Artigo
15/08/2025

Resiliência Operacional e Continuidade de Negócios: você sabe a diferença?

Diferencia resiliência operacional e continuidade de negócios, destacando conceitos, práticas e evolução regulatória.

Avatar Victor Machado

Registros selecionados

Imagem de capa do artigo

A Continuidade de Negócios e a Resiliência Operacional são conceitos intimamente relacionados, ambos destinados a garantir a capacidade de uma organização continuar funcionando diante de interrupções, mas têm escopos e abordagens bem diferentes.

A Continuidade de Negócios, antecessora da Resiliência Operacional, sempre fez parte do arcabouço de Gestão de Risco Operacional das organizações de serviços financeiros. As atividades tradicionais de continuidade de negócios incluíam a conclusão de uma análise periódica do impacto nos negócios (Business Impact Analysis - BIA), a atualização e teste dos planos de contingência anualmente, treinamentos específicos para os times envolvidos nesses planos e a solicitação a todos os funcionários para conhecer e armazenar devidamente uma cópia dos planos consigo.

Com a crescente digitalização e a dependência da tecnologia, ao longo dos anos, o aumento do risco de perturbações graves fez com que a continuidade dos negócios ganhasse mais foco e ampliasse seu escopo. As organizações começaram a aumentar a profundidade das suas capacidades de recuperação e a frequência dos seus testes.

Depois, após uma série de falhas significativas no sistema, a resiliência operacional ganhou claramente destaque em 2018, quando um documento de discussão conjunta das autoridades reguladoras do Reino Unido introduziu o conceito de “tolerâncias ao impacto”, o que levou as empresas a começarem a pensar seriamente sobre os tipos de falhas que podem ocorrer e que seriam intoleráveis tanto para os seus clientes como para os mercados de serviços financeiros (o link para esse documento do Banco da Inglaterra está no final desse artigo).

Esta iniciativa gerou um debate mundial importante, inclusive com o estabelecimento da definição formal de Resiliência Operacional como “a capacidade de uma organização de identificar e se proteger contra ameaças e falhas potenciais, responder e adaptar-se, bem como recuperar e aprender com eventos disruptivos”.

Desnecessário dizer que a ênfase das empresas e dos reguladores durante a pandemia de Covid-19 em 2020 foi quase inteiramente colocada na questão da resiliência. A Covid-19 redirecionou a discussão para uma área que antes estava largamente relacionada com a tecnologia.

Conforme observado pelo Banco de Compensações Internacionais (Bank of International Settlements – BIS), o planejamento da resiliência operacional antes da pandemia tinha sido impulsionado principalmente pelas “vulnerabilidades provocadas pela mudança tecnológica e por um ambiente cibernético cada vez mais hostil”.

A Covid-19, por outro lado, criou uma experiência bastante diferente, com as organizações tendo de lidar com uma perturbação generalizada e duradoura que teve um impacto significativo no seu ativo mais importante: os seus colaboradores.

Características de um Programa de Resiliência Operacional

De forma geral, o ciclo de vida da resiliência operacional pode ser descrito em 5 etapas:

1. Identificação dos serviços de negócios relevantes

Para ser operacionalmente resiliente, uma organização precisa de conseguir uma mudança de mentalidade, desenvolvendo uma visão “de fora para dentro”, ou seja, como um cliente a veria. Do ponto de vista do cliente, quando um serviço ou produto esperado não é entregue ou um compromisso não é cumprido, não é visível nem importante se o processo falhou nas operações, na tecnologia ou em alguma outra área. É apenas o resultado – a falha na entrega final do produto ou serviço – que importa. Neste contexto, torna-se cada vez mais importante que as organizações compreendam a interligação dos diferentes processos e aproveitem uma mentalidade de serviços de ponta a ponta; aquele em que os funcionários olham além de seus estreitos silos para o impacto no cliente final. A tarefa de mapear os serviços de negócios importantes pode ter como ponto de partida a revisão de Auto Avaliações de Riscos e Controles (Risk and Control Self Assessments - RCSA) baseados em processos, que já foram executados como parte da estrutura de gestão risco operacional.

2. Mapeamento de dependências

A maioria das organizações possui estruturas formais, políticas e mapas de processos que documentam seus serviços e listam dependências. Mas há um lado “mais suave” igualmente (se não mais) importante neste processo, através do qual os colaboradores melhoram a sua compreensão de como aquilo que fazem tem impacto em toda a cadeia de produção da organização e nos clientes externos. Quando a equipe consegue visualizar essa interconexão, isso permite ações preventivas mais ponderadas e robustas e respostas mais rápidas e coerentes. Os funcionários têm essa mentalidade centrada no cliente? E se não, que formação e educação são fornecidas pelos colegas de risco e resiliência para melhorá-la? As equipes de risco operacional já têm o hábito de ministrar treinamento e educação aos colaboradores, o que proporciona uma excelente oportunidade para incorporar alguns componentes de resiliência, em vez de criar programas de formação separados.

3. Definição de tolerâncias de impacto e teste via cenários

As tolerâncias ao impacto articulam o nível máximo tolerável de interrupção de um serviço de negócio importante, incluindo a duração da interrupção. Definir essas tolerâncias exige que as organizações pensem nos piores cenários, o que pode criar uma sobreposição significativa entre os universos de risco operacional e resiliência. A análise de cenários de risco operacional pode muito bem abordar tópicos importantes (como fraude, incumprimento regulamentar ou processos judiciais trabalhistas) mas que possuem muito mais impacto nas questões de cálculo de capital de risco requerido do que nas capacidades de resiliência dos serviços de negócio relevantes da organização. Porém, muitas vezes são avaliados cenários de risco operacional onde dificilmente se pode esperar que uma empresa detenha capital contra o risco, como por exemplo, grandes avarias na infraestrutura externa, indisponibilidade do fornecimento de energia ou da rede nacional de pagamentos. Consequentemente, existe uma área de sobreposição entre os cenários de resiliência operacional e os cenários de risco operacional, que consiste em temas de interesse mútuo. Estes podem incluir: terceirização e falhas de fornecedores, indisponibilidade de pessoas, tempo de inatividade da tecnologia, corrupção de dados, destruição das instalações etc. Esses temas são relevantes para ambas as disciplinas e, ao se trabalhar em conjunto, os enredos dos cenários podem ser alinhados, enriquecendo toda a experiência de ambos os lados.

4. Monitoramento, gerenciamento e tratamento de interrupções

Para permanecer dentro das tolerâncias ao impacto de forma contínua, é fundamental ser capaz de evitar e recuperar de perturbações dentro de prazos e parâmetros definidos, e identificar e gerir proativamente ameaças e vulnerabilidades. Cada organização deve decidir como a resiliência operacional se enquadra na sua taxonomia de riscos, permitindo fluxos de informação transparentes e significativos em toda a organização. Uma área de potencial interação entre resiliência e gestão de risco operacional é a de captura e reporte de eventos de risco operacional. As organizações podem procurar implementar uma única rota de notificação para eventos perturbadores relevantes, sejam eles relacionados à TI ou não. O canal utilizado para reportar eventos materiais de risco operacional pode ser claramente seguido para uma escalada rápida, integrado com um plano de comunicação de crises que descreva como será a comunicação com as partes interessadas internas e externas durante uma interrupção. Isto permite que a organização responda mais rapidamente a um evento, bem como se comunique prontamente com clientes, funcionários e reguladores.

5. Lições aprendidas e autoavaliação de conformidade com processo

As lições aprendidas e a autoavaliação de conformidade são componentes essenciais de um processo de Resiliência Operacional, ajudando as organizações a melhorar a sua resiliência, a adaptar-se às mudanças nas circunstâncias e a garantir a conformidade com regulamentos e padrões relevantes. Essa etapa, quando bem implementada, deve obrigatoriamente incluir:

  • Análise pós-incidente: avaliação do que deu certo e o que não deu durante os esforços de resposta e recuperação do incidente. Esta análise pode ajudar a identificar lacunas, pontos fracos e áreas de melhoria nas estratégias de resiliência operacional.

  • Documentação: a documentação deve incluir detalhes sobre o incidente, as ações tomadas, os resultados e quaisquer recomendações de melhoria. Crie um repositório centralizado para essas lições, tornando-as facilmente acessíveis às equipes relevantes.

  • Análise da causa raiz (ou fator de risco): compreender os problemas subjacentes que levaram ao incidente pode ajudá-lo a resolvê-los de forma eficaz para evitar interrupções semelhantes no futuro.

  • Melhoria contínua: atualização das estratégias, políticas e procedimentos de resiliência operacional com base nos insights obtidos.

  • Treinamento e conscientização: incorporação das lições aprendidas nos programas de treinamento e conscientização dos funcionários.

Importante lembrar que as lições aprendidas que são úteis para fins de resiliência operacional podem já existir no espaço de gestão de risco operacional, por exemplo, a partir do registro e análise eventos de risco. A estrutura, formato e rigor do processo de gestão de eventos de risco podem ser replicados para fins de resiliência e implementados em toda a organização.

Com base em tudo que foi descrito acima, eu entendo que a Continuidade de Negócios, como parte integrante da Gestão de Risco Operacional, pode ser encarada como um subconjunto da Resiliência Operacional, com um foco mais restrito na continuidade de funções e processos críticos da própria organização, ou seja, possui um olhar de “dentro para dentro".

A Resiliência Operacional, por outro lado, abrange um conjunto mais amplo de estratégias e práticas que visam garantir a capacidade de uma organização se adaptar e prosperar face a perturbações, incluindo funções críticas e não críticas, que impactem de maneira significativa os processos de negócio mais importantes para a organização e que afetem os seus clientes, ou seja, um olhar de “fora para dentro".

Embora a Continuidade de Negócios seja um componente essencial da Resiliência Operacional, esta última adota uma abordagem mais abrangente e holística à gestão de riscos e ao planeamento da resiliência. Porém, é óbvio que a Resiliência Operacional se beneficia de uma gestão eficaz de risco operacional.

É essencial que as organizações garantam que os seus arcabouços de gestão de risco existentes, que seus planos de continuidade de negócio e que o gerenciamento de dependências de terceiros estejam implementados de forma consistente, de forma que estejam integrados com o processo de Resiliência Operacional. Para garantir essa integração, as organizações devem garantir que:

  • A resiliência operacional não seja tratada como uma categoria taxonômica separada, mas como resultado da materialização dos riscos operacionais.

  • Os enredos dos cenários de risco operacional sejam comparados e revisados em relação aos cenários de resiliência.

  • Os resultados do RCSAs também sejam considerados no âmbito da resiliência operacional e, sempre que possível, devem ser utilizados RCSAs baseados em processos.

  • Análises preliminares no sentido da convergência da escalada de eventos de risco com outros tipos de incidentes (por exemplo, relacionados com a tecnologia), em um trabalho conjunto com a equipe de TI.

No futuro, com certeza ocorrerão inevitavelmente perturbações mais repentinas e específicas do que a Covid-19. Nestas circunstâncias, as organizações que investiram na construção de capacidades sólidas de resiliência – com profissionais de risco e resiliência trabalhando de forma sinérgica – serão aquelas que estarão mais bem preparadas para esses novos desafios.

Referências

Bank of England, Prudential Regulation Authority, Financial Conduct Authority (2018) Building the UK Financial Sector’s Operational Resilience www.bankofengland.co.uk/-/media/boe/files/prudential-regulation/discussion-paper/2018/dp118.pdf

