Durante muito tempo tive dentro da área de gestão de riscos sob minha responsabilidade também a área de continuidade de negócios, fundamental para garantir a chamada "resiliência" de uma empresa diante dos riscos de interrupções ou desastres imprevistos.
Com centro desta área está o chamado: "plano de continuidade de negócios", também conhecido no meio como: "PCN", que permite que uma empresa possa continuar operando de maneira eficaz, independentemente do tipo ou grau de evento e interrupção que possa vir a ocorrer.
Então a área de continuidade de negócios é responsável por garantir que a organização possa continuar operando, independentemente das condições externas que possam afetá-la. Essa área é responsável por desenvolver e implementar políticas, procedimentos e planos para garantir que os serviços essenciais possam ser mantidos e que a organização possa se recuperar rapidamente de qualquer interrupção.
As responsabilidades da área de continuidade de negócios incluem a identificação e análise de riscos e ameaças, a elaboração e implementação de planos de contingência e a realização de testes e exercícios regulares para garantir que os planos sejam eficazes. Além disso, essa área deve trabalhar em conjunto com outras áreas da empresa para garantir que todos os processos críticos sejam identificados e incluídos no PCN.
Isso inclui a identificação de riscos e ameaças, a elaboração de planos de contingência e a realização de testes regulares para garantir que os planos estejam atualizados e sejam eficazes.
Para ilustrar o que a área de continuidade de negócios faz na prática, vamos dar alguns exemplos:
1) Identificação de riscos e ameaças:
A área de continuidade de negócios pode realizar uma análise de risco para identificar possíveis ameaças à empresa, como desastres naturais, ataques cibernéticos, interrupções na cadeia de suprimentos, entre outros.
A identificação de riscos e ameaças é um passo importante no desenvolvimento do Plano de Continuidade de Negócios (PCN). Existem várias etapas envolvidas na identificação de riscos e ameaças, e a área de continuidade de negócios deve seguir um processo estruturado para garantir que todos os possíveis riscos sejam considerados.
Para lhe ajudar então veja abaixo alguns dos passos importantes para identificação de riscos e ameaças na prática:
1.A) Identificação de fontes de riscos:
A área de continuidade de negócios deve identificar as fontes de riscos que podem afetar a organização. As fontes podem incluir eventos naturais, como tempestades, terremotos e inundações, eventos humanos, como sabotagem, terrorismo e falhas de equipamentos, e eventos tecnológicos, como falhas de sistemas de tecnologia da informação e comunicações.
1.B) Avaliação de impacto:
A área de continuidade de negócios deve avaliar o impacto que cada fonte de risco pode ter nas operações críticas da organização. Essa avaliação pode incluir a identificação de quais processos são mais críticos para a organização, quais são os ativos mais importantes e quais são os sistemas mais críticos para as operações.
1.C) Identificação de cenários de interrupção:
Com base na avaliação de impacto, a área de continuidade de negócios deve identificar cenários específicos de interrupção que podem afetar as operações críticas da organização. Por exemplo, um cenário pode ser uma falha de energia que afete o centro de dados principal da organização, tornando-o inacessível.
1.D) Identificação de medidas de mitigação:
A área de continuidade de negócios deve identificar medidas de mitigação que possam reduzir o risco ou impacto de cada cenário de interrupção. Essas medidas podem incluir a implementação de redundâncias de sistemas, backup de dados, medidas de segurança física e treinamento dos funcionários.
1.E) Análise de probabilidade:
A área de continuidade de negócios deve analisar a probabilidade de cada cenário de interrupção ocorrer. A análise deve levar em consideração a história de ocorrências passadas, tendências climáticas e outras informações relevantes.
1.F) Priorização dos riscos:
Com base na avaliação de impacto e análise de probabilidade, a área de continuidade de negócios deve priorizar os riscos identificados e desenvolver estratégias de resposta apropriadas. Os riscos de alta prioridade devem receber mais atenção e recursos para garantir que a organização esteja preparada para lidar com eles.
2) Elaboração de planos de contingência:
A área de continuidade de negócios é responsável por elaborar um plano de contingência para garantir que a organização possa continuar operando em caso de interrupções.
O passo a passo para elaborar um plano de contingência é o seguinte:
2.A) Identificação de ameaças e riscos:
A equipe de continuidade de negócios deve identificar as possíveis ameaças e riscos que podem interromper as operações da organização. Isso pode incluir desastres naturais, falhas de infraestrutura, ciberataques, entre outros.
