Publicado em 22 mar 2022

73% das empresas não possuem planos de continuidade dos negócios adequados

Redação

Um estudo realizado pela KPMG indicou que 73% das empresas brasileiras pesquisadas não contam com um nível adequado de maturidade com relação aos planos de continuidade de negócios. Pode-se afirmar que as organizações competitivas fazem da gestão da continuidade dos negócios uma prioridade máxima porque manter funções críticas após uma emergência ou interrupção pode ser a diferença entre o sucesso e o fracasso de um negócio. Se os principais recursos de negócios falharem, um tempo de recuperação rápido para restaurar os sistemas é crucial. A implementação de uma estratégia de continuidade de negócios antes que ocorra um desastre pode economizar muito tempo e dinheiro. O plano de recuperação precisa incluir funções e responsabilidades, bem como quais sistemas precisam ser recuperados em qual ordem. Há muitos aspectos da continuidade de negócios a serem considerados e testados, o que é outro motivo para planejar com antecedência. Por exemplo, grandes conjuntos de dados podem levar muito tempo para serem restaurados a partir de um backup e, portanto, o failover (tolerância a falhas) para um data center remoto pode ser uma solução melhor para empresas com uma grande quantidade de dados. Quando os planos de resiliência e recuperação falham, ou quando ocorre um evento imprevisto, um plano de contingência pode atuar como último recurso. Um plano de contingência inclui uma estratégia praticada e um plano para as necessidades de último recurso. Essas necessidades podem variar desde pedir ajuda a fornecedores terceirizados até encontrar um segundo local para espaço de escritório de emergência ou servidores de backup remotos. A continuidade de negócios é o processo de planejar e lidar com ameaças e perigos potenciais à capacidade de uma organização de manter a continuidade dos negócios. Esta gestão implica avaliar a importância de diferentes funções de negócios em uma análise de impacto nos negócios; criar um plano para manter pelo menos os elementos mais críticos, apesar de uma perturbação. A continuidade dos negócios e a recuperação de desastres estão intrinsecamente ligadas, por isso ter um plano de continuidade de negócios e gerenciamento de crises pode economizar centenas de milhares de dólares para as empresas e pode até significar a diferença entre sobreviver às repercussões comerciais de um desastre natural ou do colapso. Com uma boa estratégia de continuidade de negócios e ferramentas de recuperação de desastres gerenciadas com eficiência, as empresas têm uma chance muito maior de começar a operar mais rapidamente após um desastre. Idealmente, as empresas bem preparadas devem estar em condições de continuar as operações como se nada tivesse acontecido. As empresas sem uma estratégia de recuperação de desastres e um plano de continuidade de negócios em vigor são muito mais vulneráveis a serem eliminadas por um desastre natural ou ataque cibernético.

No estudo da KPMG, 40% das organizações encontram-se no estágio 1, ou seja, não possuem sequer uma estratégia neste sentido. Outras 33% foram classificadas no estágio 2, em que este mecanismo até existe, mas não identifica e direciona todos os eventos que possam afetar as operações adequadamente. Apenas 27% das companhias participantes da pesquisa têm, de fato, um plano de continuidade de negócios estruturado, completo e abrangente, similar ao modelo esperado pelas boas práticas de mercado.

Apesar dos números relacionados ao nível de maturidade, 57% dos respondentes da pesquisa afirmaram ter consciência da importância de se estabelecer um plano de continuidade de negócios. A pesquisa destacou ainda que a recuperação eficiente com o menor dano possível é o tema mais apontado pelos executivos entre os diversos benefícios trazidos pela implementação deste mecanismo. Por outro lado, segundo os dados reunidos pela KPMG, a maior barreira enfrentada pelas empresas é provocada pela ausência de cultura em gestão de riscos e crises e a falta de clareza em relação a potenciais benefícios destas práticas.

“É imprescindível manter em mente que todas as corporações estão expostas a diversos riscos -- e o que diferencia as bem-sucedidas das demais é a maneira como agem quando uma crise é instalada. Empresas que buscam a longevidade devem identificar e tratar os riscos por meio de um plano de continuidade de negócios eficiente. E, para isso, é importante entender o nível de maturidade da companhia, os protocolos de recuperação existentes e quais pontos devem ser tratados com prioridade”, pontua o sócio-diretor de gestão de riscos da KPMG, Luís Navarro.

Conforme a ABNT ISO/TS22317 de 06/2020 - Segurança da sociedade — Sistemas de gestão de continuidade de negócios — Diretrizes para análise de impacto nos negócios (BIA), que fornece orientações para uma organização estabelecer, implementar e manter um processo formal e documentado de análise de impacto nos negócios (business impact analysis - BIA), normalmente, os cinco métodos mais comuns de coleta de informações da BIA são: a análise crítica da documentação, entrevista, pesquisa/questionário, seminário e exercício com base nos cenários (recomenda-se cautela, uma vez que diferentes cenários podem resultar em diferentes magnitudes de impacto). Os métodos para assegurar a consistência das informações, independentemente do método de coleta de informações, são os descritos a seguir.

Deve-se fornecer treinamento para as pessoas que estão liderando ou participando; identificar os requisitos de informações; fornecer supervisão ou qualidade assegurada dos resultados; e realizar um teste do método de coleta de informações antes de implementar em uma escala completa. A empresa deve analisar criticamente a seguinte documentação como uma etapa essencial na preparação para entrevistas, desenvolvimento de perguntas de pesquisa e, eventualmente, realização de trabalhos relacionados à análise: documentos de estratégia; materiais de marketing; relatórios anuais; indicadores de desempenho de negócios; procedimentos de operação-padrão que descrevam a execução de tarefas diárias; listas de equipamentos e tecnologia da informação e comunicação (TIC); apólices de seguro; relatórios pós-incidentes; materiais de treinamento; informações prévias da BIA; documentação de processo; organogramas; papéis e responsabilidades; acordos em nível de serviço relacionados ao cliente; e requisitos contratuais.

As organizações podem realizar entrevistas para permitir discussão referente às operações diárias, necessidades de recursos, obrigações e possíveis impactos, se um incidente disruptivo afetar a capacidade da atividade de entregar processos e produtos e serviços. Embora existam muitas maneiras de estruturar uma entrevista, deve-se incluir alguns tópicos, como a visão geral do processo BIA, objetivos, resultados desejados e a relação do processo BIA com o processo restante do planejamento de continuidade de negócios; expectativas do participante da BIA; a relação das atividades com os processos; a discussão da atividade; as próximas etapas, incluindo uma análise crítica do resumo da entrevista, comentários e correções, e aprovação.

A discussão da atividade pode abranger uma visão geral da atividade e relacionamento com produtos e serviços e processos, com ênfase nas tarefas principais e nos prazos necessários para realizar a atividade como um todo ou nas tarefas subordinadas (incluindo flutuações na demanda ou períodos de pico de operação); dependências e requisitos de recursos, incluindo soluções alternativas existentes e quanto tempo elas permanecem viáveis; o impacto conhecido, associado ao período de inatividade do processo; as obrigações conhecidas específicas da atividade. As boas práticas da entrevista incluem: preparar adequadamente, o que muitas vezes inclui uma agenda com instruções para o participante da entrevista sobre como se preparar para a entrevista; pesquisa sobre a atividade, a fim de informar perguntas na entrevista; repetir as principais informações, para assegurar que foram ouvidas com exatidão; e documentar um resumo da entrevista, solicitar resposta e obter aprovação.

As empresas podem utilizar pesquisas ou questionários para coletar efetivamente informações distintas, o que significa informações com um número finito de possibilidades ou informações que podem ser quantificadas. Assim, podem optar por entregar pesquisas como documentos impressos, documentos eletrônicos, ou um serviço de pesquisa online. É importante que as perguntas sejam claras na sua intenção e idioma, e convém que um contato seja fornecido para resolver as questões que o entrevistado possa ter.

Um conteúdo de pesquisa comum pode incluir a validação dos impactos associados a um incidente disruptivo, incluindo como o impacto se altera ao longo do tempo; o uso de um exercício com base no cenário permite que os participantes decidam sobre a prioridade de produtos e serviços, processos e/ou atividades dentro do contexto de um incidente simulado de disrupção. Em um nível da alta direção, o exercício deve ser suficientemente desafiador, de modo que a tolerância dos clientes seja estendida até o ponto de ruptura, de forma que os impactos possam ser identificados e avaliados e que as decisões difíceis sobre prioridades possam ser tomadas.

Em um nível de processo e atividade, um exercício pode explorar a logística, a sincronização e as dependências sobre outras atividades e cadeias de suprimentos. Para um exercício da alta direção, os cenários devem ser mantidos simples, de modo que os participantes se concentrem nas prioridades solicitadas por informações relacionadas a pressões externas, como reclamações dos clientes e pressão da mídia.

O tempo deve ser permitido para que as prioridades sejam debatidas, ao invés de seguir um prazo estrito de incidentes. Para um exercício em nível de processo ou atividade, os objetivos devem ser focados na identificação dos recursos requeridos para os requisitos de recuperação e na solicitação, viabilidade e tempo máximo disponível para recuperação, para realizar a recuperação requerida de entrega do produto e serviço.