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Perguntas e respostas

Qual o objetivo comum da Continuidade de Negócios e da Resiliência Operacional e quais suas principais diferenças?
A Continuidade de Negócios e a Resiliência Operacional são conceitos que buscam assegurar a capacidade de uma organização de manter suas operações diante de interrupções.Apesar do objetivo comum, elas possuem escopos e abordagens distintas. A Continuidade de Negócios é considerada antecessora da Resiliência Operacional e foca mais na continuidade das funções e processos críticos internos da organização. Já a Resiliência Operacional adota uma perspectiva mais ampla, visando garantir que a organização possa se adaptar e prosperar frente a perturbações, considerando impactos nos clientes e nos serviços de negócios mais importantes.
Quais atividades eram tradicionalmente associadas à Continuidade de Negócios em organizações de serviços financeiros?
As atividades tradicionais de Continuidade de Negócios em organizações de serviços financeiros compreendiam diversas práticas. Entre elas, destacavam-se: a realização periódica de uma análise de impacto nos negócios, conhecida como Business Impact Analysis - BIA; a atualização e o teste anual dos planos de contingência; a organização de treinamentos específicos para as equipes envolvidas na execução desses planos; e a orientação para que todos os funcionários conhecessem e mantivessem consigo uma cópia dos referidos planos.Essas atividades eram parte integrante do arcabouço de Gestão de Risco Operacional dessas organizações.
Qual evento marcou o destaque da Resiliência Operacional e introduziu o conceito de "tolerâncias ao impacto"?
A Resiliência Operacional ganhou destaque em 2018, impulsionada por um documento de discussão conjunta das autoridades reguladoras do Reino Unido. Este documento introduziu o conceito de "tolerâncias ao impacto".Essa iniciativa levou as empresas a refletirem sobre os tipos de falhas que seriam intoleráveis para seus clientes e para os mercados de serviços financeiros, gerando um debate global significativo. O documento em questão é o "Building the UK Financial Sector’s Operational Resilience", publicado pelo Banco da Inglaterra, Autoridade de Regulação Prudencial e Autoridade de Conduta Financeira em 2018. Você pode consultá-lo através do link: www.bankofengland.co.uk/-/media/boe/files/prudential-regulation/discussion-paper/2018/dp118.pdf.
Como a Resiliência Operacional é formalmente definida?
A Resiliência Operacional é formalmente definida como "a capacidade de uma organização de identificar e se proteger contra ameaças e falhas potenciais, responder e adaptar-se, bem como recuperar e aprender com eventos disruptivos".
De que forma a pandemia de Covid-19 em 2020 influenciou o foco na Resiliência Operacional?
Durante a pandemia de Covid-19 em 2020, a ênfase das empresas e dos reguladores foi fortemente direcionada para a questão da resiliência.Antes da pandemia, o planejamento da resiliência operacional era impulsionado principalmente por vulnerabilidades tecnológicas e um ambiente cibernético hostil, conforme observado pelo Banco de Compensações Internacionais (Bank of International Settlements – BIS). A Covid-19, no entanto, representou um tipo diferente de perturbação: generalizada, duradoura e com impacto significativo no principal ativo das organizações, seus colaboradores. Isso redirecionou a discussão sobre resiliência para além das questões puramente tecnológicas.
Quais são as cinco etapas que descrevem o ciclo de vida da Resiliência Operacional?
O ciclo de vida da Resiliência Operacional é geralmente descrito em cinco etapas principais.A primeira etapa é a Identificação dos serviços de negócios relevantes, que envolve adotar uma visão "de fora para dentro", focada na perspectiva do cliente e na entrega de produtos ou serviços.A segunda etapa consiste no Mapeamento de dependências, com o objetivo de compreender como as atividades internas se interligam e impactam a cadeia de produção e os clientes externos.A terceira etapa é a Definição de tolerâncias de impacto e teste via cenários, na qual se estabelece o nível máximo tolerável de interrupção para serviços importantes e se testam esses limites.A quarta etapa refere-se ao Monitoramento, gerenciamento e tratamento de interrupções, que busca desenvolver capacidades para evitar e recuperar de perturbações dentro dos prazos e parâmetros definidos.Finalmente, a quinta etapa são as Lições aprendidas e autoavaliação de conformidade com processo, onde se analisam incidentes, documentam-se aprendizados e melhoram-se continuamente as estratégias de resiliência.
Qual a importância da visão "de fora para dentro" ao identificar serviços de negócios relevantes para a Resiliência Operacional?
Adotar uma visão "de fora para dentro" significa que a organização deve se enxergar pela perspectiva de seus clientes. Do ponto de vista do cliente, o que importa é a entrega final do produto ou serviço esperado, e não onde ocorreu uma falha interna (seja em operações, tecnologia ou outra área).Essa abordagem enfatiza a necessidade de as organizações compreenderem a interligação dos diferentes processos e cultivarem uma mentalidade de serviços de ponta a ponta. Isso implica que os funcionários devem olhar além de suas áreas específicas e considerar o impacto de suas ações no cliente final.Um ponto de partida para mapear esses serviços pode ser a revisão de Auto Avaliações de Riscos e Controles (Risk and Control Self Assessments - RCSA) baseados em processos.
Por que o mapeamento de dependências é uma etapa crucial na Resiliência Operacional?
O mapeamento de dependências é crucial para a Resiliência Operacional porque permite que os colaboradores compreendam melhor como suas atividades individuais impactam toda a cadeia de produção da organização e, consequentemente, os clientes externos. Embora muitas organizações possuam estruturas formais, políticas e mapas de processos que documentam serviços e listam dependências, existe um aspecto "mais suave" e igualmente importante.Quando a equipe consegue visualizar essa interconexão, possibilita ações preventivas mais ponderadas e robustas, além de respostas mais rápidas e coerentes a incidentes. Uma mentalidade centrada no cliente é fundamental, e treinamentos podem ser oferecidos para aprimorá-la, muitas vezes integrando componentes de resiliência aos treinamentos já existentes de risco operacional.
O que significa "tolerâncias ao impacto" e qual sua relação com os cenários de risco operacional?
No contexto da Resiliência Operacional, "tolerâncias ao impacto" referem-se ao nível máximo tolerável de interrupção de um serviço de negócio importante, incluindo a duração máxima dessa interrupção.Definir essas tolerâncias exige que as organizações considerem os piores cenários possíveis, o que pode criar uma sobreposição significativa com os cenários de risco operacional. No entanto, nem todos os cenários de risco operacional são diretamente relevantes para a resiliência dos serviços (por exemplo, fraudes que impactam mais o capital). Por outro lado, cenários como grandes avarias em infraestrutura externa ou indisponibilidade de redes de pagamento, onde não se espera que a empresa detenha capital contra o risco, são muito relevantes para a resiliência.Existe uma área de sobreposição entre cenários de resiliência e de risco operacional, incluindo temas como falhas de terceiros, indisponibilidade de pessoal, problemas tecnológicos, corrupção de dados e destruição de instalações. Alinhar os enredos desses cenários pode enriquecer ambas as disciplinas.
Qual o papel do monitoramento, gerenciamento e tratamento de interrupções na manutenção da Resiliência Operacional?
O monitoramento, gerenciamento e tratamento de interrupções são fundamentais para que uma organização permaneça continuamente dentro das suas tolerâncias ao impacto. Isso envolve a capacidade de evitar e recuperar de perturbações dentro de prazos e parâmetros definidos, além de identificar e gerir proativamente ameaças e vulnerabilidades.Cada organização deve integrar a Resiliência Operacional em sua taxonomia de riscos para permitir fluxos de informação transparentes. Uma área de interação importante com a gestão de risco operacional é a captura e o reporte de eventos de risco. Implementar uma rota única de notificação para eventos disruptivos relevantes (sejam de TI ou não), integrada a um plano de comunicação de crises, permite uma resposta mais rápida e uma comunicação eficaz com clientes, funcionários e reguladores.
Quais elementos devem ser incluídos na etapa de "Lições Aprendidas e Autoavaliação de Conformidade" de um processo de Resiliência Operacional?
A etapa de "Lições Aprendidas e Autoavaliação de Conformidade" é vital para melhorar a resiliência e garantir a conformidade. Quando bem implementada, deve obrigatoriamente abranger os seguintes componentes:Um componente é a Análise pós-incidente, que consiste na avaliação do que funcionou e o que não funcionou durante os esforços de resposta e recuperação de um incidente. Essa análise pode ajudar a identificar lacunas, pontos fracos e áreas de melhoria nas estratégias de resiliência operacional.Outro elemento é a Documentação, que deve incluir detalhes sobre o incidente, as ações tomadas, os resultados e quaisquer recomendações de melhoria. É importante criar um repositório centralizado para essas lições, tornando-as facilmente acessíveis às equipes relevantes.A Análise da causa raiz (ou fator de risco) também é fundamental, pois compreender os problemas subjacentes que levaram ao incidente pode ajudar a resolvê-los de forma eficaz para evitar interrupções semelhantes no futuro.A Melhoria contínua é outro aspecto, envolvendo a atualização das estratégias, políticas e procedimentos de resiliência operacional com base nos insights obtidos.Por fim, o Treinamento e conscientização são importantes, incorporando as lições aprendidas nos programas de treinamento e conscientização dos funcionários.É importante lembrar que as lições aprendidas úteis para a resiliência operacional podem já existir no contexto da gestão de risco operacional, por exemplo, a partir do registro e análise de eventos de risco, e sua estrutura pode ser replicada.
Qual é a relação entre Continuidade de Negócios e Resiliência Operacional, e qual a principal diferença em seus focos?
A Continuidade de Negócios pode ser considerada um subconjunto da Resiliência Operacional. Ela possui um foco mais restrito na continuidade de funções e processos críticos da própria organização, adotando uma perspectiva de "dentro para dentro".Por outro lado, a Resiliência Operacional abrange um conjunto mais amplo de estratégias e práticas. Seu objetivo é garantir a capacidade de uma organização se adaptar e prosperar diante de perturbações, considerando tanto funções críticas quanto não críticas que impactem significativamente os processos de negócio mais importantes para a organização e seus clientes. A Resiliência Operacional adota uma perspectiva de "fora para dentro".Embora a Continuidade de Negócios seja um componente essencial, a Resiliência Operacional representa uma abordagem mais abrangente e holística à gestão de riscos e ao planejamento da resiliência.
Que medidas as organizações podem tomar para integrar eficazmente a Resiliência Operacional com seus arcabouços de Gestão de Risco Operacional?
Para assegurar uma integração eficaz entre a Resiliência Operacional e a Gestão de Risco Operacional, as organizações devem garantir que seus atuais arcabouços de gestão de risco, planos de continuidade de negócio e o gerenciamento de dependências de terceiros estejam implementados de modo consistente e alinhados com o processo de Resiliência Operacional. Algumas medidas específicas podem ser adotadas:Primeiramente, a Resiliência Operacional não deve ser tratada como uma categoria taxonômica separada, mas sim como um resultado da materialização dos riscos operacionais.Em segundo lugar, os enredos dos cenários de risco operacional devem ser comparados e revisados em relação aos cenários de resiliência.Adicionalmente, os resultados das Auto Avaliações de Riscos e Controles (Risk and Control Self Assessments - RCSA) também devem ser considerados no âmbito da Resiliência Operacional e, sempre que possível, deve-se dar preferência a RCSAs baseados em processos.Por fim, é recomendável realizar análises preliminares visando a convergência da escalada de eventos de risco com outros tipos de incidentes, como aqueles relacionados à tecnologia, em um trabalho conjunto com a equipe de TI.
Por que é importante que os profissionais de risco e resiliência trabalhem de forma sinérgica nas organizações?
É importante que os profissionais de risco e resiliência trabalhem de forma sinérgica porque, no futuro, ocorrerão inevitavelmente perturbações repentinas e específicas.As organizações que investiram na construção de capacidades sólidas de resiliência, com essa colaboração entre as áreas de risco e resiliência, estarão mais bem preparadas para enfrentar esses novos desafios.

Autor

Foto de perfil de Victor Machado

Victor Machado

Director, Risk Management @Mastercard | Turning risks into opportunities | Doing well by doing good

Tags

Itens vinculados

Nenhum item vinculado a este artefato.

Recomendações

Artigo

Resiliência Operacional - Muito Além da Continuidade de Negócios

Artigo

Quando a Resiliência deixa de ser Discurso e vira Prática

Artigo

Gestão de Risco de TI Não é Somente Sobre Gestão de Risco de TI