Sistema de Gestão de
Continuidade de Negócios - ISO 22313: Contexto da Organização
Flavio Fleury de Souza Lima, MBCR, CEGRC, CIEAC, CISI, CIGR
Especialista nas áreas de imposto sobre a renda, contribuição social sobre o lucro líquido, PIS e Cofins. Formado pelo CPOR/SP, é graduado em administração de empresas pelo Mackenzie e cursou direito na UNIP. Atualmente trabalha como Diretor Associado de Risco Corporativo na Brasiliano INTERISK
Maio | 2023
Entendendo a Organização e seu Contexto
O contexto da organização é um elemento fundamental no SGCN (Sistema de Gestão de Continuidade de Negócios), pois permite que a organização identifique e compreenda os fatores internos e externos que podem afetar sua capacidade de continuar operando em situações de crise.
O contexto da organização inclui fatores como a cultura organizacional, a estrutura de governança, as políticas e objetivos da organização, bem como as condições externas, incluindo o ambiente regulatório, a concorrência, as condições econômicas e as expectativas dos clientes e das partes interessadas.
Ao entender o contexto da organização, a equipe responsável pelo SGCN pode identificar os riscos e oportunidades que afetam a continuidade dos negócios e desenvolver estratégias para lidar com eles. Isso inclui a identificação de ameaças potenciais, como desastres naturais, falhas de infraestrutura, interrupções do fluxo de suprimentos e ataques cibernéticos, bem como a avaliação da capacidade da organização de lidar com essas ameaças.
Além disso, o contexto da organização pode influenciar a forma como o SGCN é implementado e gerenciado. Por exemplo, uma organização com uma cultura de gestão de riscos forte pode ser mais receptiva à implementação do SGCN do que uma organização que não valoriza a gestão de riscos.
Entendendo as necessidades e expectativas das Partes Interessadas
No SGCN há que se entender, também, quais as necessidades e expectativas das partes interessadas (indivíduos ou grupos que podem afetar ou ser afetados pelas atividades da organização, incluindo clientes, fornecedores, funcionários, acionistas, reguladores, comunidade local e outros). No contexto do SGCN, é importante identificar as necessidades e expectativas dessas partes interessadas para garantir que o sistema atenda às suas demandas e expectativas.
As necessidades e expectativas das partes interessadas no SGCN incluem:
1. Continuidade dos negócios: as partes interessadas esperam que a organização tenha um plano de continuidade de negócios eficaz para garantir que as operações não sejam paralisadas em situações de crise.
2. Proteção de dados e informações: as partes interessadas esperam que a organização proteja seus dados e informações confidenciais, incluindo informações pessoais e financeiras.
3. Conformidade regulatória: as partes interessadas esperam que a organização cumpra as leis e regulamentos aplicáveis, incluindo normas de segurança e privacidade.
4. Comunicação eficaz: as partes interessadas esperam que a organização forneça informações claras e precisas sobre a continuidade dos negócios e as medidas tomadas para lidar com situações de crise.
5. Responsabilidade social: as partes interessadas esperam que a organização seja responsável socialmente e tome medidas para minimizar o impacto de suas operações no meio ambiente e na comunidade local.
6. Transparência e prestação de contas: as partes interessadas esperam que a organização seja transparente em suas operações e preste contas sobre suas atividades e desempenho.
Determinando o Escopo do SGCN
Determinar o escopo do SGCN é outro passo importante para garantir que o sistema seja eficaz e atenda às necessidades da organização. O escopo do SGCN deve ser definido com base nos objetivos da organização e nas ameaças e riscos que podem afetar suas operações. Para determinar o escopo do SGCN, é necessário seguir os seguintes passos:
1. Identificar as atividades críticas da organização - As atividades críticas são aquelas que são essenciais para a continuidade dos negócios e que devem ser mantidas em caso de interrupções ou desastres. É importante identificar essas atividades para que o escopo do SGCN possa ser definido com base nelas.
2. Identificar as ameaças e riscos - As ameaças e riscos são eventos que podem interromper as atividades críticas da organização. É importante identificar essas ameaças e riscos para que o escopo do SGCN possa ser definido com base neles.
3. Definir os objetivos do SGCN - Os objetivos do SGCN devem ser definidos com base nas atividades críticas e nas ameaças e riscos identificados. Os objetivos devem ser claros, mensuráveis e alinhados com os objetivos estratégicos da organização.
4. Definir o escopo do SGCN - Com base nas atividades críticas, ameaças e riscos identificados e nos objetivos do SGCN, o escopo do sistema pode ser definido. O escopo deve incluir as atividades, processos, áreas e unidades de negócio que serão abrangidos pelo SGCN.
5. Documentar o escopo do SGCN - O escopo do SGCN deve ser registrado em um documento formal, como uma política ou um plano de continuidade de negócios. O documento deve ser revisado e atualizado regularmente para garantir que o escopo do SGCN continue a atender às necessidades da organização.
Em resumo, o contexto da organização é um elemento crítico no SGCN. Ele permite que a organização identifique e compreenda os fatores internos e externos que afetam sua capacidade de continuar operando em situações de crise e desenvolva estratégias para lidar com eles. Desse modo, ao identificar e atender às necessidades e expectativas das partes interessadas, a organização pode aumentar o grau de confiança e de satisfação dessas partes interessadas, melhorar sua reputação e minimizar o risco de perda de negócios e danos a sua imagem.
Ao determinar o escopo do SGCN, é importante envolver as partes interessadas relevantes, como os líderes de negócios, os responsáveis pela gestão de riscos e os funcionários que desempenham atividades críticas. Isso garantirá que o escopo do SGCN seja abrangente e atenda às necessidades da organização.
O Software INTERISK dispõe de um Módulo específico de Gestão de Continuidade de Negócios totalmente parametrizável em função das necessidades do cliente. Essa ferramenta pode se tornar uma grande aliada na estruturação de um Sistema de Gestão de Continuidade de Negócios para sua organização.