A introdução da ISO 22301 (Segurança social - Requisitos - Sistema de gestão da continuidade do negócio) alinha mais de perto a continuidade do negócio com a disciplina mais ampla de gestão do risco. Um dos principais contributos para este alinhamento é o requisito da norma para compreender o "apetite de risco" da organização (um termo não utilizado no BS 25999).

A definição de apetite de risco da ISO 22301 (Secção 3.49) é a "quantidade e tipo de risco que uma organização está disposta a perseguir ou reter". A norma faz referência ao apetite de risco em duas secções:

Além disso, os autores do documento de orientação que apoia a ISO 22301, intitulado ISO DIS 22313, fazem uma referência adicional ao apetite de risco na secção centrada no estabelecimento do contexto para o sistema de gestão da continuidade de negócios:

Para aqueles que procuram alinhamento ou certificação com a ISO 22301, os profissionais de continuidade de negócio (ou os encarregados do planeamento da continuidade de negócio) devem compreender o conceito de apetite pelo risco e abordar os requisitos delineados acima.

Note-se: o objectivo deste artigo não é oferecer uma compreensão teórica e detalhada do apetite pelo risco, como já o fazem outros whitepapers e fontes de informação, mas sim introduzir o conceito aos profissionais da continuidade empresarial e oferecer uma visão sobre como alavancar e "implementar" este conceito na nossa profissão.

A Relação entre o Apetite de Risco e a Continuidade do Negócio
Acreditamos que os colaboradores da ISO 22301 integraram o conceito de apetite de risco ("quantidade e tipo de risco que uma organização está disposta a perseguir ou reter") num padrão de sistema de gestão da continuidade de negócios por duas razões chave:

  1. As organizações devem encarar o apetite pelo risco como sendo abrangente, incorporando todas as áreas de risco, incluindo os riscos relacionados com a continuidade do negócio associados a incidentes perturbadores; e
  2. A utilização do apetite pelo risco para um âmbito adequado e apoiar um sistema de gestão da continuidade do negócio ajuda a alinhar a continuidade do negócio com a estratégia organizacional e outros esforços de gestão do risco, permitindo uma melhor integração da continuidade do negócio na gestão mais ampla do risco.

Além disso, quando feito correctamente, o apetite de risco torna-se um input importante para (e pode sobrepor-se significativamente com) o âmbito e os objectivos de um sistema de gestão da continuidade de negócios.

Chaves para determinar o apetite de risco
Como já foi referido, existem muitas fontes de informação que descrevem o conceito de apetite de risco e a melhor abordagem para determinar o apetite de risco de uma organização. A Riskonnect analisou estas fontes para ajudar a compreender melhor como ajudar os nossos clientes a determinar e documentar os seus apetites de risco no que diz respeito ao planeamento da continuidade do negócio, bem como integrar o conceito no nosso próprio programa de continuidade do negócio (uma vez que estamos a fazer a transição activa de BS 25999-2 para ISO 22301 dentro da nossa organização). Uma das fontes mais valiosas que identificámos é um livro branco publicado pela Instituto de Gestão de Riscos (IRM)que introduziu uma série de factores de "concepção" que os autores consideraram fundamentais para determinar o apetite de risco. Três destes factores de "concepção", ou considerações, são parafraseados abaixo, o que encontramos ajuda a compreender e determinar melhor o apetite de risco:

  1. O apetite de risco de uma organização é - ou deve ser - mensurável
  2. A aceitabilidade do risco deve ter uma consideração temporal, para assegurar uma revisão periódica (dada a mudança organizacional e ambiental)
  3. A aceitação do risco não deve ter nada a ver com o relaxamento dos controlos (tratamentos de risco)

Dito isto, e na nossa opinião, algumas das fontes de informação - para além da gestão executiva - que as organizações devem avaliar ao determinar o apetite pelo risco incluem:

  • Relatórios anuais e demonstrações financeiras
  • Contratos de cliente
  • Requisitos regulamentares
  • Planos estratégicos de negócios
  • Materiais de marketing
  • Actas das reuniões do conselho

Embora não entremos em mais detalhes sobre a determinação do apetite de risco, aqueles que procuram informação adicional devem considerar a revisão do seguinte:

Exemplo - Risk Appetite at Riskonnect
Na transição de BS 25999-2 para ISO 22301, tivemos de compreender como o apetite de risco pertence ao nosso sistema de gestão da continuidade de negócios, dado que este é um novo requisito formalizado necessário para a certificação. Utilizando a orientação e a abordagem descritas na secção anterior deste artigo, documentamos o nosso resumo da apetência pelo risco como se segue:

Em 2012, estamos dispostos a tolerar uma quantidade finita de tempo de paragem, desde que não resulte no seguinte:

  1. Reputação prejudicada entre os nossos clientes que leva a uma percepção mais ampla e negativa do mercado
  2. Acordos de nível de serviço em falta específicos para o Portal de Planeamento e Riskonnect
  3. Perda financeira superior a $50,000
  4. Atrasos do projecto de mais de três dias devido a ruptura de recursos e perda de dados

A fim de alinhar o nosso programa de continuidade de negócios existente com esta declaração relativa ao apetite pelo risco, a gestão de Riskonnect pretende dotar o nosso sistema de gestão de continuidade de negócios de pessoal e recursos adequados para minimizar o tempo de inactividade da forma mais eficiente e pragmática possível.

Tal como referido anteriormente neste artigo, esta declaração alinha-se com as considerações do design IRM, especificamente:

  • Alinha-se aos nossos produtos e serviços, bem como às prioridades estratégicas da nossa organização e, por conseguinte, ao âmbito do nosso sistema de gestão da continuidade do negócio
  • Oferece métodos quantificáveis para medir o risco
  • Anota um elemento temporal (2012)
  • Observa onde a nossa equipa de gestão aceita um nível de risco, que liberta recursos para melhorar o nosso negócio, serviços e tecnologia, bem como investir no nosso pessoal
Agende a sua demonstração

Conclusões
O apetite pelo risco é um conceito importante que inclui elementos estratégicos, operacionais e tácticos - todos com impacto na implementação bem sucedida e na melhoria contínua de um sistema de gestão da continuidade do negócio. Considerando o apetite pelo risco como parte do planeamento da continuidade do negócio, permite que a continuidade do negócio se alinhe mais de perto com os esforços de gestão do risco, permitindo que os esforços de continuidade do negócio se concentrem principalmente na gestão dos riscos que não está disposta a aceitar no que respeita a produtos, serviços, processos de negócio e recursos importantes (todos os quais uma organização deve documentar claramente dentro do seu apetite pelo risco). A compreensão dos limites - baseada num nível aceitável de risco - introduz foco e clareza no planeamento, o que resulta em níveis mais elevados de eficácia e eficiência na protecção das actividades mais sensíveis ao tempo ou críticas de uma organização.

Além disso, considerar o apetite pelo risco no contexto do planeamento da continuidade do negócio deve ajudar a gestão a enquadrar a continuidade do negócio em relação à forma como já pensam sobre o tópico mais amplo dos riscos para a organização, sendo o risco de incidentes perturbadores apenas um factor a considerar. Alinhar o esforço de continuidade do negócio com a forma como a gestão já pensa (a nível estratégico) deverá contribuir para uma proposta de valor mais forte e mais clara para o esforço de preparação, o que deverá permitir o apoio a longo prazo e o envolvimento da gestão.

Devido aos benefícios delineados ao longo deste artigo, a Riskonnect acredita que o conceito de apetite pelo risco é uma adição bem-vinda à ISO 22301, e sobre a qual os profissionais de continuidade de negócio devem aprender mais para serem participantes activos num esforço mais amplo de gestão do risco.