Método para mensuração
do NRGCN - Nível de Resiliência em Gestão de Continuidade de Negócios
Gustavo Vedove
Especialista de Riscos, GCN e Proteção de Dados
26/08/2021
Muito se aprendeu sobre GCN – Gestão de Continuidade de Negócios com a Pandemia da COVID-19 e o termo resiliência, apesar de ser antigo no linguajar dos negócios e da gestão de riscos, passou a ser muito citado. Nessa esteira, tivemos em 2020 a atualização da ISO 22301:2013 (Segurança da sociedade — Sistema de gestão de continuidade de negócios) para ISO 22301:2020 (Segurança e resiliência — Sistema de gestão de continuidade de negócios). Por isso, resolvi criar um método para mensurar o nível de resiliência em Gestão de Continuidade de Negócios das empresas.
O método consiste em mensurar o nível de preparação da empresa para responder aos cenários de interrupção com potencial de crise, aos quais o negócio está exposto. Logo, uma boa análise de riscos para identificação destes cenários, é chave para o sucesso da correta mensuração.
VAMOS AO PROCESSO E METODOLOGIA!
DESCRIÇÃO DO PROCESSO
O nível de resiliência consiste de um indicador que consolida o resultado de todo programa de gestão de continuidade de negócios, levando em conta a estrutura existente, para responder aos cenários de interrupção.
O método é dividido em duas partes:
A parte 1 já é muito praticada no mercado, pois foca em avaliar a aderência da empresa às boas práticas de continuidade de negócios, tomando como base o atendimento aos requisitos das principais normas, ou seja, é uma avaliação do Programa de GCN. Os três temas que avaliamos na parte 1 são documentação, preparação das pessoas e ciclo de revisões.
Já na parte 2, são avaliadas as questões relacionadas à capacidade da empresa para responder aos cenários de interrupção e ameaça. Esta é a parte inovadora do método. São dadas notas por cenário, considerando a avaliação dos recursos e os planos existentes para atuar em contingências e gestão de crises.
Cada item de avaliação tem um peso proporcional à sua importância, peso este que a empresa deve estabelecer de acordo com seu entendimento.
Abaixo os critérios de avaliação:
Cada item será avaliado na escala de 0 a 4. O método é subjetivo, cabendo ao avaliador estabelecer o critério de classificação conforme suas verificações, no âmbito do que a empresa possui formalizado e implementado. O método prescreve, até mesmo por uma questão de registro da condição avaliada, a necessidade de preencher as justificativas relativas a cada item.
Abaixo temos a demonstração do quadro de avaliação, com exemplos de itens a serem avaliados, cada um com seu peso, organizados por tema e divididos segundo as óticas de atendimento ao programa GCN e à preparação da empresa para responder aos cenários de interrupção (Parte 1 e 2). Pontos importantes:
a) As perguntas são apenas exemplos. O número de questões não está limitado à quantidade e a empresa pode “customizar” o assessment, incluindo suas questões, desde que alinhadas aos requisitos das normas e coerentes com os cenários aos quais está exposta.
b) O preenchimento das justificativas é somente para exemplificar, cabe ao especialista de GCN/Riscos detalhar os aspectos avaliados.
c) A premissa é colocar somente as principais questões a serem avaliadas, partindo do pressuposto de que, para chegar ao resultado, outras fases das normas de GCN já foram realizadas na organização. O objetivo do método é avaliar as questões mais relevantes.
d) Os cenários colocados são apenas exemplos. O número de cenários não está limitado a essa quantidade. A orientação é no sentido de que os cenários empregados sejam fruto da análise de riscos e envolvimento com a alta gestão, para que a avaliação seja específica da empresa. Somente assim será possível obter do estudo uma avaliação precisa do quanto a empresa está preparada para responder aos cenários que possam impactar a continuidade de seus negócios.
e) Conforme os itens C e D, o objetivo é ter uma avaliação focada, objetiva e customizada à realidade de riscos de continuidade aos quais a empresa está exposta, sem estender muito o check list de assessment, mantendo perguntas bem direcionadas e que realmente têm peso e relevância, para saber se a empresa tem seu Plano de Continuidade bem estruturado, oriundo de um bom diagnóstico realizado mediante a aplicação de técnicas reconhecidas.
Quadro de avaliação do nível de resiliência da empresa contra eventos que possam gerar interrupção dos negócios:
Conforme avaliação de cada item através das notas, é feito o cálculo que resulta em uma escala de 1 a 5 níveis para chegar ao indicador de resiliência.
A nota é multiplicada pelo peso e cada item é somado, podendo gerar as informações em duas categorias:
• Indicador por categoria; e
• Indicador geral (Nível de Resiliência da Empresa).
Neste processo, como o objetivo principal é fazer uma avaliação customizada da empresa, haverá variação na quantidade de itens a serem avaliados (Perguntas). Desta forma, as escalas de classificação dos indicadores por categoria e geral irão apresentar discrepâncias e devem ser adaptados.
Segue abaixo a metodologia:
- Verificar o resultado máximo possível e traçar um range de 5 intervalos, mantendo coerência na divisão das pontuações mínimas e máximas. Os intervalos entre as pontuações irão determinar os níveis de classificação. Abaixo o exemplo, considerando o quadro supracitado.
• Nota máxima (248) dividida por 5 (quantidade de níveis de classificação) = 49,6
• Intervalo entre os níveis: manter o mais próximo da pontuação que representa 1/5.
Visão Indicador da Empresa
Visão Indicador por Categoria
Cada nível de classificação deve ter uma definição, esclarecendo os aspectos que as justifiquem, por tema, assim, para fins de auxílio, elaborei alguns direcionadores para enquadramento. Ver quadro abaixo “Critérios de avaliação por nível de classificação”.
O objetivo é definir por nível de classificação o grau qualitativo dos itens atendidos, conforme o grau de avaliação das partes 1 e 2 (requisitos das normas e capacidade de pronta reposta, respectivamente) do assessment do nível de resiliência.
O resultado é o indicador da empresa, podendo ser visualizado também por categoria. Convém que o processo seja revisado anualmente, pelos seguintes motivos:
• Mudança nas condições de risco e ambiente de controles;
• Mudanças externas – fatores incontroláveis;
• Mudanças internas (estruturas, produtos e serviços, tecnologias, pessoas, sistemas, entre outros).
Os benefícios do indicador do nível de resiliência são:
• Visão do nível de preparação da companhia contra cenários adversos;
• Aumenta a transparência da gestão de continuidade, permitindo à empresa questionar periodicamente a quais cenários de interrupção ameaças ela está exposta e se há meios de resposta em níveis satisfatórios;
• Oportunidade de melhoria no ambiente de controle - etapa de prevenção dos riscos (quando identificado e aplicável);
• Oportunidades de melhoria das contingências, planos de crise e protocolos de resposta;
• Governança;
• Documentação que auxilia no atendimento a auditorias.
Por fim, ressalto que o assessment deve ser adaptado à realidade de cada empresa, bem como os pesos dados a cada pergunta. É conveniente validar os cenários com a alta gestão, mas sem “enxugar muito”. Faz-se necessário também avaliar a preparação da empresa quando confrontada com todos os cenários aos quais ela está exposta, por mais remota que seja a probabilidade de ocorrência, pois em GCN não devemos nos apegar a isso, pelo menos a meu ver. Assim, espero ter contribuído com a comunidade de Gestão de Riscos e Continuidade de Negócios com este artigo.