tempo. Por exemplo, a falência de um fornecedor que leva a uma disrupção no fornecimento seria um risco conhecido. A probabilidade dela pode ser estimada com base no histórico financeiro do fornecedor, e o impacto dela na sua organização pode ser quantificado levando-se em consideração os produtos e mercados em que o fornecedor causaria disrupção. Riscos mais recentes, como as vulnerabilidades de segurança cibernética no supply chain, agora também são quantificáveis por meio de sistemas que usam análise outside-in dos sistemas de TI de uma empresa para quantificar os riscos de segurança cibernética.
As organizações devem investir tempo, com uma equipe multifuncional, para catalogar todo o escopo dos riscos que enfrentam, criando uma estrutura de gestão de riscos que determine quais métricas são apropriadas para medir riscos, “o que seria considerado bom” para cada métrica e como acompanhar e monitorar essas métricas de maneira rigorosa. Essa equipe também pode identificar áreas nebulosas nas quais os riscos são difíceis de entender ou de definir (por exemplo, níveis do supply chain onde não há visibilidade). Essa análise pode dar uma dimensão à escala e ao escopo dos riscos desconhecidos.
Os riscos desconhecidos são aqueles cuja previsão é impossível ou muito difícil. Imagine a repentina erupção de um vulcão há muito adormecido, que causa disrupção em um fornecedor que você nem sabia que estava no seu supply chain, ou a exploração de uma vulnerabilidade de segurança cibernética profundamente entranhada no firmware de um componente eletrônico essencial. Prever situações como essas é provavelmente impossível até para os gestores mais conscientes dos riscos.
Com relação aos riscos desconhecidos, reduzir sua probabilidade e aumentar a velocidade da reação quando ocorrem é fundamental para manter a vantagem competitiva. Construir camadas de defesa robustas, combinadas a uma cultura consciente do risco, pode proporcionar essa vantagem a uma organização.
Gestão de riscos conhecidos
As organizações podem usar uma combinação de ferramentas estruturadas de resolução de problemas e ferramentas digitais para gerir com eficácia seu portfólio de riscos conhecidos por meio de quatro etapas:
Etapa 1: Identificar e documentar os riscos
Uma abordagem típica da identificação de riscos é mapear e avaliar as cadeias de valor de todos os produtos principais. Cada nó do supply chain – fornecedores, fábricas, armazéns e rotas de transporte – é então avaliado detalhadamente (Quadro 1). Os riscos são inseridos em um registro de riscos e acompanhados rigorosa e continuamente. Nesta etapa, também devem ser registradas as partes do supply chain em que não existem dados e é necessária mais investigação.
Etapa 2: criar uma estrutura de gestão de riscos no supply chain
Todo risco presente no registro deve receber uma pontuação com base em três dimensões para criar uma estrutura integrada de gestão de riscos: o impacto na organização se o risco se materializar, a probabilidade de o risco se materializar e a preparação da organização para lidar com esse risco específico. Limiares de tolerância são aplicados às pontuações de risco, refletindo o apetite de risco da organização.
É essencial criar e adotar uma metodologia de pontuação coerente para avaliar todos os riscos. Isso permite priorizar e agregar ameaças para identificar os produtos de maior risco e os nós de cadeia de valor com maior potencial de falha.
Etapa 3: monitorar o risco
Quando uma estrutura de gestão de riscos é estabelecida, o monitoramento persistente é um dos fatores essenciais para o sucesso na identificação dos riscos que podem prejudicar uma organização. O recente surgimento de ferramentas digitais possibilitou isso até mesmo para os supply chains mais complexos, por meio da identificação e do acompanhamento dos principais indicadores de risco. Por exemplo, uma grande organização que atua em um setor regulamentado identificou 25 indicadores-chave de problemas de qualidade em suas fábricas e fabricantes contratados, os quais variavam de fatores estruturais, inclusive localização geográfica e número de anos em operação, até métricas de desempenho operacional, como “acertar na primeira vez” e tempos de ciclo de desvios. Esses 25 indicadores foram cuidadosamente ponderados para desenvolver uma pontuação de exposição ao risco de qualidade e, em seguida, acompanhados com frequência regular.
Sistemas de monitoramento bem-sucedidos são adaptados às necessidades de uma organização, incorporando perspectivas de impacto, probabilidade e preparação. Assim, enquanto uma organização pode acompanhar desvios nas linhas de fabricação para prever problemas de qualidade, outra pode seguir relatórios meteorológicos do Caribe em tempo real para monitorar o risco de furacões em suas fábricas em Porto Rico. Independentemente disso, é fundamental ter um sistema de alerta antecipado para acompanhar os principais riscos, a fim de maximizar as chances de mitigar ou, pelo menos, limitar o impacto de sua ocorrência.
