Compreender e aplicar a norma ISO 22301
Introdução à norma ISO 22301 (Gestão da continuidade das actividades)
O planeamento da resiliência e da continuidade é mais importante do que nunca.
ISO 22301 (Gestão da continuidade das actividades) é uma norma mundialmente reconhecida que orienta as organizações para a criação, implementação e manutenção de um sistema eficaz de gestão da continuidade das actividades (BCMS).
Este blogue analisa em profundidade a ISO 22301 e os seus requisitos. Também analisa a forma como a ISO 22301 se integra noutras normas ISO e como as organizações podem adaptar os seus princípios para melhorar os seus próprios sistemas de gestão.
Antes de começar: Termos-chave e acrónimos
A norma ISO 22301 menciona termos específicos da norma em todo o texto.
Para efeitos deste blogue, para o ajudar a compreender os conceitos básicos desta norma, escrevemos os termos completos. No entanto, poderá encontrar acrónimos para ISO 22301 noutros locais, tais como:
-
GCA = Gestão da continuidade das actividades
-
SGCA = Sistema de gestão da continuidade das actividades
-
PCA = Plano de continuidade das actividades
-
BIA = Avaliação do impacto nas empresas
O que é a ISO 22301?
A norma ISO 22301 (Gestão da continuidade das actividades) fornece uma base de planeamento para garantir a sua sobrevivência a longo prazo após um evento perturbador.
Em suma, ajuda a estabelecer um processo abrangente para garantir a continuidade e a melhoria do negócio face a quaisquer desafios que a sua organização possa encontrar.
A pandemia da COVID-19 é um exemplo extremo desta situação, em que praticamente todas as empresas tiveram de se adaptar rapidamente para sobreviver.
A ISO 22301 identifica os fundamentos da gestão da continuidade do negócio, fornecendo uma base para a compreender, desenvolver e implementar na sua organização.
A norma ISO 22301 especifica os requisitos para:
-
Identificar os factores de risco críticos que já afectam a sua organização.
-
Compreender as necessidades e obrigações da sua organização.
-
Estabelecer, implementar e manter o seu sistema de gestão da continuidade das actividades.
-
Avalie a capacidade global da sua organização para gerir incidentes perturbadores.
-
Assegurar o cumprimento da sua política declarada de continuidade das actividades.
O que é necessário para implementar a ISO 22301?
A implementação da norma ISO 22301 requer uma abordagem sistemática. Centra-se na compreensão das necessidades da organização, a fim de estabelecer um sistema sólido de gestão da continuidade das actividades.
A continuidade das actividades é uma questão importante que deve ser abordada em qualquer empresa. Para o ajudar a começar, explicamos em pormenor o que está envolvido na criação de um sistema de gestão da continuidade das actividades.
Compromisso de liderança
A liderança deve ser envolvida na definição de funções, políticas e objectivos.
Antes de iniciar o seu percurso de implementação, deve ter este apoio da gestão de topo desde o início.
Análise de lacunas
Tal como acontece com qualquer norma ISO, recomendamos que comece com uma análise das lacunas.
Isto é fundamental para compreender o que já existe numa perspetiva de resiliência e quais as vulnerabilidades que precisam de ser resolvidas.
Revisão do contexto
Uma análise do contexto permite compreender as questões internas e externas mais amplas que podem afetar a empresa, tanto positiva como negativamente.
Serve também como ponto de partida para identificar as partes interessadas que poderão ter de ser envolvidas no seu plano de continuidade da atividade (PCN). Por exemplo, os principais fornecedores dos quais a sua empresa pode depender.
Avaliação do impacto nas empresas (BIA) e avaliação dos riscos
Em ambos os casos, é necessário examinar as actividades que a sua organização realiza para gerir eficazmente a sua empresa, gerando lucros e satisfazendo as necessidades dos clientes.
Ao rever estas actividades-chave e ao compreender plenamente os riscos potenciais que podem perturbar a sua capacidade de agir, pode começar a explorar onde pode precisar de um "Plano B": efetivamente, a sua estratégia e planos de continuidade empresarial.
Uma boa avaliação do impacto nas empresas terá em conta:
-
As suas actividades e o que apoiam em termos de serviços e outros departamentos.
-
O impacto da perturbação na empresa (reputação, sanções financeiras, cumprimento da legislação, receitas, etc.).
-
Definir o período máximo de interrupção.
-
Saber como recuperar a sua posição em caso de catástrofe (por exemplo, cópia de segurança dos dados).
Planos de continuidade das actividades
Os resultados da avaliação dos riscos e do impacto na atividade ajudá-lo-ão a desenvolver planos adequados de continuidade da atividade e de resposta de apoio.
Os planos de resposta devem abranger:
-
Todos os pressupostos do plano
-
Responsabilidades (incluindo quem pode invocar e cancelar uma resposta)
-
Objectivos de recuperação de empresas
-
Quem e/ou o que é afetado
-
Estratégia de recuperação de alto nível
-
Requisitos de comunicação
Idealmente, os planos de resposta devem passar pelas três fases seguintes:
-
Fase de emergência (incidente comunicado)
-
Fase de recuperação (estratégia e plano de resposta)
-
Fase de restabelecimento (regresso à normalidade)
Formação e sensibilização
Todos os membros da sua organização devem estar cientes do seu papel na resposta a incidentes e das medidas que devem tomar para restabelecer os serviços.
