Escolar Documentos
Profissional Documentos
Cultura Documentos
Continuidade de Negócios
na Administração Pública
Conteudista/s
Sergio Ricardo de Magalhães Souza, (Conteudista, 2022).
Enap, 2022
Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
SAIS - Área 2-A - 70610-900 — Brasília, DF
Sumário
Módulo1: Por que estudar Gestão de Crises e Continuidade de Negócios?....... 7
Unidade 1: A Importância da Estratégia nas Organizações................................. 9
1.1 Missão e Visão das Organizações, Objetivos Estratégicos..................................... 9
1.2 O que impede as organizações de atingirem seus objetivos e o que as protege?..14
Referências ...................................................................................................................... 19
Alguns autores costumam dizer que uma crise surge quando os problemas que se
instauram não recebem respostas adequadas. Portanto, crises acontecem quando
eventos indesejáveis ocorrem, trazem consequências diretas e indiretas e podem
até se agravar.
A incerteza e o caos que caracterizam as crises ganham ainda mais lugar quando
não há prévia condução de planejamentos, previsão de procedimentos e ações
de respostas adequadas para lidar com seus primeiros sinais. Analise a imagem a
seguir e reflita mais sobre isso!
Crise.
Fonte: Galvão (2019).
Mas, talvez, você esteja aí do outro lado se perguntando: Por que eu preciso
estudar e aprender sobre gestão de crises? Bem, a importância de estudar os
mecanismos pelos quais as crises podem se instaurar (suas causas e seus efeitos) e
como geri-las ganha especial importância quando se percebe que, ao longo do tempo,
há inúmeras oportunidades de garantir que os processos dentro das organizações
se tornem mais robustos e resilientes, a fim de preservar a continuidade dos
negócios e atender às partes interessadas. Isso é ainda mais significativo quando se
pensa na administração pública ou em empresas públicas, que existem para prestar
serviço à sociedade.
Gestão de crises.
Fonte: Freepik (2022).
Ao término dos estudos desta unidade, espera-se que você reconheça a missão, visão
e objetivos estratégicos das organizações, assim como os fatores que as impedem de
atingir objetivos traçados.
As organizações são criadas por muitos motivos, mas talvez o principal seja atender
a alguma demanda da sociedade por produtos e/ou serviços.
Na área financeira, alguns dizem que as organizações têm por objetivo dar retorno
aos seus acionistas pelo investimento realizado. Porém, essa definição não está
totalmente correta, porque muitas organizações não têm fins lucrativos – como é o
caso, por exemplo, da administração pública, cujo foco é a prestação de serviços
para a sociedade.
Os especialistas em marketing, por sua vez, têm uma visão mais holística do assunto,
preocupando-se mais com os processos de troca, já que, segundo a AMA – American
Marketing Association (2017) a partir da visão de Philip Kotler, o mais reconhecido
autor na área, as organizações são responsáveis pelo processo por meio do qual
pessoas e grupos obtêm aquilo que necessitam e que desejam com a criação,
oferta e livre negociação de produtos e serviços de valor.
Seja como for, as organizações existem para cumprir uma determinada missão
idealizada pelos seus fundadores, podendo ser: social ou econômica (ou ambas).
Quer um exemplo? Pense nas empresas de petróleo, que, nos últimos anos,
revisaram a sua missão, realinhando e ampliando seus propósitos para a provisão
de soluções de energia com qualquer fonte, inclusive as alternativas.
Planejamento estratégico
Estratégia, segundo Henry Mintzberg (2001), autor do famoso livro “O
Safári da Estratégia”, é a forma, integrada no processo decisório, de
pensar no futuro, com base em um processo formalizado e articulador
de resultados, que advém do planejamento estratégico, ou seja, do
planejamento que incorpora a visão estratégica.
Objetivos estratégicos
Portanto, para que se possa cumprir a missão de uma organização e a sua
visão de futuro, é necessário parar para pensar quais estratégias formular
para chegar lá e, mais do que isso, quais serão os pilares dessas estratégias,
pois é preciso fixar os objetivos estratégicos a serem atingidos.
Empresa de meteorologia.
Fonte: Freepik (2022).
Não basta ter objetivos estratégicos, é preciso colocar as estratégias em prática, e isso
se faz por meio de ciclos de planejamento estratégico, que devem ser definidos ao
longo do tempo. Assim, organizações que estão em desenvolvimento mais acelerado
podem cumprir ciclos mais curtos. Já as mais estabelecidas e maduras, atuando em
mercados mais tradicionais, em ciclos mais longos.
De certa maneira, o mapa estratégico torna bem claro o modo como os planos
estratégicos serão conduzidos para transformar a visão de futuro em realidade,
cumprindo a missão estabelecida com base nos valores delineados, tudo isso de
forma estruturada. Permite, também, que as várias áreas compreendam seus
respectivos papéis e contribuições para a construção das perspectivas estratégicas.
Por exemplo, muitas décadas atrás, quando o homem decidiu ir ao espaço, tudo
aconteceu a partir de percepções que misturaram desejos (sonhos), necessidades e
oportunidades. O sonho era ir além dos limites e matar curiosidades, porque, desde
os primórdios, o céu está sobre as nossas cabeças, todas as noites. Ainda hoje, há
uma série de questões a serem respondidas sobre a nossa própria existência, e, um
dia, elas serão respondidas ou a partir da exploração do Universo ou de outro modo.
Logo após a II Guerra Mundial, a Guerra Fria criou uma corrida espacial que, dentre
outras coisas, significava a oportunidade de captar recursos para acelerar o avanço
tecnológico, fechando a tríade que justificou o investimento e o financiamento para os
programas espaciais. No caso, isso foi exatamente o que ocorreu. Os desdobramentos
que vieram dos estudos científicos daquela época produziram enormes avanços em
todas as áreas do conhecimento, permitindo que chegássemos aonde chegamos.
Avanços tecnológicos.
Fonte: Freepik (2022).
Por outro lado, os riscos1 estão sempre no futuro, mas a incerteza pode estar no
presente e significa um estado (ainda que parcial) de deficiência de informações
sobre eventos que podem vir a impedir ou permitir que alguma coisa venha a
ocorrer – denominado evento de risco.