Deliver on time or pay the fine: Speed and precision as the new supply-chain drivers
Etapa 4: instituir governança e análises regulares
A última etapa essencial é estabelecer um mecanismo robusto de governança para analisar periodicamente os riscos no supply chain e definir ações de mitigação, aumentando a resiliência e a agilidade do supply chain.
Um mecanismo efetivo de governança de gestão de riscos no supply chain é um comitê de riscos multifuncional, com participantes representativos de todos os nós da cadeia de valor. Ele costuma incluir gerentes de linha que assumem também a atribuição de responsáveis por riscos em sua função, o que dá a eles a responsabilidade pela identificação e mitigação dos riscos. Na maioria dos casos, o comitê de riscos recebe o apoio adicional de uma função central de gestão de riscos composta por especialistas para fornecer orientações adicionais sobre a identificação e a mitigação de riscos.
Um comitê eficaz reúne-se periodicamente para analisar os principais riscos no supply chain e definir as ações de mitigação. Os participantes serão, então, responsáveis pela execução de ações de mitigação em seus respectivos nós funcionais. Por exemplo, caso o comitê decida qualificar e integrar um novo fornecedor de um componente essencial, o representante de compras no comitê será o responsável pela ação e assegurará a execução dela.
Além disso, em muitas organizações, o comitê de riscos também faz recomendações para aumentar a agilidade e a resiliência do supply chain, como reconfigurar a rede de suprimentos, encontrar novas maneiras de reduzir prazos de entrega ou trabalhar com os fornecedores para ajudar a otimizar as operações deles mesmos. Aumentar a agilidade do supply chain pode ser uma estratégia de mitigação altamente eficaz para as organizações melhorarem sua preparação para uma ampla gama de riscos.
Gestão de riscos desconhecidos
Os riscos desconhecidos são, por natureza, difíceis ou impossíveis de prever, quantificar ou incorporar à estrutura de gestão de riscos que se discutiu acima com relação aos riscos conhecidos. Em nossa experiência, a mitigação de riscos desconhecidos é melhor alcançada através da criação de defesas robustas, combinadas ao desenvolvimento de uma cultura consciente dos riscos.
Criação de defesas robustas
Defesas robustas, desde o teor do pedido de oferta (RFP, na sigla em inglês) até a capacitação dos trabalhadores, contribuem para que uma organização identifique e detenha os riscos desconhecidos antes de eles afetarem as operações. O Quadro 2 descreve as camadas típicas das organizações de defesa, empregadas para se defender de riscos desconhecidos.
Desenvolvimento de uma cultura consciente dos riscos
Uma cultura consciente dos riscos ajuda a organização a estabelecer e manter camadas defensivas robustas contra riscos desconhecidos, assim como a reagir mais rapidamente quando um risco desconhecido surge e ameaça as operações.
- Reconhecimento. A gerência e os funcionários precisam se sentir empoderados para transmitir as más notícias e as lições aprendidas com os erros. Essa abertura promove um ambiente no qual é aceitável expressar problemas e lidar com eles. Culturalmente, é fundamental que a organização não desanime ou faça acusações quando ocorre um evento de risco e que, ao contrário, trabalhe harmoniosamente em prol de uma resolução rápida.
- Transparência. Os líderes devem definir e comunicar claramente a tolerância da organização aos riscos. A mitigação de riscos costuma ter um custo incremental associado e, portanto, é importante que haja um alinhamento sobre quais riscos precisam ser mitigados e quais podem ser suportados pela organização. A cultura de uma organização também deve permitir que os sinais de alerta de riscos internos e externos sejam compartilhados abertamente.
- Capacidade de reação. Os funcionários devem estar empoderados para perceber e reagir rapidamente a mudanças externas. Isso pode ser viabilizado criando-se um ambiente de responsabilidade, no qual os membros se sintam responsáveis pelo resultado das ações e decisões.
- Respeito. O apetite dos funcionários pelo risco deve estar alinhado à organização, de modo que indivíduos ou grupos não assumam riscos nem tomem medidas que beneficiem a eles, mas que prejudiquem a organização como um todo.
O que há pela frente
Os supply chains mundiais são uma tendência irreversível, assim como os riscos no supply chain trazidos pela globalização. Nossa experiência indica que é fundamental que as organizações criem programas robustos para gerenciar tanto os riscos conhecidos como os desconhecidos no supply chain. Os líderes também devem reconhecer que a gestão de riscos não tem a ver somente com o estabelecimento de processos e modelos de governança, mas que também implica mudanças na cultura e nas mentalidades. Ao empregar essas abordagens, as organizações aumentam suas chances de minimizar as disrupções e crises no supply chain, ao mesmo tempo que capturam pleno valor de suas estratégias de supply chain.