Continuidade Corporativa e BIA
Nos últimos tempos, o termo “Continuidade de Negócios” tem sido cada vez mais utilizado e aplicado nas organizações, tanto públicas quanto privadas. Esse fato se baseia na crescente preocupação de que nenhuma organização esteja isenta de sofrer um incidente que afete a continuidade de suas operações diárias.
Mas o que é Continuidade de Negócios? De acordo com a ISO 22301:2012 (norma internacional publicada pela International Organization for Standardization (ISO) que regula os requisitos que um Sistema de Gestão de Continuidade de Negócios deve ter), a continuidade de negócios é a capacidade da organização de continuar a entrega de produtos e serviços em níveis pré-definidos aceitáveis após um incidente disruptivo. Analisando cuidadosamente a definição acima, percebe-se que existem várias incógnitas e pressupõe que é necessário atingir essa “capacidade”.
Independentemente da norma ISO 22301, as estratégias levadas a cabo pelas organizações para a implementação da Continuidade de Negócio são muito diversas, dependendo em grande medida do conhecimento existente da organização sobre o tema e dos recursos (económicos, tecnológicos, humanos) de que dispõe.
Como primeira recomendação, se me permitem, para a implementação da Continuidade de Negócios é a utilização de algum padrão de referência sobre o assunto. As normas publicadas pelos diferentes órgãos (por exemplo, a já mencionada norma ISO 22301) são constituídas por equipas de trabalho constituídas por especialistas na área e com vasta experiência, pelo que normalmente são documentos que incorporam todos os requisitos que devem ser considerados para a implementação de um sistema. Algumas pessoas têm a falsa crença de que a implementação de uma norma ISO (ou outra norma de um órgão diferente) implica necessariamente a certificação da mesma, mas na realidade muitas organizações usam uma norma internacional como um guia do que podem fazer para atingir seus objetivos sem cair na obrigação de cumprir todos os requisitos 100%. e menos ainda que uma entidade externa certifique tal conformidade.
Deixando de lado a parte teórica e focando-se na parte mais prática da Continuidade de Negócio, esta envolve o desenvolvimento de diferentes atividades que, em primeiro lugar, ajudam a organização a conhecer as suas principais características e deficiências, e em segundo lugar, definem as ações necessárias para recuperar de qualquer evento que afete a continuidade das suas operações tendo em conta o impacto na organização de determinados processos que deixam de ser executados.
Para isso, existe uma atividade muito importante em qualquer implementação de um Sistema de Continuidade de Negócios: a Análise de Impacto nos Negócios (comumente chamada de BIA). Esta atividade é composta pela análise de todos os processos de negócios que estão envolvidos na entrega de produtos e serviços aos clientes de uma organização.
Como planejá-lo e executá-lo será visto em breve na segunda parte do artigo.
Ao planejar a execução de um BIA em uma organização, as pessoas que a lideram se fazem principalmente duas perguntas:
- Quais informações obtenho e analiso dos processos de negócios?
- Como faço para obter essas informações?
Em relação à primeira pergunta, não há uma resposta única, pois as informações necessárias para conhecer as características e a criticidade dos processos de negócios podem variar entre as diferentes empresas. No entanto, recomenda-se obter um conjunto mínimo de informações para cada processo, a saber:
- Impacto potencial na organização em caso de incidente que impeça a execução normal do processo. Esse impacto deve ser estabelecido considerando diferentes tempos de interrupção, recomendando o uso de vários tipos de impacto (econômico, operacional, legal, etc.) dependendo da natureza do processo.
- Períodos de tempo máximos e desejáveis para a recuperação de atividades críticas de processos de negócios. Esses prazos são comumente chamados de MTPD (Período Máximo Tolerável de Interrupção) e RTO (Objetivo de Tempo de Recuperação), respectivamente. Esses são dois conceitos muito importantes em qualquer sistema de continuidade de negócios.
- Recursos mínimos necessários para a execução das atividades críticas do processo em caso de incidente que impeça sua execução normal. Os recursos a serem considerados incluem infraestrutura, pessoas, informações, fornecedores, locais físicos, etc., ou seja, qualquer coisa necessária para que o processo execute suas atividades críticas.
- Prazo máximo para a retomada de todas as atividades (críticas e não críticas) do processo de negócio. Esse período determina a janela de tempo para a qual o processo pode ficar sem executar 100% de suas atividades. Este conceito não deve ser confundido com MTPD ou RTO, pois são conceitos muito diferentes.
BIA: As informações necessárias para determinar a criticidade do processo
Além disso, cada organização deve determinar quais outras informações precisa para conhecer as particularidades dos processos. Por exemplo, o desempenho de um BIA pode ser usado para atualizar as características dos processos de negócios da organização (atividades, produtos de trabalho que ela gera, dependências de outros processos, etc.), uma vez que essas informações geralmente são definidas, se forem definidas, em documentos criados para esse fim. Além disso, esses documentos estão comumente desatualizados devido à constante dinâmica de mudança que existe em todas as organizações para se atualizarem aos novos requisitos de negócios.
Em suma, para ter certeza de que informações importantes não sejam esquecidas, podemos aplicar os seguintes critérios: um BIA deve obter todas as informações necessárias para determinar a criticidade do processo para a organização e, dessa forma, ser capaz de desenvolver posteriormente o plano de continuidade corporativa que permita a recuperação das atividades críticas de cada processo, cumprindo os prazos obtidos em cada um deles.
Em relação à segunda questão levantada, as informações de um processo de negócios devem ser obtidas por meio das pessoas que têm responsabilidade pelo processo de negócios, mas também devem saber como ele funciona e ter visibilidade de como o processo de negócios afeta os objetivos da organização. Essas características nem sempre são encontradas na mesma pessoa, portanto, nessas situações, todas as pessoas que correspondem devem ser entrevistadas.
A responsabilidade e execução dos processos de negócio está distribuída em diferentes áreas e departamentos da nossa organização, pelo que no planeamento de uma BIA, este facto deve ser considerado uma vez que condiciona os seus prazos. Cada área e departamento tem seus objetivos e atividades diárias, e conseguir planejar sessões de trabalho para obter as informações necessárias para o BIA nem sempre é fácil devido às incompatibilidades que geralmente existem entre as agendas.
Como conclusão de tudo o que foi dito acima, a execução de uma BIA em uma organização pode ser resumida como um processo periódico vital para estabelecer um sistema de continuidade de negócios onde são analisados todos os processos de negócios envolvidos na entrega de produtos e serviços aos clientes, obtendo as informações necessárias para determinar tanto as principais características de cada processo quanto os impactos (econômicos, econômicos, operacional, legal, etc.) Isso significaria para a organização que um processo deixará de ser executado (independentemente do incidente ou evento que o causa). Essas informações devem estar disponíveis para a elaboração dos planos de continuidade da organização, pois permitem estabelecer as prioridades dos diferentes processos e, dessa forma, ordenar as atividades de recuperação em caso de ocorrência de um evento que afete a continuidade das operações diárias.
A execução de todo o processo descrito acima pode ser automatizada através da ferramenta GlobalSUITE® Business Continuity. Esta plataforma possui funcionalidade completa para a organização e registro de BIAs, incluindo: uma configuração padrão (tipos de impacto, prazos, recursos mínimos, etc.) para o registro de BIAs, que é modificável; a possibilidade de realizar mais de um BIA para o mesmo processo de negócio; consolidação dos BIAs de um processo considerando os diferentes BIAs feitos para o processo ou subprocessos; bem como o desenho e publicação de pesquisas BIA que são enviadas aos responsáveis por cada processo de negócio, que acessam a pesquisa online sem a necessidade de ter um usuário da ferramenta.
