Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
GESTÃO DA CONTINUIDADE DOS
NEGÓCIOS: ACERCA DE RISCOS E CRISES
Miguel Ângelo Ribeiro
(LATEC / UFF)
A proposta deste trabalho é analisar a Gestão da Continuidade dos Negócios (GCN), abordando
pontos principais tais como riscos e crises, bem como explorando particularidades sobre o tema,
tais como normas e estruturas formais para sua aplicação. Assim, torna-se fundamental a
compreensão de que impactos e ameaças afetam, primordialmente, os negócios da empresa, e a
GCN atua com o objetivo de reduzir as possíveis interrupções que a organização pode sofrer em
casos de crise. Além disso, com a implementação da GCN e seu monitoramento da segurança e
estabilidade da organização, é possível evitar que situações difíceis para a empresa leve-a à
falência, já que com seu método, a GCN tem êxito fazer com que a empresa mantenha sua
competitividade e produtividade.
Palavras-chaves: Gestão, Continuidade, Negócios, Riscos, Crises.
ISSN 1984-9354
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
2
Introdução
O presente trabalho, realizado para ser apresentado no X Congresso Nacional de Excelência em
Gestão, tem como objetivo conceituar a Gestão de Continuidade de Negócios (GCN), no intuito de
explicitar suas funções em situações de riscos e de crises que as organizações possam passar.
Para isso, será dividido em duas grande seções: uma a tratar da GCN em si, com seus conceitos,
e outra a abordar as principais normas que a regem, especificamente BS 25999 e ISO 22301 – que em
2014 substituirá completamente a primeira. Portanto, o problema a ser resolvido neste trabalho diz
respeito a como a GCN pode minimizar e/ou evitar danos sofridos pelas organizações, já que por meio
dela os riscos e as crises podem ser prevenidos, bem como de que maneira tal gestão pode, ainda,
maximizar a imagem positiva da organização dentro do mercado, aumentando sua produtividade e
lucratividade.
O contexto atual, no qual este artigo se insere, aponta que as organizações tem como um de
seus principais desafios atuar no mercado sem falhas nem irregularidades que as façam interromper
seu trabalho – qualquer interrupção significa, pelo menos a curto prazo, diminuição de produtividade.
Nas próximas páginas, será mostrada a importância de um plano de ações para prevenir os riscos e,
principalmente, as crises em uma empresa.
Outro ponto a ser abordado é a importância de minimizar acidentes (no caso de negligências e
imprudências que geram graves consequências) e incidentes (no caso de um episódio casual, sem
trágicos acontecimentos) na empresa. Para que isso aconteça, é preciso que o plano de ações acima
citado permita que os negócios da organização tenham continuidade, por meio de recursos extras,
alterações provisórias e no momento exato e preparo prévio de colaboradores que potencialmente
atuarão nestas situações.
Neste artigo, portanto, estarão explícitas informações, obtidas por meio de pesquisas
bibliográficas, com o auxílio de endereços eletrônicos, que buscam auxiliar na compreensão do quão
importante são as condutas que prezam pela manutenção do desempenho das organizações ainda que
em momentos críticos, que representem perigo ao rendimento e a produção das mesmas.
Ao mesmo tempo, esta abordagem faz parte de uma visão holística da Gestão de Continuidade
do Negócio, isto é, mais abrangente, que forneça propriedades da GCN para as organizações de
maneira geral – sem especificar determinadas áreas nem setores.
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
3
Por fim, o artigo trata das legalidades da GCN, já que aqui serão abordadas as normas que a
cercam, e como estas geram confiança e mantêm a reputação das organizações perante o mercado onde
estão inseridas. Quando atendem às premissas da certificação, as empresas terão exigidas ações que as
farão mostrar, sistematicamente, seus planos não apenas teoricamente, mas na prática, para a resolução
das situações difíceis, com respostas ágeis, eficazes e legais. É a abordagem da GCN pela garantia do
negócio no menor período de tempo possível e com a maior eficiência desejada.
1. Gestão da Continuidade dos Negócios: o que é?
Desde os anos 1990, com a popularização da internet e a aceleração da globalização,
principalmente, o mundo passa por novas situações de riscos e crises – sejam elas advindas do meio
ambiental (tais como a maior ocorrência de desastres naturais, por conta do aumento aquecimento
global) ou da esfera tecnológica (indivíduos especializados em boicotar ou destruir sites com vírus
cada vez mais potentes e inovadores, por exemplo).
Em ambos cenários, a imagem de uma organização pode ser afetada e, consequentemente,
afetadas serão sua produtividade e sua lucratividade. A vulnerabilidade organizacional dos dias atuais
é algo que preocupa ativistas e estudiosos da área. Por isso, novas correntes de estudo e práticas têm
trabalhado na intenção de diminuí-la ou, pelo menos, prevê-la. E, neste mundo corporativo, como
resolver tais riscos e crises provenientes das novidades do século atual? Quais as medidas tomar para
que as empresas antecipem condições de desastres e/ou falências organizacionais – ou, ao menos, não
se afundem neles?
Com base no ideal de gerir riscos e crises, surgiu o conceito de Gestão da Continuidade de
Negócios (GCN), tradução da expressão em inglês Business Continuity Management (BCM). Neste
tipo de gestão, o objetivo é oferecer aos gestores meios de lidar com incidentes e, ainda que estes não
aconteçam, permitir que sua possível chegada seja diagnosticada a tempo da organização se precaver.
Segundo Siqueira (2005, p. 103), a implantação da GCN significa “não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres
significativos”.
Para que a organização veja resultado com essa gestão, é preciso que sua efetivação passe por
alguns estágios, que viabilizam a eficácia da GCN pelo estudo prévio dos reais impactos que a
empresa pode sofrer caso determinados riscos transformem-se em crises. Segundo a Associação
Brasileira de Normas Técnicas (ABNT, 2007, p. 8), tais estágios da GCN são:
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
4
Gestão do programa de Gestão da Continuidade de Negócios (GCN);
Entendendo a organização;
Determinando a estratégia de continuidade de negócios;
Desenvolvendo e implementando uma resposta de GCN;
Testando, mantendo e analisando criticamente os preparativos de GCN;
Incluindo a GCN na cultura da organização.
Nota-se que entender a organização e estudar seus processos e métodos já em vigor são
fundamentais para que a GCN possa ter sucesso na mesma. Isso porque, apenas a partir desse estudo,
pode-se preparar a organização para receber uma nova gestão, com base em análises dos impactos de
seus negócios – tanto para clientes internos como para os externos. Dos estágios mostrados
anteriormente, pode-se estabelecer o seguinte ciclo:
Figura 1: Ciclo de Gestão de Continuidade do Negócio1
Nestas quatro etapas, deve-se avaliar a organização como um todo, como um organismo que
está propenso a mudanças, já que sua sobrevivência e manutenção também dependem do mercado,
1 Figura retirada da página eletrônica: http://www.made2coach.com/sistema-de-gestao-da-continuidade-do-
negocio.html . Acesso: 03/02/2014.
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
5
ambiente externo, onde atuam. Primeiramente, portanto, o fato de conhecer muito bem a empresa
envolve não só clientes internos e externos, como também a parte física da mesma, bem como os
recursos das quais a empresa dispõe, os produtos e serviços prestados e recebidos e as outras
organizações com as quais se relaciona, por exemplo.
Na segunda etapa, deve-se então decidir qual estratégia será utilizada pela organização, depois
de conhecê-la a fundo, com o objetivo de evitar crises e fazer com que os colaboradores tenham a
capacidade de prever e gerir os riscos de acordo com as ferramentas que possuem em seu sistema
vigente. Cabe lembrar que, além da aceitação dos gestores, essa estratégia deve ser aceita pela alta
direção da empresa.
Já na terceira etapa, um plano, ou vários deles, vão compor a totalidade do Plano de
Continuidade do Negócio (PCN), no qual estarão explícitos com quais recursos – sejam eles humanos
ou de capital – a organização poderá contar para estancar a fase de crise. Neste plano, o objetivo é
tomar as mais eficientes providências, que demandem o tempo mais curto possível e represente o
menor prejuízo à organização.
Por fim, na quarta e última etapa, são feitos treinamentos, manutenções e revisões constantes
do PCN, no intuito de avaliar riscos frequentemente, levando em conta possibilidades, ameaças e
atividades diárias da organização. É preciso extrema atenção com essa fase que, teoricamente, não
deveria acabar, já que tal vigilância deve permanecer para que as chances de riscos e crises da
organização sejam minimizadas. Por isso, todos os colaboradores da empresa devem compartilhar
informações sobre a conjuntura pela qual esta passa, para que estejam a par dos problemas, das
soluções e dos desafios da mesma e, assim, possam trabalhar coerentemente em prol das metas da
empresa.
Pode-se notar a importância deste tipo de gestão para a segurança das organizações que a
implementam. Afinal, evitar a interrupção das atividades e operações de uma empresa significa não
apenas mantê-la no mercado, mas fazer com que se mostre a este como uma organização segura (seja
para os colaboradores como para os investidores), que tem potencial para lidar com fatalidades que
possam acontecer, com fracassos fruto de imprevisibilidade de riscos no futuro.
Assim, a GCN representa aos colaboradores e stakeholders a oportunidade uma visão mais
ampla dos negócios em casos de incidentes e/ou emergências, mantendo a reputação da organização
perante o mercado e, em casos mais extremos, podendo inclusive melhorar esta imagem, já que, com o
eficaz desempenho da GCN, a empresa pode passar com êxito por situações de risco que afetaram
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
6
outras grandes organizações de sua área. Além disso, é uma maneira de diminuir prejuízos, através da
monitoração constante, e fazer com que a organização aceite correr mais riscos no intuito de melhorar
sua performance, já que sua suscetibilidade a tais riscos estará sendo monitorada e, portanto,
indicadores apontarão as melhores operações para que os riscos sejam contidos ou retidos.
Depois desta análise mais detalhada da GCN, o próximo capítulo tratará das principais normas
e estruturas formais que permeiam este tipo de gestão.
2. Da BS 25999 ao ISO 22301
Perceber riscos e analisar meios para combater e/ou deter as crises são, como citado
anteriormente, alguns dos princípios da Gestão de Continuidade do Negócio. Em um mundo tão
avançado tecnologicamente, tais detecções têm de acontecer rapidamente, o que, muitas vezes, gera
erros que podem ser gravíssimos para a organização. Por isso, entender causas e consequências da
crise, diagnosticando acuradamente seus efeitos, faz-se necessário à empresa que busca dar
continuidade a seus negócios sem perder espaço na área em que atua.
Para que os gestores das empresas estejam aptos a ter essa compreensão, de maneira didática e
o mais completa possível, são criadas normas que, quando seguidas, permitem a estes mesmos gestores
compartilhar informações sobre o assunto e, assim, melhorar cada vez mais o processo de construção
de dados e referências sobre a GCN.
A começar pela explicação das siglas deste capítulo, serão elucidadas “BS” e “ISO”. O
cuidado e as precauções das organizações com relação à qualidade de seus serviços e produtos
atualmente respondem à padronizações de nível mundial, já que há de se respeitar normas e padrões
técnicos que exigem o mínimo para que a empresa continue a produzir. Por isso, organizações do
mundo todo obedecem a acordos sobre sistemas de qualidade: as regras de produção. Sobre isso se
tratam tais siglas.
A primeira vem do inglês British Standards, gerados pelo órgão britânico British Standards
Institution, com matriz em Londres, que elabora normas técnicas e possui mais de 60 mil certificados
mundo afora. De acordo com o BSI, a certificação é “processo no qual uma terceira parte acreditada
visita uma organização, audita seu sistema de gestão e emite um certificado para demonstrar que ela
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
7
obedece aos princípios definidos na norma”. Segundo Sartori2, no caso da BS 25999, é uma norma que
teve comitê de aprovação reunido em 2005, sendo publicada em novembro de 2006, com códigos de
práticas para a Gestão de Continuidade do Negócio.
Já “ISO” vem da sigla em inglês International Organization for Standardization, que
representa a organização não-governamental, com fundação em 1947 em Genebra, na Suíça, com
normas técnicas revisadas a cada cinco anos, pelo menos. A palavra, segundo Marshall Jr. et al (2006,
p. 62) vem do grego “isos”, que significa “igual”. De acordo com Israelian et al3, o objetivo desta
entidade é
Promover, no mundo, o desenvolvimento da normalização e atividades relacionadas
com a intenção de facilitar o intercâmbio internacional de bens e de serviços e para
desenvolver a cooperação nas esferas intelectual, científica, tecnológica e de atividade
econômica.
Mas, no caso da GCN abordada neste trabalho, quais as diferenças entre essas normas? Por que
a ISO 22301 substituiu a BS 25999?
2 SARTORI, Ricardo. Gerente comercial da BSI – Brasil Sistemas de Gestão. Em apresentação disponível no link:
<http://www.bsibrasil.com.br/imagens/upload/documentos/Palestra%20norma%2025999.pdf>. Acesso: 05/02/2014. 3 ISRAELIAN, Eliane; BECKER, Karin Suzana, SEIXAS, Maria de Lourdes S. A. e ROPKE, Sascha. Uma
Introdução às Normas da Série ISO 9000. Disponível em <http://allchemy.iq.usp.br/sedimentando/iso.htm> Acesso:
06/02/2014.
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
8
Figura 2: Principais diferenças entre ISO 22301 e BS 259994
A BS 25999, dividida em duas partes – BS 25999-1 (código de prática) e BS 25999-2
(especificação) – foi estruturada em, primeiramente, mostrar orientações gerais sobre os processos,
princípios e terminologias relacionadas à GCN. Posteriormente, o intuito foi especificar requisitos para
implementação e melhorias deste sistema de gestão. Surgiu, segundo sua própria instituição, motivada
pelas mais diversas mudanças pelas quais o mundo passava, tais como climáticas e tecnológicas, bem
como indisponibilidades de serviços (luz, água, telefone etc.) e recursos (matéria-prima).
Essa norma, segundo a instituição BSI, tem como principais características:
Proporcionar à organização um quadro de trabalho que esteja baseado nas melhores práticas
internacionais referentes à GCN;
Melhora proativamente a resiliência da empresa frente a rompimentos e sua habilidade de
atingir objetivos-chave;
Fornece um método prático de restaurar a habilidade da organização de fornecer produtos e
serviços críticos em um nível e tempo acordados mesmo após um rompimento;
Promove um entendimento mais claro e amplo de como a organização trabalha, de forma que
possa identificar oportunidades de melhorias;
Ajuda a proteger e aumentar o valor da marca;
Abre novos mercados à organização, auxiliando na conquista de novos negócios.
De acordo com a British Standards Institution, a seguinte figura representa as características
acima apresentadas:
Figura 3: Desenvolvimento da BS 259995
4 Figura disponível no endereço: <http://blog.iso27001standard.com/pt-br/2012/05/22/iso-22301-vs-bs-25999-2-
um-infografico/> Acesso: 08/02/2014.
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
9
Porém, apesar de ser utilizado em escala global, o reconhecimento da BS 25999 se dá, forte e
oficialmente, no Reino Unido. Por isso, desde o segundo semestre de 2011, a ISO 22301 chegou com
melhorias, sendo uma estrutura formal de negócios – sendo uma resposta de grande porte à BS 25999.
É aceita no mundo todo e acreditada por institutos de normalização de mais de 163 países.
Ainda segundo o BSI, essa nova norma ajuda a organização a “desenvolver um plano de
continuidade que irá manter o negócio funcionando durante e após uma interrupção; minimiza o
impacto, para que o trabalho possa voltar ao normal rapidamente”. Assim, produtos e serviços serão,
garantidamente, entregues, com a qualidade exigida pela norma técnica. Ressalta-se que os principais
atributos da BS 25999 estão incluídos na ISO 22301, como o BSI exemplifica:
A política de continuidade dos negócios;
Análise de impacto nos negócios;
Avaliação de risco;
Estratégia de continuidade do negócio (planos de continuidade dos negócios, exercícios e
testes).
Assim, depois de novembro de 2012, apenas a norma técnica ISO é aceita para implementação
e, no caso das organizações que ainda utilizam a norma BS, terão de se atualizar no prazo de até maio
de 2014.
Com a regulamentação através da norma ISO 22301, fica assegurada que os fundamentos e
processos da GCN estão sendo corretamente implementados na organização que possui o certificado.
Além disso, tal norma permite que as organizações estejam seguras quanto à situações que venham a
afetá-las de surpresa, pois oferece a estrutura necessária para a continuidade das operações e atividades
normais, servindo como um escudo para a reputação das empresas. Assim, através dos planos de
continuidade dos negócios, ficam resguardados colaboradores, fornecedores, clientes e ações – ainda
que interrupções devam ser, emergencialmente, feitas.
Uma das questões que rondam a GCN, com relação à ISO 22301, é se todas as empresas podem
e/ou devem aplicá-la em seus sistemas. Independente do tamanho da organização e de seu setor, tanto
este modelo de gestão como este tipo de norma são adequados para implementações no mundo todo,
sendo desenvolvidas dentro das empresas de acordo com as características e necessidades de cada uma.
Especificamente para organizações que lidam diariamente com altos riscos, a utilização da GCN e da
5 Disponível em
<http://www.bsibrasil.com.br/imagens/upload/documentos/BRA%20Com%20Day%20BS%2025999%20NOV%2008.pdf> Acesso: 06/02/2014.
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
10
ISO 22301 é considerada não só ideal, mas essencial. Assim, ficam garantidas as capacidades de
atuação da empresa, no que se refere ao operacional e ao executivo-estratégico.
Conclusão
Primeiramente, no que tange ao conteúdo propriamente abordado, cabe apontar para tendências
futuras: ao contabilizar a quantidade de mudanças pela qual o mundo, de maneira geral, passa, a GCN
torna-se importante aliada das organizações, já que através dela pode-se conter o impacto negativo
proporcionado por crises, sejam elas tecnológicas ou naturais.
Sendo assim, entender a importância da GCN atualmente é mais que prevenir a organização de
tais crises, mas também mantê-la com uma espécie de radar ligado, atento aos riscos que corre e, além
disso, ao modo como impedir que aconteçam, de acordo com as características de cada empresa.
Sobre a atual norma que está em voga para a correta aplicação e manutenção da GCN, a ISO
22301, vale ressaltar que a própria instituição que a regulamenta (International Organization for
Standardization) tem a preocupação de torná-la aplicável nos mais variados países, isto é, globalizando
a norma para a aceitação mundial.
Tal fato é importante para que a GCN seja aplicada mundo afora com conformidades que vão
reger as organizações que usam este tipo de gestão, para que estas possam ser analisadas e, se
necessário, punidas, não de acordo com métodos continentais, mas por meio de dados fornecidos de
forma geral por uma instituição regulamentadora acreditada por todos os países que utilizam da ISO
22301.
Porém, ao finalizar este artigo, as considerações finais que mais chamam a atenção dizem
respeito não somente ao conteúdo em si, mas em como ele é – ou, deveria ser – disseminado. Ainda
que com toda a pesquisa bibliográfica utilizada para a temática acima apresentada, a disponibilidade de
informações a respeito da Gestão de Continuidade do Negócio não é inexistente, de forma alguma,
mas ainda é limitada, visto que o assunto é relativamente novo se comparado com outras questões
relacionadas às organizações e suas formas de lidar com riscos e crises.
Por isso, espera-se que este artigo sirva também como contribuição para abrir novas
possibilidades e visões a respeito do tema, bem como incitar novas pesquisas e auxílios dissertativos
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
11
relacionados ao mesmo.
X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014
12
Referências Bibliográficas
ABNT. Associação Brasileira de Normas Técnicas. NBR 15.999-1: Gestão de Continuidade de
Negócios. Parte 1: Código de Prática. São Paulo, 2007.
MARSHALL JR., Isnard; CIERCO, Agliberto A; ROCHA, Alexandre V.; MOTA, Edmarson B.;
LEUSIN, Sérgio. Gestão da Qualidade. 7ª ed. Rio de Janeiro: FGV, 2006.
SIQUEIRA, Marcelo Costa. Gestão Estratégica da Informação. Rio de Janeiro: Brasport, 2005.
Site de Apoio:
British Standards Institution (BSI):
<http://www.bsibrasil.com.br/certificacao/sistemas_gestao/visao_geral/certificacao/>. Acesso em
05/02/2014.