(*) Mário Sérgio Ribeiro

O ano de 2015 se aproxima do seu final e deixa um legado imenso de apreensão, mas também de aprendizagem. Os noticiários diuturnamente trouxeram incontáveis casos de corrupção, fraudes, subornos em um tour pelo código penal nunca antes visto nesse País. Aliado a isso, também nunca vi tanta negligência ao risco como nesse ano. Perplexidade? Frustração? Um pouco de tudo, mas também aprendizagem, amadurecimento… O que poderia nos trazer a esperança de volta nesse 2016?

É certo que vivemos um momento delicado em nosso país. A corrupção na política e em organismos públicos assola nossa imagem, fazendo com que muitos de nós, cidadãos brasileiros, nos sintamos ultrajados e, como muito vi em diversas redes sociais, a manifestação de se sentir envergonhado de ser brasileiro. Isso não pode ocorrer!

O ano de 2015 mostrou que temos um sistema político contaminado pelo toma lá dá cá, muitos dizem que isso é política, mas será? Não há qualquer preocupação para com a população, com as consequências dos atos e arranjos acordados. Conflito de interesse, tráfico de influência, entre outros correlatos, que em países com leis claras e onde são cumpridas com rigor certamente coloca esses camaradas atrás das grades, aqui é tratado como uma prática absolutamente normal. Como dizem esses malfeitores: isso é política!!

O combate à fraude, corrupção e ilícitos correlatos, como já citei em outros artigos, tem que começar com o propósito concreto de ser implacável com aqueles que cometem tais ilícitos, aonde o exemplo vem do andar de cima; antigo ditado, mas absolutamente correto. Não adianta o cara do andar de cima apregoar que sua empresa, entidade é ética, moral e que não permitirá qualquer desvio de conduta, que tem uma política que determina duras sanções, blabla.. se o próprio e seus próximos são os primeiros a descumprir o dito que os mesmos aprovaram. Isso não dá certo em nenhum lugar! O exemplo fornecido facilita a racionalização de quem abaixo esteja “na vontade” de fazê-lo. Cressey em sua teoria do triângulo já tratou sobre isso.

Esses ilícitos na Política trazem consequências sérias para a população. Infelizmente, diferente de entidades privadas, nossos políticos não tem patrão, pelo menos até a próxima eleição. Fazem e desfazem em proveito próprio e nosso sistema permite apenas que assistamos seus pernósticos atos. E o pior dessa história: sempre os mais pobres é quem pagam o pato!

E o que podemos dizer de várias de nossas empresas públicas? É triste, mas uma boa parte delas virou um cabide de emprego de partidos políticos com seus inúmeros conchavos. Uma pausa rápida aqui. Fiquei abismado com o número de partidos políticos registrados no país: 35! (Fonte: site do TSE). Pois bem, aquele bom funcionário que passou em um concurso público, que tem uma carreira formada ou em formação, tem que aturar de tempo em tempo um cupinxa do partido que está no poder como seu superior e claro, ganhando bem mais (os famosos cargos comissionados).

Aqui nos parece que uma parte das empresas públicas é uma terra sem dono, sem gestão, fruto desse apadrinhamento, desse sistema perverso de nomeação que eles próprios se permitiram. Exemplos não faltaram em 2015, onde claro, o mais famoso (infelizmente) é o da Petrobras, nossa maior empresa estatal.

E isso pode vir a trazer um problema ainda maior. Usando Cressey mais uma vez, funcionários até então honestos que estejam com alguma pressão e/ou mesmo motivado, veem, escutam pela rádio peão ou tem alguma evidência de que ilícitos possam estar sendo cometidos por apadrinhados e semelhantes, podem racionalizar que também tenham “direito” e bingo, está instalado o câncer, que se espalha rapidamente por todos os órgãos. Se ele pode, por que eu não?

As empresas privadas também não ficaram isentas em 2015. É, aqui temos empresas nacionais e multinacionais envolvidas em diversos escândalos,  sozinhas ou em conluios com funcionários de empresas públicas. A diferença da empresa privada dentro do contexto no qual estamos avaliando é que ela pode e deve agir de forma rápida, em ações que tentem recuperar sua marca. Trocam pessoas, mudam processos, pagam indenizações…tentam extirpar o mal rapidamente, caso contrário, certamente sucumbem. Por essa e por outra na maioria dos casos sua gestão de risco e seus processos de controles preventivos e detectivos são bem mais eficazes e rápidos. Os donos são conhecidos e próximos. As estruturas estão cada vez mais enxutas, proporcionando decisões mais rápidas. Ainda assim, também sofrem com tais ilícitos.

Já falei mais de uma vez que esses ilícitos devem ser combatidos com o tripé de domínios: Prevenção, Detecção e Investigação. Não podemos ficar o tempo todo correndo atrás do rabo, como costumo dizer, isto é, fazer a maioria das investigações para consumar as perdas financeiras e não financeiras. Prevenir é o remédio, mas na maioria dos casos os gestores não o fazem, pois não acreditam na chance de ocorrência, negligenciando totalmente o risco conhecido.

Muitos acreditam que Leis mais severas é a solução. Isso, em parte é verdadeiro. Leis severas entram no rol de controles de dissuasão, assim como políticas e códigos de conduta, mas para nosso País ainda é pouco. As brechas e os diversos subterfúgios encontrados em nossos códigos e leis podem jogar ladeira abaixo essa solução, que é conhecida de antemão por quem tem a intenção do cometimento.

Outro fato que marcou de forma contundente nesse 2015 foi a negligência com relação a riscos conhecidos, onde o exemplo mais dramático foi com o desastre das barragens em Mariana, MG.

Já falei mais de uma dezena de vezes que a disciplina do Risco deveria ser ensinada na escola, a partir do ensino médio, no grau que antigamente chamávamos de colegial/científico. Certamente evitaríamos muitos problemas com um processo educacional no tempo certo. Eu sei, vocês devem estar pensando, caramba, não se ensina e/ou aprendem o mínimo corretamente em disciplinas básicas como português e matemática, falar de risco, hummmm. É, eu sei, mas aí é um outro contexto. Só sei que pode ajudar e muito!

Vejamos: quantas pessoas morreram em 2015 vítimas de atropelamentos ou semelhantes por conta de um motorista alcoolizado? Apesar de não existir uma estatística centralizada abrangendo todo o país, há alguns números regionais e pela nossa percepção vendo os noticiários temos uma grave situação, com casos em que em um único evento, quatro, cinco pessoas morrem ao esperarem um ônibus.

Este é um caso clássico de assunção do risco que só se modifica por um longo processo de conscientização e educação. A Câmara dos Deputados aumentou a pena para mais de 20 anos para quem cometer um crime desses. Adianta?

Aqui é o mesmo problema que comentei acima, ajuda, mas em parte. A questão é que as autoridades devem entende como funciona a cabeça de um agente de ameaça desses e atuar. É uma somatória de erros. A pessoa acredita que está bem para dirigir, acredita na ideia de que até aquele instante nunca ocorreu qualquer evento danoso e racionaliza que será mais um em que nada ocorrerá, portanto, coloca a probabilidade em zero;por último, também acredita que o acaso não ocorre (alguém atravessa em sua frente de repente e …). Infelizmente é assim, acontece e há como mudar. Esse agente de ameaça precisa perceber os impactos que pode proporcionar aos outros e em sua vida, a despeito dos já citados subterfúgios que nossa lei permite. Se ele não respeita a vida dos outros, pelo menos respeite a sua, pois pode perder sua liberdade por um bom tempo enterrando diversos sonhos e carregando um fardo pelo resto da vida.

Outra categoria de eventos que é possível mitigar sua ocorrência são os incêndios, desabamentos e desmoronamentos ocorridos em 2015. Temos a falsa ideia de que a maioria ou a totalidade desses eventos são puro acidente ou obra do destino. Certo que não é. Peguemos alguns exemplos.

Em abril desse ano 12 pessoas morreram em Salvador vitima de desabamentos de diversas residências provocadas por fortes chuvas, que superaram em apenas 6% a média histórica para o período. Analisemos os fatos.

A ameaça, chuva, sabemos pela estatística sua provável frequência. Com modelos climáticos cada vez mais precisos, temos uma previsão de como poderá ser o regime de chuva para o curto, médio e longo prazo. Para ilustrar, já há alguns meses sabemos que o El Nino esse ano atingirá com fortes chuvas a região sul e sudeste.

Voltando. Se eu sei como a ameaça poderá se comportar, tenho que saber minhas vulnerabilidades e mitigar ou evitar o risco, nesse caso, com impacto de vidas.

Mitigo com obras de contenção trazendo o risco para o patamar mais baixo possível, ou evito esse risco, retirando as pessoas antecipadamente dessas áreas de risco. Simples? Claro, simples assim! Mas porque nem uma coisa e nem outra é realizada e temos que assistir a essas mazelas pela TV? Quantas mais veremos nesse final de ano e início de 2016 com as chuvas que se aproximam?

Pegamos outro evento, Incêndio.  Exceção àqueles provocados direta ou indiretamente por algum agente da natureza, as causas de incêndio em instalações podem ser intencionais ou não intencionais. As intencionais são aquelas provocadas pelo ser humano com intuitos diversos. Os nãos intencionais, ou são provocados pelo ser humano por um erro não intencional e/ou por alguma vulnerabilidade nas instalações elétricas e correlatas.

Na semana passada ocorreu um incêndio no fantástico Museu da Língua Portuguesa em São Paulo. De doer o coração. Infelizmente tivemos um bombeiro que morreu, mas poderia ter sido pior se não tivesse a rápida e astuta atuação do Corpo de Bombeiros. Segundo o comandante da operação, coronel Wagner Bertolini, se o fogo tomasse a torre da Estação da Luz, aquela com o relógio, a tragédia seria monumental: o campanário poderia desmoronar na direção das pessoas no Parque da Luz ou da CPTM. Quem mora em São Paulo como eu conhece o lugar: dezenas de pessoas poderiam vir a falecer.

A causa do incêndio ainda não se sabe. Foi levantada uma hipótese de curto-circuito provocado por uma luminária, mas sem a devida perícia. Mas algo chama atenção aqui. O Museu não possuía o famoso AVCB (Alvará de Vistoria do Corpo de Bombeiros), documento onde atesta as condições de uso pelo Corpo de Bombeiros. Desde 2006 o endereço estava em processo para obter o alvará de funcionamento. Segundo o coronel, de tempos em tempos eles solicitavam o Corpo de Bombeiros, era feita uma vistoria e apontado o que ainda faltava. Uma pergunta: quantos prédios públicos encontram-se nessa situação, como do Museu incendiado? Quantos riscos assumidos existem por aí?

Deixei por último o caso de Mariana. 62 milhões de metros cúbicos de lama, 16 pessoas mortas, o povoado de Bento Rodrigues arrasado em 11 minutos, 11 espécies de peixe extintas, e por aí vai. Evidências até agora levantadas pela perícia dão conta simplesmente de um grave caso de negligência ao risco em prol do lucro, isso mesmo, do dinheiro. Por ter conhecimento do risco de ruptura da barragem e não ter mitigado o risco, a Samarco responderá a uma ação judicial de 20 bilhões de reais.

O problema aqui não é de impacto financeiro, ou de sucumbência de uma empresa, é a morte de pessoas, a destruição de uma cidade e de todo um ecossistema. Não consigo acreditar em tamanho descaso!

Mais uma vez um caso descabido de assunção do risco. OK, enquanto se assume risco de impactos financeiros em empresas, tudo bem, trata-se apenas de dinheiro ou em hipótese pior, um evento catastrófico, da provável descontinuidade da empresa se não tiver contingenciamento. Mas aqui não, o risco assumido pode provocar mortes de pessoas, de um ecossistema com outros seres vivos. A barragem de rejeito em uso era a mais barata, a fiscalização era do jeito brasileiro e o negócio era obter o maior lucro, lógico na conta de mais e menos, a coluna de despesas deve ser sempre a menor possível.

Aprenderemos a lição?

2016 está a caminho e vejo as pessoas um tanto pessimistas, reticentes, mais duras, mas bem mais amadurecidas para uma série de fatos. Os impactos que sofremos nos fortalece, nos torna mais maduros, nos torna prontos a não errar novamente e trazermos sempre de volta para luta.

A fraude e seus “primos” correlatos que aqui comentei não se acabam do dia para a noite, assim como a negligência a riscos gravíssimos. São pessoas que cometem esses ilícitos e elas precisam ser punidas, mas também precisam ser melhoradas. Sabemos que essa melhora começa em casa desde cedo, com os pais. Por força de uma sociedade que não sabe exatamente para onde está querendo ir, a maioria dos pais terceiriza a educação de seus filhos, o que no meu entender é lamentável.

Essa educação em casa deve encontrar como parceiros um sistema educacional de qualidade, não só na transmissão de conhecimento, mas, sobretudo de valores; uma mídia escrita, falada e televisa de qualidade      que exemplifique e dê notoriedade ao que pode auxiliar a (re)construir uma nação.

Precisamos de uma revolução nos padrões comportamentais e de valores hoje presentes, disso eu não tenho dúvida. Não é possível se propagandear e dar mais importância a valores que sabemos de antemão levarão nossa sociedade a um caos. Essa revolução começa pela pratica de cada um daqueles que acreditam na ideia da boa educação e das praticas dos valores para uma sociedade mais ética e justa. Todos, sem exceção, têm o seu quinhão de participação nessa luta. Temos um longo caminho, mas precisamos acreditar na responsabilidade de cada um de nós. Eu tento fazer meu papel até onde posso, usando meus artigos, minhas aulas, palestras, consultoria. Onde puder, faço e não fico em cima do muro.

Espero que todos tenham um 2016 de esperança e que ela se torne realidade, fruto de nosso trabalho diário. Que assim possa ser!

Até a próxima!

_______________________________________________________________

(*) 56 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Mário Sérgio Ribeiro (*)

Confesso a vocês que em mais de 30 anos de profissão e com 55 anos de vida indo para 56 nesse ano, nunca, nunca vi tantos maus tratos com a Honestidade, Moral e Ética como nos últimos tempos. E olha que em algumas expertises de meus trabalhos convivo de forma direta e indireta com esses conceitos, mas, mesmo assim, estou boquiaberto. Só se vê fraudes, corrupção, suborno, propina, roubo de informação… Isso tem fim? O que falar para nossos filhos? Como os educadores estão se virando para tentar mostrar que o “outro lado” é o certo? Como pensar em um futuro digno para esse País?

Pensei em enumerar os casos mais cabeludos para reavivar nossa memória e “esquentar” o que quero falar, mas achei desnecessário. São tantos e a imprensa tem batido neles diariamente que nem preciso fazer isso. Vou direto ao ponto tentando responder:

(1) Tem jeito?

(2) O que precisamos dizer para aqueles que necessitamos educar?

(3) Como fazer?

Tem jeito?

Claro que tem! Os tempos são bicudos, as diversidades são enormes, mas é preciso agir. Vou propor uma solução em duas partes: ações de curto e ações de médio/longo prazo.

Antes de começarmos, apenas uma consideração teórica sobre aspectos comuns que alicerçam esse meu artigo a respeito de fraudadores/corruptos/corruptores/subornadores e todos “adjetivos” correlatos:

• a motivação, que combina uma predisposição e uma oportunidade;
• a presença de alvos disponíveis;
• a inexistência de controles internos e/ou externos ou a insuficiência destes;
• a desorganização social e/ou a perda de valores sociais e morais.

Em um curto prazo a classe política, as instituições públicas e as empresas privadas precisam primeiramente ter vontade, inserirem em seu sangue a cultura da moralidade, honestidade e da ética. Difícil? Alguns podem achar isso impossível, pois o sistema funciona somente dessa forma e ficar fora dessa é não crescer no capitalismo. Mas existe o caminho de fazer a coisa certa e uma série de países e empresas que viviam sob um sistema maléfico como esse deram a volta por cima e sobreviveram.

Este caminho deve primeiramente ter a tolerância zero com relação às pessoas que forem pegas com evidências claras de terem cometido um ilícito. Em uma empresa privada isso fica mais fácil, pois a flexibilidade é maior para se tomar de forma ágil ações punitivas (demissão, demissão por justa causa, processo judicial para recuperação de ativos, etc.).

Conheço diversas empresas privadas que adotam essa prática e o funcionário sabe disso desde o processo de seleção de emprego, passando pela assinatura de seu contrato de trabalho, onde, além disso, recebe cópias de código de ética, políticas de segurança da informação, antifraude e outros, até a palestra de integração, que ocorre em seus primeiros dias de emprego. Nessas empresas o exemplo vem de cima, uma velha máxima que tem um enorme valor. O funcionário sabe que se for pego com a “boca na botija”, com claras evidências, ele sofrerá as consequências que poderá manchar sua carreira para sempre.

Nas instituições públicas a coisa não funciona na agilidade e na eficácia que se deseja como ocorre na empresa privada. Processos percorrem um longo caminho, no máximo o funcionário é afastado de suas funções, quando isso ocorre, o que faz transparecer que a tolerância não chega nem perto do zero.

Com a classe política a coisa piora e muito. Os nobres políticos brasileiros parecem legislar a seu favor e não a favor da sociedade brasileira, e quando há notórias e categóricas evidências de ilícitos cometidos, sabemos com que velocidade a coisa anda e o seu desfecho. O que é uma vergonha!

O que é preciso nessa questão de tolerância zero é retirar todas as possibilidades de subterfúgios existentes e punir ágil e exemplarmente aqueles que são pegos em sua ilicitude, já que Leis para isso existem. Não pode ficar de forma alguma no ar o cheiro de impunidade. Essa tal impunidade é o motor para que outros potenciais criminosos fiquem motivados a fazer, e entramos em um loop, com elevada força centrípeta, que acelera a cada nova notícia de impunidade. Isso é mais do que evidente e os fatos só comprovam.

Ainda em curto prazo, notamos claramente que os domínios de Prevenção, Detecção e Investigação, com processos e implantação de medidas de controle carecem de uma qualidade em sua elaboração, e quiça, quando implantadas, são realizadas sem o rigor e cuidados necessários. Notadamente o domínio Prevenção, que já frisei em outros artigos, não é uma palavra praticada por nossas bandas.

Conforme pode ser visto em diversos casos noticiados pela mídia e fazendo uma engenharia reversa dos acontecimentos, percebemos claramente o quanto que a instituição não fez uma simples lição de casa no que tange à Prevenção. Se quisermos aprofundar um pouco mais, são vários os casos que alguma coisa errada estava acontecendo, o que quer dizer que controles preventivos foram burlados ou não existiam, e que os sinais eram claros para se realizar uma detecção/investigação para que a maionese não desandasse mais do que já estava. Espera-se a materialidade da perda chegar ao topo para fazermos alguma coisa, ou, ser noticiada pelo Jornal Nacional: “…Receita Federal desbarata quadrilha que fraudou 200 milhões de reais da ..!”. É absurdo, para não dizer bizarro! Achamos maravilhosa a notícia, mas os 200 milhões raramente voltam para quem de direito.

Enquanto não investirmos de forma maciça no conceito de Prevenção não melhoraremos a situação. É fundamental a implantação de políticas, processos e medidas de controle eficazes para que se diminua o risco desses ilícitos ocorrerem.

Um procedimento utilizado por países e empresas privadas e públicas em diversos países é a Denúncia Anônima para os ilícitos que estamos tratando nesse artigo. No último relatório da ACFE, mais de 40% dos casos de fraude e outros foram detectados e desbaratados por meio da Denúncia Anônima. Por que tão pouco é aplicado por aqui? Não tenho uma resposta, pois não consegui chegar a uma conclusão das respostas que recebi. Uma pena!

Para o médio/longo prazo o maior investimento deve ser na formação do ser humano, já que ele é o elemento causador. É uma solução que parece simples, mas infelizmente não é. A educação de uma pessoa começa em casa, desde cedo, ganha um parceiro ainda na infância, a escola, e tem um terceiro elemento, o relacionamento com as outras pessoas que não são sua família.

Tenho que infelizmente falar que a nossa sociedade está doente e todos precisam agir para o bem comum. Criamos uma sociedade que vem há algum tempo privilegiando o TER no lugar do SER, e isso é ruim demais. As consequências não são nada animadoras para as personalidades e caráter mais frágeis. A espiritualidade das pessoas ficou para qualquer outro plano, que não os primeiros. A coisa parece não ter volta…

Os ilícitos que vemos a todo o momento são praticados por pessoas que podem agir isoladamente ou por meio de associações com outras. Agem motivadas e/ou pressionadas e racionalizam sua ilicitude, seja porque algo lhe é devido, ou porque precisam fazer o seu pé de meia, já que se não o fizer, além de passar por idiota, outro vem e fará; até porque, usando a fraude como exemplo, ela é interpretada como fruto da corrupção sistêmica do capitalismo. O emprego do “sistêmica” se justifica, nesse caso, em virtude de a corrupção estar espalhada pela economia, em empresas de vários portes, do setor privado ou público. Há latente no sistema econômico, uma oferta e uma demanda pela fraude e outros ilícitos.

E como solucionar esse imbróglio? Com sólidos valores morais e éticos, que devem ser ensinados em casa, se possível diariamente e com exemplos práticos que ocorram no dia a dia. Nada de terceirizar esses valores para serem ensinados pela TV ou pela escola. Não se terceiriza o que é estratégico!

Essa, a escola, deve inserir em seu conteúdo noções básicas de moral, ética e cidadania. Essa parceria entre casa-escola é a chave para o sucesso de uma nova sociedade. Não existe solução mais barata e eficaz do que essa. Eu fui ensinado e educado dessa forma, e garanto que vocês também o foram. Se o elo fraco dessa corrente é o homem, é imperativo tratá-lo desde cedo.

Enquanto essa revolução não ocorre, o que devem fazer nossas empresas privadas e públicas para selecionar seu pessoal e colocá-lo para dentro de sua casa? Simples, procurar conhecer da forma mais detalhada possível quem é a pessoa sob a ótica do SER, e não somente sob a ótica do VOCÊ SABE FAZER. Privilegiamos de forma demasiada as competências técnicas e profissionais e deixamos literalmente de lado as competências de SER HUMANO e EMOCIONAL do candidato. Isso deve ser realizado com todo rigor antes de abrir as portas da empresa para o potencial candidato.

E o povo para eleger seus políticos? Infelizmente o povo ainda cai na lorota das retóricas e promessas estapafúrdias que a maioria espalha aos quatro cantos. Quando pararmos para avaliarmos o ser humano, sua ética e moral, suas competências emocionais, talvez poderemos quebrar o sistema que aí está. Claro que esse momento virá a acontecer na medida em que a educação que falei anteriormente venha a ser implantada.

(2) O que precisamos dizer para aqueles que precisamos educar?

Precisamos dizer que ter moral, ser ético e honesto vale a pena, mesmo que o educando pense que possa ser taxado de otário em um país de espertalhões. Que o certo é fazer o errado para se dar bem o mais rápido possível? Claro que não! É necessário fazer sempre o certo, mesmo que isso custe muito tempo. O caminho importa e muito. Como?

Vamos então:

• O Bem sempre vence o Mal: antigo e verdadeiro. Quem é o Bem e quem é o Mal? O Bem é o moral, o ético, o honesto, o não passar a perna nos outros, na empresa que dá o pão de sua família e que paga os teus carnês. Se existe um Deus, uma energia superior, é universal, é histórico, é estatístico, cedo, ou um pouco mais tarde, o Mal aparece e a pessoa pode passar vergonha, pode sofrer outras consequências nas mais variadas formas. A história é pródiga nesses ensinamentos. Tenho uma base histórica disso. Sempre vale a pena praticar o Bem. Sempre!
•  Dormir bem é necessário: você já escutou a frase: “coloco a cabeça no travesseiro e durmo como um anjo.” Você acredita que alguém que está sempre na mira de ser descoberto, na iminência de uma denúncia, que vive sempre preocupado pelos quatro cantos, consegue ter uma noite de sono sem um Dormonid do lado? Garanto para você que nem esses caras manjados que aparecem na TV conseguem. O cérebro consome uma boa parte de sua energia para pensar sobre os ilícitos, sobre maneiras de ocultar, de driblar tais pensamentos, etc. Em certo tempo o corpo vem cobrar a conta. Veja quantos que foram pegos, ou ainda estão soltos, tem uma face um tanto envelhecida, para não falar de outras consequências.
• O que você dirá a sua família e amigos?: todos consideram você um exemplo e de repente, bum, bingo, você é desmascarado e todos agora sabem que você cometeu um ilícito contra sua empresa ou contra a sociedade. E agora, o que fará? Certamente você carregará essa mancha pelo resto de sua vida. Vai querer isso? Sua família vai querer?
• Vencer os desafios, sem falcatrua: uma das boas coisas da vida não é somente conseguir o que desejamos, o que sonhamos. Melhor é saber que o caminho para se chegar lá foi o caminho de vencer os obstáculos por força própria, com suor, de fazer a coisa certa e ter conquistado seus sonhos Saber que os desafios foram vencidos e os sonhos conquistados sem ter passado a perna em ninguém, sem ter enganado seus chefes, sem furar com a moral e a ética, é o legado que você deixa para os seus e para a sociedade. Certamente seu epitáfio não terá mancha alguma e poderá ser escrito pelo Bem.

(3) Como fazer?

Eu tenho algumas estratégias e vou dividir com vocês. Vejamos:

• Comece pelo mau exemplo que aparece na mídia. Fale, escreva, se comunique com os seus mostrando o que será da vida do camarada dali para frente;
• De forma contrária, enfatize os bons exemplos que aparecem. O que certamente essas pessoas colherão? Qual será o seu legado?
• Livros, livros…A leitura de bons livros que ajudem a compor o caráter e a personalidade valem sempre a pena. Entre vários que tenho sobre o tema gostaria de indicar um especial: chama-se o Livro das Virtudes, de William J. Bennett, vol I e II, da Editora Nova Fronteira. Compre para seus filhos, netos, sobrinhos… Garanto que até você irá querer ler.
• Cobre da escola dos seus um conteúdo que o auxilie na educação e formação. Noções dos temas que tratei aqui nesse artigo devem ser abordadas, se possível, com exemplos do cotidiano.
• Para as empresas, vale o mesmo recado. Treinamentos periódicos voltados para o SER devem ser incluídos em seus programas. Garanto que todos aprovarão. E não fique com a ideia de que todos sabem de forma clara o que é ser Moral, Ser ético, etc. É um conteúdo que deve ser preparado e repassado em um programa de treinamento.

Precisamos cuidar das próximas gerações. Essa sociedade de consumo e de exposição está perdendo o rumo, o trem está fora dos trilhos. É necessário agirmos de forma rápida, para não termos que ficar assistindo a um show de horrores, de péssimos exemplos que está sendo imposto, não mais silenciosamente, mas de forma escandalosa.

Que tenhamos força, sabedoria e fé para enfrentar a situação.

Até a próxima!

_______________________________________________________________

(*) 55 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

Mário Sérgio Ribeiro (*)

Joseph Moses Juran, o guru da Qualidade, tem uma célebre frase: quem não mede, não gerencia. Quem não gerencia, não melhora. Parece bem claro o que mestre Juran diz, mas é preciso executar. Definir métricas e indicadores e de posse dos mesmos, elencar metas e de forma constante buscar pela melhoria contínua, parece ser algo claro e lógico.

 Nesse artigo desenvolvo esse tema que serve a todas as áreas de uma empresa. Apenas utilizo como exemplo uma área de vital importância nos dias atuais e que está presente em todos os setores que conhecemos: a TI, ou mais precisamente a Tecnologia da Informação. Vejamos…

 Vamos começar por tentar definir alguns termos que ainda existe certa confusão no mercado: medida, métricas e indicadores.

 Medida é a quantificação de dados em um padrão e qualidade aceitáveis (exatidão, completude, consistência e temporalidade). A Medida representa um dado.

 Métrica é uma extrapolação de medida, isto é, uma conclusão com base em dados finitos. Podemos entender como a relação entre duas medidas de grandezas iguais ou diferentes. Um exemplo pode ser a relação entre a quantidade total de chamados por mês no help desk de TI [número] e os chamados que são referentes a uma reclamação no mesmo período [número]. A Métrica representa uma informação.

 Indicador é uma representação de uma métrica para facilitar sua interpretação quando for comparada a uma referência ou alvo. Indicadores representam informações a partir das quais nós podemos avaliar uma dada situação e tirar conclusões. A seguir, um exemplo:

Em um dado mês foram medidos 500 chamados ao help desk e desses 500 chamados, 250 foram reclamações (sistema que não funciona, internet indisponível, etc.). Logo a relação 250/500 nos diz que 50% dos chamados em dado mês ao help desk são de reclamações. Então temos um indicador de reclamações no help desk para um dado mês: 50%.

 Esse indicador que conceituamos e, que na maioria das vezes é o único tipo que utilizado nas empresas, chamamos de Indicador de Resultados. Um Indicador dessa natureza monitora o efeito e não permite mais que se altere o resultado.

Entretanto, se quisermos de fato monitorar desempenho, por exemplo, dos processos e atividades de nossa Tecnologia da Informação, precisamos também ter o Indicador direcionador, que monitora a causa antes do efeito e traz a possibilidade de alterar o curso para que se alcance um determinado resultado.

 Vamos ilustrar o conceito voltando ao exemplo do help desk. A TI da empresa detectou que das 250 reclamações (50% dos chamados), metade deles, ou seja, 125 eram referentes à indisponibilidade com a Internet. Um Plano de Ação foi colocado em prática e em 30 dias um Indicador Direcionador foi determinado: que o percentual de reclamações junto ao help desk referentes à indisponibilidade da internet para o mês seguinte fosse de 10%.

 Ok, mostramos as definições e as ilustramos, mas, onde essas métricas e indicadores podem auxiliar ao gerenciamento de uma área tão complexa como a TI? Como elaborar essas métricas e indicadores? Como medi-los? Como interpretar os resultados para se ter uma melhoria contínua dos serviços? Vamos ver…

 Em mais de 30 anos de carreira raramente escutei em alguma empresa que a TI tenha 100% ou perto disso em termos de satisfação dos usuários e/ou do valor de suas entregas e serviços. São muitas as frases: “…TI é cara …TI não entrega o que promete…TI não entrega no prazo…faço minha reclamação e não sou atendido … esses caras ganham muito para fazer pouco…” e por aí vai o mundo de lamentações.

 Difícil comentar, mas minha experiência mostrou até hoje que existem assertividade e justiça em várias dessas reclamações, como também existe exagero e falta de conhecimento por parte do usuário ou cliente da TI em vários casos. O certo é que a TI é uma área nova no mundo dos negócios em relação às demais. E mais do que isso, é uma área técnica que carece de mecanismos de melhoria contínua de seus processos e atividades para alcançar seus resultados, para melhorar sua qualidade.

 Nessa linha de raciocínio e entre outras práticas que devem ser implantadas, a ideia de se elaborar e implantar métricas e indicadores para melhor gerir e governar a TI parece imperativo. Convencido da ideia você deve pensar qual deve ser o caminho? Por onde começar? O que fazer com os resultados medidos?

 A forma simples de se pensar e executar é sempre o melhor caminho. Lembrando que simplicidade não é sinônimo de se faltar com alguma coisa, de ser até negligente, é sim, o meio mais eficaz de se atingir um resultado desejado, otimizando todo e qualquer tipo de recurso.

Uma ideia de projeto pode ser:

 (1)  Olhar para a TI e ver como está estruturada em termos de processos e atividades de natureza estratégica, tática e operacional;

(2)  Para cada uma dessas três linhas, definir as métricas e indicadores desejáveis. Aqui é importante iniciar com poucas, mas as mais importantes métricas e indicadores. Critérios de importância devem ser definidos;

(3)  Como e quem irá medir as métricas definidas. Quais são os mecanismos utilizados para realizar a correta medição, qual a periodicidade;

(4)  Com as métricas medidas e os indicadores alcançados, realizar uma análise e fazer um benchmark com a área de atuação da empresa, ou, na falta da informação, com algo mais geral;

(5)  Nessa comparação, checar o quão estamos para o bem ou para o mal;

(6)  Definir “para onde queremos ir”.  Quais os indicadores a serem alcançados;

(7)  Elaborar um Plano de Ação e acompanhá-lo.

 Posso garantir a vocês que o resultado é notável. Realizamos diversos projetos de elaboração e implantação de Métricas e Indicadores em TI e em outras áreas além da TI e os resultados alcançados continuam sendo excelentes.

 Trata-se de uma prática que o setor industrial já o faz há muito, mas muito tempo. Vi isso de perto quando tive a oportunidade de trabalhar no setor industrial. Os resultados obtidos com essa prática para a indústria, assim como para qualquer outro setor que o implante, é auxiliar no controle de qualidade daquilo que se mede (produto, serviço, etc.). Esse parece ser o “pulo do gato”.

 A melhoria contínua da qualidade do produto/serviço com recursos otimizados, buscando alcançar padrões de excelência, é o desejo de todos. Joseph Duran dizia duas coisas para definir qualidade:

1. Qualidade são aquelas características do produto que atendem as necessidades dos clientes e, portanto, promovem satisfação com o produto;
2. Qualidade consiste na ausência de deficiências.

 Medir por si só não serve para nada se eu não sei o que fazer com o que foi medido. Se todo o projeto foi elaborado e executado de forma criteriosa, é possível retirar inúmeros benefícios de seus números, entre eles, a possibilidade de melhorar a qualidade daquilo que estamos produzindo e entregando aos nossos clientes. Interpretar o que os indicadores estão dizendo é um exercício extraordinário, é um mergulho naquilo que não está sendo planejado e executado dentro do que desejamos, do que o cliente deseja.

 Pelas já reclamações aqui citadas de usuários, alta administração, clientes, etc., a TI carece dessa prática. O valor da TI está sendo sempre medido por aquilo que ela entrega, como ela entrega, quando entrega e quanto cobra por isso. São inúmeros os processos e atividades que a TI exerce, inclusive, em vários desses processos, faz a Terceirização, o que pode aumentar seus riscos e alterar a perspectiva de valor para pior.

 Elaborar métricas e indicadores para a TI é uma forma de olhar “para o próprio umbigo” e enxergar o que eu não estou fazendo, ou se estou fazendo pouco. Essa, digamos, autocrítica, é o primeiro passo para controlar a qualidade daquilo que se faz.

 E fica aqui um recado final. Utilizei a TI como exemplo, mas a prática aqui comentada pode e, acredito até que deva ser utilizada por todas as áreas da empresa.

Até a próxima!

_________________________________________________________________________________________

(*) 55 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

(*) Mário Sérgio Ribeiro

Resolvi compartilhar nesse artigo, aliás, o primeiro de 2015, algumas reflexões que realizei sobre temas que trabalho e que há mais de vinte e cinco anos estudo e pesquiso. Farei isso sem uma ordem de prioridade do assunto; eles aparecerão de forma aleatória. Então, vamos lá.

Segurança da Informação

A maioria de vocês acompanha noticiário e devem ter reparado que nos últimos anos os casos envolvendo incidentes de segurança da informação crescem de forma vertiginosa, isso é fato. Esses incidentes, vindos de agentes de ameaça de dentro ou de fora da empresa não poupam ninguém. Pode ser empresa privada de qualquer porte, pode ser empresa pública, todos são alvos hoje em dia.

