Artigo
24/09/2023
Atualizado em 16/04/2026

Resiliência Operacional X Continuidade de Negócios (BCM) X Gestão de Riscos Operacionais

Resiliência operacional integra gestão de riscos, continuidade de negócios e governança para preparar organizações contra crises financeiras, desastres naturais e ciberataques, alinhada a princípios regulatórios internacionais.

Imagem de capa do artigo

Queria falar hoje sobre um conceito que tenho acreditado ser cada vez mais importante na gestão de riscos, que é a chamada: "Resiliência Operacional", que é na minha visão uma importante evolução dos modelos tradicionais de Gestão de Continuidade de Negócios (BCM), e da Gestão de Riscos Operacionais.

Pois enquanto a BCM se foca em planos de recuperação e contingência para restaurar funções críticas após um evento de crise, a gestão de RO já foca na identificação e mitigação de riscos internos, enquanto que a resiliência operacional adota uma abordagem proativa e multifacetada, pois engloba não apenas riscos tecnológicos, mas também todos os demais riscos como financeiros, legais e de reputação, com objetivo de preparar a organização para se adaptar a um ambiente de negócios em constante mudança.

Aliás, não dá para falar do tema sem lembrar do conceito das 3 linhas de defesa que envolve três camadas organizacionais distintas para uma gestão de riscos eficiente. A primeira linha é a das operações, responsável pela gestão de riscos no dia a dia. A segunda linha é composta pelos departamentos de compliance e gestão de riscos, que fornecem supervisão e diretrizes. A terceira linha é a da auditoria interna, responsável por assegurar que os controles de risco sejam eficazes.

Vamos falar então alguns dos tipos de crises comuns de ver e passar, que a resiliência nos ajuda a enfrentar, como os casos do colapso de grandes instituições financeiras durante a crise financeira de 2007, que teve um efeito cascata em 2008 na economia global, que nos deixou uma importante e valiosa lição sobre a necessidade de manter capital suficiente como colchão para riscos sistêmicos e idiossincráticos, assim como sobre a gestão do risco de liquidez.

Outro tipo são os desastres naturais, como furacões, terremotos, inundações, incêndios, que apresentam desafios significativos para a continuidade dos negócios. Veja o caso do trágico Katrina que causou interrupções substanciais nas cadeias de suprimentos e infraestruturas críticas.

E mais recentemente não dá para esquecer os ataques de ransomware e phishing, que estão cada vez mais sofisticados e podem causar prejuízos enormes, como um dos casos que vivi na Travelex, que simplesmente quebrou depois de um evento traumático no réveillon de 19 para 20 pouco antes da pandemia.

O impacto das mudanças climáticas, como incêndios florestais e inundações, afetará significativamente a resiliência operacional, assim como a degradação ambiental e a perda de biodiversidade estão se tornando ameaças tangíveis que as empresas precisam levar em consideração em seus planos de resiliência operacional.

Feita esta introdução deste cenário e riscos concretos, importante falar da visão regulatória, e neste sentido não dá para não comentar que o próprio Comitê de Basileia para Supervisão Bancária divulgou não faz muito tempo alguns princípios específicos exatamente para a resiliência operacional, focando em áreas como gestão de dados, testes de estresse e recuperação de desastres.

O objetivo deles foi mais uma vez fortalecer a capacidade das instituições bancárias de resistir, adaptar-se e recuperar-se de eventos adversos significativos. Estes princípios vêm na esteira de crescentes riscos operacionais, como os decorrentes de pandemias, incidentes cibernéticos, falhas tecnológicas e desastres naturais, que têm o potencial de impactar o sistema financeiro como um todo.

Além desses princípios, o Comitê também fez revisões nos seus "Princípios para a Gestão Sólida do Risco Operacional" (mais conhecido pela sigla em inglês de: PSMOR), refletindo a relação intrínseca entre a resiliência operacional e o risco operacional. Tais revisões e princípios foram submetidos a consultas em agosto de 2020.

Queria comentar sobre os alinhamentos destes princípios com Basel III, onde estas revisões técnicas alinharam o PSMOR ao recém-finalizado arcabouço de risco operacional do Basel III, consolidando diretrizes e proporcionando uniformidade regulatória.

Essas diretrizes foram originalmente introduzidas em 2003 e revisadas em 2011, em decorrência da Grande Crise Financeira, e agora mais recentemente com a nova revisão feita em 2021, após um estudo de 2014 ter apontado deficiências na implementação e no alcance de várias áreas de risco operacional.

Podem ter acesso ao documento no link:

https://www.bis.org/bcbs/publ/d515.pdf

Segue então abaixo os 12 princípios do PSMOR de 2021 para sua informação:

  1. Governança e Cultura de Risco: Enfatiza o papel do conselho de administração na promoção de uma cultura robusta de gerenciamento de risco, reforçada por políticas e treinamentos específicos.
  2. Requisitos Gerais para o ORMF: Os bancos devem desenvolver e manter um Framework de Gerenciamento de Risco Operacional (ORMF) que seja integrado aos processos gerais de gerenciamento de risco da instituição.
  3. Deveres do Conselho em Relação ao ORMF: O conselho deve aprovar e revisar periodicamente o ORMF, garantindo sua efetiva implementação em todos os níveis decisórios.
  4. Apetite e Tolerância ao Risco: O conselho deve aprovar e revisar periodicamente uma declaração que articule os tipos e níveis de risco operacional que a instituição está disposta a assumir.
  5. Funções da Alta Direção: A alta direção deve traduzir o ORMF em políticas, procedimentos e processos específicos, garantindo que as atividades bancárias sejam realizadas por pessoal qualificado.
  6. Identificação e Avaliação de Risco Operacional: A alta direção deve assegurar uma identificação e avaliação abrangentes dos riscos operacionais inerentes a todos os produtos, atividades, processos e sistemas.
  7. Gestão de Mudanças: Deve haver políticas e procedimentos para gerir, aprovar e monitorar mudanças com base em critérios objetivos acordados.
  8. Monitoramento e Relato de Risco Operacional: Mecanismos de relato devem ser estabelecidos em vários níveis organizacionais para o gerenciamento proativo do risco operacional.
  9. Ambiente de Controle e Mitigação de Risco: Os bancos devem estabelecer um ambiente de controle sólido que inclua políticas, processos, sistemas e estratégias de mitigação de risco.
  10. Gestão de Risco de TIC: A eficácia e a segurança das Tecnologias de Informação e Comunicação (TIC) são vitais para o perfil de risco operacional do banco.
  11. ORMF e Planejamento de Continuidade de Negócios: Os bancos devem preparar Planos de Continuidade de Negócios (BCPs) que estejam alinhados com o ORMF.
  12. Divulgação: Os bancos devem divulgar informações sobre seu ORMF de forma que permita às partes interessadas avaliar a eficácia do gerenciamento de riscos operacionais.

Tudo isto está bem alinhado e compartilha sinergias com alguns dos princípios da resiliência operacional, onde quero destacar os seguintes pontos:

  • Governança: Estruturas robustas para a supervisão e gestão da resiliência operacional.
  • Gestão de Risco Operacional: Integração estreita com o PSMOR para uma abordagem holística.
  • Planejamento e Testes de Continuidade de Negócios: Protocolos de resposta e recuperação em cenários adversos.
  • Mapeamento de Interconexões e Interdependências: Entendimento de como as diversas unidades e terceiros afetam a resiliência operacional.
  • Gestão de Dependências de Terceiros: Avaliação e mitigação de riscos associados a fornecedores e parceiros.
  • Gestão de Incidentes: Planos e procedimentos para lidar com eventos inesperados.
  • Segurança Cibernética e ICT Resilientes: Fortalecimento das infraestruturas de TI contra ameaças cibernéticas.

Podem ter acesso ao texto completo original do BIS sobre o tema em:

https://www.bis.org/bcbs/publ/d516.pdf

Mas na prática como é que fazemos para implantar um modelo de resiliência operacional?

Começamos com o que chamamos de: definindo o "tom do topo", ou seja, a liderança da empresa deve ser a primeira a incorporar uma cultura de resiliência operacional, estabelecendo um tom que permeie toda a organização.

A análise de cenário eficaz envolve a avaliação de riscos em vários cenários possíveis, permitindo a definição de limiares de tolerância e a identificação de Indicadores-Chave de Risco (KRIs).

Fundamental que exista clareza nas linhas de reporte e responsabilidade, assim como que os testes regulares e auditorias internas são importantes para avaliar a eficácia das medidas de resiliência implementadas.

Para implantar um programa de resiliência operacional eficaz, é necessário seguir um conjunto de etapas bem definidas e coerentes que garantam não apenas a formação adequada dos funcionários, mas também a integração deste programa com outros aspectos do negócio. Seguem minhas dicas e pontos que deve ter atenção:

1) Política de Treinamento:

Desenvolva uma política de treinamento abrangente que detalhe o propósito, escopo, responsabilidades e procedimentos. Envie esta política à alta administração e ao RH para revisão e aprovação.

2) Análise Interdepartamental:

Realize uma análise minuciosa de como o programa afetará os vários departamentos que compõem a equipe de resiliência operacional, avaliando os recursos necessários e o impacto no fluxo de trabalho.

3) Atividades de Treinamento:

Desenvolva uma gama de atividades de treinamento variadas, que possam ser ministradas a todos os funcionários. Isso pode incluir simulações, workshops e cursos online.

4) Avaliação da Equipe:

Avalie as competências e conhecimentos atuais da equipe para determinar as necessidades de treinamento, usando métodos como testes de habilidade e avaliações de desempenho.

5) Resultados Desejados:

Defina claramente os objetivos e KPIs do programa de treinamento, de modo a alinhar as expectativas e fornecer um padrão de medida para o sucesso.

6) Treinamento Contínuo:

Estabeleça um programa de treinamento contínuo que permita atualizações e reciclagens frequentes, adaptando-se às mudanças no ambiente operacional e de mercado.

7) Variedade de Programas:

Desenvolva e ofereça uma variedade de formatos de treinamento, como guias, cursos baseados em computador e treinamentos práticos.

8) Comunicação:

Comunique a todas as partes interessadas, incluindo funcionários, clientes e fornecedores, utilizando múltiplos canais de comunicação.

9) Definir Métricas

Use métricas específicas para avaliar o sucesso do programa, como o aumento da eficiência operacional, redução de erros e melhoria dos tempos de recuperação após incidentes.

10) Facilitadores:

Identifique e valide facilitadores internos e externos, assegurando que suas credenciais sejam robustas. Considere também programas de formação de formadores.

11) Níveis de Competência:

Estabeleça níveis de competência específicos para equipes e funcionários, bem como um plano para manutenção desses níveis.

12) Recuperação de Desastres de TI:

Desenvolva planos focados em procedimentos de recuperação de desastres em TI, como failover e failback.

13) Resposta a Incidentes:

Crie programas que abordem procedimentos de resposta a incidentes e crises, incluindo avaliações e evacuações.

14) Recuperação Especializada:

Desenvolva planos em áreas especializadas, como recuperação para áreas de trabalho alternativas ou terceirização de serviços de resiliência.

15) Treinamento Interdepartamental:

Conduza treinamentos que cruzem barreiras departamentais para assegurar uma recuperação coordenada.

16) Retorno ao Normal:

Desenvolva programas que abordem as atividades necessárias para trazer a empresa de volta à operação normal após um evento crítico.

17) Restauração de Sistemas:

Planeje e implemente planos específicos para a restauração de sistemas de negócios e processos operacionais após uma interrupção.

18) Benchmarking:

Compare o programa de treinamento e seus planos com outros similares em empresas do mesmo setor para identificar áreas de melhoria.

19) Pesquisas com Funcionários:

Realize pesquisas periódicas para avaliar a eficácia dos planos e o nível de preparação dos funcionários para lidar com eventos disruptivos.

20) Lições Aprendidas:

Incorpore as lições aprendidas de desastres reais ao programa de treinamento e nos planos para melhorar continuamente a resiliência operacional.

21) Avaliações de Desempenho:

Vincule as atividades de treinamento e preparo para os planos nas avaliações anuais de desempenho e compensação dos funcionários, incentivando assim a participação ativa no programa.

22) Gestão de Atualizações:

Mantenha um sistema de gestão que forneça atualizações mensais sobre todas as atividades mantendo todos os envolvidos informados.

Seguir estas etapas garantirá uma implementação sistemática e eficaz de um programa de resiliência operacional. É crucial que cada etapa seja cuidadosamente planejada e executada, alinhando-se com os objetivos estratégicos da empresa e as melhores práticas de gestão de riscos.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante