A Fraude Ocupacional: entendendo e mitigando a Oportunidade.


Mário Sérgio Ribeiro (*) O caso da Americanas trouxe de volta à cena as questões relacionadas à Fraude Ocupacional. As investigações prosseguem mas, os indícios, pelas notícias publicamente vinculadas, dão conta de que pode ter ocorrido uma fraude ocupacional (FO). Read more

Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

Os sinais de que um PCN pode não funcionar.

enigma.consultoria Sem categoria Leave a comment   , , ,

(*) Mário Sérgio Ribeiro

Em uma recente palestra sobre continuidade de negócios, uma pessoa na plateia questionou: Como posso ter certeza que meu Plano de Continuidade de Negócios (PCN) funcionará, caso precise dele? Resposta: Certeza, certeza, nenhuma. Talvez tenha mais incertezas do que certeza de que ele irá funcionar como você pensou e elaborou, do que propriamente certeza 100%. E a pessoa retrucou: e por quê? Respondi resumidamente o que a seguir resolvi transformar a resposta em um artigo. Vamos lá…

Já escrevi algumas vezes que você elabora um Plano de Continuidade de Negócios com o objetivo de utilizá-lo em caso de uma interrupção prolongada nas operações da empresa quer seja por qualquer tipo de evento. Claramente é um tratamento a um risco de interrupção de seus negócios que pode levar até, a descontinuidade do mesmo.

Pois bem, mas porque pode não funcionar como devido? Antes de mais nada queria apenas dizer que não tenho bola de cristal e nem tenho sinais de premonição. Vou apenas usar minha experiência profissional e acadêmica sobre o tema para opinar. Pode ser que eu esteja totalmente errado, e então vocês me perdoem. Dito isso, vamos aos sinais de que pode não funcionar…

Muitos PCNs que vi para depois construir um novo tem definido um escopo de proteção limitado. Ainda se comete o equívoco de olhar PCN como algo de TI, protegendo apenas esse recurso, parece incrível, mas é verdade. A definição do escopo dos recursos a responder a um risco de descontinuidade das operações é crucial. TI é apenas um dos recursos. Existem outros e eles devem ser contemplados. Uma empresa não vive apenas de um recurso. Esse leque de recursos depende do ramo de atividade que a empresa atua, mas figurinhas presentes em todos os ramos de atividade, inclusive manufatura, são: pessoas, processos, instalações, suprimentos e fornecedores/parceiros. Se começou errado aqui, grande chance de dar errado.

Um passo seguinte é a realização de forma mais detalhada e assertiva possível da Análise de Impacto do Negócio, que conhecemos como BIA (business impact analysis). O BIA feito fora das melhores práticas do mercado não traz o raio – x necessário dos processos da empresa e como resultado, a chance de definição de estratégias de recuperação não serão as melhores possíveis. Realizar o BIA requer um processo e uma metodologia para executá-lo, e não se trata de algo simples e rápido de ser aplicado e obtido os resultados. Infelizmente, não dá para buscar na Internet uma e achar que ela serve para aplicar em sua empresa. Vi vários BIAs executados dessa forma, com uma metodologia caçada na internet e que resultaram em Estratégias de recuperação bem equivocadas. Aqui então, nossa segunda chance de dar errado.

O outro passo é executar também de forma detalhada uma Avaliação do Risco. Aqui temos dois objetivos. Primeiro, fazermos uma avaliação completa, com resposta e plano de ação, para que diminuamos a chance de termos que utilizar o PCN e segundo, identificamos quais processos/componentes de nossa operação devam ter definidos estratégias de continuidade em caso de indisponibilidades. Mais uma chance de fazermos errado em face da especificidade do tema.

Um outro item importante é a definição das estratégias de recuperação para os recursos definidos em meu escopo de proteção. Como falei no início do artigo, alguns recursos são obrigatórios para todos os ramos de negócio, outros, entretanto, habitam apenas alguns ramos. Aqui, nesse passo, o buraco é mais embaixo, como diz o ditado popular. Somente com as etapas anteriores realizadas de forma sistemática e detalhada é que podemos selecionar e definir com assertividade as melhores estratégias de continuidade.

Outra, aqui é onde a Alta Administração deve coçar o bolso. Por mais que tenhamos possibilidade de adotarmos estratégias que não demandem grandes investimentos, esse é o momento da realização de algumas reuniões com aqueles que cuidam do dinheiro da empresa. Uma coisa boa é, que dependendo da experiência de quem está conduzindo a elaboração do Plano, é possível adotarmos estratégias com baixos investimento que atendam ao que o BIA e a Análise de Risco preconizaram. Já tive oportunidade de realizar vários projetos nessa linha. Aqui temos mais um item com enorme potencial de fazer com que, aquilo que se pensou que iria dar certo, infelizmente não deu!

Das Estratégias para frente entramos no que eu costumo chamar de 2ª Onda do PCN, que trata da elaboração do Plano, do treinamento das equipes e dos testes. É a partir da conclusão da 1ª onda (BIA, análise de risco e estratégias de continuidade) que podemos iniciar a 2ª onda.

Com relação à elaboração do Plano existem diversos modelos e formas de fazê-lo. O que é certo é que ele tenha que ter alguns atributos importantes:

  • Seja simples, sem deixar de conter todos os elementos necessários;
  • Que contemple todos os componentes, desde a definição ou não por sua ativação até a volta à normalidade;
  • Que seja desenvolvido de acordo com a cultura da empresa e não um copiar-colar de outros modelos;
  • Que esteja totalmente alinhado ao definido na 1ª onda do projeto; e
  • Que seja lúdico, facilmente encontrável para ser ativado.

São atributos nada complexos de se entender e praticar. Sim, mas já topei com alguns que não atendiam em nada esses atributos. Já vi plano com mais de 200 páginas, com texto absolutamente desnecessário, que não tinha absolutamente nada a ver com a cultura da empresa (foi desenvolvido para alguma outra e bum, copiar e colar), com tabelas e listas em branco e/ou completamente desatualizadas, que quem deveria coordenar o plano não sabia onde estava o documento para consulta e por aí vai…

O certo é que o Plano é um ser vivo e deve refletir exatamente o que a empresa precisa fazer para recuperar suas operações, no caso de ter ativado por conta de um evento. Conhecer o processo, metodologia e o modelo para sua elaboração é uma atividade que não admite erro, uma vez que esse documento será seu “companheiro” diante de uma crise. Então, encontramos mais um elemento, e talvez o principal, para que a coisa não funcione.

E o Treinamento, hein? Relegado por muitas empresas a um plano absolutamente secundário, pode ser visto como uma grande ameaça caso não se faça. Se você depende de pessoas para recuperar operações, como querer que elas atuem de forma correta naquilo que projetou para a crise se não treina as mesmas? Como querer que as equipes diversas do PCN trabalhem nessa crise, que não é igual ao dia a dia, se também deixa as mesmas de lado, não as treinando? É dar um tiro no pé. É remar tudo que remou até aqui e morrer na praia. Achamos mais um…

E por fim o Teste. Alguém sabe por que fazemos Teste do PCN? Sim, você pode responder, para checarmos se está tudo certo. Pode ser…talvez fosse melhor olharmos por uma outra fresta e nos perguntar: o que está fora dos conformes, o que está errado no Plano? Essa deve ser a visão quando realizamos Teste do PCN. E pode começar errado logo de início, quando não nos utilizamos de um processo para planejá-lo e executá-lo. Com o processo definido tenho que escolher o melhor método de acordo com o grau de maturidade da empresa para o tema. Muito erro ocorre por conta disso. Não queira fazer um teste de elevada complexidade e de alto impacto se for o primeiro Teste. Os testes ganham complexidade com a maturidade do plano. É importante ter em mente que vários itens podem não dar certo quando testamos; isso tem que acontecer! Imaginar o contrário é falta de experiência com o tema.

E por último lembrar que o PCN é um ser vivo e deve ser periodicamente revisado, no mínimo anualmente. Sei de muito PCN que ficou dentro da gaveta por anos; sorte da empresa que não houve nenhuma crise no período.

Isso me faz lembrar de uma história que me foi contada por um amigo acerca de uma auditoria de um órgão regulador à uma dada empresa. Vamos à ela:

O auditor, desconfiado de que o Plano mostrado era antigo, de pelo menos uns três anos atrás, pegou a árvore de chamada e aleatoriamente escolheu um nome. Todos sabemos da máxima de que auditor tem o dedo podre. Pois bem, o dito auditor escolheu um nome, pegou seu celular e ligou para o funcionário da lista. Ao ser atendido, disse que aquela chamada se tratava de um teste do Plano e que ele, o funcionário, deveria seguir os procedimentos treinado. Nisso, segundo a história que recebi, o pessoal da empresa ficou paralisado…Do outro lado da linha o funcionário simplesmente respondeu: deve estar havendo algum engano, pois eu me desliguei da empresa há mais de um ano…

De tudo que abordei aqui é importante assimilar que um Plano estruturado em bases frágeis, com várias vulnerabilidades em sua elaboração e implantação, certamente não vai cumprir com o objeto de sua existência: não permitir que a empresa deixe de operar dentro dos requisitos e parâmetros necessários.

Eu sinceramente devo confessar a vocês o que é pior: a empresa não ter um Plano e assumir esse risco e deixar para o improviso ou na mão de Deus para que algo não ocorra, ou acreditar que tenha um Plano que vai lhe tirar de uma crise e esse ser capenga, repleto de furos, se precisa ser usado, sabemos, aí só Deus ajudando!

Até a próxima.

________________________________________________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br