Riscos Operacionais X Continuidade de Negócios

Quinta, 26 Agosto 2010 17:15 Sidney R. Modenesi

Já há algum tempo os debates sobre a integração entre o Risco Operacional e a Continuidade de

Negócios vem ganhando cada vez mais espaço nos fóruns e mídia especializada, simultaneamente, em
várias partes do mundo. Estes debates variam desde aspectos conceituais a apaixonadas discussões
sobre qual área a outra responde ou deveria responder, até sobre se, e como, esta integração deve ou
deveria ser feita. Em certos setores da indústria, entretanto, já há certo consenso de que a integração
entre o Risco Operacional e a Continuidade de Negócios beneficiará as empresas pela utilização mais
racional dos seus recursos financeiros e humanos, gerenciando melhor os seus riscos e aumentando a
sua resiliência de operação em situações adversas.

As duas práticas vêm ganhando força e importância:

 Risco Operacional: principalmente no mercado financeiro após o Acordo da Basiléia e a definição de

Risco Operacional, de forma a mitigar os riscos sistêmicos e não sistêmicos, incluindo a existência de
planos de contingência testados.
 Continuidade de Negócios: pelo crescente aumento de normas (BS 25999, BS 25777 etc.), certificações,
regulamentações e eventos catastróficos que afetam de maneira direta ou indireta as empresas.

Embora às vezes possam se cruzar, os caminhos percorridos ao longo do tempo pelo Risco Operacional
e a Continuidade de Negócios são distintos:

Risco Operacional:

 Principais normas: BS 31100 Code of practice for risk management (10/08) e ISO 31000 Risk
Management Principles and Guidelines (11/09);
 Definição comumente aceita no Brasil: Com forte influência do mercado financeiro, define-se pela
possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos
internos, pessoas e sistemas, ou de eventos externos, incluindo o risco legal associado à inadequação ou
deficiência em contratos firmados pela instituição, bem como as sanções em razão de descumprimento
de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas
pela instituição;
 Artigo 2º da Resolução 3.380 do Banco Central do Brasil (06/09) em conformidade com Acordo da
Basiléia;
 Ciclo de Vida: identificar, avaliar, planejar, implementar, comunicar, inserir e revisar os riscos aos quais a
empresa está sujeita;
 Certificação profissional: IRM Institute of Risk Management, RMA Risk Management Association e ABGR
Associação Brasileira de Gerência de Riscos.
 Figura 1 - Ciclo de Vida, Risco Operacional

Continuidade de Negócios:

 Principais normas: NBR 15999, partes I e II, traduções literais da norma inglesa BS 25999 e NBR
ISO/IEC24762 Tecnologia da Informação - Técnicas de segurança - Diretrizes para os serviços de
recuperação após um desastre na tecnologia da informação e de comunicação, tradução literal da norma
ISO 24762, dentre outras.
 Definição comumente aceita no Brasil: A gestão da continuidade de negócios é um processo holístico que
identifica ameaças potenciais à organização e seus impactos à sua operação. Provê uma estrutura para
construir resiliência organizacional com capacidade efetiva de resposta salvaguardando os interesses das
principais partes interessadas, reputação, marca e ativos de valor;
 A GCN é complementar a uma estrutura de gestão de riscos que busca entender os riscos às operações
e negócios e suas consequências. (capítulo 3.3 da NBR 15999);
 Ciclo de Vida: entendendo a organização; determinando a estratégia de continuidade de negócios;
desenvolvendo e implementando uma resposta de GCN; testando, mantendo e analisando criticamente
os preparativos de GCN; incluindo a GCN na cultura da organização e gestão do programa de GCN;
 Certificação profissional: BCI Business Continuity Institute (Inglaterra) e DRII Disaster Recovery Institute
International (Estados Unidos).
 Figura 2 - Ciclo de Vida, Continuidade de Negócios

Verificamos, portanto, que Riscos Operacionais e Continuidade de Negócios têm normas, definições,
capacitações e certificações profissionais distintas.

Diferenças entre Riscos Operacionais e Continuidade de Negócios:

Um dos riscos operacionais potenciais que uma empresa enfrenta diariamente, por exemplo, é o
sequestro de seus executivos, conforme definição anteriormente feita. A mitigação deste risco é,
normalmente, de responsabilidade de alguma área de Segurança Patrimonial, que desenvolverá
mecanismos de controle para eliminar ou reduzir a possibilidade de ocorrência deste risco.

Exemplos de controle para este risco podem ser: veículo blindado, segurança no veículo ou escolta
complementar, proteção complementar aos familiares e residência do executivo, etc. Caso este risco não
tenha sido completamente eliminado, ainda há um risco residual a ser tratado, que como todo o risco
pode ser: aceito, transferido, mitigado ou eliminado. A única opção razoável que nos resta é mitigar o
risco residual do sequestro de executivos.

Estes novos controles podem ser desenvolvidos e implantados por vários departamentos da empresa,
como a formação de backups, políticas de alçadas e outros mecanismos que possibilitem que a empresa
continue a operar mesmo sem a participação deste executivo, seja qual for o motivo da sua ausência
prolongada, seja ela o sequestro ou outro.

Fica claro, portanto, que a área responsável por Riscos Operacionais deverá demandar e gerir os
controles implementados para mitigar este risco a níveis aceitáveis pela empresa, reportando-o
adequadamente. De forma análoga existe uma série de outros riscos operacionais internos e externos
(conforme definição apresentada) que podem levar a uma indisponibilidade prolongada do local de
trabalho, dos recursos humanos e/ou da infraestrutura de tecnologia. Exemplos destes riscos incluem:
incêndios, explosões, atentados, quedas de aeronaves, pandemias, intoxicações alimentares, falhas
graves nos recursos de TIC etc. Todos estes riscos necessitam de controles implementados, de forma a
eliminá-los ou reduzi-los a níveis aceitáveis pela empresa.

Mas, como já vimos, sempre resta o risco residual, que no cenário acima é a indisponibilidade do local de
trabalho ou dos recursos humanos ou de tecnologia por um período prolongado de tempo, ocasionados
por diferentes riscos operacionais.
 Tabela 1 - Comparação de Risco Operacional e Risco Residual

Este enorme risco residual deve ser tratado pela Gestão de Continuidade de Negócios, que de maneira
holística desenvolverá, em conjunto com todos os departamentos críticos da empresa, novos controles -
Planos de Contingência - de forma a reiniciar rapidamente a operação dos processos de negócio críticos,
num novo local alternativo, com uma quantidade mínima de recursos materiais e humanos de forma a
limitar os impactos financeiros, operacionais e regulatórios a níveis aceitáveis pela empresa. Da mesma
forma que os riscos operacionais destes impactos também devem ser reportados adequadamente.

As semelhanças e necessidades distintas vão mais além:

Para facilitar a gestão dos riscos operacionais é prática comum agrupá-los em categorias de risco e/ou
classificá-los quanto à probabilidade e impactos decorrentes da sua ocorrência (Matriz de Risco).

Esta classificação de risco pode ou não ter alguma relação com a Continuidade de Negócios, conforme
tabela a seguir:

Categoria de Risco Exemplos Relação com GCN

Apropriação indevida de ativos,

Muito pouco provável que uma Fraude
evasão fiscal, marcação
Fraudes internas Interna leve uma empresa a uma
indevida de posições, suborno,
contingência.
etc.
Exceto talvez numa situação de hackers
onde a rede da empresa tenha sido acessada
Roubo de informações, hackers,
Fraudes externas indevidamente, também é pouco provável
danos forjados a terceiros, etc.
que uma Fraude Externa leve uma empresa
a uma contingência.
Existem vários riscos operacionais
Práticas trabalhistas e Discriminação, remuneração classificados neste item, relacionados à
Segurança no local de igualitária, saúde e segurança saúde e segurança dos trabalhadores que
trabalho dos colaboradores, etc. podem levar uma empresa a uma
contingência.

Manipulação de mercado, Há situações de mercado (Riscos de

antitruste, negociações
Clientes, Produtos e indevidas, produtos
Práticas comerciais. defeituosos, quebras
fiduciárias, manipulações
contábeis, etc.
Mercado) ou de grandes clientes que, a
depender da natureza do evento, podem
levar uma empresa a uma contingência,
nesta situação muito mais operacional do
que de desastre.

Danos aos ativos Desastres naturais, terrorismo, Esta categoria de classificação de riscos
 físicos vandalismo, etc. tem forte relação com a GCN.
Indisponibilidade dos Panes nos serviços de
Esta categoria de classificação de riscos
negócios e falhas nos infraestrutura crítica, falhas de
também tem forte relação com a GCN.
sistemas hardware e/ou software, etc.
Pouco provável que erros operacionais
Erros de digitação, erros
nesta classificação levem uma empresa a
Execução, entrega e contábeis, falhas nos relatórios
uma contingência, exceto em erros que
gestão de processos regulatórios, negligência com
levem a outros eventos como explosões,
os ativos de terceiros, etc.
incêndios, panes em TIC, etc.

Tabela 2 - Os Riscos relacionados à Continuidade de Negócios

A GCN não classifica os riscos, mas sim, a princípio, prioriza os processos de negócio definidos pelos
impactos financeiros, operacionais, regulatórios e de imagem causados pelas respectivas
indisponibilidades.

Os processos de negócios e suas prioridades são identificados de forma quantitativa e qualitativa por
meio da Análise de Impacto nos Negócios (BIA – Business Impact Analysis). Portanto, Riscos
Operacionais e Gestão da Continuidade de Negócios têm dinâmicas bastante distintas.

Enquanto os riscos operacionais devem ser reavaliados em períodos de tempo relativamente longos (de
seis meses a um ano é bastante comum), as informações que constam nos Planos de Contingência
devem ser atualizadas, validadas e testadas sistematicamente de forma a refletir na infraestrutura de
contingência com todas as alterações que ocorrem no dia a dia da empresa, mitigando o aumento do
risco residual decorrente da utilização de informações inconsistentes e/ou desatualizadas.

Modelo Colaborativo:

As empresas ainda buscam a melhor forma de integrar as áreas de Riscos Operacionais e Continuidade
de Negócios. Conceitualmente a área de Riscos Operacionais deve monitorar os riscos, seus controles e
os seus processos de gestão, que incluem reportar os riscos, os controles e o risco residual.

O risco residual, como já vimos, quando não aceito, será tratado pela área responsável pela Gestão da
Continuidade de Negócios que poderá, utilizando a sua maneira holística de trabalho, identificar novos
riscos, que tenham ocorrido ou que venham a ocorrer numa resposta a incidentes ou num teste de
contingência, por exemplo.

Neste modelo colaborativo de melhoria contínua, a empresa aperfeiçoa seus recursos materiais e
humanos, aumenta a eficácia da gestão dos seus riscos operacionais e aumenta a sua resiliência
operacional em situações de graves indisponibilidades.
 Figura 3 - Modelo Colaborativo entre RO e GCN.

A melhor forma de realizar esta integração, ou de organizar hierarquicamente as duas áreas ainda não
está consolidada. Na 9ª pesquisa anual recentemente realizada pelo Business Continuity Management
(http://www.bcmanagement.com/) em 2010, com mais de 2.000 participantes e com forte influência dos
USA, foi feita a seguinte pergunta:

“Para qual departamento o seu Programa de Continuidade de Negócios se reporta?”

 22,32% dos participantes responderam que o programa se reporta ao departamento responsável por
Tecnologia da Informação e Comunicação, entretanto:
o 7,59% Concordam plenamente;
o 22,78% Discordam plenamente;
 15,82% dos participantes responderam que o programa se reporta ao departamento responsável por
Continuidade de Negócios, entretanto:
o 35,71% Concordam plenamente;
o 7,14% Discordam plenamente;
 15,54% dos participantes responderam que o programa se reporta ao departamento responsável por
Gestão de Riscos, entretanto:
o 23,64% Concordam plenamente;
o 1,82% Discordam plenamente;

Concluímos, portanto, que Riscos operacionais e Continuidade de Negócios têm algo em comum e
podem operar colaborativamente; porém utilizam metodologias distintas; têm necessidades
próprias; e para serem bem feitos necessitam de capacitação e ferramental específicos.

Uma gestão efetiva dos riscos operacionais também pode aumentar a resiliência da empresa para
interrupções prolongadas.

Artigo de Sidney R. Modenesi, MBCI,CBCC

Fonte: www.strohlbrasil.com.br