Artigo
21/09/2024
Atualizado em 29/04/2026

Gestão do Risco Operacional e a Construção da Resiliência

Aborda a importância da gestão do risco operacional e da resiliência nas empresas, destacando pilares como governança, controle, mitigação, continuidade de negócios e treinamento para garantir operações seguras e adaptáveis.

Imagem de capa do artigo

Está lendo um material recente e bem legal da PwC sobre o tema da gestão do risco operacional e a resiliência operacional, que pessoalmente acredito serem nos dias de hoje temas de crescente importância em todas as empresas, mas em especial nas instituições financeiras e outros setores regulados. Pois é sobre estes dois temas que escrevo para refletirmos juntos mais abaixo a este respeito.

Começo lembrando de que a gestão do risco operacional envolve o gerenciamento de riscos decorrentes de falhas em pessoas, processos, tecnologia ou eventos externos que possam interromper as operações, enquanto que a resiliência operacional, por sua vez, se refere à capacidade de uma empresa de se preparar, resistir, se recuperar e adaptar a interrupções operacionais, de modo a garantir a continuidade de suas operações críticas.

Três Pilares da Gestão do Risco Operacional e Resiliência:

Um dos frameworks usados é construído em torno de três importantes pilares: Se Preparar e Proteger, Construindo a Resiliência e Aprendendo e Se Adaptando, onde cada um deles é sustentado por princípios fundamentais que visam fortalecer a estrutura de gestão de riscos e a resiliência, e que vou tentar detalhar mais abaixo.

Pilar 1 de Preparação e Proteção:

O Pilar 1: Preparação e Proteção aborda a importância de criar uma estrutura sólida de governança e de garantir que os controles e políticas apropriados estejam em vigor para identificar, avaliar e mitigar os riscos operacionais, e vou tentar detalhar alguns destes principais pontos do Pilar 1:

Governança e Cultura de Riscos:

A governança eficaz é fundamental para a preparação e proteção contra riscos operacionais. Ela envolve a criação de um Framework de Gestão de Risco Operacional, que deve ser incorporado em todos os níveis da empresa, sendo que esta estrutura de governança deve ser obviamente proporcional ao tamanho, complexidade e perfil de risco da empresa.

O Conselho de Administração e seus Comitês e a alta gestão são responsáveis pela supervisão deste framework e estrutura e governança, devendo então garantir que o apetite ao risco esteja alinhado com os planos estratégicos e financeiros de curto e longo prazo, onde esta definição do apetite ao risco operacional deve ser "forward-looking", ou seja, orientada para o futuro, e revisada regularmente para refletir a evolução das atividades da empresa.

Além disso, o Conselho e seus Comitês devem estabelecer uma cultura robusta de gestão de riscos e práticas empresariais éticas, assim como definir um código de conduta para os funcionários e também para os próprios membros do conselho, e exigir atestação periódica desses compromissos.

Três Linhas de Defesa:

Vivo repetindo isto em meus posts, mas sempre importante lembrar que a estrutura de Três Linhas de Defesa deve ser claramente definida:

1ª Linha de Defesa: As unidades de negócios que têm em seus processos de gerenciamento de riscos, com foco na identificação, avaliação e controle de riscos.

2ª Linha de Defesa: A função de risco organizacional e compliance tem a responsabilidade de desenvolver uma visão independente do perfil de risco das unidades de negócios e desafiar a eficácia dos controles implementados.

3ª Linha de Defesa: A auditoria interna fornece garantia independente ao conselho e Coaud sobre a adequação destes processos e das estruturas de governança.

Identificação e Avaliação de Riscos:

A identificação e avaliação de riscos são realizadas por meio de ferramentas como:

Autoavaliação de Riscos: Combina elementos quantitativos e qualitativos e utiliza informações de eventos passados para avaliar os controles.

Análise de Dados de Eventos Operacionais: Identificação das causas subjacentes de falhas e deficiências nos controles, seguido pela implementação de respostas adequadas.

Monitoramento e Controle de Indicadores (KRIs): Monitoramento de métricas relacionadas ao risco e seus controles, visando garantir que a empresa permaneça dentro do apetite ao risco estabelecido.

Relatórios sobre o perfil de risco operacional devem ser abrangentes, precisos e orientados para ação, fornecendo uma visão clara sobre os riscos através de todas as unidades de negócios e produtos.

Controle e Mitigação:

O ambiente de controle deve ser uma combinação de controles tradicionais, como segregação de funções, e controles automatizados, que são cada vez mais importantes para aumentar a eficiência e a precisão no monitoramento de riscos.

As estratégias de mitigação de risco devem focar em tratar, transferir ou eliminar o risco. A transferência de risco pode ser feita, por exemplo, com seguros, mas deve-se avaliar se a apólice realmente reduz o risco ou cria novos riscos, como o risco de contraparte.

Gestão de Mudanças:

A gestão de mudanças é essencial para garantir que novos produtos, serviços, sistemas e processos sejam gerenciados de forma eficaz, devendo haver políticas claras para a aprovação e monitoramento dessas mudanças, com responsabilidades claramente atribuídas de acordo com o modelo de três linhas de defesa.

A gestão de mudanças também deve avaliar os riscos associados à evolução dos processos ao longo do tempo, desde a introdução até a conclusão, com um registro centralizado de produtos e serviços, incluindo arranjos com terceiros.

Continuidade de Negócios e Testes:

O Plano de Continuidade de Negócios (PCN) deve incluir políticas e procedimentos para garantir que as operações continuem tanto em circunstâncias normais quanto durante interrupções, além do que o plano deve ser testado regularmente para garantir que seja eficaz e inclua todas as dependências críticas, como fornecedores terceirizados.

Monitoramento e Relatórios de Riscos Operacionais:

O monitoramento contínuo e a comunicação adequada dos riscos operacionais são fundamentais para a eficiência do gerenciamento de riscos, e algumas atividades essenciais nessa etapa são:

Monitoramento do ambiente de controle: Envolve a avaliação contínua da eficácia dos controles internos e a capacidade dos sistemas e processos de gerenciar os riscos, com a análise de dados de desempenho de controles e a detecção de pontos fracos ou falhas nos processos.

Relatórios abrangentes e orientados para ação: Os relatórios de risco operacional devem ser completos, consistentes e precisos, fornecendo uma visão holística do perfil de risco da empresa, e devem garantir que as decisões estratégicas da empresa levem em consideração o perfil de risco operacional e o apetite ao risco previamente estabelecido.

Informações internas e externas: A atualização constante sobre o perfil de risco operacional deve levar em conta indicadores internos, como dados financeiros e operacionais, e externos, como mudanças no ambiente de mercado ou eventos que impactam o setor. Além disso, os relatórios devem incluir os resultados das atividades de monitoramento de risco, garantindo que os pontos críticos sejam comunicados ao conselho de administração.

Estratégia de Controle e Mitigação de Riscos:

A mitigação de riscos é uma parte importante da proteção contra eventos adversos, onde a empresa deve adotar uma estratégia robusta para tratar, eliminar ou transferir riscos conforme necessário, e as principais atividades envolvidas são:

Segregação de funções e automação: A segregação de funções dentro da empresa, aliada à automação de processos e controles, ajuda a reduzir os erros humanos e melhorar a eficiência operacional. Um exemplo clássico disso é o uso de controles automatizados em sistemas de TI para garantir que as atividades críticas sejam monitoradas de forma constante.

Avaliação de estratégias de mitigação de risco: A mitigação de risco pode envolver a transferência de riscos para terceiros, como no caso de seguros, mas é importante que a empresa avalie se o uso de seguros cria novos riscos, como o risco de contraparte, e se realmente está mitigando o risco identificado.

