A Preparação como Diferencial Competitivo

" Os homens são bem mais motivados pela

esperança do lucro que pelo medo do prejuízo."

Maquiavel, 1527.
O mistério de Maquiavel. Pág., 201
Quem Somos
FERNANDO MARINHO

• Economista
• Pós Graduado em Segurança de Dados e Sistemas.
• Membro do Grupo de Trabalho de Gestão de Riscos (ISO 31000) na ABNT/RJ;
• Coordenador do Grupo de Trabalho de Gestão de Continuidade de Negócios (ISO 22301) na
ABNT/RJ;
• Especializado em Business Continuity pelo DRII e BCI;
• Professor do curso de Pós-Graduação da UFRJ em Continuidade de Negócios
• Vice-Presidente da AIGELAC – Associação Internacional de Gestores de Emergência para América
Latina e Caribe e Country Manager do IAEM (International Association of Emergency Managers)
• Membro do GARP (Global Association of Risk Professionals) e do International Information
Systems Forensics Association (IIFSA)
• Consultor responsável por centenas de Projetos de Contingência Operacional e Continuidade de
Negócios (mais detalhes em www.fernandomarinho.com.br)
• Autor de livros publicados sobre Contingências, Emergências e Crises

3
Você Sabia ?
Nos EUA, para cada US$ 1.00 investido
em prevenção, é possível economizar
até US$ 7.00 ?

No Brasil, onde os impostos são

maiores, de quanta economia
estamos falando ?

Fonte: United Nations Development Program em

http://www.undp.org/content/undp/en/home/presscenter/article
s/2012/07/02/act-now-save-later-new-un-social-media-campaign-
launched-/

4
 Principais Conceitos

• Contingência x Emergência x Crise

• Evento x Desastre

• Risco

• Impacto

• Continuidade de Negócios

• Crise
5
Indústrias com maior número de crises de negócios, de acordo com o
"Relatório anual de tendências de crises de negócios" feito pelo
Instituto de Administração de Crises
• Companhias Aéreas
• Fabricantes de Software e Computadores
• Indústria Farmacêutica
• Empresas de Óleo & Gás Natural
• Serviços de Saúde Pública
• Empresas do Setor Financeiro (Bancos, Seguradoras, outras)
Com exceção das fabricantes de computador, todas essas indústrias
também fizeram parte do top 10 do ano anterior.
Requistos Básicos

• Conceitos: Garante a mesma linguagem em diferentes

áreas, processos ou mesmo instalações;
• Metodologia: Garante resultados consistentes, apesar de
diferentes áreas, processos ou instalações;
• Responsável ou Patrocinador: Garante a evolução e
acompanhamento do assunto, mesmo em diferentes
áreas, processos ou instalações;
• Métrica: permite o uso dos resultados obtidos, para
alimentar o Planejamento Estratégico e Orçamento.
Os 4 “Pilares” da Preparação
• Gestão de Riscos
• Gestão de Emergências
• Gestão de Continuidade de Negócios
• Gestão de Crises
 Emergência x Crise x Continuidade
[Tempo]

Facilitar Comunicação
Minimizar Impactos
Reduzir danos reputacionais
Preservar Imagem
Salvar Vidas Gestão de Crises
Eliminar Riscos
Preservar Patrimônio
Resposta à
Emergência Reduzir Perdas
Manter participação no mercado
Minimizar tempo de indisponibilidade
Continuidade de
Negócios

Início das
Enquanto a resposta à
Primeiras As ações de BCP continuam com a tendência de
Respostas emergência continua e as ações
redução das atividades até o retorno à
diminuem;
normalidade de operações
As atividades de continuidade
aumentam

Ocorre uma Pico das Ações de

Emergência/ Continuidade
Evento
Gestão de Riscos

Risco Fator de Risco Impacto

Pneu Furar Pneu Careca/Velho Interrupção da Viagem
Câmara velha
Pregos
Vidros
Buracos
Estrada
Calibragem
Outros
Risco
substantivo masculino
• 1. probabilidade de perigo, ger. com ameaça física para o homem
e/ou para o meio ambiente.
"r. de vida"
• 2. p.ext. probabilidade de insucesso de determinado
empreendimento, em função de acontecimento eventual, incerto,
cuja ocorrência não depende exclusivamente da vontade dos
interessados.
"o projeto está em r. de perder seu patrocínio“
• 3. Combinação da probabilidade de ocorrência e do impacto de um
determinado evento
Risco

Efeito das incertezas no

atendimento dos objetivos...
Riscos Corporativos
• São agentes externos
• Podem ser mitigados em função
do Planejamento Estratégico e
requisitos dos Planos de Ação
• Geralmente são estáticos
(tratados e esquecidos)
• Raramente são acompanhados
longo prazo (tendência a “usar o
que já temos pronto”)

13
 O papel dos Riscos nos Custos

• Custo Total = Custo Fixos + Custos Variáveis

• Custos Fixos = Conhecidos
• Custos Variáveis = Previstos + Imprevistos

Como reduzir o percentual das despesas

acarretadas por variáveis imprevistas ?

Podemos nos preparar para o imprevisível ?

14
Características da Emergência
1)Imprevisibilidade;
2)Compressão de tempo;
3)Ameaça de vidas e destruição de bens - mesmo quando a vida ou
bens em risco é a do próprio causador do incidente;
4)Necessidade de um planejamento analítico especial;
5)Necessidade de considerações legais especiais.
Itens dos Planos de Emergência
• Pessoal e equipamento de emergência para ajuda imediata aos feridos;
Serviços médicos para auxílio aos feridos;
• Equipamentos de Segurança para aqueles que perderam os seus no
incidente;
• Pessoal, equipamento e materiais para remoção de entulho, distribuir
água potável e iniciar a reconstrução de estruturas danificadas;
• Necessidades básicas incluindo alojamento e alimentos, entre outras;
• Abrigo para pessoas desalojadas;
• Profissionais para fornecer apoio psicológico;
• Fornecimento de itens domésticos como roupa de cama, utensílios de
cozinha e móveis.
Fases da Gestão de Emergências
• Mitigação (Prevenção) => é a forma mais econômica de reduzir os
impactos de riscos, implementando medidas preventivas. Utiliza o
resultado da “Análise de Riscos”;
• Preparação => envolve o desenvolvimento de um plano de ação em
caso de emergência. Geralmente envolve o planejamento de um
centro de operações de emergência e a elaboração de um plano de
resposta de emergência.
• Resposta => Trata-se da execução das ações previstas no plano de
emergência. Treinamento e Simulação para testes.
• Recuperação => tem como objetivo restaurar o ambiente afetado
como, por exemplo, reconstruindo edificação, recuperando infra-
estrutura ou repondo máquinas/equipamentos para funcionamento
da Organização. Normalmente é executado pelas Áreas afetadas.
Pulo do Gato #1
Os maiores perigos residem nos riscos “invisíveis”:

• Erros humanos
• Falha de HW/SW
• Eventos da natureza
• Falhas de Infraestrutura
• Concorrência
• “Inesperados” ou
“não mapeados”
18
Evento
• Não confundir com “desastre”
• Indica qualquer fato que
ameace a normalidade dos
processos
• Nem sempre acarreta impactos
• Pode afetar diferentemente
processos, setores ou mesmo
organizações

19
 Evento

• Ato involuntário ou não, que apresenta possibilidade de acarretar

impactos

Fonte: Disaster Recovery Journal

20
 Impacto

• É acarretado por um Evento

• Geralmente acarreta perdas
• Afeta diferentemente processos,
setores ou mesmo organizações
• Apresenta indicadores qualitativos
e/ou quantitativos
• Trata-se do resultado indesejado
• Podem ser previstos e mitigados

21
E as Perdas e Danos

22
Plano de Continuidade de Negócios
Análise de Impacto nos Negócios (BIA):
Avalia e relaciona a prioridade na recuperação de processos/ativos

Plano de Recuperação de Desastres (PRD):

É a documentação da recuperação ou substituição de ativos de TI ou Infra

Plano de Contingência Operacional (PCO):

É a definição formal de uma estratégia de negócio, processo ou infra
alternativos, para uso durante a contingência

Plano de Comunicação (PCom)/Plano de Crises (PGC):

Orienta o fluxo de informações, identificando responsáveis, tividades e
suas funções
 Business Impact Analysis

Estabelece um referencial para ser gerenciado ao longo do

tempo: Criticidade

• Baseado nas Impactos acarretados pela concretização de

riscos
• Considera custos quantitativos ou qualitativos
• Indica os limites de tempo para ocorrência dos impactos
• Permite a priorização dos riscos em relação aos custos e aos
prazos

24
Business Impact Analysis
Benefícios

• Identifica as possíveis consequências caso impacto se

concretize;
• Avalia o prazo necessário para que os prejuízos acarretados
pelos riscos se manifestem;
• Permite ordenar de acordo com o montante de perdas ou em
relação à tolerância de interrupção, cada um dos impactos;
• Oferece um patamar de perdas caso os riscos se concretizem,
permitindo a avaliação dos custos envolvidos.

25
Criticidade

• Diferente da
importância, que é
relativa (pessoal)
• Varia em função do
processo e do negócio
• Considera o momento
do evento
• Torna-se uma métrica
para Planejamento
26
Business Impact Analysis

27
Business Impact Analysis
Benefícios

• Identifica as possíveis consequências caso impacto se

concretize;
• Avalia o prazo necessário para que os prejuízos acarretados
pelos riscos se manifestem;
• Permite ordenar de acordo com o montante de perdas ou em
relação à tolerância de interrupção, cada um dos impactos;
• Oferece um patamar de perdas caso os riscos se concretizem,
permitindo a avaliação dos custos envolvidos.

28
Como Funciona ?

Processo de Negócio

Um processo de negócio ou aplicativo

depende (é sustentado) por “n” tipos
de Componentes
29
Como Funciona ?

Processo de Negócio

Na caso de indisponibilidade de um ou
Mais destes componentes, um Plano de
Contingência ou Continuidade pode ser
acionado.
30
Como Funciona ?

O Plano de Contingência (PCO)

permite a execução do PN, mesmo
que um Componente encontre-se
indisponível (p.e.: como trabalhar
sem telefonia ?).
31
Como Funciona ?

Um Plano de Recuperação de Desastres

(PRD) visa a reposição/restauração de um
dos Componentes que suportam os PNs
(p.e: a troca de um Servidor de Rede).
32
Como Funciona ?

Um PCN traça um plano aonde o PCO e

o PRD são executados simultaneamente,
garantindo a continuidade do PN e a
reposição/restauração do Componente
paralelamente
33
Como Funciona ?

Um PGC cuida dos aspectos de atualização,

acionamento e término de cada um dos outros
Planos, parametrizando-os.
34
O que é “Crise” ?
"Crise é qualquer situação que prejudique seriamente a
integridade financeira ou a reputação da sua empresa,
afetando a confiança ou a lealdade de seus consumidores,
atraindo o interesse de vários públicos, principalmente a
imprensa e as autoridades governamentais, podendo
comprometer a sua fatia de mercado, e até mesmo significar o
fim da sua companhia”
Fonte: Crisis Response
Tipos de Crises Empresariais
• Acidental: Desastres relacionados ao negócio
• Econômica: Perda de negócios
• Financeira: Endividamento (Fluxo de Caixa)
• Legal: Ações Judiciais
• Naturais: Meteorológicos ou não
• Patrimonial: Obrigações > Direitos
• Reputacional (Imagem): Divulgação de informações,
documento ou conduta
Outros Tipos de Crises Empresariais
• Criminosas: Fraudes, Hackers, Vandalismo, outros
• Boatos: Acusações e informações infundadas
• Pessoal: Atitudes pessoais refletindo na empresa
Crise Acidental
Crise Econômica
Crise Financeira
Crise Legal
Crise Natural
Crise Patrimonial
Crise Reputacional
Crises Criminosas
Crises de Boatos
Crise Pessoal
Características da Crise
1)Imprevisibilidade;
2)Necessidade de resposta imediata;
3)Com pressão de tempo (Urgência);
4)Ameaça de vidas e patrimônio - mesmo qdo a vida em risco é a do
próprio causador da crise;
5)Exige uma postura organizacional não rotineira
6)Necessidade de um planejamento especial (contextualizado);
Características da Crise
7)Necessidade de considerações legais especiais;
8)Necessidade de muitos recursos para sua solução;
9)Ser um evento de baixa probabilidade de ocorrência e de graves
consequências;
10)Ser caótica;
11)Possui acompanhamento próximo e detalhado das autoridades
competentes da comunidade e da mídia.
 Efeitos Colaterais da Crise
• Perda da confiança na habilidade de gerenciar crises
• Dano à “Marca”
• Depreciação de ações das companhias
• Mudanças na liderança executiva e gestão responsável
• Interrupção das operações das companhias desde gestão de crises
até a recuperação
• Bilhões/Milhões de R$ anualmente pagos em multas, taxas e
obrigações acessórias
• Redução da base de clientes e perda de participação no mercado
• O processo de recuperação leva anos para terminar
• Regulamentos adicionais
50
Como Atenuar ou Neutralizar uma Crise ?
• Condução do assunto
• Ações imediatas
• Previsão de cenários e respostas
• Precisão de informações para decisões de respostas
• Esclarecimento aos envolvidos
• Preparação
Objetivos da Gestão de Crises

• Preservar vidas e proteger patrimônio;

• Proteger a imagem da Organização;
• Minimizar impactos (perdas e prejuízos).
Um Plano de Gestão de Crises possui:
• Uma equipe de comunicação de crises (multidisciplinar)
• Um plano de comunicação interna
• Uma estratégia de mídia (inclusive monitoramento de mídias sociais)
• Uma lista de potenciais fraquezas e de planos para lidar com elas
• Informações atualizadas sobre a empresa e seus programas
• Informações atualizadas sobre o evento
Quem deve participar ?
• O diretor-geral
• O chefe de relações públicas
• Os vice-presidentes e os diretores dos departamentos principais
• O oficial de segurança ou de proteção
• Os advogados da empresa
• Porta-voz (deve ter um vasto conhecimento sobre a organização, ficar
à vontade frente a mídia e inspirar calma e confiança. Ele também
deve resumir argumentos em tópicos, para enfatizar o assunto
durante uma entrevista sem parecer que esteja responder).
Benefícios de um Plano de Crises
• Prevenir a crise ou pelo menos reduzir os seus efeitos;
• Proteger nosso bom nome e reputação;
• Proteger a segurança pessoal e bens de uma empresa ou da
população;
• Reduzir ou evitar a probabilidade de litígio;
• Controlar os danos procedentes de diferentes fontes (p.e. Notícias
negativas; falsa informação ou má representação; falsas associações;
boatos; comportamento indevido dos dirigentes;
• Provê a oportunidade de passar uma mensagem positiva a respeito
da Organização;
Benefícios de um Plano de Crises
• Amplia a confiança nos dirigentes;
• Oferece uma infraestrutura em caso de se apresentar uma crise;
• Treina pessoal para responder à crise;
• Previne a crise, antes que ela se concretize;
• Planeja respostas antes que a crise se apresente;
• Define uma equipe para administrar a crise, evitando manejá-la
despreparado.
 Tendências Comuns
• Desafios na Gestão de
Informações
• Falta de treinamento/ teste ou
exercicio mínimo dos planos
• Ausência de sincronia entre o
ambiente de TI e a necessidade
dos negócios
• Falha em definir as expectativas
de sucesso
• Falta de uma estrutura de
Comando de Incidentes (ICS)
e/ou Gestão de Crises
57
Juntos Podemos Controlar os Resultados

Escritório: 21 2543 6000

Celular: 21 98154 9940
E-mail: contato@fernandomarinho.com.br
Site: www.epokaconsultoria.com.br
58