A resiliência operacional está a tornar-se uma expressão cada vez mais familiar no sector dos serviços financeiros do Reino Unido. As entidades reguladoras do Reino Unido já emitiram muitas orientações – e espera-se que mais sejam emitidas à medida que os requisitos continuem a ser aperfeiçoados.

Recapitulamos aqui os últimos requisitos de resiliência operacional estabelecidos pelos reguladores para as empresas do sector dos serviços financeiros.

O que é a Resiliência Operacional?

O termo “resiliência operacional” é definido pelos reguladores – Banco de Inglaterra, Autoridade de Regulação Prudencial (PRA) e Autoridade de Conduta Financeira (FCA) – como a capacidade de prevenir, adaptar e responder, recuperar e aprender com as perturbações operacionais.

O programa de resiliência operacional foi iniciado em 2018, quando as autoridades reguladoras publicaram um documento de discussão conjunto sobre o assunto. Na altura, as autoridades reguladoras estavam preocupadas com o facto de as empresas não estarem suficientemente preparadas para lidar com as consequências de uma perturbação significativa, como um ciberataque ou uma mudança tecnológica em grande escala.

Este documento foi seguido de vários outros documentos que oferecem pormenores e recomendações adicionais sobre a forma de alcançar a resiliência operacional em geral. Esses documentos também incluíam orientações específicas sobre terceirização e gestão de terceiros. Esta informação é uma parte especialmente crítica para alcançar a resiliência operacional, uma vez que a subcontratação expõe uma organização a todas as vulnerabilidades de todos os terceiros.

As ameaças identificadas no documento de discussão original continuam a ser relevantes. Desde então, os reguladores promulgaram a Lei de Resiliência das Operações Digitais (Digital Operations Resilience Act – DORA), que alarga os requisitos de segurança operacional aos fornecedores de serviços de tecnologias de informação e comunicação (TIC) que apoiam as funções críticas para os serviços comerciais importantes de uma empresa. As organizações têm até 2025 para cumprir a DORA.

Quatro objectivos do quadro

Quatro objectivos de um quadro de resiliência operacional As autoridades reguladoras estipulam quatro objectivos principais para um quadro que promova a resiliência operacional:

  1. Minimiza os danos causados aos consumidores.
  2. Assegura a segurança e a solidez dos serviços às empresas nas organizações.
  3. Assegura a estabilidade financeira em todo o mercado.
  4. Atenua ou minimiza as perturbações do mercado.

Cumprir o Quadro de Resiliência Operacional

As regras de resiliência operacional são flexíveis, pelo que as organizações podem adotar a melhor abordagem para os seus próprios produtos e para a dimensão da empresa. Dito isto, todas as empresas de serviços financeiros são obrigadas a:

  • Identifica os seus serviços importantes que têm um impacto interno ou externo significativo na empresa.
  • Define tolerâncias de impacto para cada serviço comercial importante, quantificando a quantidade máxima de perturbação que os clientes estariam dispostos a suportar.
  • Mapeia os recursos de apoio aos serviços para ligar as pessoas, os processos, a tecnologia, as instalações e terceiros a cada serviço comercial.
  • Realiza testes de cenários em relação a serviços e recursos para validar o nível de confiança na resiliência dos serviços empresariais.
  • Aplica os ensinamentos dos testes de esforço e da experiência real para conceber medidas corretivas.
  • Estabelece um plano de comunicação – interno e externo – a seguir quando ocorre um evento.
  • Realiza uma autoavaliação anual para aprovação do conselho de administração.

Tecnologia para simplificar a conformidade da resiliência operacional

Tecnologia para simplificar a conformidade da resiliência operacionalO cumprimento bem sucedido dos requisitos acima referidos para a resiliência operacional exige a recolha, o acompanhamento e a análise de uma quantidade significativa de informações – especialmente para as organizações de maior dimensão.

Documentar serviços comerciais críticos, mapear responsabilidades e testar a resiliência pode ser demorado, perturbador e dispendioso para organizações com modelos comerciais complexos e relações com terceiros.

A tecnologia que integra as actividades e os dados da gestão do risco e da conformidade em toda a organização é essencial para simplificar os processos, centralizar os dados e proporcionar uma visibilidade clara do estado do projeto. E isso é muito difícil – se não impossível – de conseguir utilizando várias folhas de cálculo pertencentes a diferentes partes da empresa.

Para quem trabalha numa função relacionada com a gestão do risco, prepara-te para rever os teus sistemas e processos existentes para gerir o risco operacional, com vista a melhorias que apoiem a resiliência operacional. Que melhorias serão necessárias para cumprir os requisitos de resiliência operacional – e tens as ferramentas necessárias para o fazer?

Para mais informações sobre os tópicos que afectam as empresas reguladas pela FCA, transfere o nosso e-book, Desenvolver a resiliência operacional nos serviços financeirose aprende mais sobre o o software de Resiliência Operacional da Riskonnect.