Em geral, os objetivos estratégicos são produzidos por meio de planos que envolvem
projetos e, em última análise, pela construção ou alteração dos seus processos. Pode-
se dizer, então, que a ocorrência de riscos, ou dos eventos de riscos, pode impedir
que as organizações atinjam seus objetivos ou até mesmo sua visão de futuro.
Ocorrência de Riscos.
Elaboração: CEPED/UFSC (2022).
1_ A ISO (International Organization for Standardization) 31.000 define risco como o efeito da incerteza em relação
aos objetivos (ABNT, 2009).
• Ambiente externo
Onde são geradas as oportunidades e ameaças.
• Ambiente interno
Onde as forças e fraquezas das organizações se manifestam.
Quando as organizações compreendem que gerir riscos faz parte da estratégia para
atingir os seus objetivos, movimentam-se no sentido de fazê-lo. As decisões passam
a considerar a possibilidade de materialização dos eventos indesejáveis, tornando
necessário identificá-los previamente, analisá-los e avaliá-los, criando programas
de resposta com planos de ação que envolvem proteções estratégicas, táticas
operacionais e financeiras.
Os riscos podem produzir efeitos diretos ou indiretos, que também precisam ser
compreendidos e tratados. Isso porque o que importa é estar preparado para
preservar a continuidade daquilo que a organização se predispõe a entregar aos
seus clientes e à sociedade, mesmo quando eventos adversos ocorrem. Por isso, é
fundamental gerir os riscos, mas também cuidar da continuidade dos negócios.
Você chegou ao final desta Unidade de estudo. Caso ainda tenha dúvidas, reveja o
conteúdo e se aprofunde nos temas propostos. Até a próxima!
GALVÃO, Jean. Charge 11/11/2019. [Um Brasil]. 2019. Disponível em: https://
umbrasil.com/charges/charge-11-11/. Acesso em: 27 out. 2022.
Ao final desta unidade, espera-se que você reconheça os pilares da transformação digital
e como ela impacta direta e indiretamente na geração de valor para as organizações,
o que é muito importante, sobretudo, quando elas pertencem à Administração Pública,
provedora de vários serviços à sociedade.
Para tal, é necessário entender que não se pode mudar seletivamente os processos.
A mudança deve ser conceitual e completa, pois só assim poderá transformar
decisivamente as estratégias e objetivos estratégicos, a cultura organizacional, a
governança e os papéis dos seus atores, bem como os macrofluxos das operações.
Tudo isso exige revisão e investimento em tecnologias, além da adequação de
espaços e capacitação das pessoas em todos os níveis, sempre com o intuito de
ampliar a entrega de valor e sua percepção.
É crucial compreender que ser digital não significa apenas ter aparência digital, mas
ter processos construídos a partir da modelagem digital, automatizando funções
e rotinas que eram realizadas de forma tradicional, ampliando funcionalidade,
serviços e valor.
Os autores tendem a criar pilares para resumir certos conceitos. Muitos deles
preconizam que a transformação digital tem quatro grandes pilares: pessoas,
processos, tecnologia e locais.
1. Pessoas
Qualquer iniciativa de transformação digital é iniciada com as pessoas,
porque é necessário perceber a necessidade, ter intenção de fazer e engajar
nos esforços em conhecimento e inovação tecnológica.
2. Processos
Processos são formas intangíveis de criar resultados tangíveis.
3. Tecnologia
É importante perceber que as tecnologias são meios, e não fins. Elas exigem
investimentos contínuos e têm ciclos que nem sempre são renováveis. À
medida que vão sendo conhecidas, percebe-se que precisam ser substituídas.
4. Locais
É preciso entender que a produção de bens (produtos) será cada vez mais
otimizada e que a produção de serviços, com a transformação digital, cada
vez mais dependerá menos dos espaços corporativos e será revolucionária.
Por fim, como você já aprendeu, para que se atinjam os objetivos esperados, é
necessário inserir também a preocupação com a gestão de riscos e a continuidade
de processos de negócios, minimizando ao máximo a possibilidade de ocorrência
de eventos indesejáveis e as suas consequências. É preciso, ainda, estar pronto para
reagir em caso de acidentes, interrupções, emergências e crises, pois as demandas
passam a ficar maiores e mais urgentes.
Os mais céticos dizem que a transformação digital vai ceifar postos de trabalho.
A previsão negativa está correta em relação ao primeiro momento, quando isso
ocorrerá de forma paulatina, mas ignora que, ao mesmo tempo, serão criadas novas
especialidades e até movimentos de empreendedorismo.
Diz-se que o mundo de hoje é VUCA – sigla em inglês formada pela primeira letra das
palavras Volatility (volatilidade), Uncertainty (incerteza), Complexity (complexidade) e
Ambiguity (ambiguidade).
Para as organizações, criar valor é mais do que gerar resultados financeiros. Significa
serem percebidas por acionistas, investidores, colaboradores e pela sociedade
como tendo propósitos claros, éticos e sustentáveis, que permanecem os mesmos
ao longo do tempo, por mais que busquem novos mercados ou alterem suas
estratégias corporativas.
Quando se pensa que o mundo é VUCA, entende-se que apenas as organizações que
conseguem se adaptar, produzindo respostas na mesma velocidade com que são
atingidas pelas mudanças do ambiente, sobreviverão. Portanto, a transformação
digital é um conjunto de estratégias que permite que as organizações estejam aptas
a acompanhar ou até a antecipar demandas.
O Brasil, uma das maiores economias do mundo, é postulante a ser um dos membros
da OCDE, o que necessariamente implica criar meios para que as mudanças ocorram,
sejam elas de cunho cultural (com a administração reconhecendo o papel central do
cidadão); nos procedimentos oferecidos, com foco nos consumidores e usuários; ou
na organização da administração em si, para que se torne menos burocrática e mais
eficiente e para que estabeleça relações cada vez mais inclusivas e plurais.
Você chegou ao final desta Unidade de estudo. Caso ainda tenha dúvidas, reveja o
conteúdo e se aprofunde nos temas propostos. Até a próxima!
Ao final desta unidade você estará apto a classificar o que são crises e emergências no
processo de gerenciamento de continuidade de negócios.
Continuidade de Negócios.
Fonte: Freepik (2022).
Processos Essenciais
São aqueles que entregam valor diretamente aos consumidores ou usuários,
por serem atividades cruciais para que as organizações consigam atingir sua
missão e visão. Neles se concentram as operações relacionadas à percepção
dos consumidores, a sua experiência e ao real valor.
Para melhor entendimento, os eventos de risco são aqueles que têm probabilidade
não nula de ocorrer, e, quando ocorrem, podem produzir perdas diretas e/ou
indiretas, podendo, ainda, instalar ou não emergências.
Segundo a Norma NBR ISO 22300/2022, crise é uma condição instável, envolvendo
uma mudança abrupta ou significativa iminente que requer atenção e ação urgentes
para proteger a vida, os ativos, a propriedade ou o meio ambiente.
Commodities.
Freepik (2022).
As emergências podem ser estimadas a partir dos estudos dos riscos e desdobramentos
de incidentes e acidentes (eventos indesejáveis), cabendo conhecer os impactos e
suas consequências diretas e indiretas, para que se possa saber o que fazer e quais
recursos serão necessários para as respostas.
• melhorar a reputação;
As organizações são responsáveis por gerir o que acontece em seus limites internos,
mas sempre é possível que as coisas passem do ponto e ultrapassem os seus muros,
produzindo danos a terceiros, o que é ainda pior.
Emergências criam um estado de caos, mas têm um período curto. Já as crises podem
durar muito tempo. Assista à videoaula a seguir para compreender melhor o assunto.
Que bom que você chegou até aqui! Agora é hora de testar seus conhecimentos.
Acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos!
BPM CBOK Version 4.0: Guide to the Business Process Management Common
Body Of Knowledge. ABPMP: 2019.
2 O Processo de Gerenciamento
de Emergências e Crises
Neste módulo, há temas importantes para que você compreenda o processo de
gestão de riscos e o que acontece quando eles saem do controle, vindo a desencadear
emergências e crises. Para isso, será necessário percorrer as normas internacionais
referentes à gestão de emergências e crises que tratam de gestão de riscos, bem
como as normas que deram origem às que estão vigentes no momento, criando,
assim, um pano de fundo para que se possa, de fato, gerir a continuidade dos
processos de negócios.
Ao final desta unidade, você será capaz de reconhecer os conceitos de gestão de riscos e
controles, previstos no Coso e na ISO 31.000.
Peter Bernstein (2019), no livro Desafio aos Deuses – A Fascinante História do Risco, a
concepção do controle do risco constitui uma das ideias centrais que distinguem os
tempos modernos do passado mais remoto.
O homem definiu o risco de muitas formas ao longo do tempo, quase sempre com
foco específico nos seus interesses particulares. Assim, várias áreas das ciências
exatas e não exatas construíram definições próprias, segundo as suas percepções
e interesses.
Até algum tempo, havia um certo conflito conceitual entre o risco de ganhar (que
muitos consideravam ser conveniente denominar como chance) e o de perder. Mais
recentemente, passou-se a dizer que os riscos podem ser positivos ou negativos.
Outras vezes, quando os riscos vêm de fora para dentro das organizações, são
entendidos como oportunidades (de ganhar) e ameaças (de perder).
Parâmetros de Risco.
Fonte: Adaptado do autor (2022).
Probabilidade:
A ideia geral da probabilidade é frequentemente dividida em dois conceitos
relacionados: a probabilidade de repetir frequências, que representa uma série
de eventos futuros cuja ocorrência é definida por fenômenos aleatórios e a
probabilidade epistemológica, que representa o grau das nossas incertezas sobre
proposições futuras, quando não se tem conhecimento completo sobre as fontes e
as circunstâncias que envolvem as causas.
Consequência:
Os eventos a que nos referimos podem trazer consequências positivas ou negativas
para uma pessoa, uma organização ou para a sociedade. As consequências ou
impactos gerados pelos eventos de riscos geralmente trazem algum tipo de
modificação no status quo que podem acarretar perdas ou ganhos.
É uma boa prática ampliar o espectro da política para incluir também os controles,
passando a ser a Política de Gestão de Riscos e Controles.
ISO 31.000
A Norma ISO 31.000 sofreu alterações entre as suas edições de 2009 e 2018,
basicamente para explicar alguns conceitos e incluir outros.
Além disso, convém que seja possível identificar a gestão de riscos em todas as
atividades-chave, ou seja, os princípios, a estrutura e os processos. Acompanhe os
detalhes abaixo:
Princípios
O propósito da gestão de riscos é a criação e proteção de valor, o que
melhora o desempenho, encoraja a inovação e apoia o alcance de objetivos.
São princípios:
Estrutura
O propósito da estrutura da gestão de riscos é apoiar a organização da sua
integração em atividades significativas e funções. A eficácia da gestão de riscos
dependerá da sua integração com a governança, a cultura organizacional e
as atividades que exijam decisões. Isso requer apoio das partes interessadas,
em particular da alta direção. Além da integração, o desenvolvimento
da estrutura depende de implementação de procedimentos, avaliação e
melhoria contínua.
Processo
O processo de gestão de riscos envolve a aplicação sistemática da metodologia
definida na política de gestão de riscos, com base na norma ISO 31.000.
Escopo
O processo de gestão de riscos pode ser aplicado em diferentes níveis
(estratégico, operacional, programa, projeto ou outras atividades), sendo
importante ter-se clareza sobre o escopo em consideração e seu alinhamento
aos objetivos organizacionais.
Critérios
É importante que organização especifique os critérios para identificar, analisar
e avaliar os riscos expostos. Eles devem estar alinhados com os objetivos e
recursos da organização, o que vai determinar quais das exposições podem
ser retidas e quais devem ser transferidas. Para estabelecer os critérios
de risco, convém considerar: a natureza e o tipo de incertezas que podem
afetar resultados e objetivos (tanto tangíveis quanto intangíveis), além de
suas consequências (tanto positivas, quanto negativas). Os critérios podem
se qualitativos ou quantitativos.
Avaliação de Riscos
Acompanhe com muita atenção o que diz a ISO 31.000 sobre essas etapas:
Identificação de riscos
É a fase em que se encontra, reconhece e descreve os riscos que possam ajudar
ou impedir que uma organização alcance seus objetivos.
Nesta fase são indicadas as fontes dos eventos de riscos, suas causas e a
possível dinâmica dos eventos, de forma detalhada. Por exemplo: interrupção
no processo eletrônico de programação de pagamentos, pela indisponibilidade
da aplicação específica para tal, em decorrência de manutenção emergencial
para corrigir erros na identificação de fornecedores.
Avaliação de riscos
Esta fase tem por finalidade estabelecer o grau de risco, ou o risco inerente,
por meio de combinações de probabilidades e consequências dos eventos de
risco. Envolve a comparação dos resultados da análise de riscos, (probabilidades
e consequências estimadas), com os critérios de risco estabelecidos pela
organização, definidos em uma matriz de consolidação de riscos.
Os graus de risco podem ser estabelecidos para definir quais deles são aceitáveis,
bem como para determinar onde são necessárias respostas, a importância e a
urgência delas.
Registro e Relato
Todas as etapas e atividades da gestão de riscos devem ser documentadas e
relatadas por meio de mecanismos apropriados.
O relato deve ser uma rotina frequente e ser realizado sempre, para
acompanhamento das partes interessadas.
Comunicação e Consulta
A etapa ocorre ao longo do processo de gestão de riscos, com intenção de
auxiliar as partes interessadas na compreensão do risco, nas bases sobre a
qual decisões são tomadas e nas razões pelas quais ações específicas são
requeridas.
1970 -
A National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre
Fraudes em Relatórios Financeiros) foi criada na década de 1970 como uma iniciativa
independente, que buscava analisar as ocorrências de fraudes nos relatórios
financeiros de organizações americanas.
1985 -
Posteriormente, em 1985, essa comissão foi transformada em um comitê, passando
a ser chamada de Coso – Committee of Sponsoring Organizations of the Treadway
Commission, ampliando seu escopo de atuação de lá para cá, com a percepção de
que era necessário incorporar a visão da necessidade de gerenciar riscos e atuar
sobre os controles internos.
Atualmente, além dos fundadores, fazem parte do Coso várias organizações, como:
o Instituto Americano de Contadores Públicos Certificados, o Instituto dos Auditores
Internos, a Associação Americana de Contadores, o Instituto dos Contadores
Gerenciais, Executivos Financeiros Internacionais etc., além de representantes das
maiores empresas de consultoria do mundo e outros interessados.
1992 -
Ao longo dos últimos anos, as contribuições do Coso têm sido relevantes, com
destaque para publicações que fizeram com que organizações em todo o mundo as
utilizassem como referência. Dentre elas, o Internal Control – Integrated Framework,
O objetivo comum entre essas proposições era garantir, com razoável confiança, a
eficácia e eficiência das operações, a confiabilidade dos relatórios financeiros e a
conformidade com as leis e regulamentos aplicáveis, provendo um grau satisfatório
de conforto aos acionistas e investidores.
2004 -
O Coso-ERM foi elaborado com a finalidade de orientar as organizações em relação
ao gerenciamento de riscos corporativos, além da aplicação de boas práticas a
respeito desse tema, como evolução do modelo anterior (Coso I). No Coso-ERM a
atividade de análise de riscos, que estava prevista no modelo anterior, foi ampliada
para incluir a identificação de eventos, avaliação de riscos e resposta a riscos.
Em linhas gerais, o escopo foi bastante ampliado, porque o Coso-ERM agregou técnicas
de gerenciamento integrado de riscos, ampliando o modelo do Coso I, já que o primeiro
modelo focava em avaliar e aperfeiçoar o sistema de controles internos e o segundo,
em priorizar a gestão dos riscos corporativos, além das atividades de controle.
Cubo do Coso-ERM.
Fonte: Coso – Enterprise Risk Management – Integrated Framework – 2004
Coso-ERM-2013.
Fonte: Coso – Enterprise Risk Management – Integrated Framework – 2013
Percebe-se que a estrutura se alinha com a ISO 31.000, mas com objetivos específicos,
definidos pelo Coso.
2017 -
Em 2017, o Coso publicou o Enterprise Risk Management – Integrating with Strategy
and Performance (Gerenciamento de Riscos Corporativos integrado com a Estratégia
e o Desempenho), conhecido por Coso III, buscando ressaltar a importância de
considerar os riscos tanto no estabelecimento da estratégia, quanto na condução
do desempenho.
Você chegou ao final desta Unidade de estudo. Caso ainda tenha dúvidas, reveja o
conteúdo e se aprofunde nos temas propostos. Até a próxima!
ABNT NBR ISO 31.000. Gestão de Riscos – Princípios e Diretrizes. Segunda edição.
28.03.2018
BERNSTEIN, Peter L. Desafio aos Deuses: A Fascinante História do Risco. São Paulo:
Alta Books, 2019.
Objetivo de aprendizagem
Ao final desta unidade você estará apto a classificar as etapas dos processos de crise e
emergência, seus aspectos fundamentais e a necessidade de gerenciá-las.
Em geral, qualquer evento em função da sua gravidade, que requeira ação imediata
e inadiável para seu bloqueio e contenção, pode ser considerado como uma
emergência, como, por exemplo: incêndios, explosões, vazamento de produtos
químicos, vazamento de gases tóxicos e vários outros tipos de eventos graves que
interferem nos processos de negócio, causando a sua indisponibilidade. Mergulhe
neste assunto que será apresentado nesta etapa de estudos.
Você sabia que as crises têm acionamento mais lento e gradual, podendo ser
percebidas antes que venham a provocar perdas?
Os eventos de risco têm fontes, causas e provocam impactos, por isso precisam ser
identificados, analisados e avaliados, utilizando técnicas apropriadas.
As causas dos eventos podem ser dependentes ou independentes entre si, vindo a
provocar impactos diretos e indiretos, que trazem perdas materiais, humanas, ao
meio ambiente e responsabilidades, quando os afetados são terceiros.
A gestão de riscos e controles utiliza metodologias e várias técnicas que fazem parte
do seu arsenal de identificação, análise e avaliação. Elas auxiliam as organizações
a identificarem suas exposições. Mas é necessário ir além a fim de compreender a
dinâmica dos eventos e os seus desdobramentos, para dimensionar os recursos que
serão indispensáveis em cada fase das eventuais emergências, tanto para dar a resposta
devida e suficiente, quanto para que, com as ações, se venha atuar no abrandamento
das consequências, reduzindo o status da emergência e prevenindo crises.
Em 1997, James Reason, após investigar vários acidentes, propôs um modelo para
explicar o porquê de ocorrerem falhas que terminam por causar eventos de risco,
acidentes e até catástrofes, em sistemas e processos aparentemente seguros.
Além das falhas decorrentes dos erros humanos nas operações, elas também são
produzidas por condições de falha latentes. Essas falhas advêm de pequenos erros
no projeto dos sistemas e processos, da sua implantação, da complexidade ou de
rotinas inadequadas, das condições de operação, dos riscos não identificados, de
controles inadequados ou até da má gestão, apenas para elencar alguns fatores
contributivos.
Todas essas falhas podem estar presentes por muitos anos, antes de se combinarem
com as circunstâncias locais e com outras falhas já ativas, criando eventos de risco
que ultrapassam as barreiras, provocando um acidente.
1 quando as barreiras são ad hoc (ou seja, os processos são manuais e as proteções
não são efetivas);
2 quando deliberadamente são desabilitados os procedimentos de proteção dos
processos e os controles para alcançar os objetivos operacionais;
3 quando involuntariamente se ultrapassa os limites.
Define-se acidente ampliado como sendo aquele de maior gravidade e que suas
consequências se estendem a um número maior de pessoas.
Nas indústrias que não trabalham com produtos perigosos, os acidentes também
ocorrem, gerando danos e prejuízos importantes, além de perdas de capacidade que
podem impactar a cadeia de fornecimento dos clientes, ou seja, é uma ocorrência
que se torna ampliada.
2_ Do ponto de vista cronológico, as primeiras normas sobre prevenção, preparo e resposta a acidentes
industriais com efeitos transfronteiriços foram adotadas, no nívelregional da Comunidade Européia, pela
Diretiva no 82/501, de 24-6-1982, denominadaDiretiva Seveso, editada em 1982” (SOARES, 2001, p. 295).
Em linhas gerais, a Diretiva estabelecia uma lista de substâncias químicas e deprodutos que deveriam estar
sob controle direto das autoridades, medidas de segurança,planos de urgência para os países, além de
determinar aos Estados-membros a adoçãode medidas necessárias para que todo empresário que exercesse as
atividadesconstantes de seu anexo estivesse em condições de provar à autoridade competente quehavia feito a
avaliação dos riscos de acidentes maiores, tomado as medidas de segurançaapropriadas, bem como equipado
e treinado o pessoal que trabalhava no local onde aatividade era desenvolvida.
Fonte: http://www3.sp.senac.br/hotsites/blogs/InterfacEHS/wp-content/uploads/2013/07/2006-v2-inter-2.pdf
Quando não há preparação para tal, por exemplo, quando acontece um acidente ou
uma descontinuidade, os fatos e as ocorrências acabam falando por si, o que faz com
as organizações sejam reféns dos acontecimentos, não exercendo domínio sobre eles.
Na área pública, sobretudo quando ocorrem catástrofes de origem natural (cada vez
mais comuns, por conta das mudanças climáticas), temos notícia da decretação de
estados de emergência e de calamidade, que são gatilhos previstos no ordenamento
jurídico para que se possa ativar os mecanismos de resposta, inclusive a transferência
de recursos excepcionais.
Sumarizando, estabelece-se uma situação jurídica especial para execução das ações
de socorro e assistência humanitária à população atingida, restabelecimento de
serviços essenciais e recuperação de áreas atingidas por desastre.
Para tanto, a legislação prevê normas que estabelecem ações mais céleres por
parte dos entes públicos em razão de situações anormais, a partir da decretação de
emergência ou de estado de calamidade em caso de desastres.
As crises que vêm de fora para dentro, como as trazidas por catástrofes naturais
ou em decorrência de situações nos ambientes político, econômico e até sanitário
(como as epidemias e pandemias), são tratadas nas alçadas estratégicas, onde
as respostas são construídas com intuito de aumentar a resiliência interna das
organizações e encontrar saídas que permitam que os processos de negócio
continuem funcionando. Em geral, como não se consegue controlar as fontes e
causas dos riscos, resta estar preparado para as consequências.
Crises operacionais
Crises operacionais podem fazer com que o fluxo de entrega de produtos e
serviços seja abalado e até paralisado, comprometendo os compromissos,
podendo colocar em risco a continuidade dos negócios e o fluxo de caixa.
Crises financeiras
Crises financeiras, muitas vezes causadas por má gestão ou até fraudes,
podem ter inúmeras consequências, inclusive necessidade de recuperação
judicial e, na pior das hipóteses, falência. Mas talvez nada seja pior do que
as crises de imagem e reputação, pois com elas vêm a perda de confiança de
clientes e usuários, reclamações, exposição em mídia etc.
A indústria automotiva, por exemplo, quando anuncia recall na sua linha de veículos,
sabe que isso acarretará custos das peças e serviços, de divulgação, para que todos
os proprietários saibam que devem levar seus veículos às concessionárias para
serviço, além de custos ocultos de perda de valor, principalmente quando essas
chamadas são recorrentes.
Recall.
Fonte: Freepik (2022)
NFPA 1.600:2000
NFPA – National Fire Protection Association é uma organização americana que, desde
1896, se dedica à informação e conhecimento através de mais de 300 códigos e
padrões de consenso, pesquisa, treinamento, educação, divulgação e advocacia.
O NFPA possui parcerias com outras pessoas que compartilham o interesse em
promover a sua missão, que é ajudar a salvar vidas e reduzir perdas por meio de
informação, conhecimento e comprometimento.
Em 2011, o British Standard Institute publicou um guia denominado PAS 200 - Crisis
Management. Guidance and good practice (Gestão de Crises e boas práticas), uma
iniciativa importante para tratar de um assunto complexo, que é a necessidade de
preparação para a gestão de crises.
Essas características levam a gestão de crises como algo a ser tratado no nível
estratégico da organização, sendo complementado por outros planos já conhecidos,
como os planos de emergência, de contingência, de incidentes, continuidade de
negócios e comunicação de crises. cada qual atuando de forma coordenada nos
diversos níveis organizacionais (operacional, tático e estratégico).
As crises podem ser súbitas ou latentes, ou seja, se instalam imediatamente ou de
forma lenta e gradual.
Outro ponto interessante e até disruptivo que o guia comenta é que manuais não são
úteis à gestão de crises, porque eles servem para auxiliar nas tomadas de decisão e
para orientar a gestão de incidentes, acidentes, respostas e até a preparação para
emergências, mas, na gestão de crises, há forte influência das lideranças, as quais
devem estar capacitadas e empoderadas para decidir nos momentos em que se faz
necessário.
Os gestores do comitê de crise devem ter orientação da área de compliance, pois não
basta seguir as leis e regulamentos em momentos de crise, é preciso agir sempre
com ética na tomada de decisões, por mais conflitantes que sejam.
Comitê de crises.
Fonte: Freepik (2022)
Muitas organizações que não estão preparadas para situações de desastres não
conseguem se recuperar de uma crise significativa. Por isso, quando ocorre alguma
ameaça, todos os negócios são paralisados totalmente e sua recuperação pode
levar anos, se ocorrer.
Além disso, a resposta de uma organização a uma crise pode ter enorme impacto
na forma como seu público avalia a sua imagem, podendo abalar a sua reputação,
fazendo com que perca clientes e usuários, bem como a confiança das pessoas em
seus processos de negócio.
Que bom que você chegou até aqui! Agora é hora de testar seus conhecimentos. Então,
acesse o exercício avaliativo que está disponível no ambiente virtual. Bons estudos!
BERNSTEIN, Peter L. Desafio aos Deuses: A Fascinante História do Risco. São Paulo:
Alta Books, 2019.
BS PAS 200. Crisis Management. Guidance And Good Practice (British Standard). UK, 2011.
Você também entenderá como devem ser constituídos os planos de ação, como
o Plano de Continuidade de Negócios, o Plano de Ação de Emergência, o Plano de
Contingência Operacional, o Plano de Recuperação de Desastres e outros.
Ao final desta unidade você será capaz de selecionar as melhores práticas e normativos
para a gestão da continuidade de negócios.
Quando esses sistemas são geridos de forma isolada e não compartilhada, muitos
esforços que poderiam ser compartilhados acabam por se repetir em áreas distintas.
Outro aspecto é que o nível de maturidade entre eles acaba sendo diferente, o que
retarda o atendimento dos objetivos da organização.
1 3 5
2 4 6
• comprometimento da direção;
As normas ISO para sistemas de gestão têm por característica compartilhar a mesma
base metodológica, tornando possível serem geridas por meio de um único sistema
integrado, conforme você vê a seguir:
1 Governança Organizacional;
2 Direitos Humanos;
3 Práticas Laborais;
4 Ambiente;
5 Práticas Operacionais Justas;
6 Temas de Consumo e Envolvimento e Desenvolvimento da Comunidade.
• aumento de credibilidade;
• transparência.
Como a norma internacional para gestão de riscos (ISO 31.000:2018) não é certificável,
ao incluir no mesmo programa os dois temas, aproveita-se a certificação que é
possível na norma ISO 22301:2020 – Segurança e resiliência – Sistema de gestão de
continuidade de negócios – Requisitos, em conjunto com as demais normas ISO que
tratam de Sistemas de Gestão Integrado.
De forma geral, há uma série de diretivas que contribuem para as boas práticas:
A Norma NBR ISO 22.301/2020 adota, como várias outras normas da ISO
(International Organization for Standartization), o modelo do PDCA (Plan-Do-Check-Act)
para planejar, estabelecer, implementar, operar, monitorar, analisar criticamente,
manter e melhorar continuamente a eficácia do SGCN de uma organização.
Ciclo PDCA.
Elaboração: Ceped/UFSC (2022). Adaptado do autor.
DO
Implementar e operar a política de continuidade de negócios, controles,
(implementar
processos e procedimentos.
e operar)
A norma NBR ISO 22.301/2020 traz em seu glossário algumas definições importantes
em relação à continuidade de negócios. Dentre elas, destaca-se:
• escopo do SGCN;
• procedimentos de recuperação;
Além de publicada, deve ser explicada às partes interessadas, com especial atenção
aos gestores e colaboradores, que serão os responsáveis pela operacionalização
do sistema, deixando claro que há mandato e compromisso da alta direção em
implantar, manter em funcionamento e controlar essa política.
A política deve ser estruturada para informar tudo o que for relevante para o plano
de desenvolvimento do SGCN, como, por exemplo, onde for aplicável:
• objetivos;
• abrangência;
• princípios;
• diretrizes;
• escopo;
• processos do SGCN:
• gestão de consequências;
• registro e documentação;
• glossário de termos;
• disposições gerais.
A política também pode ser usada para determinar o que deu errado, em ambiente
de análise crítica, o que se faz em ambiente de testes e simulações, para que os
desvios possam ser resolvidos.
• uma política;
Quando uma organização perde a sua capacidade de gerar valor, a sociedade perde
acesso aos produtos e serviços que ela produzia, fica comprometida a geração de
empregos diretos e indiretos, a arrecadação de impostos e a geração de divisas.
Por isso, faz sentido pensar que as organizações que sofrem incidentes ou acidentes
que gerem interrupção de processos de negócios, se tiverem uma boa coordenação
com as partes interessadas da sociedade, poderão contar com ela e envolvê-la no
processo de recuperação, assim como outras organizações, em função do impacto
no ambiente organizacional, social e ambiental.
Também pode ser usada para avaliar a capacidade de uma organização em atender
a suas próprias necessidades e obrigações de continuidade.
Você chegou ao final desta Unidade de estudo. Caso ainda tenha dúvidas, reveja o
conteúdo e se aprofunde nos temas propostos. Até a próxima!
Ao final desta unidade você estará apto a identificar os principais aspectos relativos à
elaboração de um Plano de Continuidade de Negócio (PCN).
Esse processo orienta e define como e quais ações devem ser executadas para
que se construa uma resiliência organizacional capaz de responder efetivamente e
salvaguardar os negócios.
Além disso, deve atuar naqueles processos de negócios que tenham potencial de
gerar interrupções, como são os casos dos desastres naturais, situações sanitárias,
convulsões sociais, guerras, greves, crises financeiras e seus desdobramentos,
interrupções de fornecimento de insumos e matérias primas, além de incêndios,
explosões, vazamentos tóxicos, alagamentos e inundações, ataques cibernéticos,
apenas para elencar os mais graves, mas também eventos menores, de progressão
mais lenta, capazes de gerar crises.
Assim, além das providências acima citadas, as organizações devem realizar etapa de
Análise de Impactos nos Negócios (BIA) para entender como as emergências causadas
por interrupções podem se instalar e como será o seu desdobramento em espaços
de tempo definidos (horas, dias, semanas, meses), possibilitando compreender e
planejar que recursos serão necessários para garantir um nível mínimo de atividade
nos primeiros momentos e, paulatinamente, a recuperação, o que tem a ver com
a alocação de recursos de todos os tipos (espaços físicos, equipamentos, insumos,
sistemas, pessoas etc.).
Nas organizações de serviços, isso tende a ocorrer de forma mais rápida, porque,
quando interrompidos não têm estoques, fazendo com que o movimento de
negócios seja imediatamente comprometido. Assim é, por exemplo, em relação aos
serviços de processamento de dados, aplicativos para internet, serviços bancários,
telefônicos e muitos outros.
• Pessoas-chave:
São pessoas que conhecem as operações em todos os seus detalhes, sendo
imprescindíveis para o funcionamento da atividade, por conta do seu
conhecimento e experiência.
Pessoas-chave.
Fonte: Freepik (2022).
• Processos-chave:
São os processos essenciais e de suporte ou apoio que são fundamentais,
que compõem as atividades as quais não podem ser interrompidas, pois,
do contrário, haveria impactos no movimento de negócios, comprometendo
a satisfação de clientes e usuários ou lhes causando prejuízos de qualquer
sorte, implicando na imagem e reputação da organização.
A BIA exige um grau de detalhamento suficiente para que se possa estimar não
apenas as consequências de um incidente ou acidente, mas também o que pode
acontecer ao longo do tempo, entendendo quais são os eventos críticos com
potencial de gerar interrupções e perdas de capacidade produtiva.
Para isso, é necessário que seja nomeado um responsável pelas informações e que
haja a formação de um grupo de trabalho setorial no intuito de que as pessoas possam
contribuir com conhecimentos e experiências, sendo, também, recomendável que se
integre a esse grupo representantes dos processos à montante e jusante, para que
se possa compreender o quanto uma interrupção pode afetar os fluxos produtivos.
Isso quer dizer que os esforços realizados para avaliar os riscos devem ser
complementados quando se faz a análise de impactos sob a ótica da continuidade de
negócios, ou seja, quando os eventos de risco, ao se materializarem, têm potencial
de gerar interrupções.
Agora, analise com atenção, na imagem seguinte, a representação das Métricas para
Fixação de Objetivos de Reinício e Recuperação.
É importante que no desenvolvimento das ações tenha-se em mente que elas devem
ser tempestivas de modo a não permitir que sejam geradas crises para além dos
potenciais que a própria ocorrência já desencadeou, e, para isso, entram em cena os
mecanismos de gestão de crises, sobretudo um plano de comunicação muito bem
construído, a fim de que seja operado de forma orquestrada.
Existem três tipos de sites de backup, cujos termos são utilizados em língua inglesa:
cold site, hot site e warm site.
Hot Site
Warm Site
Por exemplo:
Você chegou ao final desta Unidade de estudo. Caso ainda tenha dúvidas, reveja o
conteúdo e se aprofunde nos temas propostos. Até a próxima!
Você sabe que todas as organizações podem estar sujeitas a passar por crises e, por
isso, a gestão de crises tem como objetivo tentar minimizar os impactos causados
por momentos de desequilíbrio, preservando a capacidade de gerar valor, a imagem
e a reputação dessas empresas.
Para estruturar um PRD é fundamental que todos os processos que lidam com
dados estejam mapeados e as rotinas registradas e guardadas em segurança, para
que, em caso de necessidade extrema, possam ser reconstruídas. O foco, porém,
está em garantir que não haja perdas de dados e que as eventuais interrupções
sejam as menores possíveis, se acaso ocorrerem.
Estrutura do PDR.
Fonte: Freepik (2022).
O PRD pode ser considerado o principal plano de continuidade das áreas de TI para
proteger a infraestrutura e assegurar a retomada rápida das atividades em caso de
interrupções, permitindo projetar operações que sejam restauradas rapidamente,
proporcionar sistemas de backup confiáveis, garantir um nível de segurança
adequado e reduzir os riscos de atrasos e interrupção dos processos de negócio em
caso de imprevistos.
Você chegou ao final desta Unidade de estudo. Caso ainda tenha dúvidas, reveja o
conteúdo e se aprofunde nos temas propostos. Até a próxima!
Objetivo de aprendizagem
Ao final desta unidade você estará apto a esclarecer sobre o processo de avaliação
contínua do SGCN e do PCN, por meio de indicadores e ações integradas, visando sua
evolução e maturidade.
Tudo isso inclui a continuidade dos negócios e caminhos estruturados que caminham
para uma constante maturidade, sendo cada vez mais facilitados na medida em que
puderem ser construídos pensando em como serão monitorados, acompanhados e
controlados, o que exige impor indicadores e metas de maturidade.
Estágio 1.
Freepik (2022).
• Estágio 2
Estágio 2.
Freepik (2022).
Estágio 3.
Freepik (2022).
A pesquisa destacou, ainda, que a recuperação eficiente com o menor dano possível
é o tema mais apontado pelos executivos entre os diversos benefícios trazidos pela
implementação desse mecanismo.
Por outro lado, segundo os dados reunidos pela KPMG, a maior barreira enfrentada
pelas empresas é provocada pela ausência de cultura em gestão de riscos e crises e
a falta de clareza em relação a potenciais benefícios dessas práticas.
Nas avaliações de maturidade, além do que está acima exposto, é necessário que se
avalie o que de fato as organizações estão fazendo em relação à gestão de riscos e
controles, ou seja, se há um Sistema ou Programa de Gestão de Riscos e Controles
implantado, e se ele é operacional.
É importante ressaltar que, quando se passa a gerir os riscos por indicadores e metas,
se sai da subjetividade e a efetividade aumenta, mas com o cuidado de não incorrer
em exageros, sendo, para isso, relevante priorizar o que é importante e representativo.
Os exercícios são instrumentos práticos que devem ser elaborados com vistas
a treinar as pessoas em situações simuladas, mas também para analisar o nível
de conhecimento e engajamento destas, permitindo que se reforce os pontos
considerados deficientes. O mesmo ocorre em relação aos testes e simulados de
maturidade, que podem ser realizados de forma programada ou de surpresa.
Que bom que você chegou até aqui! Agora é hora de testar seus conhecimentos.
Então, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos!
O Gerenciamento de Continuidade
5 de Negócios na Transformação
Digital da Adm. Pública
Neste módulo você entenderá a importância da continuidade de negócios para os
esforços de transformação digital da Administração Pública, sobretudo porque os
processos de negócio envolvidos precisam ser preservados, por prestarem serviços
para a sociedade.
Ao final desta unidade você estará apto a diferenciar, a partir de casos reais da
Administração Pública, os conceitos de Gerenciamento de Continuidade de Negócios.
As áreas referidas que precisam de vigilância devem fazer parte da gestão de projetos,
incluindo o foco na consistência dos processos de negócio e a experiência do cliente
ao utilizar as aplicações a serem desenvolvidas, a gestão de riscos e controles e, por
consequência, a gestão da continuidade, na tentativa de blindar o máximo possível a
ocorrência de eventos críticos que possam interromper a oferta de serviços e, se isso
vier a acontecer, reiniciar e recuperar as atividades no menor espaço de tempo possível.
Boas práticas.
Freepik (2022).
As boas práticas vêm das lições aprendidas, mas também do estudo intensivo
de cenários. A transformação digital vai conviver com riscos à continuidade, que
deverão ser enfrentados, e, para tal, é necessário compreender os exemplos de
casos ocorridos na administração pública, bem como nas empresas públicas e
privadas, para elaborar projetos de processos de negócios robustos e confiáveis.
Segue, como exemplo, uma pequena coletânea de casos ocorridos nos últimos anos
que podem ser de seu interesse para estudo.
5 “Quase 60% dos backups conduzidos pelas empresas falham, diz estudo”.
Disponível aqui.
6 “60% das empresas sofreram com violação de dados no último ano, diz estudo
da IBM. As ocorrências também cresceram no último ano, como indicaram 74%
dos participantes da pesquisa”. Disponível aqui.
Segundo pesquisa realizada pelo Global Data Center Survey do Uptime Institute,
com 900 operadores de data centers e profissionais de TI, 31% dos entrevistados
relataram que sofreram um incidente de inatividade ou degradação severa nos
serviços em 2017.
As questões são: como e por que esse tipo de falha acontece? Qual a melhor definição
para downtime em data centers e como evitá-los.
3_ Downtime em data center é uma parada não planejada, uma queda de serviço ou uma indisponibilidade.
Consequentemente, diante de qualquer interrupção, a organização acumula problemas e prejuízos, seja
pela incapacidade de continuar a prestar serviços com as aplicações indisponíveis, pela perda de negócios,
pela indisponibilidade de serviços aos consumidores ou usuários, o transtorno é certo e os objetivos são
comprometidos.
Muito além disso, o downtime também pode levar à perda de dados e até mesmo ameaçar a imagem e a
reputação das organizações, por conta de uma falha operacional ou de uma intervenção mal-intencionada
durante a indisponibilidade.
4_ Um data center é uma instalação física que as empresas usam para hospedar aplicativos e dados essenciais.
Como as baterias não são substituídas e os geradores não são testados com
frequência, quando acontece o downtime, os componentes redundantes também
ficam indisponíveis. Ou seja, os recursos que deveriam manter a disponibilidade
do data center quando mais se precisa não cumprem sua função.
Claro que você já sabe que, cada vez mais, as organizações investem em tecnologia
visando aumentar a eficiência operacional e ganhar competitividade. Na era da
transformação digital, sem dúvida, essa é a melhor estratégia. Porém, é preciso
saber conduzi-la.
A utilização de um bom data center não garante disponibilidade nas situações mais
adversas. Daí, a importância de se atentar às causas de downtime elencadas e fazer
o possível para evitá-las.
Que bom que você chegou até aqui! Agora é hora de testar seus conhecimentos.
Então, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos!
CNN BRASIL. PF aponta que ataque hacker atingiu ministérios e mais de 20 órgãos
do governo. Disponível em: https://www.cnnbrasil.com.br/nacional/pf-aponta-que-
ataque-hacker-atingiu-ministerios-e-mais-de-20-de-orgaos-do-governo/. Acesso
em: 20 jul. 2022.
FEBRABAN. Um terço das empresas no Brasil relata perda de dados, indica estudo.
Disponível em: https://noomis.febraban.org.br/blog/um-terco-das-empresas-no-
brasil-relata-perda-recente-de-dados-indica-estudo. Acesso em: 20 jul. 2022.
IBM. How Much does a breach cost?. [2021]. Disponível em: https://www.ibm.com/
security/data-breach. Acesso em: 20 jul. 2022.
OLHAR DIGITAL. Quase 60% dos backups conduzidos pelas empresas falham, diz
estudo. Disponível em: https://olhardigital.com.br/2021/03/25/pro/quase-60-dos-
backups-conduzidos-pelas-empresas-falham-diz-estudo/. Acesso em: 20 jul. 2022.