Testes e exercícios
Parte da formação e do reforço da sensibilização pode ser apoiada por "exercícios" e "testes" do plano em equipa.
É uma forma eficaz de rever a teoria, ter tempo para considerar diferentes cenários e tomar decisões informadas num ambiente calmo.
Auditorias internas
Tal como acontece com qualquer outra norma ISO, será necessário auditar o seu sistema de gestão da continuidade da atividade.
A ISO 22301 centra-se mais na sensibilização e na comunicação, pelo que poderá querer realizar entrevistas de sensibilização mais aprofundadas durante as auditorias internas.
Revisão da gestão
Por último, rever todos os principais elementos e interacções do sistema de gestão e analisar a sua eficácia e eventual necessidade de alteração.
Analisa igualmente os objectivos e os progressos realizados, os resultados das auditorias internas, o desempenho dos fornecedores, etc.
Integração com outras normas ISO
A ISO 22301, tal como muitas normas ISO, baseia-se no quadro do Anexo SL. Este quadro fornece uma estrutura de alto nível que permite que as normas se integrem sem problemas.
Exemplos de normas ISO que podem ser efetivamente integradas na ISO 22301 são
ISO 9001 (Gestão da qualidade): A integração com os sistemas de gestão da qualidade melhora a coerência e a eficiência dos processos organizacionais.
ISO 27001 (Gestão da segurança da informação): Alinha a continuidade do negócio com a segurança da informação, garantindo a proteção dos dados durante as interrupções.
ISO 14001 (Gestão ambiental): A aplicação conjunta pode ajudar a gerir os riscos ambientais e o seu impacto na continuidade das actividades.
ISO 45001 (Gestão da segurança e saúde no trabalho): Combina a segurança no local de trabalho e a continuidade da atividade, garantindo a segurança dos trabalhadores durante os incidentes.
Vantagens da integração da norma ISO 22301:
Simplificar as coisas.
Evita o incómodo de manter vários sistemas de gestão independentes, proporcionando, em vez disso, um sistema de gestão integrado, coeso e simplificado.
Otimização de recursos
Reduz o desperdício ou a duplicação de esforços e utiliza da melhor forma os recursos internos existentes.
Melhorar a gestão dos riscos
Apresenta uma panorâmica dos riscos potenciais sob diferentes perspectivas.
Melhorar o desempenho
O trabalho em sinergia melhora o desempenho global e a eficácia do seu sistema de gestão.
Adoção dos elementos da ISO 22301 num sistema de gestão
Pode beneficiar da incorporação dos elementos-chave da ISO 22301 no seu sistema de gestão atual, mesmo que ainda não esteja preparado para a certificação.
O que se pode adotar?
Análise de risco e de impacto
Integrar ferramentas de avaliação de riscos ISO 22301 para identificar áreas críticas da atividade e potenciais impactos.
Por exemplo: à luz das crescentes ameaças à cibersegurança, um banco efectua uma análise de risco e impacto para avaliar de que forma as suas operações podem ser afectadas por uma violação de dados e como se pode preparar para a mesma.
Política e objectivos
Adotar a estrutura política e a abordagem de definição de objectivos da norma ISO 22301 para melhorar a clareza e a concentração.
Por exemplo: Uma empresa de fabrico define os seus objectivos anuais, aplicando os princípios da ISO 22301 para identificar de que forma os riscos potenciais (como atrasos na cadeia de abastecimento) podem impedir a realização desses objectivos.
Plano de resposta a incidentes
Desenvolver e integrar planos de resposta a incidentes com base nas directrizes ISO 22301.
Por exemplo: um hospital cria um plano de resposta a incidentes para gerir eficazmente circunstâncias imprevistas (como uma pandemia ou uma catástrofe natural) e manter os doentes, o pessoal e os visitantes em segurança.
Programas de formação e de sensibilização
Implementar programas de formação para aumentar a sensibilização e a preparação dos trabalhadores.
Por exemplo: uma empresa de construção organiza regularmente acções de formação para ensinar aos seus empregados protocolos de segurança, manuseamento de equipamento e procedimentos de resposta a emergências (como em caso de incêndio).
Porque é que deve considerar a adoção destes elementos:
Aumentar a sua resiliência
Mesmo uma adoção parcial pode melhorar significativamente a resiliência da organização.
Confiança das partes interessadas
Demonstra o empenhamento na continuidade da empresa, o que aumenta a confiança dos clientes, fornecedores e potenciais investidores.
Melhor preparação
Prepara a organização para uma eventual certificação ISO 22301 no futuro.
Considerações finais da NQA
O NQA agradece à Blackmores por este blogue abrangente sobre a ISO 22301 (Gestão da continuidade das actividades).
A capacidade de se preparar, adaptar e superar desafios é vital no panorama empresarial moderno, algo que a ISO 22301 oferece.
Saiba mais sobre a certificação ISO 22301. Visite a nossa página de gestão da continuidade do negócio.