2.B) Avaliação de impacto:
Em seguida, a equipe deve avaliar o impacto potencial de cada ameaça e risco identificado. Isso envolve determinar quais processos e atividades críticas serão afetados e qual será o impacto financeiro, operacional e de reputação.
2.C) Priorização de processos críticos:
Com base na avaliação de impacto, a equipe deve priorizar os processos críticos que devem ser restaurados primeiro em caso de interrupção.
2.D) Desenvolvimento de estratégias de resposta:
A equipe deve desenvolver estratégias de resposta para cada ameaça e risco identificado. Isso pode incluir soluções de backup, redundância de sistemas, procedimentos de evacuação e outras medidas.
2.E) Criação do plano de contingência:
Com base nas estratégias de resposta desenvolvidas, a equipe deve criar um plano de contingência detalhado que descreva as ações que devem ser tomadas em caso de interrupção. O plano deve incluir procedimentos para garantir a continuidade das operações, comunicação com funcionários, fornecedores e clientes, e medidas para restaurar a normalidade.
2.F) Teste e manutenção:
O plano de contingência deve ser testado regularmente para garantir que esteja atualizado e funcionando conforme o esperado. É importante também manter o plano atualizado à medida que a organização evolui e as ameaças e riscos mudam.
2.G) Treinamento de funcionários:
Todos os funcionários devem ser treinados sobre o plano de contingência para garantir que saibam como agir em caso de interrupção.
É importante ressaltar que a elaboração de um plano de contingência requer uma abordagem multidisciplinar, envolvendo representantes de todas as áreas da organização e parceiros externos, como fornecedores e prestadores de serviços. A área de continuidade de negócios deve trabalhar em estreita colaboração com outras áreas, como TI, recursos humanos e finanças, para garantir que o plano de contingência seja completo e eficaz.
3) Realização de testes regulares:
A área de continuidade de negócios deve realizar testes regulares para garantir que o plano de contingência esteja atualizado e funcionando corretamente. O passo a passo para realizar testes regulares é o seguinte:
3.A) Definir o objetivo do teste:
O primeiro passo é definir o objetivo do teste. Isso pode incluir testar a eficácia do plano de contingência, identificar áreas que precisam de melhorias ou treinar funcionários sobre suas responsabilidades durante uma interrupção.
3.B) Selecionar a equipe de teste:
A equipe de teste deve ser composta por funcionários de diferentes áreas da organização, incluindo representantes da área de continuidade de negócios, TI, RH, finanças, operações, entre outros.
3.C) Definir o cenário do teste:
O cenário do teste deve ser realista e baseado em ameaças e riscos identificados. Isso pode incluir um desastre natural, falha de infraestrutura ou ciberataque.
3.D) Preparar o ambiente de teste:
O ambiente de teste deve ser preparado antes do teste, incluindo o fornecimento de recursos de hardware e software, a configuração de redes e sistemas, entre outros.
3.E) Executar o teste:
Durante o teste, a equipe de teste deve seguir o plano de contingência e simular a interrupção. Isso pode incluir interromper o fornecimento de energia elétrica, simular um ataque cibernético ou outro cenário relevante. A equipe deve avaliar se o plano de contingência foi executado corretamente e identificar quaisquer problemas ou falhas.
3.F) Documentar os resultados:
Os resultados do teste devem ser documentados em um relatório, incluindo quaisquer problemas ou falhas identificados e as medidas tomadas para corrigi-los.
3.F) Realizar a revisão pós-teste:
Após o teste, a equipe de continuidade de negócios deve revisar os resultados e identificar áreas que precisam de melhorias. Isso pode incluir a revisão do plano de contingência, a atualização de processos ou procedimentos, ou a implementação de novas tecnologias.
3.G) Implementar melhorias:
As melhorias identificadas devem ser implementadas e testadas novamente para garantir que o plano de contingência esteja atualizado e funcionando corretamente.
É importante lembrar que os testes regulares devem ser incluídos no plano de contingência e realizados pelo menos anualmente ou sempre que houver mudanças significativas na organização ou no ambiente externo que possam afetar a continuidade do negócio.
O Plano de Continuidade de Negócios (PCN) é um documento detalhado que descreve as ações necessárias para manter as operações críticas de uma organização durante e após uma interrupção inesperada, que é essencial para garantir que a empresa possa se recuperar rapidamente de eventos imprevistos e continuar operando normalmente.
Normalmente o PCN deve conter as seguintes seções:
1) Introdução:
Esta seção do PCN deve explicar a finalidade e o objetivo do plano, descrever o escopo do documento e as pessoas envolvidas na elaboração e implementação do plano.
Um exemplo de introdução pode ser: "Este Plano de Continuidade de Negócios foi desenvolvido pela equipe de continuidade de negócios da empresa XYZ com o objetivo de garantir que a organização possa continuar operando normalmente em caso de interrupção não planejada. O plano cobre todas as operações críticas da empresa e foi elaborado com a participação de todas as áreas da empresa."
2) Análise de riscos:
Nesta seção, a área de continuidade de negócios deve descrever os riscos que podem afetar as operações críticas da organização, incluindo ameaças naturais, falhas de equipamentos, falhas de infraestrutura, entre outros.
Um exemplo de análise de riscos pode ser: "Os riscos que podem afetar as operações críticas da empresa incluem tempestades, falhas de sistemas de TI, interrupções na cadeia de suprimentos e perda de dados. Esses riscos foram avaliados quanto ao impacto potencial nas operações da empresa e a probabilidade de ocorrência."
3) Priorização dos processos críticos:
Nesta seção, a área de continuidade de negócios deve identificar e priorizar os processos críticos que precisam ser mantidos em funcionamento durante uma interrupção.
Um exemplo de priorização de processos críticos pode ser: "Os processos críticos identificados incluem o atendimento ao cliente, a produção e a manutenção dos sistemas de pagamento. O atendimento ao cliente foi identificado como o processo mais crítico, seguido pela produção e manutenção de sistemas de pagamento."
4) Estratégias de resposta:
Nesta seção, a área de continuidade de negócios deve descrever as estratégias para responder a interrupções e minimizar os impactos nas operações críticas da organização.
Um exemplo de estratégias de resposta pode ser: "Em caso de interrupção, a empresa irá transferir as operações críticas para um local alternativo e utilizar backup de dados e sistemas críticos. As equipes de resposta a emergências serão mobilizadas para lidar com a situação e a comunicação com os clientes será mantida por meio de canais de mídia social e e-mail."
5) Planos de contingência:
Nesta seção, a área de continuidade de negócios deve descrever os planos de contingência detalhados para cada processo crítico identificado.
Um exemplo de plano de contingência para o processo de produção em uma indústria alimentícia pode ser a transferência da produção para um local alternativo: Em caso de interrupção na fábrica principal, a produção será transferida para uma fábrica alternativa em outra região. A fábrica alternativa será equipada com equipamentos de backup para garantir que a produção possa continuar sem interrupção. A empresa irá manter um estoque de suprimentos em um local alternativo para garantir que a produção não seja interrompida devido a interrupções na cadeia de suprimentos.
6) Plano de recuperação de desastres:
Nesta seção, a área de continuidade de negócios deve descrever os procedimentos para a recuperação de desastres em longo prazo.
Um exemplo de plano de recuperação de desastres para uma empresa de tecnologia pode ser a reconstrução do data center, em caso de um desastre que afete o data center principal da empresa, a empresa irá reconstruí-lo em um novo local. A empresa irá recuperar os dados do backup armazenado em uma localização externa. A empresa irá realizar testes regulares para garantir que o plano de recuperação de desastres esteja atualizado e funcione conforme o esperado.
7) Procedimentos de teste e manutenção:
Nesta seção, a área de continuidade de negócios deve descrever os procedimentos para testar e manter o PCN atualizado.
Um exemplo de procedimentos de teste e manutenção para uma empresa de serviços financeiros pode ser que a empresa irá realizar testes regulares do plano de continuidade de negócios para garantir que ele funcione conforme o esperado. O plano será revisado anualmente para garantir que ele esteja atualizado e reflita as mudanças na organização e no ambiente externo. Todos os funcionários da empresa irão receber treinamento sobre os procedimentos do PCN e suas responsabilidades em caso de interrupção.
O PCN é essencial para garantir que a organização possa continuar operando normalmente durante e após uma interrupção inesperada. A área de continuidade de negócios é responsável por desenvolver e implementar o PCN, bem como garantir que ele seja atualizado e testado regularmente. O PCN deve conter análises abrangentes de risco, priorização de processos críticos, estratégias
Montar um Plano de Continuidade de Negócios (PCN) pode ser uma tarefa complexa e desafiadora.
Como dica de quem já passou por isto, segue abaixo algumas das principais dificuldades na criação do PCN, que certamente você vai se deparar na prática com:
1) Identificação completa dos processos críticos:
É importante identificar todos os processos críticos da organização para garantir que eles sejam incluídos no plano de contingência. Isso pode ser desafiador, pois alguns processos críticos podem ser menos óbvios.
2) Avaliação de riscos e ameaças:
A avaliação de riscos e ameaças pode ser difícil, pois existem muitos fatores que podem afetar a continuidade das operações de negócios. É importante ter em mente todos os possíveis cenários de interrupção e avaliar o impacto de cada um deles.
3) Identificação de soluções de backup:
Identificar soluções de backup pode ser difícil, pois muitas vezes envolve a implantação de sistemas redundantes ou alternativos para manter as operações em andamento. É importante considerar fatores como disponibilidade, capacidade e custo ao selecionar soluções de backup.
Queria também compartilhar alguns dos principais erros comuns que todos nós cometemos um dia ao criar um PCN como:
1) Falta de participação e envolvimento dos funcionários:
A criação de um PCN não deve ser um esforço isolado da equipe de continuidade de negócios. É importante envolver todas as áreas da empresa para garantir que o plano seja completo e eficaz.
2) Falta de testes e atualizações regulares:
É importante testar regularmente o plano para garantir que ele funcione conforme o esperado. Além disso, o plano deve ser atualizado regularmente para refletir as mudanças na organização e no ambiente externo.
3) Falta de plano de comunicação clara:
A comunicação clara é fundamental em caso de interrupção. É importante ter procedimentos claros de comunicação e garantir que todos os funcionários estejam cientes de seus papéis e responsabilidades em caso de interrupção.
Então como dicas abaixo alguns dos principais cuidados que devemos tomar ao criar um PCN como:
1) Envolvimento de todas as áreas da empresa:
Todas as áreas da empresa devem estar envolvidas na criação do PCN para garantir que o plano seja completo e eficaz.
2) Identificação completa dos processos críticos:
Todos os processos críticos devem ser identificados e incluídos no plano de contingência.
3) Avaliação completa de riscos e ameaças:
Todas as possíveis ameaças e cenários de interrupção devem ser considerados na avaliação de riscos e ameaças.
4) Testes e atualizações regulares:
O PCN deve ser testado regularmente para garantir que ele funcione conforme o esperado. Além disso, o plano deve ser atualizado regularmente para refletir as mudanças na organização e no ambiente externo.
No Brasil, o Banco Central (BACEN) e a Comissão de Valores Mobiliários (CVM) possuem normas específicas que falam sobre plano de continuidade de negócios e exigências regulatórias para o tema, algumas até já substituídas, mas que vale a pena ler, como:
1) Normativo BACEN nº 4658 de 2018:
Esta norma estabelece as diretrizes para a implementação de um plano de continuidade de negócios para as instituições financeiras autorizadas a funcionar pelo BACEN. O normativo exige que as instituições desenvolvam e mantenham um plano de continuidade de negócios, incluindo a identificação de ameaças e riscos, avaliação de impacto, estratégias de resposta, testes regulares e revisões periódicas.
2) Instrução CVM nº 505 de 2011:
Esta instrução original estabelece as diretrizes para a implementação de um plano de continuidade de negócios para as entidades reguladas pela CVM, incluindo corretoras de valores, distribuidoras de títulos e valores mobiliários, entre outras. A instrução exige que as entidades desenvolvam e mantenham um plano de contingência, incluindo a identificação de ameaças e riscos, avaliação de impacto, estratégias de resposta, testes regulares e revisões periódicas.
Esta instrução acima foi atualizada por esta nova resolução.
Por fim algumas dicas de livros para quem deseja ir um pouco mais a fundo no tema:
1) "Business Continuity Planning: A Project Management Approach" por Ralph L. Kliem:
Este livro apresenta um guia passo a passo para criar um plano de continuidade de negócios, utilizando técnicas de gerenciamento de projetos. O autor explora as melhores práticas para identificar ameaças, avaliar riscos, priorizar processos críticos, desenvolver estratégias de resposta e criar planos de contingência. Ele também fornece exemplos de casos reais e modelos de documentos para ajudar os leitores a criar seu próprio plano. Este livro é recomendado para aqueles que têm conhecimentos básicos de gerenciamento de projetos e desejam aplicar esses conhecimentos para criar um plano de continuidade de negócios.
2) "The Definitive Handbook of Business Continuity Management" por Andrew Hiles:
Este livro é um guia abrangente sobre a gestão de continuidade de negócios, abordando desde a avaliação de riscos até a implementação de um plano de continuidade de negócios. O autor explora as melhores práticas e estratégias para garantir que as empresas possam continuar operando durante uma interrupção. Ele também inclui exemplos de casos reais e exercícios práticos para ajudar os leitores a aplicar o conhecimento em suas próprias organizações. Este livro é recomendado para aqueles que desejam ter uma visão geral abrangente sobre a gestão de continuidade de negócios.
3) "Business Continuity Management: Global Best Practices" por Andrew Hiles:
Este livro é uma continuação do anterior, focando nas melhores práticas globais de gestão de continuidade de negócios. O autor explora as melhores práticas em todo o mundo e fornece exemplos de como as empresas podem aplicá-las em suas próprias organizações. Ele também explora as estratégias para lidar com riscos emergentes, como ciberataques e pandemias. Este livro é recomendado para aqueles que desejam se atualizar sobre as melhores práticas globais de gestão de continuidade de negócios.
4) "Disaster Recovery, Crisis Response, and Business Continuity: A Management Desk Reference" por Jamie Watters:
Este livro é um guia abrangente para a gestão de continuidade de negócios, com foco em como lidar com desastres, crises e interrupções inesperadas. O autor explora as melhores práticas para gerenciamento de desastres, como criar um plano de resposta a crises e como implementar um plano de continuidade de negócios. Ele também fornece exemplos de casos reais e exercícios práticos para ajudar os leitores a aplicar o conhecimento em suas próprias organizações. Este livro é recomendado para aqueles que desejam aprender sobre como lidar com desastres e crises em suas organizações.
5) "The Disaster Recovery Handbook: A Step-by-Step Plan to Ensure Business Continuity and Protect Vital Operations, Facilities, and Assets" por Michael Wallace e Lawrence Webber:
Este livro é um guia prático para a criação de um plano de recuperação de desastres. Os autores exploram as melhores práticas para identificar ameaças, avaliar riscos, criar um plano de recuperação de desastres e testar.
Agora também a dica de alguns livros do tema em português:
1) "Gestão de Continuidade de Negócios: Como elaborar planos de contingência e recuperar desastres" por Julio Diniz Junior:
Este livro apresenta uma abordagem prática para a gestão de continuidade de negócios, com foco na criação de planos de contingência e recuperação de desastres. O autor explora as melhores práticas para identificar riscos, priorizar processos críticos, desenvolver estratégias de resposta e criar planos de contingência. Ele também fornece exemplos de casos reais e modelos de documentos para ajudar os leitores a criar seu próprio plano. Este livro é recomendado para aqueles que desejam aprender sobre a gestão de continuidade de negócios de uma perspectiva prática.
2) "Business Continuity: Continuidade do Negócio" por Andre Bueno
Este livro apresenta uma visão geral sobre a continuidade de negócios, abordando os conceitos básicos, as melhores práticas e as estratégias para garantir a continuidade das operações de negócios. O autor explora as técnicas para avaliação de riscos, identificação de processos críticos, desenvolvimento de planos de contingência e recuperação de desastres. Ele também fornece exemplos práticos e casos reais para ilustrar a aplicação das técnicas em diferentes cenários. Este livro é recomendado para aqueles que desejam uma visão geral sobre a continuidade de negócios.
3) "Segurança em Redes Corporativas: Continuidade de Negócios" por Luiz Otavio Duarte:
Este livro é uma continuação do anterior, focando na continuidade de negócios em redes corporativas. O autor explora as melhores práticas para garantir a continuidade das operações de negócios em ambientes de rede complexos, abordando questões de segurança, resiliência e recuperação de desastres. Ele também fornece exemplos práticos e exercícios para ajudar os leitores a aplicar o conhecimento em suas próprias organizações. Este livro é recomendado para aqueles que desejam aprender sobre continuidade de negócios em ambientes de rede.
4) "Plano de Continuidade de Negócios: Teoria e prática" por Luciano Andrades Rodrigues:
Este livro apresenta uma abordagem prática para a criação de um plano de continuidade de negócios, com foco na teoria e na prática. O autor explora as melhores práticas para avaliação de riscos, identificação de processos críticos, desenvolvimento de estratégias de resposta e criação de planos de contingência. Ele também fornece exemplos práticos e modelos de documentos para ajudar os leitores a criar seu próprio plano. Este livro é recomendado para aqueles que desejam uma abordagem prática para a criação de um plano de continuidade de negócios.
5) "Continuidade de Negócios: Conceitos, Processos e Estratégias" por Cláudio Macedo:
Este livro apresenta uma visão geral sobre a continuidade de negócios, abordando os conceitos básicos, processos e estratégias para garantir a continuidade.