GCNBRASIL.

Gestão de Crises e Continuidade dos Negócios

  • Increase font size
  • Default font size
  • Decrease font size

Riscos Operacionais X Continuidade de Negócios

Email Print

Já há algum tempo os debates sobre a integração entre o Risco Operacional e a Continuidade de Negócios vem ganhando cada vez mais espaço nos fóruns e mídia especializada, simultaneamente, em várias partes do mundo. Estes debates variam desde aspectos conceituais a apaixonadas discussões sobre qual área a outra responde ou deveria responder, até sobre se, e como, esta integração deve ou deveria ser feita.Em certos setores da indústria, entretanto, já há certo consenso de que a integração entre o Risco Operacional e a Continuidade de Negócios beneficiará as empresas pela utilização mais racional dos seus recursos financeiros e humanos, gerenciando melhor os seus riscos e aumentando a sua resiliência de operação em situações adversas.

As duas práticas vêm ganhando força e importância:

  • Risco Operacional: principalmente no mercado financeiro após o Acordo da Basiléia e a definição de Risco Operacional, de forma a mitigar os riscos sistêmicos e não sistêmicos, incluindo a existência de planos de contingência testados.
  • Continuidade de Negócios: pelo crescente aumento de normas (BS 25999, BS 25777 etc.), certificações, regulamentações e eventos catastróficos que afetam de maneira direta ou indireta as empresas.

Embora às vezes possam se cruzar, os caminhos percorridos ao longo do tempo pelo Risco Operacional e a Continuidade de Negócios são distintos:

Risco Operacional:

  • Principais normas: BS 31100 Code of practice for risk management (10/08) e ISO 31000 Risk Management Principles and Guidelines (11/09);
  • Definição comumente aceita no Brasil: Com forte influência do mercado financeiro, define-se pela possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos, incluindo o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição, bem como as sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição;
  • Artigo 2º da Resolução 3.380 do Banco Central do Brasil (06/09) em conformidade com Acordo da Basiléia;
  • Ciclo de Vida: identificar, avaliar, planejar, implementar, comunicar, inserir e revisar os riscos aos quais a empresa está sujeita;
  • Certificação profissional: IRM Institute of Risk Management, RMA Risk Management Association e ABGR Associação Brasileira de Gerência de Riscos.

Figura  1 - Ciclo de Vida, Risco Operacional

Continuidade de Negócios:

  • Principais normas: NBR 15999, partes I e II, traduções literais da norma inglesa BS 25999 e NBR ISO/IEC24762 Tecnologia da Informação - Técnicas de segurança - Diretrizes para os serviços de recuperação após um desastre na tecnologia da informação e de comunicação, tradução literal da norma ISO 24762, dentre outras.
  • Definição comumente aceita no Brasil: A gestão da continuidade de negócios é um processo holístico que identifica ameaças potenciais à organização e seus impactos à sua operação. Provê uma estrutura para construir resiliência organizacional com capacidade efetiva de resposta salvaguardando os interesses das principais partes interessadas, reputação, marca e ativos de valor;
  • A GCN é complementar a uma estrutura de gestão de riscos que busca entender os riscos às operações e negócios e suas consequências. (capítulo 3.3 da NBR 15999);
  • Ciclo de Vida: entendendo a organização; determinando a estratégia de continuidade de negócios; desenvolvendo e implementando uma resposta de GCN; testando, mantendo e analisando criticamente os preparativos de GCN; incluindo a GCN na cultura da organização e gestão do programa de GCN;
  • Certificação profissional: BCI Business Continuity Institute (Inglaterra) e DRII Disaster Recovery Institute International (Estados Unidos). 
Figura  2 - Ciclo de Vida, Continuidade de Negócios

Verificamos, portanto, que Riscos Operacionais e Continuidade de Negócios têm normas, definições, capacitações e certificações profissionais distintas.

Diferenças entre Riscos Operacionais e Continuidade de Negócios:

Um dos riscos operacionais potenciais que uma empresa enfrenta diariamente, por exemplo, é o sequestro de seus executivos, conforme definição anteriormente feita. A mitigação deste risco é, normalmente, de responsabilidade de alguma área de Segurança Patrimonial, que desenvolverá mecanismos de controle para eliminar ou reduzir a possibilidade de ocorrência deste risco.

Exemplos de controle para este risco podem ser: veículo blindado, segurança no veículo ou escolta complementar, proteção complementar aos familiares e residência do executivo, etc. Caso este risco não tenha sido completamente eliminado, ainda há um risco residual a ser tratado, que como todo o risco pode ser: aceito, transferido, mitigado ou eliminado. A única opção razoável que nos resta é mitigar o risco residual do sequestro de executivos.

Estes novos controles podem ser desenvolvidos e implantados por vários departamentos da empresa, como a formação de backups, políticas de alçadas e outros mecanismos que possibilitem que a empresa continue a operar mesmo sem a participação deste executivo, seja qual for o motivo da sua ausência prolongada, seja ela o sequestro ou outro.

Fica claro, portanto, que a área responsável por Riscos Operacionais deverá demandar e gerir os controles implementados para mitigar este risco a níveis aceitáveis pela empresa, reportando-o adequadamente. De forma análoga existe uma série de outros riscos operacionais internos e externos (conforme definição apresentada) que podem levar a uma indisponibilidade prolongada do local de trabalho, dos recursos humanos e/ou da infraestrutura de tecnologia. Exemplos destes riscos incluem: incêndios, explosões, atentados, quedas de aeronaves, pandemias, intoxicações alimentares, falhas graves nos recursos de TIC etc. Todos estes riscos necessitam de controles implementados, de forma a eliminá-los ou reduzi-los a níveis aceitáveis pela empresa.

Mas, como já vimos, sempre resta o risco residual, que no cenário acima é a indisponibilidade do local de trabalho ou dos recursos humanos ou de tecnologia por um período prolongado de tempo, ocasionados por diferentes riscos operacionais.

 Tabela 1 - Comparação de Risco Operacional e Risco Residual

Este enorme risco residual deve ser tratado pela Gestão de Continuidade de Negócios, que de maneira holística desenvolverá, em conjunto com todos os departamentos críticos da empresa, novos controles - Planos de Contingência - de forma a reiniciar rapidamente a operação dos processos de negócio críticos, num novo local alternativo, com uma quantidade mínima de recursos materiais e humanos de forma a limitar os impactos financeiros, operacionais e regulatórios a níveis aceitáveis pela empresa.   Da mesma forma que os riscos operacionais destes impactos também devem ser reportados adequadamente.
 
As semelhanças e necessidades distintas vão mais além:

Para facilitar a gestão dos riscos operacionais é prática comum agrupá-los em categorias de risco e/ou classificá-los quanto à probabilidade e impactos decorrentes da sua ocorrência (Matriz de Risco).

Esta classificação de risco pode ou não ter alguma relação com a Continuidade de Negócios, conforme tabela a seguir:

Categoria de Risco 

 Exemplos

 Relação com GCN

Fraudes internasApropriação indevida de ativos, evasão fiscal, marcação indevida de posições, suborno, etc.Muito pouco provável que uma Fraude Interna leve uma empresa a uma contingência.
Fraudes externasRoubo de informações, hackers, danos forjados a terceiros, etc. Exceto talvez numa situação de hackers onde a rede da empresa tenha sido acessada indevidamente, também é pouco provável que uma Fraude Externa leve uma empresa a uma contingência.
Práticas trabalhistas e Segurança no local de trabalho Discriminação, remuneração igualitária, saúde e segurança dos colaboradores, etc. Existem vários riscos operacionais classificados neste item, relacionados à saúde e segurança dos trabalhadores que podem levar uma empresa a uma contingência. 
Clientes, Produtos e Práticas comerciais. Manipulação de mercado, antitruste, negociações indevidas, produtos defeituosos, quebras fiduciárias, manipulações contábeis, etc. 

Há situações de mercado (Riscos de Mercado) ou de grandes clientes que, a depender da natureza do evento, podem levar uma empresa a uma contingência, nesta situação muito mais operacional do que de desastre.

Danos aos ativos físicosDesastres naturais, terrorismo, vandalismo, etc. Esta categoria de classificação de riscos tem forte relação com a GCN.
Indisponibilidade dos negócios e falhas nos sistemasPanes nos serviços de intraestrutura crítica, falhas de hardware e/ou software, etc.Esta categoria de classificação de riscos também tem forte relação com a GCN.
Execução, entrega e gestão de processos Erros de digitação, erros contábeis, falhas nos relatórios regulatórios, negligência com os ativos de terceiros, etc.Pouco provável que erros operacionais nesta classificação levem uma empresa a uma contingência, exceto em erros que levem a outros eventos como explosões, incêndios, panes em TIC, etc.

Tabela 2 - Os Riscos relacionados à Continuidade de Negócios 

A GCN não classifica os riscos, mas sim, a princípio, prioriza os processos de negócio definidos pelos impactos financeiros, operacionais, regulatórios e de imagem causados pelas respectivas indisponibilidades.

Os processos de negócios e suas prioridades são identificados de forma quantitativa e qualitativa por meio da Análise de Impacto nos Negócios (BIA – Business Impact Analysis). Portanto, Riscos Operacionais e Gestão da Continuidade de Negócios têm dinâmicas bastante distintas.  

Enquanto os riscos operacionais devem ser reavaliados em períodos de tempo relativamente longos (de seis meses a um ano é bastante comum), as informações que constam nos Planos de Contingência devem ser atualizadas, validadas e testadas sistematicamente de forma a refletir na infraestrutura de contingência com todas as alterações que ocorrem no dia a dia da empresa, mitigando o aumento do risco residual decorrente da utilização de informações inconsistentes e/ou desatualizadas.

Modelo Colaborativo:

As empresas ainda buscam a melhor forma de integrar as áreas de Riscos Operacionais e Continuidade de Negócios. Conceitualmente a área de Riscos Operacionais deve monitorar os riscos, seus controles e os seus processos de gestão, que incluem reportar os riscos, os controles e o risco residual.

O risco residual, como já vimos, quando não aceito, será tratado pela área responsável pela Gestão da Continuidade de Negócios que poderá, utilizando a sua maneira holística de trabalho, identificar novos riscos, que tenham ocorrido ou que venham a ocorrer numa resposta a incidentes ou num teste de contingência, por exemplo.

Neste modelo colaborativo de melhoria contínua, a empresa aperfeiçoa seus recursos materiais e humanos, aumenta a eficácia da gestão dos seus riscos operacionais e aumenta a sua resiliência operacional em situações de graves indisponibilidades.

Figura 3 - Modelo Colaborativo entre RO e GCN. 

A melhor forma de realizar esta integração, ou de organizar hierarquicamente as duas áreas ainda não está consolidada.   Na 9ª pesquisa anual recentemente realizada pelo Business Continuity Management (http://www.bcmanagement.com/) em 2010, com mais de 2.000 participantes e com forte influência dos USA, foi feita a seguinte pergunta:

“Para qual departamento o seu Programa de Continuidade de Negócios se reporta?”

  • 22,32% dos participantes responderam que o programa se reporta ao departamento responsável por Tecnologia da Informação e Comunicação, entretanto:
    • 7,59%  Concordam plenamente;
    • 22,78%  Discordam plenamente;
  • 15,82% dos participantes responderam que o programa se reporta ao departamento responsável por Continuidade de Negócios, entretanto:
    • 35,71%  Concordam plenamente;
    • 7,14%    Discordam plenamente;
  • 15,54% dos participantes responderam que o programa se reporta ao departamento responsável por Gestão de Riscos, entretanto:
    • 23,64%  Concordam plenamente;
    • 1,82%    Discordam plenamente;

Concluímos, portanto, que Riscos operacionais e Continuidade de Negócios têm algo em comum e podem operar colaborativamente; porém utilizam metodologias distintas; têm necessidades próprias; e para serem bem feitos necessitam de capacitação e ferramental específicos.  

Uma gestão efetiva dos riscos operacionais também pode aumentar a resiliência da empresa para interrupções prolongadas.

Artigo de Sidney R. Modenesi, MBCI,CBCC
Fonte: www.strohlbrasil.com.br

 

 

PUBLICIDADE

PARCEIROS


Translate

Portuguese English French German Italian Spanish

Creative Commons License
Site GCNBRASIL - Creative Commons Atribuição-Uso Não-Comercial-Vedada a Criação de Obras Derivadas 2.5 Brasil License.