A necessidade de gestão do risco operacional é mais premente do que nunca”, afirma o Instituto de Risco Operacional (IOR) no seu livro branco “Resiliência Operacional”. Orientado para ajudar os profissionais de risco a melhorar a prática da gestão do risco operacional nas suas organizações, o guia descreve os princípios da resiliência operacional, juntamente com uma série de boas práticas, exemplos e sugestões para a sua obtenção. Neste breve blogue, consideramos algumas das principais conclusões das orientações:

A resiliência operacional é um resultado, não um risco

A resiliência operacional é definida como “a capacidade de uma organização para realizar operações críticas através de perturbações” e tem sido historicamente gerida de forma proactiva através do quadro de gestão do risco operacional (ORMF) de uma organização e de forma reactiva através da gestão da continuidade, da resposta a incidentes e do planeamento de crises ou de recuperação. A resiliência operacional é o resultado da eficácia destas actividades de gestão do risco, pelo que a sua gestão exige coordenação e compreensão entre todas elas“.

Qual é a melhor abordagem para a tua organização?

Assumindo a posição de que a resiliência operacional é uma componente do ORMF e deve ser gerida no seu âmbito, o IOR reconhece que, particularmente nas empresas de maior dimensão, as equipas ou funções de resiliência operacional podem ter sido criadas independentemente do risco operacional e dos quadros de apoio (TI, cibernética, continuidade do negócio, gestão de incidentes, etc.). Ao decidir o que seria mais adequado para a tua empresa, o IOR sugere que se tenha em consideração

  • A dimensão e o âmbito da organização
  • A amplitude dos serviços oferecidos
  • Maturidade relativa dos quadros de gestão de riscos proactivos e reactivos existentes

Analisa o risco através de uma perspetiva de “serviço

De acordo com o IOR, “a resiliência operacional exige que as organizações analisem o risco através de uma lente de serviço, e não apenas pelo sistema, negócio ou área operacional. Embora isto exija uma mudança de mentalidade, a resiliência operacional é um resultado, não um risco, pelo que as principais actividades para gerir os riscos que, em conjunto, determinam a resiliência operacional devem seguir os processos de gestão do risco existentes e utilizar as estruturas existentes, sempre que possível, para o fazer”. Uma vez que a colaboração pode melhorar a governação da resiliência operacional, é aconselhável identificar todos os serviços empresariais, definindo cada um deles como “um serviço que uma organização presta a um utilizador final externo” considerado importante se “a sua interrupção tiver um impacto material na viabilidade (financeira ou operacional) de uma organização, causar danos consideráveis aos clientes ou afetar a sua capacidade de cumprir a estratégia aprovada pelo Conselho de Administração”.

Mapeamento de processos, medição do impacto do serviço

Porque é que os processos devem ser mapeados? De acordo com o IOR, permite identificar e gerir os principais riscos operacionais (pessoas, processos e sistemas) associados à prestação de um serviço. “Compreender a forma como um serviço é prestado e como pode ser interrompido permite que as organizações implementem medidas proporcionais para evitar a interrupção do serviço e, consequentemente, pode criar valor através da racionalização das actividades de controlo existentes baseadas em silos.” Uma vez que o mapeamento é provavelmente uma tarefa importante, o IOR aconselha que faça referência ao conteúdo do registo de riscos de uma organização, o que ajudará a concentrar-se nos maiores riscos e no seu impacto (em vez da sua probabilidade). Vale a pena lembrar que a resiliência é “dinâmica e, por conseguinte, as medidas devem, sempre que possível, ser orientadas por dados e poder ser medidas o mais próximo possível do tempo real para apoiar uma ação rápida caso ocorra um evento operacional que tenha impacto na prestação de serviços”.

Definir a tolerância de impacto

A secção 5 do Livro Branco sobre Resiliência Operacional especifica a determinação e a definição de tolerâncias de impacto para serviços comerciais importantes. “A tolerância será normalmente expressa em termos de tempo de interrupção do serviço (isto será obrigatório para as organizações de serviços financeiros do Reino Unido), mas também pode ser utilizada em combinação com outras métricas relevantes (por exemplo, o número de clientes afectados ou o volume de produção). O conselho do IOR é que as tolerâncias devem ser estabelecidas no ponto ou antes do ponto em que a interrupção causaria um risco intolerável – danos aos consumidores/participantes do mercado, danos financeiros à própria organização ou à sua licença para operar.

Teste, monitorização e controlo de cenários de resiliência operacional

O Instituto recomenda que os cenários de resiliência operacional sejam concebidos e testados da mesma forma que o são para o risco operacional. Embora os resultados sejam diferentes, serão úteis para a governação e a conformidade, bem como para apoiar a tomada de decisões estratégicas e operacionais. Sugere-se que a resiliência operacional seja considerada no âmbito dos actuais fóruns e relatórios de gestão do risco operacional. “A regra geral deve ser a de utilizar a informação existente e, sempre que possível, não complicar demasiado. O objetivo é identificar os riscos emergentes que podem afetar a capacidade de uma organização para fornecer IBS (ou manter-se dentro da tolerância de impacto no caso de uma interrupção) e, quando apropriado, tomar medidas para os mitigar.” Uma vez que a gestão da resiliência operacional consiste em esperar mudanças e reagir a eventos externos, a monitorização deve ter em conta:

  • Interdependência e interconexões entre sistemas e serviços
  • Dependências deterceiros e subcontratação
  • O ambiente externo

Considera os processos de gestão de riscos existentes

O IOR aconselha que as práticas de gestão de risco existentes devem ser referenciadas em primeiro lugar, uma vez que contêm muitos dos dados e práticas proactivas e reactivas necessárias para gerir a resiliência operacional. Também pode ser útil lembrar que Roma não foi construída num dia. A resiliência operacional “é uma disciplina em evolução e os quadros e políticas de gestão da resiliência operacional devem ser concebidos para apoiar a tomada de decisões ágeis e ser adaptáveis para responder a ameaças, questões e regulamentos emergentes”.