Entenda as orientações e recomendações para a aplicação dos requisitos do sistema de gestão de continuidade de negócios (SGCN) fornecidos na NBR ISO 22301. As orientações e recomendações são baseadas em boas práticas internacionais. É aplicável a organizações que: implementam, mantêm e melhoram um SGCN; buscam assegurar a conformidade com a política de continuidade de negócios declarada; precisam estar aptas a continuar o fornecimento de produtos e serviços em uma capacidade predefinida aceitável durante uma disrupção; buscam melhorar sua resiliência por meio da aplicação eficaz do SGCN.
A NBR ISO 22313 de 06/2020 – Segurança e resiliência — Sistemas de gestão de continuidade de negócios — Orientações para o uso da NBR ISO 22301 fornece orientações e recomendações para a aplicação dos requisitos do sistema de gestão de continuidade de negócios (SGCN) fornecidos na NBR ISO 22301. As orientações e recomendações são baseadas em boas práticas internacionais. É aplicável a organizações que: implementam, mantêm e melhoram um SGCN; buscam assegurar a conformidade com a política de continuidade de negócios declarada; precisam estar aptas a continuar o fornecimento de produtos e serviços em uma capacidade predefinida aceitável durante uma disrupção; buscam melhorar sua resiliência por meio da aplicação eficaz do SGCN. As orientações e recomendações são aplicáveis a todos os tamanhos e tipos de organizações, incluindo grandes, médias e pequenas organizações que operam nos setores industrial, comercial, público e sem fins lucrativos. A abordagem adotada depende do ambiente operacional e da complexidade da organização.
Acesse algumas dúvidas relacionadas a essas normas GRATUITAMENTE no Target Genius Respostas Diretas:
Quais devem ser os procedimentos em relação aos requisitos legais e regulamentares?
O que fazer em relação às exclusões do escopo do SGCN?
Este documento fornece orientação, onde apropriado, sobre os requisitos da NBR ISO 22301. Não é a intenção deste documento fornecer orientações gerais sobre todos os aspectos da continuidade de negócios. Este documento inclui os mesmos cabeçalhos da NBR ISO 22301, mas não reafirma os requisitos e termos e definições relacionados.
A intenção das orientações é explicar e esclarecer o significado e a finalidade dos requisitos da NBR ISO 22301 e auxiliar na resolução de quaisquer problemas de interpretação. Outras normas e especificações técnicas que fornecem orientações adicionais e às quais são feitas referências neste documento são projeto ISO/TS 22317, ISO/TS 22318, projeto NBR ISO 22322, ISO/TS 22330, ISO/TS 22331 e ISO 22398. O escopo destes documentos pode ir além dos requisitos da NBR ISO 22301.
Portanto, convém que as organizações sempre consultem a NBR ISO 22301 para verificar os requisitos a serem atendidos. Para fornecer mais esclarecimentos e explicação sobre postos-chaves, este documento inclui uma série de figuras. As figuras são apenas para fins ilustrativos e o texto relacionado no corpo deste documento tem precedência. Um SGCN deve enfatizar a importância de: estabelecer uma política e objetivos de continuidade de negócios que estejam alinhados com os objetivos da organização; operar e manter processos, capacidades e estruturas de resposta para assegurar que a organização sobreviva a disrupções; monitorar e analisar criticamente o desempenho e a eficácia do SGCN e melhorar continuamente, com base em medições qualitativas e quantitativas.
O SGCN, como qualquer outro sistema de gestão, inclui os componentes a seguir: uma política; pessoas competentes com responsabilidades definidas; processos de gestão relativos a política; planejamento; implementação e operação; avaliação de desempenho; análise crítica pela direção; melhoria contínua; documentação que apoie o controle operacional e possibilite a avaliação de desempenho. Geralmente a continuidade de negócios é específica para uma organização. No entanto, a sua implementação pode ter implicações de longo alcance sobre a comunidade em geral e terceiros.
É provável que uma organização tenha outras organizações externas que dependam dela, e outras que ela dependa. Uma continuidade de negócios eficaz, portanto, contribui para uma sociedade mais resiliente. Um SGCN aumenta o nível de resposta e prontidão da organização para continuar operando durante disrupções. Isso também resulta em uma melhor compreensão dos relacionamentos internos e externos da organização, melhor comunicação com as partes interessadas e a criação de um ambiente
de melhoria contínua. Há potencialmente muitos benefícios adicionais para a implementação de um SGCN de acordo com as recomendações contidas neste documento e de acordo com os requisitos da NBR ISO 22301. Por exemplo, seguir as recomendações da Seção 4 (“contexto da organização”) implica que a organização analisa criticamente seus objetivos estratégicos para assegurar que o SGCN os apoie; reconsidera as necessidades, expectativas e requisitos das partes interessadas; está ciente das obrigações legais, regulamentares e outras aplicáveis.
A Seção 5 (“liderança”) implica que a organização: reconsidera as funções e responsabilidades da direção; promove uma cultura de melhoria contínua; aloca responsabilidade pelo monitoramento e relatórios de desempenho. A Seção 6 (“planejamento”) implica que a organização: reexamina seus riscos e oportunidades e identifica ações para lidar e tirar proveito deles; estabelece uma gestão eficaz de mudanças. A Seção 7 (“apoio”) implica que a organização: estabelece uma gestão eficaz de seus recursos de SGCN, incluindo a gestão de competências; melhora a conscientização dos funcionários sobre assuntos importantes para a direção; possui mecanismos eficazes de comunicação interna e externa; gerencia eficazmente sua documentação.
A Seção 8 (“operação”) resulta que a organização considera: as consequências não intencionais da mudança; prioridades e requisitos de continuidade de negócios; dependências; vulnerabilidades a partir de uma perspectiva de impacto; riscos de disrupção e identificação da melhor forma de endereça-los; soluções alternativas para administrar o negócio com recursos limitados; estruturas e procedimentos eficazes para lidar com disrupções; responsabilidades para com a comunidade e outras partes interessadas. A Seção 9 (“avaliação de desempenho”) implica que a organização: possui mecanismos eficazes para monitorar, medir e avaliar o desempenho; envolve a direção no monitoramento do desempenho e contribui para a eficácia do SGCN.
A Seção 10 (“melhoria”) implica que a organização: tem procedimentos para monitorar o desempenho e melhorar a eficácia; se beneficia da melhoria contínua de seus sistemas de gestão. Como resultado, a implementação do SGCN pode: proteger a vida, os ativos e o meio ambiente; proteger e aprimorar a reputação e credibilidade da organização; contribuir para a vantagem competitiva da organização, permitindo que ela opere durante as disrupções; reduzir custos decorrentes de disrupções e melhorar a capacidade da organização de permanecer eficaz durante eles; contribuir para a resiliência organizacional geral da organização; ajudar a tornar as partes interessadas mais confiantes no sucesso da organização; reduzir a exposição legal e financeira da organização; demonstrar a capacidade da organização de gerenciar riscos e solucionar vulnerabilidades operacionais.
Este documento adota o modelo plan-do-check-act (PDCA) para planejar, estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente a eficácia do SGCN da organização. Uma explicação sobre o ciclo PDCA é fornecida na tabela abaixo. Ela ilustra como o SGCN considera os requisitos das partes interessadas como entradas para a gestão de continuidade de negócios (GCN) e, por meio das ações necessárias e processos, produz resultados de continuidade de negócios (por exemplo, continuidade de negócios gerenciada) que atendem a estes requisitos.
A continuidade de negócios é a capacidade da organização de continuar fornecendo produtos ou serviços em capacidades predefinidas aceitáveis após uma disrupção. A gestão de continuidade de negócios é o processo de implementação e manutenção da continuidade de negócios para evitar perdas e se preparar para mitigar e gerenciar disrupções. O estabelecimento de um SGCN permite que a organização controle, avalie e melhore continuamente sua continuidade de negócios. Neste documento, a palavra negócios é usada como um termo abrangente para as operações e serviços executados por uma organização em busca de seus objetivos, metas ou missão.
Como tal, é igualmente aplicável a grandes, médias e pequenas organizações que operam nos setores industrial, comercial, público e sem fins lucrativos. As disrupções têm o potencial de interromper todas as operações da organização e sua capacidade de fornecer produtos e serviços. No entanto, a implementação de um SGCN antes que ocorra uma disrupção, em vez de responder de maneira não planejada após o incidente, permite à organização retomar as operações antes que surjam níveis inaceitáveis de impacto.
A gestão de continuidade de negócios envolve: identificar os produtos e serviços da organização e as atividades que os entregam; analisar os impactos de não retomar as atividades e os recursos dos quais dependem; compreender o risco de disrupção; determinar prioridades, prazos, capacidades e estratégias para retomar a entrega de produtos e serviços; ter soluções e planos para retomar as atividades dentro dos prazos requeridos após uma disrupção; garantir que esses arranjos sejam analisados criticamente e atualizados de forma regular para que sejam eficazes em todas as circunstâncias. Convém que a abordagem da organização à gestão da continuidade de negócios e suas informações documentadas sejam apropriadas ao seu contexto (por exemplo, ambiente operacional, complexidade, necessidades, recursos).
A continuidade de negócios pode ser eficaz para lidar com disrupções repentinas (por exemplo, explosões) e graduais (por exemplo, pandemias). As atividades podem ser interrompidas por uma ampla variedade de incidentes, muitos dos quais são difíceis de prever ou analisar. Ao focar no impacto da disrupção e não na causa, a continuidade de negócios permite que uma organização identifique atividades que são essenciais para poder cumprir suas obrigações.
Por meio da continuidade de negócios, uma organização pode reconhecer o que é para ser feito para proteger seus recursos (por exemplo, pessoas, instalações, tecnologia, informação), cadeia de suprimentos, partes interessadas e reputação antes que ocorra uma disrupção. Com esse reconhecimento, é possível que a organização crie uma estrutura de resposta, para ter certeza de gerenciar os impactos de uma disrupção. As figuras abaixo ilustram conceitualmente como a continuidade de negócios pode ser eficaz na mitigação de impactos em determinadas situações. Nenhuma escala de tempo específica é implicada pela distância relativa entre os estágios representados em qualquer diagrama.
Convém que a organização avalie e entenda as questões externas e internas (incluindo fatores ou condições positivas e negativas para consideração) que sejam pertinentes para seus objetivos gerais, produtos e serviços, e o quanto e o tipo de risco que pode ou não assumir. Convém que esta informação seja considerada na implementação e manutenção do SGCN da organização e atribuição de prioridades. O contexto externo da organização inclui, quando pertinente, o seguinte: o ambiente político, legal e regulamentar, seja internacional, nacional, regional ou local; os aspectos social e cultural; o ambiente financeiro, tecnológico, econômico, natural e competitivo, seja internacional, nacional, regional ou local; o comprometimento com a cadeia de suprimentos e relacionamentos (ver também ISO/TS 22318); fatores-chave (por exemplo, riscos, tecnologia) e tendências tendo um impacto sobre os objetivos e a operação da organização; relacionamentos com, e percepções e valores das, partes interessadas fora da organização; canais de comunicação, incluindo mídias sociais, usados para verificar e formar esses relacionamentos.
O contexto interno da organização inclui, quando pertinente, o seguinte: produtos e serviços, atividades, recursos, cadeia de suprimentos, e as relações com as partes interessadas; capacidades, entendidas em termos de recursos e de conhecimentos (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias); sistemas de gestão existentes; informações e dados (armazenados em formato físico ou eletrônico) e processos de tomada de decisão (formais e outros); partes interessadas dentro da organização, incluindo fornecedores internos [consideração de acordos de nível de serviço (SLA), acordos de resiliência e recuperação avaliados], ver ISO/TS 22318; políticas e os objetivos, e as estratégias que estão em vigor para alcança-los; oportunidades futuras e prioridades de negócios; percepções, valores e cultura; normas e modelos de referência adotados pela organização; estruturas (por exemplo, governança, papéis e responsabilizações); canais de comunicação interna usados para a troca de informações pela força de trabalho (por exemplo, mídias sociais).
A organização tem o dever de cuidar de uma ampla gama de pessoas dentro e fora da organização (ver também ISO/TS 22330). Ao estabelecer o SGCN, convém que a organização assegure que as necessidades e requisitos das partes interessadas sejam considerados. Convém que a organização identifique todas as partes interessadas que são pertinentes para seu SGCN e, com base em suas necessidades e expectativas, convém que determine seus requisitos.
É importante identificar não apenas os requisitos declarados, mas também os implícitos. Ao planejar e implementar o SGCN, é importante identificar ações que sejam apropriadas em relação às partes interessadas, mas diferenciar entre as categorias. Por exemplo, embora possa ser apropriado se comunicar com todas as partes interessadas na sequência de um incidente disruptivo, pode não ser apropriado comunicar a todas as partes interessadas a implementação e manutenção da gestão da continuidade de negócios.
Filed under: Acreditação, administração, artigos, auditoria, avaliação de conformidade, avaliação de negócios, certificação, competitividade, Documentação, excelência empresarial, gerenciamento de empreendimentos, Gestão da Continuidade dos Negócios, gestão da qualidade, Liderança, normalização, recursos humanos | Leave a comment »