O planeamento da continuidade do negócio é inerentemente multifuncional, com a necessidade de abordar os riscos para as ofertas de produtos e serviços de uma organização, bem como os recursos necessários para cumprir as obrigações. Como as organizações dependem cada vez mais de uma rede global de fornecedores e prestadores de serviços, os profissionais de continuidade do negócio têm a responsabilidade de compreender e analisar estas relações e liderar os esforços de identificação de estratégias para proteger a sua organização quando confrontada com uma perturbação de terceiros.
Desenvolver e implementar estratégias de continuidade de negócio e opções de tratamento de risco relacionadas com terceiros pode ser uma tarefa difícil, porque as estratégias podem aparentemente contradizer os esforços estratégicos de uma organização para alavancar fornecedores de fonte única, tornar as cadeias de fornecimento “magras” e reduzir os níveis de inventário armazenados. No entanto, os profissionais de continuidade de negócio devem fornecer à gestão de topo as informações necessárias para equilibrar as iniciativas estratégicas com a necessidade de reduzir os pontos únicos de falha e proteger uma organização caso um recurso fique indisponível.
Esta perspetiva discute as ferramentas disponíveis para identificar e documentar recursos de terceiros e métodos através dos quais os riscos podem ser apresentados à gestão de topo para análise e ação.
Identificando Fornecedores e Níveis de Riscos
Antes que os riscos possam ser tratados ou as estratégias de continuidade identificadas e implementadas, os profissionais de continuidade de negócios devem entender quais terceiros são necessários para continuar a entrega de produtos e serviços no escopo (críticos), bem como o nível em que os terceiros são necessários na execução de atividades que suportam a entrega desses produtos e serviços críticos. O desenvolvimento deste conhecimento é conseguido de forma mais eficaz assegurando que o processo de análise do impacto no negócio (BIA) inclui um método comprovado e eficaz para identificar os terceiros utilizados pela organização, a forma como são utilizados e contratados e o potencial impacto de uma interrupção por parte de terceiros. Este esforço exigirá que a organização realize uma BIA (se ainda não o tiver feito) ou actualize uma BIA existente para incorporar uma análise de fornecedores terceiros.
Uma vez que o profissional de continuidade de negócios identifique os fornecedores críticos, entenda o uso e documente os impactos potenciais, o profissional deve identificar os controles existentes e considerar a probabilidade de ocorrência de um incidente perturbador que afetaria cada terceiro. Nalgumas organizações, o aprovisionamento, as compras ou mesmo uma equipa de risco de fornecedores (ou equivalente) são uma fonte abrangente destas informações e podem provavelmente fornecer informações sobre a continuidade de terceiros e as capacidades de recuperação de desastres ou descrever incidentes anteriores que resultaram na interrupção de produtos/serviços. Em organizações mais pequenas, esta informação pode ter de ser obtida através da realização de uma análise exaustiva de incidentes históricos e do contacto direto com terceiros. Os impactos estratégicos (como os impactos financeiros totais) também podem ser obtidos durante a realização desta pesquisa e ajudarão a justificar as recomendações estratégicas para a gestão de topo.
Paralelamente, ou imediatamente após a identificação e documentação destas informações, os profissionais da continuidade do negócio devem realizar formalmente uma avaliação do risco (ou atualizar uma avaliação do risco existente) para ter em conta a probabilidade de um evento perturbador, as potenciais ameaças, o impacto da perda e os controlos existentes, com o objetivo de identificar o nível de risco associado a cada fornecedor. O principal resultado do esforço de avaliação do risco é desenvolver uma classificação do risco para cada fornecedor (normalmente a classificação da probabilidade multiplicada pela classificação do impacto ou um método semelhante). As classificações de impacto e de probabilidade devem ser definidas com base em critérios mensuráveis e aplicadas de forma consistente em toda a organização.
Quando os resultados da BIA e das avaliações de risco são combinados, os profissionais de continuidade de negócios estão melhor posicionados para entender os relacionamentos com terceiros mais críticos de sua organização, bem como os riscos e oportunidades mais urgentes associados a esses relacionamentos. O profissional pode ter que conduzir análises adicionais para determinar se os fornecedores de maior risco que emergem requerem remediação adicional. Em muitos casos, as organizações podem optar por classificar os fornecedores em níveis críticos ou não críticos para facilitar uma análise mais aprofundada; por exemplo, os critérios para fornecedores críticos podem incluir determinar se:
- O fornecedor em questão é necessário para a execução de uma atividade que apoia a entrega de um produto e serviço no âmbito (crítico);
- O produto ou serviço fornecido não pode ser fornecido por outro fornecedor já utilizado pela organização; e
- O nível de integração do fornecedor na organização e a complexidade da substituição do fornecedor após o início de um incidente perturbador excede um nível aceitável (definido pela gestão de topo).
Examinar os fornecedores de maior risco (identificados através da avaliação) e depois determinar se estes fornecedores requerem uma atenuação adicional permite uma discussão com a direção executiva para determinar se pode ser necessária uma atenuação adicional.
Tem em mente que, embora os riscos possam ser contrários a outras prioridades de uma organização (tais como cadeias de abastecimento altamente eficientes e de baixo custo), é fundamental que os profissionais de continuidade do negócio informem e aconselhem a gestão de topo sobre os riscos existentes para permitir a tomada de decisões estratégicas e adequadas.
Apresentação dos resultados
A apresentação dos resultados da análise de impacto nos negócios de terceiros e da avaliação de riscos permite que os profissionais de continuidade de negócios atinjam dois objetivos:
- Informa a gestão de topo dos riscos e das oportunidades de atenuação relacionadas com fornecedores críticos e terceiros (incluindo vulnerabilidades relacionadas com fornecedores de fonte única e pontos únicos de falha); e
- Permite a tomada de decisões estratégicas relativamente ao tratamento dos riscos.
Ao apresentar os resultados da BIA e da avaliação de riscos de forma prioritária e direta, os profissionais de continuidade de negócios podem fornecer à alta administração as informações necessárias para equilibrar efetivamente as iniciativas estratégicas discutidas anteriormente com os riscos inerentemente associados a uma rede global de fornecedores e prestadores de serviços. A realização desta tarefa requer um planeamento deliberado, uma recolha/análise detalhada de dados e uma capacidade de trabalho multifuncional (idealmente, esta apresentação teria lugar como parte de um processo de revisão de gestão recorrente). Quando apresentares esta informação à gestão de topo, deves ter o cuidado de realçar os pontos de falha identificados, bem como os impactos estratégicos associados aos fornecedores que permitem a entrega de vários produtos e serviços. A apresentação dos fornecedores de maior risco servirá como um bom ponto de partida.
A administração espera que os profissionais de continuidade do negócio não só apresentem uma lista de riscos prioritários, mas também recomendações sugeridas para colmatar essas lacunas.
Também é importante que os profissionais de continuidade do negócio que trabalham em grandes organizações reconheçam que, embora as equipas de risco de compras e de fornecedores acrescentem um valor significativo e sejam parceiros-chave neste processo, muitas vezes não são responsáveis por documentar os potenciais impactos relacionados com os departamentos internos ou por identificar estratégias de continuidade do negócio para terceiros individuais. As equipas de risco de fornecedores estão frequentemente mais focadas na minimização do risco financeiro e operacional do que na preparação organizacional e na continuidade do negócio.
Conclusão
Os profissionais de continuidade de negócio que procuram proactivamente compreender, documentar e tratar os riscos associados às relações com terceiros podem reduzir significativamente a probabilidade de um incidente disruptivo, bem como os impactos caso ocorra um incidente. Essa atividade é um componente crítico de muitos sistemas de gestão de continuidade de negócios, em grande parte devido a um ambiente de negócios cada vez mais globalizado, no qual muitas organizações dependem de relacionamentos complexos com terceiros para apoiar a entrega de seus produtos e serviços mais críticos. Os profissionais de continuidade do negócio desempenham um papel fundamental na avaliação e gestão do risco colocado pelo envolvimento nestas relações, uma vez que são responsáveis por equipar a gestão de topo com a informação necessária para equilibrar os requisitos do negócio com os riscos e oportunidades trazidos pelas relações com terceiros.
A continuidade do negócio e o planeamento da recuperação de desastres de TI é tudo o que fazemos. Se estás à procura de ajuda para criar ou melhorar o teu programa de continuidade do negócio, nós podemos ajudar.
Contacta-nos hoje para começar. Estamos ansiosos por te ouvir!
Lançamento da Especificação Técnica ISO:
Em 16 de setembro de 2015, a Organização Internacional de Normalização (ISO) publicou uma especificação técnica (alinhada com a ISO 22301) que aborda o tema da continuidade da cadeia de abastecimento. Podes saber mais aqui:
