Por Alessandro Dinamarco e Igor Buess (*)
Além do BIA (Business Impact Analysis), das Análise de Riscos e de toda a documentação de um Sistema de Gestão de Continuidade de Negócios (SGCN), a etapa de envolvimento é fundamental para que o conteúdo gerado no processo de identificação de criticidades, planejamento e preparação seja disseminado e compreendido pelos usuários e público geral.
Esse é o momento no qual são realizados treinamentos, comunicações corporativas, testes e simulados. O dinamismo e a aplicabilidade de todo o conteúdo gerado até o momento colocam em prova a cultura e a capacidade que a instituição tem de responder a eventos e situações adversas.
Uma parte importante da governança de um sistema funcional em um ciclo de melhoria é a checagem do sistema implementado, o que garante seu grau de aderência às necessidades que a instituição e as áreas de negócio requerem diante de uma ruptura.
E é justamente nesse ponto que os testes vão ser relevantes em um cenário projetado, garantindo que situações hipotéticas, mas factíveis gerem reflexão e exercício em um simulado ou teste real. Ainda que seja em um ambiente controlado e com menor nível de estresse do que em situações reais, é possível analisar pontos de melhoria para os planos e o sistema como um todo – incluindo aos participantes.
Para isso, há diferentes formas de testes a serem realizados, incluindo workshops/ seminários; treinamentos; exposição Walkthrough/ Documental dos planos de continuidade operacionais e uma subsequente apresentação de um cenário de contingência para que os participantes vejam o passo a passo de atuação para esse cenário e a Call Tree/ Acionamento, ou seja, um teste realizado junto aos canais de comunicação e telefones dos envolvidos nos planos de continuidade para confirmação do entendimento e funcionamento adequado do fluxo.
Além disso, há o Teste de Mesa/ Table Top, que se trata de uma simulação teórica de um cenário completo de interrupção com intuito de avaliar a atuação dos representantes dos planos. Para esse tipo, usualmente, são utilizadas figuras e imagens fictícias para a contextualização e imersão no tema. E, por fim, há também uma simulação real de um cenário de interrupção parcial ou total com intuito de avaliar a atuação dos representantes dos planos que são escopo do teste.
É importante destacar que não há uma fórmula padrão para a realização dos testes. Cada empresa obtém diferentes benefícios com a realização de cada tipo e de acordo com seu nível de maturidade na temática. Por isso, uma análise especializada deve ser realizada a fim da compreensão e do alinhamento sobre qual modelo apresentaria o melhor custo-benefício.
Como resultados de simulados vivenciados recentemente, houve uma gama de situações que podem ser ressaltadas como relevantes para a compreensão e utilização da temática de GCN (Gestão de Continuidade de Negócios) nas empresas. Entre elas, a que mais se destaca - e se repete - é a resposta imediata dos responsáveis, executando processos feitos em oportunidades anteriores sem a utilização dos documentos e, ou, a validação das ações. O resultado desse ato pode ser uma ação que exponha a instituição a um nível mais severo de risco. Nesse sentido, ressalta-se que a compreensão holística da situação e do processo de tomada de decisão sóbria é necessária para a melhor adequação das ações ao cenário.
Outros pontos que ocorrem com frequência são: comunicação direta com comitê ou com executivos, não registro das ações tomadas e resultados obtidos e tomada de decisão unilateral – ou sem a consulta de demais gestores. Enfim, a quantidade de lições aprendidas geradas nesses momentos é numerosa.
Mas também há casos de surpresas positivas em testes. Vale o destaque para o comprometimento dos profissionais na resolução de incidentes e a criatividade para a elaboração de novas ações de continuidade, que são pontos que se sobressaíram ao nível de informação que os documentos apresentavam.
Assim, fica evidente o quanto a execução dos testes suporta o processo de melhoria contínua. E essa é a única maneira de tornar o SGCN efetivo, atual e perene diante de um ambiente em constante evolução e mudança. É a maneira mais eficaz de identificar pontos de melhoria, alterar mapeamentos e planejamentos para atuação em rupturas, além de garantir o controle do ambiente e a sobrevivência e reputação da empresa. Então, não deixe que situações reais se tornem testes, antecipe-se na gestão de crises!
(*) Alessandro Dinamarco e Igor Buess atuam na área de Riscos e Continuidade de Negócios da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.