Sistemas de Gestão de Continuidade de Negócios
ISO 22301
A maioria das organizações enfrentará um incidente perturbador em algum ponto. Empresas que não conseguem retomar as operações no prazo de dez dias após uma disrupção maior é quase certo que não sobreviverão.
Riscos permanentes
Num mundo cada vez mais tecnológico, o que abre novos horizontes mas trazem também novos riscos para as Organizações, não é de estranhar que no topo da lista de preocupações dos gestores esteja a Continuidade do Negócio, os incidentes de Cibersegurança e a falha das Tecnologias de Informação.
Além de outros eventos de risco como a falha dos fornecedores críticos da cadeia de valor, a falha de ‘utilities’, incêndios e desastres naturais.
Exige-se agilidade e prevenção
As transformações tecnológicas, climatéricas, sociais, políticas e económicas forçam as Organizações a tornarem-se mais ágeis e proactivas na prevenção e resposta às novas ameaças emergentes.
A Gestão da Continuidade do Negócio tem de fazer parte da agenda dos Gestores. Na maioria das Organizações a função é da responsabilidade do Presidente do Conselho de Administração e dos Gerentes.
Norma de referência ISO 22301
- É a norma de referência ISO 22301 que estabelece os requisitos de certificação de um Sistema de Gestão da Continuidade do Negócio (SGCN).
- É seguida como uma boa prática, independentemente da Organização pretender vir a obter a certificação ou não.
- A Gestão da Continuidade do Negócio são processos de gestão essenciais para assegurar a resiliência das Organizações a eventos disruptivos que possam afetar a sua atividade.
Gestão da Continuidade do Negócio
A Gestão da Continuidade do Negócio tem como objetivo:
- identificar ameaças potenciais,
- analisar o impacto dessas ameaças no negócio caso se venham a concretizar
- e implementar a resiliência organizacional de forma a prevenir a sua ocorrência.
No caso da sua impossibilidade, responder de forma eficaz a essas ameaças, recuperando a normalidade após uma disrupção, minimizando perdas financeiras, danos reputacionais e a quebra de obrigações contratuais, legais e regulamentares.
Implementação de um programa de gestão de continuidade do negócio
A implementação de um programa de Gestão da Continuidade do Negócio baseia-se na realização das seguintes atividades:
- Análise de Impacto no Negócio: identificar funções críticas e determinar os impactos da sua indisponibilidade.
- Avaliação do Risco: identificar, analisar e avaliar a exposição ao risco relacionado com eventos disruptivos.
- Estratégia da Continuidade do Negócio (CN): definir soluções de recuperação das funções críticas nos prazos definidos na Análise de Impacto no Negócio e controlos preventivos para reduzir a exposição ao risco relacionado com eventos disruptivos.
- Planos de CN: documentar os procedimentos de resposta a incidentes e de recuperação das funções críticas.
- Exercícios e Testes de CN: exercitar as pessoas envolvidas na resposta a incidentes e testar as soluções de recuperação das funções críticas.
Modelo PDCA (Plan-Do-Check-Act)
A implementação de um Sistema de Gestão da Continuidade do Negócio (SGCN) no referencial da norma de certificação ISO 22301 permite às Organizações manter atualizado e melhorar a eficácia do seu programa de Gestão da Continuidade do Negócio através de um modelo cíclico denominado PDCA (PIan-Do-Check-Act) que inclui as seguintes atividades:
- Plan – Planear: compreender o contexto, assegurar a liderança e o compromisso da Administração, definir os objetivos e planear a CN.
- Do – Implementar e Operar: processo assinalado a prazos de recuperação para minimizar estes impactos.
- Check – Monitorizar e Rever: monitorizar e rever o desempenho do SGCN em relação à política e objetivos da Continuidade do Negócio e reportar à Administração.
- Act – Manter e Melhorar: manter e melhorar o SGCN através de ações corretivas, baseadas nos resultados da revisão pela Administração.
Principais benefícios na implementação de um Sistema de Gestão da Continuidade do Negócio (SGCN)
- Identificar e entender toda a organização de processos críticos de negócios e o impacto de interrupções.
- Criar uma estrutura estratificada no que diz respeito aos processos essenciais para o negócio, como forma de precaver impactos negativos.
- Aumentar os níveis de capacidade de resiliência e recuperação, proporcionando a sobrevivência contínua da organização. Estando o sucesso do negócio das organizações ligado à sua estabilidade, o aumento da resiliência torna-se num fator critico à continuidade do negócio.
- Obter vantagem sobre concorrentes menos resilientes. Reduzindo ou mesmo anulando o tempo de inatividade do negócio obterá vantagem sobre a concorrência menos preparada para lidar com eventos desastrosos.
- Comunicar uma mensagem positiva aos meios de comunicação social e partes interessadas (stakeholders) em condições de crise. Sob o ponto de vista de comunicação, o valor por defeito da mensagem incorporada na fiabilidade e competência da organização é inestimável nos dias que correm.
- Criar um impacto financeiro positivo, reduzindo os incidentes, interrupções ou mesmo casos de desastre. Os impactos financeiros são evidentes e benévolos, uma organização que mantém a sua atividade ininterrupta apenas pode retirar consequências positivas com uma gestão da continuidade. A gestão da continuidade tende a aumentar a chance de sobrevivência da organização e o bem star dos seus funcionários.
Evidentemente que quando precavemos potenciais ameaças, de forma pró-ativa estamos desta forma a preservar o futuro das organizações e logo o conforto de quem lá trabalha.