Artigo
26/02/2024
Atualizado em 16/04/2026

ISO 22301 e a Gestão da Continuidade de Negócios (GCN) X Resiliência

A ISO 22301:2019 define requisitos para sistemas de Gestão da Continuidade de Negócios, promovendo resiliência organizacional e resposta eficaz a interrupções, aplicável a empresas de todos os setores.

Imagem de capa do artigo

Neste final de semana estava falando de algumas normas e metodologias de Gestão de Riscos (ISO e Coso), e hoje queria abordar de mais uma delas, desta vez falando especificamente de continuidade de negócios, e da palavra da moda: Resiliência Operacional.

Estou me referindo a ISO 22301 de 2019 que aborda o tema e requisitos para planejar, estabelecer, implementar, operar, monitorar, revisar, manter e melhorar continuamente um sistema de Gestão da Continuidade de Negócios (GCN).

O nome oficial desta norma é: "Segurança e resiliência – Sistemas de gestão de continuidade de negócios – Requisitos", e foi publicada inicialmente em 2012, mas revisada em 2019 para refletir as mudanças contínuas no mundo da continuidade de negócios e para trazer mais valor aos seus usuários, incorporando as melhores práticas e pensamentos mais recentes sobre o tema.

As empresas enfrentam uma variedade de fatores internos e externos que podem causar interrupções em suas atividades, incluindo:

  • Fatores Internos: Incêndios, inundações, falta de matérias-primas, má comunicação interna, alta insatisfação dos clientes e partes interessadas, e burocracia excessiva nos processos.
  • Fatores Externos: Ataques cibernéticos, flutuações cambiais, instabilidade do mercado, escassez de matéria-prima, e mudanças legislativas e/ou regulamentares.

A ISO 22301 é aplicável a todas as empresas, independentemente do tamanho, indústria ou natureza do negócio. Isso inclui órgãos de certificação e regulamentação, pois possibilita a avaliação da capacidade de uma empresa em atender aos requisitos legais ou regulatórios. Baseando-se na Estrutura de Alto Nível (HLS) da ISO, a ISO 22301 alinha-se a muitos outros padrões de sistemas de gestão reconhecidos internacionalmente, como a ISO 9001 (gestão da qualidade) e a ISO 14001 (gestão ambiental), facilitando sua integração aos processos de gestão existentes de uma organização.

A revisão de 2019 da ISO 22301 introduziu melhorias significativas para refletir as mudanças em curso no mundo da continuidade dos negócios e agregar maior valor aos usuários. As alterações incluem a revisão da estrutura da norma para torná-la mais fácil de ler e implementar, com maior clareza sobre os requisitos exigidos. A linguagem e a terminologia foram simplificadas para eliminar duplicações e refletir melhor o pensamento atual na indústria de continuidade de negócios. Além disso, a Estrutura de Alto Nível (HLS) foi aprimorada para manter a consistência com todos os outros padrões de sistemas de gestão da ISO.

Implementar a ISO 22301 traz vários benefícios, incluindo a capacidade de responder e se recuperar efetivamente de interrupções, o que significa custos reduzidos e menor impacto no desempenho do negócio em caso de contratempos. Além disso, oferece a possibilidade de tranquilizar clientes, fornecedores, reguladores e outras partes interessadas de que a empresa possui sistemas e processos sólidos para a continuidade dos negócios. Outros benefícios incluem melhoria no desempenho do negócio e na resiliência organizacional, bem como uma compreensão mais profunda do negócio através da análise de questões críticas e áreas de vulnerabilidade. A ISO 22301 também oferece uma visão clara e detalhada de como uma empresa opera, fornecendo insights valiosos úteis para o planejamento estratégico, gestão de riscos, gestão da cadeia de suprimentos, transformação de negócios e gestão de recursos.

A norma é dividida em dez capítulos principais, onde cada um aborda uma série de conceitos importantes, que queria compartilhar abaixo:

  • Escopo: Define a aplicabilidade da norma, enfatizando sua universalidade para todos os tipos de empresas.
  • Referências Normativas: Inclui referências a outros documentos normativos indispensáveis para a aplicação da ISO 22301.
  • Termos e Definições: Fornece definições para termos específicos utilizados na norma.
  • Contexto da Organização: Requer que a empresa entenda seu contexto externo e interno, bem como as necessidades e expectativas das partes interessadas. Isso inclui a determinação do escopo da GCN. Entendimento da empresa e seu contexto: Identifica questões internas e externas relevantes para os objetivos e direcionamento estratégico da empresa influenciando a capacidade de gerenciar a continuidade dos negócios. Entendimento das necessidades e expectativas das partes interessadas: Determina as partes interessadas relevantes para a GCN e suas necessidades e expectativas, incluindo requisitos legais e regulamentares. Determinação do escopo da GCN: Define os limites e a aplicabilidade da GCN, baseando-se no contexto da empresa, nas partes interessadas e em seus requisitos. Sistema de gestão de continuidade dos negócios: A empresa deve estabelecer, implementar, manter e melhorar continuamente uma GCN em conformidade com os requisitos da norma.
  • Liderança: Destaca a importância do comprometimento da alta direção com o SGCN, incluindo a definição de políticas de continuidade de negócios e a atribuição de responsabilidades e autoridades. Liderança e comprometimento: A alta direção deve demonstrar liderança e comprometimento com a GCN, garantindo recursos adequados e integrando requisitos de continuidade dos negócios nos processos da empresa. Política de continuidade dos negócios: Desenvolver e comunicar uma política de continuidade dos negócios que seja compatível com a direção estratégica da empresa. Papéis, responsabilidades e autoridades: Definir e comunicar as responsabilidades e autoridades dentro da empresa para garantir uma GCN eficaz.
  • Planejamento: Trata da identificação de riscos e oportunidades, estabelecendo objetivos de continuidade de negócios e como alcançá-los. Ações para tratar riscos e oportunidades: Identifica e planeja ações para abordar riscos e oportunidades para garantir que a GCN possa alcançar os resultados esperados, prevenir efeitos indesejáveis e promover melhoria contínua. Objetivos de continuidade dos negócios e planejamento para alcançá-los: Estabelece objetivos de continuidade dos negócios mensuráveis, pertinentes e compatíveis com a política de continuidade dos negócios, e planeja ações para alcançá-los.
  • Suporte: Aborda os recursos necessários para o SGCN, competências, conscientização, comunicação e informações documentadas. Recursos: Determina e provê os recursos necessários para estabelecer, implementar, manter e melhorar a GCN. Competência: Avalia e garante a competência dos indivíduos que contribuem para a GCN. Conscientização: Assegura que as pessoas estejam cientes de sua contribuição para a eficácia da GCN. Comunicação: Estabelece uma comunicação eficaz interna e externamente sobre a GCN. Informações documentadas: Gerencia informações documentadas requeridas para suporte e operação da GCN.
  • Operação: Descreve a execução dos processos necessários para atender aos requisitos da GCN, incluindo análise de impacto nos negócios, avaliação de riscos, estratégias de continuidade, planos de continuidade e recuperação. Talvez a parte mais importante da norma. Planejamento e controle operacional: Planeja, implementa e controla os processos necessários para atender aos requisitos da GCN. Análise de impacto nos negócios e avaliação de riscos: Realiza análises de impacto nos negócios (BIA) e avaliações de risco para identificar e priorizar as atividades críticas. Estratégias e soluções de continuidade dos negócios: Identifica e seleciona estratégias e soluções para a continuidade e recuperação das atividades críticas. Planos e procedimentos de continuidade dos negócios: Desenvolve planos e procedimentos para responder a interrupções, incluindo a estrutura de resposta, comunicação de alerta e recuperação das atividades.
  • Avaliação de Desempenho: Enfatiza a necessidade de monitorar, medir, analisar e avaliar o desempenho da GCN, além de realizar auditorias internas e revisões pela administração. Monitoramento, medição, análise e avaliação: Monitora e avalia o desempenho e a eficácia da GCN. Auditoria interna: Realiza auditorias internas para avaliar se a GCN está em conformidade com os requisitos da empresa e da norma ISO 22301. Revisão pela direção: A alta direção deve revisar a GCN em intervalos planejados para garantir sua adequação, suficiência e eficácia, considerando a necessidade de mudanças no sistema, melhorias e ação corretiva.
  • Melhoria: Encoraja a melhoria contínua da GCN, abordando não conformidades e ações corretivas. Não conformidade e ação corretiva: A empresa deve identificar não conformidades, tomar ações corretivas para eliminá-las e evitar sua recorrência. Isso inclui revisar a eficácia das ações corretivas tomadas. Melhoria contínua: A empresa deve buscar continuamente melhorar a adequação, eficácia e eficiência da GCN, considerando os resultados das análises, avaliações e revisões.

Cada um dessas pontos acima foi pensado para garantir que a empresa possa preparar, responder e recuperar de interrupções de forma eficaz, minimizando impactos negativos e garantindo a continuidade das operações críticas. A implementação bem-sucedida desta norma envolve a integração da GCN na gestão geral da empresa, com um forte compromisso da alta direção e participação ativa de todas as partes relevantes.

A norma promove uma abordagem proativa para garantir que a organização possa responder eficazmente a interrupções, minimizando impactos e garantindo a continuidade das operações críticas. O ciclo PDCA (Plan-Do-Check-Act) é importante para a implementação e melhoria contínua da GCN, alinhando-se com outras normas de sistemas de gestão e permitindo uma integração eficaz com estes sistemas.

Para desenvolver uma estratégia de continuidade de negócios robusta, diversos elementos relevantes devem ser considerados e integrados de forma coesa dentro do Sistema de Gestão de Continuidade de Negócios (SGCN). Este processo abrangente requer uma avaliação meticulosa dos processos de gestão, tendo como base o contexto organizacional, a análise de impacto nos negócios (BIA), as avaliações de risco, e a implementação de estratégias de continuidade, como soluções em nuvem e políticas de trabalho remoto.

A formação de uma equipe multidisciplinar é o primeiro passo fundamental. Mesmo que a organização não seja certificada pela ISO 22301, não é estritamente necessário contratar um especialista dedicado para gerir a GCN, ainda que recomendado, ainda que dependendo do porte uma equipe composta por membros de diferentes setores da organização pode ser igualmente eficaz. A norma enfatiza a importância de contar com "pessoas competentes com responsabilidades definidas", destacando o papel central das pessoas em qualquer sistema de gestão. A inclusão de representantes de cada departamento, juntamente com o envolvimento da alta administração, assegura uma abordagem mais ampla e inclusiva ao planejamento da continuidade dos negócios. O compromisso e a liderança da alta direção são essenciais para a eficácia e a continuidade da GCN.

Para quem desejar ir mais a fundo o link para que possa baixar o documento completo (em inglês) da norma em:

https://pttweb7.pttplc.com/pttbcm/upload/media/878_ISO22301_2019.pdf

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante