O Gabinete do Superintendente das Instituições Financeiras do Canadá – OSFI – é o mais recente de uma longa lista de organismos de gestão a publicar novos requisitos para a resiliência operacional.
A Diretriz E-21 foi publicada em 22 de agosto de 2024, e o OSFI espera que as instituições financeiras regulamentadas pelo governo federal cumpram integralmente a orientação até 1º de setembro de 2026. As FRFI incluem bancos e companhias de seguros canadianos, bem como as suas congéneres estrangeiras com operações no Canadá.
À semelhança de outras regulamentações sobre resiliência operacional, o objetivo é ajudar as instituições financeiras a melhorar a sua capacidade de prevenir, detetar, responder e recuperar de eventos adversos, continuando a realizar operações críticas. A versão do OSFI combina elementos de gestão de risco empresarial com continuidade de negócios para reforçar a resiliência de forma abrangente.
Embora a diretriz introduza novos requisitos, baseia-se em grande medida nas práticas existentes. Para cumprir integralmente, terás de colaborar com as equipas de risco e resiliência para estabelecer um quadro claro de gestão do risco operacional.
A boa notícia é que a maioria das organizações já deve ter as peças básicas deste puzzle. Começa por aí e depois utiliza as diretrizes como um quadro estruturado para melhorar e validar a resiliência.
Os quatro pilares da Orientação E-21 da OSFI
A Orientação E-21 estabelece expectativas para o risco operacional e a resiliência em quatro áreas principais:
Governação. A orientação refere que a direção deve ser responsável pelo desenvolvimento, implementação e supervisão de um quadro eficaz de gestão do risco operacional e de uma abordagem de resiliência, assegurando uma clara responsabilização, recursos adequados e uma forte cultura de risco. As funções empresariais e centrais devem gerir os riscos operacionais e encaminhar as questões de forma adequada. São incluídas diretrizes adicionais para as funções de supervisão independente e de auditoria interna.
Gestão do risco operacional. As empresas devem ter um quadro eficaz de gestão do risco operacional, que inclua uma apetência pelo risco definida, políticas, ferramentas de monitorização e métodos de avaliação para gerir os riscos relacionados com pessoas, processos, sistemas e eventos externos. Devem existir análises, monitorização e relatórios regulares, bem como um sistema de escalonamento para informar a direção e o conselho de administração sobre preocupações significativas.
Resiliência operacional. As empresas devem identificar e mapear as operações críticas, avaliar as dependências e garantir que podem suportar perturbações graves, mas plausíveis, dentro das tolerâncias estabelecidas. Devem ser efectuados testes regulares de cenários, incluindo simulações e coordenação com terceiros, para aperfeiçoar as estratégias de resistência e melhorar a capacidade de gerir eficazmente as crises.
Áreas-chave da gestão do risco operacional que reforçam a resiliência operacional. Para apoiar a resiliência operacional, as empresas devem também aderir às expectativas definidas para outras disciplinas de gestão de riscos, incluindo a continuidade das actividades, a recuperação de desastres, a gestão de crises, a gestão da mudança, o risco tecnológico e cibernético, o risco de terceiros e o risco de dados.
Como se preparar para a Orientação E-21 da OSFI
Aqui estão cinco passos para te ajudar a cumprir estes requisitos:
1. Cria um comité interdisciplinar. A Diretriz E-21 realça a necessidade de várias disciplinas de risco para reforçar a resiliência. Começa por estabelecer um líder organizacional para dirigir um comité de conformidade e liderar a comunicação entre as equipas de GRC, TI e continuidade do negócio.
2. Realiza uma análise das lacunas. Faz o ponto de situação dos teus programas de risco actuais, revendo as políticas e procedimentos dos teus programas de risco operacional, continuidade do negócio, recuperação de desastres, risco de terceiros, risco tecnológico, gestão de crises e governação de dados em relação aos novos requisitos. Analisa quais os requisitos que já são cumpridos e quais os que necessitam de maior desenvolvimento e, em seguida, cria um plano de ação claro utilizando a Diretriz E-21 como validação.
3. Reforçar a governação e a supervisão dos riscos. Estabelece funções, responsabilidades e responsabilização claras entre a gestão de topo, as unidades de negócio e as funções de risco. Fornece formação, melhora os relatórios de risco para maior clareza e permite que as funções de supervisão desafiem as práticas e garantam a adesão à sua apetência e tolerâncias de risco definidas.
4. Mapeia e avalia as operações críticas. Identifica as operações críticas – também conhecidas como serviços empresariais importantes – e as suas dependências (internas e externas), mapeia as vulnerabilidades e estabelece tolerâncias para interrupções. Deves rever e atualizar regularmente estas avaliações com o contributo da liderança para alinhar com a evolução dos riscos e das prioridades empresariais.
5. Desenvolve e testa quadros de resiliência. Estabelecer ou melhorar as estruturas de resiliência operacional para apoiar a continuidade das suas operações críticas e integrar a continuidade do negócio, a recuperação de desastres e a gestão de crises. Realizar testes de cenários e exercícios de planos de continuidade do negócio para provar a eficácia da sua preparação em caso de perturbações graves mas plausíveis.
Com o prazo de setembro de 2026 a aproximar-se, chegou a altura de avaliares as capacidades e aperfeiçoares as tuas estratégias. Uma abordagem forte e bem integrada à resiliência operacional não só o ajudará a cumprir as expectativas regulamentares, mas também a salvaguardar as suas operações, proteger as partes interessadas e melhorar a sua estabilidade a longo prazo.
