No ambiente imprevisível de hoje, as organizações estão mais vulneráveis do que nunca a interrupções causadas por desastres naturais, ciberataques, crises sanitárias ou constrangimentos logísticos, entre outros. Um Plano de Continuidade de Negócio ajuda as organizações a prepararem-se para interrupções, garantindo que possam continuar a operar, apesar dos eventos inesperados, e a retomar as operações o mais rapidamente possível de uma forma estruturada. Para tal, temos de estar conscientes do nível de preparação da organização para lidar com uma situação complexa, anómala e disruptiva. A Gestão da Continuidade de Negócio é uma disciplina de gestão chave que constrói e melhora a resiliência organizacional, oferecendo às organizações a capacidade de resposta perante eventuais interrupções nos seus negócios.
Mas qual a razão pela qual a Gestão da Continuidade de Negócio é essencial e como as organizações podem fazê-la de uma de forma eficaz? Aqui estão dois exemplos ilustrativos:
O terremoto e tsunami de 2011 no Japão causaram uma grave disrupção na produção da Toyota, que depende fortemente de uma cadeia logística global. A empresa já tinha desenvolvido um Plano de Continuidade de Negócio que incluía a diversificação de fornecedores e estratégias de recuperação rápidas. Embora tenha havido uma interrupção inicial, a Toyota foi uma das primeiras fabricantes de automóveis a retomar a produção, enquanto muitos dos seus concorrentes enfrentaram paradas mais prolongadas. Este exemplo mostra a importância de um Plano de Continuidade de Negócio. Organizações que investem em estratégias robustas de continuidade podem responder rapidamente a crises, minimizar perdas financeiras e proteger os seus colaboradores e os seus ativos. Há vários aspetos a serem considerados, mas neste caso, a preparação, a diversificação de fornecedores e a implementação de sistemas de backup e recuperação fizeram toda a diferença.
A gigante de logística global Maersk, em 2017, foi vítima de um ciberataque que afetou grande parte dos seus sistemas de TI e causou disrupções nas operações em todo o mundo. Graças ao seu Plano de Continuidade de Negócio, a Maersk conseguiu restaurar os seus sistemas em tempo recorde. Eles utilizaram backups e tinham equipas preparadas para agir rapidamente, o que permitiu minimizar as perdas e restabelecer as operações em apenas dez dias, apesar da magnitude do ataque e da dimensão da organização.
Num mundo onde as interrupções são inevitáveis, a Gestão da Continuidade de Negócio é essencial para garantir a resistência e a estabilidade de uma organização. Além de mitigar riscos e minimizar o tempo de inatividade, deve-se, procurar preservar os ativos, proteger as pessoas da organização, manter a confiança dos clientes e assegurar o cumprimento das obrigações regulamentares. Ao realizar uma avaliação de riscos completa, identificar funções, processos e recursos críticos e desenvolver e testar planos de contingência, as organizações protegem as suas operações.
Em 2012, quando o Furacão Sandy atingiu a costa leste dos EUA, muitas empresas ficaram temporariamente inoperacionais devido à falta de energia e à destruição de infraestruturas. A Verizon, no entanto, conseguiu mitigar os efeitos da tempestade devido ao seu Plano de Continuidade de Negócio robusto, que incluía sistemas de backup de energia, uma rede redundante de comunicação e equipas de resposta de emergência. A empresa conseguiu restaurar rapidamente os serviços de telecomunicações e manter as operações críticas.
Existe uma norma ISO, a 22301- Security and resilience – Business continuity management systems – Requirements, que deve ser levada em linha de conta, mas nunca ser o objetivo por si só. A implementação desta norma deve ser considerada como uma forma de dar tranquilidade a stakeholders que assim o requeiram e implementada de uma forma prática e não como um conjunto de pontos de uma check list que precisam de ser cumpridos e que só vão contribuir para o aumento da burocracia e de atividades sem valor acrescentado. Um Plano de Continuidade de Negócio pode ser um instrumento fundamental na gestão de uma crise, mas pode também ser uma peça inútil, burocrática e que apenas é um conjunto de pontos a cumprir sem qualquer critério. O Plano de Continuidade de Negócio deve ser uma ferramenta prática, simples e que esteja disponível a ser utilizado no decorrer duma crise, de forma a garantir que a organização responde da forma adequada a uma situação de disrupção e que retoma as operações o mais rapidamente possível.
A Gestão de Continuidade de Negócio deve observar os seguintes objetivos:
- Prevenção: compreender os riscos e potenciais impactos no negócio. Desenvolver ações de mitigação para os principais riscos;
- Resiliência: procurar minimizar a disrupção em atividades críticas implementando medidas de contingência;
- Resposta: gerir disrupções de uma forma estruturada – gerir a resposta, coordenar a recuperação e restaurar as operações normais;
- Recuperação: recuperar operações críticas dentro do tempo definido como objetivo.
Ultimamente, tem-se observado vários intervenientes do tecido económico a exigirem que as empresas tenham um Plano de Continuidade de Negócio. Já tive oportunidade de ver clientes a pedir aos seus fornecedores críticos a evidência de que têm um Plano de Continuidade de Negócio. Os reguladores, como é o caso do Banco de Portugal, da ASF e da CMVM, que também exigem aos seus regulados que tenham um Plano de Continuidade de Negócio. As infraestruturas identificadas como críticas, por lei (DL 20/2022), têm de identificar riscos, ter planos de segurança e recuperação, fazer testes e simulacros e registar incidentes. Os bancos, fundos de investimento e investidores estão a privilegiar investir em negócios que tenham um Plano de Continuidade de Negócio, como forma de mitigação do risco de suspensão das operações.
A falência do banco Lehman Brothers durante a crise financeira global colocou muitas empresas financeiras em risco. Aquelas que tinham um Plano de Continuidade de Negócio puderam ajustar-se rapidamente, transferindo ativos e liquidez para outras instituições, além de reorganizar suas carteiras de investimentos e assim conseguiram garantir a continuidade dos serviços financeiros aos seus clientes, apesar da instabilidade do mercado.
Quando pensamos num Plano de Continuidade de Negócio devemos pensar em algo que permita ajudar na gestão de uma crise. Durante o seu desenvolvimento vamos pensar em estruturas que devem operar em resultado de um constrangimento operacional. Aqui devem estar refletidas todas as decisões que podem ser tomadas antecipadamente. Por exemplo, se um determinado serviço é executado por uma unidade autónoma interna que é critica para o negócio devem estar já pensadas alternativas externas com os respetivos protocolos estabelecidos e formalizados.
Outro aspeto a considerar é a matriz de substituições dos elementos dos órgãos de gestão. Para além da matriz, devem estar preparadas e guardadas as procurações que transmitem poderes e responsabilidades aos procuradores, em caso de necessidade.
O Plano de Continuidade de Negócio não é mais que um exercício de antecipação e bom senso.
Para terminar, uma “lição” de uma situação que ocorreu no ano 2000 e que compara duas organizações: a Nokia que tinha um Plano de Continuidade de Negócio e a Ericsson que não tinha. Este exemplo em que a existência de fornecedores alternativos pré-definidos no Plano de Continuidade de Negócio foi fundamental e ocorreu com a Nokia durante o incêndio na fábrica da Philips, em Albuquerque, Novo México. Em março de 2000, um incêndio decorrente duma trovoada atingiu a fábrica da Philips na cidade de Albuquerque, nos Estados Unidos, onde eram produzidos chips semicondutores cruciais para a indústria de telecomunicações. Naquela época, tanto a Nokia quanto a Ericsson dependiam fortemente da Philips como um fornecedor crítico de chips.
A Nokia, graças ao seu Plano de Continuidade de Negócio, já tinha fornecedores alternativos identificados e processos internos que permitiam uma rápida adaptação a mudanças imprevistas na cadeia de abastecimento. Assim que souberam do incêndio, a Nokia agiu rapidamente, mobilizando as suas equipas e ativando o seu Plano de Continuidade. Em vez de esperar que a Philips resolvesse o problema, a Nokia começou a desviar suas encomendas para outros fornecedores de chips. Eles também trabalharam em estreita colaboração com a Philips para mitigar o impacto do atraso. Esta proatividade permitiu à Nokia manter a produção de seus dispositivos móveis quase sem interrupções, conseguindo atender à procura do mercado e proteger a sua posição competitiva.
Por outro lado, a Ericsson, que também dependia da Philips para esses componentes críticos, não tinha fornecedores alternativos predefinidos no seu Plano de Continuidade de Negócio. Inicialmente, a Ericsson não agiu com a mesma rapidez, acreditando que a Philips resolveria o problema em breve. Quando perceberam a gravidade da situação, já era tarde demais. A Ericsson sofreu enormes atrasos na produção de seus dispositivos móveis, perdendo uma parte significativa da sua quota de mercado para a Nokia.
Em conclusão, enquanto a Nokia saiu praticamente ilesa da crise, a Ericsson incorreu num prejuízo significativo e uma grande perda de quota no mercado de telecomunicações. O impacto foi tão grave que alguns especialistas consideram este incidente um dos fatores que levaram a Ericsson a perder sua posição dominante no mercado de telemóveis.
Ter um Plano de Continuidade de Negócio não é apenas uma boa prática, mas um instrumento importante para garantir a sobrevivência e o sucesso da organização em tempos de crise.