GESTÃO DA CONTINUIDADE DOS

NEGÓCIOS: ACERCA DE RISCOS E CRISES

Miguel Ângelo Ribeiro

(LATEC / UFF)

A proposta deste trabalho é analisar a Gestão da Continuidade dos Negócios (GCN), abordando

pontos principais tais como riscos e crises, bem como explorando particularidades sobre o tema,

tais como normas e estruturas formais para sua aplicação. Assim, torna-se fundamental a

compreensão de que impactos e ameaças afetam, primordialmente, os negócios da empresa, e a

GCN atua com o objetivo de reduzir as possíveis interrupções que a organização pode sofrer em

casos de crise. Além disso, com a implementação da GCN e seu monitoramento da segurança e

estabilidade da organização, é possível evitar que situações difíceis para a empresa leve-a à

falência, já que com seu método, a GCN tem êxito fazer com que a empresa mantenha sua

competitividade e produtividade.

Palavras-chaves: Gestão, Continuidade, Negócios, Riscos, Crises.

ISSN 1984-9354

X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014

2

Introdução

O presente trabalho, realizado para ser apresentado no X Congresso Nacional de Excelência em

Gestão, tem como objetivo conceituar a Gestão de Continuidade de Negócios (GCN), no intuito de

explicitar suas funções em situações de riscos e de crises que as organizações possam passar.

Para isso, será dividido em duas grande seções: uma a tratar da GCN em si, com seus conceitos,

e outra a abordar as principais normas que a regem, especificamente BS 25999 e ISO 22301 – que em

2014 substituirá completamente a primeira. Portanto, o problema a ser resolvido neste trabalho diz

respeito a como a GCN pode minimizar e/ou evitar danos sofridos pelas organizações, já que por meio

dela os riscos e as crises podem ser prevenidos, bem como de que maneira tal gestão pode, ainda,

maximizar a imagem positiva da organização dentro do mercado, aumentando sua produtividade e

lucratividade.

O contexto atual, no qual este artigo se insere, aponta que as organizações tem como um de

seus principais desafios atuar no mercado sem falhas nem irregularidades que as façam interromper

seu trabalho – qualquer interrupção significa, pelo menos a curto prazo, diminuição de produtividade.

Nas próximas páginas, será mostrada a importância de um plano de ações para prevenir os riscos e,

principalmente, as crises em uma empresa.

Outro ponto a ser abordado é a importância de minimizar acidentes (no caso de negligências e

imprudências que geram graves consequências) e incidentes (no caso de um episódio casual, sem

trágicos acontecimentos) na empresa. Para que isso aconteça, é preciso que o plano de ações acima

citado permita que os negócios da organização tenham continuidade, por meio de recursos extras,

alterações provisórias e no momento exato e preparo prévio de colaboradores que potencialmente

atuarão nestas situações.

Neste artigo, portanto, estarão explícitas informações, obtidas por meio de pesquisas

bibliográficas, com o auxílio de endereços eletrônicos, que buscam auxiliar na compreensão do quão

importante são as condutas que prezam pela manutenção do desempenho das organizações ainda que

em momentos críticos, que representem perigo ao rendimento e a produção das mesmas.

Ao mesmo tempo, esta abordagem faz parte de uma visão holística da Gestão de Continuidade

do Negócio, isto é, mais abrangente, que forneça propriedades da GCN para as organizações de

maneira geral – sem especificar determinadas áreas nem setores.

X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014

3

Por fim, o artigo trata das legalidades da GCN, já que aqui serão abordadas as normas que a

cercam, e como estas geram confiança e mantêm a reputação das organizações perante o mercado onde

estão inseridas. Quando atendem às premissas da certificação, as empresas terão exigidas ações que as

farão mostrar, sistematicamente, seus planos não apenas teoricamente, mas na prática, para a resolução

das situações difíceis, com respostas ágeis, eficazes e legais. É a abordagem da GCN pela garantia do

negócio no menor período de tempo possível e com a maior eficiência desejada.

1. Gestão da Continuidade dos Negócios: o que é?

Desde os anos 1990, com a popularização da internet e a aceleração da globalização,

principalmente, o mundo passa por novas situações de riscos e crises – sejam elas advindas do meio

ambiental (tais como a maior ocorrência de desastres naturais, por conta do aumento aquecimento

global) ou da esfera tecnológica (indivíduos especializados em boicotar ou destruir sites com vírus

cada vez mais potentes e inovadores, por exemplo).

Em ambos cenários, a imagem de uma organização pode ser afetada e, consequentemente,

afetadas serão sua produtividade e sua lucratividade. A vulnerabilidade organizacional dos dias atuais

é algo que preocupa ativistas e estudiosos da área. Por isso, novas correntes de estudo e práticas têm

trabalhado na intenção de diminuí-la ou, pelo menos, prevê-la. E, neste mundo corporativo, como

resolver tais riscos e crises provenientes das novidades do século atual? Quais as medidas tomar para

que as empresas antecipem condições de desastres e/ou falências organizacionais – ou, ao menos, não

se afundem neles?

Com base no ideal de gerir riscos e crises, surgiu o conceito de Gestão da Continuidade de

Negócios (GCN), tradução da expressão em inglês Business Continuity Management (BCM). Neste

tipo de gestão, o objetivo é oferecer aos gestores meios de lidar com incidentes e, ainda que estes não

aconteçam, permitir que sua possível chegada seja diagnosticada a tempo da organização se precaver.

Segundo Siqueira (2005, p. 103), a implantação da GCN significa “não permitir a interrupção das

atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres

significativos”.

Para que a organização veja resultado com essa gestão, é preciso que sua efetivação passe por

alguns estágios, que viabilizam a eficácia da GCN pelo estudo prévio dos reais impactos que a

empresa pode sofrer caso determinados riscos transformem-se em crises. Segundo a Associação

Brasileira de Normas Técnicas (ABNT, 2007, p. 8), tais estágios da GCN são:

X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014

4

Gestão do programa de Gestão da Continuidade de Negócios (GCN);

Entendendo a organização;

Determinando a estratégia de continuidade de negócios;

Desenvolvendo e implementando uma resposta de GCN;

Testando, mantendo e analisando criticamente os preparativos de GCN;

Incluindo a GCN na cultura da organização.

Nota-se que entender a organização e estudar seus processos e métodos já em vigor são

fundamentais para que a GCN possa ter sucesso na mesma. Isso porque, apenas a partir desse estudo,

pode-se preparar a organização para receber uma nova gestão, com base em análises dos impactos de

seus negócios – tanto para clientes internos como para os externos. Dos estágios mostrados

anteriormente, pode-se estabelecer o seguinte ciclo:

Figura 1: Ciclo de Gestão de Continuidade do Negócio1

Nestas quatro etapas, deve-se avaliar a organização como um todo, como um organismo que

está propenso a mudanças, já que sua sobrevivência e manutenção também dependem do mercado,

1 Figura retirada da página eletrônica: http://www.made2coach.com/sistema-de-gestao-da-continuidade-do-

negocio.html . Acesso: 03/02/2014.

X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014

5

ambiente externo, onde atuam. Primeiramente, portanto, o fato de conhecer muito bem a empresa

envolve não só clientes internos e externos, como também a parte física da mesma, bem como os

recursos das quais a empresa dispõe, os produtos e serviços prestados e recebidos e as outras

organizações com as quais se relaciona, por exemplo.

Na segunda etapa, deve-se então decidir qual estratégia será utilizada pela organização, depois

de conhecê-la a fundo, com o objetivo de evitar crises e fazer com que os colaboradores tenham a

capacidade de prever e gerir os riscos de acordo com as ferramentas que possuem em seu sistema

vigente. Cabe lembrar que, além da aceitação dos gestores, essa estratégia deve ser aceita pela alta

direção da empresa.

Já na terceira etapa, um plano, ou vários deles, vão compor a totalidade do Plano de

Continuidade do Negócio (PCN), no qual estarão explícitos com quais recursos – sejam eles humanos

ou de capital – a organização poderá contar para estancar a fase de crise. Neste plano, o objetivo é

tomar as mais eficientes providências, que demandem o tempo mais curto possível e represente o

menor prejuízo à organização.

Por fim, na quarta e última etapa, são feitos treinamentos, manutenções e revisões constantes

do PCN, no intuito de avaliar riscos frequentemente, levando em conta possibilidades, ameaças e

atividades diárias da organização. É preciso extrema atenção com essa fase que, teoricamente, não

deveria acabar, já que tal vigilância deve permanecer para que as chances de riscos e crises da

organização sejam minimizadas. Por isso, todos os colaboradores da empresa devem compartilhar

informações sobre a conjuntura pela qual esta passa, para que estejam a par dos problemas, das

soluções e dos desafios da mesma e, assim, possam trabalhar coerentemente em prol das metas da

empresa.

Pode-se notar a importância deste tipo de gestão para a segurança das organizações que a

implementam. Afinal, evitar a interrupção das atividades e operações de uma empresa significa não

apenas mantê-la no mercado, mas fazer com que se mostre a este como uma organização segura (seja

para os colaboradores como para os investidores), que tem potencial para lidar com fatalidades que

possam acontecer, com fracassos fruto de imprevisibilidade de riscos no futuro.

Assim, a GCN representa aos colaboradores e stakeholders a oportunidade uma visão mais

ampla dos negócios em casos de incidentes e/ou emergências, mantendo a reputação da organização

perante o mercado e, em casos mais extremos, podendo inclusive melhorar esta imagem, já que, com o

eficaz desempenho da GCN, a empresa pode passar com êxito por situações de risco que afetaram

X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014

6

outras grandes organizações de sua área. Além disso, é uma maneira de diminuir prejuízos, através da

monitoração constante, e fazer com que a organização aceite correr mais riscos no intuito de melhorar

sua performance, já que sua suscetibilidade a tais riscos estará sendo monitorada e, portanto,

indicadores apontarão as melhores operações para que os riscos sejam contidos ou retidos.

Depois desta análise mais detalhada da GCN, o próximo capítulo tratará das principais normas

e estruturas formais que permeiam este tipo de gestão.

2. Da BS 25999 ao ISO 22301

Perceber riscos e analisar meios para combater e/ou deter as crises são, como citado

anteriormente, alguns dos princípios da Gestão de Continuidade do Negócio. Em um mundo tão

avançado tecnologicamente, tais detecções têm de acontecer rapidamente, o que, muitas vezes, gera

erros que podem ser gravíssimos para a organização. Por isso, entender causas e consequências da

crise, diagnosticando acuradamente seus efeitos, faz-se necessário à empresa que busca dar

continuidade a seus negócios sem perder espaço na área em que atua.

Para que os gestores das empresas estejam aptos a ter essa compreensão, de maneira didática e

o mais completa possível, são criadas normas que, quando seguidas, permitem a estes mesmos gestores

compartilhar informações sobre o assunto e, assim, melhorar cada vez mais o processo de construção

de dados e referências sobre a GCN.

A começar pela explicação das siglas deste capítulo, serão elucidadas “BS” e “ISO”. O

cuidado e as precauções das organizações com relação à qualidade de seus serviços e produtos

atualmente respondem à padronizações de nível mundial, já que há de se respeitar normas e padrões

técnicos que exigem o mínimo para que a empresa continue a produzir. Por isso, organizações do

mundo todo obedecem a acordos sobre sistemas de qualidade: as regras de produção. Sobre isso se

tratam tais siglas.

A primeira vem do inglês British Standards, gerados pelo órgão britânico British Standards

Institution, com matriz em Londres, que elabora normas técnicas e possui mais de 60 mil certificados

mundo afora. De acordo com o BSI, a certificação é “processo no qual uma terceira parte acreditada

visita uma organização, audita seu sistema de gestão e emite um certificado para demonstrar que ela

X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014

7

obedece aos princípios definidos na norma”. Segundo Sartori2, no caso da BS 25999, é uma norma que

teve comitê de aprovação reunido em 2005, sendo publicada em novembro de 2006, com códigos de

práticas para a Gestão de Continuidade do Negócio.

Já “ISO” vem da sigla em inglês International Organization for Standardization, que

representa a organização não-governamental, com fundação em 1947 em Genebra, na Suíça, com

normas técnicas revisadas a cada cinco anos, pelo menos. A palavra, segundo Marshall Jr. et al (2006,

p. 62) vem do grego “isos”, que significa “igual”. De acordo com Israelian et al3, o objetivo desta

entidade é

Promover, no mundo, o desenvolvimento da normalização e atividades relacionadas

com a intenção de facilitar o intercâmbio internacional de bens e de serviços e para

desenvolver a cooperação nas esferas intelectual, científica, tecnológica e de atividade

econômica.

Mas, no caso da GCN abordada neste trabalho, quais as diferenças entre essas normas? Por que

a ISO 22301 substituiu a BS 25999?

2 SARTORI, Ricardo. Gerente comercial da BSI – Brasil Sistemas de Gestão. Em apresentação disponível no link:

<http://www.bsibrasil.com.br/imagens/upload/documentos/Palestra%20norma%2025999.pdf>. Acesso: 05/02/2014. 3 ISRAELIAN, Eliane; BECKER, Karin Suzana, SEIXAS, Maria de Lourdes S. A. e ROPKE, Sascha. Uma

Introdução às Normas da Série ISO 9000. Disponível em <http://allchemy.iq.usp.br/sedimentando/iso.htm> Acesso:

06/02/2014.

X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014

8

Figura 2: Principais diferenças entre ISO 22301 e BS 259994

A BS 25999, dividida em duas partes – BS 25999-1 (código de prática) e BS 25999-2

(especificação) – foi estruturada em, primeiramente, mostrar orientações gerais sobre os processos,

princípios e terminologias relacionadas à GCN. Posteriormente, o intuito foi especificar requisitos para

implementação e melhorias deste sistema de gestão. Surgiu, segundo sua própria instituição, motivada

pelas mais diversas mudanças pelas quais o mundo passava, tais como climáticas e tecnológicas, bem

como indisponibilidades de serviços (luz, água, telefone etc.) e recursos (matéria-prima).

Essa norma, segundo a instituição BSI, tem como principais características:

Proporcionar à organização um quadro de trabalho que esteja baseado nas melhores práticas

internacionais referentes à GCN;

Melhora proativamente a resiliência da empresa frente a rompimentos e sua habilidade de

atingir objetivos-chave;

Fornece um método prático de restaurar a habilidade da organização de fornecer produtos e

serviços críticos em um nível e tempo acordados mesmo após um rompimento;

Promove um entendimento mais claro e amplo de como a organização trabalha, de forma que

possa identificar oportunidades de melhorias;

Ajuda a proteger e aumentar o valor da marca;

Abre novos mercados à organização, auxiliando na conquista de novos negócios.

De acordo com a British Standards Institution, a seguinte figura representa as características

acima apresentadas:

Figura 3: Desenvolvimento da BS 259995

4 Figura disponível no endereço: <http://blog.iso27001standard.com/pt-br/2012/05/22/iso-22301-vs-bs-25999-2-

um-infografico/> Acesso: 08/02/2014.

X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014

9

Porém, apesar de ser utilizado em escala global, o reconhecimento da BS 25999 se dá, forte e

oficialmente, no Reino Unido. Por isso, desde o segundo semestre de 2011, a ISO 22301 chegou com

melhorias, sendo uma estrutura formal de negócios – sendo uma resposta de grande porte à BS 25999.

É aceita no mundo todo e acreditada por institutos de normalização de mais de 163 países.

Ainda segundo o BSI, essa nova norma ajuda a organização a “desenvolver um plano de

continuidade que irá manter o negócio funcionando durante e após uma interrupção; minimiza o

impacto, para que o trabalho possa voltar ao normal rapidamente”. Assim, produtos e serviços serão,

garantidamente, entregues, com a qualidade exigida pela norma técnica. Ressalta-se que os principais

atributos da BS 25999 estão incluídos na ISO 22301, como o BSI exemplifica:

A política de continuidade dos negócios;

Análise de impacto nos negócios;

Avaliação de risco;

Estratégia de continuidade do negócio (planos de continuidade dos negócios, exercícios e

testes).

Assim, depois de novembro de 2012, apenas a norma técnica ISO é aceita para implementação

e, no caso das organizações que ainda utilizam a norma BS, terão de se atualizar no prazo de até maio

de 2014.

Com a regulamentação através da norma ISO 22301, fica assegurada que os fundamentos e

processos da GCN estão sendo corretamente implementados na organização que possui o certificado.

Além disso, tal norma permite que as organizações estejam seguras quanto à situações que venham a

afetá-las de surpresa, pois oferece a estrutura necessária para a continuidade das operações e atividades

normais, servindo como um escudo para a reputação das empresas. Assim, através dos planos de

continuidade dos negócios, ficam resguardados colaboradores, fornecedores, clientes e ações – ainda

que interrupções devam ser, emergencialmente, feitas.

Uma das questões que rondam a GCN, com relação à ISO 22301, é se todas as empresas podem

e/ou devem aplicá-la em seus sistemas. Independente do tamanho da organização e de seu setor, tanto

este modelo de gestão como este tipo de norma são adequados para implementações no mundo todo,

sendo desenvolvidas dentro das empresas de acordo com as características e necessidades de cada uma.

Especificamente para organizações que lidam diariamente com altos riscos, a utilização da GCN e da

5 Disponível em

<http://www.bsibrasil.com.br/imagens/upload/documentos/BRA%20Com%20Day%20BS%2025999%20NOV%2008.pdf> Acesso: 06/02/2014.

X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014

10

ISO 22301 é considerada não só ideal, mas essencial. Assim, ficam garantidas as capacidades de

atuação da empresa, no que se refere ao operacional e ao executivo-estratégico.

Conclusão

Primeiramente, no que tange ao conteúdo propriamente abordado, cabe apontar para tendências

futuras: ao contabilizar a quantidade de mudanças pela qual o mundo, de maneira geral, passa, a GCN

torna-se importante aliada das organizações, já que através dela pode-se conter o impacto negativo

proporcionado por crises, sejam elas tecnológicas ou naturais.

Sendo assim, entender a importância da GCN atualmente é mais que prevenir a organização de

tais crises, mas também mantê-la com uma espécie de radar ligado, atento aos riscos que corre e, além

disso, ao modo como impedir que aconteçam, de acordo com as características de cada empresa.

Sobre a atual norma que está em voga para a correta aplicação e manutenção da GCN, a ISO

22301, vale ressaltar que a própria instituição que a regulamenta (International Organization for

Standardization) tem a preocupação de torná-la aplicável nos mais variados países, isto é, globalizando

a norma para a aceitação mundial.

Tal fato é importante para que a GCN seja aplicada mundo afora com conformidades que vão

reger as organizações que usam este tipo de gestão, para que estas possam ser analisadas e, se

necessário, punidas, não de acordo com métodos continentais, mas por meio de dados fornecidos de

forma geral por uma instituição regulamentadora acreditada por todos os países que utilizam da ISO

22301.

Porém, ao finalizar este artigo, as considerações finais que mais chamam a atenção dizem

respeito não somente ao conteúdo em si, mas em como ele é – ou, deveria ser – disseminado. Ainda

que com toda a pesquisa bibliográfica utilizada para a temática acima apresentada, a disponibilidade de

informações a respeito da Gestão de Continuidade do Negócio não é inexistente, de forma alguma,

mas ainda é limitada, visto que o assunto é relativamente novo se comparado com outras questões

relacionadas às organizações e suas formas de lidar com riscos e crises.

Por isso, espera-se que este artigo sirva também como contribuição para abrir novas

possibilidades e visões a respeito do tema, bem como incitar novas pesquisas e auxílios dissertativos

X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014

11

relacionados ao mesmo.

X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014

12

Referências Bibliográficas

ABNT. Associação Brasileira de Normas Técnicas. NBR 15.999-1: Gestão de Continuidade de

Negócios. Parte 1: Código de Prática. São Paulo, 2007.

MARSHALL JR., Isnard; CIERCO, Agliberto A; ROCHA, Alexandre V.; MOTA, Edmarson B.;

LEUSIN, Sérgio. Gestão da Qualidade. 7ª ed. Rio de Janeiro: FGV, 2006.

SIQUEIRA, Marcelo Costa. Gestão Estratégica da Informação. Rio de Janeiro: Brasport, 2005.

Site de Apoio:

British Standards Institution (BSI):

<http://www.bsibrasil.com.br/certificacao/sistemas_gestao/visao_geral/certificacao/>. Acesso em

05/02/2014.