Business Continuity Management (BCM) garante que as funções críticas de uma organização permaneçam operacionais para minimizar o impacto das interrupções nos stakeholders. Vamos explorar os passos práticos para implementar o Business Continuity Management dentro do contexto do planejamento estratégico.
Business Continuity Management. Uma abordagem para gestão de continuidade de negócios de acordo com a ISO 22301 envolve:
- Identificar elementos críticos de negócios
- Analisar ameaças e riscos
- Criar planos de prevenção e resposta, incluindo treinamento e simulações
- Acompanhar e aprender com incidentes
Para integrar esses elementos no planejamento estratégico:
- Empregaremos um método de decomposição baseada em valor
- Quantificar estratégias e planos com métricas de desempenho
- Manter registros acionáveis na forma de iniciativas, riscos e comentários
Identificação dos Elementos Críticos de Negócio
Nosso objetivo é identificar elementos-chave do negócio críticos para a continuidade do negócio. Usamos as seguintes perspectivas como ponto de partida:
- Sistemas de Informação
- Instalações e Localizações
- Parceiros e Partes Interessadas
- Recursos Humanos
- Ativos Físicos
- Recursos Financeiros
Business Continuity Management. Uma vez que os elementos e sub-elementos são definidos, podemos quantificar sua suscetibilidade a eventos de risco estabelecendo Objetivos de Tempo de Recuperação (RTO).
Para o Objetivo de Tempo de Recuperação, definimos:
- Unidades de medida (por exemplo, horas ou dias)
- O “Padrão” como o tempo de recuperação catastrófico
- O “Alvo” como o tempo de recuperação desejado
- O valor atual, como o tempo de recuperação estimado com base nas tecnologias e políticas em vigor
Business Continuity Management. Com esses dados, podemos calcular o desempenho de cada elemento de negócio em termos de suscetibilidade ou prontidão em caso de um evento de emergência.
Neste contexto:
- Um valor mais baixo (por exemplo, tempo de recuperação mais rápido) resultará em maior desempenho
- A função de desempenho não deve ser linear; a área extensa próxima ao padrão “catastrófico” deve ser a zona vermelha
Business Continuity Management. No BSC Designer:
- Defina o padrão de recuperação necessário, o alvo e o valor atual na aba Dados.
- Use a função “Decaimento exponencial” para criar uma função de desempenho com uma zona verde relativamente pequena para tempos de recuperação próximos ao alvo e uma zona vermelha significativa para tempos de recuperação mais longos.
O software permite o acompanhamento dos RTOs para cada elemento de negócio ao longo do tempo.
Análise de Ameaças e Riscos
Analise ameaças potenciais usando estas perspectivas como ponto de partida:
- Operacional
- Tecnológica
- Econômica
- Força de trabalho
- Segurança e proteção
- Ambiental
- Reputação
- Legal
Para cada ameaça relevante, realize uma decomposição em riscos específicos e conduza uma Análise de Impacto nos Negócios (BIA).
Business Continuity Management. Por exemplo, você pode decompor ameaças Tecnológicas em ‘ameaças de Cibersegurança’ e, mais adiante, em um ‘ataque de Ransomware.’
O risco, nesse caso, pode ser quantificado por meio de uma fórmula simples de estimativa de risco, como probabilidade multiplicada pelo impacto. Várias maneiras de definir riscos foram discutidas em um artigo separado.
Cenários de Resposta
Desenvolva cenários de resposta para ameaças com as maiores pontuações de impacto de risco.
Um cenário típico incluirá:
- Planos de continuidade de negócios (prevenção, resposta, recuperação)
- Plano de comunicação
- Planos de treinamento e teste
Esses planos podem ser quantificados por:
Métrica de atualização regular
Cobertura de treinamento
Sucesso em Simulações / Exercícios
Business Continuity Management. Considere ‘Cenário 1 – Ataque de Ransomware,’ que é dividido em:
- Planos de Continuidade de Negócios
- Treinar e Testar
A seção ‘Planos de Continuidade de Negócios’ inclui várias iniciativas:
- Estratégia de Prevenção
- Estratégia de Resposta
- Estratégia de Recuperação
- Planos de Comunicação
Dentro dos ‘Planos de Comunicação,’ a métrica ‘Plano revisado regularmente’ quantifica a frequência das atualizações. O responsável pela métrica recebe lembretes regulares para revisar os planos de comunicação, garantindo que as pessoas de contato e seus detalhes permaneçam atualizados.
Business Continuity Management. Para validar a eficácia da iniciativa ‘Estratégia de Resposta’, quantificamos com o indicador ‘Simulações / Exercícios’.
A seção ‘Treinar e Testar’ inclui a iniciativa ‘Treinamento e simulação de ataque de phishing’, juntamente com duas métricas:
- Cobertura de treinamento
- Simulações / Exercícios
Embora esses planos de continuidade sejam apresentados como iniciativas, uma decomposição adicional é possível. Podemos dividi-los em subobjetivos e métricas mais específicos.
Mapear incidentes ou perturbações
Para mapear incidentes ativos, inclua detalhes da perturbação e análise de causa raiz.
Para quantificar o impacto, podemos usar o índice de avaliação de impacto ponderado, que consiste em:
Impacto financeiro
Impacto nas relações com clientes (quantificado como uma porcentagem de clientes afetados)
Impacto nas operações (quantificado como uma porcentagem de operações críticas afetadas)
Impacto legal e de conformidade (quantificado por multas e outras consequências legais)
Impacto na reputação a longo prazo (quantificado como uma porcentagem de clientes perdidos ao longo de um período de 1 ano atribuído à crise)
Business Continuity Management. Para automatizar este índice na plataforma BSC Designer, considere usar a função de sincronização a partir do modelo, que permite manter os critérios de quantificação de impacto sincronizados com o modelo estabelecido.
Após resolver um incidente:
- Atualize a data de término no elemento ‘Detalhes e análise da perturbação’
- Altere seu status para ‘Concluído’
- Mapeie lições aprendidas e iniciativas de melhoria
- Mova o grupo ‘Incidente 1’ para a seção ‘Incidentes passados’.
Herança e intervalos de atualização para indicadores
Dependendo da natureza da quantificação, os indicadores no scorecard de continuidade de negócios precisam ser configurados de várias maneiras.
Métricas reutilizando valores anteriores (herdados)
Indicadores que quantificam o RTO (Objetivo de Tempo de Recuperação) estão configurados para usar valores herdados. Na prática, isso significa que o RTO definido para o ano atual será automaticamente aplicado para o próximo ano, a menos que seja redefinido. O intervalo de atualização para esses indicadores está definido para atualizações anuais ou semianuais.
Indicadores usados para quantificar a BIA (Análise de Impacto nos Negócios) também estão configurados para usar valores herdados. Os intervalos de atualização neste caso podem ser ajustados de acordo com a dinâmica esperada da ameaça, usando mensal para ameaças mais dinâmicas e intervalos trimestrais/anuais para ameaças estáveis.
Business Continuity Management. Métricas que não reutilizam valores anteriores (valores inseridos)
Métricas usadas para quantificar planos de continuidade de negócios, como ‘planos revisados regularmente’, ‘cobertura de treinamento’ e ‘exercícios de simulação’, são configuradas para intervalos de atualização trimestrais ou anuais. A opção de herança nesse caso é configurada como ‘Usar valores inseridos,‘ significando que não reutilizamos o valor anterior para o próximo período.
Por exemplo, se os planos estão marcados como revisados para o ano atual, para o próximo ano, precisaríamos revisar os planos novamente e atualizar o estado da métrica correspondente.
Métricas sem atualização programada
Por fim, o intervalo de atualização das métricas usadas para avaliação de impacto de incidentes é configurado como ‘Nunca‘, indicando que estamos interessados apenas em capturar o estado atual do indicador sem a intenção de monitorar sua evolução ao longo do tempo.
Vinculação por contexto e dados
O conceito fundamental de gestão de continuidade de negócios envolve estabelecer conexões entre:
- Elementos críticos de negócios
- Ameaças e riscos
- Cenários
- Incidentes reais
Ao criar essas conexões, equipamos nossa equipe com todos os detalhes necessários para responder efetivamente às ameaças e aprender com os incidentes.
Para implementar este conceito no planejamento estratégico, vinculamos todos os elementos mencionados por contexto. Dessa forma, podemos navegar de incidentes reais para os cenários correspondentes e, se necessário, explorar ameaças e análise de riscos.
Business Continuity Management. Para estabelecer contexto no BSC Designer:
- Copie o item de origem (por exemplo, cenário relevante) para a área de transferência.
- Selecione o item de destino (por exemplo, incidente coberto pelo cenário).
- Cole da área de transferência e escolha entre ‘Vincular por Contexto’ ou ‘Vincular por Dados.’
Conexões contextuais estarão disponíveis na aba ‘Contexto’ para ambos os itens.
Para navegar entre os itens, clique duas vezes na conexão relevante.
Aplicando a mesma lógica, estratégias de resposta com scorecards de estratégia dedicados podem ser alinhadas com incidentes, avaliações de risco e elementos críticos de negócios.
Um Scorecard de Estratégia para Resposta a Crises: Usando a COVID-19 como Exemplo
A estratégia de continuidade de negócios garante a preparação geral de uma organização para um evento de crise. Dependendo da escala da crise, uma estratégia de resposta específica pode ser elaborada. A pandemia de COVID-19 foi um exemplo, onde tal estratégia ajudou a focar os esforços e garantir o alinhamento estratégico.
Vamos revisar a estratégia de COVID-19 como um exemplo de estratégia de resposta a crises. O scorecard de estratégia seguiu a abordagem clássica do Balanced Scorecard:
Covid-19 Strategy Scorecard. Na perspectiva de Aprendizado e Crescimento, focamos nas habilidades e infraestrutura necessárias para executar a estratégia de continuidade de negócios:
- Educar os funcionários sobre a COVID-19 (medido pelo indicador de tendência “Penetração do programa de conscientização, %” e indicador de resultado “% de práticas realmente implementadas“)
- Realizar planejamento de cenários globais (com algumas iniciativas específicas alinhadas)
- Alinhar os sistemas de TI com os desafios do trabalho remoto
- Introduzir os funcionários aos princípios do trabalho remoto
Na perspectiva Interna, formulamos os objetivos relacionados aos sistemas de negócios internos que ajudarão a executar a estratégia de continuidade de negócios de forma eficaz:
- Proteção da força de trabalho
- Estabilização da cadeia de suprimentos
- Informar os stakeholders
- Implementar trabalho remoto (incluindo reuniões de estratégia para uma equipe distribuída)
Na perspectiva dos stakeholders, focamos nas necessidades dos nossos stakeholders (funcionários, clientes, parceiros). Aqui, mapeamos objetivos como:
- Antecipar impacto nas necessidades de saúde
- Antecipar impacto nas necessidades educacionais
- Antecipar impacto nas necessidades diárias
Outro stakeholder importante é a comunidade e suas necessidades. Se você tem um scorecard sem fins lucrativos dedicado, então você encontrará um objetivo semelhante lá.
O modelo de mapa de estratégia de continuidade de negócios inclui várias iniciativas alinhadas com o objetivo “Necessidades da comunidade”. Estas iniciativas descrevem maneiras possíveis de como uma organização pode contribuir:
- Reutilização de linhas de produção. Por exemplo, Inditex, proprietária da cadeia de lojas Zara, começa a fabricar roupas de hospital.
- Reutilização de produtos e serviços. Por exemplo, a Decathlon está doando máscaras de mergulho para hospitais. O Splendid do Grupo MSC foi convertido em um navio hospital.
- Contribuir para o distanciamento social. Por exemplo, o Correio Tcheco permite o envio de correspondência registrada gratuita via sua “Datová schránka” durante a duração da emergência declarada.
Devido às limitações de viagem, muitas empresas passaram de formatos de eventos presenciais para eventos online. Embora os custos das plataformas de streaming sejam menores, as organizações precisam lutar pela atenção dos participantes. Neste artigo, compartilhamos nossa abordagem para os eventos online que provaram oferecer resultados estáveis em termos de engajamento do cliente e impacto nos negócios a longo prazo.
Finalmente, na perspectiva financeira, mapeamos os objetivos financeiros relevantes e os resultados esperados. Neste caso, estamos falando sobre:
- Impacto na receita
- Apólices de seguro aplicáveis
Use o modelo Business Continuity Management
O BSC Designer ajuda as organizações a implementarem suas estratégias complexas:
- Inscreva-se para um plano gratuito na plataforma.
- Use o modelo
Business Continuity Management como ponto de partida. Você o encontrará em Novo > Novo Scorecard > Mais Modelos. - Siga o nosso Sistema de Implementação de Estratégia para alinhar as partes interessadas e ambições estratégicas em uma estratégia abrangente.
Comece hoje e veja como o BSC Designer pode simplificar a implementação da sua estratégia!
Alexis é Consultor Sênior de Estratégia e CEO na BSC Designer, com mais de 20 anos de experiência em planejamento estratégico. Alexis desenvolveu o “Sistema de Implementação de Estratégia em 5 Passos” que ajuda empresas na implementação prática de suas estratégias. Ele é palestrante regular em conferências do setor e publicou mais de 100 artigos sobre estratégia e gestão de desempenho, incluindo o livro “Sistema de KPI em 10 Passos”. Seu trabalho é frequentemente citado em pesquisas acadêmicas.