Continuidade de Negócios: como se proteger num mundo de incertezas
Luciano Marques,CES,CPSI,MBS
Gestor de Segurança Empresarial, Auditor Interno e Especialista em Segurança Corporativa. MBA de Gestão de Riscos Corporativos pela Brasiliano INTERISK em Curitiba.
Vivemos em um mundo em constante transformação, onde a única certeza que temos são as incertezas. Um mundo onde mudanças são cada vez mais rápidas e constantes e a dinamicidade dos riscos estão cada vez mais presentes em todas as atividades. Não há mais como pensarmos apenas “se” um determinado risco vai se concretizar ou não, é preciso pensar no que podemos fazer “quando” isto ocorrer. A palavra de ordem é resiliência e somente conseguirão manter seus negócios aqueles que entenderem e praticarem este conceito.
Um dos grandes temores que sempre assombraram as mentes de muitos gestores e empresários foi a ocorrência de um grande desastre em sua empresa, como um incêndio de grandes proporções, grandes explosões, vazamentos de produtos tóxicos, grandes catástrofes climáticas, ou outros eventos que viessem, de alguma forma, paralisar as atividades da empresa. Pois a ocorrência de tais eventos poderia trazer grandes prejuízos ou até mesmo a extinção do seu negócio. Temores estes que aumentaram ainda mais nos dias de hoje com a rápida e desenfreada evolução da tecnologia, que traz consigo novas formas de ações criminosas como invasões dos sistemas de informática da empresa, com a possibilidade de furto de informações sigilosas e até sabotagem, podendo trazer impactos severos às atividades da empresa.
Tecnologia está presente também na indústria moderna que investe cada vez mais na automação em seus processos de manufatura, buscando o conceito de fábricas inteligentes, utilizando sistemas cada vez mais conectados, que monitoram os processos físicos, criando uma cópia virtual do mundo físico para tomada de decisões descentralizadas. Além do uso da internet das coisas (IoT) que facilita a comunicação em tempo real e da computação em nuvem que traz consigo a redução de custos com infraestrutura, maior disponibilidade e agilidade. Isso sem falar também nas catástrofes climáticas cada vez mais presentes e imprevisíveis. Tempestades cada vez mais intensas, causando enchentes, desmoronamentos de encostas, quedas de granizo e vendavais. Incêndios capazes de devastar cidades inteiras, terremotos e erupções vulcânicas causando tsunamis e destruição em massa. Nevascas intensas capazes de impactar em operações aéreas, náuticas e terrestres, derrubar comunicações e interromper o fornecimento de energia, gás e água. Dentro deste contexto, visando proteger-se destes eventos, muitas empresas implantam sistemas de alarmes, criam equipes de proteção como brigadas de incêndio, segurança no trabalho, segurança patrimonial, segurança de informações, entre outros. Alguns até criam planos estruturados para lidar com emergências e crises, visando se preparar para eventos como estes, e claro, contratam grandes apólices de seguro, pensando que assim estarão totalmente seguras. Infelizmente o pensamento reativo ainda é uma constante no meio empresarial. Muitas empresas implantam sistemas de segurança apenas para cumprir a legislação e investem alto em apólices de seguro, muitas vezes sem nem mesmo conhecer e entender a dinamicidade dos riscos que estão expostas, sem uma avaliação criteriosa de seus processos e o ambiente em que se encontram.
Como resultado desta postura, empresas que passaram por crises oriundas de eventos que vieram a interromper alguns ou todos os seus processos críticos, acabaram sofrendo impactos severos, seja de cunho financeiro, operacional, legal ou de imagem/reputação. Algumas conseguiram administrar bem as situações, por agirem rápido, diminuíram os impactos em seus negócios, porém algumas empresas que passaram por estas situações não tiveram a mesma sorte e hoje já não existem mais. Mas então, como as empresas podem agir para se proteger destes eventos? A resposta é simples e exemplificamos em uma frase pregada a mais de 2.500 anos atrás:
“Conheces teu inimigo e conhece-te a ti mesmo; se tiveres cem combates a travar, cem vezes serás vitorioso”. (SUN TZU – A Arte da Guerra)
Não há como você se proteger de um perigo que você não conheça e não saiba a sua relevância frente aos seus processos internos. Por isto é preciso, em primeiro lugar, olhar para dentro de sua empresa e identificar seus processos prioritários e os riscos que podem vir a atingi-los.
Para esta análise é importante mapear os processos e realizar uma análise criteriosa quanto a sua importância individual para o negócio como um todo, buscando identificar quais destes processos que se pararem por certo tempo podem trazer grandes impactos à empresa. E qual o tempo que temos de tolerância para reativar este processo? O objetivo aqui é encontrar o nível de impacto e o tempo de tolerância que temos para agir, emergencial ou contingencialmente. Após a identificação dos processos críticos, é preciso identificar os riscos a que estes processos estão expostos. Aqui, se a empresa já possui uma área de Gestão de Riscos Corporativos, pode-se utilizar o mesmo banco de dados, separando os riscos que podem atingir os processos estudados.
Caso a empresa não possua uma cultura de Gestão de Riscos, o trabalho fica um pouco mais difícil, pois sua atenção estará voltada aos processos críticos identificados e fatalmente poderá deixar de considerar alguns riscos com potencial de atingir o processo indiretamente, ou seja, não estará considerando a interconectividade dos riscos, o que atualmente é uma grande necessidade devido a interdisciplinaridade dos processos, em especial aqueles ligados à tecnologia.
