Em meio a tantas e tantas turbulências, nem sempre é fácil garantir a continuidade de uma empresa. Muitos negócios sobrevivem por anos respirando por aparelhos: sem melhorias em processos, sem planos de ação estratégicos e, consequentemente, sem geração de lucros. A ISO 22301 foi criada justamente para evitar esse tipo de situação em diferentes organizações, prevenindo-as e as ajudando a superar tempos difíceis.
O que é ISO 22301?
A ISO 22301 é uma norma de gestão de continuidade dos negócios. Ela determina alguns requisitos de planejamento, análise crítica, monitoramento, implementação e acompanhamento de resultados, que as empresas que desejam melhorar seu Sistema de Gestão de Continuidade de Negócios (SGCN) devem seguir.
Dessa forma, a ISO 22301 tem como principal objetivo fornecer às organizações a capacidade de elas agirem rapidamente em frente aos problemas, ameaças e crises do mercado. Assim, essas empresas poderão passar por momentos difíceis com pouquímissimos ou nenhum dano.
Além no fortalecimento empresarial contra incidentes de interrupção, a norma ISO 22301 atua diretamente no monitoramento e análise de desempenho do SGCN, assim como busca melhoria contínua dos processos da organização.
A ISO 22301 serve para qual tipo de empresa?
A ISO 22301 foi criada para atender qualquer tipo de empresa. Se seguir os requisitos, absolutamente todas as organizações podem obter a certificação desta norma, independente de seu ramo de atuação, tamanho, número de funcionários, tempo de mercado e se é de caráter público ou privado.
Como obter certificação ISO 22301?
Mesmo seguindo os requisitos desta norma e, assim, garantindo os ganhos de sua implementação, é sempre recomendado que as empresas busquem ter a certificação em mãos. O certificado é um documento valioso de exibição aos clientes, stakeholders e parceiros de negócios, ele garante que essa empresa segue um padrão internacional de qualidade.
O certificado da ISO 22301 se obtém por meio de uma entidade de certificação reconhecida. O processo de certificação é muito valioso para as empresas, esse é o momento de fazer uma avaliação profissional e precisa sobre os potenciais riscos e oportunidades de melhorias em um negócio.
Após procurar a entidade certificadora, a empresa passar por algumas etapas de definição de objetivos, planos de ação contra as irregularidades encontradas e, finalmente, pela auditoria de certificação.
Superando essas fases, a organização será submetida a uma avaliação para, então, poder exibir o certificado. Além disso, são feitas auditorias de monitoramento periódicas para verificar se os requisitos da ISO 22301 ainda estão sendo mantidos na empresa.
Como implementar a ISO 22301?
A ISO 22301 determina, em sua própria norma, todas as obrigações das empresas que buscam melhorar seu SGCN e garantir a continuidade de seus negócios. Dessa maneira, é possível dizer que empresas que desejam seguir as exigências desta norma devem estar atentas às seguintes questões:
Requisitos da ISO 22301
A norma discorre sobre alguns requisitos, ou componentes base, que devem ser considerados no início de sua implementação. Em um primeiro momento, as empresas devem olhar para esses requisitos como uma lista de controlar e separar os itens que ela já tem dos que ela precisa providenciar.
Dessa maneira, a norma pede que as empresas tornem elevem o SGCN à política da empresa, parte da cultura. Existe também algumas determinações sobre o caráter e as funções de liderança e de outros membros da equipe, exige que todas as implementações sejam documentadas como evidências auditáveis e pede que as empresas englobem todos os processos pertinentes ao seu funcionamento.
Ciclo PDCA
A ISO 22301 usa o método do Ciclo PDCA para elaborar todas as etapas de qualificação do SGCN, desde o planejamento até a análise crítica e a busca por melhoria contínua nas organizações. O modelo foi escolhido por manter conformidade com outras normas da ISO, como a 9001 e a 27001.
O Ciclo PDCA baseia-se em 4 etapas: planejamento, implementação e operação, monitoramento e análise crítica, e manutenção e melhoramento. Na primeira fase, é preciso definir todas as características na nova política de continuidade dos negócios.
Feito isso, esse plano de ação começa suas operações até chegar o momento de monitorar os resultados. Com tudo pronto, as empresas devem tomar ações corretivas e preventivas que buscam a melhoria contínua.
Leia também: Ciclo PDCA: O Caminho para Melhoria Contínua nas Empresas
Contextualizando a organização
A norma serve para absolutamente qualquer tipo de empresa. Tamanha abrangência pede uma maior preocupação com a contextualização da organização perante os critérios da ISO 22301. A fase de contextualização serve para as empresas documentarem, em detalhes, seu funcionamento. Nada pode faltar, todos os processos de produtos e serviços devem ter descrição integral.
É de suma importância que a organização também faça uma análise que determine quais são seus principais objetivos, caracterize os fatores internos e externos que causam inseguranças e incertezas e, consequentemente, são os causadores de alguns dos riscos mais relevantes, e estabeleça o critério de avaliação dos riscos.
Sobre as expectativas, é exigência da norma que a empresa discorra sobre os objetivos e as necessidades de todas as suas partes interessadas. Ademais, é imprescindível levar em consideração os requisitos legais e regulatórios que são obrigatórios para aquela organização.
Planejamento
Com os riscos documentados, a organização deve começar a fase de planejamento para construir planos de ação que previnem ou reduzem cada uma dessas ameaças. A etapa de planejamento precisa considerar a viabilidade do projeto, empresas não devem pensar “muito alto” e não conseguir colocar em ação o que foi anteriormente estipulado.
Também é importante que o planejamento contemple mudanças futuras. Os planos de ação elaboradores devem ter sua eficácia avaliada com frequência. Ademais, o planejamento deve estar alinhado com a política de continuidade de negócios e todos os envolvidos precisam ter suas funções bem definidas, descritas e delimitadas, além da determinação dos recursos futuramente necessários para suporte nas operações.
Suporte
A prática dos planos de ação elaborados durante a fase de planejamento necessita de alguns recursos para dar suporte. A organização deve descrever e adquirir todos esses recursos. Além dos recursos (objetos, plataformas), é no suporte que os participantes têm suas competências e habilidades analisadas. Nesse momento, há a verificação da necessidade de investimento em qualificação ou treinamentos de equipe.
Ademais, são estipuladas todas as obrigações sobre a comunicação interna e externa contra possíveis riscos e ameaças. Por último, a empresa deve estar atenta às informações que precisam ser documentadas durante essa fase. Os documentos precisam ser claros, entendíveis e atualizados sempre que houver uma mudança.
Operação
A operação é o momento de colocar as mãos na massa e, efetivamente, fazer valer todas as outras fases de planejamento. Os procedimentos construídos e adotados durante a etapa de operação devem atender a todos os outros requisitos descritos nos demais estágios.
Além da necessidade de as operações em ação atenderem ao que foi estipulado durante toda a descrição da norma, é importante que elas ofereçam a possibilidade de uma análise futura. Dessa forma, o monitoramento de desempenho, que a ISO 22301 exige, terá uma execução programada e, assim, é provável que ele seja mais eficiente e ofereça resultados mais precisos.
Avaliação de Desempenho
Todas as atitudes tomadas pela empresa precisam ter seu desempenho avaliado. A organização deve definir o que será monitorado e medido, assim como os métodos escolhidos para esse monitoramento. Também é ela quem determina a frequência de execução das análises e quais serão os métodos de documentação dos resultados obtidos.
A norma discorre sobre os diferentes tipos de avaliações que podem aplicadas para a realização de uma avaliação de desempenho eficiente. Além disso, há uma caracterização da função da Alta Direção sobre essas análises de monitoramento. A ISO 22301 define ser papel desta Alta Direção parte da interpretação dos resultados, assim como detectar possíveis oportunidades de melhorias.
Melhoria Contínua
Um dos principais objetivos da ISO 22301 é a busca por melhoria contínua. Essa é uma questão tão relevante que há uma diretriz específica na norma que discorre sobre o assunto. Nesse sentido, o documento exige que realizem a identificação de não conformidades nos processos empresariais. Além disso, ela prevê a possibilidade da aplicação de ações corretivas específicas.
Para isso, é preciso fazer uma análise crítica de cada uma das não conformidades, assim será possível descobrir e apontar as causas raízes de cada uma delas. Assim, essas etapas servem para a montagem de um plano de ação corretivo eficiente e de ações preventidas no futuro.
Objetivos e vantagens da ISO 22301
Os principais objetivos da ISO 22301 são:
- Identificar e gerenciar ameaças atuais e futuras às empresas;
- Antecipar situações ameaçadoras de forma a minimizar os impactos das ocorrências em seu negócio;
- Possibilitar a continuidade de funções críticas, mesmo em períodos de crise;
- Reduzir o tempo de inatividade e diminuir as perdas durante incidentes, otimizando o tempo de recuperação;
- Construir uma melhor postura da empresa perante clientes, fornecedores, parceiros e investidores.
Sobre as vantagens de aplicar a ISO 22301, é possível afirmar que seguimento da norma ajuda na definição de processos-chave de organizações, o que diminui os impactos de diferentes ameaças e colabora para a continuidade do negócio.
Dessa forma, haverá a possibilidade de as empresas continuarem entregando produtos e serviços em níveis de qualidade pré-definidos mesmo após um incidente de interrupção. Ademais, obter a certificação eleva o nível de confiança entre empresa e todos seus interessados.