Planos de Continuidade de Negócios (PCN) e Testes:

Um plano de continuidade de negócios bem estruturado e testado é essencial para a resiliência operacional, e deve abranger todas as possíveis interrupções nos negócios e assegurar que a empresa tenha uma resposta eficaz para minimizar os impactos negativos. Entre os elementos-chave do PCN estão:

Planejamento adequado para cenários de contingência: O plano deve considerar diferentes cenários de interrupção, tanto internos quanto externos, como falhas de sistemas, interrupções de fornecimento de terceiros ou desastres naturais.

Testes periódicos de continuidade: O PCN deve ser testado regularmente, e os resultados desses testes devem ser utilizados para ajustar e melhorar continuamente o plano. A testagem envolve a avaliação de pessoas, processos, tecnologia e terceiros para garantir a prontidão em caso de crise.

Gestão de dependência de terceiros: A dependência de terceiros, como fornecedores e prestadores de serviços críticos, é um fator importante na resiliência operacional. A empresa deve avaliar a resiliência de seus parceiros e incluir planos de contingência para cobrir interrupções na cadeia de fornecimento.

Gestão de Mudanças e Avaliação de Riscos Associados:

A gestão de mudanças tem como objetivo garantir que quaisquer alterações nos processos, sistemas ou produtos da empresa sejam implementadas de forma segura, controlada e eficaz. Essa área é crítica para assegurar que os novos riscos introduzidos por mudanças sejam identificados, avaliados e controlados desde o início, onde os principais aspectos da gestão de mudanças são:

Aprovação formal de mudanças: Toda mudança deve ser submetida a um processo de aprovação estruturado que envolva a avaliação de riscos, controles e mitigação, com a implementação de um processo formal para revisar e aprovar novos produtos, serviços, atividades e sistemas.

Monitoramento contínuo das mudanças: Após a implementação de uma mudança, é essencial monitorar o impacto dessas alterações, verificando se os novos riscos foram devidamente mitigados e se os controles implementados estão funcionando conforme o esperado.

Registros centralizados: A empresa deve manter um registro centralizado de todas as mudanças, incluindo os novos produtos e serviços, bem como os arranjos com terceiros, o que facilita a revisão e o acompanhamento de possíveis impactos das mudanças no perfil de risco operacional da empresa.

Educação e Treinamento:

Uma parte essencial da preparação e proteção contra riscos operacionais é garantir que os funcionários, em todos os níveis, estejam adequadamente treinados para lidar com os riscos. O treinamento deve ser segmentado com base nas responsabilidades de cada indivíduo dentro da empresa:

Treinamento específico por nível hierárquico: Cada colaborador deve receber treinamento adequado ao seu papel e nível de senioridade. O treinamento deve cobrir não apenas os aspectos técnicos da gestão de riscos, mas também a promoção de uma cultura de risco forte e ética em toda a empresa.

Treinamento contínuo: À medida que novos riscos surgem e as regulamentações evoluem, é necessário que a empresa ofereça treinamento contínuo para garantir que todos os colaboradores estejam atualizados e preparados para lidar com novos desafios.

Responsabilidades do Conselho de Administração, Comitês e da Alta Gestão:

O papel do conselho de administração, seus comitês e da alta gestão na preparação e proteção contra riscos operacionais é de extrema importância, pois são diretamente responsáveis pela supervisão e implementação do framework de risco operacional e devem garantir que a cultura de gestão de riscos seja promovida em toda a empresa.

Definição do tom a partir do topo: O conselho de administração e seus comitês devem estabelecer uma cultura organizacional que valorize a gestão de riscos e práticas empresariais éticas. Isso inclui a criação e monitoramento de um código de conduta para todos os colaboradores e a garantia de que os funcionários estejam cientes de suas responsabilidades em relação à gestão de riscos.

Supervisão contínua e ajustes regulares: O conselho de administração deve revisar periodicamente a eficácia do framework de gestão de riscos operacionais, garantindo que ele seja adaptado conforme necessário para atender às mudanças no ambiente de negócios e às novas regulamentações.

A preparação e proteção formam a base para um gerenciamento eficaz de riscos operacionais e resiliência organizacional, pois com a governança robusta, controle efetivo de riscos, estratégias de mitigação claras e um foco em continuidade de negócios, a empresa pode se proteger de interrupções e estar preparada para responder rapidamente em momentos de crise.

