Uma equação sempre difícil de lidar nas organizações é a falta de tempo, dinheiro e pessoal que alguns gestores enfrentam. Elas tornam todo o sistema de gestão moroso, desgastante e consequentemente falho. Obviamente engrenagens lentas oferecem maior risco, perdas e causam prejuízos. Será que está acontecendo isso na sua empresa neste momento?

A Governança corporativa tenta ao máximo minimizar isso, e a governança de riscos complementa-a identificando em domínios específicos[1] qual o risco corporativo existente e como mantê-los em níveis satisfatórios para a organização. Risco sempre existe e existirá, isso faz parte dos negócios e parte do mercado.

Especificamente no domínio de Continuidade de Negócios, temos a importante missão de entender os processos da empresa, identificar suas vulnerabilidades, seus impactos, o quanto é dependente de pessoas ou de tecnologias e também quais suas interdependências ou terceirizações.

Além disso, precisamos entender as tecnologias, informações e outros ativos que suportam os processos de negócios, seus detalhes, riscos e tempos para recuperação.

Cruzando tudo isso temos uma Análise de Impactos no Negócio e uma Análise de Sustentabilidade de Ativos que serão ferramentas importantes para justificar investimentos em equipes, controles e capacidades que permitam correr riscos operacionais menores e estar preparado para situações adversas (crises ou desastres).

Nosso foco nesse artigo é a BIA – Business Impact Analysis (Análise de Impactos no Negócio), que pode ser considerado o CORAÇÃO da Gestão de Continuidade de Negócios (PDCA), ou até mesmo da gestão empresarial.

Três erros comuns ao tentar fazer uma BIA:

1^o. Nunca fizemos uma BIA antes. Agora enviaremos questionários que baixamos da Internet (padrões) e enviaremos por e-mail para Diretores e/ou Gestores para que respondam.

-   Este erro é clássico e demonstra falta de maturidade no processo ou na equipe que está conduzindo o processo. Risco para mim é uma coisa, para você é outra e para seu gestor é outra totalmente diferente. As pessoas tem percepções e experiências diferentes sobre riscos durante a vida, e portanto, as respostas serão muito diferentes. Sem falar dos questionários padronizados que existem. Sempre há uma necessidade de personalização ou ajuste, nunca se esqueça disso!

2^o. Uso um software que não entendo como ele faz o cálculo do resultado da BIA.

-   Principalmente se for a primeira BIA na sua empresa, esqueça um software! Vá para o entendimento cara a cara dos processos. Conheça-os. Questione. Identifique as informações, valide-as e peça aprovação das informações que foram fornecidas.

3^o. Não aprovar os resultados com a Alta Administração.

-   Ops! Não aprovar significa que seu trabalho não serviu para nada. Precisa formalmente apresentar a metodologia usada e os resultados da classificação dos processos. Isso poderá colocar tudo a perder nas próximas fases do projeto de Continuidade de Negócios. Se o BOARD não conhece e reconhece o BIA, para que servirá para justificar investimentos no que é critico?

10 Passos para uma BIA bem feita:

1. Defina um escopo bem objetivo. – Algo relevante e importante para o negócio. Escopos diferentes disso são descredibilizados e já não servem para as auditorias;
2. Crie um Comitê Executivo (Alta Administração) para apoiar e aprovar. – Importante para garantir a validade e importância do BIA;
3. Defina o que é Alto, Médio e Baixo para impactos financeiros (servirá como uma métrica). – Importante para alinhar o que o negócio considera importante e aquilo que os gestores consideram importante;
4. Defina o que é mais importante para a empresa. Perdas financeiras, de Imagem, Legais, Sociais ou Ambientais. – Cada empresa tem um foco e impactos mais sensíveis a outros. Este peso poderá ser usado no calculo para o BIA;
5. Defina uma entrevista padrão que servirá para ser aplicada em todos os processos;
   1. Realize as entrevistas com todos os gestores e/ou grupos dos processos;
   2. Valide as informações;
   3. Identifique os tempos importantes para o negócio: RTO, RPO e MTPD de cada processo;
   4. Identifique os serviços de TIC que são utilizados no processo;
   5. Identifique e contabilize os impactos.
6. Consolide os resultados e classifique os processos em ordem decrescente. – Esta análise reforça os resultados do BIA e diminui as fragilidades;
7. Redija o documento executivo explicando todo a metodologia utilizada. – Algo que qualquer executivo entenda independente da área;
8. Faça uma apresentação executiva dos resultados. – Ora de prestar contas. Enfatize os mais impactantes e ouça as criticas e sugestões da Alta Administração;
9. Peca aprovação da Alta Administração. – Garante o apoio e reconhecimento da metodologia, bem como reforça as atenções das áreas fins;

10.  Publique o relatório final à Alta Administração e Gerencia da organização.

Uma BIA tem suma importância na justificativa do Plano de Continuidade. Seus resultados serão os balizadores para as demais estratégias de processos, TIC e pessoas. É muito importante que um processo de BIA seja simples e direto.

Perguntas cruciais são:

a) questionar os processos para identificar quais são os cenários factíveis de interrupção do mesmo, e quando acontecem (RTO)? (sempre considere o pior cenário);

b) quais os impactos que decorrerão destes cenários?;

c) qual a última posição de dados que precisaria no caso de continuidade, último backup (RPO)?.

Em média o tempo de cada entrevista será de 2 horas.

Uma BIA deve ser revisada anualmente incluindo novamente passar pela Alta Administração, apos a revisão para ser aprovada.

---

[1] São domínios de riscos estratégicos: Continuidade de Negócios, Governança Corporativa e de TI, Segurança da Informação, Responsabilidade Social Corporativa, Gestão de Riscos, Segurança-Saúde e Meio Ambiente e Leis e Regulamentos.