A competitividade e os interesses comerciais não são os mesmos de vinte anos atrás. Existe uma complexa teia comercial que envolve empresas de todos os portes, segmentos e tipo (privada, pública). E com o incremento espetacular da tecnologia da informação, tornou muito, mais muito mais fácil realizar qualquer transação, negócio, para o bem ou para o mal.

As pessoas, elo fraco nessa questão, também sabem disso, notadamente as mal intencionadas. Valores que eram cultuados em nossa sociedade há trinta anos saíram de moda, e deram lugar há outros “valores”. Isso tem mudado drasticamente, para minha tristeza. É preciso entender que existe hoje um punhado de pessoas que desejam se dar bem rapidamente, usando Maquiavel: o fim justifica os meios.

A informação continuará a ser por muito tempo o ativo, depois das pessoas, mais valioso que qualquer organização possa ter. E dessa forma é imperativo que a proteção da mesma seja realizada dentro das melhores práticas. É preciso ter em mente que quando estou falando em Segurança da Informação, falo de forma ampla, como deve ser, focada em: Pessoas, Processos e TI. É um erro crasso considerar apenas a parte da TI.

Nesse contexto, uma situação que não me parece muito fácil de lidar é com a potencialidade dos “celulares”, opa, digo, smartphones, de hoje em dia. Em uma velocidade espantosa tornaram-se um instrumento que não mais usa somente a voz, mas transmitem dados, fotos e vídeos em um piscar de olhos.

Para a Segurança da informação corporativa essas maquininhas devem ser consideradas uma ameaça; não há como pensar de outra forma. Imaginem a situação a seguir, absolutamente factível em qualquer empresa:

Alguém esquece um documento importante sobre uma mesa. Uma pessoa, de dentro ou de fora da empresa, com alguma intenção no momento ou guardando para um futuro, saca seu smartphone, bate uma foto (a resolução está cada dia melhor), envia para seu e-mail, para onde quiser, abre o local que enviou para certificar que chegou e faz a checagem, apaga a foto do aparelho e do e-mail enviado, para não deixar vestígio se alguma coisa der errada até sair da empresa. Realiza o processo em minutos.

Mas, o que a pessoa fará com a foto do documento que obteve? Eu tenho algumas conclusões e você certamente tem as suas. Posso garantir para vocês que as minhas não são nada boas.

E como tratar uma possibilidade como essa? Radicaliza-se, proibindo a entrada desses aparelhos? Assume-se o risco, e seja lá o que Deus quiser? Acha um meio termo, com políticas e controles de segurança? O fato é que a dinâmica do ambiente corporativo se alterna em uma velocidade dramática e por vezes temos a impressão de estarmos sempre atrasados em nossas ações. É difícil, mas se antecipar deve ser o verbo a se conjugar.

Fraudes e Corrupção

O ano de 2014 sem dúvida foi o ano dessa dupla: fraudes e corrupção. Durante os trezentos e sessenta e cinco dias do ano estimo que se houve uns dez dias de noticiário que não foi mencionada uma das duas palavras, ah, e mais a sua prima irmã Lavagem de Dinheiro, foi muito. Um verdadeiro absurdo!

E durante esse 2014 tive que responder muitas vezes a pergunta: professor, é possível se combater as dita cuja? Sim, desde que se queira. Metodologias e técnicas existem e estão aí para serem aplicadas. Falta atitude!

Ok, mas por que são tantas e ninguém as previne? Bingo, essa é a palavra, PREVINE. Ninguém as previne porque ninguém gosta ou acredita na Prevenção.

Fiquei refletindo porque a maioria acha sensacional o trabalho de A ou de B quando aparece na TV que foi pego fulano e cicrano que fraudaram alguma entidade em X milhões! Nossa, pegaram os caras! Que legal, parece bem bacana…só parece. Olhando pelo lado da interrupção do incidente, é ótimo, não haverá provavelmente mais prejuízo, mas é só. Há dois pontos aqui.

O primeiro é que para a esmagadora maioria desses incidentes não se consegue recuperar o que foi materializado, digo, a grana; ou, quando se consegue, o nível de recuperação é baixíssimo. Isso quer dizer que a maioria das perdas foi para o ralo mesmo.

Segundo. Se você for tecnicamente avaliar, a maioria desses incidentes de fraude e corrupção poderiam ter sido facilmente prevenidos evitando assim a sua materialização. E o custo da prevenção revela-se infinitamente inferior ao incidente materializado.

Fiquei pensando, ok, mas por que não se previne? Elucubrei algumas respostas:

• Falta de interesse;
• Falta de conhecimento dos resultados da palavra Prevenção;
• Interesses escusos ou interesses paralelos;
• Falta de recursos, digo grana, para investir na Prevenção (desculpa);
• Nunca vai acontecer isso conosco, só com os outros (negligência);
• E por aí vai.

Será que alguma coisa nesse cenário vai mudar para 2015?

Risco

Outra palavrinha que fiquei aqui pensando é sobre o Risco. Como a maioria do povo brasileiro parece não inseri-la em seu dia a dia. Se fizesse uma pesquisa na rua não sei se de cada dez dois acertariam com certa precisão a definição.

São tantos os acontecidos no ano passado e nos outros anos que já até lancei uma campanha para se ensinar o conceito de risco na escola, mas, enfim…vamos ver alguns exemplos:

A pessoa bebe e bebe muito e vai pegar o carro para dirigir… o cara compra três ar condicionado de muitas BTUs e não dá a mínima importância para sua capenga instalação elétrica … o camarada vai ao banco e saca 10 mil reais, enfia o dinheiro no bolso, fazendo aquele volume, que não chama a atenção de ninguém …a indústria armazena insumos de fácil combustão em áreas pouco arejadas e de rápida propagação de fogo … a pessoa volta do trabalho ou escola à noite e escolhe o caminho mais curto, mas aquele que é um verdadeiro breu … o cara sai com o helicóptero sabendo que no meio do caminho existe a previsão de que uma tempestade está se formando…o cara sabe que aquele morro já desbarrancou dezenas de vezes, mas vai lá e faz a sua casa …

Ligue a TV ou leia o noticiário diário que verá inúmeros, alguns até bizarros, riscos assumidos, como os citados. Aliás, não posso dizer se tratar de um risco assumido os exemplos que dei acima. Risco assumido é quando lhe é apresentado ou você enxerga o agente de ameaça, a ameaça, as vulnerabilidades, quantifica o risco e daí, o assume, como uma das respostas que são pertinentes à disciplina. Mas nos casos acima e tantos outros que temos nos deparado, é outra coisa, no mínimo, total negligência, falta de conhecimento, para não se falar algo mais grosseiro, sobre do que se trata o Risco.

No lado corporativo a coisa melhora um pouco, mas ainda há muito que se fazer. Infelizmente a maioria ainda prefere ter a sua base histórica para se mexer, aquela frase, que depois que passa a boiada é que vou fechar melhor o portão. Fazer o que, né? A maioria nem conhece os seus riscos e diz que eles estão assumidos, pois são baixos e não merecem tratamento, ou, pior ainda, nunca aconteceu então não vai acontecer!!!!

Quantificaremos quantas perdas dessas em 2015? Muda essa visão?

Tecnologia da Informação

Percebo claramente que ano após ano a área de TI da empresa deixa de ser vista como uma área técnica, que todos dependem e que geralmente nos traz problemas, para uma área estratégica, que guarda uma elevada importância nos negócios da empresa. Em alguns ramos inclusive, deixa de ser o suporte para os negócios, o coadjuvante, para ser o ator principal. Isso é notável!

Mas penso que existe ainda um bom caminho de melhorias. Fiquei pensando que a TI como provedora de serviços para seus clientes internos não tem um Controle de Qualidade de suas entregas. Falo aqui em Controle de Qualidade com base nas melhores práticas da indústria e não com Testes de sistemas, por exemplo, para se colocar em produção; não é nada disso.

Qualidade é um assunto delicado e exaustivamente discutido. Qualidade é entregar um produto/serviço dentro do que foi solicitado ou desejado pelo cliente, obedecendo a todas as especificações, requisitos e premissas, sem erro, sem imperfeições, sem volta. Isso deve ser feito dentro de prazos e custos muito bem planejados.

São raríssimos os casos em que vi uma área dessas de Qualidade dentro da TI. Na maioria parece que os caras não dão importância para o assunto, pois ainda estão resolvendo questões em outros níveis de maturidade. Mas, mesmo assim, é crucial pensar nesses tempos bicudos que Qualidade é básico, seu Controle é imperativo e sugerir melhorias a partir daí, passa a ser diferencial.

Era isso. Eu espero que tenhamos um 2015 de dedicação, trabalho e sucesso.

Até a próxima!

_______________________________________________________________

(*) 55 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

(*) Mário Sérgio Ribeiro 

Essa foi a pergunta que me foi feita em uma palestra recente: quem realmente precisa de um PCN? Toda e qualquer empresa? Apenas aquelas que têm alguém exigindo? O tom era um tanto desafiante, o que achei ótimo! Entre algumas das intenções, a pergunta tinha um endereço certo e parecia querer vestir a roupagem da maioria da Alta Administração das empresas que tem dúvida se o seu negócio precisa mesmo de um plano para o inesperado, que ninguém espera e claro, ninguém deseja. Agradeci a pergunta e depois de ter respondido, gostei tanto da questão, das discussões que se sucederam e pensei: porque não escrever um artigo sobre a questão?! Então, vamos lá. Vou tentar ser o mais didático e prático possível. Dessa forma vou dividir esse artigo em alguns tópicos. São eles:

• Do que trata um Plano de Continuidade de Negócios (PCN)?
• E o tal evento, ele ocorre mesmo?
• E a chance de ocorrência do tal evento?
• E o impacto, o que dizer dele?
• Enfim, quem realmente precisa de um PCN?

Do que trata um Plano de Continuidade de Negócios (PCN)?

Um PCN é um documento que você elabora, implanta, treina e testa que tem por objetivo operar como um tratamento a um risco que pode ocorrer. Mas, que risco é esse? O risco de seus negócios pararem de operar por conta de algum evento, evento esse que pode vir até a provocar a descontinuidade do negócio. Esse evento pode assumir, em termos da magnitude de seu impacto, algumas classificações. Para facilitar as coisas vamos considerar quatro deles: pequeno, médio, alto e catastrófico impacto. Em um evento de pequeno impacto as operações do negócio serão poucas ou muito poucas afetadas; as perdas resultantes são baixas. Em um evento de médio impacto as operações já são mais afetadas, trazendo certa indisponibilidade nas operações, com perdas razoáveis, tanto financeiras como não financeiras. Mais um degrau, um evento de alto impacto trará consequências bem danosas para o negócio por conta da paralisação total de várias das operações críticas da empresa. E por último, o catastrófico, onde todas as operações críticas e também as menos críticas são afetadas, podendo provocar a descontinuidade do mesmo. Esse tal PCN pode proporcionar em algumas de suas primeiras etapas de projeto uma análise desse impacto no negócio e os riscos associados. E essa é uma das ótimas entregas dentro do projeto: proporcionar que a empresa conheça a magnitude do impacto em seus negócios e os riscos que estão associados. A partir desse entendimento e análise é possível pular para a etapa de quais estratégias a escolher e entre elas, as melhores em termos de custo-benefício de continuidade de seus negócios. Dessa escolha rumo para a elaboração de meu plano, o treinamento das equipes e os testes finais.

E o tal evento, ele ocorre mesmo?

Enquanto estava escrevendo esse artigo, ocorria na cidade de São Paulo um incêndio em um depósito de armarinho de média para grande proporção; eram mais de 150 bombeiros que há três horas lutavam contra as chamas. Prejudicados? A própria empresa que sofria o incêndio e os seus vizinhos. Mas por que os vizinhos? Certamente a área deve ser bloqueada para rescaldo e verificação de segurança e as edificações vizinhas certamente sofrerão as consequências dos bloqueios de acesso. Lembram-se do desabamento de um prédio ocorrido no centro do Rio de Janeiro no início de 2013, onde cinco quarteirões ficaram interditados por semanas? Pessoas morreram e negócios sumiram por não estarem preparados para esse evento. Inesperado? Sim. Ocorre? Sim! Ou um cliente nosso que em um belo dia pela manhã foi avisado que o prédio precisava ser evacuado para averiguação, pois foram detectadas diversas rachaduras em seu interior. O bom dessa história é que o cliente tinha um PCN estruturado, implantado e testado e pode acioná-lo; caso contrário, as consequências para o seu negócio seriam gravíssimas. A lista de eventos que não dão aviso de que vão acontecer é grande, e a quantidade de casos dos quais disponho também. O que quer dizer que esses eventos ocorrem, por mais que possa existir uma baixa probabilidade. Falando de outra categoria de evento temos aquele que eu chamo de “esperado oculto”. Esses eventos são aqueles que em uma linguagem popular falamos mais ou menos assim: olha, você está esperando que aconteça alguma coisa para consertar isso aqui? Quantas vezes já não escutamos ou falamos essa frase. Já que falei de incêndio, vou pegar esse evento como exemplo para explicar o “esperado oculto”. As causas de um incêndio podem ser diversas, inclusive criminosa. Uma boa estatística de incêndio ocorre por conta de uma instalação elétrica fora dos padrões normativos e também pela absoluta falta de manutenção. Pois bem, eu particularmente já entrei em algumas instalações e pensei: isso só está ainda de pé porque alguém está rezando todos os dias para que não ocorra nada! Era uma lástima a instalação elétrica do lugar. A chance de que um incêndio pudesse ocorrer era enorme. O que eu quero dizer é que não temos somente o que chamamos de evento inesperado, que pode ocorrer por ameaças externas, situações climáticas e outros. Temos também eventos ocultos, às vezes não tão ocultos assim, dentro de nossa casa, que podem desencadear uma situação de crise e paralisação das operações da empresa. E só para categorizar de onde esses eventos podem se originar, vai uma pequena lista:

• Ameaças externas (a lista pode ser bem grande);
• Pessoas (internas e externas);
• Instalação (superestrutura e infraestrutura);
• Tecnologia da Informação.

E a chance de ocorrência do tal evento?