Pilar 2 a a Construção da Resiliência:

O Pilar 2 da Construção da Resiliência aborda as estratégias e estruturas necessárias para garantir que uma empresa possa se recuperar rapidamente e continuar suas operações em caso de interrupção, o que envolve uma combinação de planejamento, alocação de recursos e testes regulares de eficácia.

Planejamento da Continuidade de Negócios (PCN) e Testes:

O planejamento da continuidade de negócios (PCN) é essencial para a resiliência operacional:

Desenvolver planos abrangentes de continuidade de negócios que sejam proporcionais ao apetite ao risco e aos cenários de contingência previstos pela empresa, e devem ser projetados para manter as operações críticas em caso de interrupções graves.

Testar regularmente os planos de continuidade para garantir sua eficácia e eficiência, e devem envolver todos os aspectos da operação, incluindo pessoas, processos, tecnologia e dependências de terceiros, assegurando que a empresa esteja preparada para enfrentar diferentes tipos de interrupções.

Avaliação de Interconexões e Interdependências:

A resiliência operacional não pode ser construída isoladamente, por isso devemos mapear suas interdependências e interconexões dentro da sua cadeia de operações como:

Identificar todas as interdependências críticas entre processos, sistemas e terceiros, em particular é relevante para entender como a falha em uma parte da cadeia pode impactar outras.

Avaliar e mitigar os riscos associados a essas interconexões, até para construir a resiliência, o que é necessário garantir que os planos de continuidade e recuperação incluam respostas adequadas a falhas nas interdependências críticas.

Gestão da Dependência de Terceiros:

A dependência de terceiros é um ponto chave na resiliência operacional. As organizações devem garantir que:

Avaliem a resiliência de seus parceiros de terceirização através de uma due diligence robusta, verificando se os terceiros possuem seus próprios planos de continuidade e recuperação de desastres, bem como realizar avaliações de contingência.

Especificar claramente nos contratos as responsabilidades de resiliência. Ao contratar terceiros, deve-se garantir que os termos de resiliência sejam explicitamente incluídos nos contratos, abordando, inclusive, a gestão do risco em níveis subsequentes.

Gestão de Incidentes e Melhoria Contínua:

Para construir a resiliência a empresa deve estar preparada para gerenciar incidentes rapidamente e melhorar continuamente seus processos de recuperação:

Implementar uma equipe de gerenciamento de crises com autoridade para coordenar a resposta a incidentes, aonde essa equipe deve ser capaz de gerir comunicações internas e externas, garantindo uma resposta rápida e eficaz a qualquer interrupção.

Melhorar continuamente os planos de resposta e recuperação com base nas lições aprendidas de incidentes anteriores e em simulações de cenários variados, pois a análise pós-incidente e a simulação são ferramentas fundamentais para garantir que os planos de recuperação estejam sempre atualizados e preparados para o próximo incidente.

Gestão de Riscos de Cibersegurança e Tecnologia da Informação e Comunicação:

A integração da gestão de riscos de cibersegurança na resiliência operacional é crítica, até para conseguir garantir uma resposta rápida a eventos que comprometam a infraestrutura de TI como:

Desenvolver uma política de governança de TI e cibersegurança, que inclua os donos dos riscos, ferramentas de segurança, avaliação periódica dos controles de cibersegurança e respostas a incidentes.

Inventariar e avaliar os ativos de informação críticos e infraestrutura como parte da gestão de riscos de TI, garantindo que as medidas de mitigação estejam proporcionais aos riscos avaliados.

Estabelecer e testar regularmente um programa de resposta e recuperação de TI, aonde esse programa deve estar preparado para eventos disruptivos externos, como a necessidade de acesso remoto, e deve prever o uso de ativos físicos de contingência.

Supervisão do Conselho, seus Comitês e da Alta Gestão:

A supervisão da eficácia da resiliência operacional, especialmente no que diz respeito à cibersegurança e à infraestrutura de TI e comunicação, deve ser conduzida pelo conselho de administração, seus comitês e pela alta gestão, sendo responsáveis por:

Garantir que as políticas de resiliência operacional sejam efetivamente implementadas e proporcione feedback contínuo com base nas mudanças no ambiente interno e externo de controle.

Incorporar a resiliência operacional como parte fundamental de qualquer decisão estratégica, o que garante que a resiliência seja considerada ao projetar novos produtos e serviços, garantindo que a organização não seja pega de surpresa por interrupções imprevistas.

Planos de Recuperação e Resolução:

Os planos de recuperação e resolução são ferramentas essenciais para garantir que a organização tenha processos claros para lidar com crises e restabelecer as operações rapidamente após uma interrupção, então para fortalecer a resiliência a empresa precisa:

Desenvolver planos detalhados de recuperação e resolução que incluam todas as operações, sistemas e tecnologias críticas. Esses planos devem ser integrados às dependências externas, como fornecedores terceirizados, e levar em conta todas as interconexões e interdependências dentro do ecossistema operacional da empresa.

Estabelecer gatilhos claros para a ativação dos planos de recuperação: Deve haver uma definição de parâmetros que indiquem quando o plano deve ser acionado. Esses parâmetros podem incluir níveis de interrupção operacional, falhas tecnológicas ou eventos críticos externos.

Testes e programas de treinamento contínuos: O plano de recuperação deve ser testado regularmente para garantir sua eficácia, envolvendo simulações que cobrem diferentes cenários de crise. Além disso os funcionários devem ser treinados para compreenderem suas responsabilidades dentro do plano de recuperação e resolução.

Cenários de Resiliência e Critérios de Classificação:

Para garantir que a organização tenha uma abordagem eficaz para gerenciar suas operações críticas durante interrupções, é importante definir cenários e critérios específicos para classificar essas operações:

Classificação de operações como críticas ou não críticas: A empresa deve estabelecer critérios claros para determinar como suas operações são classificadas, com base na importância para a continuidade do negócio e na resiliência operacional. Essa classificação pode ser baseada no impacto de interrupções nas operações, seja em termos de tempo, quantidade ou nível de serviço.

Tolerância ao impacto: Para cada operação crítica, deve ser definido um métrica de tolerância ao impacto que quantifique o nível máximo de interrupção que pode ser tolerado sem causar consequências adversas severas. Esses limites podem ser baseados em fatores como a duração da interrupção, a capacidade reduzida de fornecer serviços ou o impacto financeiro.

Planejamento proporcional ao apetite ao risco: A estratégia de resiliência deve ser adaptada ao apetite e à tolerância ao risco de cada operação. Operações com maior criticidade e menor tolerância ao impacto devem receber recursos proporcionais para assegurar sua continuidade em cenários de crise.

Alocação de Recursos Financeiros, Técnicos e Humanos:

Para implementar uma abordagem de resiliência eficaz, a empresa deve garantir que recursos adequados sejam alocados para suportar as operações críticas e os planos de recuperação, aonde os principais pontos a serem considerados incluem:

Alocação de recursos financeiros e técnicos: A alta gestão deve garantir que a empresa invista em recursos financeiros suficientes para manter a resiliência operacional, além de implementar tecnologias adequadas para apoiar os planos de recuperação e continuidade. Esses recursos também incluem a infraestrutura necessária para suportar a recuperação rápida após uma interrupção.

Recursos humanos especializados: A construção da resiliência requer a participação de pessoal com experiência e conhecimento especializados. Devendo garantir que os profissionais designados para gerenciar os planos de resiliência e recuperação tenham a estatura e a experiência necessárias para tomar decisões rápidas e informadas em momentos de crise.

Monitoramento e Melhoria Contínua da Resiliência Operacional:

Assim como em qualquer processo de gestão de riscos, a resiliência operacional exige monitoramento contínuo e adaptações baseadas em lições aprendidas de incidentes anteriores, que são:

Realizar análises de incidentes anteriores: Sempre que ocorrer uma interrupção significativa, a empresa deve conduzir uma análise de lições aprendidas, que inclua uma investigação detalhada das causas da interrupção e a eficácia das respostas implementadas. Isso permite ajustar o plano de resiliência e introduzir melhorias contínuas.

Criar um ciclo de feedback contínuo: As informações obtidas a partir de incidentes e testes de resiliência devem ser usadas para melhorar continuamente os processos de gestão de crises. A cada incidente, a empresa deve aprender com as falhas e ajustar seu planejamento de forma a reduzir as vulnerabilidades futuras.

Implementar melhorias com base nas avaliações: A resiliência operacional deve evoluir continuamente, acompanhando as mudanças tecnológicas, regulatórias e operacionais. A alta administração e o conselho de administração devem monitorar esses ajustes regularmente e garantir que a empresa permaneça preparada para novas interrupções.

Integração com as Decisões Estratégicas:

A resiliência operacional não pode ser tratada isoladamente. Ela deve ser integrada ao processo de planejamento estratégico da organização, de forma que todas as decisões críticas considerem o impacto potencial sobre a continuidade dos negócios. Algumas práticas recomendadas são:

Incorporação da resiliência nas decisões de design de produtos e serviços: A empresa deve garantir que a resiliência seja um fator fundamental na criação de novos produtos e serviços. Isso garante que, desde o início, os novos lançamentos tenham uma abordagem resiliente e estejam preparados para enfrentar desafios operacionais e de mercado.

Alinhamento da resiliência com o apetite ao risco estratégico: Ao fazer decisões estratégicas, como expansão para novos mercados ou introdução de novas tecnologias, a empresa deve considerar o impacto dessas decisões na resiliência operacional e garantir que estejam dentro do apetite ao risco definido pelo conselho de administração.

Construção da Resiliência:

A Construção da Resiliência depende de uma abordagem integrada que abrange a continuidade de negócios, a gestão de terceiros e a segurança cibernética, além de exigir uma supervisão ativa da alta administração. Com a implementação de políticas robustas de recuperação e a criação de um ciclo de feedback contínuo para melhorias, as empresas estarão melhor preparadas para enfrentar crises e minimizar os impactos de interrupções operacionais. O sucesso na construção da resiliência requer o envolvimento de toda a empresa, desde a alta administração até os operadores de nível operacional, garantindo que todos os recursos, processos e sistemas estejam prontos para responder a eventos adversos.

Pilar 3: Aprender e Adaptar-se:

O Pilar 3: Aprender e Adaptar-se enfatiza a necessidade de uma abordagem contínua de aprendizado e melhoria para fortalecer a resiliência operacional e a gestão de riscos. Este pilar destaca como as empresas podem utilizar experiências passadas, especialmente incidentes e interrupções, para aprimorar processos e se adaptar a um ambiente operacional em constante mudança.

Divulgação e Relatórios:

A transparência na comunicação de riscos operacionais é fundamental para construir confiança com as partes interessadas e promover a melhoria contínua, aonde as empresas devem:

Estabelecer uma política de divulgação de riscos operacionais: Esta política deve ser aprovada pela alta administração e pelo conselho de administração, definindo claramente os tipos de informações a serem divulgadas, a frequência e o público-alvo.

Compartilhar informações relevantes sobre exposições a riscos operacionais: Isso inclui comunicar eventos significativos de perdas operacionais, medidas de mitigação adotadas e o impacto potencial sobre as operações. A divulgação deve ser equilibrada, garantindo que informações sensíveis não comprometam a segurança ou criem novos riscos.

Descrever o framework de gestão de riscos operacionais: Fornecer detalhes sobre as políticas, processos e sistemas implementados para identificar, avaliar, monitorar e controlar os riscos operacionais. Isso permite que stakeholders compreendam a robustez das práticas de gestão de riscos da empresa.

Facilitar análises comparativas: Ao divulgar informações relevantes as empresas permitem que investidores, reguladores e o mercado em geral realizem comparações entre pares, incentivando a adoção de melhores práticas no setor.

