Como efetuar análises de gestão eficazes

Esta perspetiva analisa um elemento da Cláusula 9.3, a análise pela gestão (um processo que a Riskonnect considera ser um dos elementos mais valiosos da ISO 22301).

A ISO 22301 é a primeira norma a empregar o novo formato ISO para normas de sistemas de gestão, que envolve uma quantidade considerável de conteúdo de sistema de gestão “modelado” em dez cláusulas. Como este formato, linguagem e muitos dos requisitos são novos para a maioria dos profissionais de continuidade de negócios, é importante rever e considerar a intenção associada a alguns dos conteúdos e conceitos.

Esta perspetiva é a segunda de uma série que discute os principais elementos do sistema de gestão de continuidade de negócios ISO 22301, incluindo elementos de valor agregado da norma ou requisitos que podem “atrapalhar” uma organização durante o processo de certificação.

Hoje vamos analisar um elemento da Cláusula 9.3, a análise crítica pela direção (um processo que a Riskonnect considera ser um dos elementos mais valiosos da ISO 22301).

Cláusula 9.3 – Revisão pela direção
A gestão de topo deve rever o SGCN da organização, em intervalos planeados, para assegurar a sua contínua adequação, suficiência e eficácia.

Robert Burns escreveu a seguinte frase: “Os melhores planos dos ratos e dos homens muitas vezes dão errado”. Em nenhuma profissão esta ideia é mais relevante do que na continuidade do negócio. O que vem imediatamente à mente pode ser o desvio inevitável de um plano de gestão de crises ou de continuidade de negócios bem elaborado ou aquele evento que ocorre uma vez em um milhão e que nem mesmo os planos mais completos abordam. Esta perspetiva centrar-se-á na “outra” área que pode fazer descarrilar a eficácia não apenas de um plano, mas de todo um programa ou sistema de gestão de continuidade empresarial. Esta área elusiva é simplesmente a falta de apoio e/ou contribuição da gerência e de outros tomadores de decisão chave em qualquer organização. Esta perspetiva tem como objetivo aprofundar a obtenção do apoio da gestão e dos executivos através do processo de revisão pela gestão. Sem o apoio da liderança sénior, o apoio às iniciativas de continuidade do negócio, bem como o desempenho da solução de continuidade do negócio, irá diminuir rapidamente.

A questão, então, é como envolver a “alta administração”, garantir o apoio ao sistema de gestão de continuidade de negócios e suas iniciativas, e assegurar que as recomendações sejam levadas a sério sem serem simplesmente rejeitadas quando há um preço associado aos esforços de preparação. A resposta é aparentemente mais fácil de dizer do que fazer: envolver – de forma recorrente – a liderança sénior no processo de planeamento da continuidade do negócio. A realização de análises de gestão eficazes é uma forma de trabalhar para atingir este objetivo.

Um componente-chave da ISO 22301, a análise crítica pela direção é um componente essencial do sistema para garantir que a direção esteja ciente de aspectos importantes do esforço de planejamento da continuidade de negócios e trabalhe para se envolver ativamente em quaisquer problemas, descobertas de auditoria e feedback do cliente (para citar alguns), levando à priorização de oportunidades de melhoria contínua. Talvez ainda mais importante, a análise crítica pela direção é sobre conscientização, construção de relacionamentos e estabelecimento do esforço de continuidade de negócios como um elemento-chave do programa de gestão de riscos da organização. Todas as partes devem ser capazes de sair de uma sessão de análise crítica da gestão sentindo que a organização está melhor do que quando começou e que a continuidade de negócios continuará a ser uma prioridade – concentrando-se nas coisas certas no momento certo – em toda a organização. Enquanto a ISO 22301 lista um conjunto bastante abrangente de diretrizes que detalham o que a gestão deve considerar como parte das revisões periódicas da gestão, a lista seguinte resume (parafraseia) estes requisitos:

Assegura que o sistema de gestão da continuidade do negócio está alinhado com os objectivos organizacionais e estratégicos
Identifica formas de tornar a continuidade do negócio mais simples e mais eficaz
Evita a utilização de jargão e acrónimos
Acompanha as questões anteriores e certifica-se de que a administração tem conhecimento de quaisquer deficiências
Responde a qualquer feedback de incidentes recentes e analisa-os para identificar áreas de melhoria

Vamos analisar cada um deles mais a fundo.

Assegura que o Sistema de Gestão esteja alinhado aos objetivos organizacionais e estratégicos
Um dos aspectos mais importantes da realização de uma análise da gestão da continuidade de negócios é lembrar-se do público. Para maximizar a eficácia de uma análise da gestão, o profissional de continuidade de negócios deve pensar em termos de produtos e serviços críticos e alinhar os resultados do programa à direção estratégica geral da organização. O profissional de continuidade de negócios deve transmitir como um sistema de gestão de continuidade de negócios bem administrado pode contribuir para a capacidade contínua da organização de fornecer produtos e serviços essenciais (e as implicações se não o fizer). É muito fácil perderes-te em falsas métricas que não demonstram valor fora da equipa de continuidade do negócio. Embora a documentação de métricas específicas para o número de entrevistas de BIA ou atualizações de planos tenha seu lugar, muitas vezes é muito fácil insistir em números sem vincular tudo à capacidade de recuperação dos principais produtos e serviços que a organização fornece. No final da sessão de revisão, a administração deve ter uma melhor compreensão das capacidades da organização para responder e recuperar de um incidente perturbador, e não apenas dos departamentos ou unidades de negócio que não concluíram as suas actualizações anuais do plano.

Para mais informações sobre métricas, consulta: Métricas de continuidade do negócio

Torna a continuidade do negócio mais simples e mais eficaz
Sejamos realistas, a continuidade do negócio pode ser complexa. A combinação de continuidade de negócios e recuperação de desastres de TI pode ser ainda mais complexa. Ao desenvolver materiais para uma análise da gestão, certifica-te de que simplificas as coisas o mais possível. Se puderes descrever um conceito de continuidade do negócio utilizando a linguagem do dia a dia, fá-lo. A análise crítica pela gerência oferece uma oportunidade de ouro para vender o programa de continuidade de negócios; no entanto, muitos profissionais tendem a sobrecarregar os não profissionais de continuidade de negócios com seu próprio conhecimento e experiência, fornecendo detalhes desnecessários que fazem com que os gerentes percam rapidamente o interesse. Essa mesma mentalidade pode ser aplicada não apenas a uma análise crítica da gestão, mas a todos os aspectos de um sistema de gestão de continuidade de negócios bem administrado. Quando podes optar por um plano de recuperação de 200 páginas ou por uma lista de verificação com apenas as informações essenciais, opta pela lista de verificação. A continuidade do negócio deve ter como objetivo a obtenção de resultados em caso de perturbação. Adapta o slogan “fazer mais com menos” ao teu programa e aplica-o também ao processo de revisão da gestão.

Evita a utilização de jargão e acrónimos
Os profissionais de continuidade de negócio adoram acrónimos. BIA, RTO, RPO, MAD, MTPOD, BC, DR, ITDR, BCMS, etc. E, se seria aborrecido para mim continuar a utilizar acrónimos neste artigo para profissionais de continuidade de negócio, porque é que os profissionais de continuidade de negócio continuam a sobrecarregar os materiais concebidos para a gestão com estes mesmos termos? Tudo o que isso faz é levar a uma diminuição da compreensão e do interesse e criar uma situação que poderia potencialmente alienar os principais gestores e partes interessadas? Como forma de simplificar os materiais para uso na revisão da gestão, tenta evitar acrónimos sempre que possível, especialmente se estiveres a lidar com líderes cujas actividades diárias não estão normalmente relacionadas com a continuidade do negócio. Isto remete para a necessidade de recordar quem é o teu público. Uma análise crítica da gestão é uma oportunidade de dar à gestão uma visão geral do programa de continuidade de negócio e examinar as capacidades de resposta e recuperação da organização – usando a linguagem DELES. Se a gerência não entender o que estás a transmitir devido a muitos termos e acrónimos específicos do sector, isso cria uma barreira na realização de uma análise eficiente da gestão e na obtenção de apoio contínuo para as iniciativas de continuidade de negócio.

Acompanhamento de questões anteriores
A identificação de oportunidades de melhoria e a revisão de políticas e procedimentos é uma parte importante do processo de análise pela direção. Apesar de estas acções serem importantes, é muito fácil perdermo-nos num mar de itens de ação planeados, actividades que são postas de lado ou atrasadas, ou políticas e procedimentos desactualizados e excessivamente complexos que parecem estar mais focados no planeamento pelo planeamento, em vez de melhorarem realmente a resiliência da organização. Só porque um item foi identificado para correção há cinco anos, não significa que ainda precise de ser concluído para se alinhar com os objectivos organizacionais. As análises da gestão devem ser tratadas como uma oportunidade para analisar as recomendações, determinar quais são realmente relevantes para os objectivos e a direção estratégica da organização e fazer as alterações necessárias. Os itens identificados para melhoria não devem ser considerados apenas porque fazem parte da lista de itens de ação, eles devem ser considerados porque através da remediação, a organização veria um benefício tangível que procura conduzir metas e objetivos principais. O profissional de continuidade de negócios pode ajudar nesse processo, analisando os itens antes da reunião e fazendo recomendações sobre quais itens podem beneficiar a organização e quais devem ser retirados de consideração. Esta abordagem irá preparar a liderança para aprovar recomendações de valor acrescentado, o que se reflecte positivamente em ti. E quem não quer ter uma boa imagem numa reunião com a liderança da organização?

Aborda os incidentes recentes e utiliza-os para aumentar a consciencialização
A dada altura, todas as organizações irão sofrer algum tipo de perturbação. Pode ser tão pequena como a evacuação forçada de um escritório ou tão significativa como a perda de três meses de um centro de distribuição. A sessão de análise da gestão deve proporcionar uma oportunidade para abordar a eficácia da resposta da organização e a recuperação de incidentes recentes. Todos os incidentes fornecem feedback que pode ser usado para legitimar a importância e a eficácia de um sistema de gestão de continuidade de negócios e suas estratégias. As análises da gestão devem apresentar uma avaliação honesta do que correu bem e do que não correu e fornecer recomendações para avançar. Pode ser natural querer evitar examinar a resposta a um incidente perturbador, especialmente se não tiver corrido como planeado; no entanto, as dificuldades devem ser abordadas de forma a criar resultados acionáveis. A sessão de análise pela direção cria um fórum para discutir esses resultados. Uma perturbação real pode proporcionar uma oportunidade sob a forma de sensibilização e de garantir que as partes interessadas vêem o valor de manter um programa robusto de continuidade do negócio.

Conclusões
As análises gerenciais oferecem uma excelente oportunidade para analisar o status atual da organização, identificar áreas de melhoria e criar apoio para futuras iniciativas de continuidade de negócios. Ao focar nas necessidades do público e garantir o alinhamento das atividades de continuidade de negócios com a direção estratégica geral da organização, o profissional de continuidade de negócios pode ver a liderança sênior como parceira no processo de planejamento de continuidade de negócios. Os teus planos e iniciativas não têm de correr mal, se envolveres as partes interessadas certas e retratares as actividades de uma forma que seja relevante para os principais decisores da tua organização.

Continua a visitar o nosso blogue para mais publicações da série Conformidade com a norma ISO 22301 da Riskonnect.

Entretanto, não hesites em contactar-nos para discutir o alinhamento com a norma ou a obtenção da certificação. Aguardamos o teu contacto!

Ready to Talk?

Work with us.

Connect with us.

Como efetuar análises de gestão eficazes

Share This, Choose Your Platform!

Related Posts

De Silos a Sinergia: Por Que ERM e Resiliência Empresarial Devem Unir-se

Software de gestão de riscos DORA: como a tecnologia é fundamental para a conformidade

7 passos para criar uma cultura de sensibilização para os riscos

Ready to Talk?

Work with us.

Connect with us.