Em uma realidade em que riscos de alto impacto são cada vez mais frequentes para as organizações, é importante possuir mecanismos para identificar incidentes e direcionar os esforços de resposta à eles.
Para mapear a estruturação das estratégias mais comuns em empresas nacionais e construir um panorama sobre o cenário brasileiro, foi elaborada a 1ª Pesquisa Nacional sobre Maturidade em Gestão de Crises e Continuidade de Negócios.
Resultados da pesquisa sobre Gestão de Crises e Continuidade de Negócios no Brasil: destaques importantes:
45% das empresas apresentaram pelo menos um tipo de incidente nos 12 meses anteriores à pesquisa;
Acessos indevidos foram as principais causas para interrupções no ambiente de Tecnologia de Informação.
18% dos participantes afirmaram que suas empresas tiveram perdas acima de R$500 mil em incidentes relacionados a Gestão de Crises e Continuidade de Negócios.
Mapear e compreender os riscos do surgimento de novas tecnologias e ferramentas é indispensável para negócios de todos os segmentos. Entender os riscos da inteligência artificial, por exemplo, é um desses casos.
O surgimento de novas tecnologias e mecanismos que alteram a forma com que as pessoas realizam tarefas aos quais já estão habituadas a lidar sempre foi motivo de receio pela classe trabalhadora. Alguns acreditavam que, com o surgimento da revolução industrial, trabalhadores perderiam seus empregos. Esse foi um medo que voltou a surgir também nas evoluções tecnológicas subsequentes. É possível citar nesse contexto também a popularização da internet, a evolução da robótica e, por fim, a difusão das Inteligências Artificiais.
É certo que o avanço das tecnologias empregadas nas IA’s (inteligências artificiais) possibilita um aumento no potencial de trabalho para profissionais que aprendem a utilizá-la. Mas, além disso, acarreta em maior cobrança por parte daqueles que não exploram os benefícios na utilização dessa tecnologia. Isso porque novas técnicas potencializam o que as pessoas podem fazer e, consequentemente, há uma expectativa maior do que é preciso entregar para continuarem sendo consideradas produtivas perante à sociedade.
Riscos da Inteligência Artificial
Com a rápida evolução das IA’s, em decorrência dos aprimoramentos aos quais estão sujeitas, profissionais que exercem funções repetitivas podem ser substituídos por essas ferramentas – que conseguem identificar e replicar um padrão de ação e/ou de resposta. Exemplo disso é que serviços de callcenter sofreram grande redução em comparação a décadas anteriores, devido a programações pré-estabelecidas para contato.
Outro setor que observa a redução de profissionais devido ao crescimento das IA’s e à acelerada digitalização é o setor bancário. A IA é capaz de entender o perfil do cliente e fornecer as melhores ofertas e soluções em uma espécie de “individualização bancária automatizada” para o consumidor que necessita desse serviço. Segundo dados da Febraban, entre 2020 e 2022 os 5 maiores bancos do país fecharam 2.563 agências, o que reforça o retrato desse cenário em transformação.
Deepfake e uso ético da Inteligência Artificial
Além dos impactos na força de trabalho e nos serviços, por se tratar de uma ferramenta de livre acesso, é importante reforçar que não é possível prever em como a humanidade utilizará essa tecnologia. Desde a criação do Photoshop, as pessoas utilizam as ferramentas existentes para modificação de imagens reais com diversos intuitos, inclusive de má-fé. Com as Inteligências Artificiais, isso pode ser significativamente potencializado. Novas tecnologias permitem alterar rostos de pessoas em vídeos (ação essa conhecida como Deepfake), existem casos dessa utilização para a criação de conteúdo pornográfico, o mais recente foi a propagação de imagens explícitas falsas da cantora Taylor Swift. O conteúdo veiculado fez com que a Casa Branca se manifestasse, definindo a propagação da desinformação como “alarmante”.
Além disso, a criação de vídeos com dublagens – inclusive em outros idiomas –, sem alteração da voz da pessoa, contribui para a disseminação de Fake News. Em ano eleitoral, é possível que comecem a surgir mais e mais vídeos falsos com a intenção de difamar ou enaltecer algum candidato ou grupo político.
Ainda em uma visão política, mas visualizando um parâmetro global, pensando em possíveis conflitos militares, os AI-DSS (Artificial Intelligence as a Decision Support System ou Sistema de Apoio à Decisão com Inteligência Artificial), já vêm sendo desenvolvidos para analisar dados e padrões. Em alguns casos, conseguem direcionar recomendações para apoiar humanos a realizarem decisões em meio a guerras.
Riscos da Inteligência Artificial: o fator humano
Porém, tecnologias como a dos AI-DSS requerem atenção. Durante a guerra fria, o coronel soviético Stanislav Petrov evitou uma guerra nuclear ao contrariar o computador do bunker em que ele trabalhava. O sistema indicou um míssil estadunidense se movendo em direção à União Soviética (US). Ou seja, as diretrizes da US apontavam para a realização de um contra-ataque nuclear de grandes proporções. Porém, o coronel deduziu que ocorrera um erro no computador, pois os EUA não lançariam apenas um míssil no caso de ataque. Com isso, considerou como um alarme falso – que foi comprovado após algum tempo de espera. Com o possível uso militar da IA, é preciso questionar: essa tecnologia já é robusta o suficiente para não cometer erros semelhantes ao que o computador cometeu na guerra fria?
A tecnologia em si não é o problema. Os riscos da Inteligência Artificial estão vinculados a como essa tecnologia será utilizada e o quão confiável serão os dados utilizados, a lógica empregada para cálculo e os retornos de cálculos extraídos. A criação de protocolos e o aperfeiçoamento das ferramentas já existentes podem tornar as IA’s mais precisas, transparentes, e, principalmente, seguras.
No meio corporativo, a rápida evolução da Inteligência artificial fez com que alguns executivos assinassem uma carta aberta, publicada em 23 de março de 2023, solicitando uma pausa mínima de 6 meses no treinamento de inteligências artificiais mais robustas que o GPT-4. O documento já possui mais de 33 mil assinaturas, entre elas a de Elon Musk, e apela pela criação protocolos de segurança, rastreamento e regulação para a tecnologia já existente. Assim, apenas após o aperfeiçoamento do que já foi criado, essa tecnologia continuaria evoluindo.
Legislação e regulação
Nesse sentido, uma possível forma de controle seria atribuir uma identificação ao criador de algum conteúdo, seja ele de áudio, vídeo ou imagem, para que ele possa ser responsabilizado caso utilize a tecnologia com o intuito de violar alguma legislação.
Assim como seria cabido, a depender de como a humanidade utilize esses novos recursos tecnológicos, uma regulação com a criação de um comitê global, semelhante à “Agência Internacional de Energia Atômica” – instituição que cuida da utilização de energia nuclear para fins pacíficos. O órgão também seria utilizado para regular a inteligência artificial, devido ao poder dessa tecnologia e a velocidade de evolução. Um outro exemplo é a Agência Nacional de Proteção de Dados (ANPD) que garante o cumprimento da Lei Geral de Proteção de Dados (LGPD), fiscalizando e aplicando sanções quando as diretrizes são descumpridas.
Evidentemente, quando falamos de um comitê e mecanismos de regulação, essa decisão não poderá estar nas mãos de líderes tecnológicos não-eleitos. Cabe ao poder público nomear os agentes responsáveis pelas diretrizes preventivas e possíveis auditorias – a depender da forma da utilização das ferramentas de IA.
Assim como a revolução industrial, a internet e a robótica, a popularização das Inteligências Artificiais proporciona um aumento na produtividade. Mas não se pode esquecer que toda parametrização ainda é feita por humanos. A utilização da tecnologia proporcionando agilidade para atividades rotineiras sob supervisão de humanos é recomendada, mas a atribuição de decisões de maior criticidade que demandam discernimento humano não.
Por mais inteligente que a tecnologia seja, ela ainda é artificial. É de responsabilidade dos Agentes Públicos garantir que a IA sirva aos interesses da humanidade e não represente uma ameaça para aqueles que a desenvolveram.
Sobre o autor
Bruno Siqueira de Oliveira atua na área de Riscos e Continuidade de Negócios da Protiviti Brasil, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
Veja também: Por que o Marco Legal da Inteligência Artificial é importante?
Num ambiente mercadológico em que a competitividade se mostra aguda em diversos aspectos, grandes indústrias devem estar preparadas aos riscos inerentes que podem atingir as atividades corporativas e operacionais e, assim, prejudicar a continuidade dos negócios. Nesse contexto, algumas metodologias são recomendadas para garantir a sobrevivência destas organizações, mesmo em situações consideradas ‘alarmantes’.
Um dos principais desafios das grandes indústrias está na complexidade da comunicação entre as unidades da empresa espalhadas nacionalmente. Neste caso, é importante entender que cada região possui uma cultura e, desse modo, possuem visões diferentes de riscos – assim também ocorre quando se fala de questões de continuidade.
Nesse sentido, existem orientações específicas para o negócio que ajudam a estruturar um sistema único, ao mesmo tempo em que se respeita as diferenças e as características de uma indústria deste porte. A atividade em questão é um ponto crucial e a existência de uma gestão segregada por unidade – porém, coesa corporativamente – pode trazer mais visibilidade aos riscos existentes para cada local, bem como possíveis ações em caso de rupturas.
Já para a cadeia de abastecimento, a matéria prima pode ser um fator crítico, devido à escassez de fornecedores – o que pode ser diferente para outras unidades da mesma empresa. A dependência de parceiros regionais específicos para a produção demanda uma adequação ao estoque em consonância com a disponibilidade da matéria prima no mercado e o histórico de ruptura na cadeia de suprimentos por parte dos fornecedores homologados. Dessa forma, é recomendado que o estoque mínimo de cada unidade atenda a produção programada durante um período de segurança, até a possível ruptura de fornecimento ser sanada.
Já no caso em que a estratégia de produção é verticalizada, é importante notar que há a aceitação dos riscos, tendo em vista que a prática leva a mais lucratividade, pois a empresa elimina uma etapa em que um ou mais terceiros ganhariam. Contudo, ações como estas levam ao questionamento sobre a compensação do lucro em cima dos riscos inerentes, que podem resultar em impactos preocupantes para as organizações.
Em contrapartida à decisão de verticalização, as estratégias de continuidade de negócios devem ser robustas e, possivelmente, onerosas, visto que a dependência interna da produção aumenta. Há, nesse aspecto, a concentração de fatores produtivos que, em caso de paralisação, gerará ruptura em toda a cadeia – que poderia ser contornada a partir do contato com um outro fornecedor.
Outro problema clássico na indústria é a interrupção dos maquinários. Neste caso, as estratégias desenvolvidas auxiliam na percepção de quais peças podem ser mantidas em estoque ou quais máquinas backup são vitais para atenuar os impactos da indisponibilidade. Por meio de uma análise de impacto ao negócio, é possível constatar quais linhas de produção são prioritárias e causariam mais efeito para a empresa.
Ainda no contexto de impactos das grandes organizações, as paralisações também podem deixar de ser somente operacionais e desdobrar em consequências à imagem e à reputação – podendo impactar até no nível das pessoas físicas. Para uma gestão efetiva desse tipo de situação, é orientado seguir estratégias de gerenciamento de crises, que contam com uma comunicação bem definida e executada para que, desta forma, o gerenciamento seja executado de forma plena e sem ruídos.
Sob esse aspecto, uma organização desse porte deve possuir um canal de comunicação difundido, para que os agentes envolvidos nos incidentes possam comunicar rapidamente ao responsável pela Continuidade de Negócios e, caso necessário, informar ao responsável pela Gestão de Crises.
Esse sistema implementado pode parecer complexo para profissionais que não atuam na área de Gestão de Riscos. Por isso, é recomendada a realização de treinamentos sobre a utilização dos documentos construídos e, assim, as partes atuantes possam agir adequadamente nessas situações. Além disso, é recomendada a realização de exercícios simulados de incidentes com o viés industrial, a fim de garantir a eficácia do sistema.
Essas ações devem ocorrer com periodicidade definida para assegurar uma melhoria contínua e prover o aculturamento da Gestão de Riscos e da Continuidade de Negócios nas unidades. Assim, será possível garantir mais habilidade para a correta atuação durante a materialização desses riscos – tanto no âmbito local, quanto corporativo. E, dessa maneira, assegurar perenidade para os negócios da empresa, afinal em empresas de tamanha complexidade, estar preparado pode ser a diferença entre a sobrevivência e a descontinuidade do negócio.
*Alessandro Dinamarco e Bruno Siqueira de Oliveira atuam na área de Riscos e Continuidade de Negócios da Protiviti Brasil, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
Imagine que exista um pequeno gotejamento de água frequente em um ambiente industrial. Agora imagine a mesma situação em uma área assistencial de uma unidade hospitalar. Os riscos e impactos deste incidente seriam os mesmos para ambos os cenários? A resposta é não. Qualquer tipo de vazamento comprometeria o atendimento em uma área cirúrgica, o que poderia atentar contra a manutenção da vida. Em outro ambiente, o fabril, por exemplo, o impacto poderia ser a paralisação da linha de produção. Mas a Continuidade de Negócios em Hospitais tem características específicas
Para administrar situações como esta, é necessário investir em um plano de Continuidade de Negócios, uma vez que ele consiste na preparação da empresa para responder rapidamente à materialização de um risco e, mesmo os incidentes incorrendo em rupturas, permite manter níveis aceitáveis de operação, com a redução dos impactos ao negócio e à sua reputação – sendo ágil no retorno à normalidade.
A ruptura, quando não contingenciada ou tratada com a devida celeridade, pode se desdobrar em uma emergência, ou seja, um evento que atente contra a vida de uma ou mais pessoas e, ou, uma crise de imagem para a instituição. No âmbito hospitalar, uma indisponibilidade operacional que afete diretamente a assistência ao paciente, como a falta de acesso ao prontuário e às informações relativas aos medicamentos aos quais ele é alérgico, pode desencadear uma crise.
Todavia, o uso incorreto do Prontuário Médico pode expor de forma indevida a vida e os dados sensíveis do paciente, caso ela transponha os limites éticos do sigilo acerca dos dados clínicos e pessoais. Recentemente, algumas unidades hospitalares foram expostas na mídia mediante alegação de uso indevido deste documento, como vemos a seguir.
Em junho de 2022, uma atriz global, após ter dado à luz a um bebê fruto de um estupro, relatou ter sido ameaçada por uma enfermeira que pretendia vazar seu prontuário médico. Diante da fragilidade vivenciada, além de não ter recebido o acolhimento necessário exigido pela situação, a paciente ainda teve ameaçado o direito ao sigilo de seu prontuário. O caso foi exposto na mídia e afetou diretamente a reputação da instituição de saúde.
Já em outubro de 2022, uma criança de três anos recebeu uma overdose de medicamentos após um ataque ransomware indisponibilizar temporariamente a consulta à prescrição médica contida em seu prontuário eletrônico. A quantidade de medicamento administrado foi cinco vezes maior do que havia sido prescrito.
Semelhante a esse caso, em janeiro de 2023, o Tribunal de Justiça de Minas Gerais (TJMG) intimou um hospital a indenizar uma paciente intoxicada por medicamentos devido à administração de dosagem incorreta.
Para lidar com esses tipos de situações, a Gestão de Riscos e a Continuidade de Negócios apresentam estratégias de preparação e resposta ,geralmente contempladas nos Planos de Gestão e de Comunicação em Crises. Porém, para atenuar uma crise causada a partir de uma exposição negativa na mídia, recomenda-se a preparação de porta-vozes específicos, que serão os responsáveis pelo posicionamento oficial da instituição para o público externo e para os demais stakeholders.
Por outro lado, é necessário que equipes que lidam diretamente com o preenchimento, consulta e guarda do prontuário médico, passem por treinamento periódico de boas práticas de utilização do documento, com foco no cumprimento da Lei Geral de Proteção de Dados (LGPD) e na importância do sigilo dos dados sensíveis do paciente. Além disso, é importante para o Sistema de Continuidade de Negócio que exista um sistema backup apartado que contenha os dados relevantes contidos no Prontuário Médico Eletrônico e, ou, documentação impressa para consulta manual, que possa ser utilizados como contingência durante uma indisponibilidade. Vale ressaltar que garantir a boa assistência e, consequentemente, priorizar a recuperação da saúde do paciente, implica em ter acesso, sempre que necessário a dados como alergia medicamentosa, dose e tempo de administração prévia de produtos e resultados de exames, entre outros.
A exposição dos eventos acima, cujo foco voltou-se para o prontuário médico, consolida a premissa de que as instituições necessitam dispor de diretrizes específicas a serem executadas na vigência de rupturas e crises. Assim, minimizam-se os danos ao paciente e os efeitos negativos sobre a reputação da empresa. Porém, o diferencial para a resiliência operacional em hospitais está em ter um sistema de continuidade eficaz para a proteção de pacientes e suas famílias e colaboradores, além de resguardar a sociedade para um atendimento perene, digno e humanizado.
*Bruno Siqueira é Consultor de Gestão de Riscos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
Além do BIA (Business Impact Analysis), das Análise de Riscos e de toda a documentação de um Sistema de Gestão de Continuidade de Negócios (SGCN), a etapa de envolvimento é fundamental para que o conteúdo gerado no processo de identificação de criticidades, planejamento e preparação seja disseminado e compreendido pelos usuários e público geral.
Esse é o momento no qual são realizados treinamentos, comunicações corporativas, testes e simulados. O dinamismo e a aplicabilidade de todo o conteúdo gerado até o momento colocam em prova a cultura e a capacidade que a instituição tem de responder a eventos e situações adversas.
Uma parte importante da governança de um sistema funcional em um ciclo de melhoria é a checagem do sistema implementado, o que garante seu grau de aderência às necessidades que a instituição e as áreas de negócio requerem diante de uma ruptura.
E é justamente nesse ponto que os testes vão ser relevantes em um cenário projetado, garantindo que situações hipotéticas, mas factíveis gerem reflexão e exercício em um simulado ou teste real. Ainda que seja em um ambiente controlado e com menor nível de estresse do que em situações reais, é possível analisar pontos de melhoria para os planos e o sistema como um todo – incluindo aos participantes.
Para isso, há diferentes formas de testes a serem realizados, incluindo workshops/ seminários; treinamentos; exposição Walkthrough/ Documental dos planos de continuidade operacionais e uma subsequente apresentação de um cenário de contingência para que os participantes vejam o passo a passo de atuação para esse cenário e a Call Tree/ Acionamento, ou seja, um teste realizado junto aos canais de comunicação e telefones dos envolvidos nos planos de continuidade para confirmação do entendimento e funcionamento adequado do fluxo.
Além disso, há o Teste de Mesa/ Table Top, que se trata de uma simulação teórica de um cenário completo de interrupção com intuito de avaliar a atuação dos representantes dos planos. Para esse tipo, usualmente, são utilizadas figuras e imagens fictícias para a contextualização e imersão no tema. E, por fim, há também uma simulação real de um cenário de interrupção parcial ou total com intuito de avaliar a atuação dos representantes dos planos que são escopo do teste.
É importante destacar que não há uma fórmula padrão para a realização dos testes. Cada empresa obtém diferentes benefícios com a realização de cada tipo e de acordo com seu nível de maturidade na temática. Por isso, uma análise especializada deve ser realizada a fim da compreensão e do alinhamento sobre qual modelo apresentaria o melhor custo-benefício.
Como resultados de simulados vivenciados recentemente, houve uma gama de situações que podem ser ressaltadas como relevantes para a compreensão e utilização da temática de GCN (Gestão de Continuidade de Negócios) nas empresas. Entre elas, a que mais se destaca – e se repete – é a resposta imediata dos responsáveis, executando processos feitos em oportunidades anteriores sem a utilização dos documentos e, ou, a validação das ações. O resultado desse ato pode ser uma ação que exponha a instituição a um nível mais severo de risco. Nesse sentido, ressalta-se que a compreensão holística da situação e do processo de tomada de decisão sóbria é necessária para a melhor adequação das ações ao cenário.
Outros pontos que ocorrem com frequência são: comunicação direta com comitê ou com executivos, não registro das ações tomadas e resultados obtidos e tomada de decisão unilateral – ou sem a consulta de demais gestores. Enfim, a quantidade de lições aprendidas geradas nesses momentos é numerosa.
Mas também há casos de surpresas positivas em testes. Vale o destaque para o comprometimento dos profissionais na resolução de incidentes e a criatividade para a elaboração de novas ações de continuidade, que são pontos que se sobressaíram ao nível de informação que os documentos apresentavam.
Assim, fica evidente o quanto a execução dos testes suporta o processo de melhoria contínua. E essa é a única maneira de tornar o SGCN efetivo, atual e perene diante de um ambiente em constante evolução e mudança. É a maneira mais eficaz de identificar pontos de melhoria, alterar mapeamentos e planejamentos para atuação em rupturas, além de garantir o controle do ambiente e a sobrevivência e reputação da empresa. Então, não deixe que situações reais se tornem testes, antecipe-se na gestão de crises!
*Alessandro Dinamarco e Igor Buess atuam na área de Riscos e Continuidade de Negócios da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
As discussões sobre o piso de enfermagem estão acaloradas e tratando de um tema muito relevante e delicado. Com idas e vindas sobre a decisão, há muitos atores em jogo.
por Pedro Barra*
Na esfera política, os três poderes estão medindo forças na reta final da corrida eleitoral. Já em relação ao corpo de enfermagem, profissionais que muitas vezes sofrem burnout, têm suas expectativas jogadas para cima e para baixo a cada novo capítulo da decisão.
Enquanto isso, os empregadores diretos, como hospitais, clínicas e laboratórios sofrem com as preocupações em relação à sustentabilidade do negócio, visto que as fontes pagadoras certamente tentarão conter o repasse de custos e a sinistralidade. O SUS (Sistema Único de Saúde) também é um motivo de preocupação e de discussões no que tange ao financiamento da medida. E por último, porém muito importante, apesar de pouco discutido, está o paciente, buscando um bom atendimento para cuidar de sua saúde.
Diante desse cenário, surgem algumas reflexões: o poder público fará seus malabarismos para tentar colocar a decisão politicamente mais interessante, os grandes players, por sua vez, têm fôlego para as negociações que surgirão dessa decisão. Já os menores, que não têm a mesma capacidade financeira, terão que aproveitar sua grande vantagem competitiva, a agilidade, que terá que vir acompanhada de coragem para inovar e promover mudanças. Em geral, são nessas organizações que os tomadores de decisão estão mais próximos da ponta, vendo de perto as necessidades, o que permite agir com mais agilidade e corrigir rapidamente eventuais erros.
Piso de enfermagem: muitos desafios, muitas oportunidades
Testar novos modelos de atuação em meio às mudanças e regulações do setor é um desafio, mas que pode ser a chave para a sobrevivência e a virada de jogo. Além disso, é necessário manter o foco na saúde do paciente, buscando ampliar o alcance e promoção da fidelização com uma comunicação personalizada, próxima e, por meio de cuidados confiáveis, de melhor qualidade e coordenados com parcerias. Outro ponto que cabe aqui é a implantação dos novos modelos de remuneração, considerando os princípios baseados em valor.
Certamente, há muito a se fazer na saúde. São muitos desafios, mas que também trazem oportunidades. Para ajudar a converter estes desafios suportando as transformações necessárias, a tecnologia é uma importante alavanca. Ainda existem tecnologias caras e incertas, mas também há outras bastante acessíveis e com inúmeras possibilidades de aplicação. Os que conseguirem identificar as mais aplicáveis ao seu negócio e fazer bom uso para atravessar o momento de turbulência poderão sair mais fortes e competitivos.
*Pedro Barra é gerente sênior de performance empresarial da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.
As lições do caso Santander e as boas práticas para a continuidade dos negócios
por Igor Buess e Alessandro Dinamarco*
Diante da maior democratização da comunicação propiciada pelas redes sociais, muito se fala sobre projetos que envolvem a preparação das empresas para os cenários de crise, resiliência e continuidade do negócio no ambiente digital. Entretanto, lidar com uma situação real é completamente diferente de realizar simulações ou testes. Isso porque os fatores psicológicos, o estresse e a pressão podem fazer com que ações, antes planejadas milimetricamente, sejam alteradas de última hora ou nem mesmo seguidas.
Para exemplificar esse contexto, há um mês, a mídia divulgou sobre a interrupção repentina dos serviços do Banco Santander. Os clientes não conseguiam efetuar quaisquer atividades em suas contas por meio do internet banking, aplicativo ou caixas eletrônicos. Até mesmo o atendimento na “boca do caixa” foi interrompido. O impacto principal para o cliente final foi, evidentemente, a impossibilidade de pagar contas e transferir dinheiro. Contudo, por mais negativos que estes impactos fossem, o que mais chamou a atenção no evento foi a falta de informações ou explicações para os clientes.
Na disciplina de Continuidade de Negócios é ponto pacífico que a transparência em excesso ou a falta dela é contraproducente. Isto é, muita transparência pode revelar informações sensíveis sobre aspectos de um ambiente tecnológico, expondo a empresa a possíveis agentes mal-intencionados, como os hackers. Num contraponto, a falta dela gera incertezas perante ao público e até especulações infundadas que podem prejudicar a imagem do negócio. Dessa forma, como muitas coisas na vida, o caminho ideal no que tange à transparência é a moderação.
Quando se fala em construção da Gestão de Continuidade de Negócios, há uma etapa crucial que é o acionamento do que se intitula “Comitê de Crises”. Ele nada mais é do que um conjunto de colaboradores, ocupando geralmente cargos estratégicos, que terá a missão de coordenar as ações diante de situações que transpassam os limites internos da instituição que representam. Uma das ferramentas utilizadas por esse comitê é o conhecido “Plano de Comunicação”, que descreve responsáveis, formas, quando devem ocorrer, nível de detalhes e público-alvo das comunicações a ser feitas durante uma crise.
Neste incidente bancário foram feitas notificações nas redes sociais, porém houve alguns problemas nesse processo. O primeiro foi que, ao invés de informar os clientes de forma proativa, ou seja, publicar uma nota sobre a indisponibilidade o quanto antes e que eles estariam trabalhando para resolver o problema, esperou-se surgir reclamações para, reativamente, responder às publicações dos clientes. Para o público geral ficou parecendo que queriam “não falar nada” e ver se o incidente passaria despercebido.
Outro ponto foi a falta de detalhamento sobre a razão da interrupção. Delinear o tipo de falha que estava ocorrendo iria tranquilizar os clientes. Mesmo no caso de se tratar de um incidente como um ataque cibernético, a mera citação de que foi detectado o ataque e que as tratativas estavam sendo feitas, demonstraria postura responsável por parte da empresa, além de cumprir com a LGPD (Lei Geral de Proteção de Dados). Entretanto, o nível de informação exposta nas publicações foi praticamente zero no que tange às causas. Isso abre margem para especulações, que prejudicam a imagem do negócio.
Mas, é preciso elogiar o comprometimento da empresa em ressarcir os clientes que tiveram seus pagamentos e outras atividades afetados. Por mais que isso possa representar um impacto financeiro, a longo prazo ajudará a reter os clientes. Ou seja, voltamos à questão da imagem da empresa perante os seus clientes, talvez o fator mais crítico de sucesso atualmente. Porém, vale lembrar que o ressarcimento dos prejuízos dos clientes por indisponibilidade do banco, é um dever legal, segundo o Código de Defesa do Consumidor.
As lições aprendidas com esse incidente com o Santander podem ser aproveitadas para empresas dos mais diversos setores. Ter um plano de comunicação bem definido para situações de crise, considerando o grau de transparência dos informes, o momento de dispará-los e os canais de comunicação adequados, como redes sociais, websites e e-mails; definir um plano de compensação para clientes impactados de forma significativa e, se possível, estimar um prazo para a normalização dos serviços são práticas que devem ser seguidas.
Vale dizer que toda empresa passará, em algum momento de sua existência, por incidentes que geram interrupção dos serviços. Entretanto, a forma que ela lida com o incidente definirá a sobrevivência do negócio e sua reputação perante os clientes.
*Igor Buess e Alessandro Dinamarco atuam na área de Riscos e Continuidade de Negócios da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
O que é preciso levar em consideração quando passamos a querer do ESG no cotidiano na estrutura da marca?
Daniela Coelho*
Imagine a seguinte situação: você frequenta um determinado restaurante fastfood. Um belo dia, este restaurante não abre por falta de produto. Você não entende, visto que o único trabalho, no seu entendimento, seria preparar e vender aquela refeição. Você fica chateado e vai desabafar nas redes sociais da rede de restaurante.
Essa situação não foi inventada. De fato, ocorreu há alguns anos na Inglaterra, onde uma rede de fast food, após a troca do operador logístico, precisou fechar metade de suas lojas por um dia em decorrência de uma ruptura na distribuição dos insumos para preparar as refeições. Esse é só um exemplo, mas existem outras notícias de interrupções causadas por fornecedores, como nos setores automobilístico e de transporte público – só para citar alguns casos que tiveram repercussão na mídia.
Mas o que esses exemplos têm a ver com o objetivo deste artigo? A ideia é explicar cada ponto para responder à pergunta.
Gestão de Fornecedores
Troca de fornecedores estratégicos é algo que pode ser motivado por má qualidade na prestação do serviço, instabilidade financeira do parceiro ou a identificação de um prestador de serviço mais qualificado. A desmobilização de um fornecedor é algo que nem sempre é simples e pode envolver meses de planejamento, com a participação das áreas de negócios, compras e jurídico. A transição para o novo parceiro deve considerar uma estratégia de desligamento para minimizar os riscos de interrupção – o que nos leva ao próximo tópico.
Continuidade de Negócios
Os fornecedores, assim como os processos, os sistemas e outros recursos são um pilar fundamental em um mapeamento de BIA (em português, Análise de Impacto ao Negócio), assim como processos, sistemas e outros recursos. Um BIA bem executado permite a identificação dos processos primordiais para a continuidade das operações, mesmo em uma situação de contingência e ruptura. Mapear os fornecedores que impactam os processos-chave de uma empresa é etapa fundamental para a construção dos planos de continuidade dos negócios. A definição da estratégia a ser adotada pode incluir a necessidade de se buscar e homologar um fornecedor alternativo. E, também, ter cláusulas contratuais com o fornecedor em que ele se comprometa a submeter um plano de continuidade ao contratante, sendo inclusive ponto de auditoria.
Dentro do pacote da Gestão de Continuidade dos Negócios, temos uma abordagem específica de Gestão de Crise, que envolve a preparação e a resposta em caso de incidentes ou crises corporativas. Dependendo da magnitude do evento, os impactos na imagem e na reputação da empresa podem ser gigantescos. E é óbvio que os fornecedores serão lembrados aqui também. Quem não se recorda dos casos de grandes marcas de moda envolvidas em trabalho análogo à escravidão? Pois bem, geralmente esta condição absurda estava ocorrendo na sua cadeia de fornecedores, em confecções terceirizadas ou quarteirizadas. Ou seja, uma crise causada pelo parceiro – ou pela má gestão deste parceiro.
Meio ambiente, Social e Governança
ESG (em português, Meio ambiente, Social e Governança): a satisfação do consumidor é um dos itens do pilar Social, o S do ESG. Quando uma empresa interrompe a prestação de serviço ao seu consumidor, ela está impactando na satisfação do seu cliente. Para algumas empresas isso pode ser tema material, isto é, um tópico relevante que impacta o negócio, e também é relevante aos stakeholders. Inclusive, questões relacionadas à satisfação do cliente podem ser encontradas no questionário de avaliação das empresas que querem ser reconhecidas pelo Sistema B, um modelo de negócio que equilibra propósito e lucro, ou seja, que considera o impacto das decisões nos trabalhadores, clientes, fornecedores, comunidade e meio ambiente.
Iniciamos este artigo com um problema de fornecimento que acabou deixando clientes de um restaurante insatisfeitos, possivelmente com fome. Porém, a troca de fornecedores pode ir além do descontentamento do consumidor. Pode ser um caso de segurança. Veja este outro exemplo: uma administradora de shopping (mas poderia ser um hospital, ou lugares com grande circulação) decide otimizar seus custos de manutenção trocando o fornecedor responsável. Nessa transição, as vistorias e os laudos relacionados à infraestrutura não são feitos ou atrasam, por exemplo. O que pode acontecer? Risco de incêndio? Vazamento de gás? Pane elétrica? Como fica o público (e funcionários) que frequenta este lugar? A segurança do cliente não deixa de ser um ponto do pilar social também.
Poderíamos trazer inúmeros outros exemplos. Vale cada gestor refletir sobre tais riscos e agir preventivamente para evitar as rupturas e os impactos aos negócios e stakeholders.
*Daniela Coelho é Diretora de Gestão de Riscos e ESG da Protiviti
Planejar para o inesperado. Construir resiliência | Dê à sua organização a capacidade de garantir a continuidade de negócios e resiliência para suportar interrupções e atinja consistentemente as metas de negócio, reduzindo perdas financeiras, operacionais, de cibersegurança e de eficiência. Avalie suas áreas de riscos, desenvolvendo, aprimorando e mantendo planos para permitir resiliência, independentemente da circunstância.
Em 2020, o mundo estava em meio a uma pandemia completa — as organizações estavam congelando contratações, realizando demissões, reorganizando seus orçamentos, por exemplo. Assim, muitos estavam sendo afetados negativamente em seus planos de negócio, governança e lucros. Ou seja: todos os setores estavam se esforçando para manter as portas abertas e muitas empresas estavam fechando definitivamente.
Continuidade de Negócios e Resiliência: um guia completo
Em resposta, as organizações introduziram, por exemplo, o trabalho híbrido e remoto ― equipes de trabalho descentralizadas e videoconferências se tornaram a regra ― à medida que as organizações demonstravam adaptabilidade e gerenciamento de crises. Em meio a incerteza de mudanças operacionais e interrupções na cadeia de suprimentos, as organizações se esforçaram para manter sua segurança e agilidade contra diversas ondas de novas informações. Gestão de continuidade de negócios, embora não seja uma prática nova, nunca foi tão importante. As organizações que se planejam com antecedência estão mais bem preparadas para mitigar crises de qualquer natureza e garantir a resiliência da companhia.
Hoje, calamidades e contratempos continuam fazendo parte do nosso ambiente. Coberturas jornalísticas contêm manchetes de catástrofes mundo afora — desastres naturais e causados pelo homem, ataques cibernéticos, e epidemias — nos fazendo querer mudar de canal ou pular a manchete dos jornais e sites. Entretanto, como responsáveis pelas áreas de negócio, por tecnologia e como líderes e praticantes da continuidade de negócios, nós devemos estar extremamente atentos. Já prevemos tudo que impacte a continuidade do negócio — furacões atingindo embarcações, interrupções de comunicação em nuvem de e-commerces, ou novas regulações gerando gargalos operacionais. Continuidade de negócios e resiliência significam contemplar todos os cenários de interrupção, incluindo interrupções simultâneas no negócio e seus potenciais respostas. Nunca é cedo demais para iniciar ou atualizar seu programa de continuidade e se planejar para o inesperado.