De qualquer forma, após a identificação dos riscos, é preciso criar os chamados cenários de descontinuidade, ou seja, com base na atividade da empresa, seus processos críticos e os riscos identificados, quais eventos podem vir a ocorrer na empresa com potencial de interromper as suas atividades chaves. Após criar estes cenários, é preciso identificar quais fatores podem facilitar a ocorrência destes, ou seja, quais riscos potencializam a concretização dos cenários. Analisando a fundo estes cenários e seus fatores facilitadores, terá enfim uma visão holística dos principais eventos que poderão trazer uma descontinuidade de seus processos mais críticos, com grande potencial de impacto aos seus negócios, bastando agora criar as estratégias necessárias para proteção. Infelizmente muitas empresas não passam deste ponto, pois percebem que algumas destas estratégias terão um alto custo para implementação, ou necessitarão de reformulações em sua cultura, suas estratégias e em alguns casos até em sua estrutura organizacional. Criação de sites contingenciais, contrato de locação de espaços, equipamentos, móveis e sistemas, estabelecimento de parcerias com concorrentes são algumas das estratégias que normalmente aparecem neste momento, mas é preciso avaliar com sabedoria cada caso, procurando alternativas com melhor custo/benefício possível.
Criação de comitês de gerenciamento de crises, centrais de informação, núcleos de operação, etc. Estes são alguns exemplos de estruturas necessárias que poderão ser criadas para administração das situações de descontinuidade quando se instalarem na empresa. Mas é preciso ser muito criterioso e ao mesmo tempo objetivo, para não criar elefantes brancos ou vampiros corporativos. As estruturas devem ser as mais enxutas possíveis e que consumam apenas recursos absolutamente necessários. Plano de comunicação, plano de emergência, plano de contingência, plano de resposta/gerenciamento de incidentes, plano de continuidade operacional, plano de gerenciamento de crises e plano de recuperação são alguns dos documentos que poderão fazer parte do Plano de Continuidade dos Negócios (PCN) que deverão ser escritos e distribuídos entre os responsáveis pelas intervenções.
Mas outra vez alertamos; estes documentos deverão ser objetivos, de simples interpretação, curtos e práticos. Lembre-se de que o objetivo não é ter um plano escrito e sim ter uma cultura implantada. Finalmente, após termos as estratégias criadas e implantadas, os responsáveis escolhidos, os comitês criados e os planos escritos, chega o momento de testar se tudo vai realmente funcionar. O objetivo aqui é colocar em prática o que foi planejado, tornar público para a maior parte dos colaboradores para que todos conheçam, compreendam e apoiem as ações, visando que tudo ocorra naturalmente e sem transtornos. Sugere-se que seja antes feito um teste de mesa, visando confirmar se o planejamento está adequado e se há lacunas ou falhas que precisam ser ajustadas e corrigi-las. Após o teste de mesa, sugere-se fazer um teste real, escolhendo um dos processos críticos e interrompê-lo de verdade (mas com segurança), visando a ativação dos planos de forma plena, mas controlada de forma a não trazer impactos reais à empresa. Após os testes é muito importante que haja uma avaliação criteriosa em todas as ações tomadas de forma a obter um feedback integral do processo, procurando lacunas e falhas as quais devem ser documentadas e discutidas entre todos os envolvidos, viando tê-las, não como falhas, mas como lições a serem aprendidas. Estes testes devem ser periódicos, de forma a tornarem-se parte da rotina da empresa. Infelizmente outro percentual de empresas não executam testes reais, com receio de impactos ou não os fazem rotineiramente, por acreditarem que como já investiram nas estratégias e já tem o plano escrito, já estão devidamente preparados. Engano! Não há como ter a certeza da eficiência de uma teoria sem colocá-la à prova.
“A teoria sem a prática vira ‘verbalismo’, assim como a prática sem teoria, vira ativismo. No entanto, quando se une a prática com a teoria tem-se a práxis, a ação criadora e modificadora da realidade”. (PAULO FREIRE – Pedagogia da Autonomia).
Desta forma, para a plena eficácia do PCN é preciso ter a junção da teoria com a prática de forma a modificar o status quo da empresa, pois somente desta maneira será possível a criação de uma cultura de continuidade, tornando assim uma empresa resiliente e preparada para as incertezas cada vez mais constantes no ambiente de negócios. Lembre-se: Não há mudança sem esforço. Não há vitória sem luta. Não há fracasso sem aprendizado. Desta forma podemos dizer que na ousadia só há dois resultados: vitória ou aprendizado.
REFERÊNCIAS
BRASILIANO, Antonio Celso Ribeiro. Gestão de continuidade de negócios – GCN. 2. Ed. São Paulo: Sicurezza, 2014.
FREIRE, P. Pedagogia da autonomia: Saberes necessários à prática educativa. São Paulo.
Ed. Paz e Terra (coleção leitura), 1996.
SANTOS, Sandro. Introdução à Indústria 4.0: Saiba tudo sobre a revolução das máquinas. Editora Independente, 2018.
TZU, Sun. A arte da Guerra – Adaptação de James Clavell – 38º Edição – São Paulo/Rio de Janeiro - Editora Record, 2002.