Essa é uma das perguntinhas que pode fazer com que uma empresa tenha como justificativa Não fazer o tratamento de um risco de descontinuidade, implantando um PCN. Vamos tentar desmistificar. Interpretemos essa chance de ocorrência de duas formas. A primeira delas e a usada para Não fazer o tratamento com PCN é a estatística. O pensamento na prática é mais ou menos esse: se não ocorreu um incêndio, então nunca vai ocorrer…se a TI nunca ficou indisponível mais do que 20 minutos, nunca ficará 2 dias … se, se…É possível eu escrever um número bem grande de eventos por cada fonte. As pessoas acreditam que a probabilidade advinda da estatística é a sua justificativa para Não fazer o tratamento. Infelizmente sinto dizer que isso é um erro! Vejamos a seguir. Estamos em uma época sem precedentes da humanidade. Com o avanço espetacular dos sistemas computacionais, temos a oportunidade de prever muitas coisas, de termos banco de dados fantásticos, etc. Infelizmente não conseguimos prever tudo e em muitos casos, nem nos damos conta de fazer isso. O que ocorre é que eventos inesperados acontecem em diversas categorias e não temos como prever a chance de sua ocorrência. Qual a chance de você saber quando alguém sabotará sua empresa? Que um equipamento crítico de TI vai parar de operar e desencadear um processo em cadeia? Que uma rachadura aparece em sua instalação? Que a instalação hidráulica do vizinho de cima rompe e inunda seu CPD que está embaixo dele? Que um evento climático ocorreu de repente e que inundou toda a região de sua instalação? Que um prédio vizinho desaba por conta de uma obra de reforma? Que um bando de criminosos furta a fiação elétrica da rua de madrugada, provoca uma elevação de tensão em sua instalação, e um princípio de incêndio se inicia? Quando…quando…Nesses eventos citados poderia até existir estatística, alguns até já ocorreram, mas não são comuns e conceituamos como inesperados. E os “esperados ocultos” que falei no início do artigo? Esses também ainda não ocorreram, mas estão esperando uma “mãozinha” para ocorrerem. As vulnerabilidades e a falta de controles básicos acentuam o risco; e ainda não entraram para o rol da estatística. E os “quase acidentes”? Isso mesmo. São eventos que em algum dia acenderam o sinal amarelo de que algo está errado em alguma fonte de evento, e que se não nada for feito, bum!, ele volta e pode fazer um belo estrago. É muito comum, muito mais do que imaginamos. Tenho inúmeros exemplos de “quase acidentes” que viraram catastrófico para as empresas. Então, não posso me basear na estatística para Não fazer o tratamento com PCN? Definitivamente Não! Você pode justificar por outros argumentos, mas esse, sinto dizer, Não!

E o impacto, o que dizer dele?

Em uma etapa da construção do PCN você faz uma Análise de Impacto no Negócio, o que se convencionou chamar no mercado de BIA (business impact analysis). O BIA é uma importante etapa, pois nos dá, desde que feito de forma metodológica e por pessoal habilitado, a oportunidade de entender quais os impactos (financeiros e não financeiros) que um evento, que dure uma hora ou que seja catastrófico (duração perda permanente), pode trazer para meus negócios. E aqui podemos dizer que estamos chegando à resposta, título desse artigo. Por quê? Porque o BIA traz uma radiografia, diria até uma tomografia em 3D, dos impactos que os negócios sofrerão por conta de eventos de indisponibilidade. O BIA é a fonte das estratégias de continuidade que devo selecionar, estudar e adotar para os vários recursos que compõem o escopo de proteção do PCN. Uma coisa importante a citar aqui é o dueto que o impacto faz com a chance de ocorrência de um evento. Veja, daqueles vários exemplos que citei, podem existir vários que tenham uma pequena chance de ocorrência (credito essa pequena muito mais a estatística do que a outra análise), mas se ocorrerem, seu impacto pode ser catastrófico, isso é, a empresa pode sair de circulação se não tiver um tratamento para isso, quer dizer, um PCN estruturado.

Enfim, quem realmente precisa de um PCN?

Vocês devem estar falando: Professor, o senhor deve estar de brincadeira!! Faz-me ler um monte de páginas para chegar aqui com a resposta? É que eu estou contando a história para vocês de como a coisa se desenrolou na palestra, só que aqui eu posso escrever, me aprofundar, lá tinha que ser resumido, ok? Bem, vamos à resposta. Em seguida a pergunta, que é título do artigo, a pessoa comentou que sua empresa teria certa disponibilidade de dias em algumas áreas e até de semana em outras, caso um evento de proporções maiores ocorresse. E que dessa forma, será que sua empresa precisaria mesmo de um PCN? O PCN é um tratamento de um risco. Ao pensar em tratar um risco você tem algumas alternativas, entre elas: aceitar, transferir e mitigar.

Aceitar, em nossa discussão seria: “vou deixar do jeito que está, e se acontecer algo, penso na hora o que vou fazer”. Não acredito que um evento possa ocorrer … minha empresa é pequena …não tenho dinheiro para isso…posso ficar algumas semanas sem instalação, TI, etc. que não vai acontecer nada com meu negócio, até eu achar outro lugar para dar continuidade. Enfim, encontro alguma justificativa e pronto, não faço nada.

Transferir. Se acontecer um incêndio, por exemplo, meu negócio está no seguro (vide o caso do incêndio no depósito de armarinho que citei no início do artigo). Transferi diversos riscos para um seguro, e se algo acontecer recebo o dinheiro. Ok, mas e o negócio, continua onde? Com quem? Como? Em alguns casos funciona como parte da estratégia.

Mitigar tem a ver com a redução de algum risco. Aqui nessa alternativa estacionamos nosso PCN. Se ter um PCN é ter a possibilidade real de continuar a operar o negócio, em caso de um evento de certa magnitude, essa é a alternativa escolhida. Tirando as empresas que são obrigadas por regulamentações de órgãos reguladores, não conformidades apontadas por auditorias externas/internas e outros, o restante das empresas estabelecem o plano e a gestão da continuidade de negócios se desejarem. A questão é saber o quanto desejam assumir o risco. Risco é uma questão de Governança, e cada empresa deve saber “onde aperta seu calo” nesse quesito. Se sua empresa, como da pessoa que fez a pergunta, que disse que a empresa poderia ficar dias e até semana sem operar em alguns processos que não traria maiores consequências, e que acreditava que não precisaria de um Plano, mesmo assim, é importante saber e colocar no papel o que você fará se a crise se estabelecer. Sinceramente eu não consigo listar processos críticos em alguns negócios que possam ficar dias ou semana sem operar, mas…
Na lista de dispensa de um PCN incluo agências bancárias, supermercados e semelhantes. A estratégia de continuidade nesses casos é a agência mais próxima, a loja de supermercado mais próxima.

No mundo extremamente competitivo que vivemos vários ramos e negócios, independentes de tamanho, não podem assumir o risco de não poderem, do dia para noite, não terem como operar mais. Se forem obrigados ou não a terem um Plano desses, é fundamental a demonstração de que conhecem e entendem o risco e, que desenvolveram e estruturam estratégias mitigatórias para o risco maior de uma possível descontinuidade. Funcionários, Acionistas, Clientes, Parceiros, Seguradoras, etc. por certo agradecem a Alta Administração dessas empresas!

Até a próxima! ________________________________________________________________________________________

(*) 55 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br