Numa entrevista exclusiva a Dolores Campaniço Nobre, abordamos o atual estado mundial e em que medida o BCMS (Sistema de Gestão de Continuidade de Negócios) e respetiva norma ISO22301 podem ditar e influenciar o futuro.
- O que é o Business Continuity Management System(BCMs) ?
Business Continuity Management System– BCMS (Sistema de Gestão de Continuidade de Negócios) é um processo estruturado de criação de sistemas de prevenção e de definição de estratégias de gestão de riscos, que permite às organizações lidar com potenciais ameaças internas ou externas.
O seu principal objetivo é fornecer às organizações a capacidade de resposta efectiva a ameaças internas ou externas tais como desastres naturais, falhas de utilities, sabotagens ou outro tipo de incidentes protegendo os interesses da organização de forma a minimizar os diversos impactos.
O BCM inclui aspetos tais como a recuperação de desastres, recuperação de negócios, gestão de crises, gestão de incidentes, gestão de emergências e planeamento da contingência. Estes requisitos encontram-se definidos na norma ISO22301.
- Qual a sua aplicabilidade na Indústria?
Tradicionalmente, BCM tem sido implementado com maior relevância no sector financeiro e segurador dado o enquadramento e obrigatoriedade regulamentar; no entanto, a indústria, no seu todo, tem vindo a adequar a sua reflexão de gestão de risco aos princípios orientadores de BCM e a sua implementação tem sido cada mais mais regular e preponderante.
Isto porque a tipologia da actividade industrial e a diversidade de elementos que a compõem, como por exemplo equipamentos, edifícios, fornecedores, sistemas e, principalmente clientes, requerem condições específicas que sustentam a importância da implementação de um BCM.
No contexto actual, em que todos fomos surpreendidos com a força do impacto das medidas associadas ao covid19, a resiliência das organizações é um factor inegociável. E, de facto, enquanto que algumas organizações têm planos de contingência que lhes permite responder as adversidades do momento, a realidade é que alguns são pouco detalhados ou carecem de seguimento adequado.
Em alguns casos já se encontram identificados planos de contingência, no entanto na sua grande maioria são ainda muito pouco detalhados e desprovidos de seguimento dentro das organizações.
Na sua grande maioria se perante um desastre ou interrupção de funcionamento conforme o que se encontra descrito nestes planos as empresas não teriam qualquer hipótese de gestão da situação.
O que fazer, então? Podemos por exemplo fazer um exercício e olhar para o que está definido nos nossos planos de contingência e tentar perceber se temos respostas para questões tais como :
Podemos por exemplo fazer um exercício e olhar para o que temos definido nos nossos planos de contingência e tentar perceber se temos respostas para questões tais como :
– que recursos humanos e que competências necessito para cada cenário.
– qual o nível de rigor na avaliação dos nossos fornecedores, qual é a sua contingência, qual o seu nível de exposição a riscos
– quais os nossos fornecedores de serviços, quais são os tempos de resposta dos nossos fornecedores de serviços? Conseguem cumprir com o definido quando em contingência?
– qual a capacidade de trabalhar e gerir equipas remotamente?
– qual o plano de comunicação de crise? Que processos, quem comunica, o quê e quando? Estão testados?
Enfim, muitas oportunidades existem para reflectir e decidir sobre a relevância de um BCM…
- Estamos no meio de uma tempestade, será esta uma boa altura para falarmos na implementação de um sistema de Continuidade de Negócio uma vez que podemos falar de alguns custos associados?
Este é o momento certo! Não há situações ideais e o contexto actual diz-nos que ainda que muitos sistemas já tenham sido implementados, testado e acionados, estamos perante uma oportunidade única de retomar a reflexão sobre gestão de riscos e melhorar a capacidade de resposta em situação de crise.
A diversidade de desafios organizacionais, alguns desconhecidos outros ignorados está a colocar as organizações numa situação de dificuldades significativas na sua subsistência a curto e médio prazo.
As lições aprendidas são uma grande mais valia para o desenvolvimento e implementação de um BCMS , e no contexto atual podemos identificar com maior clareza possivelmente quais as as estratégias a implementar assim como a eficácia e eficiência das ações implementadas.
É crítico, por isso, rever e analisar os acontecimentos recentes no interior de cada organização e perceber o que já existe e que é válido, como decorreu a adaptação a novas realidades, quais os impactos daí resultantes, de que forma e com que recursos se gerem as diferentes atividades e, acima de tudo, que processos já estão definidos definidos para a retoma de atividade. Ou seja, qual a resiliência de uma organização.
Quando se fala em retorno da atividade devemos ter em conta três aspetos distintos:
- Retorno a um nível aceitável – qual o mínimo necessário para garantir que não existem quebras na cadeia de abastecimento.
- Retorno de atividade ao nível expectável ou mais precisamente ao nível das expectativas das partes interessadas – por exemplo, qual o nível na entrega definido pelos clientes
- Retorno dos recursos humanos disponíveis e capazes para gerir o novo normal – que novas competências a organização necessita e como assegurar a rápida interiorização de uma nova forma de trabalho
E esta reflexão deve ser aplicada não só ao contexto actual da pandemia mas a todas as situações identificadas e riscos relacionados. Nomeadamente, ataques informáticos, falhas de utilities, desastres naturais, falhas na cadeia de abastecimento entre muitos outros.
A complexidade e a ambiguidade do mundo hoje, é um alerta real para que as organizações se preparem para a interrupção inesperada das atividades e se adaptem a novas realidades, assegurando o futuro – “Preparar para o pior esperando pelo melhor”.
- Quais são, então, as vantagens para a implementação de um sistema de Business Continuity de acordo com a ISO22301 ?
Na minha perspectiva, as vantagens são muitas e são significativas. A principal, reflecte-se numa revisão da exposição da empresa ao risco e, consequentemente, na definição de processos robustos que permitam uma gestão eficaz em cenários de crise (uma vez mais reforço que situações de crise não só as pandemias ou os grandes desastres naturais, podem ser cyber ataques ou falhas na cadeia de abastecimento).
Considero ainda que os planos de testes são também uma mais valia significativa no envolvimento das equipas, permitindo que as mesmas tenham conhecimento efectivo das tarefas e responsabilidades em cada um dos cenários. E, por fim, que estão criadas as condições para a capacitação individual e das equipas na resposta aos cenários.
A percepção associada ao custo de um BCM tem também de ser mudada – um mau planeamento pode ter custos desastrosos em situações não antecipadas ou não planeadas. Pensemos por exemplo na falha de sistemas informáticos, a implicação que tem por exemplo na perda de informação vital, falha na receção de encomendas e potencial falha de entregas.
O potencial de contenção de custos é também um facto a ter em conta uma vez que um mau planeamento pode ter custos desastrosos em situações não planeadas. Pensemos por exemplo na falha de sistemas informáticos a implicação que tem por exemplo na perda de informação vital, falha na receção de encomendas e potencial falha de entregas.
Ou seja, com a implementação de um BCM, a imagem das organizações é reforçada pela evidência da sua capacidade de resiliência. E este é um fator diferenciador; construir uma parceria de reciprocidade em que todos os actores confiam que todos estão preparados para enfrentar contextos disruptivos.
- Estamos a falar de uma norma e abordagem completamente nova ou já existe algo similar ?
A ISO22301 não é uma norma nova muito embora tenha sofrido alterações em 2019 para que refletir a estrutura SL tal como todas as outras normas.
Tal com as restantes encontra-se estruturada sobre uma base comum de PDCA, sendo que a grande diferença poderá ser a implementação e o teste das estratégias definidas
Já sobre o seu conteúdo temos uma abordagem detalhada e especifica de aspectos já abordados em standards diferentes, como a IATF e, mais especificamente, a ISO 9001 que refere também referem a abordagem ao risco e a identificação dos riscos.
Quando analisamos a IATF 16949 encontramos algo já mais específico sobre os planos de contingência e o retorno à produção, após paragens programadas ou não programadas.
Ao fazermos uma leitura destes requisitos à luz do BCM, percebemos, então, quão frágeis são as abordagens que a empresas.
Muitas vezes, as estratégias falham logo no início ao fazer uma análise menos correcta e detalhada do impacto dos riscos no negócio (Business Impact Analysis) e ao enfocar somente na operação do dia a dia.
Na realidade, a grande maioria das organizações não define os cenários prováveis nem sequer considera cenários improváveis! Por forma a conseguir cumprir expectativas dos clientes. E, neste caso. necessita que se identifiquem, pelo menos:
- os níveis mínimos aceitáveis de funcionamento aceitáveis
- os tempos de recuperação aceitáveis e acordados
- os recursos necessários para s operações
- as competências requeridas
- o processo de gestão a interrupções
- os processos e responsabilidades de comunicação
- as atividades e processos prioritários
- Como implementar? Quais as fases e principais tarefas?
O primeiro passo é realizar uma análise do ponto de situação dos processos existentes, como é prática em qualquer projecto.
Posteriormente é necessário trabalhar com cada uma das áreas de negócio e avaliar cada processo, de forma a relevar as actividades e o impacto das mesmas.
Como é evidente, uma análise muito detalhada dos requisitos dos clientes, dos fornecedores e até das entidades credoras. Esta é uma fase crítica pois tem que ficar claro o que está acordado com cada uma das partes interessadas, nomeadamente nos acordos comerciais. E é nesta fase que iniciamos a descoberta das necessidades reais do nosso negócio, as chamadas letras pequenas….
Os recursos existentes têm também que ser avaliados; e aqui falamos tanto de recursos humanos, edifícios, equipamentos estruturas de IT, entre outros.
É evidente que para tudo isto é fundamental o envolvimento formal e institucional da Gestão. Tal como na IATF e nos requisitos de PSR, a responsabilização da Gestão é requerida na definição dos meios e processos de resposta a disrupções dos processos.
Depois desta avaliação inicial então passamos à definição e clarificação da estratégia de gestão de risco que a organização pretende adotar, das quais saliento:
- Estratégias de prevenção
- Estratégias de resposta
- Estratégias de recuperação
Resumidamente, as fases de implementação são as representadas no esquema em anexo.
Dolores Nobre é Auditora 3ª parte IATF 16949, Auditora Coordenadora ISO50001, ISO90001, ISO14001 colaborando com diferentes entidades certificadoras
Após um percurso de 20 anos na industria automóvel fundou a ESConsulting que se dedica à implementação de sistemas de gestão (IATF; ISO50001; ISO22301), com especial enfase na operacionalização dos processos e dinamização de equipas.
Mais recentemente adicionou ao seu portfolio a implementação de Sistemas de Continuidade de Negócio de acordo com a ISO22301.
No âmbito da atividade da sua empresa dedica-se também à negociação e gestão de contratos de energia.
Colabora também no processo de avaliação de projetos no âmbito do programa Europeu H2020.
Colabora com a OPCO na realização de auditorias VDA 6.3 . Formadora IATF e VDA 6.3