Lições Aprendidas e Adaptação:

Após a ocorrência de incidentes ou interrupções significativas, é importante que a empresa conduza análises detalhadas para identificar oportunidades de melhoria:

Realizar exercícios de lições aprendidas: Esses exercícios devem incluir uma análise aprofundada das causas raiz dos incidentes, avaliando não apenas os sintomas, mas também os fatores subjacentes que contribuíram para a ocorrência.

Definir critérios e questões pré-estabelecidas: Antes de ocorrerem incidentes, a empresa deve elaborar um conjunto de perguntas e critérios que orientarão a análise pós-incidente, assegurando que todos os aspectos relevantes sejam considerados.

Identificar deficiências e falhas: O foco deve estar em detectar falhas nos processos, sistemas, controles ou na resposta a incidentes que possam ter contribuído para a interrupção ou agravado seu impacto.

Implementar medidas corretivas prioritárias: Com base nas descobertas, a empresa deve desenvolver um plano de ação para corrigir as deficiências identificadas, atribuindo prioridades e responsabilidades claras para a implementação das melhorias.

Melhoria Contínua por Meio de Sistemas de Feedback:

A adoção de um ciclo de feedback contínuo permite que a empresa evolua e fortaleça sua resiliência ao longo do tempo:

Estabelecer processos de feedback estruturados: Implementar mecanismos que capturem informações de diversas fontes, incluindo auditorias internas, avaliações de risco, indicadores de desempenho e feedback dos funcionários.

Integrar o feedback nos processos de gestão de riscos: As informações coletadas devem ser analisadas e incorporadas nas políticas e procedimentos, garantindo que as lições aprendidas resultem em melhorias tangíveis.

Promover uma cultura de melhoria contínua: Incentivar todos os níveis da empresa a participarem ativamente do processo de feedback, valorizando sugestões e iniciativas que contribuam para aprimorar a gestão de riscos e a resiliência.

Aprendizado e Adaptação Contínuos:

Além das respostas a incidentes específicos, as empresas devem adotar uma postura proativa de aprendizado:

Monitorar mudanças no ambiente externo: Manter-se informado sobre evoluções regulatórias, tecnológicas e de mercado que possam impactar os riscos operacionais e a resiliência.

Adaptar políticas e procedimentos: Atualizar regularmente as políticas internas para refletir as melhores práticas emergentes e responder a novos desafios ou ameaças identificadas.

Investir em capacitação: Oferecer treinamento contínuo para desenvolver as habilidades e conhecimentos dos colaboradores em gestão de riscos e resiliência, garantindo que a equipe esteja preparada para enfrentar situações adversas.

Envolvimento da Alta Administração e do Conselho de Administração

O comprometimento dos níveis mais altos da empresa é fundamental para o sucesso deste pilar:

Supervisionar e apoiar iniciativas de aprendizado: A alta administração deve liderar pelo exemplo, demonstrando compromisso com a melhoria contínua e fornecendo os recursos necessários para implementar mudanças.

Revisar regularmente a eficácia das medidas adotadas: O conselho de administração deve avaliar periodicamente os resultados dos exercícios de lições aprendidas e dos sistemas de feedback, garantindo que as ações corretivas estejam sendo efetivas.

Incorporar o aprendizado na estratégia organizacional: As lições aprendidas devem influenciar o planejamento estratégico, alinhando as iniciativas de gestão de riscos e resiliência com os objetivos de longo prazo da organização.

Aprender e Adaptar-se

O Pilar 3: Aprender e Adaptar-se destaca a importância de uma abordagem dinâmica e proativa para a gestão de riscos operacionais e a construção da resiliência. Ao estabelecer processos estruturados de análise e feedback, promover a transparência e incentivar a melhoria contínua, as organizações fortalecem sua capacidade de enfrentar desafios futuros. Este pilar reforça que a resiliência não é um estado estático, mas um processo evolutivo que requer engajamento constante de toda a empresa.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante