Baixe o app para aproveitar ainda mais
Prévia do material em texto
Governo e Transformação Digital; Inovação. Gerenciamento de Continuidade de Negócios na Administração Pública Enap, 2022 Fundação Escola Nacional de Administração Pública Diretoria de Desenvolvimento Profissional SAIS - Área 2-A - 70610-900 — Brasília, DF Fundação Escola Nacional de Administração Pública Diretoria de Desenvolvimento Profissional Conteudista/s Sergio Ricardo de Magalhães Souza, (Conteudista, 2022). Sumário Módulo1: Por que estudar Gestão de Crises e Continuidade de Negócios? ......7 Unidade 1: A Importância da Estratégia nas Organizações ................................9 1.1 Missão e Visão das Organizações, Objetivos Estratégicos .................................... 9 1.2 O que impede as organizações de atingirem seus objetivos e o que as protege? .14 Referências ..................................................................................................................... 19 Unidade 2: Impactos Diretos e Indiretos nos Processos de Transformação Digital .20 2.1 O que é Transformação Digital? ............................................................................. 20 2.2 Pilares da Transformação Digital (Pessoas, Processos, Tecnologia, Locais) ..... 22 2.3 Impactos Diretos e Indiretos da Transformação Digital gerando valor para as Organizações ................................................................................................................... 25 Referências ..................................................................................................................... 29 Unidade 3: A Continuidade de Negócios no Gerenciamento de Crises e Emergências ........................................................................................................... 30 3.1 Afinal, o que é a Continuidade de Negócios? ........................................................ 30 3.2 O que é gerir a Continuidade de Negócios e qual a sua importância? .............. 33 3.3 O que são as Crises e Emergências para a Continuidade de Negócios? ........... 34 3.3.1 O que é Crise? ........................................................................................................ 34 3.3.2 O que é Emergência? ............................................................................................ 35 3.4 Respostas às crises e emergências ........................................................................ 35 3.5 Consequências diretas e indiretas das crises e emergências nas organizações .....36 Referências ..................................................................................................................... 38 Módulo 2: O Processo de Gerenciamento de Emergências e Crises ................39 Unidade 1: Contextualizando a Gestão de Riscos e Controles .........................39 1.1 Principais Conceitos da Gestão de Riscos e Controles ........................................ 40 1.2 As Políticas de Gestão de Riscos e Controles ........................................................ 41 1.3 Processos de Gestão de Riscos: ISO 31.000 e Coso (I, II e III) .............................. 42 Escopo, contexto e critérios .......................................................................................... 45 Avaliação de Riscos ......................................................................................................... 46 1.4 A Integração dos Processos de Gestão de Riscos e Controles ........................... 53 Referências ..................................................................................................................... 55 4Enap Fundação Escola Nacional de Administração Pública Unidade 2: O Ciclo de Gerenciamento de Emergências e Crises nas Organizações .56 2.1 Etapas da Materialização das Consequências de Eventos .................................. 56 2.2 Por que os eventos indesejáveis se tornam eventos ampliados? ...................... 59 2.3 Instalação de Situação de Emergência: Crises Operacionais, Financeiras, de Imagem/Reputação ........................................................................................................ 60 2.4 Aspectos Fundamentais na Gestão de Crises: NFPA 1.600 e PAS 200:2011 ..... 63 2.5 O que é a Decretação de Crise? .............................................................................. 64 2.6 Necessidade de Gestão da Continuidade ............................................................. 67 Referências ..................................................................................................................... 68 Módulo 3: Como fazer um Plano de Continuidade de Negócios? .....................69 Unidade 1: Gestão da Continuidade de Negócios (GCN) ...................................69 1.1 Os Sistemas Integrados de Gestão (SIG) ............................................................... 69 1.2 Inserção da GCN nos Sistemas de Gestão de Riscos e Controles ...................... 73 1.3 Padrões e Boas Práticas de Gestão da Continuidade de Negócios (GCN) ........ 74 1.4 Normas Internacionais para a Continuidade de Negócios: ABNT NBR ISO 22.301/2020 ..................................................................................................................... 76 1.5 A importância da Política de Continuidade de Negócios .................................... 80 1.6 Princípios e Diretivas para a implantação de um Sistema de Gestão de Continuidade de Negócios (SGCN) ............................................................................... 81 Referências ..................................................................................................................... 84 Unidade 2: Planos de Continuidade de Negócios (PCN) ....................................85 2.1 Etapas clássicas de desenvolvimento de um Plano de Continuidade de Negócios (PCN). ................................................................................................................................ 85 2.2 Mapeamento inicial de prioridades e Análise de Impacto nos Negócios (BIA) 90 2.3 Risk Assessment e Business Impact Analysis (BIA) .............................................. 93 2.4 Estimativa de impacto nos negócios (MTPD) e Determinação de Metas de Recuperação (RTO) ......................................................................................................... 94 2.5 Tipos de estratégia de resposta, reinício, recuperação e retorno das atividades ...96 2.6 Preparativos e Procedimentos para o Plano de Continuidade de Negócios (PCN) .. 100 Referências ................................................................................................................... 101 Unidade 3: Integração do Plano de Continuidade de Negócios .....................102 3.1 Plano de Administração de Crises e Comunicação (PCC) .................................. 103 3.2 Plano de Atendimento a Emergência (PAE) ......................................................... 105 3.3 Plano de Contingência Emergencial (PCE) ........................................................... 106 3.4 Plano de Recuperação de Desastres (PRD) e Plano de Continuidade Operacional (PCP) .106 Referências ................................................................................................................... 109 Enap Fundação Escola Nacional de Administração Pública 5 Módulo 4: Avaliando a Maturidade da Gestão de Continuidade de Negócios 110 Unidade 1: Avaliação e Maturidade da Gestão da Continuidade de Negócios 110 1.1 Avaliação da Maturidade do SGCN ...................................................................... 110 1.2 Indicadores de Maturidade ................................................................................... 114 1.3 Auditorias, Exercícios e Testes como formas de medir a maturidade ............ 115 Referências ................................................................................................................... 116 Módulo 5: O Gerenciamento de Continuidade de Negócios na Transformação Digital da Adm. Pública .......................................................................................117 Unidade 1: Boas práticas e estudo de casos ..................................................... 117 1.1 Boas práticas ........................................................................................................... 118 1.2 Estudos de caso ...................................................................................................... 119 Referências ................................................................................................................... 124 6Enap Fundação Escola Nacional de Administração Pública Apresentação e Boas-vindas Olá, seja muito bem-vindo(a) ao curso Gerenciamento de Continuidade de Negócios na Administração Pública. Conforme você acabou de assistir nesta videoaula, o convidamos a se engajar nesta jornada, cujo compromisso é apresentar, de forma evolutiva, todos os conhecimentos necessários para que você entenda a importância de investir na Gestão da Continuidade de Negócios para a Transformação Digital na Administração Pública. Para ajudar em sua jornada de conhecimentos e na organização de seus estudos, o curso foi fragmentado em cinco módulos, com tópicos e subtópicos. No primeiro módulo “Por que estudar Gestão de Crises e Continuidade de Negócios?” você estudará diversos temas, dentre eles, os pilares da transformação digital e como ela impacta direta e indiretamente na geração de valor para as organizações. No segundo módulo “O Processo de Gerenciamento de Emergências e Crises” serão apresentados os conceitos de gestão de riscos e controles previstos no Coso e na ISO 31.000, entre outros. Já no módulo 3 “Como fazer um Plano de Continuidade de Negócios?” prepare- se para compreender os principais aspectos relativos à elaboração de um Plano de Continuidade de Negócio, bem como a importância da integração do PCN aos planos acessórios de resposta às crises e emergências. O módulo 4 “Avaliando a Maturidade da Gestão de Continuidade de Negócios” tratará sobre o processo de avaliação contínua do SGCN e do PCN, por meio de indicadores e ações integradas. No módulo 5 “O Gerenciamento de Continuidade de Negócios na Transformação Digital da Adm. Pública”, última etapa de seus estudos, esteja pronto para aprender a diferenciar, a partir de casos reais na Administração Pública, os conceitos de Gerenciamento de Continuidade de Negócios. Bom curso para você! Videoaula: Apresentação do Curso https:// https://cdn.evg.gov.br/cursos/808_EVG/video/modulo01_video01/index.html 7Enap Fundação Escola Nacional de Administração Pública Módulo Por que estudar Gestão de Crises e Continuidade de Negócios?1 A palavra crise vem do latim, crisis, e do grego, krísis, que dá origem ao verbo krínein. Na língua portuguesa, é utilizada para descrever o estado de caos e incerteza. Alguns autores costumam dizer que uma crise surge quando os problemas que se instauram não recebem respostas adequadas. Portanto, crises acontecem quando eventos indesejáveis ocorrem, trazem consequências diretas e indiretas e podem até se agravar. A incerteza e o caos que caracterizam as crises ganham ainda mais lugar quando não há prévia condução de planejamentos, previsão de procedimentos e ações de respostas adequadas para lidar com seus primeiros sinais. Analise a imagem a seguir e reflita mais sobre isso! Crise. Fonte: Galvão (2019). 8Enap Fundação Escola Nacional de Administração Pública Mas, talvez, você esteja aí do outro lado se perguntando: Por que eu preciso estudar e aprender sobre gestão de crises? Bem, a importância de estudar os mecanismos pelos quais as crises podem se instaurar (suas causas e seus efeitos) e como geri-las ganha especial importância quando se percebe que, ao longo do tempo, há inúmeras oportunidades de garantir que os processos dentro das organizações se tornem mais robustos e resilientes, a fim de preservar a continuidade dos negócios e atender às partes interessadas. Isso é ainda mais significativo quando se pensa na administração pública ou em empresas públicas, que existem para prestar serviço à sociedade. Há situações em que a ocorrência de eventos indesejáveis exige uma ação imediata. Esses momentos também podem gerar crises, quando não se sabe o que fazer de forma estruturada e organizada para enfrentá-las. As emergências são limitadas no tempo, mas as crises podem perdurar. Dito isso, convido você a mergulhar nesses temas a partir de agora! Gestão de crises. Fonte: Freepik (2022). A gestão de crises é um conjunto de práticas que têm como objetivo lidar com problemas inesperados, internos ou externos, que podem causar prejuízos estratégicos, financeiros, operacionais, além de danos à imagem e reputação de uma organização, seja ela pública ou privada. Enap Fundação Escola Nacional de Administração Pública 9 1.1 Missão e Visão das Organizações, Objetivos Estratégicos Unidade 1: A Importância da Estratégia nas Organizações Objetivo de aprendizagem Ao término dos estudos desta unidade, espera-se que você reconheça a missão, visão e objetivos estratégicos das organizações, assim como os fatores que as impedem de atingir objetivos traçados. As organizações são criadas por muitos motivos, mas talvez o principal seja atender a alguma demanda da sociedade por produtos e/ou serviços. Na área financeira, alguns dizem que as organizações têm por objetivo dar retorno aos seus acionistas pelo investimento realizado. Porém, essa definição não está totalmente correta, porque muitas organizações não têm fins lucrativos – como é o caso, por exemplo, da administração pública, cujo foco é a prestação de serviços para a sociedade. Os economistas dizem que as organizações existem a partir das oportunidades que surgem da demanda e da oferta de produtos e serviços, porque a Economia é a ciência que estuda a escassez. Quando há mais demanda do que oferta, surgem os interesses dos empreendedores e dos investidores. Os especialistas em marketing, por sua vez, têm uma visão mais holística do assunto, preocupando-se mais com os processos de troca, já que, segundo a AMA – American Marketing Association (2017) a partir da visão de Philip Kotler, o mais reconhecido autor na área, as organizações são responsáveis pelo processo por meio do qual pessoas e grupos obtêm aquilo que necessitam e que desejam com a criação, oferta e livre negociação de produtos e serviços de valor. Seja como for, as organizações existem para cumprir uma determinada missão idealizada pelos seus fundadores, podendo ser: social ou econômica (ou ambas). Assim, a missão de uma organização, de forma sucinta, é o porquê de ela existir. Também é o propósito da empresa, ou seja, alguma coisa que justifique para a sociedade a sua existência, de uma forma clara, objetiva e até inspiradora. 10Enap Fundação Escola Nacional de Administração Pública Espera-se que a missão de uma organização se mantenha por um período razoavelmente longo, mas ela pode ser alterada quando se percebe que o mundo mudou e que a motivação inicial precisa ser revisada. Quer um exemplo? Pense nas empresas de petróleo, que, nos últimos anos, revisaram a sua missão, realinhando e ampliando seus propósitos para a provisão de soluções de energia com qualquer fonte, inclusive as alternativas. Quase que em ato contínuo, ao se definir a missão de uma organização, estabelece- se também a sua visão de futuro, ou seja, a expressão de como ela quer estar ou ser percebida em médio ou longo prazo, isto é, um período suficiente para que as coisas aconteçam – por exemplo, 5 ou 10 anos. Organização – Pilares. Elaboração: CEPED/UFSC (2022). A visão organizacional pode ser entendida como o destino a que se quer chegar ou até um sonho com data para acontecer. Da mesma forma, não se pode esquecer que, para vivermos em sociedade, estabelecemos e observamos valores, portanto, uma organização também precisa ter os seus. Devem ser valores coerentes com as necessidades dos seus stakeholders, colaboradores e demais partes interessadas. Enap FundaçãoEscola Nacional de Administração Pública 11 Valores também são regras de conduta a serem seguidas pela organização no cumprimento de sua missão e visão, devendo ser explícitos, éticos, compartilhados por todos e, sobretudo, comunicados a todos e postos em prática. Conhecendo a missão e a visão, é possível determinar o caminho norteador das ações estratégicas da organização, no período definido, o que se faz por meio de formulação de objetivos estratégicos e de ciclos de planejamento estratégico. Antes disso, é fundamental que as organizações compreendam a diferença entre objetivos estratégicos e planejamento estratégico. Planejamento estratégico Estratégia, segundo Henry Mintzberg (2001), autor do famoso livro “O Safári da Estratégia”, é a forma, integrada no processo decisório, de pensar no futuro, com base em um processo formalizado e articulador de resultados, que advém do planejamento estratégico, ou seja, do planejamento que incorpora a visão estratégica. Objetivos estratégicos Portanto, para que se possa cumprir a missão de uma organização e a sua visão de futuro, é necessário parar para pensar quais estratégias formular para chegar lá e, mais do que isso, quais serão os pilares dessas estratégias, pois é preciso fixar os objetivos estratégicos a serem atingidos. Valores são convicções claras, firmes e fundamentais que a organização adota e procura defender, servindo como guia (crenças e posturas éticas, além de noções de certo e errado, de bom e ruim, de importante e não importante). Os valores são tudo o que é inegociável na organização e norteiam a atuação. Imagine que a missão de uma organização é atender à sociedade, fornecendo informações relevantes sobre as previsões meteorológicas. Imagine também que a sua visão é se tornar referência nacional nessa prestação de serviço em 10 anos. 12Enap Fundação Escola Nacional de Administração Pública Para que a organização possa cumprir sua missão e visão, terá que investir em processos, equipamentos, tecnologia e pessoas. Também terá que fixar, ao longo da jornada, os objetivos estratégicos que serão cumpridos por meio de um portfólio de projetos e de construção de processos, todos muito bem planejados e articulados ao longo do tempo. Empresa de meteorologia. Fonte: Freepik (2022). Objetivos estratégicos. Fonte: Freepik (2022). Isso garante que os resultados sejam progressivos e se acumulem, melhorando passo a passo a prestação de serviço a qual a organização se propõe, possivelmente, alcançando seu objetivo ao final do tempo estabelecido se todas essas etapas ocorrerem de forma estruturada e organizada. Alcançando resultados. Fonte: Freepik (2022). Acompanhe o exemplo a seguir: Imagine que a missão de uma organização é atender à sociedade, fornecendo informações relevantes sobre as previsões meteorológicas. Imagine também que a sua visão é se tornar referência nacional nessa prestação de serviço em 10 anos. Enap Fundação Escola Nacional de Administração Pública 13 Claro que é possível, ao longo da jornada, a ocorrência de resultados parciais não satisfatórios. Faz parte do jogo criar ciclos de reavaliação das estratégias e dos planos estratégicos para retroalimentar o processo em si e corrigir possíveis desvios, mantendo o foco no que é fundamental, qual seja ao alcance dos objetivos. Alcançando resultados. Fonte: Freepik (2022). Assim, os objetivos estratégicos são aquilo que se quer alcançar ao longo do tempo para o cumprimento da missão institucional e o alcance de sua visão de futuro. Traduzem, ainda, consideradas as demandas e expectativas de suas partes interessadas, os desafios a serem enfrentados e como eles se relacionam para fazer cumprir a missão e a visão da organização. Não basta ter objetivos estratégicos, é preciso colocar as estratégias em prática, e isso se faz por meio de ciclos de planejamento estratégico, que devem ser definidos ao longo do tempo. Assim, organizações que estão em desenvolvimento mais acelerado podem cumprir ciclos mais curtos. Já as mais estabelecidas e maduras, atuando em mercados mais tradicionais, em ciclos mais longos. O planejamento estratégico é o registro formal e detalhado, desdobrado nos ambientes estratégicos, táticos e operacionais, do que as organizações farão para cumprir os seus objetivos estratégicos e como monitorarão a jornada, intervindo, quando necessário, para corrigir a rota. Algumas organizações já utilizam o mapa estratégico, uma ferramenta visual na qual os objetivos estratégicos que serão considerados pela alta direção estão conectados sequencialmente, permitindo a qualquer pessoa compreender o fluxo de geração de valor a partir de todos os passos necessários para atingi-los. 14Enap Fundação Escola Nacional de Administração Pública Mapa estratégico. Fonte: Adaptado de Freepik (2022). De certa maneira, o mapa estratégico torna bem claro o modo como os planos estratégicos serão conduzidos para transformar a visão de futuro em realidade, cumprindo a missão estabelecida com base nos valores delineados, tudo isso de forma estruturada. Permite, também, que as várias áreas compreendam seus respectivos papéis e contribuições para a construção das perspectivas estratégicas. 1.2 O que impede as organizações de atingirem seus objetivos e o que as protege? Ao traçarem seus objetivos estratégicos, as organizações esperam construir resultados que possam alterar o status quo, ou seja, o estado atual das coisas, superando, para isso, as eventuais dificuldades e obstáculos. A evolução da humanidade vem se acelerando, a partir da curiosidade de descobrir, de ousar fazer diferente e melhor. Nos últimos anos, isso é ainda mais perceptível, com a transformação rápida na forma de a sociedade ter acesso a bens e serviços, Enap Fundação Escola Nacional de Administração Pública 15 graças ao advento de novas tecnologias, o que também exigiu investimentos e financiamento público e privado. Por exemplo, muitas décadas atrás, quando o homem decidiu ir ao espaço, tudo aconteceu a partir de percepções que misturaram desejos (sonhos), necessidades e oportunidades. O sonho era ir além dos limites e matar curiosidades, porque, desde os primórdios, o céu está sobre as nossas cabeças, todas as noites. Ainda hoje, há uma série de questões a serem respondidas sobre a nossa própria existência, e, um dia, elas serão respondidas ou a partir da exploração do Universo ou de outro modo. No entanto, sempre é muito difícil convencer alguém a financiar um sonho, a não ser que ele se torne uma necessidade. Analise! Logo após a II Guerra Mundial, a Guerra Fria criou uma corrida espacial que, dentre outras coisas, significava a oportunidade de captar recursos para acelerar o avanço tecnológico, fechando a tríade que justificou o investimento e o financiamento para os programas espaciais. No caso, isso foi exatamente o que ocorreu. Os desdobramentos que vieram dos estudos científicos daquela época produziram enormes avanços em todas as áreas do conhecimento, permitindo que chegássemos aonde chegamos. Claro que, ao longo da jornada, houve grandes desafios – principalmente, a incerteza sobre atingir os objetivos –, o que instigou os cientistas e especialistas a buscarem mais conhecimento e gerou ideias que transformaram hipóteses em projetos e processos tecnológicos revolucionários. As incertezas moveram a curiosidade científica, que se alimentou de questões e hipóteses para gerar avanços tecnológicos. Avanços tecnológicos. Fonte: Freepik (2022). 16Enap Fundação Escola Nacional de Administração Pública Como a incerteza está em todas as atividades humanas, é presumível entender que ela é um dos fatores que pode afetar os resultados de uma atividade. Por outro lado, os riscos1 estão sempre no futuro, mas a incerteza pode estar no presente e significa um estado (ainda que parcial) de deficiência de informações sobre eventos que podem vir a impedir ou permitir que alguma coisa venha a ocorrer– denominado evento de risco. A incerteza faz pensar que sempre há a probabilidade de um evento de risco vir a ocorrer, que só poderá ser estimado com um bom grau de confiabilidade quando se tem informações de qualidade sobre as fontes e causas do evento e sobre a sua dinâmica de ocorrência. Os eventos de risco, quando se materializam, trazem consequências que podem ser negativas para os objetivos de uma organização ou até impedi-los. Em geral, os objetivos estratégicos são produzidos por meio de planos que envolvem projetos e, em última análise, pela construção ou alteração dos seus processos. Pode- se dizer, então, que a ocorrência de riscos, ou dos eventos de riscos, pode impedir que as organizações atinjam seus objetivos ou até mesmo sua visão de futuro. 1_ A ISO (International Organization for Standardization) 31.000 define risco como o efeito da incerteza em relação aos objetivos (ABNT, 2009). Ocorrência de Riscos. Elaboração: CEPED/UFSC (2022). Enap Fundação Escola Nacional de Administração Pública 17 Assim, para garantir que os objetivos de uma organização sejam atingidos, é necessário gerir os riscos expostos, em projetos, processos (de todos os tipos) e tarefas do dia a dia. Essa gestão deverá ser feita de forma metodológica e contínua, como parte da percepção de que as decisões precisam ser tomadas levando em consideração todos os riscos que podem vir a ocorrer, inclusive aqueles que, mesmo não estando claros, precisam ser estudados. Para que se possa estudar os riscos, é necessário compreender o ambiente em que a organização está inserida e as influências internas e externas. Isso tem tudo a ver com a análise ambiental, que faz parte do processo de planejamento estratégico e estuda as influências dos ambientes. A gestão de riscos é de extrema importância não apenas para proteger a organização, mas também para agregar-lhe valor e transformá-la em uma alternativa de investimento valiosa para o mercado e/ou referência em produtos e serviços. Há a percepção de que a empresa que mantém os seus riscos sob controle, conhecendo e declarando o seu apetite e sua tolerância a eles, tranquiliza os investidores e a sociedade e atrai mais investimentos, já que há mais previsibilidade. • Ambiente externo • Ambiente interno Onde são geradas as oportunidades e ameaças. Onde as forças e fraquezas das organizações se manifestam. Além disso, a análise ambiental estuda como a maturidade da governança corporativa está e o quanto ela está engajada com os pilares de responsabilidade corporativa, equidade, transparência e prestação de contas. Quando as organizações compreendem que gerir riscos faz parte da estratégia para atingir os seus objetivos, movimentam-se no sentido de fazê-lo. As decisões passam a considerar a possibilidade de materialização dos eventos indesejáveis, tornando necessário identificá-los previamente, analisá-los e avaliá-los, criando programas de resposta com planos de ação que envolvem proteções estratégicas, táticas operacionais e financeiras. 18Enap Fundação Escola Nacional de Administração Pública Os riscos podem produzir efeitos diretos ou indiretos, que também precisam ser compreendidos e tratados. Isso porque o que importa é estar preparado para preservar a continuidade daquilo que a organização se predispõe a entregar aos seus clientes e à sociedade, mesmo quando eventos adversos ocorrem. Por isso, é fundamental gerir os riscos, mas também cuidar da continuidade dos negócios. Você chegou ao final desta Unidade de estudo. Caso ainda tenha dúvidas, reveja o conteúdo e se aprofunde nos temas propostos. Até a próxima! É importante ressaltar que as organizações e as pessoas são as proprietárias dos riscos expostos, e as soluções de tratamento e controle são de sua responsabilidade, não havendo como terceirizá-las, por mais que haja alguns instrumentos de transferência de riscos possíveis. Enap Fundação Escola Nacional de Administração Pública 19 ABNT (Associação Brasileira de Nomas Técnicas). ISO Guia 73 – Vocabulário relacionado à gestão de riscos. ABNT, 2009. AMA (American Marketing Association). Definition of Marketing. AMA, 2017. Disponível em: https://www.ama.org/the-definition-of-marketing-what-is- marketing/. Acessado em 21 ago. 2022. GOOLD, M.; CAMPBELL, A. As melhores maneiras de formular estratégias. In: MONTEGOMERY, C. A.; PORTER, M. Estratégia: a busca da vantagem competitiva. Rio de Janeiro: Campus, 1998. KAPLAN, R.; NORTON, D. Organização Orientada para a Estratégia. Rio de Janeiro: Campus, 2000. MINTZBERG, H.; BRUCE, A; JOSEPH, L. Safári de Estratégia: um roteiro pela selva do planejamento estratégico. Porto Alegre: Bookman, 2001. MINTZBERG, H., QUINN, J. B., O Processo de Estratégia. Porto Alegre: Bookman, 2001. PORTER, M. E. Competição: estratégias competitivas essenciais. 3. ed. Rio de Janeiro: Campus, 1998. PORTER, M. E. Estratégia Competitiva: Técnicas para Análise de Indústrias e da Concorrência. Rio de Janeiro: Campus, 1986. PORTER, M. E. Estratégia Competitiva: técnicas para análise de indústrias e da concorrência. Rio de Janeiro: Campus, 1991. PORTER, M. Vantagem Competitiva: criando e sustentando um desempenho superior. Rio de Janeiro: Campus, 1990. GALVÃO, Jean. Charge 11/11/2019. [Um Brasil]. 2019. Disponível em: https:// umbrasil.com/charges/charge-11-11/. Acesso em: 27 out. 2022. Referências https://www.ama.org/the-definition-of-marketing-what-is-marketing/ https://www.ama.org/the-definition-of-marketing-what-is-marketing/ https://umbrasil.com/charges/charge-11-11/ https://umbrasil.com/charges/charge-11-11/ 20Enap Fundação Escola Nacional de Administração Pública 2.1 O que é Transformação Digital? Unidade 2: Impactos Diretos e Indiretos nos Processos de Transformação Digital Objetivo de aprendizagem Ao final desta unidade, espera-se que você reconheça os pilares da transformação digital e como ela impacta direta e indiretamente na geração de valor para as organizações, o que é muito importante, sobretudo, quando elas pertencem à Administração Pública, provedora de vários serviços à sociedade. A transformação digital é o processo estruturado para substituir paulatina e completamente formas manuais e tradicionais de realização de procedimentos por alternativas digitais mais recentes. Esse tipo de reinvenção interfere em todos os aspectos de uma organização, não apenas nas arquiteturas e serviços de tecnologia, como muitos imaginam, porque pressupõe repensar como as coisas são feitas e o valor que há em cada uma delas. A experiência em todo o mundo mostra que, ao se engajar com a transformação digital, as organizações tornam-se mais preparadas para a entrega de valor, justamente porque, mais resilientes às interferências externas, respondem melhor e mais rápido às demandas e, assim, acabam reagindo melhor às constantes mudanças do ambiente. Para tal, é necessário entender que não se pode mudar seletivamente os processos. A mudança deve ser conceitual e completa, pois só assim poderá transformar decisivamente as estratégias e objetivos estratégicos, a cultura organizacional, a governança e os papéis dos seus atores, bem como os macrofluxos das operações. Tudo isso exige revisão e investimento em tecnologias, além da adequação de espaços e capacitação das pessoas em todos os níveis, sempre com o intuito de ampliar a entrega de valor e sua percepção. A ideia de transformação digital não é recente. Pelo menos desde a década de 1990, o setor de varejo começou a fazer campanhas de publicidade por meios de comunicação de massa, as quais estavam na linha de frente da transformação digital. Embora as compras ainda fossem feitas nas lojas físicas, os conceitos que viriam a desencadear a transformação digital, integrando marketing, vendas e logística, estavam lá. Já se percebia o caminho a ser seguido, pois o consumidor se tornava Enap Fundação Escola Nacional de Administração Pública 21 Na prática, a transformação digital permite:Tudo isso significa que a experiência do usuário é um fator muito importante no projeto e na avaliação dos serviços digitais. Mais um aspecto importante, que vem da engenharia da confiabilidade, é que os serviços aos consumidores precisam estar disponíveis, o que se consegue pela avaliação e tratamento dos riscos, além de controles e acompanhamento de indicadores, para monitorar desempenho, cada vez mais ávido por informações e serviços, mas faltavam os meios para que isso ocorresse, o que acabou sendo resolvido com a democratização do acesso à internet e a proliferação dos dispositivos móveis em todo o mundo. Serviços digitais ao cidadão. Fonte: Brasil (2022). Clique aqui e conheça mais sobre dispositivos móveis e os avanços do 5G no Brasil. • customizar as entregas a partir da segmentação do público-alvo; • compreender as necessidades do público-alvo e projetar soluções de processos de forma personalizada e satisfatória; • avaliar em tempo real se o que está sendo oferecido satisfaz as expectativas do consumidor e se sua jornada não apresenta gargalos que precisem ser rapidamente solucionados. https://articulateusercontent.com/rise/courses/Utxtjb7gm07ZxeaQ6gkKRL7Lny5ancUH/PV9fvsXKZnHJ5Aks-Dispositivo%2520m%25C3%25B3vel%2520e%2520a%2520implanta%25C3%25A7%25C3%25A3o%2520do%25205G.pdf 22Enap Fundação Escola Nacional de Administração Pública garantindo a continuidade da disponibilidade e do acesso aos ambientes, processos e sistemas, mesmo que estejam sob a ocorrência de acidentes que venham a desencadear crises. Quando um contribuinte acessa um serviço digital para retirar um boleto a pagar ou mesmo um comprovante de determinada transação, o ideal é que a aplicação esteja disponível e cumpra aquilo que se espera dela. Quando isso não acontece, além das eventuais reclamações, é criado um clima de insegurança, e a confiabilidade do serviço é comprometida. Por isso, a transformação digital também deve se preocupar com a segurança e com a disponibilidade dos serviços, ou seja, daquilo que é demandado pelo consumidor, além de oferecer uma boa experiência de utilização. É crucial compreender que ser digital não significa apenas ter aparência digital, mas ter processos construídos a partir da modelagem digital, automatizando funções e rotinas que eram realizadas de forma tradicional, ampliando funcionalidade, serviços e valor. A transformação digital tem a ver com a velocidade exponencial das mudanças disruptivas que vêm ocorrendo na sociedade, em constante evolução, mas isso só é possível com a participação das pessoas, bem como por meio de processos, tecnologias e os próprios ambientes onde tudo isso acontece. 2.2 Pilares da Transformação Digital (Pessoas, Processos, Tecnologia, Locais) Os autores tendem a criar pilares para resumir certos conceitos. Muitos deles preconizam que a transformação digital tem quatro grandes pilares: pessoas, processos, tecnologia e locais. Enap Fundação Escola Nacional de Administração Pública 23 Pilares da Transformação Digital. Elaborado pelo autor (2022). 1. Pessoas Qualquer iniciativa de transformação digital é iniciada com as pessoas, porque é necessário perceber a necessidade, ter intenção de fazer e engajar nos esforços em conhecimento e inovação tecnológica. 2. Processos Processos são formas intangíveis de criar resultados tangíveis. 3. Tecnologia É importante perceber que as tecnologias são meios, e não fins. Elas exigem investimentos contínuos e têm ciclos que nem sempre são renováveis. À medida que vão sendo conhecidas, percebe-se que precisam ser substituídas. 4. Locais É preciso entender que a produção de bens (produtos) será cada vez mais otimizada e que a produção de serviços, com a transformação digital, cada vez mais dependerá menos dos espaços corporativos e será revolucionária. Agora, leia o material recomendado, clicando aqui, e saiba mais sobre os Pilares da Transformação Digital. https://articulateusercontent.com/rise/courses/Utxtjb7gm07ZxeaQ6gkKRL7Lny5ancUH/T5u4R5-bIat2SfCM-Pilares%2520da%2520Transforma%25C3%25A7%25C3%25A3o.pdf 24Enap Fundação Escola Nacional de Administração Pública Faz sentido pensar que, além dos pilares que você acabou de ver, há outras preocupações em relação ao curso da transformação digital, em diversas disciplinas e áreas do conhecimento, como você analisará no infográfico a seguir: É imperativo que haja intenção de se fazer a mudança, por meio de decisões estratégicas, olhando para o futuro, e clareza em relação aos objetivos. Construir processos de negócios digitais exige elaborar soluções que contem com o engajamento dos envolvidos, bem como foco na experiência de clientes e usuários. Por fim, como você já aprendeu, para que se atinjam os objetivos esperados, é necessário inserir também a preocupação com a gestão de riscos e a continuidade de processos de negócios, minimizando ao máximo a possibilidade de ocorrência de eventos indesejáveis e as suas consequências. É preciso, ainda, estar pronto para reagir em caso de acidentes, interrupções, emergências e crises, pois as demandas passam a ficar maiores e mais urgentes. Preocupações em relação à transformação digital. Fonte: Freepik (2022). Enap Fundação Escola Nacional de Administração Pública 25 2.3 Impactos Diretos e Indiretos da Transformação Digital gerando valor para as Organizações Não há dúvida de que a transformação digital traz impactos diretos e indiretos, positivos e negativos, para as organizações, privadas e públicas, muitos deles já comentados na seção anterior, mas é preciso colocar na balança algumas coisas. Os mais céticos dizem que a transformação digital vai ceifar postos de trabalho. A previsão negativa está correta em relação ao primeiro momento, quando isso ocorrerá de forma paulatina, mas ignora que, ao mesmo tempo, serão criadas novas especialidades e até movimentos de empreendedorismo. Outro impacto direto positivo é a velocidade de adaptação das organizações às mudanças do ambiente e da sociedade. Vivemos em um mundo de mudanças rápidas e com diversas facetas, que precisam ser acompanhadas pelas organizações que pretendem manter valor. Diz-se que o mundo de hoje é VUCA – sigla em inglês formada pela primeira letra das palavras Volatility (volatilidade), Uncertainty (incerteza), Complexity (complexidade) e Ambiguity (ambiguidade). Nesse novo momento, o que vai importar é a especialização das pessoas para trabalhar na indústria da transformação digital, que é pautada no conhecimento. Isso significa que é necessário criar cursos de formação e especialização que possam atrair, sobretudo, os mais jovens, exigindo-se, consequentemente, uma verdadeira revolução educacional e dos currículos escolares. Os empregos na indústria da transformação digital são mais bem remunerados e, quanto mais capacitadas forem as pessoas, maior a possibilidade de atingirem patamares superiores nas empresas de tecnologia. Esses são impactos diretos que trazem impactos sociais indiretos relevantes. 26Enap Fundação Escola Nacional de Administração Pública Mundo VUCA. Fonte: Adaptado de Freepik (2022). Para as organizações, criar valor é mais do que gerar resultados financeiros. Significa serem percebidas por acionistas, investidores, colaboradores e pela sociedade como tendo propósitos claros, éticos e sustentáveis, que permanecem os mesmos ao longo do tempo, por mais que busquem novos mercados ou alterem suas estratégias corporativas. Quando se pensa que o mundo é VUCA, entende-se que apenas as organizações que conseguem se adaptar, produzindo respostas na mesma velocidade com que são atingidas pelas mudanças do ambiente, sobreviverão. Portanto, a transformação digital é um conjunto de estratégias que permite que as organizações estejam aptas a acompanhar ou até a antecipar demandas. E, na área pública, como fica a transformação digital? Faz-se necessário oferecer um serviço público de qualidade, com menos recursos (espaços, pessoas etc.) e burocracia,ofertando acesso a serviços tempestivos e de qualidade, visando melhorar a vida da população, com impactos sociais positivos diretos e indiretos. Enap Fundação Escola Nacional de Administração Pública 27 Adeus, burocracia! Elaboração: CEPED/UFSC (2022). Entende-se que o potencial da transformação digital no setor público é enorme, não apenas pela automação de serviços, mas pela redução de recursos necessários e ampliação da possibilidade de ofertas, tendo acesso, em tempo real, à experiência dos usuários, permitindo uma melhoria contínua. É fortalecida, também, a governança pública, que se baseia em responsabilidade, equidade, transparência e prestação de contas, dando acesso a todos os atos da administração pública e dos poderes, assim como das empresas públicas, à sociedade, seja por meio de dados ou de informações, preservada a segurança e os interesses estratégicos. Neste sentido, vale entender que a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) concentra a visão dos países membros em relação à adesão ao conceito de Governo Aberto. Em outras palavras, percebem-se como necessidades a: O Brasil, uma das maiores economias do mundo, é postulante a ser um dos membros da OCDE, o que necessariamente implica criar meios para que as mudanças ocorram, sejam elas de cunho cultural (com a administração reconhecendo o papel central do cidadão); nos procedimentos oferecidos, com foco nos consumidores e usuários; ou na organização da administração em si, para que se torne menos burocrática e mais eficiente e para que estabeleça relações cada vez mais inclusivas e plurais. • transparência das ações governamentais; • acessibilidade aos serviços e informações governamentais; • capacidade de resposta às novas ideias, demandas e necessidades da sociedade. 28Enap Fundação Escola Nacional de Administração Pública Saiba mais sobre os marcos do Governo Digital no Brasil clicando aqui. Você chegou ao final desta Unidade de estudo. Caso ainda tenha dúvidas, reveja o conteúdo e se aprofunde nos temas propostos. Até a próxima! https://articulateusercontent.com/rise/courses/Utxtjb7gm07ZxeaQ6gkKRL7Lny5ancUH/a_KTmVYka4_s7zil-Marcos%2520do%2520Governo%2520Digital%2520no%2520Brasil.pdf Enap Fundação Escola Nacional de Administração Pública 29 BRASIL. Governança Digital. Governança Digital, 2019. Disponível em: https://www.gov. br/governodigital/pt-br/legislacao/legislacao-governanca-digital. Acesso em: 16 jun. 2022. BRASIL. Transformação Digital. Portal da Transformação Digital. Disponível em: https:// www.gov.br/governodigital/pt-br/transformacao-digital. Acesso em: 16 jun. 2022. MCKINSEY DIGITAL. Digital strategy in a time of crisis. McKinsey, 2020. Disponível em: https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKin- sey%20Digital/Our%20Insights/Digital%20strategy%20in%20a%20time%20of%20 crisis/Digital-strategy-in-a-time-of-crisis-final.pdf. Acesso em: 21 ago. 2022. WESTERMAN, George. Management Review, Why Digital Transformation Needs a Heart. MIT Sloan, 2016. Disponível em: https://sloanreview.mit.edu/article/why- digital-transformation-needs-a-heart/ Acessado em: 21 ago. 2022. ROGERS, David L. Transformação digital: repensando o seu negócio para a era digital. Tradução Afonso Celso da Cunha Serra. Autêntica Business: São Paulo, 2017. SAMPAIO, Rafael. Vantagem Digital. Guia prático para a Transformação Digital. Rio de Janeiro: Altabooks, 2018. VERAS, Manuel. Gestão da Tecnologia da Informação: sustentação e inovação para a transformação digital. São Paulo: Brasport, 2020. Referências https://www.gov.br/governodigital/pt-br/legislacao/legislacao-governanca-digital https://www.gov.br/governodigital/pt-br/legislacao/legislacao-governanca-digital https://www.gov.br/governodigital/pt-br/transformacao-digital https://www.gov.br/governodigital/pt-br/transformacao-digital https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Digital%20strategy%20in%20a%20time%20of%20crisis/Digital-strategy-in-a-time-of-crisis-final.pdf https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Digital%20strategy%20in%20a%20time%20of%20crisis/Digital-strategy-in-a-time-of-crisis-final.pdf https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Digital%20strategy%20in%20a%20time%20of%20crisis/Digital-strategy-in-a-time-of-crisis-final.pdf https://sloanreview.mit.edu/article/why-digital-transformation-needs-a-heart/ https://sloanreview.mit.edu/article/why-digital-transformation-needs-a-heart/ 30Enap Fundação Escola Nacional de Administração Pública 3.1 Afinal, o que é a Continuidade de Negócios? Unidade 3: A Continuidade de Negócios no Gerenciamento de Crises e Emergências Objetivo de aprendizagem Ao final desta unidade você estará apto a classificar o que são crises e emergências no processo de gerenciamento de continuidade de negócios. O processo de gerenciamento de continuidade de negócios trata da preparação das organizações para lidar de forma estratégica e tática com incidentes, acidentes e eventuais interrupções dos negócios, mantendo suas operações em um nível previamente definido pelos gestores. Nesses cenários, é, também, importante compreender como os riscos se materializam, dando origem a um estado de emergência que pode se transformar em crises, que as organizações devem antever e tratar. Em outras palavras, para lidar com riscos e evitar crises, as organizações precisam preparar-se para atuar nos níveis de resposta imediata e, posteriormente, planejar ações ao longo do tempo para a retomada das atividades nos padrões anteriores à ocorrência dos eventos. Continuidade de Negócios. Fonte: Freepik (2022). Enap Fundação Escola Nacional de Administração Pública 31 O termo negócio origina-se do latim “negotium”, isto é, a partir da junção dos conceitos de nec e otium (“aquilo que não é lazer”). Definições mais antigas referiam-se à ocupação, atividade ou trabalho que se realizava com fins lucrativos, mas a definição atual é mais ampla, incorporando também aquilo que não tem fins lucrativos, razão pela qual falamos em negócios privados, públicos e do terceiro setor, que devem ser preservados para que possam cumprir a missão para a qual foram empreendidos e a sua visão. Também são chamados de negócios as partes constituintes, formadas pelos processos de negócio, o que, segundo o BPM CBOK (2019), significa: Ou seja, qualquer conjunto de atividades, tarefas e comportamentos executados por pessoas ou máquinas – seja dentro da empresa, entre os setores ou entre empresas – pode compor um processo de negócio, que é realizado seguindo uma determinada lógica (um fluxo), de forma a permitir que os objetivos da organização sejam atingidos ou que questões do negócio sejam solucionadas. Você já viu isso na unidade anterior, a partir das definições do “por que ser feito, de que forma, para quem e por quem”. A continuidade de negócios pode ser ameaçada quando eventos de risco (incidentes ou acidentes) se materializam, sobretudo quando não são previamente mapeados, tratados e monitorados por controles adequados. “um trabalho que entrega valor para os clientes ou apoia/gerencia outros processos; um trabalho que pode ser de ponta a ponta, interfuncional e até mesmo intraorganizacional.” Assim, tratar da continuidade de negócios significa entender ameaças e dotar operações e processos de negócio, em seu sentido mais amplo, de resiliência e capacidade de resposta, preservando a capacidade de entregar aquilo que se espera delas, ou seja, a sua missão. 32Enap Fundação Escola Nacional de Administração Pública Pode também ser ameaçada quando não se sabe o que fazer quando esses eventos ocorrem, o que impossibilita que organizações reajam de forma rápida e assertiva, minimizando os danos diretos ou indiretos em todos os níveis, a fim de preservar a entrega de valor. Há processos de negócios essenciais,de suporte ou apoio e, também, gerenciais. Todos contribuem, em diferentes níveis de importância, para o cumprimento da missão organizacional, e precisam ser preservados. Porém, quando ocorre uma ameaça externa e uma emergência se instala, as organizações devem entender o que será prioritário proteger e o que será necessário manter funcionando para minimizar os eventuais comprometimentos às operações que entregam valor. Processos Essenciais São aqueles que entregam valor diretamente aos consumidores ou usuários, por serem atividades cruciais para que as organizações consigam atingir sua missão e visão. Neles se concentram as operações relacionadas à percepção dos consumidores, a sua experiência e ao real valor. Processos de Suporte ou Apoio São procedimentos que pretendem oferecer suporte para execução dos processos essenciais, permitindo que a realização do primeiro seja facilitada pelo segundo. O real valor desses processos é proporcionar qualidade para outros processos, não interagindo com o consumidor final. Gestão de riscos e controles. Elaborado pelo autor (2022). Enap Fundação Escola Nacional de Administração Pública 33 Processos Gerenciais São procedimentos que têm por função acompanhar os processos essenciais e de suporte, fornecendo informações gerenciais para tomada de decisões estratégicas e/ou táticas, por meio de dados, informações, medições, monitoramentos e controles. Assim como os processos de suporte, não há relacionamento com os consumidores, mas com a melhoria de qualidade dos demais processos. Em termos de continuidade, é interessante perceber que, dependendo da organização, se os processos de suporte não estiverem funcionando, será muito difícil manter os processos essenciais entregando o que se pretende deles. Por esse motivo, é necessário mapear previamente os impactos possíveis em casos de materialização de incidentes (que em geral não significam perdas de capacidade, mas abalos pontuais) e acidentes (eventos com consequências mais sérias). 3.2 O que é gerir a Continuidade de Negócios e qual a sua importância? A Gestão de Continuidade de Negócios (GCN) é o gerenciamento da recuperação ou da continuidade das atividades no caso de uma interrupção dos processos de negócios pela ocorrência de eventos indesejáveis, previstos ou não. É, também, a implantação e o gerenciamento do Programa de Continuidade de Negócios (PCN), que reúne a política, as definições, os planos, as etapas de levantamento e análise dos eventos, o cronograma e os demais procedimentos para operacionalização das atividades. Trata-se de um processo organizacional estratégico que estabelece a estrutura adequada para: • Fomentar continua e proativamente a resiliência da organização contra possíveis ameaças com potencial de causar interrupções da capacidade de atingir seus principais objetivos estratégicos e entregar valor. • Planejar quais recursos e providências serão necessários para restabelecer a capacidade produtiva no menor espaço de tempo possível (em níveis determinados e sucessivos), conforme previamente planejado e acordado. • Criar know-how para gerenciar uma interrupção no negócio. 34Enap Fundação Escola Nacional de Administração Pública 3.3 O que são as Crises e Emergências para a Continuidade de Negócios? 3.3.1 O que é Crise? Você acabou de estudar o que é a Continuidade de Negócios. Ademais, a Norma NBR ISO 22300/2022 define Continuidade de Negócios como a capacidade de uma organização de continuar a entrega de produtos e serviços em um nível aceitável, com capacidade predefinida, durante uma interrupção. Segundo a mesma norma, interrupção é um incidente, antecipado ou imprevisto, que resulta em desvios negativos e não planejados na entrega esperada de produtos e serviços de acordo com os objetivos da organização. Incidente, como descrito pela norma, é o evento que pode consistir ou levar a uma interrupção, perda, emergência ou crise. Para melhor entendimento, os eventos de risco são aqueles que têm probabilidade não nula de ocorrer, e, quando ocorrem, podem produzir perdas diretas e/ou indiretas, podendo, ainda, instalar ou não emergências. Para a continuidade de negócios, importa identificar os eventos que podem produzir emergências e crises, pois são aqueles passíveis de alterar o movimento de negócios, impedindo que as organizações atinjam seus objetivos estratégicos, mesmo que momentaneamente. Segundo a Norma NBR ISO 22300/2022, crise é uma condição instável, envolvendo uma mudança abrupta ou significativa iminente que requer atenção e ação urgentes para proteger a vida, os ativos, a propriedade ou o meio ambiente. Commodities. Freepik (2022). Enap Fundação Escola Nacional de Administração Pública 35 3.3.2 O que é Emergência? 3.4 Respostas às crises e emergências Emergência, ainda segundo a Norma NBR ISO 22300/2022, é um evento ou ocorrência repentina, urgente e usualmente inesperada que requer ação imediata. As emergências podem ser estimadas a partir dos estudos dos riscos e desdobramentos de incidentes e acidentes (eventos indesejáveis), cabendo conhecer os impactos e suas consequências diretas e indiretas, para que se possa saber o que fazer e quais recursos serão necessários para as respostas. Em poucas palavras, enquanto a emergência se instala pela ocorrência de um evento indesejável, a crise pode decorrer dele ou de outras situações que ameaçam a organização, estejam elas sob controle de gestão da organização ou não. Seja como for, tanto crises como emergências precisam ser gerenciadas e exigem, pelo menos, o desenvolvimento de estratégias de defesa e de alternativas. É interessante notar que as ameaças podem ser tangíveis ou intangíveis. Por exemplo, a iminência de mudança abrupta, não controlável, no preço de uma commodity que é um dos insumos de produção (combustíveis, energia elétrica etc.), pode ser o prenúncio de uma crise – em outras palavras, o conceito do que ocasiona as crises pode ser mais amplo. Respostas às crises e emergências. Freepik (2022). 36Enap Fundação Escola Nacional de Administração Pública No gerenciamento de riscos, uma etapa importante é a formulação de respostas aos riscos expostos. Para a gestão da continuidade de negócios, essa visão é ampliada, incorporando respostas a crises e emergências e preparando organizações nessas condições por meio de planos específicos, cada um dos quais com objetivos específicos. Há inúmeras vantagens em implantar a Gestão da Continuidade de Negócios, dentre elas estabelecer capacidades para: As respostas às emergências têm foco operacional e seu planejamento visa evitar, dissuadir e prevenir a ocorrência de eventos indesejáveis ao mesmo tempo que prepara as organizações para reagir de forma estruturada. A gestão de crises, por sua vez, busca gerenciar os aspectos estratégicos. • identificar proativamente os impactos de uma interrupção operacional; • planejar respostas eficientes às interrupções, o que minimiza o impacto à organização; • ampliar os esforços de gerenciamento de riscos; • aproveitar a oportunidade de promover o trabalho entre equipes; • simular respostas por meio de simulados e testes; • melhorar a reputação; • ganhar vantagem competitiva por meio da capacidade demonstrada de manter seus produtos e serviços disponíveis frente a emergências ou crises. 3.5 Consequências diretas e indiretas das crises e emergências nas organizações As organizações são responsáveis por gerir o que acontece em seus limites internos, mas sempre é possível que as coisas passem do ponto e ultrapassem os seus muros, produzindo danos a terceiros, o que é ainda pior. Além disso, há situações em que, simplesmente, não há como controlar as fontes e causas dos eventos - quando elas são externas - não havendo como evitá-los, mas se espera que as organizações possam estar preparadas para reagir a eles rapidamente, minimizando perdas diretas e indiretas, as emergências e as crises. Enap Fundação Escola Nacional deAdministração Pública 37 De uma forma ou de outra, as organizações estão sujeitas a vários riscos que, dependendo da forma que são geridos, podem ser ampliados. Esses riscos podem gerar emergências, as quais exigem respostas imediatas, e, também, crises iminentes, que precisam ser mitigadas para garantir a continuidade dos negócios. Emergências criam um estado de caos, mas têm um período curto. Já as crises podem durar muito tempo. Assista à videoaula a seguir para compreender melhor o assunto. Que bom que você chegou até aqui! Agora é hora de testar seus conhecimentos. Acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos! Videoaula: Quais são as Consequências das Crises e Emergências https:// https://cdn.evg.gov.br/cursos/808_EVG/video/modulo01_video02/index.html 38Enap Fundação Escola Nacional de Administração Pública ABNT. NBR ISO22301 DE 06/2020 – Segurança e resiliência — Sistema de gestão de continuidade de negócios — Requisitos. BPM CBOK Version 4.0: Guide to the Business Process Management Common Body Of Knowledge. ABPMP: 2019. Referências Enap Fundação Escola Nacional de Administração Pública 39 Módulo O Processo de Gerenciamento de Emergências e Crises2 Unidade 1: Contextualizando a Gestão de Riscos e Controles Objetivo de aprendizagem Ao final desta unidade, você será capaz de reconhecer os conceitos de gestão de riscos e controles, previstos no Coso e na ISO 31.000. Neste módulo, há temas importantes para que você compreenda o processo de gestão de riscos e o que acontece quando eles saem do controle, vindo a desencadear emergências e crises. Para isso, será necessário percorrer as normas internacionais referentes à gestão de emergências e crises que tratam de gestão de riscos, bem como as normas que deram origem às que estão vigentes no momento, criando, assim, um pano de fundo para que se possa, de fato, gerir a continuidade dos processos de negócios. Esses conceitos são fundamentais para que se possa contextualizar como as organizações devem se preparar para a gestão da continuidade dos negócios. Peter Bernstein (2019), no livro Desafio aos Deuses – A Fascinante História do Risco, a concepção do controle do risco constitui uma das ideias centrais que distinguem os tempos modernos do passado mais remoto. Naquela época, apesar de alguma percepção de riscos, as pessoas não dominavam as metodologias para gerenciá-los e até atribuíam as ocorrências a um “capricho dos deuses”. Mais recentemente, a sociedade pôde perceber que isso é um tema central e estratégico, pois os riscos estão presentes em todas as nossas atividades e as decisões precisam considerá-los. 40Enap Fundação Escola Nacional de Administração Pública 1.1 Principais Conceitos da Gestão de Riscos e Controles O homem definiu o risco de muitas formas ao longo do tempo, quase sempre com foco específico nos seus interesses particulares. Assim, várias áreas das ciências exatas e não exatas construíram definições próprias, segundo as suas percepções e interesses. Na origem, o termo risco é proveniente da palavra risicu, ou riscu, em latim, que significa ousar (dare, em inglês). Costuma-se entender o risco como a possibilidade de “algo não dar certo”, mas seu conceito atual envolve a quantificação e qualificação da incerteza, tanto no que diz respeito às possíveis perdas, como em relação aos possíveis ganhos para indivíduos ou organizações. Até algum tempo, havia um certo conflito conceitual entre o risco de ganhar (que muitos consideravam ser conveniente denominar como chance) e o de perder. Mais recentemente, passou-se a dizer que os riscos podem ser positivos ou negativos. Outras vezes, quando os riscos vêm de fora para dentro das organizações, são entendidos como oportunidades (de ganhar) e ameaças (de perder). A definição matemática de evento de risco é o produto entre probabilidade de