Gestão da Continuidade de Negócios
Plano de Continuidade de Negócios: Implementando Estratégias para a Continuidade Operacional
Caro(a) estudante, em decorrência das vulnerabilidades às quais as empresas estão passíveis, há a necessidade de incluir nas organizações uma cultura que tenha valores voltados à continuidade dos negócios. Para isso, a empresa elabora um Plano de Continuidade de Negócios, que contém estratégias e ações necessárias diante de um incidente/desastre.
Nesta unidade, abordaremos o desenvolvimento e a implementação de planos de continuidade de negócios, a estrutura de um Plano de Continuidade de Negócios, testes, manutenção e aprimoramento dos Planos de Continuidade de Negócios e o desenvolvimento de uma cultura de Gestão de Continuidade de Negócios (GCN) na empresa.
Bons estudos!
Com conhecimento a respeito da GCN, os gestores têm a capacidade de desenvolver um Plano de Continuidade de Negócios, mais conhecido como PCN, que nada mais é do que um plano de ação no qual a empresa trata sobre os riscos a que está suscetível, mencionando ações a serem realizadas antes, durante e após um incidente, por parte dos envolvidos. É nesse plano que são encontrados os aspectos abordados nas Normas ISO 15999, ISO 22301 e ISO 22313, além das demais Normas com assuntos correlatos.
Por esse motivo, nas palavras de Dalpissol (2016), o desenvolvimento e a implementação de um Plano de Continuidade de Negócios tornam-se necessários, com a finalidade de que os envolvidos definam planos que objetivem contingenciar e mitigar os riscos, para que, em um possível desastre, os processos organizacionais não sejam interrompidos por longo período e, dessa forma, as necessidades das partes interessadas sejam atendidas.
Mas, de forma conceitual, o que seria um PCN? Trata-se de um plano que tem uma abordagem holística, abrangendo os Planos de Recuperação de Desastres, de Continuidade Operacional e o Programa de Administração de Crises. Seu objetivo é a recuperação, continuidade e retomada do negócio. Mesmo diante de riscos externos, esses itens já devem ser “previstos” pela empresa (ALEVATE, 2014).
Manoel (2019) afirma que o Plano de Continuidade de Negócios é composto por procedimentos que são documentados, de forma que orientam as empresas a responderem, recuperarem, retomarem e restaurarem suas operações após a interrupção devido a algum desastre. Por essa razão, o PCN deve ser documentado, a fim de que esteja disponível às partes interessadas no momento em que dele precisarem.
Se os gestores da empresa valorizam um bom planejamento de suas ações e tomadas de decisões, a continuidade de negócios é um aspecto que não deve ser deixado de lado, uma vez que tudo na vida é imprevisível. Assim, desenvolver e implementar um PCN é uma estratégia de grande valia para identificar riscos e propor ações necessárias, a fim de evitar a interrupção das principais atividades da empresa.
De acordo com Manoel (2019), um plano de evacuação de um prédio, por exemplo, refere-se a um conjunto de procedimentos que contemplam um Plano de Continuidade de Negócios. Isso nos mostra que questões simples e que acontecem todos os dias no ambiente empresarial fazem parte da continuidade de negócios.
Nesse sentido, para seu desenvolvimento e consequente implementação, é importante todo um planejamento, a fim de alcançar o objetivo maior da Gestão da Continuidade de Negócios, que é manter as atividades da empresa funcionando durante um incidente e se normalizando o mais breve possível.
Segundo Moreira (2012), o PCN deve ser desenvolvido preventivamente por meio de um conjunto de estratégias e planos táticos que sejam capazes de permitir o planejamento, bem como a garantia dos serviços essenciais, que durante a elaboração do plano já devem ser identificados e preservados, a fim de construir uma resiliência organizacional que seja capaz de responder aos desastres e garantir a continuidade de negócios.
Se observarmos em noticiários, veremos que empresas de diferentes ramos entraram em decadência por não terem um Plano de Continuidade de Negócios, ou seja, um planejamento estratégico para suas atividades. Com a pandemia da covid-19, por exemplo, provavelmente muitas empresas fecharam suas portas por não terem pensado que situações de tal magnitude pudessem atingi-las.
Segundo Marinho (2018), o Plano de Continuidade de Negócios objetiva manter as atividades da empresa em funcionamento, reduzindo as perdas e os prejuízos em virtude de sua indisponibilidade. O autor dá um exemplo para clarificar o entendimento a respeito do PCN, dizendo que, quando a pessoa liga para um SAC (Serviço de Atendimento ao Consumidor), em vez de ouvir a desculpa de que a funcionária não pode lhe atender, tendo em vista que o sistema está indisponível, ela vai lhe dizer que, devido a esse imprevisto, fará um registro manual do chamado, que poderá demorar um pouco mais. Percebeu como esse planejamento causa menos danos aos negócios da empresa?
Os incidentes vão desde situações mais simples, como queda de energia, até as mais complexas, como perda de informações, incêndio ou quebra de maquinários. Imagine quão grande é o desastre ocasionado em uma empresa que tem suas informações roubadas por hackers . O desenvolvimento e a implementação do PCN são de grande importância quando o assunto é desastre nos negócios.
No processo de desenvolvimento e implementação de um PCN, é necessário se atentar para que ele contenha planos de ação em ordem de prioridade (por exemplo: como ele é ativado, qual procedimento a pessoa deve adotar ao ativá-lo, quem deve ser informado etc.), conhecendo os recursos necessários (por exemplo: pessoas, instalações, tecnologia etc.), os responsáveis e os formulários e anexos (ABNT, 2007).
O desenvolvimento e a implementação de um PCN passam por diversas fases da Gestão da Continuidade de Negócios e requerem ações, como se pode ver no ciclo de vida da GCN (ISO 15999), junto aos assuntos tratados na ISO 22301 e ISO 22313, os quais abrangem desde o entendimento da organização até testes, manutenção e inclusão da cultura de GCN. Embora seja um processo complexo, ele pode, quando bem-gerenciado, minimizar os impactos e aumentar a longevidade da empresa.
Leia o caso hipotético a seguir:
O Restaurante Gama está desenvolvendo um Plano de Continuidade de Negócios, em virtude de situações como a greve dos caminhoneiros e a pandemia da covid-19, que acarretaram grandes prejuízos. Rogério é um dos proprietários da empresa. Com a ajuda de envolvidos, está estudando o processo, a fim de conhecê-lo, antes de poder estruturá-lo.
A respeito dos aspectos necessários ao processo de desenvolvimento e implementação de um PCN, assinale a alternativa correta.
A continuidade de negócios não é apenas transmitida por meio da fala; ela precisa ser formalizada, ou seja, documentada e constantemente atualizada. Isso acontece por meio do Plano de Continuidade de Negócios, que é dividido em três planos menores: Plano de Continuidade Operacional, Plano de Recuperação de Desastres e Plano de Administração de Crises. Cada um deles desempenha um papel na busca pela continuidade de negócios, sendo constituídos, segundo a ABNT (2007), pelos seguintes elementos: declaração de política, objetivo e escopo, papéis, responsabilidades e liderança, mecanismo de ativação do plano, ações que devem ser tomadas e comunicação a ser realizada em caso de ocorrência de desastres.
No processo de desenvolvimento e estruturação do plano, alguns questionamentos precisam ser feitos: Quais são os processos críticos que não podem parar de funcionar? O que pode impedir que esses processos críticos aconteçam? De que forma tal interrupção poderá afetar o negócio da empresa? Quais as ações necessárias para retornar às operações? (MOREIRA, 2012).
Trata-se de questões que têm o propósito de direcionar os envolvidos na forma como trabalharão e tomarão as decisões em relação às estratégias que deverão acontecer em momentos antes, durante e após a ocorrência de algum desastre que afete as operações da empresa.
Para Alevate (2014), o desenvolvimento de um Plano de Continuidade de Negócios basicamente perpassa cinco fases, as quais se baseiam em verificações e análises que auxiliam em sua concretude e em sua disseminação aos membros envolvidos.
1ª fase – levantamento de informações: detalhamento técnico do escopo, ou seja, onde será realizado o projeto; relatório de inspeção física, que abrange os espaços físicos em que a empresa está inserida; análise de toda documentação que se refere ao escopo; reunião para definição dos critérios que vão nortear o projeto, na qual se procura discutir as ameaças e os impactos a evitar.
2ª fase – análise de impacto: preparação das entrevistas e/ou questionários; aplicação dos questionários/entrevistas, com base nos critérios definidos, para unidade de negócio, processos de negócios e ativos, utilizando, se possível, softwares que auxiliam na análise da criticidade do BIA (Business Impact Analysis), ou seja, qual impacto uma paralisação das atividades pode causar nos negócios; por fim, se apresentam os resultados obtidos por meio de tal análise.
3ª fase – definição das estratégias e do esboço dos planos: etapa em que se questiona e se define as estratégias existentes e o rumo a seguir; elaboram-se critérios para definição das estratégias, ou seja, verifica-se quais são os indicadores de risco ou a capacidade de recuperação; os envolvidos definem a capacidade de sobrevivência com base nas estratégias alternativas; são definidas as atividades para o estudo das estratégias; realiza-se a análise qualitativa das estratégias, o esboço dos planos e a validação do esboço.
4ª fase – planos: busca-se elaborar os planos, abrangendo os planos básicos (Plano de Continuidade Operacional, Plano de Recuperação de Desastres e Plano de Administração de Crises) e outros que se fizerem necessários; também abrange a apresentação dos resultados e o aceite do Plano de Continuidade de Negócios.
5ª fase – testes, planejamento, execução e coleta de evidências: abrange testes, planejamento, execução e coleta de evidências; também abrange o encerramento do projeto, que deve ser divulgado para todos os envolvidos e para as demais partes interessadas.
No processo de desenvolvimento de um Plano de Continuidade de Negócios, essas etapas constituem as tomadas de decisões, que, de uma forma ou de outra, vão compor o plano, junto a itens como descrição da declaração de política, objetivo e escopo, papéis, responsabilidades e liderança, mecanismo de ativação do plano, ações que devem ser tomadas e comunicação a ser realizada em caso de ocorrência de desastres. Nesse sentido, é importante que gestores e partes interessadas estejam sempre atentos aos desastres que podem afetar as empresas, conforme pode ser observado na figura a seguir:
#PraCegoVer : a figura apresenta a linha do tempo de um incidente. Em sua parte superior está escrito que o objetivo geral de recuperação é voltar à normalidade o mais rápido possível. No centro da figura há uma seta maior com o texto “Linha do Tempo”. Da direita para a esquerda, temos: o incidente no tempo zero exige uma resposta ao incidente. Dentro de minutos a horas, é necessário atender aos seguintes requisitos: equipe e visitantes localizados; fatalidades já gerenciadas; contenção/limitação de danos; avaliação de danos; e execução do PCN. A seta de continuidade de negócios mostra que, dentro de minutos a dias, é preciso estabelecer contatos com clientes, fornecedores etc., recuperar processos críticos e refazer o trabalho perdido. Na última seta, que se refere ao item “recuperação/reinício – volta à normalidade'', está escrito que, dentro de semanas a meses, é preciso haver reparo/substituição do dano; realocação ao local de trabalho permanente; recuperação dos custos de seguros.
Conhecendo tais momentos, a empresa desenvolve a estrutura do seu Plano de Continuidade de Negócios. De acordo com a ABNT (2007), embora todas as empresas possam implementar um PCN, cada uma o desenvolverá de acordo com suas características. Nesse sentido, uma empresa pequena pode ter um único plano que abranja todos os requisitos do negócio e as operações, ao passo que uma empresa maior pode ter vários planos, cada um especificando de forma mais detalhada a recuperação de determinada parte de seu negócio, tratando de instalações específicas ou ainda de um cenário específico, podendo, dessa forma, haver documentação separada para cada um dos estágios: incidente, continuidade e recuperação.
É importante destacar que, no momento em que se busca estruturar o Plano de Continuidade de Negócios, a comunicação deve ser a mais eficiente possível, de modo que seja eficaz em momentos de desastres. Segundo a ABNT (2007), é importante que o objetivo e o escopo dos planos sejam definidos e compreendidos por todos aqueles que vão realizá-los, assim como seja definida a forma de como consegui-lo em caso de algum desastre. Assim, uma comunicação falha é um aspecto que pode impactar negativamente a estruturação do PCN.
Agora, pare e pense em possíveis desastres que podem ocorrer em seu ambiente de trabalho, seja incêndio, queda de energia, queda de internet, desabamento, quebra de maquinário, dentre outros. Repare que, se as empresas já sabem a que recorrer, o processo de recuperação e retomada se torna muito mais fácil e menos custoso.
No processo de estruturação de um Plano de Continuidade de Negócios, o primeiro subplano a ser observado é o Plano de Continuidade Operacional, no qual se busca definir as orientações diante de um desastre, ou seja, são definidas as contingências, as alternativas e as ações necessárias.
O Plano de Continuidade Operacional tem o objetivo de dar continuidade aos processos de negócios, os quais são independentes dos ativos que os suportem, mas preocupando-se com as contingências. Seu foco é a solução do problema. Não existe nessa etapa nenhuma preocupação com a recuperação de ativos. Por esse motivo, os procedimentos adotados são denominados de “procedimentos de retomada” (ALEVATE, 2014).
Para exemplificar a estruturação desse plano, podemos realizar alguns questionamentos: Quais seriam as ações necessárias diante de um incêndio, da quebra de uma máquina, da queda da internet ou mesmo da queda de energia na empresa? Tendo essas respostas, os envolvidos podem desenvolver o plano.
Partindo de um exemplo simples, mas que demonstra a importância da implantação de um PCN, podemos observar que, no caso da quebra de um maquinário essencial para as atividades da empresa, que paralisa o processo produtivo, o Plano de Continuidade Operacional tem o objetivo de restabelecer o funcionamento desse ativo. Assim, deve-se descrever em seu escopo que o processo ocorre, por exemplo, no setor de produção de uma fabricante de refrigerantes. Deve haver a descrição dos papéis e das responsabilidades do diretor executivo e do gerente de produção. Em seguida, deve-se fazer uma lista de atividades de retomada diante desse incidente, como identificar os ativos que foram afetados e implantar os procedimentos para a recuperação. Também devem ser citados os recursos necessários, ou seja, as alternativas, como a terceirização de outro maquinário. Por fim, esse plano é encerrado quando o maquinário voltar a funcionar normalmente, consequentemente retomando as atividades da empresa.
Tendo em mente as contingências, os gestores e demais membros devem estruturar o segundo subplano, que é o Plano de Recuperação de Desastres. Como o próprio nome evidencia, trata-se de um plano que objetiva definir as ações necessárias para que as operações da empresa voltem à sua normalidade.
O Plano de Recuperação de Desastres se preocupa com a recuperação dos ativos; ele documenta todos os procedimentos de acionamento aos fornecedores e também aos órgãos públicos. Nessa fase, a preocupação não está centrada em solucionar o problema de funcionamento, mas em consertar o ambiente. As ações adotadas por esse plano são denominadas de “procedimentos de recuperação” ou “restauração” (ALEVATE, 2014).
Seria “um ‘passo a passo’ sobre como recuperar (ou substituir) um aplicativo, um equipamento, uma ferramenta ou mesmo uma pessoa, quando se tornam indisponíveis, interrompendo a atividade (ou atividades) suportada” (MARINHO, 2018, p. 1). Trata-se também de um plano imprescindível para que a empresa busque garantir a continuidade dos seus negócios.
Voltando ao caso da fábrica de refrigerantes, o Plano de Recuperação de Desastres é descrito como um plano de ação voltado para o pós-crise. Envolve a equipe de produção e até mesmo o responsável pela logística (estoque), e não mais a alta administração, tendo em vista que esses funcionários estão mais próximos do problema, podendo garantir as funcionalidades do maquinário, por exemplo. Esse plano também descreve as etapas dos procedimentos de recuperação, como a identificação dos ativos danificados. O Plano só será finalizado com a conclusão de tais procedimentos.
Por fim, é necessário estruturar um terceiro subplano: o Plano de Administração ou Gerenciamento de Crises, também chamado por alguns autores de Programa de Administração de Crises. Resumidamente, ele visa estabelecer a comunicação entre os envolvidos, garantindo a continuidade.
Ele consiste nos planos anteriores. Não existe nessa fase nenhuma preocupação com ativos ou processos, e sim com procedimentos, equipes e ações. Nessa etapa ocorre definição do ciclo de capacitação das equipes, treinamentos das pessoas envolvidas, divulgação na empresa, programação dos testes e simulações e gerenciamento dos resultados (ALEVATE, 2014).
Conforme pode-se observar na figura a seguir, o Plano de Administração de Crises seria o último plano a ser tratado dentro de um PCN. No entanto, é notória a sua importância, haja vista que envolve todas as partes interessadas no plano que busca pela continuidade dos negócios da empresa.
#PraCegoVer : a figura apresenta o Plano de Continuidade de Negócios em partes. Na figura, tem-se uma seta da esquerda para a direita demonstrando o momento dos subplanos. Da esquerda para a direita, tem-se o Programa de Administração de Crises. Logo após, as palavras “incidente”, “processos” e “ativos”. Na parte superior, temos o Plano de Continuidade Operacional. Bem no canto inferior direito, tem-se o Plano de Recuperação de Desastres. Assim, a figura mostra que o PCN é igual a PAC + PCO + PRD.
A junção de todos os planos constitui a estrutura de um PCN pela empresa, seja ela pública, privada, pequena ou de grande porte. De um modo geral, requer uma comunicação entre os membros que trabalham com a continuidade de negócios.
Para Marinho (2018, p. 1), o PCA “define os responsáveis e as atividades relacionadas com o suporte dos Planos, indicando a sequência de divulgação e o conteúdo dos comunicados para cada um dos recursos elencados”, além de, logicamente, os procedimentos a executar. Esse plano é importante, tendo em vista que, como se relaciona com os dois anteriores, busca fazer a comunicação entre os envolvidos ou não na elaboração do PCN (setores que fazem parte da empresa e até mesmo órgãos públicos) antes, durante e após a ocorrência de um desastre.
Na fábrica de refrigerantes, o escopo desse plano abrange os recursos humanos, que podem abranger a alta administração, como diretor executivo, gerente de produção e gerente de comunicação. As autoridades responsáveis pelo plano seguem essa hierarquia, segundo a qual o gerente de produção poderá se comunicar com todas as partes interessadas, por exemplo. No caso da quebra do maquinário, cada responsável deverá entrar em contato com as demais unidades e repassar as informações. Com relação à lista de tarefas, os responsáveis devem avaliar os impactos, comunicar às partes interessadas e definir os locais para os quais as equipes deverão ser remanejadas a fim de que se dê continuidade ao processo produtivo. O plano é finalizado quando o maquinário voltar a funcionar normalmente e a empresa poder continuar com suas atividades.
Leia o caso hipotético a seguir:
José e Roberto são alguns dos envolvidos na estruturação do PCN da empresa X, que atua no setor industrial na cidade de Curitiba, Paraná. Em reuniões constantes, eles buscam elaborar estratégias sob o ponto de vista de cada subplano e, então, definem as ações necessárias nesse sentido.
A respeito da estrutura do PCN, assinale a alternativa correta.
Quando a empresa se esforça para estruturar e implementar um Plano de Continuidade de Negócios, é essencial que ele não seja esquecido na gaveta ou em uma pasta do computador. O comprometimento com as operações da empresa (e, consequentemente, com as partes interessadas) perpassa a busca de melhoria contínua do PCN. Isso acontece porque as ameaças sofrem mudanças, assim como a estrutura da própria empresa. Sendo assim, a manutenção e o aprimoramento fazem parte de um PCN, tendo em vista a necessidade de sempre atualizá-lo, com base no ciclo PDCA (Plan, Do, Check, Act). Assim, o plano visa à melhoria contínua.
“Um bom Plano de Continuidade é vivo e adaptável” (ALEVATE, 2014, p. 29 ), pois, ao tomar a decisão de criá-lo, é preciso levar em consideração que ele deve ser alimentado constantemente, sendo revisado e reciclado por meio de capacitações, treinamentos e testes, além de ser necessário criar uma estrutura que lhe dê suporte, de modo que não seja menosprezado no momento em que determinadas situações o requisitarem.
Os testes e métodos que objetivam a manutenção do PCN devem fazer parte de um planejamento, e isso abrange todos aqueles que estão envolvidos no plano. A própria ISO 15999 elenca em um quadro os testes e métodos para tal manutenção, conforme pode-se observar a seguir:
#PraCegoVer : O quadro apresenta os tipos e métodos de testes e estratégias de GCN. Há cinco colunas (complexidade, teste, processo, variações e frequência recomendada) e quatro linhas, que apresentam o nível de complexidade (simples, médio e complexo). Na segunda linha, há “complexidade simples”, que pode ser composta por testes de mesa; seu processo pode ser de análise crítica e/ou questionar conteúdo do PCN; as variações são avaliação/validação e/ou auditoria/verificação; a frequência é: ao menos anualmente e/ou anualmente. Ainda na segunda linha, na “complexidade simples”, o teste pode ser “Walk-through” (repassar os passos) do plano; o processo é questionar o conteúdo do PCN; as variações referem-se a incluir interação e validar papéis dos participantes; frequência recomendada: anualmente. Na terceira linha, tem-se o nível de complexidade médio, que pode ser o teste de simulação, em que o processo é usar situação “artificial” para validar se o PCN tem informações necessárias e suficientes, de forma a permitir uma recuperação com sucesso; variações: incorporar planos associados; frequência recomendada: anualmente ou duas vezes ao ano. Ainda na terceira linha, que é de nível de complexidade média, tem-se que testar atividades críticas; o processo é executado em ambiente controlado que não prejudique o andamento normal dos negócios; variações: executar algumas operações a partir de um local alternativo por um tempo determinado; frequência recomendada: anualmente ou menos. Por fim, na quarta linha, nível de complexidade complexo, busca-se testar todo o PCN, incluindo o gerenciamento de incidentes; o processo é um teste que envolve todo o prédio/campus/zona de exclusão; não há variações; frequência recomendada: anualmente.
Com base no quadro anterior, pode-se observar que testes e revisões fazem parte de um PCN, o qual deve ser planejado para que de tempos em tempos passe por revisões, pois o que servia ontem pode não servir mais hoje para empresa em caso de incidentes. Segundo Moreira (2012), as revisões precisam ocorrer anualmente ou quando ocorrem alterações significativas nos processos e/ou na estrutura organizacional da empresa.
A capacitação auxilia na retenção do conhecimento e na realização das ações nos planos descritos, pois envolve atualização constante. Sempre que alguma coisa nos planos mudar, uma nova capacitação se faz necessária, pois atualizar os planos é uma forma de garantir a sua longevidade ao criar um processo de gestão (ALEVATE, 2014).
É necessário que um programa de testes seja criado, a fim de garantir que o plano de continuidade funcionará conforme a previsão. É importante que tal programa:
a) teste os aspectos técnicos, logísticos, administrativos, de procedimento e outros sistemas em operação do PCN; b) teste os preparativos e a infraestrutura de GCN, incluindo papéis, responsabilidades e quaisquer locais de gerenciamento de incidentes e áreas de trabalho, entre outros; c) valide a recuperação da tecnologia e das telecomunicações, incluindo a disponibilidade e remanejamento de pessoal (ABNT, 2007, p. 33-34).
Também é preciso destacar que, no contexto de testes e manutenções, o treinamento da equipe responsável pela ativação do plano deve ser considerado, visto que ela precisa saber quais são as ações necessárias em caso de desastres e quem deve ser comunicado.
Como em todo processo de gestão, enfatiza-se a importância de realizar revisões e atualizações constantes nos Planos de Continuidade de Negócios, uma vez que as situações se alteram. Além disso, é válido lembrar que tal ação também se faz necessária para a empresa que busca a certificação e quer ter uma vantagem competitiva, conforme preconizam as normas ISO.
Leia o caso hipotético a seguir:
A empresa ABC tem um Plano de Continuidade há seis anos. Anualmente, ele é testado e revisado, uma vez que, com base nas ISOs 15999, 22301 e 22313, os gestores da empresa observam que os riscos se alteram em decorrência de mudanças no contexto externo e, principalmente, interno. Para esses testes e a revisão do PCN, são reunidos todos aqueles que estiveram presentes em seu desenvolvimento e implementação.
Analise as asserções a seguir e a relação proposta entre elas.
I. A Análise de Impacto de Negócios deve ser realizada no momento dos testes.
Pois:
II. O PCN não pode ser considerado confiável até ser testado e atualizado.
A partir do que foi apresentado, assinale a alternativa correta.
Para que possamos compreender a relação entre continuidade e cultura da empresa, primeiro precisamos definir esta última. A “cultura organizacional” é um conjunto de crenças, valores e normas compartilhado pelos membros e que auxilia a empresa a concretizar a sua missão. Nesse sentido, se os membros da empresa não têm certa identificação com essa cultura organizacional, trata-se de um entrave que pode afetar negativamente os processos e negócios da empresa.
No que diz respeito à continuidade de negócios, que é o nosso foco, todos os membros da empresa devem conhecer as fases do desenvolvimento e da implementação do PCN, a fim de contribuir para a identificação das ameaças e dos riscos que podem afetar o negócio e que, às vezes, podem não constar no Plano (MOREIRA, 2012). Isso está diretamente relacionado com a cultura que mencionamos no parágrafo anterior.
Com a finalidade de implantar uma cultura de continuidade de negócios, primeiro os gestores devem reconhecer e priorizar a continuidade dos negócios e a resiliência como uma necessidade subjacente e uma parte crítica das atividades da empresa. Com isso, o restante da empresa responderá de acordo, uma vez que a liderança é um aspecto que pode contribuir sobremaneira em relação ao comportamento organizacional.
Concomitante a isso, dentro da ideia de criar uma cultura de continuidade de negócios, as práticas de gestão também se fazem importantes entre líderes e liderados, como na comunicação, em treinamentos e com lembretes que façam os funcionários pensarem em sua importância no desenvolvimento de um Plano de Continuidade dos Negócios da empresa. Os treinamentos, por exemplo, visam prepará-los para eventuais desastres e também fazê-los se familiarizar com os principais conceitos da GCN.
Quando todos os membros estiverem imersos nessa cultura de GCN, possíveis incidentes poderão se tornar conversas de corredor entre eles, questionando-se a respeito do que podem fazer em caso de incêndio, queda de energia, roubo de informações, além de quais os papéis que eles podem desempenhar nesse contexto a fim de contribuírem para a continuidade dos negócios da empresa.
Devido à sua grande importância, enfatiza-se que a cultura é um elemento citado na ISO 15999; portanto, ela deve fazer parte de todo o desenvolvimento e da implementação do PCN. Mais do que um conceito, esse é um elemento de grande importância para a implementação de uma cultura voltada à GCN.
O engajamento dos membros da empresa (e, consequentemente, seu compromisso na execução do plano) pode contribuir para as atividades críticas da empresa. Nesse sentido, no contexto dos sistemas de informação, por exemplo, Fontes (2015) cita que PCN permite o desenvolvimento e a implantação de controles de segurança da informação, podendo minimizar os questionamentos a respeito do que deve ser realizado em relação à continuidade de negócios caso ocorra a indisponibilidade da informação ou de recursos de informação que impeçam que a empresa realize suas principais atividades.
No contexto da GCN, os membros da empresa precisam acreditar na capacidade de sua organização de ter suas atividades críticas normalizadas rapidamente após a ocorrência de algum desastre ou incidente. Com isso, eles auxiliarão na retomada das atividades.
A cultura organizacional é um tema de grande importância quando se fala do ambiente organizacional. Quando relacionamos esse assunto com a continuidade de negócios, deve-se considerar que esta deve ser compartilhada por seus membros, por acreditarem que a empresa tem capacidade de retomar suas operações e voltar à normalidade em um momento de crise.
Torna-se necessário agir de maneira que os requisitos da GCN façam parte do ambiente empresarial. Segundo a ABNT (2007, p. 38), “desenvolvimento, promoção e incorporação da cultura de GCN na organização garantem que a GCN se tornará parte dos valores básicos e da gestão da organização”. É essencial que pensamentos e ações sejam voltados à continuidade dos negócios e à garantia da longevidade da empresa.
No entanto, nas palavras de Alevate (2014), o PCN não tem a obrigação de garantir a continuidade, e sim de minimizar as perdas em caso de desastres, visto que a garantia da continuidade decorre do ciclo de capacitação do pessoal envolvido e do quanto os conceitos fazem parte da rotina das pessoas que realizarão as ações do referido plano. Nesse sentido, uma organização que tenha uma cultura positiva de continuidade de negócios vai:
a) desenvolver um programa de GCN com mais eficiência; b) passar confiança às partes interessadas (especialmente funcionários e clientes) quanto à sua habilidade de gerenciar interrupções de negócios; c) aumentar sua resiliência ao longo do tempo ao garantir que as implicações da GCN são consideradas em todos os níveis de decisão; e d) minimizar a probabilidade e o impacto das interrupções (ABNT, 2007, p. 38).
O que fica claro na inclusão de uma cultura de GCN é que diversos benefícios podem ser alcançados em decorrência do melhor engajamento por parte de todos os funcionários. Além de aumentar a eficiência, ela contribui para minimizar os impactos causados por um possível desastre.
Além dos benefícios citados por conta de uma cultura de GCN, outros aspectos precisam ser considerados, a fim de que tudo aconteça conforme o planejado, incluindo liderança adequada à situação, motivação das partes interessadas e envolvimento e comprometimento de todos para a concretização de um plano de continuidade eficiente e eficaz.
Leia o excerto a seguir:
“Entende-se por enraizamento o mecanismo de tornar as práticas de gestão de continuidade vinculadas às atividades de valor organizacional [...]. Se o processo não é contínuo e não se encontra enraizado nas práticas empresariais administrativas, não pode contribuir para os objetivos estratégicos de longo prazo de uma empresa, e somente vai oferecer manifestações esporádicas de respostas à descontinuidade de negócio”.
BRAGA; O. S. G.; FORTE, S. H. A. C. Cenários pessimistas e a gestão de continuidade de negócios. In : SINGEP, 4., 2015, São Paulo. Anais [...]. São Paulo, 2015.
Com base no trecho e em seus conhecimentos sobre a cultura organizacional no âmbito da GCN, assinale a alternativa correta.
Ano: 2015
Comentário: Um jovem participa de um grupo de hackers que invade inclusive os sistemas mais seguros, manipulando dispositivos e roubando informações. Ao relacionar o filme com o conteúdo desta unidade, percebemos que as empresas estão suscetíveis a essas ameaças, cabendo a elas a elaboração de um PCN para se precaverem de ataques desse tipo.
Para conhecer mais sobre o filme, acesse o trailer disponível em:
Edison Fontes
Editora: Edison Fontes
ISBN: 978-85-02-12218-5
Comentário: Como conteúdo complementar ao que foi abordado nesta unidade, o livro traz um apanhado de informações a respeito da segurança da informação. Além disso, o autor traz o capítulo "Continuidade do Negócio”, dedicado exclusivamente à continuidade dos negócios, bem como à utilização de planos no contexto da segurança da informação.
Chegamos ao fim desta unidade, na qual vimos que a continuidade de negócios é documentada e formalizada por meio de um Plano de Continuidade de Negócios (PCN), um plano de ação que contém todos os procedimentos necessários para que a empresa, com todos os envolvidos, aplique antes, durante e após um desastre.
No decorrer desta unidade, abordamos que o desenvolvimento e a implementação de um PCN demandam alguns requisitos e que sua estrutura deve ter alguns tópicos essenciais, como declaração de política, objetivo e escopo, papéis, responsabilidades e liderança, mecanismo de ativação do plano, ações que devem ser tomadas e comunicação a ser realizada em caso de ocorrência de desastres. Ademais, entendemos que, dentro de um PCN, existem planos menores, denominados “Plano de Continuidade Operacional,” “Plano de Recuperação de Desastres” e “Plano de Administração de Crises”.
Por fim, para que o plano seja eficaz, sugere-se sua manutenção por meio de testes e revisões constantes, além do desenvolvimento de uma cultura voltada à Gestão da Continuidade de Negócios, na qual a liderança é primordial.
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 15999-1:2007 : gestão de continuidade de negócios. Parte 1: código de prática. Rio de Janeiro: ABNT, 2007.
ALEVATE, W. da R. Gestão da Continuidade de Negócios . Rio de Janeiro: Elsevier, 2014.
BRAGA; O. S. G.; FORTE, S. H. A. C. Cenários pessimistas e a gestão de continuidade de negócios. In : SINGEP, 4., 2015, São Paulo. Anais [...]. São Paulo, 2015.
DALPISSOL, E. A gestão de riscos e continuidade de negócios em pequenas e médias empresas fornecedoras da indústria metalmecânica da serra gaúcha . 2016. Dissertação (Mestrado em Administração) – Universidade Federal do Rio Grande do Sul, Porto Alegre, 2016. Disponível em: https://www.lume.ufrgs.br/handle/10183/174785 . Acesso em: 12 dez. 2020.
FONTES, E. L. G. Políticas de segurança da informação . Rio de Janeiro: RNP/ESR, 2015.
INSTITUTO FEDERAL DE SANTA CATARINA. Sistema de Gestão de Continuidade de Negócios de Tecnologia da Informação e Comunicação . Florianópolis: IFSC, 2018.
MANOEL, S. da S. Sistema de Gestão de Continuidade de Negócios . Rio de Janeiro: Brasport, 2019.
MARINHO, F. Guia de Plano de Continuidade de Negócios (PCN) . Rio de Janeiro: Elsevier, 2018.
MOREIRA, A. X. (coord). Guia de boas práticas para Planos de Continuidade de Negócios . São Paulo: ABRAPP, 2012. Disponível em: https://www.abrapp.org.br/produto/guia-de-boas-praticas-para-planos-de-continuidade-de-negocios/ . Acesso em: 10 dez. 2020.