PGCN - Método Brasileiro para Gestão da Continuidade de Negócios

MTODO BRASILIANO PROCESSO DA GESTO DE CONTINUIDADE DE NEGCIOS PGCN PLANO DE CONTINUIDADE DE NEGCIOS - PCN BIA Business Impact Analisys
Antonio Celso Ribeiro Brasiliano
Maro 2009
MTODO BRASILIANO PROCESSO DA GESTO DE CONTINUIDADE DE NEGCIOS PGCN PLANO DE CONTINUIDADE DE NEGCIOS - PCN BIA Business Impact Analisys
Antonio Celso Ribeiro Brasiliano* 1. Justificativa A dinamicidade do mercado e a hiper competio exige dos gestores de risco uma viso antecipatria, ou seja, no h desculpa do tipo no sabia ou tinha previsto. Infelizmente no isto que tem acontecido, vamos pensar no caso do acidente da Gol, da crise dos controladores de vo, do ataque do PCC em So Paulo, da pandemia de Influenza, crise energtica e muitos outros eventos que podero a vir a acontecer ou podero a repetir a acontecer. Podemos at dizer que vender um Plano de Continuidade nos Estados Unidos e Europa, para o Conselho e executivos tem se tornado mais fcil desde os trgicos eventos de 11 de setembro de 2001 e 11 de maro de 2004, e 2006 em Londres. O horrvel ataque ao WTC colocou os holofotes integralmente sobre a continuidade. A terrvel devastao vista e revista nas telas de TV fez com que as organizaes imediatamente considerassem como elas poderiam sobreviver em circunstncias equivalentes. A catstrofe foi to grande que a probabilidade de recuperao foi estreita, mas ps uma poro de administradores pensando e certamente ps o Plano de Continuidade muito mais alto nas agendas executivas. Com o objetivo de facilitar e oferecer critrios de impacto nos processos crticos para o mercado brasileiro elaboramos um Processo de Gesto de Continuidade de Negcios - PGCN, onde as fases macros nada mais so do que o mercado pratica
Todos os direitos reservados. proibida a reproduo desta obra por qualquer meio, em seu todo ou em partes, sem a autorizao expressa do autor. Mtodo Brasiliano Plano de Continuidade de Negcios. Registrado/Certificado 2
hoje. O diferencial do PGCN o estabelecimento de critrios para que as empresas possam, de forma prtica e objetiva, estabelecer prioridades na escolha de quais processos, reas, instalaes devem ser tratadas prioritariamente. Com base nestes critrios os executivos enxergam quais processos no podem parar, quais processos devem possuir instalaes de back-up. O resultado uma Matriz de Processos Crticos, fazendo com que a empresa possa gerenciar seus processos e reas crticas atravs de estratgias de continuidade. 2. Fases do PGCN O processo de construo de um Plano de Continuidade de Negcios operacionalizado atravs das suas reas de negcios. Por esta razo os gestores de cada rea de negcio das empresas devem ser responsveis em coordenar, dentro das respectivas reas, o processo estruturado de um PGCN. O PGCN possui treze fases: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. Mapeamento de processos e atividades Identificao dos Riscos nos processos e nas atividades Anlise de Riscos Anlise de Impactos nos processos e atividades Estratgias de Continuidade Aes Operacionais: o que ? Quem ? Como ? e Porque fazer? Relao dos Colaboradores da rea por Edificao Relao de Funes Crticas Relao de Recursos do Site Original Relao de Recursos do site de Contingncia Relao dos Fornecedores Crticos Roteiro de Testes Ativao do Plano
Todos os direitos reservados. proibida a reproduo desta obra por qualquer meio, em seu todo ou em partes, sem a autorizao expressa do autor. Mtodo Brasiliano Plano de Continuidade de Negcios. Registrado/Certificado
3. Mapeamento de Processos / Atividades O Mapeamento de processos significa a identificao das principais atividades que a rea e ou departamento possui. O mapeamento dos processos deve ser revisado anualmente, ou quando houver mudanas de processos nas reas da empresa. 4. Identificao dos Riscos e Fatores de Risco A identificao de riscos nas atividades e processos devem ser operacionalizadas atravs de reunies do tipo brainstorming. O objetivo a definio dos riscos que podem afetar as atividades da respectiva rea. Identificando os riscos, as reas devem tambm listar os fatores facilitadores, ou seja aqueles que ajudam a potencializar os riscos. Para isso deve-se utilizar a ferramenta denominada Diagrama de Causa e Efeito, o chamado Diagrama de Ishikawa e ou de Espinha de Peixe. Deve-se utilizar os seguintes macro fatores facilitadores: Meios Organizacionais, Recursos Humanos da Segurana, Meios Tcnicos Passivos, Meios Tcnicos Ativos, Ambiente Interno e Ambiente Externo. O diagrama de causa e efeito fica assim exemplificado:
CAUSAS
MEIOS TCNICOS PASSIVOS RH SEG MEIOS ORGANIZACIONAIS
EFEITO
PERIGO
MEIOS TCNICOS ATIVOS AMBIENTE EXTERNO AMIENTE INTERNO
Os tpicos a serem levados em considerao dos fatores so: - Meios Organizacionais: o levantamento se na empresa possui normas de rotina e de emergncia, polticas de tratamento de riscos, gerenciamento de riscos entre outras. A no formalizao ou o no detalhamento pode ser um fator de influncia para a concretizao do perigo. - Recurso Humano da Segurana: o levantamento do nvel de qualificao, quantidade, posicionamento ttico da equipe. - Meios Tcnicos Passivos: o levantamento da no existncia de recursos fsicos, tais como lay-out de portaria, salas, resistncias de paredes, vidros entre outros. - Meios Tcnicos Ativos: o levantamento da no existncia de sistemas eletrnicos, indo desde CFTV, controle de acesso, sensoriamento, sistemas de rastreamento e centrais de segurana.
- Ambiente Interno: o levantamento do nvel de relacionamento dos colaboradores e empresa. Inclui desde polticas de remunerao at polticas de recursos humanos. - Ambiente Externo: o levantamento de cenrios prospectivos, identificando fatores externos incontrolveis, mas que influenciam na concretizao de perigos. Inclui o levantamento dos ndices de criminalidade, estrutura do crime organizado, mercados paralelos, estrutura do judicirio, corrupo policial, ambincia no entrono, entre outros. A tcnica para detalhar os fatores fazendo a pergunta PORQUE at esgotar o respectivo fator. O objetivo identificar quais sub-fatores influenciam na concretizao do perigo. O risco passa ser ento o somatrio dos fatores.
Procurando a causa bsica
Perigo
Quantidade Insuficiente Posicionamento Ttico errado Capacitao Por que? Por que? Por que? Por que?
RH SEG
Falta instruo de.... No est definida a sistemtica de....
Falta de Programa
5. Anlise de Riscos A anlise de riscos realizada atravs do estudo de dois critrios: - Probabilidade do evento e ou perigo acontecer - Impacto na rea, em caso de concretizao do evento 5.1 Grau de Probabilidade O Grau de Probabilidade GP a conseqncia da multiplicao dos fatores de riscos versus o critrio da exposio. uma multiplicao direta, onde cada critrio possui uma escala de valorao 1 a 5. Os critrios so: 1. CRITRIO DO FATOR DE RISCOS - "FR" Este critrio possui seis sub critrios, estudados na fase da identificao da origem de cada perigo. Os sub critrios possuem uma escala de valorao que mede o grau de influncia para a concretizao do perigo. Neste caso julgamos qual o nvel de influncia, por sub-critrio, para que o perigo seja concretizado. uma nota subjetiva, com base no diagrama de causa e efeito. Ou seja, a nota deve estar coerente com o diagrama de causa e efeito realizado. Os sub fatores de riscos so: 1.1 FR AMBIENTE INTERNO: este critrio projeta a influncia das variveis internas na concretizao do perigo em estudo. Possui a seguinte gradao:
1.2 FR AMBIENTE EXTERNO: este critrio projeta a influncia das variveis externas incontrolveis, ambincia cenrios, na concretizao do perigo em estudo. Possui a seguinte gradao:
1.3 FR RECURSOS HUMANOS SEGURANA: este critrio projeta o nvel da equipe de segurana da empresa, na concretizao do perigo em estudo. Deve-se levar em considerao o efetivo existente, perfil, qualificao e posicionamento ttico. Possui a seguinte gradao:
1.4 FR MEIOS ORGANIZACIONAIS: este critrio projeta a influncia da formalizao das normas e polticas, no existentes na empresa, na concretizao do perigo em estudo. Possui a seguinte gradao:
1.5 FR MEIOS TCNICOS ATIVOS: este critrio projeta a influncia dos equipamentos e sistemas eletrnicos, no existentes na empresa, na concretizao do perigo em estudo. Possui a seguinte gradao:
1.6 FR MEIOS TCNICOS PASSIVOS: este critrio projeta a influncia dos recursos fsicos, no existentes na empresa, na concretizao do perigo em estudo. Possui a seguinte gradao: Todos os sub fatores possuem o seguinte nvel de gradao:
ESCALA INFLUNCIA MUITO INFLUNCIA INFLUNCIA MEDIANAMENTE INFLUNCIA LEVEMENTE INFLUNCIA MUITO LEVEMENTE PONTUAO 05 04 03 02 01
Para saber o grau final deste critrio, FATOR DE RISCO, basta somar os seis sub critrios e dividir por seis.
AI + AE + RH + MO + MTA + MTP FR = _____________________________ 6
2. CRITRIO DA EXPOSIO - "E": a freqncia que o perigo costuma manifestar-se na empresa ou em empresas similares. Possui a seguinte escala de gradao:
ESCALA VRIAS VEZES AO DIA FREQUENTEMENTE OCASIONALMENTE IRREGULARMENTE REMOTAMENTE POSSVEL PONTUAO 05 04 03 02 01
Para termos o GP necessrio multiplicar os resultados dos fatores. A frmula : GRAU DE PROBABILIDADE: FATOR DE RISCO X EXPOSIO GP = FR x E O valor obtido desta multiplicao o Grau de Probabilidade, que para saber sua classificao tem que consultar a tabela abaixo. Esta tabela da classificao da probabilidade possui cinco nveis:
ESCALA 15 5,01 10 10,1 15 15,01 20 20,01 25
NVEL PROBABILIDADE BAIXA MDIA ALTA MUITO ALTA ELEVADA
DA PROBABILIDADE EM % 4% a 20% 20,01% a 40% 40,01% a 60% 60,01% a 80% 80,01% a 100%
Para transformar esta classificao subjetiva em uma classificao objetiva, basta multiplicar pelo fator 4. Por que fator 4? Porque estamos fazendo uma equivalncia entre o nmero mximo obtido na multiplicao direta entre os dois fatores (fator de riscos x fator de exposio) 25 e a probabilidade mxima 100%. Relevncia de Impacto A Relevncia do Impacto no negcio das empresas pode ser calculada de forma subjetiva e simples com os donos dos processos ou das reas que o analista de riscos estiver estudando. No mtodo Brasiliano foi estipulado quatro sub-critrios de impacto. Cada sub-critrio de impacto possui um peso diferenciado, tendo em vista seu grau de relevncia para a empresa. Os quatro sub-critrios de impacto, com seus respectivos pesos so:
Todos os direitos reservados. proibida a reproduo desta obra por qualquer meio, em seu todo 10 ou em partes, sem a autorizao expressa do autor. Mtodo Brasiliano Plano de Continuidade de Negcios. Registrado/Certificado
Os nveis de graduao com os descritores de referncia de cada sub-critrio so: IMAGEM PESO 4:
Descritor DE CARTER INTERNACIONAL DE CARTER NACIONAL REGIONAL LOCAL DE CARTER INDIVIDUAL NO SAIU DA EMPRESA Pontuao 05 04 03 02 01
FINANCEIRO PESO 3:
Descritor MASSIVO SEVERO MODERADO LEVE INSIGNIFICANTE Pontuao 05 04 03 02 01
LEGISLAO PESO 2:
Descritor PERTUBAES MUITO GRAVES GRAVES LIMITADAS LEVES MUITO LEVES Pontuao 05 04 03 02 01
OPERACIONAL PESO 2:
Determinao do Nvel de Impacto O Nvel de Impacto o resultado da soma dos resultados de sub-critrio de impacto (multiplicao do peso versus a pontuao), dividido pela soma dos pesos, conforme demonstrado abaixo:
Imagem + Financeiro + Operacional + Legislao Nvel de Impacto = ___________________________________________ 11(soma dos pesos 4+3+2+2)
Com o resultado da mdia ponderada temos uma tabela de criticidade de impacto de cada processo: NVEL DE CRITICIDADE Catastrfico Critico Marginal Leve Desprezvel 5 4 3 2 1 De 4,51 3,51 2,51 1,51 1,00 At 5,00 4,50 3,50 2,50 1,50
Desta forma podemos estimar, de uma forma mais objetiva, com critrios claramente definidos, o impacto de cada perigo no negcio. 6. Anlise de Impactos nos Processos e ou Atividades O gestor da rea deve realizar a priorizao dos processos em sua rea de negcio ou atividade utilizando dois critrios: Impacto no Negcio Tempo de Tolerncia
Os processos, reas e ou instalaes tero trs nveis de classificao: - Processos HOT Processo quente prioritrio: este processo no pode parar, deve possuir uma estratgia de sempre estar no ar. - Processos Warm processo morno segunda prioridade: este processo deve possuir uma estratgia de continuidade, porm sem a urgncia de estar no ar sempre. Nesta clasificao o processo pode estar fora ar por um tempo, no exigindo ativao real time. - Processos Cold processo frio terceira prioridade: este processo, embora importante, possui um tempo bem maior para poder ser reativado. 6.1 Impacto no Negcio O impacto no negcio emprega os mesmos critrios utilizados na anlise de riscos. Ou seja empregamos quatro sub-critrios, cada um com um peso diferenciado, tendo em vista o nvel de importncia no contexto de negcio da empresa.
Os quatro sub critrios dos impactos so:
Os nveis de graduao com os descritores de referncia de cada sub-critrio so: IMAGEM PESO 4:
Descritor DE CARTER INTERNACIONAL DE CARTER NACIONAL REGIONAL LOCAL DE CARTER INDIVIDUAL NO SAIU DA EMPRESA Pontuao 05 04 03 02 01
FINANCEIRO PESO 3:
Descritor MASSIVO SEVERO MODERADO LEVE INSIGNIFICANTE Pontuao 05 04 03 02 01
LEGISLAO PESO 2:
OPERACIONAL PESO 2:
Determinao do Nvel de Impacto O Nvel de Impacto o resultado da soma dos resultados de sub-critrio de impacto (multiplicao do peso versus a pontuao), dividido pela soma dos pesos, conforme demonstrado abaixo:
Imagem + Financeiro + Operacional + Legislao Nvel de Impacto = ___________________________________________ 11(soma dos pesos 4+3+2+2)
Com o resultado da mdia ponderada temos uma tabela de criticidade de impacto de cada processo:
Grau de Impacto 4,51 A 5,00 Nvel de Impacto Catastrfico Interpretao Eventos que causam impactos nas operaes, de maneira a paralisar os imperativos da EMPRESA . Atingindo o fluxo de caixa, imagem e com conseqncias Reguladores. 3,51 A 4,50 Severo Eventos que tambm causam impactos extremamente nas operaes. Atingindo o fluxo de caixa e imagem da EMPRESA . 2,51 A 3,50 1,51 A 2,50 1,00 A 1,50 Moderado Leve Desprezvel Eventos que causam impactos significantes no atingindo as operaes. Eventos que causam impactos leves. Eventos que causam poucos impactos. gravssimas com os rgos processos crticos e
6.2 Avaliao Tolerncia ao tempo Como parte da avaliao do impacto, temos que estimar por quanto tempo o processo que est sendo avaliado pode ficar indisponvel (fora do ar). O importante avaliar o tempo necessrio para que o processo volte a ser operacional, mesmo que em condies precrias. Os nveis de tolerncia ao tempo devem ser classificados de acordo com a tabela a seguir:
Nveis de tolerncia 6 5 4 3 2 1
TEMPO EM HORAS 0 4 horas 4 horas 01 dia 01 dia 02 dias 02 dias 07 dias 07 dias 14 dias Maior que 14 dias
6.3 Matriz de Processos Crticos Business Impact Analisys - BIA O resultado do cruzamento do nvel de impacto com a tolerncia uma matriz, que define o nvel de criticidade de cada processo o que determina se o processo HOT, WARM e COLD.
Com base nesta matriz o gestor pode determinar a prioridade de reativao do respectivo processo. 7. Estratgia de Continuidade e Cenrios A estratgia para a implantao do plano de continuidade, para as reas de negcio, se baseia no resultado da anlise de impacto dos negcios dos processos da rea e na localizao do site. A estratgia de continuidade o conjunto de escolhas, que uma vez feitas definem o Plano de Continuidade de Negocio. A definio da Estratgia de Continuidade funo dos requisitos do processo e do custo e viabilidade das alternativas disponveis. Estes requisitos so retirados da Matriz do BIA (Business Impact Analisys). A Matriz BIA identifica, de forma prtica e objetiva, quais so os processos que devem ser priorizados, tendo em vista sua criticidade. Podemos criar nveis de criticidade, sugerimos os quatro abaixo listados: PRIMEIRO NVEL: PROCESSOS HOT STAND BY SEGUNDO NVEL: PROCESSOS HOT TERCEIRO NVEL: PROCESSOS WARM QUARTO NVEL: PROCESSOS COLD
Os nveis de criticidade foram definidos com base nos seguintes parmetros:
TEMPO TOLERNCIA 0 a 4 Horas
DE
IMPACTO
CLASSIFICAO PROCESSO
DO
CATASTRFICO SEVERO
HOT STAND BY
> 4 at 48 Horas
CATASTRFICO SEVERO
HOT
> 48 Horas
CATASTRFICO SEVERO
WARM
0 a 48 horas > 48 Horas 0 a 336 horas
MODERADO
WARM
LEVE
COLD
Como estratgias de continuidade podem considerar as aes operacionais dos processos crticos dentro dos seguintes conceitos: 1. Hot Standby Sites: Sites destinados a atender os processos crticos que no podem parar at 04 horas, e que causam impactos severos e catastrficos. Estes processos tero estaes de trabalho de pronto emprego, com seus aplicativos e recursos disponveis 24 horas por dia, durante 365 dias do ano. Estes processos devero trabalhar em regime de contingncia com um efetivo de RH variando entre 20% a 40%, no podendo ultrapassar este limite. Vale ressaltar que estamos em regime de contingncia e o objetivo no parar o processo, mesmo em condies no favorveis. Portanto as reas que possuam processos com este nvel de criticidade devem estruturar as respostas de continuidade no padro definido acima.
2. Hot Site: Sites destinados a atender os processos crticos cuja atividade pode parar e iniciar-se num prazo de 04 horas at 48 horas, causando impactos classificados como severos e catastrficos. Estes processos tero estaes de trabalho compartilhados, ou seja, processos que so considerados COLD cedero lugar para que estes processos tenham condies operacionais de trabalho em outras instalaes da EMPRESA . Cabe a rea definir seus sites compartilhados, negociando com os facilitadores das reas. 3. Warm Sites: Sites destinados a atender os processos crticos com tempo para iniciar entre 04 a 336 horas, mas com impacto moderado nos negcios. Estes processos, da mesma forma que os HOT, tero estaes de trabalho compartilhados dos processos COLD, que devero ceder suas estaes de trabalho para que os processos warm possam operacionalizar seus trabalhos. 4. Cold Sites: Sites com tempo mximo para incio de funcionamento em at 14 dias. Dentro deste cenrio, a empresa poder alugar outros locais de funcionamento, pois o tempo de reao permite esta flexibilidade. 8. Aes Operacionais Relacionar a prioridade de aes a serem tomadas a partir do incio de uma situao crise ou em uma contingncia, ocasionando a ativao do PCN. Portanto importante descrever em forma de frases curtas e objetivas, os procedimentos operacionais que sero utilizados pela rea na situao de exceo. O ideal que os procedimentos operacionais sejam descritos na formatao 3W 1H.
WHAT O QUE Ordem 1:
WHO QUEM
WHEN QUANDO
HOW COMO
O Que: O que fazer - Exemplo: Comunicar o Sr. Rodrigues sobre a falha no sistema ou Abrir chamado no help desk. Quem: Nesta pergunta respondemos quem o responsvel pela ao / procedimento, podendo ser uma pessoa, grupo de pessoas e ou um departamento. Exemplo: Joo da Silva Segurana Quando: Nesta pergunta respondemos o horizonte temporal que deveremos implantar cada varivel e ou sistema. Exemplo: Como: Nesta pergunta respondemos de que forma poderemos realizar o procedimento - Exemplo: Pessoalmente, Telefone ou Correio Eletrnico. 9. Relao dos Colaboradores Visa auxiliar a gerenciar as situaes de crise e contingncia, devendo possuir a relao completa de todos os colaboradores da rea. Esta relao deve incluir os telefones para contatos em situaes de exceo. 10. Relao das Funes Crticas Lista das funes e ou atividades crticas do departamento. So as funes que operacionalizam os processos considerados HOT Stand By e HOT. Deve conter os telefones para contatos em situaes de exceo. 11. Relao dos Recursos do Site Original O Site Original o espao fsico j existente onde se desenvolve as atividades dirias e se encontram todos os recursos e pessoal necessrio para esta finalidade.
Deve ser listado todos os aplicativos, equipamentos e acessrios existente no site original 12. Relao dos Recursos do Site de Contingncia O site de contingncia composto basicamente por um espao fsico contendo kits de trabalho. Exemplo: Mveis, computadores, sistemas de comunicao (rede corporativa, telefone, fax, correio eletrnico.), sistemas e aplicativos especficos para as atividades do setor, etc. Os recursos necessrios para o site de contingncia e seu respectivo endereo com mapa de localizao devem ser listados e controlados pelo facilitador da rea. Estes recursos estaro permanentemente disponveis ou providenciados somente aps a ativao do plano de acordo com suas necessidades e configurao. CRITRIOS PARA ESCOLHA DA LOCALIZAO DO SITE DE CONTINGNCIA A localizao do Site deve considerar os itens abaixo: Deve estar distante o suficiente para no sofrer os efeitos da ocorrncia
causadora da indisponibilidade do site principal. Em hiptese alguma o site de contingncia poder estar localizado no mesmo edifcio do site original. Deve estar prximo o suficiente para ocup-lo dentro do tempo necessrio para a continuidade dos negcios, considerando a dificuldade de locomoo em ocorrncias com repercusses nos sistemas de transporte. 13. Relao dos Fornecedores Crticos Cada departamento dever listar seus forncedores considerados crticos. Estes fornecedores podem ser internos e ou externos.
Assim como a empresa possui seu PCN, os fornecedores de produtos e servios tambm devem confeccionar e testar periodicamente seus planos de continuidade de negcios. Este item deve constar em clusula especfica nos contratos vigentes. Todas as reas tomadoras de servios terceirizados e fornecimento de produtos devem assegurar a existncia e funcionalidade de PCNs dos fornecedores. Este item ser dispensado quando previsto no PCN da rea a substituio imediata do fornecedor em caso de descontinuidade no fornecimento de produtos ou servios contratados. 14. Roteiro Teste Operacional e Mesa O importante nos testes a prtica de se executar os procedimentos previstos e torn-los de conhecimento do maior nmero de colaboradores, para que quando de uma contingncia, as aes necessrias e programadas sejam executadas naturalmente, sem transtornos. Um segundo produto que se obtm dos testes a depurao do plano. 14.1 Estratgia dos Testes Os testes do PCN podem ser divididos em duas camadas estratgicas. So elas: PRIMEIRA CAMADA ESTRATGICA Esta primeira camada estratgica diz respeito em sensibilizar e conscientizar os gestores e colaboradores das reas de negcio em praticarem seus processos crticos em situaes anormais, em situaes de contingncia com efetivo reduzido cerca de 30%.
Portanto nesta camada o objetivo validar a forma como estes processos crticos sero operacionalizados. O treinamento ser modular, com recorte. Este recorte diz respeito: a) processos imperativos e crticos da rea contingenciada; a) edificao onde esto localizados os processos, departamento/diretoria b) tempo de tolerncia do processo crtico. Ser executado o teste modular para as reas de negcio, mantendo em paralelo com as funes do dia-a-dia. Ser uma simulao, independente do tipo de evento, pois na realidade a origem da contingncia no interfere, pois estamos medindo a viabilidade da continuidade operacional dos processos crticos, INDEPENDENTE da situao de contingncia. SEGUNDA CAMADA ESTRATGICA A segunda camada estratgica diz respeito a treinar os componentes do Grupo de Respostas a Contingncia, ou seja, so as reas responsveis a darem o suporte operacional no caso de uma contingncia. Neste caso especfico para a EMPRESA, este grupo ser o Comit de Crise, tendo como integrantes as reas de suporte. Listamos abaixo, a ttulo de exemplo, as diretorias de uma empresa:
Comercial Financeiro Jurdico RH TI Patrimnio

Administrativa Comunicao Segurana Corporativa

Sugerimos que este teste seja do tipo denominado TESTE DE MESA WALK THROUGH, onde os membros das equipes se renem para percorrerem os procedimentos do Plano de Continuidade de acordo com o cenrio selecionado para o teste. O objetivo deste tipo de teste confirmar a adequao dos procedimentos documentados e identificar lacunas que existam na estruturao do Plano, ou qualquer outra falha existente. 14.2 Descrio dos Testes TESTE MODULAR PRIMEIRA CAMADA ESTRATGICA REAS DE NEGCIO DA EMPRESA A) OBJETIVO DO TESTE O objetivo de um teste modular para as reas de negcio da EMPRESA so: Homologar a operacionalidade dos processos crticos em situaes de contingncia, com efetivo de recursos humanos na ordem de 30%; Homologar o tempo de tolerncia, tempo para voltar a funcionar - dos processos crticos. Os testes visam identificar problemas reais com base na simulao.
B) CENRIOS DE CONTINGNCIA E EXECUO DOS TESTES O cenrio de contingncia para este teste modular das reas de negcio da EMPRESA : O focal da rea receber no dia programado um aviso, via uma bandeira vermelha, informando-o que sua rea se encontra em situao de contingncia. Esta situao de contingncia significa que o focal dever acionar o grupo de deciso e a partir deste momento implementar o PCN, acionando seu plano e seu efetivo responsvel para continuar com os processos crticos. Os demais colaboradores permanecero executando suas tarefas de forma a no haver soluo de continuidade nas atividades da rea e reduzindose os riscos de prejuzos A rea ter duas horas, de tempo limite, para estar operando todos seus processos imperativos e crticos identificados no BIA. O teste ser desencadeado pela manh, at s 12:00 horas, de forma a permitir que no incio do perodo da tarde, as atividades estejam sendo iniciadas no site de contingncia. A estratgia contingenciar 12 reas por dia na sede da EMPRESA e um cenrio de interrupo de operao nas regionais, de tal forma que em 02 dias sejam testados a operao dos processos imperativos e crticos na sede e em 03 dias os cenrios das regionais. Outras reas identificadas pela equipe PCN como de elevado impacto podero ter tratamento diferenciado.
O teste ser focado nos processos catastrficos e severos da EMPRESA . O teste avaliado em relao aos objetivos especficos da infra-estrutura e os procedimentos que os colaboradores devem executar. C) CRITRIOS PARA A VALIDAO DO TESTE. O teste para que possa ser considerado vlido deve atingir os seguintes objetivos: - possuir os aplicativos necessrios; - realizar seus processos crticos operacionalizao no tempo mximo de 2 horas. Sero tambm avaliados os seguintes aspectos: - Conhecimento do PCN pelos colaboradores chave; - Aes do comit de deciso; - Funcionamento dos equipamentos e da infra-estrutura; - Adequao do nmero de colaboradores para a execuo dos processos crticos; - Desmobilizao dos colaboradores; - Processos de comunicao (Incio da situao, evoluo de acontecimentos e no retorno a situao de normalidade). - Preparao do relatrio (aes efetuadas, dificuldades e sugestes) D) CRITRIOS PARA A REALIZAO DE NOVO TESTE. Haver necessidade de repetir o teste nas situaes em que: - No caso de ocorrer falha de procedimento por parte dos colaboradores ou do comit de deciso, que provoque a interrupo de processo considerado critico que venha a comprometer significativamente a eficincia do teste.
14.3 Teste de Mesa Walk Through grupo de suporte da empresa A) OBJETIVO DO TESTE O TESTE DE MESA WALK THROUGH possui como objetivo operacional fazer com que os componentes das diferentes equipes, percorram os procedimentos do Plano de Continuidade de acordo com o cenrio selecionado para o teste. O objetivo deste tipo de teste confirmar a adequao dos procedimentos documentados e identificar lacunas que existam na estruturao do Plano, ou qualquer outra falha existente. Os objetivos estratgicos deste tipo de teste so: Testar a funcionalidade dos procedimentos; Capacitar o pessoal e as equipes; Identificar pontos obsoletos; Identificar falhas; Testar procedimentos de resposta emergencial; Manter elevado o nvel de conscientizao do corpo funcional.
C) CENRIOS DE CONTINGNCIA Os cenrios para a operacionalizao dos testes de mesa sempre levaro em considerao o emprego das equipes de suporte, podendo ir desde um grande incndio at queda de aeronave em instalaes da EMPRESA .
D) DESCRIO DO TESTE DE MESA A estratgia do teste de mesa testar a equipe, como se fosse uma situao real. Para isso h necessidade de dar imputs de informaes em tempo real para a equipe. Estes imputs sero entregues pelo coordenador do treinamento, de vinte a vinte minutos, perfazendo um total de uma hora e meia. Ao trmino desta uma hora e meia, a equipe ter o cenrio completo da descontinuidade. A estratgia fazer com que a equipe raciocine com presso do tempo vinte em vinte minutos com as evolues das situaes e que ao final tenha um tempo pequeno uma hora no mximo para descrever os procedimentos estratgicos e operacionais para mitigar o impacto e suportar a crise. Aps o tempo limite a equipe apresenta a soluo e esta ser avaliada pelos coordenadores do treinamento, realizando um debate sobre erros e acertos. 15. Ativao do Plano 15.1 Ativando o PCN 15.1.1 Identificando o Incidente Gestor Processo Recebe comunicado do incidente; Avalia se h necessidade de ativar o PCN;
15.1.2. Ativando o PCN Gestor Processo Comunica o Coordenador CGC; Aciona Equipe N.O;
Aciona o Plano de Chamada
Coordenador Comit de Crise: Aciona os demais integrantes do CGC;
Ncleo Operacional Opera em regime de contingncia conforme procedimentos operacionais; Quando concluda a crise recupera ativos conforme procedimentos;
Empresa retoma as atividades normais. 15.2 PLANO DE CHAMADA O Plano de Chamada tem como objetivos: Acionar os meios humanos internos, por ncleo, para agir e reagir a uma Orientar funcionrios e contratados sobre os procedimentos a serem Manter os quadros da empresa informados sobre o status da situao.
ocorrncia de crise ou emergncia; adotados em caso de uma contingncia;
O Plano de Chamada est formatado da seguinte maneira: Grupo de Chamada o grupo formado pela totalidade dos funcionrios e contratados de uma mesma rea de negcios. Haver tantos grupos de chamada quantas forem s reas de negcios na empresa.
Lder de Grupo de Chamada Cada grupo ser comandado por um Lder de Grupo que tem a tarefa de acionar os coordenadores das Clulas de Chamada. Clula de Chamada Cada grupo de chamada ser dividido em clulas com no mximo 15 pessoas. Haver tantas clulas quantas forem necessrias para completar a totalidade de funcionrios do grupo de chamada. Para cada clula o Lder de Grupo dever designar um Coordenador, que ser responsvel por obter as informaes e atualiz-las. O Lder do Grupo de Chamada ter, em mos, a relao de clulas com os respectivos nomes dos coordenadores e integrantes, assim como a forma direta de contato com cada um. Em caso de acionamento do Plano de Chamada, o coordenador ser o responsvel por chamar todos os funcionrios/contratados de sua clula. Acionamento O CGC, em conjunto com o NO, decidir se e quando o Plano de Chamada ser acionado. Se a deciso for pelo acionamento do Plano de Chamada, o responsvel por essa tarefa ser o NO. Tomada deciso, o Ncleo Operacional entrar em contato com cada um dos Lderes de Grupo e estes, por sua vez, acionaro os seus respectivos Coordenadores de Clulas. Cada coordenador entrar em contato com os integrantes de sua clula.
Processo de Constituio dos Grupos e Clulas de Chamada a) O RH e Segurana da EMPRESA enviar para cada Lder de rea, em
arquivo eletrnico, uma planilha para a constituio das Clulas de Chamada e outra para a organizao do Grupo de Chamada. b) Cada rea da empresa dever nomear um Lder de Grupo e tantos Coordenadores quantos grupos de 15 pessoas houver. O Lder de Grupo dever enviar para cada Coordenador uma cpia da planilha da Clula de Chamada. c) Os Coordenadores devero lanar nas fichas todas as informaes relativas a seu grupo e ento enviar o arquivo devidamente preenchido para o RH e Segurana da EMPRESA , que arquivar.
d)
Os
Coordenadores
Lderes
de
Grupo
devero
manter
consigo,
respectivamente, uma relao dos contatos de sua clula ou grupo. Suplentes Para cada uma das funes chaves devero ser nomeadas um suplente. Em caso de impedimento do titular o suplente dever assumir todas as suas obrigaes. A suplncia obedecer ao seguinte critrio: Funo Lder de Grupo Coordenador de Clula Suplente Coordenador de uma das Clulas Funcionrio listado na posio 01 da planilha Controle dos Contatos Cada coordenador deve manter uma relao dos funcionrios/contratados que no forem encontrados e informar esta relao ao seu Lder de Grupo.
Cada Lder de Grupo deve manter uma relao dos funcionrios/contratados de seu grupo que no foram encontrados. Dever tambm informar Central de Informao a situao de seu grupo. A Central de Informao dever manter uma lista geral de todos os
funcionrios/contratados que no forem encontrados, sendo esta lista de responsabilidade de recursos humanos que dever manter os pronturios atualizados. Distribuio do Plano de Chamada para Situao de Emergncia As listas e documentos do Plano de Chamada devero ser distribudos da seguinte maneira: Uma cpia completa com cada um dos Diretores; Uma cpia completa nas Gerncias que coordenam a Central de Comunicao; Um extrato por Grupo de Chamada com Lder de Grupo; Uma cpia de cada clula com cada Coordenador e cada suplente.
Cada um dos Lderes e Coordenadores dever possuir uma cpia do plano ou extrato em sua residncia e outra em seu local de trabalho.
SOBRE O DO AUTOR ANTONIO CELSO RIBEIRO BRASILIANO Doutor em Science et Ingnierie de LInformation et de LIntelligence Stratgique ( Cincia e Engenharia da Informao e Inteligncia Estratgica) pela UNIVERSIT EAST PARIS - MARNE LA VALLE Paris Frana; Master Degree - Diplome DEtudes Approfondies (DEA) en Information Scientifique et Technique Veille Technologique (Inteligncia Competitiva) pela UNIVERSITE TOULON Toulon Frana; Especializado em: Inteligncia Competitiva pela Universidade Federal do Rio de Janeiro - UFRJ; Gestin da Seguridad Empresarial Internacional Universidad Comillas Espanha; Segurana Empresarial pela Universidad Pontifcia Comillas de Madrid Espanha; Planejamento Empresarial, pela Fundao Getlio Vargas - SP; Elaborao de Currculos pelo Centro de Estudos de Pessoal do Exrcito - CEP, Bacharel em Cincias Militares, graduado pela Academia Militar das Agulhas Negras; Bacharel em Administrao de Empresas; Certificado como Especialista em Segurana Empresarial CES pela Associao Brasileira de Segurana Orgnica ABSO; Autor dos livros:Anlise de Risco Corporativo Mtodo Brasiliano; Manual de Anlise de Risco Para a Segurana Empresarial; Manual de Planejamento: Gesto de Riscos Corporativos; A (IN)Segurana nas Redes Empresarias: A Inteligncia Competitiva e a Fuga Involuntria das Informaes; Planejamento da Segurana Empresarial: Metodologia e Implantao; Co-Autor dos Livros: Manual de Planejamento Ttico e Tcnico em Segurana Empresarial; Segurana de Executivos" - Noes Anti-Seqestro e Seqestro: Como se Defender; Atual Coordenador Tcnico e Professor dos Cursos: Curso de Especializao (MBA) Gesto em Segurana Empresarial e do Curso Avanado em Segurana Empresarial, Membro do Institute of Internal Auditors IIA; do Instituto dos Auditores Internos do Brasil AUDIBRA; Membro e Diretor de Planejamento Estratgico da Associao Brasileira dos Profissionais de Segurana Orgnica ABSO, da Associao Brasileira dos Analistas de Inteligncia Competitiva ABRAIC; da Associao Brasileira de Logstica ASLOG; Coordenou a 1 Pesquisa de Vitimizao Empresarial 2003 Contrato pela PENUD/ONU/SENASP; Diretor Executivo da BRASILIANO & ASSOCIADOS.

PGCN - Método Brasileiro para Gestão da Continuidade de Negócios

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

PGCN - Método Brasileiro para Gestão da Continuidade de Negócios

Diunggah oleh

Hak Cipta:

Format Tersedia

MTODO BRASILIANO PROCESSO DA GESTO DE CONTINUIDADE DE NEGCIOS PGCN PLANO DE CONTINUIDADE DE NEGCIOS - PCN BIA Business Impact Analisys

Antonio Celso Ribeiro Brasiliano

Procurando a causa bsica

Falta instruo de.... No est definida a sistemtica de....

AI + AE + RH + MO + MTA + MTP FR = _____________________________ 6

ESCALA 15 5,01 10 10,1 15 15,01 20 20,01 25

NVEL PROBABILIDADE BAIXA MDIA ALTA MUITO ALTA ELEVADA

Os quatro sub critrios dos impactos so:

Os nveis de criticidade foram definidos com base nos seguintes parmetros:

TEMPO TOLERNCIA 0 a 4 Horas

0 a 48 horas > 48 Horas 0 a 336 horas

WHAT O QUE Ordem 1:

Comercial Financeiro Jurdico RH TI Patrimnio

Administrativa Comunicao Segurana Corporativa

Aciona o Plano de Chamada

Coordenador Comit de Crise: Aciona os demais integrantes do CGC;

ocorrncia de crise ou emergncia; adotados em caso de uma contingncia;

Anda mungkin juga menyukai