Os resultados de um exercício podem incluir a identificação dos impactos que resultem de uma disrupção na entrega do produto e serviço e o tempo para que esses impactos se tornem inaceitáveis; a priorização de entrega do produto e serviço, processos e/ou atividades; os recursos requeridos para apoiar uma atividade, incluindo suprimentos; e a interdependências da atividade sobre outras atividades. Estes efeitos podem não fornecer resultados que sejam tão abrangentes quanto uma série de entrevistas estruturadas, porém o engajamento dos participantes e o aparente realismo da situação podem fornecer resultados mais confiáveis. Este método também é útil quando o tempo disponível com os participantes é limitado.

Enfim, embora seja possível identificar o impacto de ameaças identificadas, isso é de uso limitado na determinação de estratégias de continuidade de negócios que são destinadas a serem úteis para responder a incidentes disruptivos identificados e inesperados. Os requisitos de continuidade de negócios definidos somente por ameaças identificadas podem não ser abrangentes. Neste método, a medição do impacto por uma única variável ignora o parâmetro essencial de tempo.

O impacto de um incidente disruptivo na reputação e nas finanças de uma organização quase sempre aumenta ao longo do tempo, possivelmente sendo desprezível imediatamente após o incidente disruptivo ser uma ameaça à sobrevivência algum tempo depois. Um único valor para o impacto pode não descrever esta variação.

O impacto de um incidente disruptivo em uma organização parece estar mais intimamente relacionado à velocidade e efetividade do retorno no fornecimento de produtos e serviços aos clientes do que à natureza da ameaça que causou o incidente disruptivo. De fato, algumas organizações aumentaram a sua reputação ao responderem a um incidente disruptivo.

O relatório da KPMG avaliou e classificou o nível de maturidade dos planos de continuidade de negócios de 17 setores. As indústrias que mais se destacaram foram tecnologia da informação e serviços financeiros com 51% e 49% no estágio 3, respectivamente. No estágio dois, aparecem os segmentos de varejo (63%), energia, recursos naturais e saneamento (49%) e infraestrutura (44%).

Nas posições de estágio 1 de maturidade estão companhias de logística e distribuição (88%), agronegócio (75%), biotecnologia (75%), educação (69%), bens de consumo (67%), construção/imobiliário (62%), farmacêutica (60%), entretenimento, mídia e editorial (60%), transporte, viagens, turismo (60%), manufatura (51%), saúde (48%) e de outros ramos de atividade (42%). “Os resultados indicam que ainda há um longo caminho para que esta cultura seja implementada e naturalizada em todos os segmentos. Somente assim o patamar de maturidade desejado será atingido, alinhando a gestão de crises e de continuidade com a estratégia de negócios”, ressalta Navarro.

A primeira edição da pesquisa de maturidade dos planos de continuidade de negócios no Brasil foi realizada entre maio e junho do ano passado por meio de uma plataforma web e contemplou 28 perguntas. Os resultados foram classificados em uma escala com três níveis, detalhados a seguir.

Estágio 1: A empresa não possui uma política de continuidade de negócios e os pré-requisitos de governança para essa estrutura não estão implementados. Além disso, não existe avaliação do nível de preparação para responder a uma crise que interrompa a continuidade dos negócios e os colaboradores não são devidamente conscientizados sobre o assunto.

Estágio 2: O plano de continuidade de negócios existente não identifica nem direciona todos os eventos que possam afetar a continuidade das operações. A empresa dispõe de um processo de gerenciamento de crises, mas ele não é estruturado com todas as respostas, nem é atualizado de maneira regular, limitando as estratégias para a recuperação de eventos adversos.

Estágio 3: o plano de continuidade de negócios é completo e abrangente, revisado regularmente e sempre que há alguma mudança significativa nos negócios. A aderência à política, às normas e aos procedimentos é analisada de maneira independente e existe uma governança estruturada para o acionamento e execução da gestão de crises.

Como marco final de um projeto de continuidade dos negócios, após a conclusão da BIA, a organização deve continuar a seleção da estratégia de continuidade de negócios. Os requisitos aprovados de continuidade de negócios permitem que a organização determine e selecione as estratégias de continuidade de negócios apropriadas para permitir uma resposta e recuperação efetivas de um incidente disruptivo.

Os exemplos incluem as disposições alternativas do local de trabalho; as disposições alternativas da cadeia de suprimentos; as opções de recuperação da tecnologia da informação e comunicação (TIC); as fontes alternativas de pessoas; as fontes alternativas de equipamentos; e as soluções alternativas e procedimentos alternativos. A BIA também pode levar a uma reconsideração de como a organização entrega os seus produtos e serviços.

Hayrton Rodrigues do Prado Filho

hayrton@hayrtonprado.jor.br

Artigo atualizado em 23/03/2022 12:12.

Target

Facilitando o acesso à informação tecnológica