Continuidade do negócio: O alicerce da resiliência das empresas

Por José Miguel Batista, Director – Enterprise Risk Management & Engineering da WTW Portugal

Há já algum tempo que vivemos numa época de mudança a vários níveis: alteração da relação de forças e alianças dos vários blocos geopolíticos; ritmo acelerado de evolução tecnológica; globalização das interdependências necessárias ao desenvolvimento de atividades económicas.

Esta mudança nem sempre é acompanhada pelos sistemas de Gestão de Risco existentes nas organizações, em particular pelos respetivos Planos de Continuidade de Negócio.

Acresce que esta disciplina da Continuidade de Negócio é frequentemente, de forma errada, confundida com os Planos de Contingência existentes e esgota-se na Continuidade dos Sistemas de Informação.

Os Planos de Contingência são importantes, a Continuidade dos Sistemas de Informação é um ponto vital, mas um Sistema de Continuidade de Negócio é necessariamente mais abrangente.

Os Planos de Contingência são fundamentais para qualquer organização dar uma resposta ordenada a um incidente crítico, colocando no terreno as equipas previamente definidas e executando as ações previstas de forma a garantir que as consequências provocadas por esse incidente são estancadas. Contudo, depois deste cenário de crise, os sistemas produtivos terão de voltar à sua atividade e tal só é conseguido eficazmente caso exista um Plano de Continuidade de Negócio que, por definição, inclui os protocolos de retorno à normalidade.

Estes protocolos deverão acautelar quais são os processos mais críticos para a organização, quais os recursos associados e ter sempre em mente o Tempo Máximo Admissível de Paragem bem como o Objetivo de Tempo para iniciar a recuperação. Estas métricas apenas são definidas e dimensionadas no seio de um Plano de Continuidade de Negócio.

Por outro lado, a Continuidade de Negócio deve ser aplicada a todos os processos críticos da empresa e não se esgotar nos Sistemas de Informação. Estes últimos são importantíssimos para o desenvolvimento de forma eficiente de quase todas as atividades e face ao risco latente de ciberataques tem merecido um papel de destaque em qualquer Plano de Continuidade de Negócio. Contudo, existem outras ameaças que devem merecer a mesma atenção, por exemplo, catástrofes naturais, incêndio, indisponibilidade massiva de funcionários, falência de fornecedores ou clientes críticos.

Por outras palavras, a “continuidade física” deve merecer a mesma importância que a “continuidade informática”, pois a grande maioria de produtos e serviços necessitam de ambas para serem produzidos.

Em resumo, através do desenvolvimento de um Sistema de Continuidade de Negócio consegue-se:

• Medir a criticidade de impacto de negócio dos vários processos existentes;
• Estimar quais os tempos de paragem admissíveis e os tempos objetivos para se iniciarem as atividades de recuperação das atividades;
• Quantificar severidade associada à falha dos recursos (pessoas, máquinas, sistemas, etc.) necessários um cada processo;
• Definir os protocolos de resposta para cada situação que justifique um plano de retorno à normalidade.

Acontece que, como foi referido, o nosso mundo está em constante mudança pelo que estes Planos não podem ficar cristalizados no tempo sob pena de ficarem obsoletos e incapazes de dar a resposta em caso de necessidade.

Também não devem ficar sem serem testados. Só os testes garantem que as equipas de resposta estão capazes de atuar e que os cenários e estratégias de continuidade são os adequados.

Estes desafios de desenvolver, testar e atualizar o respetivo Plano de Continuidade de Negócios são comuns a todas as organizações. Infelizmente, nem todas os aceitam pondo assim em causa a sua atividade e sobrevivência, o salário dos seus funcionários como o bem-estar das respetivas famílias e todas as interdependências a montante e a jusante das cadeias de abastecimentos onde se inserem.