Este artigo fornece uma visão geral da GPG Prática Profissional 1 (PP1) – Gestão de Políticas e Programas, a primeira das seis práticas profissionais, e discute a importância e recomendações para estabelecer a base para um programa de continuidade de negócio repetível e escalável.

VISÃO GERAL DA PP1

A PP1 descreve uma série de atividades que as organizações devem considerar completar antes de realizar atividades de planeamento de continuidade de negócio (análise de impacto empresarial através de exercícios):

  • DEFINIR UMA POLÍTICA DE CONTINUIDADE DE NEGÓCIO que “comunique às partes interessadas os princípios aos quais a organização aspira” ao delinear o propósito e objetivos do programa de continuidade de negócio. Uma declaração de política de programa sólida deve ser breve e sucinta, fornecendo também os detalhes necessários do programa pelos quais o seu desempenho pode ser medido. A PP1 sugere que as políticas forneçam a definição de continuidade de negócio da organização, âmbito do programa, partes envolvidas e como o programa será gerido.
  • DETERMINAR UM ÂMBITO DO PROGRAMA que defina “o que [o programa] foi concebido para proteger e a extensão máxima de danos, perdas ou interrupção que a organização pode realisticamente sobreviver”. Frequentemente, as organizações escolhem focar primeiro o seu programa de continuidade de negócio numa subsecção da organização (em oposição a toda a organização), tipicamente com a gestão a selecionar os produtos ou serviços mais importantes que a organização oferece (por exemplo, geradores de receita, voltados para o exterior). Uma declaração de âmbito bem desenvolvida documenta claramente o que está e não está (exclusões) incluído no programa. Isto ajuda a focar recursos no que é mais importante e urgente, e evita que atividades de planeamento (por exemplo, desenvolvimento de planos) ocorram fora dos limites aprovados do programa.
  • DEFINIR GOVERNAÇÃO que estabeleça um programa apoiado pela gestão de topo. Isto ajuda a garantir que a gestão impulsiona continuamente a implementação do programa e monitoriza/valida o desempenho e resultados do programa. O apoio necessário da gestão pode incluir aprovar o orçamento ou investimento necessário, fornecer pessoal adequado, participar em atividades de programa altamente visíveis e rever regularmente os resultados do programa.
  • IMPLEMENTAR UM PROGRAMA BCM que seja sustentável, repetível e baseado no âmbito e objetivos aprovados pela gestão. Como parte da implementação do programa, os profissionais devem realizar a integração das partes interessadas (por exemplo, apresentação, introdução ao programa ou exercício de mesa), executar elementos do programa (por exemplo, análise de impacto empresarial, desenvolvimento de planos e atividades de teste), desenvolver consciencialização dos funcionários e garantir melhoria contínua através da adoção de técnicas de gestão de projetos/programas.
  • ATRIBUIR FUNÇÕES E RESPONSABILIDADES a indivíduos que possam implementar e manter adequadamente o programa de continuidade de negócio conforme as expectativas da gestão. Como parte do processo de integração do pessoal, a gestão deve garantir que o pessoal atribuído tenha as competências necessárias baseadas na sua função dentro do programa de continuidade de negócio; se não tiverem, o pessoal deve procurar e obter a formação interna ou externa necessária.
  • ADOTAR TÉCNICAS DE GESTÃO DE PROJETOS E PROGRAMAS para permitir uma implementação consistente de projetos que atenda às expectativas da gestão e se mantenha dentro dos prazos e orçamentos aprovados. Para conseguir isto, o pessoal deve estabelecer uma lista de elementos de gestão de programa, tais como o objetivo, âmbito, cronograma, tarefas, pessoal, recursos e marcos, e garantir que estes elementos são adequadamente identificados antes do início do projeto. Uma vez que os projetos estejam completos e o programa totalmente implementado, o pessoal deve continuar um ciclo de melhoria contínua para garantir a eficácia do programa, o que pode ser feito através de autoavaliações regulares, auditorias ou estudos de benchmarking.
  • GERIR ATIVIDADES SUBCONTRATADAS E CONTINUIDADE DA CADEIA DE FORNECIMENTO para minimizar o impacto organizacional durante um incidente que afete um terceiro do qual a organização depende. As organizações podem escolher (e devem) pré-qualificar fornecedores/prestadores de serviços através da revisão e avaliação do programa e documentação de continuidade de negócio do fornecedor/prestador de serviços, e as organizações devem monitorizar regularmente os acordos de nível de serviço dos fornecedores e estratégias de recuperação para garantir que atendem às expectativas internas.
  • GERIR DOCUMENTAÇÃO DO PROGRAMA para que os documentos sejam consistentes e fáceis de usar. Dependendo do tamanho organizacional, alguns profissionais escolhem usar software para manter a documentação interna de continuidade de negócio (por exemplo, BIAs e planos). Independentemente do método, as organizações devem garantir que toda a documentação necessária seja desenvolvida, acessível a todas as partes participantes e revista/atualizada regularmente.

VALOR DA PP1

A PP1 contém um conjunto de elementos fundamentais necessários para garantir que a continuidade de negócio se alinha com a estratégia organizacional. A PP1 também contribui para um processo de planeamento repetível para entregar resultados de continuidade de negócio consistentes com as necessidades e expectativas das partes interessadas.

Sem os resultados da PP1, o programa de continuidade de negócio careceria de foco e prioridade, e é provável que os participantes do programa estariam a adivinhar quais são as suas funções e a melhor forma de se envolver no esforço de planeamento.

Visão Geral do Valor da PP1:

  • UMA POLÍTICA ALINHA O PROGRAMA DE CONTINUIDADE DE NEGÓCIO ÀS MELHORES PRÁTICAS DA INDÚSTRIA. Os profissionais da indústria desenvolvem melhores práticas e normas (por exemplo, Boas Práticas do BCI e ISO 22301) baseadas em práticas comuns e orientação através de várias indústrias, países e considerações organizacionais. Os profissionais que seguem as melhores práticas de desenvolvimento de programas ajudam a garantir que o programa de continuidade de negócio da organização reflete estratégias comuns e comprovadas da indústria e o ambiente de ameaças e planeamento em evolução.
  • UMA POLÍTICA FORNECE GARANTIA AO CLIENTE/CLIENTE. Muitas organizações exigem que os seus fornecedores e prestadores de serviços tenham um programa de continuidade de negócio estabelecido para garantir a continuidade do fornecedor e prestador de serviços. Uma política de programa estabelecida fornece à organização um resumo consistente e conciso do seu programa que pode ser fornecido aos clientes ou clientes para referência.
  • UMA POLÍTICA GARANTE CONSISTÊNCIA DO PROGRAMA. Organizações grandes frequentemente escolhem implementar uma equipa internacional de continuidade de negócio grande e dedicada, ou utilizar pessoal de apoio local/regional para auxiliar na implementação do programa. Uma declaração de política clara estabelece expectativas para todos os funcionários e participantes do programa na organização, garante execução consistente do programa e comunica objetivos, impulsionadores e expectativas da gestão. Além disso, atividades de programa bem estabelecidas, estratégias de gestão de projetos e funções e responsabilidades também auxiliam neste esforço.
  • UMA POLÍTICA GARANTE REPETIBILIDADE DO PROGRAMA. Uma declaração de política bem desenvolvida que define claramente o âmbito, participantes e atividades do programa impede que a gestão redefina e reinvente o programa ano após ano. Embora o próprio programa deva mudar para refletir prioridades organizacionais ou ameaças em mudança, uma política documentada fornece à gestão uma base para rever e alterar, quando necessário.
  • UMA POLÍTICA ENVOLVE A GESTÃO E OBTÉM O SEU APOIO. O apoio da gestão é crítico para impulsionar melhorias do programa e abordar mudanças contínuas para acomodar ambientes de ameaças em evolução, ao mesmo tempo que atende a compromissos internos e externos. O apoio da gestão também ajuda a estabelecer consciencialização organizacional e impulsionar atividades do programa. Adotar uma política aprovada pela gestão ajuda a manter o impulso e alinhar estratégias de planeamento com prioridades organizacionais.

ESTUDO DE CASO DA PP1

Quando as organizações decidem implementar um programa de continuidade de negócio, muitas tendem a saltar diretamente para elementos táticos do programa (como realizar uma análise de impacto empresarial e desenvolver planos), ignorando assim a necessidade de primeiro estabelecer uma base sólida do programa sobre a qual construir esses elementos do programa. Embora os elementos táticos sejam frequentemente os mais visíveis, existem múltiplas razões pelas quais uma organização deve fazer o esforço de seguir a orientação fornecida na PP1.

Considere o seguinte estudo de caso que ilustra por que as organizações beneficiam de estabelecer um programa repetível e uma política antes de saltar diretamente para implementar elementos táticos do ciclo de vida da continuidade de negócio.

O Conselho de Administração da Empresa X emitiu uma diretiva para a organização implementar um programa de continuidade de negócio. Para cumprir com a diretiva, a organização encarregou um recurso interno como coordenador de continuidade de negócio para iniciar este processo. Após ler vários artigos na web, o coordenador decidiu começar por realizar a análise de impacto empresarial e escrever documentação do plano de continuidade de negócio. Após a documentação do plano estar finalizada, o coordenador percebeu algumas preocupações importantes:

  • Ela não sabia se a organização poderia realmente atender às expectativas da gestão se um incidente disruptivo realmente ocorresse
  • Ela percebeu que os seus esforços foram uma avaliação pontual e não sabia como os esforços continuariam após o esforço inicial
  • Ela não achava que a organização estava realmente numa posição muito melhor do que estava antes dos seus esforços porque não tinha investido recursos em ter capacidades de recuperação reais (por exemplo, espaço de trabalho alternativo ou recuperação de desastres de TI)
  • As pessoas que ela originalmente queria que participassem nos esforços não participaram realmente, pois delegaram para níveis mais baixos da organização

Devido a estas preocupações, a coordenadora de continuidade de negócio começou a realizar mais pesquisa e a falar com grupos da indústria. Esta pesquisa adicional fez-lhe perceber que ela não estabeleceu um programa antes de realizar atividades específicas de continuidade de negócio. Portanto, ela não obteve os resultados que esperava conseguir. A coordenadora então recuou e implementou as seguintes ações:

  • Desenvolveu, apresentou e recebeu aprovação da gestão de topo para a sua política de continuidade de negócio, que foi publicada e comunicada à organização
  • Desenvolveu procedimentos operacionais padrão, que delinearam o processo pelo qual ela implementou as atividades de continuidade de negócio para garantir que o processo continuaria a ocorrer numa base recorrente
  • Estabeleceu um comité diretor que forneceu contributos sobre o âmbito do programa e tolerâncias de tempo de inatividade, reviu e aprovou descobertas e investimentos, forneceu liderança e garantiu o nível ‘certo’ de participação e apoio

Seguindo estas ações, a coordenadora descobriu que o programa estava alinhado com os objetivos estratégicos da organização, apoiado pelos níveis apropriados da gestão sénior da organização e poderia realmente atender às expectativas das partes interessadas internas e externas durante incidentes disruptivos reais.

CONCLUSÃO

A orientação encontrada nas Boas Práticas do BCI auxilia os profissionais na compreensão e implementação do programa, garantindo consistência com as normas internacionais encontradas na ISO 22301.