top of page
sistema de gestao de continuidade de negocios.jpg

Segurança e Resiliência – Sistemas de Gestão de Continuidade de Negócios - ISO 22301

Flavio Fleury de Souza Lima, CIEAC, CISI, CIGR

Especialista nas áreas de imposto sobre a renda, contribuição social sobre o lucro líquido, PIS e Cofins. Formado pelo CPOR/SP, é graduado em administração de empresas pelo Mackenzie e cursou direito na UNIP. Atualmente trabalha como Diretor Associado da Divisão de Risco Tributário na Brasiliano INTERISK

Fevereiro | 2023

A Norma ABNT NBR ISO 22301:2020 define os aspectos necessários para que um sistema de gestão previna e proteja empresas diante de contingências como desastres naturais e situações que possam causar a interrupção de seus processos e negócios.

 

Esta norma traz as especificações, a estrutura e os requisitos para que seja implementado e mantido um sistema de gestão de continuidade de negócios (SGCN) que tem por objetivo manter uma operação após um evento disruptivo, independentemente de este ser decorrente de falha de segurança digital, de desastre ou de qualquer outro motivo.

 

Entre os vários benefícios dessa certificação, está o diferencial competitivo. Comparando com concorrentes sem essa chancela, uma empresa credenciada pela ISO 22301 terá melhor visibilidade no mercado – principalmente quando se trata de clientes sensíveis à manutenção da continuidade de suas operações e à entrega de seus produtos e serviços.

 

Além disso, essa ISO pode melhorar a reputação e ajudar a conquistar novos clientes, tornando mais fácil demonstrar que determinado negócio está entre os melhores do setor. Afinal, o negócio dispõe de uma documentação que comprova isso.

 

Os resultados de um SGCN devem ser modulados por requisitos legais, regulatórios, organizacionais e operacionais da organização e de suas partes interessadas e, para ser eficaz deve-se entender quais são as necessidades da organização e a imprescindibilidade do estabelecimento de uma política e de objetivos para a continuidade de negócios.

 

É preciso que os processos sejam operados e mantidos, incorporando capacidades e estruturas de pronta resposta para que a organização sobreviva a eventos disruptivos.

 

O SGCN deve ser monitorado e seu desempenho avaliado de forma crítica para que seja eficaz. Além disso deve ser melhorado continuamente com base em medições qualitativas e quantitativas.

 

A implementação de um SGCN não é uma tarefa fácil. São várias etapas que devem ser cumpridas, de forma obrigatória, conforme determinado pela Norma ABNT NBR ISO 22301:2020. Dentre elas, temos:

 

1) Apoio dos gestores - para iniciar qualquer tipo de projeto dessa magnitude, os gestores da empresa precisam estar dispostos a investir em recursos humanos, financeiros e tecnológicos.

 

2) Identificação dos requisitos – inicialmente, é preciso ter certeza de que essa ação está em conformidade com tudo o que as partes interessadas desejam. Não são apenas as leis e regulamentos, mas também os requisitos nos acordos já firmados com os clientes e os desejos dos proprietários da empresa, dentre outros.

 

3) Política e objetivos de continuidade de negócios - é preciso implantar uma política de continuidade de negócios e os diretores precisam determinar exatamente o que se espera dessa continuidade, definindo metas objetivas.

 

4) Avaliação e tratamento de risco - é preciso descobrir quais problemas podem ocorrer com mais frequência e definir os controles que podem ser aplicados para mitigá-los.

 

5) Análise de impacto nos negócios - o objetivo da análise de impacto nos negócios é definir o tempo disponível para a recuperação e os recursos necessários para isso.

 

6) Estratégia de continuidade de negócios – definir meios para conseguir o que foi listado nas etapas anteriores com um nível mínimo de investimento, evitando gastos desnecessários que podem fazer a diferença nos estágios seguintes.

 

7) Plano de continuidade de negócios - planos de resposta inicial a incidentes e planos de recuperação que detalhem o que precisa ser feito para iniciar as atividades.

 

8) Treinamento e conscientização - é preciso capacitar os colaboradores sobre como executar determinadas etapas do plano, enfatizando a razão pela qual tudo isso é tão importante.

 

9) Manutenção da documentação – toda estratégia precisa estar refletida em documentos.

 

10) Exercício e teste – é preciso criar situações nas quais se possa testar os planos no modo mais realista possível. Quem não puser os planos à prova para descobrir como eles se comportam em situações reais nunca descobrirá os pontos que precisam ser aperfeiçoados.

 

11) Comunicação com as partes interessadas - a continuidade dos negócios pode depender também de órgãos reguladores, autoridades, proprietários, empregados e fornecedores.

 

12) Medição e avaliação – é preciso saber se as metas estão sendo atingidas. Os objetivos definidos na etapa 3 têm que ser verificados para entendermos se estão sendo atingidos de acordo com algum tipo de métrica.

 

13) Auditoria interna - outras pessoas da empresa devem revisar o projeto e sugerir melhorias – é essa a função da auditoria interna. Embora muitas vezes seja considerada uma sobrecarga, uma auditoria interna é realmente muito útil quando se trata de enfrentar a realidade e integrar equipes.

 

14) Ações corretivas – a Norma ABNT NBR ISO 22301 traz melhorias diárias que acabam sendo conduzidas sistematicamente. É o que conduz uma empresa a descobrir por que determinado problema aconteceu, garantindo que nunca aconteça novamente. O próprio texto da ISO fala sobre “garantir que as não conformidades não se repitam”. É algo que precisa ser feito de forma sistemática e transparente.

 

15) Revisão - concluídas todas as etapas, a alta administração precisa avaliá-las e tomar algumas decisões cruciais – como atualizar os objetivos, liberar verbas, fazer melhorias adicionais, entre outros. Afinal, é deles a responsabilidade final sobre a capacidade que a empresa tem de sobreviver a incidentes maiores.

O Software INTERISK possui o Módulo de Gestão de Continuidade de Negócios – GCN que auxilia a sua organização na elaboração e automação de um processo que garante a continuidade do seu negócio, mediante a uma eventual paralização. 


Quer saber mais sobre como o Módulo GCN pode auxiliar sua organização? Acesse nosso site e solicite uma demonstração com especialista.

voltar

bottom of page