Artigo
27/08/2023
Atualizado em 10/04/2026

Gestão de Riscos X Continuidade dos Negócios (BCM)

O Business Continuity Management (BCM) integra-se ao gerenciamento de riscos para identificar ameaças, minimizar impactos e garantir a resiliência e sobrevivência das operações empresariais.

Imagem de capa do artigo

Hoje queria trazer para nossa informação e reflexão sobre o tema do chamado: gerenciamento de risco da Continuidade dos Negócios, que em inglês o mercado chama de: "Business Continuity Management", ou apenas "BCM" para os íntimos, que é um processo gerencial holístico que visa identificar ameaças em potencial a uma organização e compreender os impactos dessas ameaças, caso se concretizem, nas operações da empresa.

Como referência podemos pegar a norma ISO 22301 de 2012, que fornece informações e dicas úteis para a construção de resiliência organizacional, incluindo a capacidade de uma resposta eficaz que protege os interesses dos principais stakeholders, reputação, marca e atividades geradoras de valor.

O processo de Continuidade dos Negócios (BCM) deve estar claramente vinculado ao programa global de gerenciamento de riscos da empresa. Enquanto os planos de continuidade dos negócios focam em reduzir o impacto da ocorrência de uma ameaça, o BCM deve complementar as estratégias de mitigação de riscos, os planos de gerenciamento de crises e até mesmo as políticas de seguro. Frequentemente, diferentes áreas ou pessoas são responsáveis por cada um desses aspectos, o que faz com que a integração seja crucial. O BCM deve fazer parte no "framework" maior de Gerenciamento de Riscos Corporativos (ERM), sendo uma ferramenta fundamental tanto para entender o impacto dos riscos como para tratá-los de forma eficaz.

Ambos temas buscam identificar e tratar proativamente riscos e ameaças ao negócio. A diferença crítica entre as duas está na forma como o risco é avaliado:

Função de Gestão de Risco

Analisa os tipos de riscos para o negócio, a probabilidade de cada risco se manifestar, o impacto sobre a empresa, as medidas para reduzir o risco e as oportunidades que podem surgir a partir destes riscos.

Função de Continuidade dos Negócios

Foca no impacto de um risco para o negócio, considerando o que aconteceria se houvesse uma disrupção nos recursos humanos, instalações ou sistemas.

Há uma interseção clara entre as duas disciplinas na fase de avaliação de riscos. Enquanto os profissionais de risco consideram todos os riscos e fazem um "horizon scanning" para identificar riscos futuros, os profissionais de BCM podem complementar essa avaliação através de uma Análise de Impacto nos Negócios (BIA).

A gestão de crises envolve o gerenciamento de estratégias e processos necessários para lidar com um incidente disruptivo no momento em que ocorre, enquanto o BCM olha mais adiante na linha do tempo de resposta e recuperação. No entanto, ambas as disciplinas são partes integrantes do programa ERM.

A continuidade dos negócios não deve ser vista apenas como uma estratégia de tratamento de riscos operacionais. A capacidade de uma empresa de restaurar rapidamente suas atividades após uma disrupção é um princípio-chave de resiliência. A resiliência deve ser incorporada na estratégia e governança da organização, envolvendo a identificação dos produtos e serviços que mais geram valor, bem como as atividades e dependências que os sustentam.

A Continuidade dos Negócios é inseparável do Programa de Gerenciamento de Riscos Corporativos. É crucial que essas áreas trabalhem juntas para desenvolver relações em toda a empresa, garantindo que as pessoas certas estejam envolvidas e que planos e processos estejam em vigor para evitar que incidentes potenciais se transformem em crises sempre que possível.

Queria agora ir mais a fundo nos objetivos estratégicos do gerenciamento de riscos da continuidade dos negócios, que poderíamos resumir como:

1) Minimizar o tempo de indisponibilidade de produtos para clientes e mercados-chave:

Para alcançar esse objetivo, é essencial ter um plano de recuperação de desastres bem elaborado e constantemente atualizado. Este plano deve abordar aspectos como: fornecedores alternativos, sistemas de TI de backup e logística de distribuição de emergência.

O plano também deve incluir indicadores, que normalmente chamamos de: KPIs (Key Performance Indicators) específicos, que possam ser monitorados em tempo real para avaliar o desempenho da recuperação.

Testes periódicos de simulação de cenários adversos devem ser conduzidos para garantir que o plano de recuperação seja eficaz e atual.

Esse objetivo envolve também a comunicação clara e eficaz com os clientes, funcionários e reguladores para mantê-los informados durante todo o período de recuperação.

2) Manter o volume ótimo de vendas para clientes e mercados-chave enquanto as operações normais são restabelecidas:

Nesta fase crítica da continuidade dos negócios, o objetivo é sustentar um fluxo de receita viável e minimizar o impacto sobre o market share e a liquidez da empresa.

3) Garantir a sobrevivência da empresa:

Esse é o objetivo final e mais crítico do Gerenciamento de Continuidade dos Negócios. Para isso, é preciso não apenas planos de recuperação de desastres e estratégias de mitigação de risco, mas também um colchão financeiro sólido que possa ser usado em tempos de crise. O fundo de reserva deve ser suficiente para cobrir custos operacionais básicos por um período específico, determinado com base em análises de cenários. Adicionalmente, ter um plano de comunicação de crise é vital para manter a confiança dos investidores, clientes e outros stakeholders durante eventos perturbadores.

Estes objetivos estratégicos são moldados por uma abordagem baseada em riscos que leva em consideração vários fatores, como a probabilidade de ocorrência de um evento, o impacto sobre as operações e a capacidade de recuperação. Esses componentes são frequentemente analisados por meio de ferramentas como Análise de Impacto nos Negócios (BIA) e Avaliações da Matriz de Risco.

Outro ponto importante de comentar, são as fases de uma resposta de um incidente de continuidade dos negócios, que poderíamos resumir como:

1) Identificação das operações mínimas necessárias para a sobrevivência da empresa:

Esta etapa começa com a realização de uma Análise de Impacto nos Negócios (BIA) para identificar as funções críticas que são vitais para a continuidade dos negócios. Ao fazer isso, avalia-se também as dependências entre as várias funções empresariais e seus requisitos de recursos.

Essa fase pode incluir também a definição de métricas como o Tempo de Recuperação (RTO) e o Ponto de Recuperação (RPO) para cada função crítica. Essas métricas ajudam a estabelecer o tempo e os dados que podem ser perdidos sem causar um impacto crítico nos negócios.

2) Compreensão das ações imediatas e de curto prazo para responder a um incidente:

Nesta fase, são elaborados planos específicos para abordar diferentes tipos de crises, desde falhas de TI até desastres naturais. É aqui que a organização desenvolve sua estrutura de gestão de crises, que define os papéis e responsabilidades durante um evento de interrupção.

Também inclui procedimentos para a avaliação inicial dos danos e para a contenção do incidente, para impedir que os efeitos se espalhem ainda mais. Essa é a fase em que se implementam os processos de alerta e ativação de emergência.

3) Desenvolvimento de arranjos de curto e médio prazo para minimizar os efeitos adversos do incidente:

Após a contenção inicial, o foco muda para a recuperação e restauração de funções críticas para um nível mínimo operacional. Isso envolve a coordenação com diversos stakeholders, como fornecedores, clientes e agências reguladoras.

Também podem ser ativados planos de contingência para operações como logística, cadeia de suprimentos e suporte ao cliente. Ferramentas de gestão de projetos podem ser utilizadas para monitorar o progresso dessas atividades e fazer ajustes conforme necessário.

4) Desenvolvimento de arranjos de médio e longo prazo para restaurar os negócios aos níveis operacionais originais ou melhorá-los:

Finalmente, esta fase aborda a normalização das operações e, se possível, uma melhoria em relação ao estado anterior. Isso pode envolver a revisão e o aprimoramento dos planos de continuidade existentes com base nas lições aprendidas durante o incidente. Também pode abranger atividades mais estratégicas, como a reavaliação do ambiente de negócios pós-crise, ajustes em produtos ou serviços e reengajamento de clientes e parceiros comerciais.

O planejamento e a implementação eficazes do BCM requerem uma compreensão detalhada dos riscos enfrentados pela organização e a criação de estratégias robustas para mitigar esses riscos. As empresas frequentemente empregam análises quantitativas, como Análise de Impacto nos Negócios (BIA) e Avaliações de Risco, para identificar vulnerabilidades e planejar contingências.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante