Elabore um plano para lidar com os perigos do risco reputacional.

A natureza intangível do risco reputacional significa que é um dos riscos mais desafiadores de avaliar e quantificar. De acordo com a Pesquisa Semestral de Gerenciamento de Riscos Globais da Aon, a reputação tem sido consistentemente classificada como uma das cinco principais preocupações há mais de dez anos.1

As organizações podem abordar o risco reputacional de duas maneiras: podem gerenciá-lo proativamente ou reagir a um evento reputacional quando ocorrer. O gerenciamento reativo potencialmente leva à perda de controle sobre a narrativa do evento, expondo uma organização – e sua avaliação – a opiniões globais por meio de canais de mídia.

As crises de reputação muitas vezes levam os mercados financeiros a reavaliar suas projeções de fluxos de caixa futuros, levando a um ajuste na avaliação de uma empresa. O mercado recebe novas informações sobre a empresa e sua gestão nos momentos de crise e geralmente forma um consenso sobre se o impacto nos fluxos de caixa futuros de longo prazo será positivo ou negativo. Central para essa avaliação está o prêmio de reputação, que é o excedente da capitalização de mercado sobre o valor contábil e de marca da empresa. Reflete o poder de ganho da empresa que é valorizado pelos investidores, mas não capturado nem pela marca nem pelos ativos líquidos.2

Uma vez que o valor das ações dos acionistas é afetado, a fiscalização se intensifica e os riscos regulatórios e de responsabilidade pessoal para diretores e executivos podem surgir. O ex-diretor de segurança da informação (CISO) de uma conhecida empresa de mobilidade de transporte foi condenado por acusações federais por encobrir pagamentos relacionados a uma violação de dados em 2016, na qual as informações pessoais de 57 milhões de usuários foram roubadas3, e mais recentemente a Autoridade Reguladora Prudential do Reino Unido multou um ex-diretor de informações (CIO) de uma empresa de tecnologia financeira por violação das regras de conduta de gerentes seniores.4

Conforme essa espiral de impacto causado por uma violação mal administrada se aprofunda, a confiança em uma empresa pode e irá diminuir. A confiança, ou o estado emocional do cérebro que indica que uma organização é confiável e transmite uma sensação de confiança e segurança, é fundamental para o prêmio de reputação. Um ataque cibernético significativo, se bem-sucedido, pode rapidamente corroer a confiança, impactar negativamente o sentimento dos clientes, depreciar o valor da marca e afetar o prêmio de reputação de uma empresa. Embora o próprio evento possa ser limitado no tempo, os efeitos de longo prazo podem afetar uma empresa por muito mais tempo. As organizações devem gerenciar a reputação de uma empresa como qualquer outro ativo central. Empresas proativas que planejam eventos adversos e se comunicam de maneira genuína podem descobrir que o mercado não apenas pode perdoar, mas também recompensar aqueles que abraçam e respondem de forma eficaz.

Resultados da Aon: Risco Reputacional

A pesquisa de reputação da Aon2 destaca a gravidade crescente dos ataques cibernéticos atualmente. Notavelmente, um grande ataque cibernético pode ter um impacto de longo prazo no preço das ações de uma empresa. Uma análise de 47 eventos cibernéticos importantes revela que, em média, esses incidentes resultaram em uma diminuição de 9 por cento no valor das ações dos acionistas, além dos efeitos de mercado, no ano seguinte ao evento. Isso se traduz em um impacto total de valor negativo de $225 bilhões. As empresas que tiveram um desempenho pior (30) experimentaram um impacto médio de valor de -21 por cento, acima do mercado, resultando em uma perda total de valor de $670 bilhões.

No entanto, nem todas as empresas perderam valor após um ataque. Algumas viram seu capital de reputação aumentar ao longo do evento. Nossa pesquisa identificou 17 empresas que navegaram com sucesso por esses desafios, obtendo um aumento médio de valor de 18 por cento acima das tendências de mercado, resultando em um ganho de valor combinado de $445 bilhões. Esses vencedores responderam rapidamente e de forma eficaz para minimizar os danos causados pelo evento e aproveitaram a oportunidade existente para controlar a narrativa de reputação e minimizar os danos à sua marca geral.

Ransomware, normalmente discutido como uma ameaça operacional, também pode prejudicar significativamente o capital de reputação e afetar o valor das ações. Ao compararmos o impacto de violações de dados com ataques de ransomware, nosso estudo de longo prazo sobre 12 eventos significativos de ransomware mostra que, em média, os ataques de ransomware tiveram um impacto 12 por cento menor do que as violações de dados.

No geral, os ataques cibernéticos são mais prejudiciais hoje em dia e nossa pesquisa mostra um aumento discernível no impacto de valor. O impacto médio de valor de 31 ataques cibernéticos ocorridos entre 2016 e 2021 foi de 8 por cento menor em comparação com o impacto médio de 16 ataques cibernéticos que ocorreram entre 2010 e 2015.

A gestão do risco cibernético e a aquisição de seguro cibernético geralmente são vistos de forma favorável pelos stakeholders. Isso pode proporcionar proteção contra volatilidade financeira e erosão do valor acionário (EPS), além de ajudar a proteger funcionários, clientes e parceiros. Cinco características distintas para a recuperação do valor reputacional podem ajudar as empresas a mitigar o risco de repercussões reputacionais após uma violação: preparação, liderança, comunicação, ação e mudança. As empresas devem estar profundamente comprometidas com a prevenção e mitigação de perdas cibernéticas, contando com um plano de recuperação ou resposta a incidentes sólido. Uma liderança forte e visível do CEO e divulgações precisas e bem coordenadas fazem parte do plano de resposta crítico. A ação deve ser instantânea e global. E acima de tudo, é necessária uma genuína demonstração de remorso e um compromisso honesto com mudanças significativas.