ocorrência de um determinado evento (aleatório, futuro e independente da vontade humana) e as consequências (positivas ou negativas) resultantes. Nessa definição, há 3 fatores que merecem destaque: o evento, a probabilidade e a consequência (ou impacto), que denominamos de parâmetros de risco. Parâmetros de Risco. Fonte: Adaptado do autor (2022). Enap Fundação Escola Nacional de Administração Pública 41 Evento: O evento ou evento de risco é composto por uma sequência de situações que podem dar origem a um incidente ou acidente. Ele pode vir a ocorrer ou não, dependendo da ativação de vários fatores internos e/ou externos, razão pela qual se estimam as probabilidades de ocorrência, mas o que importa inicialmente é compreender se o evento é possível e se há potencial de gerar consequências. Probabilidade: A ideia geral da probabilidade é frequentemente dividida em dois conceitos relacionados: a probabilidade de repetir frequências, que representa uma série de eventos futuros cuja ocorrência é definida por fenômenos aleatórios e a probabilidade epistemológica, que representa o grau das nossas incertezas sobre proposições futuras, quando não se tem conhecimento completo sobre as fontes e as circunstâncias que envolvem as causas. Consequência: Os eventos a que nos referimos podem trazer consequências positivas ou negativas para uma pessoa, uma organização ou para a sociedade. As consequências ou impactos gerados pelos eventos de riscos geralmente trazem algum tipo de modificação no status quo que podem acarretar perdas ou ganhos. Aprofunde um pouco mais sobre os conceitos de evento, probabilidade e consequência (ou impacto), denominados de Parâmetros de Risco. Acesse o material complementar, disponível aqui. 1.2 As Políticas de Gestão de Riscos e Controles Segundo a Norma ISO 31.000, a política de gestão de riscos é a “declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos”. A norma preconiza que a política de gestão de riscos estabeleça claramente os objetivos e o comprometimento da organização em relação à gestão de riscos e, tipicamente, aborde: • a justificativa da organização para gerenciar riscos; • as ligações entre os objetivos e políticas da organização com a política de gestão de riscos; https://articulateusercontent.com/rise/courses/HVvpl3r7birQ8xosx6Ps-FV1yzsH_0wV/w5Gb5iv-aDYP_jua-Principais%2520Conceitos%2520da%2520Gest%25C3%25A3o%2520de%2520Riscos%2520e%2520Controles.pdf 42Enap Fundação Escola Nacional de Administração Pública • as responsabilidades para gerenciar riscos; • a forma com que são tratados conflitos de interesses; • o comprometimento de tornar disponíveis os recursos necessários para auxiliar os responsáveis pelo gerenciamento dos riscos; • a forma com que o desempenho da gestão de riscos será medido e reportado; • o comprometimento de analisar criticamente e melhorar periodicamente a política e a estrutura da gestão de riscos em resposta a um evento ou mudança nas circunstâncias. A política de gestão de riscos deve ser comunicada e disseminada, pelos melhores meios possíveis, para todas as partes interessadas. Na prática, a Política de Gestão de Riscos é mais do que um documento. É um marco que estabelece como as organizações devem se estruturar para gerir os riscos, fixando seus objetivos, metodologias, referências normativas e de eventuais legislações, a governança de riscos, em todos os seus detalhes, com os papéis dos agentes organizacionais, o quanto ela deverá ser considerada na tomada das decisões, em todos os níveis, além das classificações de risco de interesse prioritário da organização, dentre os externos e internos. É uma boa prática ampliar o espectro da política para incluir também os controles, passando a ser a Política de Gestão de Riscos e Controles. A política deve incluir, ainda, um glossário de termos e aspectos particulares da organização que sejam relevantes para a compreensão do texto. 1.3 Processos de Gestão de Riscos: ISO 31.000 e Coso (I, II e III) ISO 31.000 A Norma ISO 31.000 sofreu alterações entre assuas edições de 2009 e 2018, basicamente para explicar alguns conceitos e incluir outros. Enap Fundação Escola Nacional de Administração Pública 43 A visão estratégica, como descrita na norma, determina que as organizações incluam a análise de riscos ao tomar decisões, para garantir que atinjam seus objetivos, sendo fundamental que isso se estenda aos níveis táticos e estratégicos (um desencadeando consequências para o outro). Além disso, convém que seja possível identificar a gestão de riscos em todas as atividades-chave, ou seja, os princípios, a estrutura e os processos. Acompanhe os detalhes abaixo: Princípios O propósito da gestão de riscos é a criação e proteção de valor, o que melhora o desempenho, encoraja a inovação e apoia o alcance de objetivos. São princípios: Princípios da Gestão de Riscos – ISO 31.000:2018. Fonte: Adaptada da ABNT ISO NBR 31.000:2018 (2022). • Integrada – A gestão de riscos é parte integrante de todas as atividades organizacionais. • Estruturada e abrangente – Contribui para resultados consistentes e comparáveis. • Personalizada – A estrutura e o processo de gestão de riscos são personalizados e proporcionais aos contextos externo e interno da organização relacionados aos seus objetivos. 44Enap Fundação Escola Nacional de Administração Pública • Inclusiva – O envolvimento apropriado e oportuno das partes interessadas possibilita que seus conhecimentos, pontos de vista e percepções sejam considerados. Resulta em melhor conscientização e processos de gestão de riscos fundamentados. • Dinâmica – Riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e interno de uma organização são alterados. A gestão de riscos antecipa, detecta, reconhece e responde a essas mudanças e eventos de uma maneira apropriada e oportuna. • Melhor informação disponível – As entradas para a gestão de riscos são baseadas em informações históricas e atuais, bem como em expectativas futuras. Leva em consideração quaisquer limitações e incertezas associadas a essas informações e expectativas. A informação deve ser oportuna, clara e disponível para as partes interessadas pertinentes. • Fatores humanos e culturais – O comportamento humano e a cultura influenciam significativamente todos os aspectos da gestão de riscos em cada nível e estágio. • Melhoria contínua – A gestão de riscos é melhorada continuamente por meio do aprendizado e de experiências. Estrutura O propósito da estrutura da gestão de riscos é apoiar a organização da sua integração em atividades significativas e funções. A eficácia da gestão de riscos dependerá da sua integração com a governança, a cultura organizacional e as atividades que exijam decisões. Isso requer apoio das partes interessadas, em particular da alta direção. Além da integração, o desenvolvimento da estrutura depende de implementação de procedimentos, avaliação e melhoria contínua. Processo O processo de gestão de riscos envolve a aplicação sistemática da metodologia definida na política de gestão de riscos, com base na norma ISO 31.000. Enap Fundação Escola Nacional de Administração Pública 45 É fundamental que o processo de gestão de riscos seja parte integrante da estrutura, das operações e dos processos da organização. Deve estar presente nos níveis estratégico, tático e operacional, em todas as atividades, áreas e setores. O processo de gestão de riscos deve ser colaborativo e interativo, capaz de engajar as pessoas com o seu desenvolvimento. O propósito é personalizar o processo de gestão de riscos, permitindo um processo de avaliação de riscos eficaz e o tratamento apropriado dos riscos. Para isso, é necessário compreender os seguintes pontos: Escopo O processo de gestão de riscos pode ser aplicado em diferentes níveis (estratégico, operacional, programa, projeto ou outras atividades), sendo importante ter-se clareza sobre o escopo em consideração e seu alinhamento aos objetivos organizacionais. Escopo, contexto e critérios Processo de Gestão de Riscos – ISO 31.000:2018. Fonte: Adaptado da ABNT ISO NBR 31.000:2018 (2022). 46Enap Fundação Escola Nacional de Administração Pública Contextos Os contextos externo e interno são os ambientes nos quais a organização procura definir e alcançar seus objetivos. Convém que sejam considerados a partir da compreensão das influências dos riscos que advêm dos ambientes externo (política, economia, mercado etc.) e interno (estratégia, ativos, produtividade etc.), restando entender os graus de influência de cada um. Critérios É importante que organização especifique os critérios para identificar, analisar e avaliar os riscos expostos. Eles devem estar alinhados com os objetivos e recursos da organização, o que vai determinar quais das exposições podem ser retidas e quais devem ser transferidas. Para estabelecer os critérios de risco, convém considerar: a natureza e o tipo de incertezas que podem afetar resultados e objetivos (tanto tangíveis quanto intangíveis), além de suas consequências (tanto positivas, quanto negativas). Os critérios podem se qualitativos ou quantitativos. O processo de avaliação de riscos (risk assessment) reúne as etapas de identificação, análise e avaliação de riscos, que devem ser conduzidas de forma sistemática, interativa e colaborativa, com base no conhecimento e nos pontos de vista das partes interessadas, utilizando as melhores bases de informação disponíveis, complementadas por investigação adicional, quando necessário. Acompanhe com muita atenção o que diz a ISO 31.000 sobre essas etapas: Identificação de riscos É a fase em que se encontra, reconhece e descreve os riscos que possam ajudar ou impedir que uma organização alcance seus objetivos. A quantidade e qualidade das informações são indispensáveis para a construção de cenários e identificação de riscos. Nesta fase são indicadas as fontes dos eventos de riscos, suas causas e a possível dinâmica dos eventos, de forma detalhada. Por exemplo: interrupção no processo eletrônico de programação de pagamentos, pela indisponibilidade da aplicação específica para tal, em decorrência de manutenção emergencial para corrigir erros na identificação de fornecedores. Os levantamentos são realizados com auxílio de técnicas de identificação de riscos e trabalho em equipe, preferencialmente formadas por especialistas de várias áreas, mas, também, pelos proprietários de riscos, que são os responsáveis pelas instalações, processos e procedimentos operacionais. Avaliação de Riscos Enap Fundação Escola Nacional de Administração Pública 47 Análise de riscos É a fase em que se determinam as probabilidades de ocorrência e as eventuais consequências dos eventos de risco. Um evento pode ter múltiplas causas, que geram probabilidades e consequências distintas. Há uma variedade de técnicas de análise de riscos, que podem ter abordagens qualitativas, quantitativas ou uma combinação destas. As qualitativas são usadas em análises preliminares ou quando não se tem condições de estimar com razoável precisão as probabilidades de ocorrência e as consequências. Nas análises quantitativas são utilizados parâmetros numéricos, como frequências de falhas registradas na operação ao longo do tempo, ou advindas de fontes bibliográficas externas (bancos de dados etc.), para projetar as probabilidades, sendo necessário, sempre, fazer as devidas adaptações impostas pelas condições locais de operação, como: ambiente, nível de segurança e proteções e controles existentes, capacitação de operadores etc. Em geral, as consequências são estimadas em prejuízos financeiros e/ou em tempo de paralisação. Nas análises, é recomendável fixar o tempo em que os eventos de riscos estarão sujeitos às probabilidades estimadas, deixando claro que as estimativas podem mudar se ocorrerem alterações dos cenários. As equipes de analistas são responsáveis por discutir os cenários, a dinâmica dos eventos, a probabilidade de ocorrência e a magnitudedas consequências diretas e indiretas. Cada evento de risco pode ter várias consequências e cada uma delas deve ser estimada, para que possam ser avaliadas posteriormente e sugeridos tratamentos. Avaliação de riscos Esta fase tem por finalidade estabelecer o grau de risco, ou o risco inerente, por meio de combinações de probabilidades e consequências dos eventos de risco. Envolve a comparação dos resultados da análise de riscos, (probabilidades e consequências estimadas), com os critérios de risco estabelecidos pela organização, definidos em uma matriz de consolidação de riscos. Os graus de risco podem ser estabelecidos para definir quais deles são aceitáveis, bem como para determinar onde são necessárias respostas, a importância e a urgência delas. Outro aspecto importante é decidir quais estratégias devem ser empreendidas para atuar sobre as fontes e causas dos riscos, a fim de tratar a probabilidade de ocorrência e/ou as consequências, além da ordem de prioridade em que isso será realizado. 48Enap Fundação Escola Nacional de Administração Pública O resultado do processo global de risk assessement (avaliação de riscos) deve ser registrado, comunicado e, então, validado nos níveis apropriados da organização. Eles serão utilizados como referência para acompanhar os riscos, e nas revisões futuras. Tratamento de Riscos (ou Resposta aos Riscos) O propósito desta etapa é selecionar e implementar estratégias e ações para tratar os riscos. Isso envolve ações para: formular e selecionar estratégias procedimentais e/ ou financeiras de tratamento dos riscos; planejar e implementar as opções escolhidas; avaliar a eficácia dos tratamentos; decidir se o risco residual remanescente é aceitável; e a necessidade de novos controles e tratamento adicional. Dentre as estratégias estão: É importante perceber que os tratamentos não são excludentes entre si e que podem (e devem) ser combinados. Monitoramento e Análise Crítica O monitoramento e análise crítica visam assegurar a qualidade e eficácia da concepção, implementação e resultados do processo de gestão de riscos. Espera-se que esta etapa seja cumprida periodicamente, em relação ao processo de gestão de riscos e seus resultados, como parte planejada do processo de gestão. Devem ser estabelecidas responsabilidades para garantir que todas as fases sejam cumpridas. Especial cuidado deve ser tomado com o planejamento, coleta de informações, registro de resultados e retorno às partes interessadas. • eliminar o risco (as fontes, as causas dos eventos de risco, a probabilidade de ocorrência e/ou consequências); • prevenir a ocorrência do evento de risco e/ou consequências; • atenuar (ou mitigar) as probabilidade e/ou consequências; • reter o risco, quando houver condições para tal; • transferir o risco por meio de instrumentos financeiros ou seguros. Enap Fundação Escola Nacional de Administração Pública 49 Os resultados do monitoramento e da análise crítica devem ser incorporados em todas as atividades de gestão de desempenho, medição e relatos nas várias áreas da organização. Registro e Relato Todas as etapas e atividades da gestão de riscos devem ser documentadas e relatadas por meio de mecanismos apropriados. Tem por objetivo comunicar as atividades e resultados da gestão de riscos, fornecer informações para a tomada de decisão e auxiliar a interação com as partes interessadas. As decisões relativas à criação, retenção e manuseio de informações e registros documentados devem levar em consideração a sensibilidade da informação e os contextos externo e interno. O relato deve ser uma rotina frequente e ser realizado sempre, para acompanhamento das partes interessadas. Comunicação e Consulta A etapa ocorre ao longo do processo de gestão de riscos, com intenção de auxiliar as partes interessadas na compreensão do risco, nas bases sobre a qual decisões são tomadas e nas razões pelas quais ações específicas são requeridas. A comunicação busca promover a conscientização e o entendimento do risco, enquanto a consulta envolve obter retorno e informação para auxiliar a tomada de decisão. A consulta visa reunir opiniões de diferentes áreas de especialização para cada etapa do processo de gestão de riscos, assegurando que pontos de vista diferentes sejam considerados. 50Enap Fundação Escola Nacional de Administração Pública Acompanhe na linha do tempo abaixo os eventos ocorridos ao longo das últimas décadas acerca da criação do Coso. 1970 - A National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros) foi criada na década de 1970 como uma iniciativa independente, que buscava analisar as ocorrências de fraudes nos relatórios financeiros de organizações americanas. Na sua fundação, faziam parte dessa comissão representantes das principais associações de classe de profissionais de contabilidade, controladoria e finanças, preocupados e interessados em discutir as razões pelas quais ocorreram várias fraudes contábeis em organizações americanas e criar mecanismos de controles internos para garantir que os investidores tivessem segurança em relação à veracidade dos relatórios financeiros. Como as reuniões ocorriam nas instalações do Tesouro Americano, a comissão acabou sendo conhecida como a Treadway Comission (Comissão do Tesouro). 1985 - Posteriormente, em 1985, essa comissão foi transformada em um comitê, passando a ser chamada de Coso – Committee of Sponsoring Organizations of the Treadway Commission, ampliando seu escopo de atuação de lá para cá, com a percepção de que era necessário incorporar a visão da necessidade de gerenciar riscos e atuar sobre os controles internos. Atualmente, além dos fundadores, fazem parte do Coso várias organizações, como: o Instituto Americano de Contadores Públicos Certificados, o Instituto dos Auditores Internos, a Associação Americana de Contadores, o Instituto dos Contadores Gerenciais, Executivos Financeiros Internacionais etc., além de representantes das maiores empresas de consultoria do mundo e outros interessados. Para o Coso, o controle interno é um processo conduzido pela diretoria da organização, seus conselheiros ou outros empregados que buscam promover uma garantia razoável de que a organização irá cumprir suas metas. 1992 - Ao longo dos últimos anos, as contribuições do Coso têm sido relevantes, com destaque para publicações que fizeram com que organizações em todo o mundo as utilizassem como referência. Dentre elas, o Internal Control – Integrated Framework, Coso Enap Fundação Escola Nacional de Administração Pública 51 de 1992, chamado também de Coso I, o Enterprise Risk Management – Integrated Framework (Gerenciamento de Riscos Corporativos – Estrutura Integrada), chamado de Coso II ou Coso ERM, de 2004, e, mais recentemente, o Coso III. O objetivo comum entre essas proposições era garantir, com razoável confiança, a eficácia e eficiência das operações, a confiabilidade dos relatórios financeiros e a conformidade com as leis e regulamentos aplicáveis, provendo um grau satisfatório de conforto aos acionistas e investidores. 2004 - O Coso-ERM foi elaborado com a finalidade de orientar as organizações em relação ao gerenciamento de riscos corporativos, além da aplicação de boas práticas a respeito desse tema, como evolução do modelo anterior (Coso I). No Coso-ERM a atividade de análise de riscos, que estava prevista no modelo anterior, foi ampliada para incluir a identificação de eventos, avaliação de riscos e resposta a riscos. Além disso, o Coso-ERM introduziu os conceitos de apetite a risco e tolerância a riscos, ou seja, respectivamente, referem-se à quantidade de risco que a organização está disposta a aceitar para criar valor e ao nível de variação aceitável para alcançar um objetivo. Em linhas gerais, o escopo foi bastante ampliado, porque o Coso-ERM agregou técnicas de gerenciamento integrado de riscos, ampliando o modelo do Coso I,
Compartilhar