De pouco servirá um Plano de Continuidade de Negócios no papel, se não estiver alinhado com os processos core de negócio da organização e a sua eficácia não for testada e atualizada em permanência.
A pandemia mostrou que os cenários mais improváveis também podem ocorrer e que um plano de continuidade de negócio, corretamente definido, implementado e testado, pode ditar o sucesso de uma organização, durante uma situação de crise e em contextos adversos.
Em termos práticos, um Business Continuity Plan (BCP) vai muito além da tecnologia; claro que deve incluir os recursos tecnológicos como uma base critica para a garantia da continuidade das operações, mas inseridos num contexto mais amplo, no qual são detalhados todos os processos e procedimentos necessários para garantir que os negócios se continuam a decorrer, com a maior normalidade possível, em cenários desafiantes e de disrupção.
Por via das apertadas regras de compliance, o setor financeiro é normalmente muito regulado, situação que contempla a existência de um conjunto de planos, políticas e procedimentos, nomeadamente a existência de um Business Continuity Plan efetivo e pronto a ser colocado em ação, no caso de uma crise. No entanto, tirando as grandes instituições financeiras, muitas organizações de menor dimensão poderão estar a descurar alguns layers de proteção e sustentabilidade necessários.
As tentações mais comuns
Ao acionar o seu plano de contingência, respondendo a um evento disruptivo, a organização está normalmente em modo de sobrevivência, num estado de grande vulnerabilidade. E este estado toca diretamente numa questão de importância acrescida no setor financeiro – a confiança e a credibilidade -, que podem ser rapidamente postas à prova, com impacto potencial nos acionistas, colaboradores, clientes e entidade reguladora.
Se a existência de um Business Continuity Plan é a única resposta correta nestas situações, é também essencial que este esteja alinhado com o negócio, atualizado e totalmente testado. E, para isso, as organizações deverão fugir às três tentações mais comuns quando falamos de um BCP:
1. O BCP não é apenas um Disaster Recovery Plan
Muitas organizações definem e implementam um Disaster Recovery tecnológico para proteger a sua informação, encarando-o erradamente como um plano de continuidade de negócio. É muito importante que o alinhamento com os processos core de negócio seja garantido, assegurando a proteção efetiva dos ativos mais críticos e que as restantes vertentes do BCP estejam igualmente asseguradas (ex. processos, pessoas, fornecedores, comunicação, respostas, recuperação, conformidade legal, etc.). Um DR é uma componente do BCP e não o contrário.
2. Assessment (des)atualizado
A realização de um assessment completo e detalhado é o primeiro passo para conceber um plano de continuidade que abranja todas as necessidades reais e específicas de uma organização.
Por outro lado, em muitos casos, as indicações fornecidas por esse assessment inicial acabam por ficar desatualizadas, quer devido a alterações na estrutura da própria empresa (crescimento orgânico, aumento do número de colaboradores, novas áreas de negócio, novos procedimentos ou alteração da localização, por exemplo), quer causadas por alterações externas (contexto social, económico, legal ou de mercado).
Por isso mesmo é imperativo efetuar uma revisão da “posição atual” da empresa sempre que se verifiquem alterações, de forma a garantir que o Business Continuity Plan acompanha verdadeiramente as mudanças do contexto – seja ele interno ou externo.
3. BCP não testado ou testado parcialmente
Tão importante como perceber as reais necessidades de uma organização, e/ou criar um BCP verdadeiramente adaptado e atualizado face a esses requisitos, é a realização de testes ao Business Continuity Plan implementado.
Uma vez mais, muitas organizações descuram esta etapa, optando por fazer testes parciais a alguns processos incluídos no plano global, ou confundir a realização de um teste ao BCP com um simulacro de teste ao seu plano de emergência.
Ora da mesma forma que as empresas seguem à risca os testes a potenciais situações de emergência, deverão também fazê-lo aos restantes procedimentos incluídos num BCP, de forma integral, avaliando todos os mecanismos e procedimentos de gestão da crise e recuperação.
Transformar as adversidades em vantagens
O atual contexto pandémico trouxe-nos o ensinamento de que as imprevisibilidades acontecem mesmo, por muito baixa que seja a probabilidade, e que as organizações devem estar preparadas para enfrentar esses cenários de crise.
O que nos leva ao momento de rever a estratégia de continuidade, a sua ligação com o negócio e os planos de operação e de recuperação – com o propósito muito concreto de antecipar novas situações disruptivas, com elevado impacto financeiro e reputacional.
É critico garantir que os planos de continuidade de negócio estão atuais, estão testados e são transversais, permitindo saber, do lado do negócio, o que é critico, se as medidas de proteção e mitigação foram dirigidas a esses ativos cruciais, se são ajustadas e eficazes.
Um Business Continuity Plan bem estruturado, bem atualizado e bem testado garante às organizações uma melhor capacidade de resposta às adversidades e às mudanças, permitindo tornar a resposta a um cenário menos positivo num facto diferenciador.
Saiba mais sobre Business Continuity ou descarregue a Datasheet "Improve your Business Resilience".
