Queria falar hoje sobre um conceito que tenho acreditado ser cada vez mais importante na gestão de riscos, que é a chamada: "Resiliência Operacional", que é na minha visão uma importante evolução dos modelos tradicionais de Gestão de Continuidade de Negócios (BCM), e da Gestão de Riscos Operacionais.
Pois enquanto a BCM se foca em planos de recuperação e contingência para restaurar funções críticas após um evento de crise, a gestão de RO já foca na identificação e mitigação de riscos internos, enquanto que a resiliência operacional adota uma abordagem proativa e multifacetada, pois engloba não apenas riscos tecnológicos, mas também todos os demais riscos como financeiros, legais e de reputação, com objetivo de preparar a organização para se adaptar a um ambiente de negócios em constante mudança.
Aliás, não dá para falar do tema sem lembrar do conceito das 3 linhas de defesa que envolve três camadas organizacionais distintas para uma gestão de riscos eficiente. A primeira linha é a das operações, responsável pela gestão de riscos no dia a dia. A segunda linha é composta pelos departamentos de compliance e gestão de riscos, que fornecem supervisão e diretrizes. A terceira linha é a da auditoria interna, responsável por assegurar que os controles de risco sejam eficazes.
Vamos falar então alguns dos tipos de crises comuns de ver e passar, que a resiliência nos ajuda a enfrentar, como os casos do colapso de grandes instituições financeiras durante a crise financeira de 2007, que teve um efeito cascata em 2008 na economia global, que nos deixou uma importante e valiosa lição sobre a necessidade de manter capital suficiente como colchão para riscos sistêmicos e idiossincráticos, assim como sobre a gestão do risco de liquidez.
Outro tipo são os desastres naturais, como furacões, terremotos, inundações, incêndios, que apresentam desafios significativos para a continuidade dos negócios. Veja o caso do trágico Katrina que causou interrupções substanciais nas cadeias de suprimentos e infraestruturas críticas.
E mais recentemente não dá para esquecer os ataques de ransomware e phishing, que estão cada vez mais sofisticados e podem causar prejuízos enormes, como um dos casos que vivi na Travelex, que simplesmente quebrou depois de um evento traumático no réveillon de 19 para 20 pouco antes da pandemia.
O impacto das mudanças climáticas, como incêndios florestais e inundações, afetará significativamente a resiliência operacional, assim como a degradação ambiental e a perda de biodiversidade estão se tornando ameaças tangíveis que as empresas precisam levar em consideração em seus planos de resiliência operacional.
Feita esta introdução deste cenário e riscos concretos, importante falar da visão regulatória, e neste sentido não dá para não comentar que o próprio Comitê de Basileia para Supervisão Bancária divulgou não faz muito tempo alguns princípios específicos exatamente para a resiliência operacional, focando em áreas como gestão de dados, testes de estresse e recuperação de desastres.
O objetivo deles foi mais uma vez fortalecer a capacidade das instituições bancárias de resistir, adaptar-se e recuperar-se de eventos adversos significativos. Estes princípios vêm na esteira de crescentes riscos operacionais, como os decorrentes de pandemias, incidentes cibernéticos, falhas tecnológicas e desastres naturais, que têm o potencial de impactar o sistema financeiro como um todo.
Além desses princípios, o Comitê também fez revisões nos seus "Princípios para a Gestão Sólida do Risco Operacional" (mais conhecido pela sigla em inglês de: PSMOR), refletindo a relação intrínseca entre a resiliência operacional e o risco operacional. Tais revisões e princípios foram submetidos a consultas em agosto de 2020.
Queria comentar sobre os alinhamentos destes princípios com Basel III, onde estas revisões técnicas alinharam o PSMOR ao recém-finalizado arcabouço de risco operacional do Basel III, consolidando diretrizes e proporcionando uniformidade regulatória.
Essas diretrizes foram originalmente introduzidas em 2003 e revisadas em 2011, em decorrência da Grande Crise Financeira, e agora mais recentemente com a nova revisão feita em 2021, após um estudo de 2014 ter apontado deficiências na implementação e no alcance de várias áreas de risco operacional.
Podem ter acesso ao documento no link:
https://www.bis.org/bcbs/publ/d515.pdf
Segue então abaixo os 12 princípios do PSMOR de 2021 para sua informação:
- Governança e Cultura de Risco: Enfatiza o papel do conselho de administração na promoção de uma cultura robusta de gerenciamento de risco, reforçada por políticas e treinamentos específicos.
- Requisitos Gerais para o ORMF: Os bancos devem desenvolver e manter um Framework de Gerenciamento de Risco Operacional (ORMF) que seja integrado aos processos gerais de gerenciamento de risco da instituição.
- Deveres do Conselho em Relação ao ORMF: O conselho deve aprovar e revisar periodicamente o ORMF, garantindo sua efetiva implementação em todos os níveis decisórios.
- Apetite e Tolerância ao Risco: O conselho deve aprovar e revisar periodicamente uma declaração que articule os tipos e níveis de risco operacional que a instituição está disposta a assumir.
- Funções da Alta Direção: A alta direção deve traduzir o ORMF em políticas, procedimentos e processos específicos, garantindo que as atividades bancárias sejam realizadas por pessoal qualificado.
- Identificação e Avaliação de Risco Operacional: A alta direção deve assegurar uma identificação e avaliação abrangentes dos riscos operacionais inerentes a todos os produtos, atividades, processos e sistemas.
- Gestão de Mudanças: Deve haver políticas e procedimentos para gerir, aprovar e monitorar mudanças com base em critérios objetivos acordados.
- Monitoramento e Relato de Risco Operacional: Mecanismos de relato devem ser estabelecidos em vários níveis organizacionais para o gerenciamento proativo do risco operacional.
- Ambiente de Controle e Mitigação de Risco: Os bancos devem estabelecer um ambiente de controle sólido que inclua políticas, processos, sistemas e estratégias de mitigação de risco.
- Gestão de Risco de TIC: A eficácia e a segurança das Tecnologias de Informação e Comunicação (TIC) são vitais para o perfil de risco operacional do banco.
- ORMF e Planejamento de Continuidade de Negócios: Os bancos devem preparar Planos de Continuidade de Negócios (BCPs) que estejam alinhados com o ORMF.
- Divulgação: Os bancos devem divulgar informações sobre seu ORMF de forma que permita às partes interessadas avaliar a eficácia do gerenciamento de riscos operacionais.
Tudo isto está bem alinhado e compartilha sinergias com alguns dos princípios da resiliência operacional, onde quero destacar os seguintes pontos:
- Governança: Estruturas robustas para a supervisão e gestão da resiliência operacional.
- Gestão de Risco Operacional: Integração estreita com o PSMOR para uma abordagem holística.
- Planejamento e Testes de Continuidade de Negócios: Protocolos de resposta e recuperação em cenários adversos.
- Mapeamento de Interconexões e Interdependências: Entendimento de como as diversas unidades e terceiros afetam a resiliência operacional.
- Gestão de Dependências de Terceiros: Avaliação e mitigação de riscos associados a fornecedores e parceiros.
- Gestão de Incidentes: Planos e procedimentos para lidar com eventos inesperados.
- Segurança Cibernética e ICT Resilientes: Fortalecimento das infraestruturas de TI contra ameaças cibernéticas.
Podem ter acesso ao texto completo original do BIS sobre o tema em:
https://www.bis.org/bcbs/publ/d516.pdf
Mas na prática como é que fazemos para implantar um modelo de resiliência operacional?
Começamos com o que chamamos de: definindo o "tom do topo", ou seja, a liderança da empresa deve ser a primeira a incorporar uma cultura de resiliência operacional, estabelecendo um tom que permeie toda a organização.
A análise de cenário eficaz envolve a avaliação de riscos em vários cenários possíveis, permitindo a definição de limiares de tolerância e a identificação de Indicadores-Chave de Risco (KRIs).
Fundamental que exista clareza nas linhas de reporte e responsabilidade, assim como que os testes regulares e auditorias internas são importantes para avaliar a eficácia das medidas de resiliência implementadas.
Para implantar um programa de resiliência operacional eficaz, é necessário seguir um conjunto de etapas bem definidas e coerentes que garantam não apenas a formação adequada dos funcionários, mas também a integração deste programa com outros aspectos do negócio. Seguem minhas dicas e pontos que deve ter atenção:
1) Política de Treinamento:
Desenvolva uma política de treinamento abrangente que detalhe o propósito, escopo, responsabilidades e procedimentos. Envie esta política à alta administração e ao RH para revisão e aprovação.
2) Análise Interdepartamental:
Realize uma análise minuciosa de como o programa afetará os vários departamentos que compõem a equipe de resiliência operacional, avaliando os recursos necessários e o impacto no fluxo de trabalho.
3) Atividades de Treinamento:
Desenvolva uma gama de atividades de treinamento variadas, que possam ser ministradas a todos os funcionários. Isso pode incluir simulações, workshops e cursos online.
4) Avaliação da Equipe:
Avalie as competências e conhecimentos atuais da equipe para determinar as necessidades de treinamento, usando métodos como testes de habilidade e avaliações de desempenho.
5) Resultados Desejados:
Defina claramente os objetivos e KPIs do programa de treinamento, de modo a alinhar as expectativas e fornecer um padrão de medida para o sucesso.
6) Treinamento Contínuo:
Estabeleça um programa de treinamento contínuo que permita atualizações e reciclagens frequentes, adaptando-se às mudanças no ambiente operacional e de mercado.
7) Variedade de Programas:
Desenvolva e ofereça uma variedade de formatos de treinamento, como guias, cursos baseados em computador e treinamentos práticos.
8) Comunicação:
Comunique a todas as partes interessadas, incluindo funcionários, clientes e fornecedores, utilizando múltiplos canais de comunicação.
9) Definir Métricas
Use métricas específicas para avaliar o sucesso do programa, como o aumento da eficiência operacional, redução de erros e melhoria dos tempos de recuperação após incidentes.
10) Facilitadores:
Identifique e valide facilitadores internos e externos, assegurando que suas credenciais sejam robustas. Considere também programas de formação de formadores.
11) Níveis de Competência:
Estabeleça níveis de competência específicos para equipes e funcionários, bem como um plano para manutenção desses níveis.
12) Recuperação de Desastres de TI:
Desenvolva planos focados em procedimentos de recuperação de desastres em TI, como failover e failback.
13) Resposta a Incidentes:
Crie programas que abordem procedimentos de resposta a incidentes e crises, incluindo avaliações e evacuações.
14) Recuperação Especializada:
Desenvolva planos em áreas especializadas, como recuperação para áreas de trabalho alternativas ou terceirização de serviços de resiliência.
15) Treinamento Interdepartamental:
Conduza treinamentos que cruzem barreiras departamentais para assegurar uma recuperação coordenada.
16) Retorno ao Normal:
Desenvolva programas que abordem as atividades necessárias para trazer a empresa de volta à operação normal após um evento crítico.
17) Restauração de Sistemas:
Planeje e implemente planos específicos para a restauração de sistemas de negócios e processos operacionais após uma interrupção.
18) Benchmarking:
Compare o programa de treinamento e seus planos com outros similares em empresas do mesmo setor para identificar áreas de melhoria.
19) Pesquisas com Funcionários:
Realize pesquisas periódicas para avaliar a eficácia dos planos e o nível de preparação dos funcionários para lidar com eventos disruptivos.
20) Lições Aprendidas:
Incorpore as lições aprendidas de desastres reais ao programa de treinamento e nos planos para melhorar continuamente a resiliência operacional.
21) Avaliações de Desempenho:
Vincule as atividades de treinamento e preparo para os planos nas avaliações anuais de desempenho e compensação dos funcionários, incentivando assim a participação ativa no programa.
22) Gestão de Atualizações:
Mantenha um sistema de gestão que forneça atualizações mensais sobre todas as atividades mantendo todos os envolvidos informados.
Seguir estas etapas garantirá uma implementação sistemática e eficaz de um programa de resiliência operacional. É crucial que cada etapa seja cuidadosamente planejada e executada, alinhando-se com os objetivos estratégicos da empresa e as melhores práticas de gestão de riscos.