Gerenciamento de Continuidade de Negócios Na Administração Pública

Gerenciamento de
Continuidade de Negócios
na Administração Pública
Governo e Transformação Digital; Inovação.

Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
Conteudista/s
Sergio Ricardo de Magalhães Souza, (Conteudista, 2022).
Enap, 2022
Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
SAIS - Área 2-A - 70610-900 — Brasília, DF
Sumário
Módulo1: Por que estudar Gestão de Crises e Continuidade de Negócios?....... 7
Unidade 1: A Importância da Estratégia nas Organizações................................. 9
1.1 Missão e Visão das Organizações, Objetivos Estratégicos..................................... 9
1.2 O que impede as organizações de atingirem seus objetivos e o que as protege?..14
Referências ...................................................................................................................... 19
Unidade 2: Impactos Diretos e Indiretos nos Processos de Transformação Digital.. 20

2.1 O que é Transformação Digital?.............................................................................. 20
2.2 Pilares da Transformação Digital (Pessoas, Processos, Tecnologia, Locais)...... 22
2.3 Impactos Diretos e Indiretos da Transformação Digital gerando valor para as
Organizações.................................................................................................................... 25
Referências ...................................................................................................................... 29
Unidade 3: A Continuidade de Negócios no Gerenciamento de Crises e

Emergências............................................................................................................ 30
3.1 Afinal, o que é a Continuidade de Negócios?......................................................... 30
3.2 O que é gerir a Continuidade de Negócios e qual a sua importância?............... 33
3.3 O que são as Crises e Emergências para a Continuidade de Negócios?............ 34
3.3.1 O que é Crise?......................................................................................................... 34
3.3.2 O que é Emergência?............................................................................................. 35
3.4 Respostas às crises e emergências......................................................................... 35
3.5 Consequências diretas e indiretas das crises e emergências nas organizações......36
Referências ...................................................................................................................... 38
Módulo 2: O Processo de Gerenciamento de Emergências e Crises................. 39

Unidade 1: Contextualizando a Gestão de Riscos e Controles.......................... 39
1.1 Principais Conceitos da Gestão de Riscos e Controles......................................... 40
1.2 As Políticas de Gestão de Riscos e Controles......................................................... 41
1.3 Processos de Gestão de Riscos: ISO 31.000 e Coso (I, II e III)............................... 42
Escopo, contexto e critérios........................................................................................... 45
Avaliação de Riscos.......................................................................................................... 46
1.4 A Integração dos Processos de Gestão de Riscos e Controles............................ 53
Referências ...................................................................................................................... 55
Unidade 2: O Ciclo de Gerenciamento de Emergências e Crises nas Organizações.. 56
2.1 Etapas da Materialização das Consequências de Eventos................................... 56
2.2 Por que os eventos indesejáveis se tornam eventos ampliados?....................... 59
2.3 Instalação de Situação de Emergência: Crises Operacionais, Financeiras, de
Imagem/Reputação......................................................................................................... 60
2.4 Aspectos Fundamentais na Gestão de Crises: NFPA 1.600 e PAS 200:2011...... 63
2.5 O que é a Decretação de Crise?............................................................................... 64
2.6 Necessidade de Gestão da Continuidade.............................................................. 67
Referências ...................................................................................................................... 68
Módulo 3: Como fazer um Plano de Continuidade de Negócios?...................... 69

Unidade 1: Gestão da Continuidade de Negócios (GCN).................................... 69
1.1 Os Sistemas Integrados de Gestão (SIG)................................................................ 69
1.2 Inserção da GCN nos Sistemas de Gestão de Riscos e Controles....................... 73
1.3 Padrões e Boas Práticas de Gestão da Continuidade de Negócios (GCN)......... 74
1.4 Normas Internacionais para a Continuidade de Negócios: ABNT NBR ISO
22.301/2020...................................................................................................................... 76
1.5 A importância da Política de Continuidade de Negócios..................................... 80
1.6 Princípios e Diretivas para a implantação de um Sistema de Gestão de
Continuidade de Negócios (SGCN)................................................................................ 81
Referências ...................................................................................................................... 84
Unidade 2: Planos de Continuidade de Negócios (PCN)..................................... 85

2.1 Etapas clássicas de desenvolvimento de um Plano de Continuidade de Negócios
(PCN).................................................................................................................................. 85
2.2 Mapeamento inicial de prioridades e Análise de Impacto nos Negócios (BIA). 90
2.3 Risk Assessment e Business Impact Analysis (BIA) ............................................... 93
2.4 Estimativa de impacto nos negócios (MTPD) e Determinação de Metas de
Recuperação (RTO).......................................................................................................... 94
2.5 Tipos de estratégia de resposta, reinício, recuperação e retorno das atividades....96
2.6 Preparativos e Procedimentos para o Plano de Continuidade de Negócios (PCN) ... 100
Referências .................................................................................................................... 101
Unidade 3: Integração do Plano de Continuidade de Negócios...................... 102

3.1 Plano de Administração de Crises e Comunicação (PCC)................................... 103
3.2 Plano de Atendimento a Emergência (PAE).......................................................... 105
3.3 Plano de Contingência Emergencial (PCE)............................................................ 106
3.4 Plano de Recuperação de Desastres (PRD) e Plano de Continuidade Operacional (PCP)..106
Referências .................................................................................................................... 109
Enap Fundação Escola Nacional de Administração Pública

4
Módulo 4: Avaliando a Maturidade da Gestão de Continuidade de Negócios.110
Unidade 1: Avaliação e Maturidade da Gestão da Continuidade de Negócios.110
1.1 Avaliação da Maturidade do SGCN....................................................................... 110
1.2 Indicadores de Maturidade.................................................................................... 114
1.3 Auditorias, Exercícios e Testes como formas de medir a maturidade............. 115
Referências .................................................................................................................... 116
Módulo 5: O Gerenciamento de Continuidade de Negócios na Transformação

Digital da Adm. Pública........................................................................................ 117
Unidade 1: Boas práticas e estudo de casos...................................................... 117
1.1 Boas práticas............................................................................................................ 118
1.2 Estudos de caso....................................................................................................... 119
Referências .................................................................................................................... 124

5
Apresentação e Boas-vindas
Olá, seja muito bem-vindo(a) ao curso Gerenciamento de Continuidade de Negócios
na Administração Pública.
Videoaula: Apresentação do Curso
Conforme você acabou de assistir nesta videoaula, o convidamos a se engajar nesta

jornada, cujo compromisso é apresentar, de forma evolutiva, todos os conhecimentos
necessários para que você entenda a importância de investir na Gestão da Continuidade
de Negócios para a Transformação Digital na Administração Pública.
Para ajudar em sua jornada de conhecimentos e na organização de seus estudos,

o curso foi fragmentado em cinco módulos, com tópicos e subtópicos. No primeiro
módulo “Por que estudar Gestão de Crises e Continuidade de Negócios?” você
estudará diversos temas, dentre eles, os pilares da transformação digital e como ela
impacta direta e indiretamente na geração de valor para as organizações.
No segundo módulo “O Processo de Gerenciamento de Emergências e Crises”

serão apresentados os conceitos de gestão de riscos e controles previstos no Coso
e na ISO 31.000, entre outros.
Já no módulo 3 “Como fazer um Plano de Continuidade de Negócios?” prepare-

se para compreender os principais aspectos relativos à elaboração de um Plano
de Continuidade de Negócio, bem como a importância da integração do PCN aos
planos acessórios de resposta às crises e emergências.
O módulo 4 “Avaliando a Maturidade da Gestão de Continuidade de Negócios”

tratará sobre o processo de avaliação contínua do SGCN e do PCN, por meio de
indicadores e ações integradas.
No módulo 5 “O Gerenciamento de Continuidade de Negócios na Transformação

Digital da Adm. Pública”, última etapa de seus estudos, esteja pronto para aprender
a diferenciar, a partir de casos reais na Administração Pública, os conceitos de
Gerenciamento de Continuidade de Negócios.
Bom curso para você!

6
Módulo
1 Por que estudar Gestão de Crises

e Continuidade de Negócios?
A palavra crise vem do latim, crisis, e do grego, krísis, que dá origem ao verbo krínein.
Na língua portuguesa, é utilizada para descrever o estado de caos e incerteza.
Alguns autores costumam dizer que uma crise surge quando os problemas que se
instauram não recebem respostas adequadas. Portanto, crises acontecem quando
eventos indesejáveis ocorrem, trazem consequências diretas e indiretas e podem
até se agravar.
A incerteza e o caos que caracterizam as crises ganham ainda mais lugar quando
não há prévia condução de planejamentos, previsão de procedimentos e ações
de respostas adequadas para lidar com seus primeiros sinais. Analise a imagem a
seguir e reflita mais sobre isso!
Crise.
Fonte: Galvão (2019).

7
A gestão de crises é um conjunto de práticas que têm como objetivo
lidar com problemas inesperados, internos ou externos, que
podem causar prejuízos estratégicos, financeiros, operacionais,
além de danos à imagem e reputação de uma organização, seja
ela pública ou privada.
Mas, talvez, você esteja aí do outro lado se perguntando: Por que eu preciso
estudar e aprender sobre gestão de crises? Bem, a importância de estudar os
mecanismos pelos quais as crises podem se instaurar (suas causas e seus efeitos) e
como geri-las ganha especial importância quando se percebe que, ao longo do tempo,
há inúmeras oportunidades de garantir que os processos dentro das organizações
se tornem mais robustos e resilientes, a fim de preservar a continuidade dos
negócios e atender às partes interessadas. Isso é ainda mais significativo quando se
pensa na administração pública ou em empresas públicas, que existem para prestar
serviço à sociedade.
Gestão de crises.
Fonte: Freepik (2022).
Há situações em que a ocorrência de eventos indesejáveis exige uma ação imediata.

Esses momentos também podem gerar crises, quando não se sabe o que fazer de
forma estruturada e organizada para enfrentá-las. As emergências são limitadas no
tempo, mas as crises podem perdurar. Dito isso, convido você a mergulhar nesses
temas a partir de agora!

8
Unidade 1: A Importância da Estratégia nas Organizações
Objetivo de aprendizagem
Ao término dos estudos desta unidade, espera-se que você reconheça a missão, visão
e objetivos estratégicos das organizações, assim como os fatores que as impedem de
atingir objetivos traçados.
1.1 Missão e Visão das Organizações, Objetivos Estratégicos
As organizações são criadas por muitos motivos, mas talvez o principal seja atender
a alguma demanda da sociedade por produtos e/ou serviços.
Na área financeira, alguns dizem que as organizações têm por objetivo dar retorno
aos seus acionistas pelo investimento realizado. Porém, essa definição não está
totalmente correta, porque muitas organizações não têm fins lucrativos – como é o
caso, por exemplo, da administração pública, cujo foco é a prestação de serviços
para a sociedade.
Os economistas dizem que as organizações existem a partir das oportunidades que

surgem da demanda e da oferta de produtos e serviços, porque a Economia é a
ciência que estuda a escassez. Quando há mais demanda do que oferta, surgem
os interesses dos empreendedores e dos investidores.
Os especialistas em marketing, por sua vez, têm uma visão mais holística do assunto,
preocupando-se mais com os processos de troca, já que, segundo a AMA – American
Marketing Association (2017) a partir da visão de Philip Kotler, o mais reconhecido
autor na área, as organizações são responsáveis pelo processo por meio do qual
pessoas e grupos obtêm aquilo que necessitam e que desejam com a criação,
oferta e livre negociação de produtos e serviços de valor.
Seja como for, as organizações existem para cumprir uma determinada missão
idealizada pelos seus fundadores, podendo ser: social ou econômica (ou ambas).
Assim, a missão de uma organização, de forma sucinta, é o porquê de ela existir.

Também é o propósito da empresa, ou seja, alguma coisa que justifique para a
sociedade a sua existência, de uma forma clara, objetiva e até inspiradora.

9
Organização – Pilares.
Elaboração: CEPED/UFSC (2022).
Espera-se que a missão de uma organização se mantenha por um período

razoavelmente longo, mas ela pode ser alterada quando se percebe que o mundo
mudou e que a motivação inicial precisa ser revisada.
Quer um exemplo? Pense nas empresas de petróleo, que, nos últimos anos,
revisaram a sua missão, realinhando e ampliando seus propósitos para a provisão
de soluções de energia com qualquer fonte, inclusive as alternativas.
Quase que em ato contínuo, ao se definir a missão de uma organização, estabelece-

se também a sua visão de futuro, ou seja, a expressão de como ela quer estar ou
ser percebida em médio ou longo prazo, isto é, um período suficiente para que as
coisas aconteçam – por exemplo, 5 ou 10 anos.
A visão organizacional pode ser entendida como o destino a que

se quer chegar ou até um sonho com data para acontecer.
Da mesma forma, não se pode esquecer que, para vivermos em sociedade,

estabelecemos e observamos valores, portanto, uma organização também precisa
ter os seus. Devem ser valores coerentes com as necessidades dos seus stakeholders,
colaboradores e demais partes interessadas.

10
Valores são convicções claras, firmes e fundamentais que a
organização adota e procura defender, servindo como guia
(crenças e posturas éticas, além de noções de certo e errado, de
bom e ruim, de importante e não importante). Os valores são
tudo o que é inegociável na organização e norteiam a atuação.
Valores também são regras de conduta a serem seguidas pela organização no

cumprimento de sua missão e visão, devendo ser explícitos, éticos, compartilhados
por todos e, sobretudo, comunicados a todos e postos em prática.
Conhecendo a missão e a visão, é possível determinar o caminho norteador das

ações estratégicas da organização, no período definido, o que se faz por meio de
formulação de objetivos estratégicos e de ciclos de planejamento estratégico.
Antes disso, é fundamental que as organizações compreendam a diferença entre

objetivos estratégicos e planejamento estratégico.
Planejamento estratégico
Estratégia, segundo Henry Mintzberg (2001), autor do famoso livro “O
Safári da Estratégia”, é a forma, integrada no processo decisório, de
pensar no futuro, com base em um processo formalizado e articulador
de resultados, que advém do planejamento estratégico, ou seja, do
planejamento que incorpora a visão estratégica.
Objetivos estratégicos
Portanto, para que se possa cumprir a missão de uma organização e a sua
visão de futuro, é necessário parar para pensar quais estratégias formular
para chegar lá e, mais do que isso, quais serão os pilares dessas estratégias,
pois é preciso fixar os objetivos estratégicos a serem atingidos.
Imagine que a missão de uma organização é atender à sociedade, fornecendo

informações relevantes sobre as previsões meteorológicas. Imagine também que
a sua visão é se tornar referência nacional nessa prestação de serviço em 10 anos.

11
Acompanhe o exemplo a seguir:
Imagine que a missão de uma

organização é atender à sociedade,
fornecendo informações relevantes
sobre as previsões meteorológicas.
Imagine também que a sua visão é
se tornar referência nacional nessa
prestação de serviço em 10 anos.
Empresa de meteorologia.
Para que a organização possa cumprir

sua missão e visão, terá que investir em
processos, equipamentos, tecnologia
e pessoas. Também terá que fixar,
ao longo da jornada, os objetivos
estratégicos que serão cumpridos por
meio de um portfólio de projetos e de
construção de processos, todos muito
bem planejados e articulados ao longo
do tempo.
Objetivos estratégicos.
Isso garante que os resultados

sejam progressivos e se acumulem,
melhorando passo a passo a prestação
de serviço a qual a organização se
propõe, possivelmente, alcançando seu
objetivo ao final do tempo estabelecido
se todas essas etapas ocorrerem de
forma estruturada e organizada.
Alcançando resultados.

12
Claro que é possível, ao longo da
jornada, a ocorrência de resultados
parciais não satisfatórios. Faz parte
do jogo criar ciclos de reavaliação das
estratégias e dos planos estratégicos
para retroalimentar o processo em si
e corrigir possíveis desvios, mantendo
o foco no que é fundamental, qual
seja ao alcance dos objetivos.
Alcançando resultados.
Assim, os objetivos estratégicos são aquilo que se quer alcançar ao longo do

tempo para o cumprimento da missão institucional e o alcance de sua visão de
futuro. Traduzem, ainda, consideradas as demandas e expectativas de suas partes
interessadas, os desafios a serem enfrentados e como eles se relacionam para fazer
cumprir a missão e a visão da organização.
Não basta ter objetivos estratégicos, é preciso colocar as estratégias em prática, e isso
se faz por meio de ciclos de planejamento estratégico, que devem ser definidos ao
longo do tempo. Assim, organizações que estão em desenvolvimento mais acelerado
podem cumprir ciclos mais curtos. Já as mais estabelecidas e maduras, atuando em
mercados mais tradicionais, em ciclos mais longos.
O planejamento estratégico é o registro formal e detalhado,

desdobrado nos ambientes estratégicos, táticos e operacionais,
do que as organizações farão para cumprir os seus objetivos
estratégicos e como monitorarão a jornada, intervindo, quando
necessário, para corrigir a rota.
Algumas organizações já utilizam o mapa estratégico, uma ferramenta visual na qual

os objetivos estratégicos que serão considerados pela alta direção estão conectados
sequencialmente, permitindo a qualquer pessoa compreender o fluxo de geração
de valor a partir de todos os passos necessários para atingi-los.

13
Mapa estratégico.
Fonte: Adaptado de Freepik (2022).
De certa maneira, o mapa estratégico torna bem claro o modo como os planos
estratégicos serão conduzidos para transformar a visão de futuro em realidade,
cumprindo a missão estabelecida com base nos valores delineados, tudo isso de
forma estruturada. Permite, também, que as várias áreas compreendam seus
respectivos papéis e contribuições para a construção das perspectivas estratégicas.
1.2 O que impede as organizações de atingirem seus objetivos e o

que as protege?
Ao traçarem seus objetivos estratégicos, as organizações esperam construir

resultados que possam alterar o status quo, ou seja, o estado atual das coisas,
superando, para isso, as eventuais dificuldades e obstáculos.
A evolução da humanidade vem se acelerando, a partir da curiosidade de descobrir,

de ousar fazer diferente e melhor. Nos últimos anos, isso é ainda mais perceptível,
com a transformação rápida na forma de a sociedade ter acesso a bens e serviços,

14
graças ao advento de novas tecnologias, o que também exigiu investimentos e
financiamento público e privado.
Por exemplo, muitas décadas atrás, quando o homem decidiu ir ao espaço, tudo
aconteceu a partir de percepções que misturaram desejos (sonhos), necessidades e
oportunidades. O sonho era ir além dos limites e matar curiosidades, porque, desde
os primórdios, o céu está sobre as nossas cabeças, todas as noites. Ainda hoje, há
uma série de questões a serem respondidas sobre a nossa própria existência, e, um
dia, elas serão respondidas ou a partir da exploração do Universo ou de outro modo.
No entanto, sempre é muito difícil convencer alguém a financiar um sonho, a não

ser que ele se torne uma necessidade. Analise!
Logo após a II Guerra Mundial, a Guerra Fria criou uma corrida espacial que, dentre
outras coisas, significava a oportunidade de captar recursos para acelerar o avanço
tecnológico, fechando a tríade que justificou o investimento e o financiamento para os
programas espaciais. No caso, isso foi exatamente o que ocorreu. Os desdobramentos
que vieram dos estudos científicos daquela época produziram enormes avanços em
todas as áreas do conhecimento, permitindo que chegássemos aonde chegamos.
Claro que, ao longo da jornada, houve grandes desafios – principalmente, a incerteza

sobre atingir os objetivos –, o que instigou os cientistas e especialistas a buscarem
mais conhecimento e gerou ideias que transformaram hipóteses em projetos e
processos tecnológicos revolucionários. As incertezas moveram a curiosidade
científica, que se alimentou de questões e hipóteses para gerar avanços tecnológicos.
Avanços tecnológicos.

15
Como a incerteza está em todas as atividades humanas, é presumível entender que
ela é um dos fatores que pode afetar os resultados de uma atividade.
Por outro lado, os riscos1 estão sempre no futuro, mas a incerteza pode estar no
presente e significa um estado (ainda que parcial) de deficiência de informações
sobre eventos que podem vir a impedir ou permitir que alguma coisa venha a
ocorrer – denominado evento de risco.
A incerteza faz pensar que sempre há a probabilidade de um evento de risco vir a

ocorrer, que só poderá ser estimado com um bom grau de confiabilidade quando
se tem informações de qualidade sobre as fontes e causas do evento e sobre a sua
dinâmica de ocorrência.
Os eventos de risco, quando se materializam, trazem consequências que podem

ser negativas para os objetivos de uma organização ou até impedi-los.
Em geral, os objetivos estratégicos são produzidos por meio de planos que envolvem
projetos e, em última análise, pela construção ou alteração dos seus processos. Pode-
se dizer, então, que a ocorrência de riscos, ou dos eventos de riscos, pode impedir
que as organizações atinjam seus objetivos ou até mesmo sua visão de futuro.
Ocorrência de Riscos.
1_ A ISO (International Organization for Standardization) 31.000 define risco como o efeito da incerteza em relação
aos objetivos (ABNT, 2009).

16
Assim, para garantir que os objetivos de uma organização sejam atingidos, é
necessário gerir os riscos expostos, em projetos, processos (de todos os tipos) e
tarefas do dia a dia. Essa gestão deverá ser feita de forma metodológica e contínua,
como parte da percepção de que as decisões precisam ser tomadas levando em
consideração todos os riscos que podem vir a ocorrer, inclusive aqueles que, mesmo
não estando claros, precisam ser estudados.
A gestão de riscos é de extrema importância não apenas para

proteger a organização, mas também para agregar-lhe valor
e transformá-la em uma alternativa de investimento valiosa
para o mercado e/ou referência em produtos e serviços. Há
a percepção de que a empresa que mantém os seus riscos sob
controle, conhecendo e declarando o seu apetite e sua tolerância
a eles, tranquiliza os investidores e a sociedade e atrai mais
investimentos, já que há mais previsibilidade.
Para que se possa estudar os riscos, é necessário compreender o ambiente em que

a organização está inserida e as influências internas e externas. Isso tem tudo a
ver com a análise ambiental, que faz parte do processo de planejamento estratégico
e estuda as influências dos ambientes.
• Ambiente externo
Onde são geradas as oportunidades e ameaças.
• Ambiente interno
Onde as forças e fraquezas das organizações se manifestam.
Além disso, a análise ambiental estuda como a maturidade da governança corporativa

está e o quanto ela está engajada com os pilares de responsabilidade corporativa,
equidade, transparência e prestação de contas.
Quando as organizações compreendem que gerir riscos faz parte da estratégia para
atingir os seus objetivos, movimentam-se no sentido de fazê-lo. As decisões passam
a considerar a possibilidade de materialização dos eventos indesejáveis, tornando
necessário identificá-los previamente, analisá-los e avaliá-los, criando programas
de resposta com planos de ação que envolvem proteções estratégicas, táticas
operacionais e financeiras.

17
É importante ressaltar que as organizações e as pessoas são as
proprietárias dos riscos expostos, e as soluções de tratamento
e controle são de sua responsabilidade, não havendo como
terceirizá-las, por mais que haja alguns instrumentos de
transferência de riscos possíveis.
Os riscos podem produzir efeitos diretos ou indiretos, que também precisam ser
compreendidos e tratados. Isso porque o que importa é estar preparado para
preservar a continuidade daquilo que a organização se predispõe a entregar aos
seus clientes e à sociedade, mesmo quando eventos adversos ocorrem. Por isso, é
fundamental gerir os riscos, mas também cuidar da continuidade dos negócios.
Você chegou ao final desta Unidade de estudo. Caso ainda tenha dúvidas, reveja o
conteúdo e se aprofunde nos temas propostos. Até a próxima!

18
Referências
ABNT (Associação Brasileira de Nomas Técnicas). ISO Guia 73 – Vocabulário

relacionado à gestão de riscos. ABNT, 2009.
AMA (American Marketing Association). Definition of Marketing. AMA, 2017.

Disponível em: https://www.ama.org/the-definition-of-marketing-what-is-
marketing/. Acessado em 21 ago. 2022.
GOOLD, M.; CAMPBELL, A. As melhores maneiras de formular estratégias. In:

MONTEGOMERY, C. A.; PORTER, M. Estratégia: a busca da vantagem competitiva. Rio
de Janeiro: Campus, 1998.
KAPLAN, R.; NORTON, D. Organização Orientada para a Estratégia. Rio de Janeiro:

Campus, 2000.
MINTZBERG, H.; BRUCE, A; JOSEPH, L. Safári de Estratégia: um roteiro pela selva do

planejamento estratégico. Porto Alegre: Bookman, 2001.
MINTZBERG, H., QUINN, J. B., O Processo de Estratégia. Porto Alegre: Bookman,

2001.
PORTER, M. E. Competição: estratégias competitivas essenciais. 3. ed. Rio de Janeiro:

Campus, 1998.
PORTER, M. E. Estratégia Competitiva: Técnicas para Análise de Indústrias e da

Concorrência. Rio de Janeiro: Campus, 1986.
PORTER, M. E. Estratégia Competitiva: técnicas para análise de indústrias e da

concorrência. Rio de Janeiro: Campus, 1991.
PORTER, M. Vantagem Competitiva: criando e sustentando um desempenho

superior. Rio de Janeiro: Campus, 1990.
GALVÃO, Jean. Charge 11/11/2019. [Um Brasil]. 2019. Disponível em: https://
umbrasil.com/charges/charge-11-11/. Acesso em: 27 out. 2022.

19
Unidade 2: Impactos Diretos e Indiretos nos Processos de
Transformação Digital
Ao final desta unidade, espera-se que você reconheça os pilares da transformação digital
e como ela impacta direta e indiretamente na geração de valor para as organizações,
o que é muito importante, sobretudo, quando elas pertencem à Administração Pública,
provedora de vários serviços à sociedade.
2.1 O que é Transformação Digital?
A transformação digital é o processo estruturado para substituir paulatina e

completamente formas manuais e tradicionais de realização de procedimentos por
alternativas digitais mais recentes. Esse tipo de reinvenção interfere em todos os
aspectos de uma organização, não apenas nas arquiteturas e serviços de tecnologia,
como muitos imaginam, porque pressupõe repensar como as coisas são feitas e o
valor que há em cada uma delas.
A experiência em todo o mundo mostra que, ao se engajar com a transformação

digital, as organizações tornam-se mais preparadas para a entrega de valor,
justamente porque, mais resilientes às interferências externas, respondem melhor
e mais rápido às demandas e, assim, acabam reagindo melhor às constantes
mudanças do ambiente.
Para tal, é necessário entender que não se pode mudar seletivamente os processos.
A mudança deve ser conceitual e completa, pois só assim poderá transformar
decisivamente as estratégias e objetivos estratégicos, a cultura organizacional, a
governança e os papéis dos seus atores, bem como os macrofluxos das operações.
Tudo isso exige revisão e investimento em tecnologias, além da adequação de
espaços e capacitação das pessoas em todos os níveis, sempre com o intuito de
ampliar a entrega de valor e sua percepção.
A ideia de transformação digital não é recente. Pelo menos desde a década de

1990, o setor de varejo começou a fazer campanhas de publicidade por meios de
comunicação de massa, as quais estavam na linha de frente da transformação digital.
Embora as compras ainda fossem feitas nas lojas físicas, os conceitos que viriam
a desencadear a transformação digital, integrando marketing, vendas e logística,
estavam lá. Já se percebia o caminho a ser seguido, pois o consumidor se tornava

20
cada vez mais ávido por informações e serviços, mas faltavam os meios para que
isso ocorresse, o que acabou sendo resolvido com a democratização do acesso à
internet e a proliferação dos dispositivos móveis em todo o mundo.
Serviços digitais ao cidadão.

Fonte: Brasil (2022).
Clique aqui e conheça mais sobre dispositivos móveis e os avanços

do 5G no Brasil.
Na prática, a transformação digital permite:
• customizar as entregas a partir da segmentação do público-alvo;
• compreender as necessidades do público-alvo e projetar soluções de

processos de forma personalizada e satisfatória;
• avaliar em tempo real se o que está sendo oferecido satisfaz as

expectativas do consumidor e se sua jornada não apresenta gargalos
que precisem ser rapidamente solucionados.
Tudo isso significa que a experiência do usuário é um fator muito importante no

projeto e na avaliação dos serviços digitais. Mais um aspecto importante, que vem
da engenharia da confiabilidade, é que os serviços aos consumidores precisam
estar disponíveis, o que se consegue pela avaliação e tratamento dos riscos, além
de controles e acompanhamento de indicadores, para monitorar desempenho,

21
garantindo a continuidade da disponibilidade e do acesso aos ambientes, processos
e sistemas, mesmo que estejam sob a ocorrência de acidentes que venham a
desencadear crises.
Quando um contribuinte acessa um serviço digital para retirar

um boleto a pagar ou mesmo um comprovante de determinada
transação, o ideal é que a aplicação esteja disponível e cumpra
aquilo que se espera dela. Quando isso não acontece, além das
eventuais reclamações, é criado um clima de insegurança,
e a confiabilidade do serviço é comprometida. Por isso, a
transformação digital também deve se preocupar com a
segurança e com a disponibilidade dos serviços, ou seja, daquilo
que é demandado pelo consumidor, além de oferecer uma boa
experiência de utilização.
É crucial compreender que ser digital não significa apenas ter aparência digital, mas
ter processos construídos a partir da modelagem digital, automatizando funções
e rotinas que eram realizadas de forma tradicional, ampliando funcionalidade,
serviços e valor.
A transformação digital tem a ver com a velocidade exponencial das mudanças

disruptivas que vêm ocorrendo na sociedade, em constante evolução, mas isso
só é possível com a participação das pessoas, bem como por meio de processos,
tecnologias e os próprios ambientes onde tudo isso acontece.
2.2 Pilares da Transformação Digital (Pessoas, Processos, Tecnologia,

Locais)
Os autores tendem a criar pilares para resumir certos conceitos. Muitos deles
preconizam que a transformação digital tem quatro grandes pilares: pessoas,
processos, tecnologia e locais.

22
Pilares da Transformação Digital.
Elaborado pelo autor (2022).
1. Pessoas
Qualquer iniciativa de transformação digital é iniciada com as pessoas,
porque é necessário perceber a necessidade, ter intenção de fazer e engajar
nos esforços em conhecimento e inovação tecnológica.
2. Processos
Processos são formas intangíveis de criar resultados tangíveis.
3. Tecnologia
É importante perceber que as tecnologias são meios, e não fins. Elas exigem
investimentos contínuos e têm ciclos que nem sempre são renováveis. À
medida que vão sendo conhecidas, percebe-se que precisam ser substituídas.
4. Locais
É preciso entender que a produção de bens (produtos) será cada vez mais
otimizada e que a produção de serviços, com a transformação digital, cada
vez mais dependerá menos dos espaços corporativos e será revolucionária.
Agora, leia o material recomendado, clicando aqui, e saiba mais

sobre os Pilares da Transformação Digital.

23
Faz sentido pensar que, além dos pilares que você acabou de ver, há outras
preocupações em relação ao curso da transformação digital, em diversas disciplinas
e áreas do conhecimento, como você analisará no infográfico a seguir:
Preocupações em relação à transformação digital.

É imperativo que haja intenção de se fazer a mudança, por meio de decisões

estratégicas, olhando para o futuro, e clareza em relação aos objetivos. Construir
processos de negócios digitais exige elaborar soluções que contem com o
engajamento dos envolvidos, bem como foco na experiência de clientes e usuários.
Por fim, como você já aprendeu, para que se atinjam os objetivos esperados, é
necessário inserir também a preocupação com a gestão de riscos e a continuidade
de processos de negócios, minimizando ao máximo a possibilidade de ocorrência
de eventos indesejáveis e as suas consequências. É preciso, ainda, estar pronto para
reagir em caso de acidentes, interrupções, emergências e crises, pois as demandas
passam a ficar maiores e mais urgentes.

24
2.3 Impactos Diretos e Indiretos da Transformação Digital gerando
valor para as Organizações
Não há dúvida de que a transformação digital traz impactos diretos e indiretos,

positivos e negativos, para as organizações, privadas e públicas, muitos deles já
comentados na seção anterior, mas é preciso colocar na balança algumas coisas.
Os mais céticos dizem que a transformação digital vai ceifar postos de trabalho.
A previsão negativa está correta em relação ao primeiro momento, quando isso
ocorrerá de forma paulatina, mas ignora que, ao mesmo tempo, serão criadas novas
especialidades e até movimentos de empreendedorismo.
Nesse novo momento, o que vai importar é a especialização das

pessoas para trabalhar na indústria da transformação digital,
que é pautada no conhecimento.
Isso significa que é necessário criar cursos de formação e
especialização que possam atrair, sobretudo, os mais jovens,
exigindo-se, consequentemente, uma verdadeira revolução
educacional e dos currículos escolares. Os empregos na indústria da
transformação digital são mais bem remunerados e, quanto mais
capacitadas forem as pessoas, maior a possibilidade de atingirem
patamares superiores nas empresas de tecnologia. Esses são
impactos diretos que trazem impactos sociais indiretos relevantes.
Outro impacto direto positivo é a velocidade de adaptação das organizações às

mudanças do ambiente e da sociedade. Vivemos em um mundo de mudanças
rápidas e com diversas facetas, que precisam ser acompanhadas pelas organizações
que pretendem manter valor.
Diz-se que o mundo de hoje é VUCA – sigla em inglês formada pela primeira letra das
palavras Volatility (volatilidade), Uncertainty (incerteza), Complexity (complexidade) e
Ambiguity (ambiguidade).

25
Mundo VUCA.
Para as organizações, criar valor é mais do que gerar resultados financeiros. Significa
serem percebidas por acionistas, investidores, colaboradores e pela sociedade
como tendo propósitos claros, éticos e sustentáveis, que permanecem os mesmos
ao longo do tempo, por mais que busquem novos mercados ou alterem suas
estratégias corporativas.
Quando se pensa que o mundo é VUCA, entende-se que apenas as organizações que
conseguem se adaptar, produzindo respostas na mesma velocidade com que são
atingidas pelas mudanças do ambiente, sobreviverão. Portanto, a transformação
digital é um conjunto de estratégias que permite que as organizações estejam aptas
a acompanhar ou até a antecipar demandas.
E, na área pública, como fica a transformação digital? Faz-se necessário oferecer

um serviço público de qualidade, com menos recursos (espaços, pessoas etc.)
e burocracia, ofertando acesso a serviços tempestivos e de qualidade, visando
melhorar a vida da população, com impactos sociais positivos diretos e indiretos.

26
Adeus, burocracia!
Entende-se que o potencial da transformação digital no setor público é enorme, não

apenas pela automação de serviços, mas pela redução de recursos necessários e
ampliação da possibilidade de ofertas, tendo acesso, em tempo real, à experiência
dos usuários, permitindo uma melhoria contínua.
É fortalecida, também, a governança pública, que se baseia em responsabilidade,

equidade, transparência e prestação de contas, dando acesso a todos os atos
da administração pública e dos poderes, assim como das empresas públicas, à
sociedade, seja por meio de dados ou de informações, preservada a segurança e os
interesses estratégicos.
Neste sentido, vale entender que a Organização para a Cooperação e Desenvolvimento

Econômico (OCDE) concentra a visão dos países membros em relação à adesão ao
conceito de Governo Aberto. Em outras palavras, percebem-se como necessidades a:
• transparência das ações governamentais;
• acessibilidade aos serviços e informações governamentais;
• capacidade de resposta às novas ideias, demandas e necessidades da

sociedade.
O Brasil, uma das maiores economias do mundo, é postulante a ser um dos membros
da OCDE, o que necessariamente implica criar meios para que as mudanças ocorram,
sejam elas de cunho cultural (com a administração reconhecendo o papel central do
cidadão); nos procedimentos oferecidos, com foco nos consumidores e usuários; ou
na organização da administração em si, para que se torne menos burocrática e mais
eficiente e para que estabeleça relações cada vez mais inclusivas e plurais.

27
Saiba mais sobre os marcos do Governo Digital no Brasil clicando aqui.

28
Referências
BRASIL. Governança Digital. Governança Digital, 2019. Disponível em: https://www.gov.

br/governodigital/pt-br/legislacao/legislacao-governanca-digital. Acesso em: 16 jun. 2022.
BRASIL. Transformação Digital. Portal da Transformação Digital. Disponível em: https://

www.gov.br/governodigital/pt-br/transformacao-digital. Acesso em: 16 jun. 2022.
MCKINSEY DIGITAL. Digital strategy in a time of crisis. McKinsey, 2020. Disponível

em: https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKin-
sey%20Digital/Our%20Insights/Digital%20strategy%20in%20a%20time%20of%20
crisis/Digital-strategy-in-a-time-of-crisis-final.pdf. Acesso em: 21 ago. 2022.
WESTERMAN, George. Management Review, Why Digital Transformation Needs

a Heart. MIT Sloan, 2016. Disponível em: https://sloanreview.mit.edu/article/why-
digital-transformation-needs-a-heart/ Acessado em: 21 ago. 2022.
ROGERS, David L. Transformação digital: repensando o seu negócio para a era

digital. Tradução Afonso Celso da Cunha Serra. Autêntica Business: São Paulo, 2017.
SAMPAIO, Rafael. Vantagem Digital. Guia prático para a Transformação Digital.

Rio de Janeiro: Altabooks, 2018.
VERAS, Manuel. Gestão da Tecnologia da Informação: sustentação e inovação

para a transformação digital. São Paulo: Brasport, 2020.

29
Unidade 3: A Continuidade de Negócios no Gerenciamento
de Crises e Emergências
Ao final desta unidade você estará apto a classificar o que são crises e emergências no
processo de gerenciamento de continuidade de negócios.
O processo de gerenciamento de continuidade de negócios trata da preparação

das organizações para lidar de forma estratégica e tática com incidentes, acidentes
e eventuais interrupções dos negócios, mantendo suas operações em um nível
previamente definido pelos gestores.
Nesses cenários, é, também, importante compreender como os riscos se

materializam, dando origem a um estado de emergência que pode se transformar
em crises, que as organizações devem antever e tratar. Em outras palavras, para
lidar com riscos e evitar crises, as organizações precisam preparar-se para atuar nos
níveis de resposta imediata e, posteriormente, planejar ações ao longo do tempo
para a retomada das atividades nos padrões anteriores à ocorrência dos eventos.
3.1 Afinal, o que é a Continuidade de Negócios?
Continuidade de Negócios.

30
O termo negócio origina-se do latim “negotium”, isto é, a partir da junção dos conceitos
de nec e otium (“aquilo que não é lazer”). Definições mais antigas referiam-se à
ocupação, atividade ou trabalho que se realizava com fins lucrativos, mas a definição
atual é mais ampla, incorporando também aquilo que não tem fins lucrativos, razão
pela qual falamos em negócios privados, públicos e do terceiro setor, que devem ser
preservados para que possam cumprir a missão para a qual foram empreendidos
e a sua visão.
Também são chamados de negócios as partes constituintes, formadas pelos

processos de negócio, o que, segundo o BPM CBOK (2019), significa:
“um trabalho que entrega valor para os clientes ou

apoia/gerencia outros processos; um trabalho que
pode ser de ponta a ponta, interfuncional e até mesmo
intraorganizacional.”
Ou seja, qualquer conjunto de atividades, tarefas e comportamentos executados

por pessoas ou máquinas – seja dentro da empresa, entre os setores ou entre
empresas – pode compor um processo de negócio, que é realizado seguindo uma
determinada lógica (um fluxo), de forma a permitir que os objetivos da organização
sejam atingidos ou que questões do negócio sejam solucionadas. Você já viu isso
na unidade anterior, a partir das definições do “por que ser feito, de que forma, para
quem e por quem”.
Assim, tratar da continuidade de negócios significa entender

ameaças e dotar operações e processos de negócio, em seu
sentido mais amplo, de resiliência e capacidade de resposta,
preservando a capacidade de entregar aquilo que se espera
delas, ou seja, a sua missão.
A continuidade de negócios pode ser ameaçada quando eventos de risco (incidentes

ou acidentes) se materializam, sobretudo quando não são previamente mapeados,
tratados e monitorados por controles adequados.

31
Pode também ser ameaçada quando não se sabe o que fazer quando esses eventos
ocorrem, o que impossibilita que organizações reajam de forma rápida e assertiva,
minimizando os danos diretos ou indiretos em todos os níveis, a fim de preservar a
entrega de valor.
Gestão de riscos e controles.

Elaborado pelo autor (2022).
Há processos de negócios essenciais, de suporte ou apoio e, também, gerenciais. Todos

contribuem, em diferentes níveis de importância, para o cumprimento da missão
organizacional, e precisam ser preservados. Porém, quando ocorre uma ameaça
externa e uma emergência se instala, as organizações devem entender o que será
prioritário proteger e o que será necessário manter funcionando para minimizar os
eventuais comprometimentos às operações que entregam valor.
Processos Essenciais
São aqueles que entregam valor diretamente aos consumidores ou usuários,
por serem atividades cruciais para que as organizações consigam atingir sua
missão e visão. Neles se concentram as operações relacionadas à percepção
dos consumidores, a sua experiência e ao real valor.
Processos de Suporte ou Apoio

São procedimentos que pretendem oferecer suporte para execução dos
processos essenciais, permitindo que a realização do primeiro seja facilitada
pelo segundo. O real valor desses processos é proporcionar qualidade para
outros processos, não interagindo com o consumidor final.

32
Processos Gerenciais
São procedimentos que têm por função acompanhar os processos essenciais
e de suporte, fornecendo informações gerenciais para tomada de decisões
estratégicas e/ou táticas, por meio de dados, informações, medições,
monitoramentos e controles. Assim como os processos de suporte, não há
relacionamento com os consumidores, mas com a melhoria de qualidade
dos demais processos.
Em termos de continuidade, é interessante perceber que, dependendo da

organização, se os processos de suporte não estiverem funcionando, será muito
difícil manter os processos essenciais entregando o que se pretende deles. Por
esse motivo, é necessário mapear previamente os impactos possíveis em casos de
materialização de incidentes (que em geral não significam perdas de capacidade,
mas abalos pontuais) e acidentes (eventos com consequências mais sérias).
3.2 O que é gerir a Continuidade de Negócios e qual a sua importância?
A Gestão de Continuidade de Negócios (GCN) é o gerenciamento da recuperação ou

da continuidade das atividades no caso de uma interrupção dos processos de negócios
pela ocorrência de eventos indesejáveis, previstos ou não. É, também, a implantação
e o gerenciamento do Programa de Continuidade de Negócios (PCN), que reúne a
política, as definições, os planos, as etapas de levantamento e análise dos eventos, o
cronograma e os demais procedimentos para operacionalização das atividades.
Trata-se de um processo organizacional estratégico que estabelece a estrutura

adequada para:
• Fomentar continua e proativamente a resiliência da organização contra

possíveis ameaças com potencial de causar interrupções da capacidade
de atingir seus principais objetivos estratégicos e entregar valor.
• Planejar quais recursos e providências serão necessários para

restabelecer a capacidade produtiva no menor espaço de tempo
possível (em níveis determinados e sucessivos), conforme previamente
planejado e acordado.
• Criar know-how para gerenciar uma interrupção no negócio.

33
3.3 O que são as Crises e Emergências para a Continuidade de Negócios?
Você acabou de estudar o que é a Continuidade de Negócios. Ademais, a Norma

NBR ISO 22300/2022 define Continuidade de Negócios como a capacidade de uma
organização de continuar a entrega de produtos e serviços em um nível aceitável,
com capacidade predefinida, durante uma interrupção.
Segundo a mesma norma, interrupção é um incidente, antecipado ou imprevisto, que

resulta em desvios negativos e não planejados na entrega esperada de produtos e serviços
de acordo com os objetivos da organização. Incidente, como descrito pela norma, é o
evento que pode consistir ou levar a uma interrupção, perda, emergência ou crise.
Para melhor entendimento, os eventos de risco são aqueles que têm probabilidade
não nula de ocorrer, e, quando ocorrem, podem produzir perdas diretas e/ou
indiretas, podendo, ainda, instalar ou não emergências.
Para a continuidade de negócios, importa identificar os eventos que podem produzir

emergências e crises, pois são aqueles passíveis de alterar o movimento de negócios,
impedindo que as organizações atinjam seus objetivos estratégicos, mesmo que
momentaneamente.
3.3.1 O que é Crise?
Segundo a Norma NBR ISO 22300/2022, crise é uma condição instável, envolvendo
uma mudança abrupta ou significativa iminente que requer atenção e ação urgentes
para proteger a vida, os ativos, a propriedade ou o meio ambiente.
Commodities.
Freepik (2022).

34
É interessante notar que as ameaças podem ser tangíveis ou intangíveis. Por exemplo,
a iminência de mudança abrupta, não controlável, no preço de uma commodity que
é um dos insumos de produção (combustíveis, energia elétrica etc.), pode ser o
prenúncio de uma crise – em outras palavras, o conceito do que ocasiona as crises
pode ser mais amplo.
3.3.2 O que é Emergência?
Emergência, ainda segundo a Norma NBR ISO 22300/2022, é um evento ou

ocorrência repentina, urgente e usualmente inesperada que requer ação imediata.
As emergências podem ser estimadas a partir dos estudos dos riscos e desdobramentos
de incidentes e acidentes (eventos indesejáveis), cabendo conhecer os impactos e
suas consequências diretas e indiretas, para que se possa saber o que fazer e quais
recursos serão necessários para as respostas.
3.4 Respostas às crises e emergências
Em poucas palavras, enquanto a emergência se instala pela ocorrência de um

evento indesejável, a crise pode decorrer dele ou de outras situações que ameaçam
a organização, estejam elas sob controle de gestão da organização ou não. Seja
como for, tanto crises como emergências precisam ser gerenciadas e exigem, pelo
menos, o desenvolvimento de estratégias de defesa e de alternativas.
Respostas às crises e emergências.

Freepik (2022).

35
No gerenciamento de riscos, uma etapa importante é a formulação de respostas
aos riscos expostos. Para a gestão da continuidade de negócios, essa visão é
ampliada, incorporando respostas a crises e emergências e preparando organizações
nessas condições por meio de planos específicos, cada um dos quais com objetivos
específicos.
Há inúmeras vantagens em implantar a Gestão da Continuidade de Negócios,

dentre elas estabelecer capacidades para:
• identificar proativamente os impactos de uma interrupção operacional;
• planejar respostas eficientes às interrupções, o que minimiza o

impacto à organização;
• ampliar os esforços de gerenciamento de riscos;
• aproveitar a oportunidade de promover o trabalho entre equipes;
• simular respostas por meio de simulados e testes;
• melhorar a reputação;
• ganhar vantagem competitiva por meio da capacidade demonstrada de

manter seus produtos e serviços disponíveis frente a emergências ou crises.
As respostas às emergências têm foco operacional e seu planejamento visa evitar,

dissuadir e prevenir a ocorrência de eventos indesejáveis ao mesmo tempo que
prepara as organizações para reagir de forma estruturada. A gestão de crises, por
sua vez, busca gerenciar os aspectos estratégicos.
3.5 Consequências diretas e indiretas das crises e emergências nas

organizações
As organizações são responsáveis por gerir o que acontece em seus limites internos,
mas sempre é possível que as coisas passem do ponto e ultrapassem os seus muros,
produzindo danos a terceiros, o que é ainda pior.
Além disso, há situações em que, simplesmente, não há como controlar as fontes

e causas dos eventos - quando elas são externas - não havendo como evitá-los,
mas se espera que as organizações possam estar preparadas para reagir a eles
rapidamente, minimizando perdas diretas e indiretas, as emergências e as crises.

36
De uma forma ou de outra, as organizações estão sujeitas a vários riscos que,
dependendo da forma que são geridos, podem ser ampliados. Esses riscos podem
gerar emergências, as quais exigem respostas imediatas, e, também, crises iminentes,
que precisam ser mitigadas para garantir a continuidade dos negócios.
Emergências criam um estado de caos, mas têm um período curto. Já as crises podem
durar muito tempo. Assista à videoaula a seguir para compreender melhor o assunto.
Videoaula: Quais são as Consequências das Crises e Emergências
Que bom que você chegou até aqui! Agora é hora de testar seus conhecimentos.
Acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos!

37
Referências
ABNT. NBR ISO22301 DE 06/2020 – Segurança e resiliência — Sistema de gestão de

continuidade de negócios — Requisitos.
BPM CBOK Version 4.0: Guide to the Business Process Management Common
Body Of Knowledge. ABPMP: 2019.

38
Módulo
2 O Processo de Gerenciamento
de Emergências e Crises
Neste módulo, há temas importantes para que você compreenda o processo de
gestão de riscos e o que acontece quando eles saem do controle, vindo a desencadear
emergências e crises. Para isso, será necessário percorrer as normas internacionais
referentes à gestão de emergências e crises que tratam de gestão de riscos, bem
como as normas que deram origem às que estão vigentes no momento, criando,
assim, um pano de fundo para que se possa, de fato, gerir a continuidade dos
processos de negócios.
Unidade 1: Contextualizando a Gestão de Riscos e Controles

Ao final desta unidade, você será capaz de reconhecer os conceitos de gestão de riscos e
controles, previstos no Coso e na ISO 31.000.
Esses conceitos são fundamentais para que se possa contextualizar como as

organizações devem se preparar para a gestão da continuidade dos negócios.
Peter Bernstein (2019), no livro Desafio aos Deuses – A Fascinante História do Risco, a
concepção do controle do risco constitui uma das ideias centrais que distinguem os
tempos modernos do passado mais remoto.
Naquela época, apesar de alguma percepção de riscos, as pessoas não dominavam

as metodologias para gerenciá-los e até atribuíam as ocorrências a um “capricho
dos deuses”. Mais recentemente, a sociedade pôde perceber que isso é um tema
central e estratégico, pois os riscos estão presentes em todas as nossas atividades e
as decisões precisam considerá-los.

39
1.1 Principais Conceitos da Gestão de Riscos e Controles
O homem definiu o risco de muitas formas ao longo do tempo, quase sempre com
foco específico nos seus interesses particulares. Assim, várias áreas das ciências
exatas e não exatas construíram definições próprias, segundo as suas percepções
e interesses.
Na origem, o termo risco é proveniente da palavra risicu, ou riscu, em latim, que

significa ousar (dare, em inglês). Costuma-se entender o risco como a possibilidade
de “algo não dar certo”, mas seu conceito atual envolve a quantificação e qualificação
da incerteza, tanto no que diz respeito às possíveis perdas, como em relação aos
possíveis ganhos para indivíduos ou organizações.
Até algum tempo, havia um certo conflito conceitual entre o risco de ganhar (que
muitos consideravam ser conveniente denominar como chance) e o de perder. Mais
recentemente, passou-se a dizer que os riscos podem ser positivos ou negativos.
Outras vezes, quando os riscos vêm de fora para dentro das organizações, são
entendidos como oportunidades (de ganhar) e ameaças (de perder).
A definição matemática de evento de risco é o produto entre probabilidade de

ocorrência de um determinado evento (aleatório, futuro e independente da vontade
humana) e as consequências (positivas ou negativas) resultantes.
Nessa definição, há 3 fatores que merecem destaque: o evento, a probabilidade e a

consequência (ou impacto), que denominamos de parâmetros de risco.
Parâmetros de Risco.
Fonte: Adaptado do autor (2022).

40
Evento:
O evento ou evento de risco é composto por uma sequência de situações que podem
dar origem a um incidente ou acidente. Ele pode vir a ocorrer ou não, dependendo
da ativação de vários fatores internos e/ou externos, razão pela qual se estimam as
probabilidades de ocorrência, mas o que importa inicialmente é compreender se o
evento é possível e se há potencial de gerar consequências.
Probabilidade:
A ideia geral da probabilidade é frequentemente dividida em dois conceitos
relacionados: a probabilidade de repetir frequências, que representa uma série
de eventos futuros cuja ocorrência é definida por fenômenos aleatórios e a
probabilidade epistemológica, que representa o grau das nossas incertezas sobre
proposições futuras, quando não se tem conhecimento completo sobre as fontes e
as circunstâncias que envolvem as causas.
Consequência:
Os eventos a que nos referimos podem trazer consequências positivas ou negativas
para uma pessoa, uma organização ou para a sociedade. As consequências ou
impactos gerados pelos eventos de riscos geralmente trazem algum tipo de
modificação no status quo que podem acarretar perdas ou ganhos.
Aprofunde um pouco mais sobre os conceitos de evento, probabilidade

e consequência (ou impacto), denominados de Parâmetros de Risco.
Acesse o material complementar, disponível aqui.
1.2 As Políticas de Gestão de Riscos e Controles
Segundo a Norma ISO 31.000, a política de gestão de riscos é a “declaração das

intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos”.
A norma preconiza que a política de gestão de riscos estabeleça claramente os

objetivos e o comprometimento da organização em relação à gestão de riscos e,
tipicamente, aborde:
• a justificativa da organização para gerenciar riscos;
• as ligações entre os objetivos e políticas da organização com a política

de gestão de riscos;

41
• as responsabilidades para gerenciar riscos;
• a forma com que são tratados conflitos de interesses;
• o comprometimento de tornar disponíveis os recursos necessários

para auxiliar os responsáveis pelo gerenciamento dos riscos;
• a forma com que o desempenho da gestão de riscos será medido e reportado;
• o comprometimento de analisar criticamente e melhorar

periodicamente a política e a estrutura da gestão de riscos em
resposta a um evento ou mudança nas circunstâncias.
A política de gestão de riscos deve ser comunicada e disseminada,

pelos melhores meios possíveis, para todas as partes interessadas.
Na prática, a Política de Gestão de Riscos é mais do que um
documento. É um marco que estabelece como as organizações
devem se estruturar para gerir os riscos, fixando seus objetivos,
metodologias, referências normativas e de eventuais legislações,
a governança de riscos, em todos os seus detalhes, com os
papéis dos agentes organizacionais, o quanto ela deverá ser
considerada na tomada das decisões, em todos os níveis, além
das classificações de risco de interesse prioritário da organização,
dentre os externos e internos.
É uma boa prática ampliar o espectro da política para incluir também os controles,
passando a ser a Política de Gestão de Riscos e Controles.
A política deve incluir, ainda, um glossário de termos e aspectos particulares da

organização que sejam relevantes para a compreensão do texto.
1.3 Processos de Gestão de Riscos: ISO 31.000 e Coso (I, II e III)
ISO 31.000
A Norma ISO 31.000 sofreu alterações entre as suas edições de 2009 e 2018,
basicamente para explicar alguns conceitos e incluir outros.

42
A visão estratégica, como descrita na norma, determina que as organizações
incluam a análise de riscos ao tomar decisões, para garantir que atinjam seus
objetivos, sendo fundamental que isso se estenda aos níveis táticos e estratégicos
(um desencadeando consequências para o outro).
Além disso, convém que seja possível identificar a gestão de riscos em todas as
atividades-chave, ou seja, os princípios, a estrutura e os processos. Acompanhe os
detalhes abaixo:
Princípios
O propósito da gestão de riscos é a criação e proteção de valor, o que
melhora o desempenho, encoraja a inovação e apoia o alcance de objetivos.
São princípios:
Princípios da Gestão de Riscos – ISO 31.000:2018.

Fonte: Adaptada da ABNT ISO NBR 31.000:2018 (2022).
• Integrada – A gestão de riscos é parte integrante de todas as

atividades organizacionais.
• Estruturada e abrangente – Contribui para resultados consistentes

e comparáveis.
• Personalizada – A estrutura e o processo de gestão de riscos são

personalizados e proporcionais aos contextos externo e interno
da organização relacionados aos seus objetivos.

43
• Inclusiva – O envolvimento apropriado e oportuno das partes
interessadas possibilita que seus conhecimentos, pontos de
vista e percepções sejam considerados. Resulta em melhor
conscientização e processos de gestão de riscos fundamentados.
• Dinâmica – Riscos podem emergir, mudar ou desaparecer à

medida que os contextos externo e interno de uma organização
são alterados. A gestão de riscos antecipa, detecta, reconhece e
responde a essas mudanças e eventos de uma maneira apropriada
e oportuna.
• Melhor informação disponível – As entradas para a gestão de riscos

são baseadas em informações históricas e atuais, bem como em
expectativas futuras. Leva em consideração quaisquer limitações
e incertezas associadas a essas informações e expectativas. A
informação deve ser oportuna, clara e disponível para as partes
interessadas pertinentes.
• Fatores humanos e culturais – O comportamento humano e

a cultura influenciam significativamente todos os aspectos da
gestão de riscos em cada nível e estágio.
• Melhoria contínua – A gestão de riscos é melhorada continuamente

por meio do aprendizado e de experiências.
Estrutura
O propósito da estrutura da gestão de riscos é apoiar a organização da sua
integração em atividades significativas e funções. A eficácia da gestão de riscos
dependerá da sua integração com a governança, a cultura organizacional e
as atividades que exijam decisões. Isso requer apoio das partes interessadas,
em particular da alta direção. Além da integração, o desenvolvimento
da estrutura depende de implementação de procedimentos, avaliação e
melhoria contínua.
Processo
O processo de gestão de riscos envolve a aplicação sistemática da metodologia
definida na política de gestão de riscos, com base na norma ISO 31.000.

44
Processo de Gestão de Riscos – ISO 31.000:2018.
Fonte: Adaptado da ABNT ISO NBR 31.000:2018 (2022).
É fundamental que o processo de gestão de riscos seja parte integrante da

estrutura, das operações e dos processos da organização. Deve estar presente
nos níveis estratégico, tático e operacional, em todas as atividades, áreas
e setores. O processo de gestão de riscos deve ser colaborativo e interativo,
capaz de engajar as pessoas com o seu desenvolvimento.
Escopo, contexto e critérios
O propósito é personalizar o processo de gestão de riscos, permitindo um processo

de avaliação de riscos eficaz e o tratamento apropriado dos riscos. Para isso, é
necessário compreender os seguintes pontos:
Escopo
O processo de gestão de riscos pode ser aplicado em diferentes níveis
(estratégico, operacional, programa, projeto ou outras atividades), sendo
importante ter-se clareza sobre o escopo em consideração e seu alinhamento
aos objetivos organizacionais.

45
Contextos
Os contextos externo e interno são os ambientes nos quais a organização
procura definir e alcançar seus objetivos. Convém que sejam considerados a
partir da compreensão das influências dos riscos que advêm dos ambientes
externo (política, economia, mercado etc.) e interno (estratégia, ativos,
produtividade etc.), restando entender os graus de influência de cada um.
Critérios
É importante que organização especifique os critérios para identificar, analisar
e avaliar os riscos expostos. Eles devem estar alinhados com os objetivos e
recursos da organização, o que vai determinar quais das exposições podem
ser retidas e quais devem ser transferidas. Para estabelecer os critérios
de risco, convém considerar: a natureza e o tipo de incertezas que podem
afetar resultados e objetivos (tanto tangíveis quanto intangíveis), além de
suas consequências (tanto positivas, quanto negativas). Os critérios podem
se qualitativos ou quantitativos.
Avaliação de Riscos
O processo de avaliação de riscos (risk assessment) reúne as etapas de identificação,

análise e avaliação de riscos, que devem ser conduzidas de forma sistemática,
interativa e colaborativa, com base no conhecimento e nos pontos de vista das
partes interessadas, utilizando as melhores bases de informação disponíveis,
complementadas por investigação adicional, quando necessário.
Acompanhe com muita atenção o que diz a ISO 31.000 sobre essas etapas:
Identificação de riscos
É a fase em que se encontra, reconhece e descreve os riscos que possam ajudar
ou impedir que uma organização alcance seus objetivos.
A quantidade e qualidade das informações são indispensáveis para a construção

de cenários e identificação de riscos.
Nesta fase são indicadas as fontes dos eventos de riscos, suas causas e a
possível dinâmica dos eventos, de forma detalhada. Por exemplo: interrupção
no processo eletrônico de programação de pagamentos, pela indisponibilidade
da aplicação específica para tal, em decorrência de manutenção emergencial
para corrigir erros na identificação de fornecedores.
Os levantamentos são realizados com auxílio de técnicas de identificação de

riscos e trabalho em equipe, preferencialmente formadas por especialistas de
várias áreas, mas, também, pelos proprietários de riscos, que são os responsáveis
pelas instalações, processos e procedimentos operacionais.

46
Análise de riscos
É a fase em que se determinam as probabilidades de ocorrência e as eventuais
consequências dos eventos de risco. Um evento pode ter múltiplas causas,
que geram probabilidades e consequências distintas.
Há uma variedade de técnicas de análise de riscos, que podem ter abordagens

qualitativas, quantitativas ou uma combinação destas. As qualitativas são
usadas em análises preliminares ou quando não se tem condições de estimar
com razoável precisão as probabilidades de ocorrência e as consequências.
Nas análises quantitativas são utilizados parâmetros numéricos, como

frequências de falhas registradas na operação ao longo do tempo, ou advindas
de fontes bibliográficas externas (bancos de dados etc.), para projetar as
probabilidades, sendo necessário, sempre, fazer as devidas adaptações
impostas pelas condições locais de operação, como: ambiente, nível de
segurança e proteções e controles existentes, capacitação de operadores
etc. Em geral, as consequências são estimadas em prejuízos financeiros e/ou
em tempo de paralisação.
Nas análises, é recomendável fixar o tempo em que os eventos de riscos

estarão sujeitos às probabilidades estimadas, deixando claro que as
estimativas podem mudar se ocorrerem alterações dos cenários.
As equipes de analistas são responsáveis por discutir os cenários, a dinâmica

dos eventos, a probabilidade de ocorrência e a magnitude das consequências
diretas e indiretas. Cada evento de risco pode ter várias consequências e cada
uma delas deve ser estimada, para que possam ser avaliadas posteriormente
e sugeridos tratamentos.
Avaliação de riscos
Esta fase tem por finalidade estabelecer o grau de risco, ou o risco inerente,
por meio de combinações de probabilidades e consequências dos eventos de
risco. Envolve a comparação dos resultados da análise de riscos, (probabilidades
e consequências estimadas), com os critérios de risco estabelecidos pela
organização, definidos em uma matriz de consolidação de riscos.
Os graus de risco podem ser estabelecidos para definir quais deles são aceitáveis,
bem como para determinar onde são necessárias respostas, a importância e a
urgência delas.
Outro aspecto importante é decidir quais estratégias devem ser empreendidas

para atuar sobre as fontes e causas dos riscos, a fim de tratar a probabilidade
de ocorrência e/ou as consequências, além da ordem de prioridade em que
isso será realizado.

47
O resultado do processo global de risk assessement (avaliação de riscos) deve
ser registrado, comunicado e, então, validado nos níveis apropriados da
organização. Eles serão utilizados como referência para acompanhar os riscos,
e nas revisões futuras.
Tratamento de Riscos (ou Resposta aos Riscos)

O propósito desta etapa é selecionar e implementar estratégias e ações para tratar
os riscos.
Isso envolve ações para: formular e selecionar estratégias procedimentais e/

ou financeiras de tratamento dos riscos; planejar e implementar as opções
escolhidas; avaliar a eficácia dos tratamentos; decidir se o risco residual
remanescente é aceitável; e a necessidade de novos controles e tratamento
adicional.
Dentre as estratégias estão:
• eliminar o risco (as fontes, as causas dos eventos de risco, a

probabilidade de ocorrência e/ou consequências);
• prevenir a ocorrência do evento de risco e/ou consequências;
• atenuar (ou mitigar) as probabilidade e/ou consequências;
• reter o risco, quando houver condições para tal;
• transferir o risco por meio de instrumentos financeiros ou seguros.
É importante perceber que os tratamentos não são excludentes entre si e

que podem (e devem) ser combinados.
Monitoramento e Análise Crítica

O monitoramento e análise crítica visam assegurar a qualidade e eficácia da
concepção, implementação e resultados do processo de gestão de riscos.
Espera-se que esta etapa seja cumprida periodicamente, em relação ao processo

de gestão de riscos e seus resultados, como parte planejada do processo de
gestão. Devem ser estabelecidas responsabilidades para garantir que todas as
fases sejam cumpridas.
Especial cuidado deve ser tomado com o planejamento, coleta de informações,

registro de resultados e retorno às partes interessadas.

48
Os resultados do monitoramento e da análise crítica devem ser incorporados
em todas as atividades de gestão de desempenho, medição e relatos nas várias
áreas da organização.
Registro e Relato
Todas as etapas e atividades da gestão de riscos devem ser documentadas e
relatadas por meio de mecanismos apropriados.
Tem por objetivo comunicar as atividades e resultados da gestão de riscos,

fornecer informações para a tomada de decisão e auxiliar a interação com as
partes interessadas.
As decisões relativas à criação, retenção e manuseio de informações e

registros documentados devem levar em consideração a sensibilidade da
informação e os contextos externo e interno.
O relato deve ser uma rotina frequente e ser realizado sempre, para
acompanhamento das partes interessadas.
Comunicação e Consulta
A etapa ocorre ao longo do processo de gestão de riscos, com intenção de
auxiliar as partes interessadas na compreensão do risco, nas bases sobre a
qual decisões são tomadas e nas razões pelas quais ações específicas são
requeridas.
A comunicação busca promover a conscientização e o entendimento do risco,

enquanto a consulta envolve obter retorno e informação para auxiliar a tomada
de decisão.
A consulta visa reunir opiniões de diferentes áreas de especialização para

cada etapa do processo de gestão de riscos, assegurando que pontos de
vista diferentes sejam considerados.

49
Coso
Acompanhe na linha do tempo abaixo os eventos ocorridos ao longo das últimas

décadas acerca da criação do Coso.
1970 -
A National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre
Fraudes em Relatórios Financeiros) foi criada na década de 1970 como uma iniciativa
independente, que buscava analisar as ocorrências de fraudes nos relatórios
financeiros de organizações americanas.
Na sua fundação, faziam parte dessa comissão representantes das principais

associações de classe de profissionais de contabilidade, controladoria e finanças,
preocupados e interessados em discutir as razões pelas quais ocorreram várias
fraudes contábeis em organizações americanas e criar mecanismos de controles
internos para garantir que os investidores tivessem segurança em relação à
veracidade dos relatórios financeiros.
Como as reuniões ocorriam nas instalações do Tesouro Americano, a comissão

acabou sendo conhecida como a Treadway Comission (Comissão do Tesouro).
1985 -
Posteriormente, em 1985, essa comissão foi transformada em um comitê, passando
a ser chamada de Coso – Committee of Sponsoring Organizations of the Treadway
Commission, ampliando seu escopo de atuação de lá para cá, com a percepção de
que era necessário incorporar a visão da necessidade de gerenciar riscos e atuar
sobre os controles internos.
Atualmente, além dos fundadores, fazem parte do Coso várias organizações, como:
o Instituto Americano de Contadores Públicos Certificados, o Instituto dos Auditores
Internos, a Associação Americana de Contadores, o Instituto dos Contadores
Gerenciais, Executivos Financeiros Internacionais etc., além de representantes das
maiores empresas de consultoria do mundo e outros interessados.
Para o Coso, o controle interno é um processo conduzido pela diretoria da

organização, seus conselheiros ou outros empregados que buscam promover uma
garantia razoável de que a organização irá cumprir suas metas.
1992 -
Ao longo dos últimos anos, as contribuições do Coso têm sido relevantes, com
destaque para publicações que fizeram com que organizações em todo o mundo as
utilizassem como referência. Dentre elas, o Internal Control – Integrated Framework,

50
de 1992, chamado também de Coso I, o Enterprise Risk Management – Integrated
Framework (Gerenciamento de Riscos Corporativos – Estrutura Integrada), chamado
de Coso II ou Coso ERM, de 2004, e, mais recentemente, o Coso III.
O objetivo comum entre essas proposições era garantir, com razoável confiança, a
eficácia e eficiência das operações, a confiabilidade dos relatórios financeiros e a
conformidade com as leis e regulamentos aplicáveis, provendo um grau satisfatório
de conforto aos acionistas e investidores.
2004 -
O Coso-ERM foi elaborado com a finalidade de orientar as organizações em relação
ao gerenciamento de riscos corporativos, além da aplicação de boas práticas a
respeito desse tema, como evolução do modelo anterior (Coso I). No Coso-ERM a
atividade de análise de riscos, que estava prevista no modelo anterior, foi ampliada
para incluir a identificação de eventos, avaliação de riscos e resposta a riscos.
Além disso, o Coso-ERM introduziu os conceitos de apetite a risco e tolerância a

riscos, ou seja, respectivamente, referem-se à quantidade de risco que a organização
está disposta a aceitar para criar valor e ao nível de variação aceitável para alcançar
um objetivo.
Em linhas gerais, o escopo foi bastante ampliado, porque o Coso-ERM agregou técnicas
de gerenciamento integrado de riscos, ampliando o modelo do Coso I, já que o primeiro
modelo focava em avaliar e aperfeiçoar o sistema de controles internos e o segundo,
em priorizar a gestão dos riscos corporativos, além das atividades de controle.
Cubo do Coso-ERM.
Fonte: Coso – Enterprise Risk Management – Integrated Framework – 2004

51
2013 -
A estrutura do Coso-ERM foi revisada alguns anos depois, para explicar e aprofundar
algumas questões, como a formalização de conceitos fundamentais introduzidos na
estrutura original e esclarecimentos para facilitar seu uso e sua aplicação. Esses
conceitos se transformaram em princípios, que são associados a cinco componentes,
proporcionando clareza no desenvolvimento e na implementação dos sistemas de
controles internos.
Coso-ERM-2013.
Fonte: Coso – Enterprise Risk Management – Integrated Framework – 2013
Percebe-se que a estrutura se alinha com a ISO 31.000, mas com objetivos específicos,
definidos pelo Coso.
2017 -
Em 2017, o Coso publicou o Enterprise Risk Management – Integrating with Strategy
and Performance (Gerenciamento de Riscos Corporativos integrado com a Estratégia
e o Desempenho), conhecido por Coso III, buscando ressaltar a importância de
considerar os riscos tanto no estabelecimento da estratégia, quanto na condução
do desempenho.
O novo modelo de gestão de riscos do Coso compõe-se de 20 princípios, distribuídos

em 5 componentes: Governança, Estratégia e Definição de Objetivos, Desempenho,
Revisão e Informação, Comunicação e Divulgação.

52
Coso III – 2017.
Fonte: Coso – Enterprise Risk Management – Integrating with Strategy and Performance
1.4 A Integração dos Processos de Gestão de Riscos e Controles
A integração da gestão de riscos e controles se apoia na compreensão das estruturas

e do contexto organizacional, incluindo a cultura organizacional, mas talvez o ponto de
partida seja a intenção em fazer algo, seja por visão de oportunidade ou de necessidade.
Em algumas organizações, é mais simples realizar o processo de integração dos

processos de gestão de riscos e controles ao dia a dia, mas em outras, a tarefa é
mais complicada, sobretudo quando são muito hierarquizadas e com estruturas de
governança que ainda não amadureceram.
O Coso III mostra a importância de considerar os riscos na tomada de decisões e em

relação ao estabelecimento das estratégias corporativas.
Na execução das estratégias, enfatiza-se que os riscos devem ser gerenciados e

controlados em todas as atividades da organização, sejam elas estratégicas, táticas
ou operacionais, por meio do estabelecimento de uma governança de riscos e
controles, com papéis e responsabilidades muito bem definidas.
A governança corporativa deve orientar os rumos da organização em relação à gestão

de riscos e controles, ou seja, seus objetivos estratégicos e o que fazer para atingi-los,
o que significa criar elos nas suas relações internas e externas, definir os processos, os
recursos, os cronogramas e as práticas necessárias para alcançar os seus propósitos.

53
A governança corporativa.
Fonte: Freepik (2022)
Integrar a gestão de riscos e controles em uma organização é um processo dinâmico

e interativo, particular de cada organização. Deve considerar as necessidades
específicas e a cultura da organização, mas pode ser facilitada quando há
engajamento e mobilização, a partir do entendimento de todos sobre a importância
de ser realizada e do que a organização e as pessoas podem ganhar com isso.
Enfim, a gestão de riscos e controles deve contribuir para a construção da visão

organizacional, apoiando a governança corporativa, no sentido de fazer cumprir a
missão da organização.

54
Referências
ABNT NBR ISO 31.000. Gestão de Riscos – Princípios e Diretrizes. Primeira edição.
30.11.2009.
ABNT NBR ISO 31.000. Gestão de Riscos – Princípios e Diretrizes. Segunda edição.
28.03.2018
BERNSTEIN, Peter L. Desafio aos Deuses: A Fascinante História do Risco. São Paulo:
Alta Books, 2019.
GRAHAM, Morris; LEBARON, Melvin. The horizontal revolution. San Francisco:

Jossey-Bass, 1994.
COSO (Org.). Gerenciamento de Riscos Corporativos – Estrutura Integrada:

Sumário Executivo Estrutura. 2004.
COSO (Org). Gerenciamento de Riscos Corporativos – Integrado com Estratégia e

Performance: Sumário Executivo. 2017.

55
Unidade 2: O Ciclo de Gerenciamento de Emergências e
Crises nas Organizações
Ao final desta unidade você estará apto a classificar as etapas dos processos de crise e
emergência, seus aspectos fundamentais e a necessidade de gerenciá-las.
As emergências se instalam a partir de eventos ocorridos, trazendo perdas, mas no

primeiro momento um estado acelerado de caos que exige gestão imediata.
Em geral, qualquer evento em função da sua gravidade, que requeira ação imediata
e inadiável para seu bloqueio e contenção, pode ser considerado como uma
emergência, como, por exemplo: incêndios, explosões, vazamento de produtos
químicos, vazamento de gases tóxicos e vários outros tipos de eventos graves que
interferem nos processos de negócio, causando a sua indisponibilidade. Mergulhe
neste assunto que será apresentado nesta etapa de estudos.
Você sabia que as crises têm acionamento mais lento e gradual, podendo ser
percebidas antes que venham a provocar perdas?
Quando se estuda crises e emergências o intuito é compreender o que pode vir

a acontecer, para que se consiga atuar de forma preventiva, não apenas para
gerenciar os riscos previamente, produzindo respostas para mitigar os eventos, mas
para atuar em caso de materialização dos eventos, de forma que se possa passar
pelas emergências e crises da melhor forma possível.
2.1 Etapas da Materialização das Consequências de Eventos
Os eventos de risco têm fontes, causas e provocam impactos, por isso precisam ser
identificados, analisados e avaliados, utilizando técnicas apropriadas.

56
Análise de Crises.
As causas dos eventos podem ser dependentes ou independentes entre si, vindo a
provocar impactos diretos e indiretos, que trazem perdas materiais, humanas, ao
meio ambiente e responsabilidades, quando os afetados são terceiros.
A ocorrência dos eventos pode abalar a confiança e a reputação das organizações,

que são consequências de longo prazo, muito difíceis de serem revertidas.
A gestão de riscos e controles utiliza metodologias e várias técnicas que fazem parte
do seu arsenal de identificação, análise e avaliação. Elas auxiliam as organizações
a identificarem suas exposições. Mas é necessário ir além a fim de compreender a
dinâmica dos eventos e os seus desdobramentos, para dimensionar os recursos que
serão indispensáveis em cada fase das eventuais emergências, tanto para dar a resposta
devida e suficiente, quanto para que, com as ações, se venha atuar no abrandamento
das consequências, reduzindo o status da emergência e prevenindo crises.
Outro aspecto importante é que, ao conhecer a dinâmica dos eventos, se poderá

atuar no sentido de fortalecer as barreiras (proteções e controles, passivos e ativos),
para minimizar a probabilidade de ocorrência e as consequências (ou os seus
desdobramentos), antecipadamente.
Em 1997, James Reason, após investigar vários acidentes, propôs um modelo para
explicar o porquê de ocorrerem falhas que terminam por causar eventos de risco,
acidentes e até catástrofes, em sistemas e processos aparentemente seguros.
A tese é que qualquer barreira existente em sistemas e processos (uma proteção

ou um controle) pode ser considerada como uma fatia (como se fosse a fatia de um
queijo) e que, em geral, quanto mais fatias, mais segurança.

57
Porém, o problema é que essas fatias (barreiras) podem ser imperfeitas, ou seja,
podem apresentar buracos (como os buracos dos queijos suíços), que representam
as deficiências dos referidos sistemas e processos.
Modelo de Reason – Teoria do Queijo Suíço.

Fonte: Adaptado de Reason, J – Managing the Risks of Organizational Accidents. London: Routledge, 1997
Quando essas imperfeições nas barreiras existem e se alinham, os riscos podem se

transformar em perigos e, havendo as condições necessárias, em acidentes.
Além das falhas decorrentes dos erros humanos nas operações, elas também são
produzidas por condições de falha latentes. Essas falhas advêm de pequenos erros
no projeto dos sistemas e processos, da sua implantação, da complexidade ou de
rotinas inadequadas, das condições de operação, dos riscos não identificados, de
controles inadequados ou até da má gestão, apenas para elencar alguns fatores
contributivos.
Todas essas falhas podem estar presentes por muitos anos, antes de se combinarem
com as circunstâncias locais e com outras falhas já ativas, criando eventos de risco
que ultrapassam as barreiras, provocando um acidente.
Há pelo menos 3 formas para que isso ocorra:
1 quando as barreiras são ad hoc (ou seja, os processos são manuais e as proteções
não são efetivas);
2 quando deliberadamente são desabilitados os procedimentos de proteção dos
processos e os controles para alcançar os objetivos operacionais;
3 quando involuntariamente se ultrapassa os limites.
Conclui-se que é necessário conhecer a dinâmica dos eventos em todos os seus

aspectos, para que se possa planejar o que fazer para reduzir as exposições e tratá-
las, inclusive alterando as barreiras e controles.

58
2.2 Por que os eventos indesejáveis se tornam eventos ampliados?
Define-se acidente ampliado como sendo aquele de maior gravidade e que suas
consequências se estendem a um número maior de pessoas.
Na indústria, sobretudo naquelas que manipulam ou estocam produtos perigosos

(inflamáveis ou tóxicos), a preocupação ultrapassa o ambiente interno, pois acidentes
podem atingir o ambiente externo, ocasionando mortes, feridos e problemas de
saúde imediatos ou futuros para a população vizinha, além de danos materiais e
ambientais.
Nas indústrias que não trabalham com produtos perigosos, os acidentes também
ocorrem, gerando danos e prejuízos importantes, além de perdas de capacidade que
podem impactar a cadeia de fornecimento dos clientes, ou seja, é uma ocorrência
que se torna ampliada.
É uma tendência utilizar os conhecimentos produzidos pelas Diretivas de Seveso

(82/501/ECC)2 e pela Convenção da OIT (Organização Internacional do Trabalho) 174,
1
para tratar de acidentes não químicos, utilizando as melhores práticas implementadas

pela União Europeia e, em todo mundo, para evitar acidentes ampliados, com as
devidas adaptações.
Avaliar o potencial de acidentes se tornarem acidentes catastróficos, com muitas

implicações, está nas boas práticas da gestão de riscos e controles e é foco da gestão
da continuidade dos negócios.
Invariavelmente esses acidentes podem causar emergências que tendem a perdurar,

gerar crises e vários desdobramentos indesejáveis.
2_ Do ponto de vista cronológico, as primeiras normas sobre prevenção, preparo e resposta a acidentes
industriais com efeitos transfronteiriços foram adotadas, no nívelregional da Comunidade Européia, pela
Diretiva no 82/501, de 24-6-1982, denominadaDiretiva Seveso, editada em 1982” (SOARES, 2001, p. 295).
Em linhas gerais, a Diretiva estabelecia uma lista de substâncias químicas e deprodutos que deveriam estar
sob controle direto das autoridades, medidas de segurança,planos de urgência para os países, além de
determinar aos Estados-membros a adoçãode medidas necessárias para que todo empresário que exercesse as
atividadesconstantes de seu anexo estivesse em condições de provar à autoridade competente quehavia feito a
avaliação dos riscos de acidentes maiores, tomado as medidas de segurançaapropriadas, bem como equipado
e treinado o pessoal que trabalhava no local onde aatividade era desenvolvida.
Fonte: http://www3.sp.senac.br/hotsites/blogs/InterfacEHS/wp-content/uploads/2013/07/2006-v2-inter-2.pdf
4 de outubro de 2022 11:34

59
2.3 Instalação de Situação de Emergência: Crises Operacionais,
Financeiras, de Imagem/Reputação
As emergências precisam ser declaradas, ou seja, alguém com alçada suficiente

precisa declarar um estado de emergência.
Quando não há preparação para tal, por exemplo, quando acontece um acidente ou
uma descontinuidade, os fatos e as ocorrências acabam falando por si, o que faz com
as organizações sejam reféns dos acontecimentos, não exercendo domínio sobre eles.
Há inúmeros exemplos de situações de emergência em que os proprietários de

empreendimentos, ou os responsáveis por processos, limitaram-se a dizer que iriam
apurar as causas das ocorrências e aguardar os próximos dias para decidir o que
fazer, demonstrando que há fortes indícios de que não havia planejamento para as
situações adversas, gestão de riscos, planos de emergência, de contingência, além
de recursos disponíveis para o enfrentamento.
Na área pública, sobretudo quando ocorrem catástrofes de origem natural (cada vez
mais comuns, por conta das mudanças climáticas), temos notícia da decretação de
estados de emergência e de calamidade, que são gatilhos previstos no ordenamento
jurídico para que se possa ativar os mecanismos de resposta, inclusive a transferência
de recursos excepcionais.
Sumarizando, estabelece-se uma situação jurídica especial para execução das ações
de socorro e assistência humanitária à população atingida, restabelecimento de
serviços essenciais e recuperação de áreas atingidas por desastre.
Para tanto, a legislação prevê normas que estabelecem ações mais céleres por
parte dos entes públicos em razão de situações anormais, a partir da decretação de
emergência ou de estado de calamidade em caso de desastres.
Mesmo assim, nessas situações excepcionais, prevê-se que deve haver

acompanhamento pelos órgãos de controle interno, das ações e do período de
execução, a fim de se evitarem desvios e abusos durante o período de vigência da
emergência ou do estado de calamidade.

60
Catástrofe de Mariana.
Fonte: Agência Senado (2022)
E quanto às organizações? Bem, o enfoque é diferente, mas da mesma forma

as emergências não podem surpreender, pois já deveria existir previsibilidade
em relação a elas e toda a preparação necessária, inclusive para fazer frente à
possibilidade de crises decorrentes.
Os acidentes ocorridos recentemente com o desabamento de barragens mostraram

inúmeras falhas e o quão despreparadas estavam as organizações para as
emergências que se instalaram. Infelizmente, é o que se vê quando há grandes
desastres, ratificando que as causas são quase sempre as mesmas, por ausência de
gestão de riscos e controles efetivos.
As emergências, portanto, são instaladas quando ocorre um acidente grave e já não

há mais o que fazer além de iniciar o processo de resposta. As crises podem vir
de fora para dentro das organizações ou em decorrência de eventos internos, não
geridos e controlados.
As crises que vêm de fora para dentro, como as trazidas por catástrofes naturais
ou em decorrência de situações nos ambientes político, econômico e até sanitário
(como as epidemias e pandemias), são tratadas nas alçadas estratégicas, onde
as respostas são construídas com intuito de aumentar a resiliência interna das
organizações e encontrar saídas que permitam que os processos de negócio
continuem funcionando. Em geral, como não se consegue controlar as fontes e
causas dos riscos, resta estar preparado para as consequências.

61
Pesquisas realizadas pelas maiores empresas de consultoria do mundo com a
alta administração de organizações públicas e privadas mostram que, na prática,
poucas delas declaram estar preparadas para as emergências que decorram das
suas próprias atividades e que venham a ultrapassar as fronteiras dos seus muros,
acarretando crises que possam afetar suas operações, finanças, imagem e reputação.
Crises operacionais
Crises operacionais podem fazer com que o fluxo de entrega de produtos e
serviços seja abalado e até paralisado, comprometendo os compromissos,
podendo colocar em risco a continuidade dos negócios e o fluxo de caixa.
Crises financeiras
Crises financeiras, muitas vezes causadas por má gestão ou até fraudes,
podem ter inúmeras consequências, inclusive necessidade de recuperação
judicial e, na pior das hipóteses, falência. Mas talvez nada seja pior do que
as crises de imagem e reputação, pois com elas vêm a perda de confiança de
clientes e usuários, reclamações, exposição em mídia etc.
A indústria automotiva, por exemplo, quando anuncia recall na sua linha de veículos,
sabe que isso acarretará custos das peças e serviços, de divulgação, para que todos
os proprietários saibam que devem levar seus veículos às concessionárias para
serviço, além de custos ocultos de perda de valor, principalmente quando essas
chamadas são recorrentes.
Recall.

62
Portanto, as crises devem ser evitadas para que os processos de negócio possam
seguir o seu rumo, e a maneira de fazê-lo é preveni-las, por meio da gestão de riscos
e controles e, quando elas se instalam, estar preparado para agir, o que se faz com
o planejamento e a gestão de crises.
2.4 Aspectos Fundamentais na Gestão de Crises: NFPA 1.600 e PAS 200:2011
Neste século, foram publicadas algumas referências em relação à gestão de crises e

a continuidade de negócios, dentre elas as mais importantes são a norma americana
NFPA 1.600:200 e o guia do Reino Unido BS PAS 200:2011.
Esses trabalhos deram origem ou influenciaram a publicação de normas pela ISO

(International Association for Standartization), que são adotadas em todo o mundo.
NFPA 1.600:2000
NFPA – National Fire Protection Association é uma organização americana que, desde
1896, se dedica à informação e conhecimento através de mais de 300 códigos e
padrões de consenso, pesquisa, treinamento, educação, divulgação e advocacia.
O NFPA possui parcerias com outras pessoas que compartilham o interesse em
promover a sua missão, que é ajudar a salvar vidas e reduzir perdas por meio de
informação, conhecimento e comprometimento.
A Norma NFPA 1.600:2000 apresenta um conjunto de critérios para administrar

desastres e emergências, bem como programas de continuidade dos negócios,
que podem ser utilizados por grandes e pequenas organizações a fim de prevenir
desastres, atenuar as suas consequências, prestar assistência e recuperar-se.
A norma não é um manual, com instruções mostrando a melhor maneira de criar

um programa completo. O NFPA lembra que, em vez disso, esboça componentes
importantes de um plano abrangente, para que as empresas desenvolvam um
programa capaz de refletir suas necessidades específicas.
Não deixe de ler o material recomendado disponível aqui e veja

com detalhes os elementos da NFPA 1.600. Siga firme!

63
BS PAS 200:2011
Em 2011, o British Standard Institute publicou um guia denominado PAS 200 - Crisis
Management. Guidance and good practice (Gestão de Crises e boas práticas), uma
iniciativa importante para tratar de um assunto complexo, que é a necessidade de
preparação para a gestão de crises.
Segundo o guia, a crise é definida como "uma situação inerentemente anormal,

instável e complexa que representa uma ameaça para os objetivos estratégicos,
reputação ou a existência de uma organização.", algo que afeta o cerne, o core
business da organização e nunca deve ser admitido como leve.
Essas características levam a gestão de crises como algo a ser tratado no nível
estratégico da organização, sendo complementado por outros planos já conhecidos,
como os planos de emergência, de contingência, de incidentes, continuidade de
negócios e comunicação de crises. cada qual atuando de forma coordenada nos
diversos níveis organizacionais (operacional, tático e estratégico).
As crises podem ser súbitas ou latentes, ou seja, se instalam imediatamente ou de
forma lenta e gradual.
Outro ponto interessante e até disruptivo que o guia comenta é que manuais não são
úteis à gestão de crises, porque eles servem para auxiliar nas tomadas de decisão e
para orientar a gestão de incidentes, acidentes, respostas e até a preparação para
emergências, mas, na gestão de crises, há forte influência das lideranças, as quais
devem estar capacitadas e empoderadas para decidir nos momentos em que se faz
necessário.
Ainda segundo o guia, os manuais de gestão de crises devem focar mais na

importância do fluxo e na qualidade das informações, ao invés de focar em
soluções predefinidas. A capacidade de tomar decisões nas horas quentes e sob
pressão, quebrar paradigmas e enxergar dentro de todo esse ambiente as novas
oportunidades é uma habilidade essencial aos gestores de crise.
2.5 O que é a Decretação de Crise?
A decretação de crise ou de estado de crise não é comum nas organizações. Na

maioria das vezes, a crise se instala sem que as pessoas identifiquem sua existência,
a não ser que já exista um comitê de crise em funcionamento.
Quase sempre, surge um clima de desinformação, insegurança e confusão dentro

das organizações, porque as pessoas não conseguem entender os desdobramentos,
a gravidade e os impactos criados no cenário pré-crise.

64
Crise?
O comitê de crise é essencial para centralizar, coordenar e direcionar as ações das

organizações no sentido de garantir a continuidade dos negócios, definindo com
antecedência as medidas e atuando de forma permanente, inclusive avaliando
periodicamente os cenários externos e internos que podem vir a desencadear uma crise.
Os gestores do comitê de crise devem ter orientação da área de compliance, pois não
basta seguir as leis e regulamentos em momentos de crise, é preciso agir sempre
com ética na tomada de decisões, por mais conflitantes que sejam.
Veja na imagem a seguir as principais responsabilidades dos comitês de crise:
Comitê de crises.

65
1 Verificar quais são as informações mais relevantes, filtrar os dados realmente
importantes, descartar versões infundadas e ouvir os responsáveis diretos sobre
a ocorrência, se houver;
2 Entender qual é o problema, sua dimensão e os desdobramentos que podem

ser gerados;
3 Implementar um plano de resposta e contingência, como extensão das

necessidades de um plano de continuidade dos negócios com o objetivo de
manter, dentro do possível, as principais atividades do negócio funcionando,
salvaguardando a vida e saúde dos colaboradores e atendendo aos pedidos dos
clientes e honrando seus compromissos;
4 Zelar pela manutenção da rotina de trabalho da empresa, mantendo a

normalidade das operações não afetadas pelo problema;
5 Definir o conteúdo e os argumentos que vão embasar o posicionamento da empresa

e elaborar mensagens-chaves tanto para o público interno quanto para o externo;
6 Centralizar, se for aplicável, a comunicação em um único porta-voz como

forma de diminuir a ocorrência de informações desencontradas ou confusas;
7 Garantir um processo de informação seguro e transparente, tanto para o

público interno quanto para o externo, mostrando que a empresa está atenta
aos acontecimentos e tomando as ações adequadas para resolver ou minimizar
a situação o mais breve possível e com menor impacto para todos.
Mesmo que a organização tenha desenvolvido um planejamento

detalhado e completo para lidar com as crises, sempre é
fundamental ter planos de gestão de crise, contingência e
continuidade do negócio para que se possa geri-las de forma
estruturada.
Independentemente disso, quase nunca se consegue minimizar completamente os

impactos ou reduzir a exposição às consequências de uma crise, porque sempre há
custos envolvidos e cicatrizes, que, pelo menos, podem ser lições aprendidas.
É essencial que as organizações considerem a implementação de um comitê de crise

como investimento preventivo. Pense nisso!

66
2.6 Necessidade de Gestão da Continuidade
A Gestão da Continuidade dos Negócios é definida como o planejamento avançado

e a preparação de uma organização para manter os processos de negócios ou
retomar as atividades rapidamente, após um acidente grave ou desastre.
Envolve a identificação das ameaças internas e externas, além da dinâmica de

ocorrências dos eventos e das suas possíveis consequências, bem como do
planejamento das ações de resposta às emergências e crises. A sua importância
está na possibilidade de gestores identificarem, planejarem e resolverem possíveis
crises antes que elas aconteçam, criando resiliência corporativa.
Há riscos substanciais por trás da ausência de preocupação com a gestão da

continuidade de negócios e dos planos de recuperação, além dos demais planos
acessórios, como o de emergência, contingência e outros, sobretudo altos custos
para que as organizações voltem à normalidade, o que se for mal realizado (de
forma não estruturada e planejada), pode trazer outros riscos e ainda mais danos.
A gestão da continuidade de negócios mapeia, além dos riscos expostos à

continuidade dos processos de negócio, as pessoas e recursos que precisam estar
disponíveis nas emergências e crises, bem como o encadeamento progressivo e
planejado das ações de resposta, reinício e recuperação.
Muitas organizações que não estão preparadas para situações de desastres não
conseguem se recuperar de uma crise significativa. Por isso, quando ocorre alguma
ameaça, todos os negócios são paralisados totalmente e sua recuperação pode
levar anos, se ocorrer.
Exemplos de violações de dados, inatividade dos servidores, sequestros ou perda

de informações e outras crises estão se tornando recorrentes e geram altos custos,
especialmente quando não há planejamento para mitigar danos operacionais e
financeiros decorrentes, inclusive processos judiciais.
Além disso, a resposta de uma organização a uma crise pode ter enorme impacto
na forma como seu público avalia a sua imagem, podendo abalar a sua reputação,
fazendo com que perca clientes e usuários, bem como a confiança das pessoas em
seus processos de negócio.
Que bom que você chegou até aqui! Agora é hora de testar seus conhecimentos. Então,
acesse o exercício avaliativo que está disponível no ambiente virtual. Bons estudos!

67
Referências
BERNSTEIN, Peter L. Desafio aos Deuses: A Fascinante História do Risco. São Paulo:
Alta Books, 2019.
BS PAS 200. Crisis Management. Guidance And Good Practice (British Standard). UK, 2011.
CARDIA, Wesley. Crise de Imagem e Gerenciamento de Crises: os Conceitos e os

Meios Necessários Para Compreender os Elementos que Levam às Crises e Como
Administrá-las. São Paulo: Mauad X, 2015.
FORNI, João J. Gestão de Crises e Comunicação. Rio de Janeiro: Atlas, 2019.
LUECKE, Richard. Gerenciando a Crise. São Paulo: Record, 2007.
NFPA 1600. Programas de Continuidade dos Negócios e Administração de

Emergências/Desastres. National Fire Protection Association. NFPA, 2000.
ORGANIZAÇÃO INTERNACIONAL DO TRABALHO – OIT. Convenção OIT 174,

Recomendação 181: Prevenção de acidentes industriais maiores. Tradução de
Abiquim/Fundacentro. São Paulo: Fundação Jorge Duprat Figueiredo de Segurança
e Medicina do Trabalho, 2002.
REASON, James. Managing the Risks of Organizational Accidents. London:

Routledge, 1997.

68
Módulo
3 Como fazer um Plano de

Continuidade de Negócios?
Ao final deste módulo você vai compreender o porquê de as organizações
gerenciarem a continuidade de negócios segundo o que é preconizado pela norma
ABNT NBR ISO 22.301:2020, assim como a estrutura necessária para um Sistema de
Gestão da Continuidade de Negócios.
Você também entenderá como devem ser constituídos os planos de ação, como
o Plano de Continuidade de Negócios, o Plano de Ação de Emergência, o Plano de
Contingência Operacional, o Plano de Recuperação de Desastres e outros.
Unidade 1: Gestão da Continuidade de Negócios (GCN)

Ao final desta unidade você será capaz de selecionar as melhores práticas e normativos
para a gestão da continuidade de negócios.
1.1 Os Sistemas Integrados de Gestão (SIG)
As organizações possuem sistemas de gestão como forma de dar importância a aspectos

fundamentais na sua busca por excelência operacional, como os sistemas de gestão da
qualidade, do meio ambiente, da segurança e saúde ocupacional, entre outros.
Quando esses sistemas são geridos de forma isolada e não compartilhada, muitos
esforços que poderiam ser compartilhados acabam por se repetir em áreas distintas.
Outro aspecto é que o nível de maturidade entre eles acaba sendo diferente, o que
retarda o atendimento dos objetivos da organização.
A experiência das organizações mostra que a única forma de manter o equilíbrio de

todas essas estratégias é integrando os sistemas, tornando possível compartilhar
esforços no mesmo sentido, bem como complementaridades.

69
Há inúmeras vantagens para as organizações nesse sentido, como por exemplo,
evitar certos desencontros e falhas na comunicação, unificar as abordagens e
procedimentos de gestão, realizar auditorias em conjunto e até certificações.
Acompanhe com muita atenção, na imagem a seguir, as vantagens fundamentais

em integrar os sistemas de gestão.
1 3 5
2 4 6
1 Desburocratizar o gerenciamento – o acesso a informações relevantes de

forma muito mais rápida e prática, assim como a tomada de decisões. Redução da
quantidade de pessoas e da hierarquia dedicada as funções de gestão, priorizando
recursos para as áreas operacionais. É possível criar um orçamento único, com
todos os eventos de aplicação dos recursos bem definidos no tempo, além de
monitoramento e controle unificado. Há fortalecimento da visão estratégia e
maturidade de gestão, com vantagens competitivas claras.
2 Incorporar a gestão de riscos e controles à tomada de decisões, além

da continuidade de processos de negócios – integrar os sistemas de gestão
de riscos e de continuidade dos processos de negócios, incorporando a visão de
tomada de decisões baseadas em risco aos demais sistemas de gestão, ampliando
a oportunidade de preservação da disponibilidade e confiabilidade dos processos
de negócios, assim como eliminar ou reduzir custos e a possibilidade de perdas.
3 Melhoria da produtividade – os aspectos relacionados a qualidade passam a

ter suporte dos demais sistemas de gestão, incorporando a visão de que produzir
produtos e serviços de forma não alinhada com as preocupações com a segurança,
saúde ocupacional, riscos, meio ambiente e sustentabilidade podem trazer custos
adicionais e prejuízos, o que também facilita a adoção de estratégias ASG (ou ESG)
– Ambiental, Social e de Governança, que são os novos requisitos para atração de
investimentos e preservação da imagem/reputação das organizações.de negócios,
assim como eliminar ou reduzir custos e a possibilidade de perdas.

70
4 Redução dos danos ao meio ambiente - em relação a gestão do meio ambiente,
a integração dos sistemas de gestão, amplia a visão sobre a necessidade de abordar
os temas ambientais e de reduzir sensivelmente os impactos causados ao meio
ambiente, com a adoção de estratégias de sustentabilidade.
5 Redução dos acidentes de trabalho - proporcionar um ambiente mais seguro e

amigável, melhorando as condições de trabalho e a saúde do trabalhador, tendo por
consequência a redução dos incidentes e acidentes, além de buscar compromisso e
motivação, essenciais para o engajamento com os objetivos estratégicos.
6 Melhorar a comunicação - é muito comum quando determinados setores

trabalham de forma isolada que um não saiba exatamente como o outro atua. O grande
problema disso é quando os dois precisam se relacionar, o que em dadas circunstâncias
pode ser bastante confuso. Assim, com um sistema integrado, as chances de melhorar a
comunicação entre as diversas equipes e frentes de trabalho são muitas, possibilitando
que todos tenham acesso ao conhecimento e as experiências.
Há inúmeras outras vantagens em integrar os sistemas de gestão, como por exemplo:
• redução do tempo com atividades de educação (treinamentos

integrados);
• melhoria na gestão de processos;
• análises críticas, pela direção, mais eficazes;
• redução e controle de custos ambientais;
• utilização mais eficaz de recursos internos e infraestrutura;
• redução de custos de manutenção do sistema;
• menor tempo total de paralisação das atividades durante a realização

das auditorias;
• alinhamento dos objetivos, processos e recursos para diferentes

áreas funcionais (segurança, qualidade e ambiental);
• redução do nível de complexidade dos sistemas;

71
• maior controle dos riscos com acidentes;
• comprometimento da direção;
• redução da quantidade de documentos;
• melhoria da comunicação com as partes interessadas;
• simplificação das exigências normativas dos sistemas de gestão;
• possibilidade da realização de uma implementação progressiva e

modular dos sistemas;
• eliminação de esforços duplicados e redundâncias;
• aumento da eficácia e melhoria da eficiência dos sistemas;
• redução dos custos com auditorias internas e de certificação;
• satisfação dos critérios de investidores;
• controle preventivo dos processos.
As normas ISO para sistemas de gestão têm por característica compartilhar a mesma
base metodológica, tornando possível serem geridas por meio de um único sistema
integrado, conforme você vê a seguir:
• ABNT NBR ISO 9001 (Sistemas de gestão da qualidade);
• ABNT NBR ISO 14001 (Sistemas de gestão ambiental);
• ABNT NBR ISO/IEC 27001 (Sistemas de gestão de segurança da informação);
• ABNT NBR ISO/IEC 20000-2 (Gestão de Serviços de TI);
• ABNT ISO 22301:2020 – Segurança e Resiliência – Sistema de gestão de

continuidade de negócios – Requisitos;
• ABNT NBR ISO 28000 (Especificação para sistemas de gestão de segurança

para a cadeia logística);
• ABNT NBR ISO 45.001 (Sistema de Gestão de Segurança e Saúde

Ocupacional).

72
Suportando assim, a implementação consistente e integrada e a operação com
sistemas de gestão relacionados e complementares entre si.
As normas ISO 31.000 (Gestão de Riscos) e a ISO 26.000 (Responsabilidade Social

Empresarial) não são certificáveis, mas podem ser geridas em conjunto com os
demais sistemas de gestão.
A ISO 26000 inclui inúmeras medidas relacionadas ao envolvimento das partes

interessadas, abrangendo sete temas principais:
1 Governança Organizacional;
2 Direitos Humanos;
3 Práticas Laborais;
4 Ambiente;
5 Práticas Operacionais Justas;
6 Temas de Consumo e Envolvimento e Desenvolvimento da Comunidade.
As suas vantagens são:
• melhoria na gestão de riscos e crises;
• melhoria na imagem da empresa diante da sociedade, clientes e

fornecedores;
• aumento de credibilidade;
• transparência.
A ISO 26000 tem como princípios direcionadores: responsabilidade, transparência,

comportamento ético, consideração pelas partes interessadas, legalidade, respeito
às normas internacionais e à preservação dos direitos humanos.
1.2 Inserção da GCN nos Sistemas de Gestão de Riscos e Controles
A relação entre gestão de riscos e gestão de continuidade de negócios é direta e

complementar. Na prática, para poder tratar da Gestão da Continuidade de Negócios,
o primeiro grande passo é existir um Programa ou um Sistema de Gestão de Riscos
e Controles ativo.
Em algumas organizações, a simbiose entre os temas é absoluta, estando tudo em

um mesmo guarda-chuva, o que motiva que a política de gestão seja integrada e,

73
também, o programa de gestão que pode ser denominado Programa de Gestão de
Riscos, Controles e Continuidade de Negócios (ou dos Processos de Negócios).
Relação entre Riscos e a Continuidade de negócios.

Como a norma internacional para gestão de riscos (ISO 31.000:2018) não é certificável,
ao incluir no mesmo programa os dois temas, aproveita-se a certificação que é
possível na norma ISO 22301:2020 – Segurança e resiliência – Sistema de gestão de
continuidade de negócios – Requisitos, em conjunto com as demais normas ISO que
tratam de Sistemas de Gestão Integrado.
A ABNT NBR ISO 31000:2018 descreve que a gestão da continuidade de negócios é

uma função complementar à gestão de riscos, com o objetivo de compreender todo
e qualquer risco específico à operação e suas consequências, evitando a interrupção
do contrato de entrega de serviços e produtos.
1.3 Padrões e Boas Práticas de Gestão da Continuidade de Negócios

(GCN)
Há um consenso internacional sobre boas práticas em gestão que se aplicam a todos

os sistemas e, obviamente, aos sistemas de gestão integrados.

74
A primeira boa prática, que é preconizada pelas normas
internacionais, é que todo sistema de gestão ou programa
deve ser precedido da construção e publicação de uma política
de gestão que marque um ponto de inflexão em relação à
intenção de fazer e do compromisso da alta direção em envidar
esforços nesse sentido, além dos objetivos, as referências, a
governança responsável com as suas atribuições, os meios para
desenvolvimento, os resultados esperados, os controles e as
dinâmicas de registro, comunicação e revisões.
A segunda boa prática é a adoção de mecanismos de gestão que garantam a contínua

interação entre o sistema de gestão e a ação efetiva, o que se faz por meio da
construção de planos de gestão, como o Plano de Continuidade de Negócios, Plano
de Ação de Emergência, Plano de Recuperação de Desastres, Plano de Contingência
e outros, que devem ser operacionalizados em todos os seus aspectos.
De forma geral, há uma série de diretivas que contribuem para as boas práticas:
Liderança e comprometimento da alta administração com respeito à gestão de

riscos e à continuidade de negócios, assegurando que a política e os objetivos
comuns sejam estabelecidos e compatíveis com o direcionamento estratégico
da organização.
Estabelecer a política de continuidade de negócios para atender às

necessidades de preservação das suas operações, imagem e reputação.
Construir procedimentos documentados para responder a incidentes

e acidentes de interrupção, além de como continuar ou recuperar suas
atividades dentro de um prazo a ser predefinido.
Implantar e testar os procedimentos de continuidade de negócios para garantir

que sejam compatíveis com seus objetivos de continuidade, determinando o
que precisa ser monitorado e medido.
Especificar os métodos para monitoramento, medição, análise e avaliação,

conforme o caso, para assegurar resultados válidos.

75
Determinar quando o monitoramento e a medição devem ser realizados e
quando seus resultados devem ser analisados e avaliados.
Avaliar continuamente o desempenho e a eficácia do sistema.
Realizar análise crítica pós-incidente/acidente e registrar os resultados quando

cause interrupção e resulte na ativação dos procedimentos de continuidade
dos negócios.
Avaliar os procedimentos de continuidade dos negócios para garantir que

reflitam as mais recentes atualizações das normas aplicáveis.
1.4 Normas Internacionais para a Continuidade de Negócios: ABNT

NBR ISO 22.301/2020
A Norma NBR ISO 22.301/2020 adota, como várias outras normas da ISO
(International Organization for Standartization), o modelo do PDCA (Plan-Do-Check-Act)
para planejar, estabelecer, implementar, operar, monitorar, analisar criticamente,
manter e melhorar continuamente a eficácia do SGCN de uma organização.
Ciclo PDCA.
Elaboração: Ceped/UFSC (2022). Adaptado do autor.

76
O modelo PDCA é utilizado há muitos anos, em muitas aplicações, incentivando a
busca pela melhoria contínua dos processos.
As pessoas sofrem, de modo geral, consequências negativas em sua

PLAN saúde, falta de tempo para apoiar os membros da família e prestar-
(estabelecer) lhes assistência, evitam ou adiam ter filhos e eventualmente deixam de
participar ativamente de atividades cívicas e comunitárias.
DO
Implementar e operar a política de continuidade de negócios, controles,
(implementar
processos e procedimentos.
e operar)
ACT Monitorar e analisar criticamente o desempenho em relação aos objetivos

(monitorar e e à política de continuidade de negócios, reportar os resultados à direção
acompanhar) para análise crítica e deﬁnir e autorizar ações de melhorias e correções.
CHECK Manter e melhorar o SGCN, tomando ações corretivas e preventivas,

(manter e baseadas nos resultados da análise crítica pela direção e reavaliando o
melhorar) escopo do SGCN e as políticas e objetivos de continuidade de negócios.
A norma NBR ISO 22.301/2020 traz em seu glossário algumas definições importantes
em relação à continuidade de negócios. Dentre elas, destaca-se:
• Continuidade de Negócios – capacidade da organização de continuar

a entrega de produtos ou serviços em um nível aceitável, previamente
definido, após incidentes de interrupção
• Gestão de Continuidade de Negócios – processo abrangente de

gestão de negócios, que identifica ameaças potenciais para uma
organização e os possíveis impactos nas operações de negócio caso
se concretizem. Esse processo fornece uma estrutura para que
se desenvolva uma resiliência organizacional capaz de responder
eficazmente e salvaguardar os interesses das partes interessadas,
a reputação e a marca da organização e suas atividades de valor
agregado.
• Sistema de Gestão de Continuidade de Negócios SGCN – parte

do sistema global de gestão que estabelece, implementa, opera,
monitora, analisa criticamente, mantém e cuida da melhoria da
continuidade de negócios.

77
• Plano de Continuidade de Negócios PCN – procedimentos
documentados que orientam as organizações a responder, recuperar,
retomar e restaurar os negócios, após a interrupção, para um nível
definido de operação.
A norma está estruturada em seu corpo principal da seguinte forma:
Estrutura da Norma ABNT NBR ISO 22.301:2020.

Fonte: Adaptado pelo autor a partir da NBR ISO 22.301/2020.
A gestão de continuidade de negócios envolve:
• identificar os produtos e serviços da organização e as atividades que

entregam;

78
• analisar os impactos de não retomar as atividades e os recursos dos
quais dependem;
• compreender o risco de interrupção;
• determinar prioridades, prazos, capacidades e estratégias para

retomar a entrega de produtos e serviços;
• ter soluções e planos para retomar as atividades dentro dos prazos

requeridos após uma interrupção;
• garantir que esses arranjos sejam analisados criticamente e atualizados

de forma regular, para que sejam eficazes em todas as circunstâncias;
• criar planos de ação específicos que possam ser operacionalizados.
A abordagem da organização em relação à gestão da continuidade de negócios

deve produzir informações documentadas e rastreáveis, que sejam apropriadas
ao seu contexto (por exemplo, ambiente operacional, complexidade, necessidades,
recursos etc.).
A norma preconiza, ainda, ser fundamental que a organização que pretende

implantar um SGCN esteja apta a produzir uma lista de documentos de suporte.
Veja a lista a seguir.
• política de continuidade de negócios;
• objetivos da continuidade de negócios;
• escopo do SGCN;
• lista de requisitos legais, regulatórios e outros;
• comprovação de capacitação de lideranças e colaboradores;
• registros de comunicação com as partes interessadas;
• relatórios de risk assessment (avaliação de riscos, incluindo tratamento

de riscos e controles;
• análise de impacto nos negócios;
• estrutura de resposta a incidentes;
• planos de continuidade de negócios;
• procedimentos de recuperação;

79
• relatórios de resultados de ações preventivas, monitoramento e
medições de performance para análise crítica superior;
• relatórios de auditoria interna;
• resultados de revisão de gestão;
• resultados de ações corretivas.
1.5 A importância da Política de Continuidade de Negócios
A Política de Continuidade de Negócios deve formalizar o processo de definição do

Sistema de Gestão de Continuidade de Negócios adotado pela organização, sendo
um marco importante, iniciador do processo, que dá origem às ações.
Além de publicada, deve ser explicada às partes interessadas, com especial atenção
aos gestores e colaboradores, que serão os responsáveis pela operacionalização
do sistema, deixando claro que há mandato e compromisso da alta direção em
implantar, manter em funcionamento e controlar essa política.
A política deve ser estruturada para informar tudo o que for relevante para o plano
de desenvolvimento do SGCN, como, por exemplo, onde for aplicável:
• objetivos;
• abrangência;
• princípios;
• diretrizes;
• escopo;
• processos do SGCN:
- Análise de Impacto nos Negócios (BIA – Business Impact Analysis)

- Análise de Sustentabilidade de Ativos
- Avaliação de Fornecedores
- Avaliação de Requisitos Legais e Regulamentares
- Planos de Continuidade dos Negócios (Plano de Gestão de Crises, Plano
de Ação de Emergência, Plano de Contingência, Plano de Recuperação de
Desastre (DRP – Disaster Recovery Plan)

80
• realização de testes e exercícios;
• gestão de consequências;
• registro e documentação;
• comunicação às partes interessadas;
• governança, papéis e responsabilidades;
• glossário de termos;
• disposições gerais.
Na prática, uma política de continuidade de negócios visa orientar sobre o que é

necessário para manter uma organização funcionando, tanto no dia a dia quanto
nos momentos de emergência, apresentando a composição do sistema e seus
planos integrados, que poderão ser mobilizados para garantir que as situações que
possam dar origem à descontinuidade dos processos de negócios sejam mapeadas
e, para cada uma delas, exista uma resposta.
Quando a política é bem definida, disseminada e cumprida, ou seja, as ações

projetadas e os planos funcionais, a organização ganha resiliência e pode definir
expectativas realistas para processos de continuidade de negócios e recuperação
perante desastres.
A política também pode ser usada para determinar o que deu errado, em ambiente
de análise crítica, o que se faz em ambiente de testes e simulações, para que os
desvios possam ser resolvidos.
Em última análise, uma política de continuidade de negócios é criada e aplicada a

critério da organização, de acordo com seus requisitos operacionais.
1.6 Princípios e Diretivas para a implantação de um Sistema de

Gestão de Continuidade de Negócios (SGCN)
Um SGCN, quando implantado, reforça a importância de:
• entender as necessidades da organização e a imprescindibilidade

de estabelecimento de uma política e objetivos para a gestão de
continuidade de negócios;

81
• implementar e operar controles e medidas para a gestão da capacidade
geral da organização para gerenciar incidentes de interrupção;
• monitorar e analisar criticamente o desempenho e a eficácia do SGCN;
• melhorar continuamente com base na medição objetiva.
O SGCN, assim como outros sistemas de gestão, possui os seguintes componentes-chave:
• uma política;
• pessoas com responsabilidades definidas;
• processos de gestão relativos à: política, planejamento, implementação

e operação, avaliação de desempenho; análise crítica pela direção
e melhorias; documentação fornecendo evidências auditáveis;
e quaisquer processos de gestão da continuidade de negócios
pertinentes à organização.
A continuidade de negócios contribui para que se tenha organizações mais resilientes

e, à medida que se tornam mais robustas, têm maior probabilidade de cumprir suas
missões, tornando, também, a sociedade mais resiliente.
Quando uma organização perde a sua capacidade de gerar valor, a sociedade perde
acesso aos produtos e serviços que ela produzia, fica comprometida a geração de
empregos diretos e indiretos, a arrecadação de impostos e a geração de divisas.
Por isso, faz sentido pensar que as organizações que sofrem incidentes ou acidentes
que gerem interrupção de processos de negócios, se tiverem uma boa coordenação
com as partes interessadas da sociedade, poderão contar com ela e envolvê-la no
processo de recuperação, assim como outras organizações, em função do impacto
no ambiente organizacional, social e ambiental.
A ISO 22.301:2020 não tem a intenção de impor um modelo inflexível da estrutura

de um Sistema de Gestão de Continuidade de Negócios (SGCN), mas que cada
organização projete um sistema adequado às suas necessidades e que satisfaça os
requisitos das partes interessadas.
Essas necessidades podem ser moldadas por requisitos legais, regulatórios, de

negócios e dos clientes ou usuários, pelos seus produtos e serviços, os processos
utilizados para produzi-los, o porte e a estrutura da organização, além dos requisitos
das partes interessadas.

82
A ISO 22.301:2020 é aplicável a todas as organizações que desejam estabelecer,
implementar, manter e/ou melhorar um SGCN. Assegura conformidade com a política
de continuidade de negócios estabelecida, demonstra conformidade para outros,
busca certificação/registro de seu SGCN, por meio de um organismo de certificação
acreditado de terceira parte, ou faz uma autodeterminação e autodeclaração de
conformidade com a norma.
Também pode ser usada para avaliar a capacidade de uma organização em atender
a suas próprias necessidades e obrigações de continuidade.

83
Referências
ABNT. ABNT NBR ISO 9001:2015. Sistemas de gestão da qualidade. Associação

Brasileira de Normas Técnicas, 2015.
ABNT. NBR ISO 14001:2015. Sistemas de gestão ambiental. Associação Brasileira de

Normas Técnicas, 2015.
ABNT. NBR ISO/IEC 27001:2013. Sistemas de gestão de segurança da informação.

Associação Brasileira de Normas Técnicas, 2013.
ABNT. NBR ISO/IEC 20000-2:2021. Gestão de Serviços de TI. Associação Brasileira de

Normas Técnicas, 2021.
ABNT. ABNT NBR ISO 22301:2020. Segurança e resiliência. Sistemas de gestão de

continuidade de negócios – Requisitos. Associação Brasileira de Normas Técnicas, 2020.
ABNT. ABNT NBR ISO 22313:2020. Segurança e resiliência – Sistemas de gestão

de continuidade de negócios – Orientações para o uso da ABNT NBR ISO 22301.
ABNT. ABNT NBR ISO 22316:2020. Segurança e resiliência – Resiliência organizacional

– Princípios e atributos. Associação Brasileira de Normas Técnicas, 2020.
ABNT. ABNT ISO/TS 22317:2020. Segurança da sociedade – Sistemas de gestão de

continuidade de negócios – Diretrizes para análise de impacto nos negócios (BIA).
ABNT. ABNT NBR ISO 22320:2020. Segurança e resiliência – Gestão de emergência –

Diretrizes para gestão de incidentes. Associação Brasileira de Normas Técnicas, 2020.
ABNT. ABNT NBR ISO 22322:2020. Segurança da sociedade – Gestão de emergência

– Diretrizes para aviso público. Associação Brasileira de Normas Técnicas, 2020.
ABNT. ABNT NBR ISO 28000:2009. Especificação para sistemas de gestão de

segurança para a cadeia logística. Associação Brasileira de Normas Técnicas, 2009.
ABNT. ABNT NBR ISO 45.001:2018. Sistema de gestão de segurança e saúde do

trabalho. Associação Brasileira de Normas Técnicas, 2018.
GOZZI, M. P. Gestão da qualidade em bens e serviços. São Paulo: Person, 2015

84
Unidade 2: Planos de Continuidade de Negócios (PCN)
Ao final desta unidade você estará apto a identificar os principais aspectos relativos à
elaboração de um Plano de Continuidade de Negócio (PCN).
O Plano de Continuidade de Negócios (PCN) é o processo de gestão da capacidade de

uma organização de conseguir manter um nível de funcionamento adequado até o
retorno à situação normal, após a ocorrência de incidentes e interrupções de negócios
críticos. Neste módulo, você vai aprender a elaborar um PCN. Vamos começar?
2.1 Etapas clássicas de desenvolvimento de um Plano de Continui-

dade de Negócios (PCN).
Plano de Continuidade de Negócios (PCN)
1 É o processo de gestão da capacidade de uma organização de conseguir

manter um nível de funcionamento adequado até o retorno à situação normal,
após a ocorrência de incidentes e interrupções de negócios críticos.
2 Parte do sistema global de gestão que estabelece, implementa, opera, monitora,

analisa criticamente, mantém e cuida da melhoria da continuidade de negócios.
Como você viu, o PCN é o processo de gestão da capacidade de uma organização

de conseguir manter um nível de funcionamento adequado até o retorno à situação
normal, após a ocorrência de incidentes e interrupções de negócios críticos.
O objetivo é identificar os riscos, suas fontes, causas e efeitos, além do potencial

de interromper as atividades, mesmo que parcialmente, trazendo impactos à
continuidade dos processos de negócio, caso se concretizem, permitindo que as
organizações construam estratégias e planos para lidar com emergências e crises,
sabendo como reagir a elas, por meio de respostas imediatas e programadas, ações
para reinício, recuperação e retorno ao nível de atividades anterior.

85
PCN.
Visa, também, tornar possível o funcionamento da organização em um nível mínimo

aceitável nas emergências, resguardando os interesses das partes interessadas, sua
imagem e reputação, além das atividades de fim significativo e valor agregado.
O plano deve ser desenvolvido preventivamente, a partir de um conjunto de

estratégias e planos táticos, capazes de permitir o planejamento e a garantia dos
serviços essenciais, devidamente identificados e preservados.
Esse processo orienta e define como e quais ações devem ser executadas para
que se construa uma resiliência organizacional capaz de responder efetivamente e
salvaguardar os negócios.
O PCN envolve a identificação de todos os riscos que possam

afetar as operações da empresa, sejam eles de origem interna ou
externa, o que, a princípio, já deve ter sido realizado nas etapas
de risk assessment (avaliação de riscos) dos processos de gestão
de riscos e controles.
Além disso, deve atuar naqueles processos de negócios que tenham potencial de
gerar interrupções, como são os casos dos desastres naturais, situações sanitárias,
convulsões sociais, guerras, greves, crises financeiras e seus desdobramentos,
interrupções de fornecimento de insumos e matérias primas, além de incêndios,
explosões, vazamentos tóxicos, alagamentos e inundações, ataques cibernéticos,
apenas para elencar os mais graves, mas também eventos menores, de progressão
mais lenta, capazes de gerar crises.

86
Uma vez levantados esses riscos, o plano deve prever uma etapa para:
• determinar quais são as atividades-chave do negócio;
• entender que riscos, ao se materializarem, podem comprometer

essas atividades-chave;
• determinar como esses riscos têm potencial de afetar as operações,

gerando interrupções;
• avaliar se foram construídas estratégias de resposta aos riscos e se há

controles confiáveis, capazes de monitorar e sinalizar desvios;
• implementar salvaguardas e procedimentos para eliminar ou, pelo

menos, mitigar desvios e riscos residuais;
• estabelecer procedimentos de teste e simulação para garantir que as

respostas, controles e salvaguardas adicionais funcionem;
• revisar o processo para certificar que está atualizado;
• registrar e comunicar resultados.
Na ótica do PCN, o funcionamento de uma organização depende de entradas,

processamentos e saídas, todas representando riscos em algum grau para a
continuidade dos negócios.
Assim, além das providências acima citadas, as organizações devem realizar etapa de
Análise de Impactos nos Negócios (BIA) para entender como as emergências causadas
por interrupções podem se instalar e como será o seu desdobramento em espaços
de tempo definidos (horas, dias, semanas, meses), possibilitando compreender e
planejar que recursos serão necessários para garantir um nível mínimo de atividade
nos primeiros momentos e, paulatinamente, a recuperação, o que tem a ver com
a alocação de recursos de todos os tipos (espaços físicos, equipamentos, insumos,
sistemas, pessoas etc.).
As etapas iniciais para implantação de um Plano de Continuidade de Negócios são:
• mandato e compromisso da organização, declarando por meio de

publicação de política específica a intenção de realizar o PCN;
• apresentação dos conceitos do PCN ao corpo diretivo, principais

gestores e lideranças;

87
• elencar as vantagens e benefícios em ter um PCN operacional e
efetivo, para organização e para as partes interessadas;
• incorporação do PCN à cultura organizacional, por meio de

engajamento e compromisso;
• estabelecimento de um grupo de trabalho corporativo para

desenvolver e implantar o PCN, incluindo os planos auxiliares (PAE,
PCE, PAC, PRD, PCO etc.);
• orçar e dotar os recursos necessários;
• estabelecer indicadores, metas e controles de acompanhamento da

execução;
• aprovação e publicação do PCN.
Os planos auxiliares referidos são:
• Plano de Ação de Emergência (PAE)
• Plano de Contingência Emergencial (PCE)
• Plano de Administração de Crises e Comunicação (PAC)
• Plano de Recuperação de Desastres (PRD)
• Plano de Continuidade Operacional (PCP)
Com o plano construído e aprovado, a etapa seguinte é treinar as pessoas,

gestores e colaboradores, com abordagens que permitam que todos conheçam as
características, os detalhes e a abrangência das ações planejadas e, ainda, como elas
atuarão em emergências e crises, colaborando com as ações para resposta, reinício,
recuperação e retorno às atividades.

88
Dinâmica das Ações de Resposta, Reinício, Recuperação e Retorno – PCN.
Fonte: Elaborado pelo autor (2022).
Já nas organizações fabris, quando há um acidente, nem sempre se percebe logo

que o movimento de negócios foi abalado, porque elas podem ainda ter produtos
em regime de entrega (logística) ou, dependendo do acidente, pode não ter
comprometido o estoque de produtos acabados, permitindo que cumpra as suas
obrigações comerciais por um espaço de tempo.
Nas organizações de serviços, isso tende a ocorrer de forma mais rápida, porque,
quando interrompidos não têm estoques, fazendo com que o movimento de
negócios seja imediatamente comprometido. Assim é, por exemplo, em relação aos
serviços de processamento de dados, aplicativos para internet, serviços bancários,
telefônicos e muitos outros.
PCN são essenciais para a TI.


89
Isso explica o porquê das áreas de tecnologia da informação (TI) considerarem os
PCN como fundamentais para o seu funcionamento, assim como os PRD – Planos de
Recuperação de Desastres, além dos demais planos acessórios ao PCN, o que também
faz com que haja uma série de ações de contingência previamente acordadas, até
com organizações congêneres.
2.2 Mapeamento inicial de prioridades e Análise de Impacto nos

Negócios (BIA)
As organizações constroem seus objetivos estratégicos pela operacionalização

de processos de negócio, compostos por tarefas, rotinas e sub-rotinas, que são
encadeadas e podem ser dependentes.
A BIA – Business Impact Analysis (Análise dos Impactos nos

Negócios) é uma ferramenta utilizada para a construção dos
Planos de Continuidade de Negócios que tem como objetivo
auxiliar na identificação e análise de processos e ou atividades
de negócios, com a missão de compreender o impacto do tempo
de inatividade, levando em consideração a priorização sobre
as atividades principais da organização, que não poderiam ser
interrompidas, e ativação dos planos de recuperação, assim
como os recursos necessários para o reinício e a recuperação.
Para realizar uma BIA é necessário definir preliminarmente:
• Pessoas-chave:
São pessoas que conhecem as operações em todos os seus detalhes, sendo
imprescindíveis para o funcionamento da atividade, por conta do seu
conhecimento e experiência.
Elas sabem quais são os hiatos, os gargalos e alternativas para resolvê-los,

podendo, com maior facilidade, auxiliar a projetar as etapas de reinício e
recuperação, estimando os recursos disponíveis, de todos os tipos, para
que se possa, após uma interrupção, dar reinício ao processo de negócio
em condições mínimas de funcionamento e, com o passar do tempo, os
recursos adicionais necessários para incrementar a recuperação, até que se
possa retornar à normalidade.

90
Essas pessoas não são únicas e podem não estar em cargos de comando
(gerentes, supervisores e líderes), mas precisam estar incluídas nos grupos
de trabalho setoriais que serão responsáveis pelo preenchimento dos
formulários da BIA, sua consolidação com as demais áreas e suas revisões.
Pessoas-chave.
• Processos-chave:
São os processos essenciais e de suporte ou apoio que são fundamentais,
que compõem as atividades as quais não podem ser interrompidas, pois,
do contrário, haveria impactos no movimento de negócios, comprometendo
a satisfação de clientes e usuários ou lhes causando prejuízos de qualquer
sorte, implicando na imagem e reputação da organização.
O levantamento de processos-chave é uma atividade coordenada, que se faz

em cascata, a partir dos níveis estratégicos e táticos, sendo esmiuçadas nas
áreas operacionais, onde serão identificadas as potencialidades de gerarem
interrupções que impactem a continuidade dos processos de negócio e o que
fazer para promover respostas às emergências, acionamento do PCN e seus
planos acessórios, visando o reinício, recuperação e retorno das atividades.

91
Processos-chave.
Vários critérios podem ser considerados para decidir os produtos e serviços da

organização que precisam ser protegidos a fim de garantir a continuidade dos
negócios. Para isso, recomenda-se considerar impactos financeiros e não financeiros.
Na prática, a BIA auxilia a:
• criar engajamento e participação;
• identificar as funções de negócios da organização, bem como os seus

processos prioritários e seus prazos críticos de operação;
• documentar as interdependências entre as funções e processos de

negócios;
• estimar a variação do impacto de uma interrupção de negócio ao longo

do tempo (financeiro, operacional, legal, de imagem, reputacional etc.)
de forma qualitativa e/ou quantitativa;
• definir as estratégias de recuperação e os recursos necessários no

tempo;
• priorizar as funções e seus processos de negócio, estabelecendo uma

sequência lógica de recuperação;
• estimar os objetivos de tempo de recuperação e ponto de recuperação

para cada processo crítico.

92
Em muitas crises, pessoas envolvidas em processos essenciais da organização
precisam decidir o que fazer e esperar que tenham sido escolhidas as alternativas
corretas, justamente por ausência de planejamento e preparação prévias.
A BIA exige um grau de detalhamento suficiente para que se possa estimar não
apenas as consequências de um incidente ou acidente, mas também o que pode
acontecer ao longo do tempo, entendendo quais são os eventos críticos com
potencial de gerar interrupções e perdas de capacidade produtiva.
Para isso, é necessário que seja nomeado um responsável pelas informações e que
haja a formação de um grupo de trabalho setorial no intuito de que as pessoas possam
contribuir com conhecimentos e experiências, sendo, também, recomendável que se
integre a esse grupo representantes dos processos à montante e jusante, para que
se possa compreender o quanto uma interrupção pode afetar os fluxos produtivos.
Trata-se, ao mesmo tempo, do levantamento e da avaliação dos desdobramentos

que podem ser provocados por incidentes e acidentes nas funções de negócios e
em seus processos críticos.
Em sequência, devem ser descritas as consequências diretas e indiretas, incluindo o

potencial de gerar interrupções, já considerando as respostas aos riscos estabelecidas
e se os controles existentes são robustos e confiáveis. Avalia-se, também, o potencial
para criar emergências, acionar o PCN e os seus planos acessórios.
A BIA auxilia a reunir todas as informações em um mesmo lugar, permitindo

entender a criticidade dos impactos e seus desdobramentos, assim como os recursos
necessários para o reinício e a recuperação dos serviços.
Que tal obter um modelo de Formulário da BIA? Acesse o exemplo

disponível aqui.
2.3 Risk Assessment e Business Impact Analysis (BIA)
A ISO 31.000 considera que os Sistemas de Gestão de Continuidade de Negócios

(SGCN) são atividades complementares à própria Gestão de Riscos.
Isso quer dizer que os esforços realizados para avaliar os riscos devem ser
complementados quando se faz a análise de impactos sob a ótica da continuidade de
negócios, ou seja, quando os eventos de risco, ao se materializarem, têm potencial
de gerar interrupções.

93
Assista a videoaula a seguir para entender melhor tudo isso.
Videoaula: Risk Assessment e Business Impact Analysis (BIA)
2.4 Estimativa de impacto nos negócios (MTPD) e Determinação de

Metas de Recuperação (RTO)
Há algumas métricas utilizadas para determinar os limites de interrupções suportados

pelas organizações e seus objetivos de reinício e recuperação, estimados a partir do
conhecimento dos eventos críticos e das suas consequências diretas e indiretas,
das proteções e barreiras existentes, inclusive robustez e confiabilidade, além dos
esforços presentes no PCN projetados para respostas a emergências.
Essas métricas se baseiam nos intervalos de tempo (segundos, minutos, horas,

dias, semanas) que fazem parte dos requisitos de continuidade de negócios de um
processo ou atividade de uma organização.
São medidas importantes para determinar a melhor forma de capacitar a

organização a fim de de gerenciar suas interrupções, e devem estar de acordo com
os seus requisitos, reduzindo os prejuízos decorrentes de perdas ou para manter
o atendimento aos requisitos de clientes ou contratos de serviço, além da própria
saúde financeira das organizações.
Ao serem estimadas, essas métricas influenciam na escolha das estratégias a serem

empreendidas, na velocidade de reinício e recuperação, na alocação de recursos,
assim como na necessidade de fontes de capital para as ações, o que é ainda mais
importante quando não previstos com antecipação razoável.
As mais utilizadas são o RPO, RTO e o MTPD, definidos como:
• RPO – Recovery Point Objective – Objetivo de Ponto de Recuperação

– Meta para a restauração de dados após um incidente ou desastre.
Ponto no tempo, no qual a informação foi restaurada quando o RTO
tiver sido executado. Tempo total retroativo do momento do desastre
até a última vez que o dado foi protegido. Exemplo: se uma instituição
tem um processo ou atividade com um RPO de 12 horas (a proteção
de dado pode ter sido feita por backup), em caso de interrupção, esse
processo ou atividade pode perder, no pior dos casos, 12 horas de
dados atualizados.

94
• RTO – Recovery Time Objective – Objetivo de Tempo de Recuperação
– Tempo alvo para retomada da entrega de produtos ou serviços após
um incidente ou acidente, ou, ainda, recuperação do desempenho de
uma atividade ou sistema/aplicação após um incidente. O objetivo
do tempo de recuperação deve ser menor que o período máximo
tolerável de interrupção. É o tempo total medido desde a declaração
do desastre ou incidente até a restauração do serviço. Exemplo: se
uma atividade ou processo crítico de uma organização possui um
RTO de seis horas, significa que a instituição consegue conviver com
a ausência dessa atividade por até seis horas, sem maiores impactos.
Significa que, após a interrupção, a atividade precisa ser retomada em
até seis horas, a fim de evitar impactos maiores para a organização.
• MTPD – Maximum Tolerable Period Downtime – Período Máximo

Tolerável de Interrupção – Duração a partir da qual a viabilidade de
uma organização será ameaçada de forma inevitável, caso a entrega
de produtos e serviços não possa ser reiniciada. Exemplo: se um
processo de negócio tem um MTPD de quatro dias, significa que a
ausência desse processo por um período superior a quatro dias é tão
inaceitável que ameaça a sobrevivência da respectiva organização.
Além disso, é preciso considerar que, se esse mesmo processo tem
um RTO de oito horas, os impactos negativos de sua ausência só
começarão a ser sentidos a partir desse período.
Agora, analise com atenção, na imagem seguinte, a representação das Métricas para
Fixação de Objetivos de Reinício e Recuperação.
Métricas para Fixação de Objetivos de Reinício e Recuperação

Fonte: Elaborado pelo autor (2022).

95
Existe, ainda, outra métrica, o MTTR – Mean Time To Repair – ou o Tempo Médio
de Reparo, que auxilia nas estimativas com algumas restrições, porque estima a
média, sendo esta a razão pela qual algumas organizações preferem estimar o
tempo máximo para reparos e, assim, trabalhar com um coeficiente de segurança.
Tomar decisões erradas pode gerar uma série de resultados desastrosos,

inclusive quando se utiliza métricas erroneamente para definir objetivos, havendo
necessidade de fazê-lo com a máxima responsabilidade, sem influência das pressões
corporativas, para que não se criem expectativas que não venham a ser cumpridas,
o que pode piorar ainda mais os cenários e vir a prejudicar a imagem e reputação
da organização.
2.5 Tipos de estratégia de resposta, reinício, recuperação e retorno

das atividades
Após a ocorrência de incidentes e acidentes que gerem interrupções às estratégias

de resposta, reinício, recuperação e retorno, as atividades devem privilegiar aquilo
que foi planejado em conformidade com o SGCN, PCN e os planos acessórios
desenvolvidos pela organização.
É importante que no desenvolvimento das ações tenha-se em mente que elas devem
ser tempestivas de modo a não permitir que sejam geradas crises para além dos
potenciais que a própria ocorrência já desencadeou, e, para isso, entram em cena os
mecanismos de gestão de crises, sobretudo um plano de comunicação muito bem
construído, a fim de que seja operado de forma orquestrada.
A sustentabilidade da organização, no que tange aos seus interesses econômicos,

dependerá da gestão das partes interessadas, e, nesse processo, a preparação
prévia, inclusive de quem poderá falar pela organização, é fundamental. Falas
desastradas, titubeantes e imprecisas, por vezes oferecendo informações restritas
e desnecessárias, para as pessoas erradas e em momentos equivocados, podem
trazer sérios impactos aos objetivos da organização, ainda mais em situações de
emergência, ou durante os ciclos de resposta e reinício.
Definir as estratégias para resposta, reinício e recuperação exige que se entenda

previamente o que fazer e como tomar as decisões corretas. Para isso, ao projetar
essas etapas, é necessário criar premissas e parâmetros para a tomada de decisão.
Já se sabe que quando ocorre um desastre – na maioria das vezes, inesperadamente

– as consequências para o seu negócio podem ser imprevisíveis. Eles podem incluir

96
perda de receita, reputação comercial prejudicada, destruição do centro de produção,
entrega de serviço interrompida e perda de credibilidade com seus clientes.
Consequências imprevisíveis do Negócio.

Para evitar o risco de colocar o negócio em perigo, é essencial se preparar com

antecedência, projetando um plano eficaz de recuperação de desastres. Um dos
principais componentes desse plano pode ser um site secundário, usado para
armazenamento de dados e recuperação rápida em caso de desastre.
Para exemplificar como as decisões em relação às estratégias a serem implementada

podem ser tomadas com base em informações estruturadas, imagine que uma
empresa quer entender se precisa ou não de um site de recuperação e qual das
possibilidades deve escolher.
Um site de recuperação de desastres é um local usado por uma organização para

restaurar sua infraestrutura de TI e suas operações críticas para os negócios quando
um centro de produção primário é afetado por um desastre natural ou causado
pelo homem.
Os sites de recuperação de desastres geralmente são criados em um local remoto,

para garantir que o desastre que afetou o site principal não afetará o site secundário
também. A criação de um site alternativo permite que uma organização continue
realizando operações e entregando serviços sem interrupção, até que o local
principal seja restaurado.
Existem três tipos de sites de backup, cujos termos são utilizados em língua inglesa:
cold site, hot site e warm site.

97
Cold Site
• É uma instalação de backup com pouco ou nenhum equipamento

de hardware instalado. Um local frio é essencialmente um espaço
de escritório com utilitários básicos, como energia, sistema de
refrigeração, ar-condicionado, equipamentos de comunicação etc.;
• É a opção mais econômica entre os três locais de recuperação de

desastres, no entanto, devido ao fato de não ter nenhum equipamento
pré-instalado, leva muito tempo para configurá-lo de forma adequada
para retomar totalmente as operações comerciais;
• Em caso de desastre, uma organização precisaria da ajuda do pessoal

de TI para migrar os servidores necessários e torná-los funcionais
para assumir a carga de trabalho do site primário.
Hot Site
• É uma instalação de backup que representa uma cópia espelhada

do centro de produção primário. É equipado com todo o hardware,
software e conectividade de rede necessários, o que permite que a
execução de backup ou replicação dos dados críticos quase em tempo
real. Dessa forma, a carga de trabalho de produção pode passar por
conversão (failover) para um site de recuperação de desastres em
alguns minutos ou horas, garantindo tempo de inatividade mínimo e
perda zero de dados;
• Espera-se que esteja sempre on-line e funcionando sem interrupções

para garantir a sincronização de dados entre os sites;
• Assim, é importante garantir que esse tipo de local de recuperação

esteja localizado longe o suficiente do centro de produção. Dessa
forma, pode reduzir a possibilidade de ser afetado pelo mesmo
desastre que o site primário;
• É a opção mais cara entre as três.
Warm Site
• É um recurso de backup que possui a conectividade de rede e o

equipamento de hardware necessário já pré-instalado. No entanto, não
pode funcionar no mesmo nível que o centro de produção, porque não
está equipado da mesma maneira. Portanto, tem menos capacidade

98
operacional do que o site primário. Além disso, a sincronização de
dados entre os sites primário e secundário é realizada diariamente ou
semanalmente, o que pode resultar em pequenas perdas de dados;
• Um site quente é perfeito para organizações que operam com dados

menos críticos e podem tolerar um curto período de inatividade. Esse
tipo de site de recuperação é a segunda opção mais cara;
• É considerado o meio termo entre os anteriores.
Portanto, há três opções com características e custos de implantação diferentes,

que podem retardar ou acelerar o reinício e a recuperação das atividades.
Mas o que pode pesar na decisão de escolher o mais adequado?
Quando as decisões são tomadas a partir de análise crítica

estratégica, elas tendem a ser bem mais fundamentadas,
sobretudo quando há premissas claras. Analise um exemplo.
Em uma organização, após levantamento e consolidação das

informações das BIAs realizadas, com todas as funções e processos
críticos mapeados e dimensionados sob a ótica de continuidade,
poderia ser estabelecida uma matriz de decisão, construída a
partir de premissas e parâmetros lógicos (de risco e viabilidade
econômica), para que as decisões sobre o tipo de solução de
recuperação pudessem estar pautadas na avaliação do RTO
(Recovery Time Objective – Objetivo de Tempo de Recuperação).
Por exemplo:
Parâmetro de Criticidade Solução de Recuperação
RTO > 30 dias Cold Site

5 dias > RTO > 29 dias Warm Site
RTO < 4 dias Hot Site
Claro que todas as decisões implicariam em investimentos a serem realizados, mas,

para viabilizar a continuidade dos processos de negócio, as melhores estratégias de
reinício e recuperação implicam em avaliar risco e retorno a partir das particularidades
e necessidades de cada caso.

99
2.6 Preparativos e Procedimentos para o Plano de Continuidade de
Negócios (PCN)
Há uma série de procedimentos necessários para estabelecer um Plano de

Continuidade de Negócios (PCN), explicados na videoaula que você vai assistir agora.
Videoaula: Preparativos e Procedimentos para

o Plano de Continuidade de Negócios (PCN)

100
Referências






GUINDANI, Alexandre. Deus é brasileiro. O guia da Gestão de Continuidade dos

Negócios. Rio de Janeiro: Editora Ciência Moderna Ltda, 2011.
MARINHO, Fernando. Guia de Plano de Continuidade de Negócio. Rio de Janeiro:

Atlas, 2018.

101
Unidade 3: Integração do Plano de Continuidade de Negócios
Ao final desta unidade você estará apto a reconhecer a importância da integração do

PCN aos planos acessórios de resposta às crises e emergências.
Você sabe que todas as organizações podem estar sujeitas a passar por crises e, por
isso, a gestão de crises tem como objetivo tentar minimizar os impactos causados
por momentos de desequilíbrio, preservando a capacidade de gerar valor, a imagem
e a reputação dessas empresas.
As crises podem acontecer em decorrência de falhas internas ou externas que

acabam não sendo controladas, estejam as fontes e as causas dos eventos críticos
sob gestão ou não, temas já discutidos anteriormente ao longo deste curso.
Na prática, muitas organizações falham ao enfrentar crises por muitos motivos.

Analise com atenção a imagem a seguir e tente descobrir quais são eles.
Motivos das crises.


102
Como você viu, dentre os motivos das crises, pode-se destacar a ausência de
governança, planejamento, sistemas de gestão (qualidade, meio ambiente, saúde e
segurança, sustentabilidade, riscos etc.) e de preocupação com a continuidade dos
processos de negócios.
Uma organização deve conhecer detalhadamente seus pontos de atenção, temas

críticos e maiores vulnerabilidades, além de definir com clareza as formas de lidar com
eles, o que se faz com um SGCN – Sistema de Gestão da Continuidade de Negócios
ativo e um PCN – Plano de Continuidade de Negócio bem estruturado, o que significa
também a construção de planos acessórios operacionais e complementares.
Todos os planos acessórios devem ser construídos dentro do mesmo formato e

estrutura lógica, a fim de que cumpram as funções para as quais foram concebidos.
Os planos devem fornecer um conjunto de diretrizes, dados e informações que

propiciem as condições necessárias para a adoção de procedimentos técnicos e
administrativos estruturados, a serem desencadeados rapidamente em emergências
e crises, para a minimização de impactos. Isso também facilita o processo de revisão
e atualização dos planos, evitando a perda de conexão entre eles.
A implantação, manutenção e integração dos planos acessórios exige que as

pessoas passem por programas de treinamento específicos, com exercícios teóricos
e práticos, testes e simulações, com objetivo de capacitá-las para atuar nas ações de
emergência, nas várias funções.
3.1 Plano de Administração de Crises e Comunicação (PCC)
O PCC – Plano de Administração de Crises e Comunicação é um dos planos acessórios

fundamentais, já que a instalação de situações de crises pode levar a organização a
conviver por muito tempo com as consequências de incidentes e acidentes ou até
mesmo a encerrar as suas atividades.
Lembrando que as condições para instalação de emergências e crises já foram

discutidas em unidades anteriores.
Quando a organização percebe a necessidade de estruturar um plano específico

para tratar do assunto, significa que ela já deve ter percorrido largos passos no
caminho da maturidade, justamente pela decisão estratégica de impor limites às
consequências de eventos críticos indesejáveis, criando proteções necessárias para
garantir a continuidade dos negócios.

103
O gerenciamento de crise é uma metodologia que tem por objetivo blindar a empresa
de todas as adversidades que podem causar impactos negativos prolongados,
atingindo não somente a estrutura financeira, como a sua imagem no mercado.
O objetivo do plano é elaborar e desenvolver um conjunto de ações para prevenir

as situações de crise e antecipar respostas aos cenários críticos, a fim de solucionar
de forma eficiente os momentos de desequilíbrio.
Na maioria das vezes, as organizações acabam enfrentando consequências

imprevisíveis por desconhecer o encadeamento possível dos impactos diretos e
indiretos, não se preparando para eventuais colapsos.
As crises podem surgir em virtude de fatores diretamente relacionados à organização

em si ou por influências externas, inclusive questões políticas, econômicas, sociais,
mercadológicas, regulatórias, naturais e sanitárias, mas, sob a ótica de gestão, o
importante é desenvolver cenários e analisá-los, entendendo o que um gatilho
iniciador pode produzir e se há situações de emergência e crises que possam
emergir deles.
A transparência nas informações também é fundamental para que a organização

transmita confiança aos seus investidores e clientes, evitando abrir margens para
especulações, por isso, qualquer plano de gestão de crise deve incorporar a questão
das comunicações internas e externas, pois são aspectos sensíveis quando se pensa
na preservação da continuidade de negócios, inclusive com potencial de gerar crises.
Comunicação interna e externa.

A comunicação tem vários objetivos e destinatários, que são as partes interessadas.

104
Comunicação para o público interno
A comunicação, quando se destina ao público interno, deve ser a mais clara

e transparente possível, destacando a situação ocorrida, o estágio atual, o
que vem pela frente, o que está sendo feito, a necessidade de envolvimento
e compromisso das pessoas, além das limitações em relação à comunicação
externa, que deverá ser direcionada a quem estiver responsável por ela
(pessoa destacada para tal ou assessoria de comunicação).
Comunicação para o público externo
Quando se destina ao público externo, a comunicação requer muitos cuidados

adicionais, porque, invariavelmente, estão envolvidos os órgãos de imprensa,
organizações públicas e representantes da sociedade. A comunicação
e o relacionamento com a imprensa, ao longo de uma crise, interferem
significativamente na percepção das demais partes interessadas em relação ao
posicionamento e resposta da organização sobre a situação. É importante que a
comunicação com esse público seja eficiente, efetiva e profissional.
Assim, antecipadamente ao desenvolvimento de qualquer iniciativa de

relacionamento com a imprensa, é importante que a organização defina a estratégia
de comunicação a ser adotada, de forma que a organização seja considerada a
principal fonte sobre o tema da crise.
Todas as informações aos órgãos de imprensa devem ser repassadas de forma

profissional, com agilidade e assertividade, por meio de comunicados e notas, que
devem ser construídas pela assessoria de comunicação ou de imprensa (se existirem)
ou porta-vozes oficiais, preparados para tal.
A construção do PCC é particular a cada organização e suas características, mas deve

ser muito bem cuidada. O PCC deve ser construído com essas premissas, ressaltando
que todos os contatos com a imprensa devem ser centralizados, com linguagem
clara, evitando detalhamentos técnicos que possam gerar dúvidas ou interpretações.
3.2 Plano de Atendimento a Emergência (PAE)
O PAE – Plano de Atendimento a Emergência ou Plano de Ação de Emergência, como

é denominado em muitas organizações, é um dos planos acessórios do PCN. O PAE
tem por objetivo fixar estratégias e procedimentos a serem implementados no

105
combate e controle de situações emergenciais que possam trazer ameaças a vidas
humanas, ao patrimônio, ao meio ambiente, à sociedade e aos processos de negócio,
contribuindo para a continuidade dos mesmos, dentro do possível, reduzindo os
impactos, dentro e fora da organização.
O plano deve definir atribuições e responsabilidades das partes e pessoas envolvidas,

prevendo todos os recursos financeiros, humanos e materiais necessários,
compatíveis com os possíveis incidentes e acidentes a serem atendidos, que gerem
ou não interrupções, mas que, de qualquer forma, definam estado de emergência,
além dos procedimentos de acionamento e rotinas de combate às emergências, de
acordo com a tipologia dos eventos críticos geradores analisados.
3.3 Plano de Contingência Emergencial (PCE)
Um PCE – Plano de Contingência Emergencial é desenvolvido para definir o que

fazer em situações urgentes, a fim de minimizar efeitos imediatos e decorrentes de
acidentes, indicando, sobretudo, quem deve tomar a decisão de contingenciamento,
em quais situações e de onde virão os recursos para fazê-lo.
Quando se pensa no ciclo de gestão da continuidade, o PCE toma importância nas

etapas de resposta e reinício das operações, já que, por definição, a contingência
deve ser uma ação imediata, preferencialmente estruturada antecipadamente, mas
limitada no tempo, servindo como auxiliar na resolução de problemas causados por
paradas súbitas e inesperadas, cortes de energia, impossibilidade de acesso, perda
ou destruição total ou parcial de equipamentos, problemas de disponibilização de
serviços etc.
As principais ações de contingenciamento podem e devem ser planejadas,

estruturando no plano as diretivas de resposta a cada uma delas.
3.4 Plano de Recuperação de Desastres (PRD) e Plano de Continuidade

Operacional (PCP)
O PRD – Plano de Recuperação de Desastres também é conhecido como DRP -

Disaster Recovery Plan. Tem por objetivo reduzir as consequências e os impactos
de um desastre ocorrido, permitindo a retomada das operações normais em um
intervalo de tempo aceitável, recuperando dados e informações afetados, sendo
por isso muito comum nos ambientes de TI.

106
O PCP – Plano de Continuidade Operacional tem por objetivo cuidar da continuidade
dos processos operacionais que possam ter sido interrompidos na ocorrência de
um evento crítico.
Para estruturar um PRD é fundamental que todos os processos que lidam com
dados estejam mapeados e as rotinas registradas e guardadas em segurança, para
que, em caso de necessidade extrema, possam ser reconstruídas. O foco, porém,
está em garantir que não haja perdas de dados e que as eventuais interrupções
sejam as menores possíveis, se acaso ocorrerem.
Estrutura do PDR.
Para o PRD, a partir do levantamento de vulnerabilidades dos processos de negócio

críticos (utilizando a BIA – Business Impact Analysis), a estimativa da eventual perda de
dados e dos tempos máximos de interrupção permitirá criar metas de recuperação
utilizando os parâmetros de RTO já apresentados, inclusive para definir que tipo de
segurança de backups deve ser implementada e avaliadas as alternativas de sites de
recuperação secundários.
O PRD pode ser considerado o principal plano de continuidade das áreas de TI para
proteger a infraestrutura e assegurar a retomada rápida das atividades em caso de
interrupções, permitindo projetar operações que sejam restauradas rapidamente,
proporcionar sistemas de backup confiáveis, garantir um nível de segurança
adequado e reduzir os riscos de atrasos e interrupção dos processos de negócio em
caso de imprevistos.
Muitas vezes o PCP é confundido com o PCN – Plano de Continuidade de Negócios,

mas tanto ele quanto o PRD são planos acessórios.

107
Para construir o PCP é necessário realizar um levantamento de vulnerabilidades dos
processos de negócio críticos (utilizando a BIA – Business Impact Analysis) a fim de
compreender as necessidades, em termos operacionais, que dependam de espaços
físicos (operacionais e administrativos), equipamentos, utilidades (energia elétrica,
água, vapor, ar comprimido etc.), insumos, pessoas, entre outros, e como fazer
para reconstruir, repor e interligar esses processos para que as atividades possam
ser reiniciadas e paulatinamente retomadas, no menor espaço de tempo, o que
também inclui as fontes de recursos (seguros, financiamentos etc.).

108
Referências








Atlas, 2018.

109
Módulo
4 Avaliando a Maturidade da Gestão

de Continuidade de Negócios
Para avaliar se um sistema de gestão produz os resultados esperados é fundamental
que se possa avaliar a sua maturidade, ou seja, o quanto ele vai se tornando robusto
e sustentável ao longo do tempo. Neste módulo você vai compreender como isso
pode ser realizado.
Unidade 1: Avaliação e Maturidade da Gestão da

Continuidade de Negócios
Ao final desta unidade você estará apto a esclarecer sobre o processo de avaliação
contínua do SGCN e do PCN, por meio de indicadores e ações integradas, visando sua
evolução e maturidade.
Com objetivo de alcançar a transformação digital, é muito importante projetar os

processos de negócio para que sejam seguros, aderentes às boas práticas de gestão,
sobretudo à gestão de riscos e controles.
Tudo isso inclui a continuidade dos negócios e caminhos estruturados que caminham
para uma constante maturidade, sendo cada vez mais facilitados na medida em que
puderem ser construídos pensando em como serão monitorados, acompanhados e
controlados, o que exige impor indicadores e metas de maturidade.
1.1 Avaliação da Maturidade do SGCN
A consultoria internacional KPMG define que há 3 estágios de maturidade em relação

aos Planos de Continuidade de Negócios nas organizações:

110
• Estágio 1
Estágio 1.
Freepik (2022).
A empresa não possui uma política de continuidade de negócios e os pré-requisitos

de governança para essa estrutura não estão implementados. Além disso, não existe
avaliação do nível de preparação para responder a uma crise que interrompa a
continuidade dos negócios e os colaboradores não são devidamente conscientizados
sobre o assunto.
• Estágio 2
O plano de continuidade de negócios existente não identifica nem direciona todos

os eventos que possam afetar a continuidade das operações. A empresa dispõe
de um processo de gerenciamento de crises, mas ele não é estruturado com todas
as respostas, nem é atualizado de maneira regular, limitando as estratégias para a
recuperação de eventos adversos.
Estágio 2.
Freepik (2022).

111
• Estágio 3
O plano de continuidade de negócios é completo e abrangente, revisado regularmente

e sempre que há alguma mudança significativa nos negócios. A aderência à política,
às normas e aos procedimentos é analisada de maneira independente e existe uma
governança estruturada para o acionamento e execução da gestão de crises.
Estágio 3.
Freepik (2022).
Uma pesquisa realizada pela consultoria KPMG, denominada "Pesquisa de

maturidade dos planos de continuidade de negócios no Brasil", realizada entre maio
e junho de 2021, por meio de uma plataforma web, contemplando 28 perguntas,
direcionadas a vários tipos de organizações, indicou que 73% das empresas
brasileiras pesquisadas não contam com um nível adequado de maturidade em
relação aos planos de continuidade de negócios, com as seguintes distribuições por
estágios apresentados na pesquisa aos respondentes:
• 40% das organizações encontram-se no estágio 1, ou seja, não

possuem sequer uma estratégia nesse sentido;
• 33% foram classificadas no estágio 2, em que esse mecanismo até

existe, mas não identifica e direciona todos os eventos que possam
afetar as operações adequadamente;
• 27% das organizações participantes da pesquisa têm, de fato, segundo

declararam, um plano de continuidade de negócios estruturado,
completo e abrangente, similar ao modelo esperado pelas boas
práticas de mercado.
Apesar dos números relacionados ao nível de maturidade, 57% dos respondentes

da pesquisa afirmaram ter consciência da importância de se estabelecer um plano
de continuidade de negócios.

112
O relatório da KPMG avaliou e classificou o nível de maturidade dos planos de
continuidade de negócios em 17 setores. As indústrias que mais se destacaram
foram as de tecnologia da informação e serviços financeiros, com 51% e 49% no
estágio 3, respectivamente. No estágio dois, aparecem os segmentos de varejo
(63%), energia, recursos naturais e saneamento (49%) e infraestrutura (44%).
Nas posições de estágio 1 de maturidade estão companhias de logística e distribuição

(88%), agronegócio (75%), biotecnologia (75%), educação (69%), bens de consumo
(67%), construção/imobiliária (62%), farmacêutica (60%), entretenimento, mídia e
editorial (60%), transporte, viagens, turismo (60%), manufatura (51%), saúde (48%) e
outros ramos de atividade (42%).
5% dos respondentes representavam empresas de economia mista ou públicas.
A pesquisa destacou, ainda, que a recuperação eficiente com o menor dano possível
é o tema mais apontado pelos executivos entre os diversos benefícios trazidos pela
implementação desse mecanismo.
Por outro lado, segundo os dados reunidos pela KPMG, a maior barreira enfrentada
pelas empresas é provocada pela ausência de cultura em gestão de riscos e crises e
a falta de clareza em relação a potenciais benefícios dessas práticas.
Nas avaliações de maturidade, além do que está acima exposto, é necessário que se
avalie o que de fato as organizações estão fazendo em relação à gestão de riscos e
controles, ou seja, se há um Sistema ou Programa de Gestão de Riscos e Controles
implantado, e se ele é operacional.
É preciso, também, avaliar se os riscos são identificados, analisados e avaliados, e quais

respostas são produzidas em termos de planos de ação para reduzir a probabilidade
de ocorrência dos eventos indesejáveis e suas consequências pela materialização
desses eventos, bem como se os controles existentes são avaliados e novos são
propostos, quando necessário, e se os níveis de exposição estão sendo reduzidos.
Ao mesmo tempo, é preciso analisar se há um Sistema de Gestão de Continuidade

de Negócios estabelecido, com todos os seus planos acessórios, se eles são
operacionais, estruturados para levantar as funções e processos críticos, se as
avaliações de impacto são realizadas e se elas se desdobram em estratégias de
reinício, recuperação e retorno e, ainda, se são destinados recursos para tal.
Também é necessário avaliar se há mandato e compromisso da alta direção, capacitação

contínua das pessoas, processos de testagem e simulações, revisão e análise crítica.

113
1.2 Indicadores de Maturidade
O TCU – Tribunal de Contas da União publicou em 2018 um documento denominado

“Roteiro de Avaliação de Maturidade da Gestão de Riscos”, com objetivo de “apoiar os
auditores do setor público – do controle externo, interno ou das auditorias internas
– a avaliar a maturidade da gestão de riscos das organizações públicas e a identificar
os aspectos que necessitam ser aperfeiçoados para melhorar a entrega de produtos
e serviços à sociedade brasileira”.
A maturidade da gestão de riscos de uma organização é avaliada por meio de um

modelo metodológico que tem como premissa determinar as capacidades existentes
em termos de liderança, políticas e estratégias, e de preparo das pessoas para a gestão
de riscos, bem como pelo emprego dessas capacidades nos processos e parcerias e
pelos resultados obtidos em relação à melhoria do desempenho da organização no
cumprimento de sua missão institucional de gerar valor para as partes interessadas,
com eficiência e eficácia, transparência e accountability (prestação de contas), além
de conformidade com as leis e regulamentos.
O modelo, utilizado nas auditorias, determina 5 níveis de maturidade, que vão do

mais básico ao mais avançado e se sugere que o documento possa ser utilizado
pelos gestores públicos como instrumento de autoavaliação, tomando eles próprios
a iniciativa de elaborar e colocar em prática os planos de ação para aperfeiçoamento
das práticas de gestão de riscos.
Qualquer modelo de avaliação de maturidade está pautado em indicadores e em

metas atribuídas a esses indicadores, que são formas de medir a performance dos
programas ou sistemas ao longo do tempo.
Assim, é recomendável que os gestores de Programas de Gestão de Riscos e

Controles, já considerando que a continuidade de negócios e o próprio Sistema de
Gestão da Continuidade de Negócios, incluindo os seus planos acessórios, possam
estabelecer indicadores de gestão e metas a serem acompanhadas, contribuindo
para sua maturidade.
Apenas para citar um exemplo, se um Plano de Ação de Emergência é um dos planos

acessórios principais do Plano de Continuidade de Negócios e se a realização de
testes é desejável, um indicador a ser implementado seria a “realização de testes” e
a meta (definida como um valor em determinado espaço de tempo), “a quantidade
de testes realizados em 12 meses”.
É importante ressaltar que, quando se passa a gerir os riscos por indicadores e metas,
se sai da subjetividade e a efetividade aumenta, mas com o cuidado de não incorrer
em exageros, sendo, para isso, relevante priorizar o que é importante e representativo.

114
1.3 Auditorias, Exercícios e Testes como formas de medir a maturidade
As auditorias, exercícios e testes são formas de medir o estágio de maturidade dos

sistemas de gestão, com fundamental importância para garantir a operabilidade
dos vários planos acessórios e para verificar se estão prontos para acionamento em
caso de necessidade.
Os exercícios são instrumentos práticos que devem ser elaborados com vistas
a treinar as pessoas em situações simuladas, mas também para analisar o nível
de conhecimento e engajamento destas, permitindo que se reforce os pontos
considerados deficientes. O mesmo ocorre em relação aos testes e simulados de
maturidade, que podem ser realizados de forma programada ou de surpresa.
As auditorias têm função de verificação e é recomendado que sejam conduzidas,

pelo menos, uma vez por ano. Os relatórios de auditoria são instrumentos poderosos
para os gestores, sobretudo para verificar hiatos e desvios.
Então, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos!

115
Referências

continuidade de negócios – Requisitos. Associação Brasileira de Normas Técnicas,
2020.



ABNT. ABNT NBR ISO 22320:2020. Segurança e resiliência – Gestão de emergência

– Diretrizes para gestão de incidentes. Associação Brasileira de Normas Técnicas,
2020.

BRASIL. Tribunal de Contas da União. Roteiro de Avaliação de Maturidade da

Gestão de Riscos. Brasília: TCU, Secretaria de Métodos e Suporte ao Controle
Externo, 2018.

KPMG. Pesquisa de maturidade dos planos de continuidade de negócios no

Brasil. KPMG, 1ª Edição, 2021. Disponível em: https://home.kpmg/br/pt/home/
insights/2022/01/estrategias-continuidade-negocios-ameacas.html. Acesso em: 10
jul. 2022.

Atlas, 2018.

116
Módulo
O Gerenciamento de Continuidade
5 de Negócios na Transformação
Digital da Adm. Pública
Neste módulo você entenderá a importância da continuidade de negócios para os
esforços de transformação digital da Administração Pública, sobretudo porque os
processos de negócio envolvidos precisam ser preservados, por prestarem serviços
para a sociedade.
Unidade 1: Boas práticas e estudo de casos

Ao final desta unidade você estará apto a diferenciar, a partir de casos reais da
Administração Pública, os conceitos de Gerenciamento de Continuidade de Negócios.
Na última década, tivemos vários relatos de vazamento de dados ao redor do

mundo, tanto de organizações públicas quanto privadas, pois os dados pessoais e
de processos se tornaram itens valiosos. Quanto mais informação manipulada pelas
organizações, mais elas são alvo de ataques externos e da pirataria tecnológica digital.
A quantidade de ataques cibernéticos cresce exponencialmente no mundo,

enquanto as ações de ampliação da segurança dos processos de negócios caminham
em paralelo, nem sempre com a mesma velocidade, o que explica a ocorrência de
casos até com gigantes digitais como o Facebook (Meta), Yahoo e Adobe, bem como
em instituições financeiras de todos os portes e instituições públicas (administração
pública e empresas públicas).

117
1.1 Boas práticas
Os esforços para a transformação digital explicam a própria elaboração deste

treinamento, disponível para todos os interessados em gerir riscos e cuidar da
continuidade dos processos de negócio.
A quantidade de normas internacionais que têm a gestão de riscos e seus

envolvimentos como tema principal ou secundário cresceu muito dos anos 2000
para cá, fruto da percepção de que as exposições cresceram em todos os níveis,
pela ocorrência com eventos que poderiam ter sido evitados por conta de fraudes,
ataques físicos e cibernéticos, rapidez da conectividade, do comércio internacional,
das comunicações e da presença digital, com oferta de serviços por organizações
públicas e privadas.
Há, pelo menos, duas áreas de interesse das estratégias de transformação

digital que precisam de atenção neste momento, pois, em qualquer processo de
mudanças, existem ameaças latentes, mas também oportunidades de fazer melhor,
produzindo resultados melhores, mais seguros e que promovam a satisfação de
clientes e usuários, que devem ser objetivos primários dos projetos, ainda mais na
área pública, pois são pilares essenciais.
As áreas referidas que precisam de vigilância devem fazer parte da gestão de projetos,
incluindo o foco na consistência dos processos de negócio e a experiência do cliente
ao utilizar as aplicações a serem desenvolvidas, a gestão de riscos e controles e, por
consequência, a gestão da continuidade, na tentativa de blindar o máximo possível a
ocorrência de eventos críticos que possam interromper a oferta de serviços e, se isso
vier a acontecer, reiniciar e recuperar as atividades no menor espaço de tempo possível.
Boas práticas.
Freepik (2022).

118
1.2 Estudos de caso
As boas práticas vêm das lições aprendidas, mas também do estudo intensivo
de cenários. A transformação digital vai conviver com riscos à continuidade, que
deverão ser enfrentados, e, para tal, é necessário compreender os exemplos de
casos ocorridos na administração pública, bem como nas empresas públicas e
privadas, para elaborar projetos de processos de negócios robustos e confiáveis.
Segue, como exemplo, uma pequena coletânea de casos ocorridos nos últimos anos
que podem ser de seu interesse para estudo.
1 “Administração pública estadual teve quase 20 mil senhas roubadas. Entre

os mais afetados aparecem o Detran-SP, que teve 1.632 credenciais roubadas; o
Poupatempo, com 972, e Secretaria de Educação de SP, com 820”. Disponível aqui.
2 “O Índice Global de Proteção de Dados, estudo realizado pela Dell Tecnologias

em parceria com a consultoria Vanson Bourne, indica que 36% das empresas
brasileiras consultadas reportaram perdas recentes de dados, nos 12 meses
anteriores ao levantamento. E 42% das companhias passaram por algum tempo
de inatividade não planejada no sistema”. Disponível aqui.
3 “TCU avalia governança das estratégias de transformação digital da

Administração Pública Federal”. Disponível aqui.
4 “PF aponta que ataque hacker atingiu ministérios e mais de 20 órgãos do

governo. Entre os atingidos, estão a Agência Nacional de Transportes Terrestres,
a Fundação de Previdência Complementar do Servidor Público da União e o
Departamento de Polícia Rodoviária Federal”. Disponível aqui.
5 “Quase 60% dos backups conduzidos pelas empresas falham, diz estudo”.
Disponível aqui.
6 “60% das empresas sofreram com violação de dados no último ano, diz estudo
da IBM. As ocorrências também cresceram no último ano, como indicaram 74%
dos participantes da pesquisa”. Disponível aqui.
7 “9 casos famosos de vazamento de dados que ocorreram nas empresas”.

Disponível aqui.
8 “Sem backup: 5 casos impressionantes de perda de dados que marcaram a

história”. Disponível aqui.

119
Estudo de Caso
A gestão da tecnologia da informação (TI), com foco na gestão de riscos e na

continuidade dos processos de negócios, pode garantir muito mais eficiência
operacional, levando ao aumento de desempenho da organização.
Porém, qualquer tipo de falha em TI, a exemplo do downtime3 em data centers4, 1 2
tem potencial de trazer instabilidade, interrupções e prejuízos às organizações, o

que é ainda mais grave quando elas prestam serviços à sociedade.
Segundo pesquisa realizada pelo Global Data Center Survey do Uptime Institute,
com 900 operadores de data centers e profissionais de TI, 31% dos entrevistados
relataram que sofreram um incidente de inatividade ou degradação severa nos
serviços em 2017.
Falhas de energia no local, de rede, erros de configuração, falhas em softwares e

aplicativos ou de sistemas são as causas primárias mais comuns do downtime em
data centers. A pesquisa indica, ainda, que quase 80% dessas interrupções poderiam
ter sido evitadas se houvesse preocupação com a continuidade e a gestão dos riscos.
As questões são: como e por que esse tipo de falha acontece? Qual a melhor definição
para downtime em data centers e como evitá-los.
De acordo com estudo do Ponemon Institute, realizado nos Estados Unidos,

publicado pela IBM em 2021, embora os eventos e a frequência da inatividade
tenham diminuído, o downtime em data centers ainda é um problema recorrente
nas organizações. Lá, cada minuto de indisponibilidade gera um prejuízo médio de
U$ 7,900.
Nesse cenário, é urgente compreender o porquê desse fenômeno acontecer, bem

como quais práticas podem ser adotadas para evitá-lo ou reduzi-lo ao máximo.
3_ Downtime em data center é uma parada não planejada, uma queda de serviço ou uma indisponibilidade.
Consequentemente, diante de qualquer interrupção, a organização acumula problemas e prejuízos, seja
pela incapacidade de continuar a prestar serviços com as aplicações indisponíveis, pela perda de negócios,
pela indisponibilidade de serviços aos consumidores ou usuários, o transtorno é certo e os objetivos são
comprometidos.
Muito além disso, o downtime também pode levar à perda de dados e até mesmo ameaçar a imagem e a
reputação das organizações, por conta de uma falha operacional ou de uma intervenção mal-intencionada
durante a indisponibilidade.
4_ Um data center é uma instalação física que as empresas usam para hospedar aplicativos e dados essenciais.

120
Nos data centers, a infraestrutura adequada em TI e os cuidados na manutenção de
todos os componentes são fundamentais para garantir a disponibilidade da rede
e, com isso, o acesso aos serviços para o usuário final. Com uma gestão correta
e competente desses recursos, as chances de uma indisponibilidade afetar as
operações das organizações podem ser bem reduzidas.
As principais causas que geram a inatividade dos data centers e as possíveis

mitigações são:
• Controle de acesso inadequado:

É preciso garantir o máximo de segurança. A instalação de câmeras e o uso
de dispositivos biométricos, como cartão e leitura de íris, ajudam a evitar
acesso de pessoas não autorizadas e incidentes por falhas humanas, sejam
elas voluntárias ou não.
• Ausência de manutenção e testes nos equipamentos redundantes:

Uma das causas mais comuns de downtime são as falhas no sistema elétrico.
O planejamento do data center precisa considerar o investimento em fontes
redundantes como geradores, pois são eles que fornecem a energia necessária
diante de qualquer problema no abastecimento pela concessionária.
Em alguns casos, a ausência dessas fontes redundantes é um problema. Já em

outros, a falta de manutenção delas é o que compromete o funcionamento
do data center. Além disso, sempre são necessários sistemas de proteção de
rede, como nobreaks e outros, para evitar sobrecargas.
Como as baterias não são substituídas e os geradores não são testados com
frequência, quando acontece o downtime, os componentes redundantes também
ficam indisponíveis. Ou seja, os recursos que deveriam manter a disponibilidade
do data center quando mais se precisa não cumprem sua função.
• Manutenção não planejada:

Solicitações de alterações em um servidor ou troca de peça de um equipamento
de rede são frequentes. Em tese e por padrão, tais procedimentos deveriam
ser feitos somente com agendamento prévio.
Porém, na prática, a formalidade do processo não costuma ser respeitada.

No calor da hora, parece que resolver o problema mesmo sem planejamento
é a melhor solução. Mas, depois, essa decisão pode levar ao downtime e
trazer consequências inesperadas.

121
• Hardware desatualizado:
É fato que, em algum momento, o hardware vai falhar. Contudo, também
é verdade que um dispositivo antigo pode comprometer a estabilidade da
aplicação crítica.
Daí a importância de elaborar um projeto de modernização e migração abrangente

para a implantação de uma nova plataforma de hardware ou software.
Ainda que o investimento na iniciativa seja alto, mensure os riscos de manter

o hardware obsoleto. Na maioria das vezes, vale mais a pena arcar com o
custo de upgrade do que com os prejuízos do downtime.
• Procedimento de tolerância a falhas não automatizados:

Empresas com operações extremamente críticas têm data centers
secundários, espelhados ou sistemas redundantes para garantir a
disponibilidade das aplicações. Desse modo, na inatividade do data center,
tais procedimentos movem o tráfego para a instalação de backup ou iniciam
os sistemas redundantes. Ou seja, o nível de serviço é mantido.
No entanto, nem sempre esses procedimentos funcionam como esperado por

conta da falta de testes regulares. Para mantê-los em pleno funcionamento,
sempre que necessário (mesmo diante de pequenas alterações na
infraestrutura), deve-se examinar os procedimentos. Só assim é possível
garantir que tudo ocorrerá bem em caso de indisponibilidade.
Claro que você já sabe que, cada vez mais, as organizações investem em tecnologia
visando aumentar a eficiência operacional e ganhar competitividade. Na era da
transformação digital, sem dúvida, essa é a melhor estratégia. Porém, é preciso
saber conduzi-la.
A utilização de um bom data center não garante disponibilidade nas situações mais
adversas. Daí, a importância de se atentar às causas de downtime elencadas e fazer
o possível para evitá-las.

122
Evidentemente, podem existir outras fontes e causas de eventos
de risco que devem ser mapeadas, mas, para isso, é necessário
investir em Programas de Gestão de Riscos e Controles e em
Sistemas de Gestão da Continuidade de Negócios, tanto para gerir
o que já existe, quanto para projetar novas soluções, pois é bem
mais inteligente entender quais podem ser os empecilhos para
garantir o cumprimento dos objetivos, gerenciando e tratando
previamente, ao invés de estar exposto ao inesperado.
Então, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos!

123
Referências
BRASIL. TRIBUNAL DE CONTAS DA UNIÃO. TCU avalia governança das estratégias

de transformação digital da Administração Pública Federal. Disponível em:
https://portal.tcu.gov.br/imprensa/noticias/tcu-avalia-governanca-das-estrategias-de-
transformacao-digital-da-administracao-publica-federal.htm. Acesso em: 20 jul. 2022.
BACKUP GARANTIDO. PORTAL. Sem backup: 5 casos impressionantes de perda de

dados que marcaram a história. Disponível em: https://backupgarantido.com.br/
blog/perda-de-dados/. Acesso em: 20 jul. 2022.
CNN BRASIL. PF aponta que ataque hacker atingiu ministérios e mais de 20 órgãos
do governo. Disponível em: https://www.cnnbrasil.com.br/nacional/pf-aponta-que-
ataque-hacker-atingiu-ministerios-e-mais-de-20-de-orgaos-do-governo/. Acesso
em: 20 jul. 2022.
ÉPOCA NEGÓCIOS. 60% das empresas sofreram com violação de dados no

último ano, diz estudo da IBM. Disponível em: https://epocanegocios.globo.com/
Tecnologia/noticia/2021/11/60-das-empresas-sofreram-com-violacao-de-dados-no-
ultimo-ano-diz-estudo-da-ibm.html. Acesso em: 20 jul. 2022.
FEBRABAN. Um terço das empresas no Brasil relata perda de dados, indica estudo.
Disponível em: https://noomis.febraban.org.br/blog/um-terco-das-empresas-no-
brasil-relata-perda-recente-de-dados-indica-estudo. Acesso em: 20 jul. 2022.
IBM. How Much does a breach cost?. [2021]. Disponível em: https://www.ibm.com/
security/data-breach. Acesso em: 20 jul. 2022.
MONITOR MERCANTIL. Administração pública estadual teve quase 20 mil senhas

roubadas. Disponível em: https://monitormercantil.com.br/administracao-publica-
estadual-teve-quase-20-mil-senhas-roubadas/. Acesso em: 20 jul. 2022.
OLHAR DIGITAL. Quase 60% dos backups conduzidos pelas empresas falham, diz
estudo. Disponível em: https://olhardigital.com.br/2021/03/25/pro/quase-60-dos-
backups-conduzidos-pelas-empresas-falham-diz-estudo/. Acesso em: 20 jul. 2022.
UP TIME INSTITUTE. 2021 Resultados da Pesquisa da indústria de data centers.

Disponível em: https://pt.uptimeinstitute.com/2021-data-center-industry-survey-
results. Acesso em: 20 jul. 2022.
VALUE HOST. 9 casos famosos de vazamento de dados que ocorreram nas

empresas. Disponível em: https://www.valuehost.com.br/blog/vazamento-de-
dados/. Acesso em: 20 jul. 2022.

124

Gerenciamento de Continuidade de Negócios Na Administração Pública

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Gerenciamento de Continuidade de Negócios Na Administração Pública

Enviado por

Direitos autorais:

Formatos disponíveis

Gerenciamento de

Governo e Transformação Digital; Inovação.

Diretoria de Desenvolvimento Profissional

Unidade 2: Impactos Diretos e Indiretos nos Processos de Transformação Digital.. 20

Unidade 3: A Continuidade de Negócios no Gerenciamento de Crises e

Módulo 2: O Processo de Gerenciamento de Emergências e Crises................. 39

Módulo 3: Como fazer um Plano de Continuidade de Negócios?...................... 69

Unidade 2: Planos de Continuidade de Negócios (PCN)..................................... 85

Unidade 3: Integração do Plano de Continuidade de Negócios...................... 102

Enap Fundação Escola Nacional de Administração Pública

Módulo 5: O Gerenciamento de Continuidade de Negócios na Transformação

Enap Fundação Escola Nacional de Administração Pública

Videoaula: Apresentação do Curso

Conforme você acabou de assistir nesta videoaula, o convidamos a se engajar nesta

Para ajudar em sua jornada de conhecimentos e na organização de seus estudos,

No segundo módulo “O Processo de Gerenciamento de Emergências e Crises”

Já no módulo 3 “Como fazer um Plano de Continuidade de Negócios?” prepare-

O módulo 4 “Avaliando a Maturidade da Gestão de Continuidade de Negócios”

No módulo 5 “O Gerenciamento de Continuidade de Negócios na Transformação

Bom curso para você!

Enap Fundação Escola Nacional de Administração Pública

1 Por que estudar Gestão de Crises

Enap Fundação Escola Nacional de Administração Pública

Há situações em que a ocorrência de eventos indesejáveis exige uma ação imediata.

Enap Fundação Escola Nacional de Administração Pública

1.1 Missão e Visão das Organizações, Objetivos Estratégicos

Os economistas dizem que as organizações existem a partir das oportunidades que

Assim, a missão de uma organização, de forma sucinta, é o porquê de ela existir.

Enap Fundação Escola Nacional de Administração Pública

Espera-se que a missão de uma organização se mantenha por um período

Quase que em ato contínuo, ao se definir a missão de uma organização, estabelece-

A visão organizacional pode ser entendida como o destino a que

Da mesma forma, não se pode esquecer que, para vivermos em sociedade,

Enap Fundação Escola Nacional de Administração Pública

Valores também são regras de conduta a serem seguidas pela organização no

Conhecendo a missão e a visão, é possível determinar o caminho norteador das

Antes disso, é fundamental que as organizações compreendam a diferença entre

Imagine que a missão de uma organização é atender à sociedade, fornecendo

Enap Fundação Escola Nacional de Administração Pública

Imagine que a missão de uma

Para que a organização possa cumprir

Isso garante que os resultados

Enap Fundação Escola Nacional de Administração Pública

Assim, os objetivos estratégicos são aquilo que se quer alcançar ao longo do

O planejamento estratégico é o registro formal e detalhado,

Algumas organizações já utilizam o mapa estratégico, uma ferramenta visual na qual

Enap Fundação Escola Nacional de Administração Pública

1.2 O que impede as organizações de atingirem seus objetivos e o

Ao traçarem seus objetivos estratégicos, as organizações esperam construir

A evolução da humanidade vem se acelerando, a partir da curiosidade de descobrir,

Enap Fundação Escola Nacional de Administração Pública

No entanto, sempre é muito difícil convencer alguém a financiar um sonho, a não

Claro que, ao longo da jornada, houve grandes desafios – principalmente, a incerteza

Enap Fundação Escola Nacional de Administração Pública

A incerteza faz pensar que sempre há a probabilidade de um evento de risco vir a

Os eventos de risco, quando se materializam, trazem consequências que podem

Enap Fundação Escola Nacional de Administração Pública

A gestão de riscos é de extrema importância não apenas para

Para que se possa estudar os riscos, é necessário compreender o ambiente em que

Além disso, a análise ambiental estuda como a maturidade da governança corporativa

Enap Fundação Escola Nacional de Administração Pública

Enap Fundação Escola Nacional de Administração Pública

ABNT (Associação Brasileira de Nomas Técnicas). ISO Guia 73 – Vocabulário