Apesar de, tradicionalmente, ser um documento com foco na Gestão e na performance, o Plano de Continuidade de Negócios (PCN) vem cada vez mais absorvendo e endereçando aspectos de compliance em sua idealização e operacionalização. Saiba como sua organização pode construir um PCN consistente endereçando requisitos da ISO 37001.
Muitas vezes a maior dificuldade das organizações ao analisar a possibilidade de se preparar para um processo de auditoria para obtenção da certificação ISO 37001 é não conseguir interpretar a norma e identificar quais processos internos atenderiam aos requisitos.
Neste sentido, no presente texto, busco comentar contornos e conteúdo mínimo de um Plano de Continuidade de Negócios destacando que o documento também pode vir evidenciar o atendimento de alguns requisitos-chave da norma ISO 37001.
As funções de riscos, auditoria interna, controles internos e compliance são as protagonistas no processo de construção e manutenção de sistemas de integridade, sendo as áreas mais citadas pela norma ISO 37001, juntamente com a Alta Direção. Essas mesmas funções usualmente são responsáveis pela construção e execução do PCN.
Como um dos muitos legados da pandemia causada pelo COVID-19, as linhas de defesa e projetos como levantamentos de riscos e desenvolvimento de medidas de contingência e planos de continuidade de negócios ganharam mais protagonismo e foram objeto de esforços ao longo de 2020, sendo esta também uma tendência para 2021.
Isso porque empresas com maior sofisticação em termos de sistemas de gestão e estruturas de governança corporativa mais bem estruturados vivenciam os efeitos e impactos da crise de modo mais atenuado, na medida em que conseguem mitigar impactos negativos e agir com mais celeridade e assertividade.
O mapeamento de processos e controles traz conhecimento acerca de riscos, oportunidades e ameaças internas e externas, permitindo que as empresas possam se posicionar de modo mais relevante e estratégico e é pré-requisito para gerar insumos e parâmetros para a construção do PCN. Neste cenário, usualmente ocorre o processo de avaliação de riscos de suborno (Requisito descrito no Item 4.5 da ISO 37001).
O PCN deve abranger as áreas e processos essenciais, os quais devem ser definidos pela alta administração da empresa, prevendo sistemas, registros, premissas, cenários de indisponibilidade, mapeamento de fornecedores e prestadores de serviços essenciais, recursos mínimos, principais clientes, colaboradores-chave, estratégias essenciais, fluxos de tomada de decisão e comunicação entre as áreas, metodologias de testes de sistemas relevantes, detalhes sobre gerenciamento de riscos e gatilhos mínimos para acionamento dos procedimentos extraordinários previstos no plano.
No que diz respeito aos colaboradores-chave, é importante que o PCN contenha previsão de quem serão os membros do comitê de continuidade de negócios, bem como a definição dos responsáveis pela divulgação e atualização dos procedimentos de continuidade, que precisam ser revisados e adaptados de tempos em tempos, mesmo quando latentes. Sobre este ponto, é importante que os membros que irão compor o comitê tenham passado por uma due diligence de integridade, afinal, quando as engrenagens do PCN estão funcionando, sua atuação irá gerar alto impacto e repercussões tanto dentro quanto fora da organização. A norma ISO 37001 também vai endereçar este aspecto no item 8.2, em que trata de um processo de avaliação de riscos em relação às “categorias específicas de pessoal em determinadas posições”.
Em caso de concretização das situações de crise consideradas quando da elaboração do PCN, é importante que membros do comitê tenham como primeira atribuição a análise e eventual adequação de alguns fluxos, considerando aspectos e meandros específicos da situação de adversidade instaurada, bem como pacotes de incentivo governamentais e novos atos normativos anteriormente desconhecidos e que precisem ser interpretados e adicionados ao plano.
Os resultados financeiros e a manutenção de alto nível de produtividade também devem ser considerados, no entanto, é importante que sejam sopesados se a manutenção de alta performance corporativa puder vir a colocar em risco a saúde pública ou representar riscos de suborno ou possível impacto reputacional, por exemplo.
O PCN deve descrever e prever as responsabilidades dos colaboradores envolvidos de forma muito objetiva, clara e transparente, inclusive considerando eventuais riscos trabalhistas e buscando fugir de situações que possam configurar acúmulo de cargos e atribuições ou até mesmo eventual desvio de função.
Os eventos de contingência, ou seja, riscos de alto impacto capazes de justificar a utilização das engrenagens excepcionais, também devem ser muito bem definidos para evitar que o modelo seja acionado em situações que não justifiquem as consequentes e necessárias simplificações de processos, atalhos e flexibilização ou redução de etapas de análise e aprovação.
O ideal é que empresas elaborem seu PCN contando com suporte de especialistas com experiência e vivência em riscos e compliance. Também é altamente recomendável uma assistência jurídica adequada para o mapeamento consistente e abrangente e para a construção de fluxos, processos e procedimentos em conformidade com leis e regulamentos, bem como para assessoria em eventuais questões legais sensíveis envolvidas.
Se você quiser se aprofundar no tema, a norma ISO 22301 – Sistema de Gestão da Continuídade de Negócios é bom começo, deixo aqui o link com todas as informações do curso da Q Academy, academia de treinamentos da QMS Brasil.
Very interesting information!Perfect just what I was searching for!
Euro travel guide
I absolutely love your website.. Great colors & theme. Did you create this site yourself? Please reply back as I’m looking to create my very own blog and want to find out where you got this from or what the theme is named. Appreciate it!
Greetings! Very useful advice within this article! It is the little changes which will make the greatest changes. Thanks for sharing!
I absolutely love your site.. Excellent colors & theme. Did you create this site yourself? Please reply back as I’m attempting to create my own personal site and would love to know where you got this from or what the theme is named. Appreciate it!
Everything is very open with a clear description of the challenges. It was truly informative. Your website is useful. Thank you for sharing!
Your style is really unique in comparison to other folks I have read stuff from. Thanks for posting when you have the opportunity, Guess I’ll just book mark this web site.
Hey! Do you know if they make any plugins to assist with
Search Engine Optimization? I’m trying to get my website
to rank for some targeted keywords but I’m not seeing very good results.
If you know of any please share. Kudos! You can read similar article here: Warm blankets
I’m amazed, I have to admit. Seldom do I come across a blog that’s equally educative and interesting, and let me tell you, you’ve hit the nail on the head. The issue is something not enough people are speaking intelligently about. I’m very happy I came across this in my hunt for something relating to this.
It鈥檚 in all probability by no means good to name a automobile after your self and the Edsel, named after Henry Ford鈥檚 son, was a massive failure for the company.