Catarina RattesApesar de, tradicionalmente, ser um documento com foco na Gestão e na performance, o Plano de Continuidade de Negócios (PCN) vem cada vez mais absorvendo e endereçando aspectos de compliance em sua idealização e operacionalização. Saiba como sua organização pode construir um PCN consistente endereçando requisitos da ISO 37001.
Muitas vezes a maior dificuldade das organizações ao analisar a possibilidade de se preparar para um processo de auditoria para obtenção da certificação ISO 37001 é não conseguir interpretar a norma e identificar quais processos internos atenderiam aos requisitos.
Neste sentido, no presente texto, busco comentar contornos e conteúdo mínimo de um Plano de Continuidade de Negócios destacando que o documento também pode vir evidenciar o atendimento de alguns requisitos-chave da norma ISO 37001.
As funções de riscos, auditoria interna, controles internos e compliance são as protagonistas no processo de construção e manutenção de sistemas de integridade, sendo as áreas mais citadas pela norma ISO 37001, juntamente com a Alta Direção. Essas mesmas funções usualmente são responsáveis pela construção e execução do PCN.
Como um dos muitos legados da pandemia causada pelo COVID-19, as linhas de defesa e projetos como levantamentos de riscos e desenvolvimento de medidas de contingência e planos de continuidade de negócios ganharam mais protagonismo e foram objeto de esforços ao longo de 2020, sendo esta também uma tendência para 2021.
Isso porque empresas com maior sofisticação em termos de sistemas de gestão e estruturas de governança corporativa mais bem estruturados vivenciam os efeitos e impactos da crise de modo mais atenuado, na medida em que conseguem mitigar impactos negativos e agir com mais celeridade e assertividade.
O mapeamento de processos e controles traz conhecimento acerca de riscos, oportunidades e ameaças internas e externas, permitindo que as empresas possam se posicionar de modo mais relevante e estratégico e é pré-requisito para gerar insumos e parâmetros para a construção do PCN. Neste cenário, usualmente ocorre o processo de avaliação de riscos de suborno (Requisito descrito no Item 4.5 da ISO 37001).
O PCN deve abranger as áreas e processos essenciais, os quais devem ser definidos pela alta administração da empresa, prevendo sistemas, registros, premissas, cenários de indisponibilidade, mapeamento de fornecedores e prestadores de serviços essenciais, recursos mínimos, principais clientes, colaboradores-chave, estratégias essenciais, fluxos de tomada de decisão e comunicação entre as áreas, metodologias de testes de sistemas relevantes, detalhes sobre gerenciamento de riscos e gatilhos mínimos para acionamento dos procedimentos extraordinários previstos no plano.
No que diz respeito aos colaboradores-chave, é importante que o PCN contenha previsão de quem serão os membros do comitê de continuidade de negócios, bem como a definição dos responsáveis pela divulgação e atualização dos procedimentos de continuidade, que precisam ser revisados e adaptados de tempos em tempos, mesmo quando latentes. Sobre este ponto, é importante que os membros que irão compor o comitê tenham passado por uma due diligence de integridade, afinal, quando as engrenagens do PCN estão funcionando, sua atuação irá gerar alto impacto e repercussões tanto dentro quanto fora da organização. A norma ISO 37001 também vai endereçar este aspecto no item 8.2, em que trata de um processo de avaliação de riscos em relação às “categorias específicas de pessoal em determinadas posições”.
Em caso de concretização das situações de crise consideradas quando da elaboração do PCN, é importante que membros do comitê tenham como primeira atribuição a análise e eventual adequação de alguns fluxos, considerando aspectos e meandros específicos da situação de adversidade instaurada, bem como pacotes de incentivo governamentais e novos atos normativos anteriormente desconhecidos e que precisem ser interpretados e adicionados ao plano.
Os resultados financeiros e a manutenção de alto nível de produtividade também devem ser considerados, no entanto, é importante que sejam sopesados se a manutenção de alta performance corporativa puder vir a colocar em risco a saúde pública ou representar riscos de suborno ou possível impacto reputacional, por exemplo.
O PCN deve descrever e prever as responsabilidades dos colaboradores envolvidos de forma muito objetiva, clara e transparente, inclusive considerando eventuais riscos trabalhistas e buscando fugir de situações que possam configurar acúmulo de cargos e atribuições ou até mesmo eventual desvio de função.
Os eventos de contingência, ou seja, riscos de alto impacto capazes de justificar a utilização das engrenagens excepcionais, também devem ser muito bem definidos para evitar que o modelo seja acionado em situações que não justifiquem as consequentes e necessárias simplificações de processos, atalhos e flexibilização ou redução de etapas de análise e aprovação.
O ideal é que empresas elaborem seu PCN contando com suporte de especialistas com experiência e vivência em riscos e compliance. Também é altamente recomendável uma assistência jurídica adequada para o mapeamento consistente e abrangente e para a construção de fluxos, processos e procedimentos em conformidade com leis e regulamentos, bem como para assessoria em eventuais questões legais sensíveis envolvidas.
Se você quiser se aprofundar no tema, a norma ISO 22301 – Sistema de Gestão da Continuídade de Negócios é bom começo, deixo aqui o link com todas as informações do curso da Q Academy, academia de treinamentos da QMS Brasil.
Gabriela Maluf
Adicionar Comentário