Continuidade de Negócio: Assegurar a resiliência na adversidade ADVISORY

Transcrição

1 Continuidade de Negócio: Assegurar a resiliência na adversidade ADVISORY

2

3 Continuidade de Negócio: Assegurar a resiliência na adversidade 3 Índice Mensagem KPMG 4 Sobre o Estudo 6 Introdução 7 Sumário Executivo 8 Percepção de Risco e Resiliência 10 Gestão de Continuidade de Negócio 14 Modelo de Governo 26 Informação KPMG 30 It is not the strongest of the species that survives, nor the most intelligent that survives. It is the one that is the most adaptable to change Charles Darwin

4 4 Continuidade de Negócio: Assegurar a resiliência na adversidade Mensagem KPMG Rui Gomes Partner, IT Advisory O sucesso de uma empresa depende também de uma gestão eficaz dos riscos associados à sua actividade. A Gestão de Continuidade de Negócio surge como uma resposta ao risco operacional das empresas e evolui para um conceito de resiliência. No panorama de riscos globais de 2010 proposto pelo World Economic Forum podemos encontrar a maior parte dos riscos geopolíticos, ambientais, sociais e tecnológicos que podem comprometer a continuidade operacional das organizações. E as conclusões do relatório apontam para uma tendência de aumento da probabilidade e, em alguns casos, do impacto destes riscos, assim como da sua natureza sistémica. Numa economia global, os riscos também se globalizaram. Para a melhor compreensão destes riscos, são importantes os estudos desenvolvidos pela Oxford Métrica desde 1996 sobre o impacto de incidentes graves (e.g. terramotos, ataques terroristas, incêndios), na capitalização bolsista das empresas afectadas. Estes relevam a existência de dois grupos distintos de empresas: as resilientes que, após uma desvalorização inicial das acções, recuperam rapidamente e aumentam o seu valor accionista de forma sensível nos meses seguintes; e as outras, que continuam a sua caminhada descendente, incapazes de inverter a situação. E não é difícil antecipar os factores que melhor distinguem estes dois grupos de empresas: a capacidade de resposta ao incidente, a liderança da gestão de topo durante a crise e a comunicação sistemática, honesta e transparente com o mercado. É neste contexto que deve ser enquadrado o papel da Gestão da Continuidade de Negócio, uma espécie de seguro de vida das organizações que, para ser eficaz, requer o patrocínio da gestão de topo, um modelo de governo adequado e um esforço contínuo de actualização, exercitação e melhoria da capacidade de resposta da organização. Em Continuidade de Negócio, fazer menos que isto significa fazer pouco ou quase nada.

5 Continuidade de Negócio: Assegurar a resiliência na adversidade 5 Cristina Alberto Director, Business Continuity Services A nuvem de cinzas do vulcão Islandês, as chuvas na Madeira, a pandemia de gripe e o sismo em Lisboa, são exemplo de catástrofes que estiveram na agenda no último ano. As empresas portuguesas devem assegurar a sua resiliência à adversidade através de uma adequada Gestão de Continuidade de Negócio. A resiliência das empresas à adversidade depende da sua capacidade em compreender os riscos do meio envolvente e implementar mecanismos de prevenção e recuperação. As empresas portuguesas não podem ficar indiferentes ao risco e ao impacto de catástrofes de diversas índoles nas suas operações, na economia nacional e, no limite, na economia global. Foi neste contexto que a KPMG decidiu lançar, em Portugal, o primeiro estudo sobre a Gestão de Continuidade de Negócio nas empresas com o objectivo de perceber o seu actual nível de preparação para fazer face a catástrofes. Investir em recursos humanos e financeiros significativos para criar uma capacidade que se deseja nunca vir a utilizar, pode gerar alguma dissonância cognitiva nos executivos. No entanto, esta é, possivelmente, a estratégia com melhor racionalidade económica para gerir eventos que podem comprometer a continuidade das operações com elevados impactos humanos, patrimoniais e reputacionais, embora com probabilidades baixas. Esperamos que este estudo possa contribuir para fomentar a discussão e que possa ser um veículo dinamizador da Gestão de Continuidade de Negócio nas empresas portuguesas.

6 6 Continuidade de Negócio: Assegurar a resiliência na adversidade Sobre o Estudo O estudo Continuidade de Negócio: Assegurar a resiliência na adversidade foi desenvolvido pela equipa de Business Continuity Services da KPMG em Portugal e envolveu 70 empresas, dos vários sectores da economia portuguesa. O estudo foi realizado através de 41 questionários on-line e 29 entrevistas com responsáveis pela Gestão de Continuidade de Negócio, conduzidas por profissionais da equipa de Business Continuity Services entre Janeiro e Fevereiro de O estudo incluiu maioritariamente grandes empresas ou grupos económicos (77% dos participantes possui mais de 250 colaboradores) e algumas médias empresas representativas do seu sector. A KPMG agradece a contribuição de todas as empresas que participaram neste estudo que permitiu obter informações valiosas sobre o actual contexto e maturidade da Gestão de Continuidade de Negócio em Portugal. Gráfico 1: Participação por indústria Information, Communication & Entertainment (ICE) Communications & Media Electronics, Software & Services Infrastructure, Government & Healthcare (IGH) Building, Construction & Real Estate Transport Government Healthcare Travel, Leisure & Tourism Consumer Markets (CM) Retail Food, Drink & Consumer Products 13% 19% 9% 20% Financial Services (FS) Retail Banking Corporate & Investment Banking Investment Management Insurance 39% Industrial Markets (IM) Automotive Diversified Industrials Chemicals Pharmaceuticals Energy & Natural Resources

7 Continuidade de Negócio: Assegurar a resiliência na adversidade 7 Introdução No novo milénio, o perfil de risco das empresas portuguesas tem evoluído de forma acelerada, fruto das intempéries na economia global. A mudança de milénio trouxe a ameaça do bug do ano 2000 e a necessidade de soluções de recuperação dos sistemas de informação. Desde então, os sistemas de informação tornaram-se cada vez mais críticos, assegurando as operações do dia-a-dia, e as novas tecnologias trouxeram novos riscos, o que levou as empresas a investir fortemente em soluções de recuperação de sistemas e dados. Os ataques terroristas às torres gémeas em Nova Iorque em 2001, seguidos dos ataques em Londres e Madrid, as catástrofes naturais como o furacão Katrina e os sismos em grande escala, em diversas partes do globo impulsionaram respostas de emergência e soluções de recuperação de colaboradores e postos de trabalho por todo o mundo. Em Portugal, sentimos com alguma frequência cheias, tempestades e incêndios e a nossa localização geográfica torna-nos vulneráveis à ocorrência de sismos, em especial na zona do Algarve e Vale do Tejo, o que levou a Protecção Civil a preparar planos de emergência e exercícios de simulação de desastres, em articulação com as empresas. Os actos maliciosos que vão desde o terrorismo, cyber attacks e criminalidade organizada têm vindo a aumentar, o que levou as empresas a reforçar as suas medidas de segurança física e lógica. E as ameaças de pandemia de gripe das aves, em 2006, e da gripe suína, em 2009, alertaram a economia mundial para o absentismo de colaboradores, o que levou as empresas a criar planos de contingência. A Gestão de Continuidade de Negócio surge, neste contexto, como um mecanismo de mitigação do risco operacional das empresas que endereça riscos que possam afectar as suas operações, os seus colaboradores, os seus sistemas de informação, as suas instalações e fornecedores de produtos e serviços críticos. A Gestão de Continuidade de Negócio tem como objectivo assegurar a recuperação dos processos críticos de negócio num tempo previamente estabelecido de acordo com um impacto aceitável para a organização. Nos últimos anos, esta função evoluiu para o conceito de Resiliência do Negócio, reforçando o nível de preparação da organização através da adição de mecanismos de prevenção que diminuem o impacto do risco.

8 8 Continuidade de Negócio: Assegurar a resiliência na adversidade Sumário Executivo As empresas portuguesas percorreram nos últimos anos um longo caminho no que respeita à Gestão de Continuidade de Negócio. Mas, qual é o seu nível de resiliência actual? Este estudo questiona as empresas sobre a sua percepção de risco e os mecanismos de Gestão de Continuidade de Negócio que têm instituídos para assegurar a sua resiliência. Apresentamos em seguida as suas principais conclusões: O risco operacional está na agenda das empresas. Todas as categorias de risco operacional apresentadas foram alvo de atenção de mais de metade das empresas inquiridas, nos últimos três anos. Os riscos alvo de maior atenção foram a falha dos sistemas de informação (96%), dada a sua importância vital para o negócio, e o absentismo de colaboradores (83%), reflexo da ameaça de pandemia de gripe que se fez sentir em Apesar de conscientes dos impactos e das consequências as empresas consideram não ser ainda resilientes. As empresas estão conscientes dos impactos no negócio da interrupção dos seus processos críticos. 90% das empresas considera poder sofrer problemas operacionais graves com uma interrupção de 24 horas e dois terços refere problemas nas primeiras quatro horas. As empresas têm também uma clara noção das consequências de não estar planeada uma resposta adequada a incidentes. As principais consequências apontadas são perdas financeiras, danos de reputação e imagem e falha de compromissos com clientes e fornecedores. No entanto, apenas 47% das empresas considera ser resiliente, isto é, estar bem preparada para responder aos riscos da actualidade. As empresas estão a implementar programas de Gestão de Continuidade de Negócio. 81% das empresas iniciou já um programa de Gestão de Continuidade de Negócio, sendo que 37% afirma estar numa das fases de implementação do programa (Avaliação, Desenho ou Implementação) e 44% afirma ter atingido a Melhoria Contínua, embora o estudo contrarie nalguns aspectos esta afirmação. O sector financeiro é o que apresenta maior maturidade, pois 100% das empresas já tem em curso um Programa de Gestão de Continuidade de Negócio, sendo que 54% destes Programas já estão na fase de Melhoria Contínua.

9 Continuidade de Negócio: Assegurar a resiliência na adversidade 9 As empresas nem sempre utilizam uma abordagem sistemática nos seus programas de Gestão de Continuidade de Negócio. Este facto resulta em iniciativas isoladas e na implementação de soluções parciais. 37% das empresas que implementou um plano de contingência para a gripe afirma que este não está integrado com um Plano de Continuidade de Negócio já existente e 7% das empresas refere não ter outro mecanismo de Gestão de Continuidade de Negócio implementado. As entrevistas realizadas revelaram que em muitas empresas existem apenas planos de resposta de emergência operacional e/ou planos de recuperação tecnológica, não estando implementados mecanismos em áreas chave como a gestão de crise e o planeamento da recuperação de processos de negócio críticos. As empresas descuram os mecanismos de melhoria contínua do sistema de Gestão de Continuidade de Negócio. A melhoria contínua assegura que se exercita, avalia e mantém actualizado o plano de continuidade de negócio. No entanto, das 44% das empresas com programas em Melhoria Contínua 10% afirma não ter realizado exercícios no último ano e 13% não ter qualquer mecanismo de avaliação de desempenho. Adicionalmente, 34% das empresas com soluções tecnológicas afirma não ter realizado testes de recuperação tecnológica. Os Conselhos de Administração ainda não patrocinam devidamente a Gestão da Continuidade de Negócio. Apenas 14% das empresas afirma possuir um Director de Continuidade de Negócio, nomeado pela Administração para coordenar o programa de Gestão de Continuidade de Negócio. Nos restantes casos esta função é atribuída a áreas já existentes, como por exemplo Gestão de Risco, Segurança, Sistemas de Informação ou Recursos Humanos. Como consequência, constata-se, em diversas organizações, que os recursos humanos são escassos e, muitas vezes, partilhados (31% das empresas afirma possuir uma equipa de Gestão de Continuidade de Negócio com um ou dois elementos e 20% afirma mesmo não possuir equipa) e a inexistência de fundos orçamentados especificamente para esta função (apenas 23% das empresas inquiridas possui um orçamento específico para a Gestão de Continuidade de Negócio). Apesar do caminho já percorrido, as empresas portuguesas devem superar ainda alguns desafios importantes até poderem afirmar ser resilientes.

10 10 Continuidade de Negócio: Assegurar a resiliência na adversidade Percepção de Risco e Resiliência

11 Continuidade de Negócio: Assegurar a resiliência na adversidade 11 90% das empresas afirma que uma interrupção de até 24 horas poderá provocar um impacto significativo no negócio 47% das empresas afirma estar bem preparada para responder à generalidade dos riscos O risco operacional está na agenda das empresas portuguesas. No entanto, apesar de conscientes dos impactos e das consequências, as empresas não são ainda resilientes. O estudo elege os sistemas de informação e comunicações como os riscos alvo de maior atenção nos últimos três anos, só igualados pelo risco de absentismo de colaboradores, reflexo da recente ameaça de pandemia de gripe que se fez sentir em As restantes categorias, embora menos votadas, estiveram todas na agenda de mais de metade das empresas (consultar Gráfico 2). Gráfico 3: Quando considera que uma interrupção dos processos críticos poderá causar problemas operacionais graves? 22% 9% 1% 34% Estes resultados revelam a crescente dependência dos sistemas de informação por parte das empresas, mas também o facto dos Sistemas de Informação (SI) serem historicamente o primeiro risco a merecer a atenção das empresas, que começaram por implementar Disaster Recovery Plans para recuperar a arquitectura tecnológica, por vezes sem a participação do negócio. Por outro lado, a economia dos dias de hoje exige às empresas uma disponibilidade cada vez maior dos seus processos críticos e, consequentemente, uma recuperação num curto espaço de tempo. 90% das empresas considera poder sofrer problemas operacionais graves com uma interrupção dos processos de negócio críticos até 24 horas, sendo que 68% não admite uma paragem superior a quatro horas (consultar Gráfico 3). 34% Imediato 4 horas 24 horas 72 horas 1 semana ou mais Gráfico 2: Quais dos seguintes riscos têm sido alvo de atenção pela sua Organização nos últimos três anos? Falha de Sistemas de Informação Absentismo de Colaboradores Falha de telecomunicações Falha de Segurança da Informação Desastres naturais ou incêndios Falha de fornecedores da cadeia de valor Actos maliciosos Falha da infraestrutura pública 56% 53% 57% 83% 76% 73% 71% 96%

12 12 Continuidade de Negócio: Assegurar a resiliência na adversidade Gráfico 5: Considera que a sua Organização é Resiliente, i.e. está preparada para responder aos riscos da actualidade? Em caso de incidente, não ter planeada uma resposta adequada que lhe permita recuperar as suas operações críticas pode ter um impacto significativo na empresa, com pesadas consequências que, no limite, podem colocar em causa a sua sobrevivência. 52% 1% 47% As empresas portuguesas reconhecem as consequências que advêm de não estar planeada uma resposta adequada a incidentes, tendo referido maioritariamente perdas financeiras (94%) e danos de reputação e imagem (93%) seguidas pela falha de compromissos com clientes e fornecedores (73%) (consultar Gráfico 4). Resiliente Algo Resiliente Não Resiliente No entanto, apesar de conscientes dos impactos e das consequências, apenas 47% das empresas afirma ser resiliente, isto é, estarem bem preparadas para responder à generalidade dos riscos da actualidade (consultar Gráfico 5). A maioria das empresas reconhece ser apenas algo resiliente, ou seja, estarem bem preparadas para enfrentar apenas alguns riscos. De salientar que apenas 1% das empresas admite ser não resiliente, reforçando a ideia que o risco está na agenda das empresas e que estas têm vindo a tomar medidas para enfrentar os riscos que consideram mais importantes para a sua actividade. Gráfico 4: Quais as principais consequências caso não esteja planeada uma resposta adequada a incidentes que lhe permita recuperar atempadamente as suas operações críticas? Perdas financeiras Danos de reputação e imagem Não cumprir compromissos externos 73% 94% 93% Incumprimentos legais Incapacidade de proteger os Colaboradores 43% 47% Desvalorização em Bolsa 23%

13 Continuidade de Negócio: Assegurar a resiliência na adversidade 13 A Gestão de Continuidade de Negócio está integrada com a gestão do risco, na vertente de risco operacional Director de Risco do sector financeiro Perspectiva KPMG Nos últimos anos foram lançadas em Portugal diversas iniciativas relacionadas com a gestão de crises, gestão de risco operacional, planeamento de contingências e resposta de emergência, em linha com iniciativas semelhantes a nível internacional. No sector financeiro, o Banco de Portugal emitiu em 2005 recomendações prudenciais para o planeamento de contingências para gestão de crises no sector financeiro e tem vindo a acompanhar os Bancos na implementação destas medidas. A Gestão de Continuidade de Negócio surge, também, associada à gestão de risco operacional, no contexto do acordo de Basileia II (sobre o cálculo dos requisitos de capital) e no contexto do Solvência II. O Conselho Nacional de Planeamento Civil de Emergência lançou em 2006 o Programa Nacional de Protecção de Infra-estruturas Críticas (PNPIC) com o objectivo de aumentar a resiliência dos Sectores Estratégicos Nacionais, preparando-os para fazer face a situações de crise provocadas por acontecimentos adversos. O programa inclui a identificação das infra-estruturas críticas nacionais e o estudo de medidas para a sua protecção. Estão em curso seis projectos de análise de medidas de redução de risco para as ameaças de sismo, cyber attacks e terrorismo nos sectores de Energia e Comunicações. A Autoridade Nacional de Protecção Civil criou um Plano Especial de Emergência para o Risco Sísmico (PEERS) e desenvolveu em 2008 e 2009 exercícios de simulação na região de Lisboa para os quais convidou as empresas de sectores estratégicos como a Energia, Água e Comunicações. A Direcção Geral de Saúde lançou em 2009 um guia para a implementação de planos de contingência para a gripe, a adoptar pelas empresas. Estas iniciativas chamaram a atenção das empresas para a necessidade de estarem preparadas para responder a catástrofes de várias índoles.

14 14 Continuidade de Negócio: Assegurar a resiliência na adversidade Gestão de Continuidade de Negócio

15 Continuidade de Negócio: Assegurar a resiliência na adversidade 15 81% das empresas afirma ter iniciado um programa de Gestão de Continuidade de Negócio As empresas portuguesas estão a implementar programas de Gestão de Continuidade de Negócio mas ainda não asseguram a Melhoria Contínua do sistema, logo, não são ainda resilientes. No total, 81% das empresas iniciou já um programa de Gestão de Continuidade de Negócio, sendo que 37% afirma estar numa das fases de implementação do programa (Avaliação, Desenho ou Implementação) e 44% afirma ter atingido a Melhoria Contínua, embora o estudo contrarie nalguns aspectos esta afirmação. 44% das empresas afirma que o seu programa de Gestão de Continuidade de Negócio está em Melhoria Contínua O sector Financial Services (FS) é o que apresenta maior maturidade, pois 100% das empresas iniciou já um programa de Gestão de Continuidade de Negócio, e 54% está na fase de Melhoria Contínua. Neste sector existem recomendações do Banco de Portugal na matéria e programas internacionais de gestão de risco (Basileia II e Solvência II). Segue-se o sector Information, Communication & Entertainment (ICE), no qual 100% das empresas iniciaram um programa de Gestão de Continuidade de Negócio e 50% está na fase de Melhoria Contínua. Neste sector incluem-se as Telecomunicações e os Media com requisitos de continuidade dos serviços muito exigentes. A percepção de resiliência parece estar associada à implementação de um programa de Gestão de Continuidade de Negócio. Do universo das 44% de empresas que tem um programa de Gestão de Continuidade de Negócio implementado, 77% considera ser resiliente. Do universo das 47% de empresas que respondeu ser resiliente, 73% tem um programa de Gestão de Continuidade de Negócio implementado. Gráfico 6: Qual a opção que melhor descreve o estado do Programa de Gestão de Continuidade de Negócio na sua Organização? Total 10% 9% 11% 26% 44% Financial Services (FS) 7% 14% 25% 54% Industrial Markets (IM) 7% 14% 14% 29% 36% Consumer Markets (CM) 15% 8% 8% 31% 38% Infrastructure, Government & Healthcare (IGH) 45% 11% 11% 33% Information, Communication & Entertainment (ICE) 17% 33% 50% Não existe Na fase de Avaliação e Desenho Implementado/Em Melhoria Contínua Em definição Na fase de Implementação

16 16 Continuidade de Negócio: Assegurar a resiliência na adversidade Perspectiva KPMG A norma internacional BS25999 do British Standards Institution define Programa de Gestão de Continuidade de Negócio como: processo de gestão corrente suportado pela Gestão de Topo, com os recursos adequados, de forma a garantir que: (i) são identificadas as ameaças potenciais e o seu impacto no negócio; e (ii) são desenvolvidas e mantidas estratégias e planos de recuperação, assegurando a continuidade dos produtos e serviços da organização caso estas ameaças se venham a concretizar, através da realização de acções de formação, exercícios de simulação e actividades de manutenção e revisão. A Gestão de Continuidade de Negócio permite responder de forma eficaz a um incidente através da definição e exercitação periódica de mecanismos de resposta de emergência, gestão de crise, recuperação de negócio e recuperação tecnológica. Resposta de Emergência Gestão de Crise Tecnologia Negócio Resposta de Emergência TIC Recuperação de Negócio Recuperação Tecnológica Tempo

17 Continuidade de Negócio: Assegurar a resiliência na adversidade 17 Perspectiva KPMG A implementação de um Programa de Gestão de Continuidade de Negócio, alinhada com a norma BS25999, deve seguir uma abordagem estruturada em quatro fases. Avaliação. Nesta fase é realizada a Análise de Risco que identifica as potenciais ameaças e a Análise de Impacto no Negócio, para apurar o tempo máximo admissível de indisponibilidade de cada processo de negócio. São também identificados os Requisitos de Recuperação dos processos críticos (i.e. colaboradores, instalações e sistemas) de forma a assegurar a sua recuperação no tempo determinado. Desenho. Nesta fase são desenhadas as estratégias de recuperação da organização de acordo com os requisitos identificados. É também definido o modelo de governo da Gestão de Continuidade de Negócio, bem como a Política e as normas onde se definem as funções e responsabilidades da Gestão de Continuidade de Negócio. Política de GCN Normas de GCN Soluções de Planos de Recuperação Continuidade Colaboradores, de Negócio Instalações e SI Contratos com Entidades Terceiras Implementação. Nesta fase são elaborados os Planos de Continuidade de Negócio (i.e. Planos de Emergência Internos, Gestão de Crise/ Incidentes, Recuperação de Negócio e Recuperação Tecnológica) e assegurada a implementação das soluções de recuperação de Colaboradores, Instalações e Sistemas de Informação (SI) e a (re)negociação de contratos com fornecedores críticos, assegurando a sua resiliência. Monitorização. Nesta fase são desenvolvidas acções de Formação e Exercícios de Continuidade de Negócio e elaborado um Plano de Manutenção que define os ciclos de Melhoria Contínua incluindo auditorias ao sistema de Gestão de Continuidade de Negócio, a revisão dos planos e a realização de acções de formação e exercícios. A organização é resiliente apenas quando o programa entra num ciclo de Melhoria Contínua e desde que sejam observadas todas as práticas inerentes a esta fase.

18 18 Continuidade de Negócio: Assegurar a resiliência na adversidade Gráfico 7: Quais os factores que levaram a sua Organização a iniciar um Programa de Gestão de Continuidade de Negócio? Assegurar a continuidade das operações críticas 91% Requisitos legais 49% Vantagem competitiva 28% Outro Ocorrência de incidentes Pressão de clientes 12% 12% 16% 91% das empresas afirmam iniciar programas de Gestão de Continuidade de Negócio para assegurar a continuidade das operações críticas A motivação para iniciar um programa de Gestão de Continuidade de Negócio pode ser de diversas naturezas (consultar Gráfico 7). As empresas são unânimes em afirmar que implementam programas de Gestão de Continuidade de Negócio essencialmente para assegurar a continuidade das suas operações críticas (91%). Outro factor importante são os requisitos legais (49%), em particular no sector financeiro, que corresponde a 71% deste universo. Estes resultados comprovam que o esforço de acompanhamento desenvolvido pelo Banco de Portugal nesta matéria, através de pontos de situação periódicos do grau de implementação das recomendações da Carta Circular 100/2005, tem sido eficaz. Já no sector Industrial Market (IM), a ocorrência de incidentes surge como o segundo factor mais votado (31%). Este sector inclui empresas com processos fabris que obrigam à existência de procedimentos muito exigentes no que respeita à segurança operacional. Adicionalmente, as empresas entrevistadas referem também iniciativas de grupo em multinacionais e a redução dos prémios de apólices de seguro como factores de motivação para iniciar programas de Gestão de Continuidade de Negócio. De facto, as seguradores multinacionais incluem com frequência penalizações nos prémios a pagar caso a empresa não disponha de um sistema de Gestão de Continuidade de Negócio devido ao agravamento do risco que estão a cobrir.

19 Continuidade de Negócio: Assegurar a resiliência na adversidade 19 Did you ever observe to whom accidents happen? Chance favours only the prepared mind Louis Pasteur Perspectiva KPMG Nível de Serviço Prevenção Resposta Recuperação Sem Continuidade de Negócio Com Continuidade de Negócio 100% (Normal) Incidente Diminuir o tempo de recuperação Mitigar o impacto do incidente Tempo A implementação de um programa de Gestão de Continuidade de Negócio define estratégias que permitem às empresas aumentar a sua resiliência aos riscos através de dois vectores de actuação: (i) implementação de medidas preventivas que permitem mitigar o impacto do incidente; e (ii) planeamento dos mecanismos de resposta a incidentes que permitem diminuir o tempo de recuperação dos processos de negócio críticos, que recuperam para um nível de serviço aceitável num horizonte temporal predefinido.

20 20 Continuidade de Negócio: Assegurar a resiliência na adversidade 90% das empresas refere o trabalho remoto como estratégia de recuperação de instalações 71% das empresas combina o trabalho remoto com outras soluções de recuperação de instalações 89% das empresas dispõe de um Centro de Produção de Dados alternativo, próprio e/ou alugado As empresas têm vindo a implementar soluções de recuperação de colaboradores, instalações e sistemas de informação. No último ano a grande maioria das empresas (96%) seguiu as recomendações da Direcção Geral de Saúde e implementou ou reviu o seu plano de contingência para a gripe, assegurando desta forma a recuperação do negócio em caso de absentismo de colaboradores. Nas estratégias de recuperação de instalações (consultar Gráfico 8) destaca-se o trabalho remoto, referido por 90% das empresas, em grande medida devido às soluções de recuperação de colaboradores criadas no âmbito da recente ameaça de pandemia de gripe, mas também, por se afigurar como uma solução com custos menores. No entanto, o trabalho remoto nem sempre permite a recuperação total do negócio, por questões tecnológicas ou operacionais, pelo que em 71% dos casos esta solução é combinada com postos de trabalho preparados em instalações próprias ou alugadas, ou utilização de postos de trabalho de colaboradores que asseguram actividades de processos não críticos (displacement). Em relação às soluções de recuperação de sistemas de informação, a maioria das empresas (89%) dispõe de um Centro de Processamento de Dados (CPD) alternativo, próprio ou alugado, reforçando a importância da tecnologia para as empresas. Gráfico 8: Quais das seguintes estratégias de recuperação estão implementadas na sua Organização? Trabalho remoto 90% CPD alternativo próprio 54% Instalações próprias com postos de trabalho preparados CPD alternativo alugado 44% 41% Displacement 31% Instalações alugadas com postos de trabalho preparados 17%

21 Continuidade de Negócio: Assegurar a resiliência na adversidade 21 Give me six hours to chop down a tree and I will spend the first four sharpening the axe Abraham Lincoln Perspectiva KPMG Gestão de Continuidade de Negócio Colaboradores Instalações Sistemas de Informação Redundância de colaboradores críticos Incidentes: Pandemia Greves Incêndios, Inundações, Sismos, Tempestades Falhas na Infra-estrutura pública Postos de trabalho em instalações alternativas Incidentes: Actos maliciosos Incêndios, Inundações, Sismos, Tempestades Falhas na Infra-estrutura pública Sistemas de informação em CPD alternativo Incidentes: Falhas na infra-estrutura TI Actos maliciosos Falha de Fornecedores Incêndios, Inundações, Sismos, Tempestades Falhas na Infra-estrutura pública A Gestão de Continuidade de Negócio visa a implementação de soluções de recuperação de colaboradores, instalações e/ou sistemas de informação, que assegurem uma resposta eficaz a incidentes com maior impacto e/ou maior probabilidade de ocorrência na organização.

22 22 Continuidade de Negócio: Assegurar a resiliência na adversidade Gráfico 9: O Plano de Contingência para a Gripe está integrado com o Plano de Continuidade de Negócio? As empresas nem sempre utilizam uma abordagem sistemática nos seus programas de Gestão de Continuidade de Negócio o que resulta em iniciativas isoladas e na implementação de soluções parciais. 37% 7% 56% Do universo de empresas que implementou um Plano de Contingência para a Gripe, 37% afirma que o seu plano não está integrado com o Plano de Continuidade de Negócio e 7% das empresas não tem outro tipo de mecanismo de Gestão de Continuidade de Negócio (GCN), donde se conclui que nem sempre as empresas associaram o combate à gripe à sua gestão de risco operacional (consultar Gráfico 9). Os Planos estão integrados Os Planos não estão integrados Não existem outros mecanismos de GCN para além do Plano para a Gripe Gráfico 10: A Gestão de Continuidade de Negócio está integrada com os Planos de Continuidade de Negócio dos fornecedores chave da cadeia de valor? As entrevistas realizadas revelaram também que em muitas empresas existem apenas planos de resposta de emergência operacional e/ou planos de recuperação tecnológica, não estando implementados mecanismos em áreas chave como a gestão de crise e a recuperação de processos de negócio críticos. Estas situações resultam do facto das empresas terem implementado historicamente vários mecanismos de Gestão de Continuidade de Negócio de forma isolada, mediante factores externos que obrigam a tomar medidas de determinada natureza em determinada altura, e não através de um programa com uma abordagem sistemática que assegura a implementação de todos os mecanismos necessários à Gestão da Continuidade de Negócio de forma integrada, envolvendo toda a organização num único objectivo. 17% 3% 21% Um dos aspectos que tem vindo a ser alvo de atenção das empresas é a importância dos fornecedores chave da cadeia de valor para assegurar a continuidade dos seus processos críticos. 43% 16% 63% das empresas afirma que o seu programa de Gestão de Continuidade de Negócio está integrado com o Plano de Continuidade de Negócio de, pelo menos, alguns fornecedores e 16% afirma que os seus planos estão em processo de integração (consultar Gráfico 10). Não estão integrados Estão em processo de integração Integrados com alguns fornecedores críticos Integrados todos os fornecedores críticos Integrados todos os fornecedores

23 Continuidade de Negócio: Assegurar a resiliência na adversidade 23 10% das empresas com programa de Gestão de Continuidade de Negócio em Melhoria Contínua não realizou qualquer tipo de teste no último ano 34% das empresas com soluções de recuperação tecnológica não efectuou testes no último ano As empresas descuram os mecanismos de Melhoria Contínua do programa de Gestão de Continuidade de Negócio. Uma vez implementado o sistema de Gestão de Continuidade de Negócio, este entra em manutenção, em ciclos de Melhoria Contínua. Nesta fase, devem ser asseguradas a revisão dos planos, a realização de exercícios e a avaliação de desempenho do sistema com uma periodicidade, no mínimo, anual. Gráfico 11: Quando foi revisto pela última vez o conteúdo dos planos? 7% 11% O estudo revelou que 82% das empresas actualizou os seus planos no último ano (consultar Gráfico 11). No entanto, apenas 44% das empresas afirma estar na fase de Melhoria Contínua, pelo que os planos revistos no último ano podem não corresponder à totalidade dos planos que é necessário possuir para assegurar a Gestão da Continuidade de Negócio. Os exercícios de simulação de desastre que testam periodicamente a resposta dos seus colaboradores e das suas soluções de recuperação é um dos mais importantes mecanismos de Melhoria Contínua das empresas. No entanto, no universo de empresas em Melhoria Contínua 10% afirma não ter realizado exercícios no último ano e apenas 65% afirma ter realizado testes com equipas de negócio. 30% Nos últimos seis meses No último ano Nos últimos dois anos Nunca 52% Os testes de recuperação tecnológica são os que são mais frequentemente assegurados pelas empresas. 63% indicaram ter realizado este tipo de testes no último ano (consultar Gráfico 12). No entanto, das 89% das empresas que afirma ter uma solução de recuperação tecnológica, 34% revela não ter efectuado testes de recuperação tecnológica no último ano. Por outro lado, 38% das empresas que não realizou testes de recuperação tecnológica com o envolvimento das áreas de negócio, consideraram-se resilientes. Gráfico 12: Que tipo de testes e exercícios foram realizados na sua Organização no último ano? Testes de Recuperação Tecnológica envolvendo o Negócio Exercícios em sala Testes integrados envolvendo equipas internas Testes integrados com entidades externas Não foram realizados exercícios 17% 26% 34% 41% 63%

24 24 Continuidade de Negócio: Assegurar a resiliência na adversidade Gráfico 13: Qual a formação que a equipa de Gestão de Continuidade de Negócio teve no último ano? A equipa não teve formação 43% Conferências/Congressos Outro 29% 27% Formação em normas internacionais de GCN 17% 13% das empresas com programas de Gestão de Continuidade de Negócio em Melhoria Contínua não tem nenhum mecanismo de avaliação Os mecanismos de avaliação de desempenho permitem a definição de medidas preventivas/correctivas numa óptica de Melhoria Contínua do sistema de Gestão de Continuidade de Negócio. A Auditoria Interna foi eleita pelas empresas como o mecanismo de avaliação preferencial (44%), seguida pelo self-assessment (36%) (consultar Gráfico 14). No entanto, apenas 40% das equipas de Gestão de Continuidade de Negócio, responsáveis pelo self-assessment, teve formação em normas internacionais de Continuidade de Negócio (e.g. BS25999) e 43% não teve qualquer formação no último ano (consultar Gráfico 13). Por último, das 44% das empresas que afirmaram ter um programa de Gestão de Continuidade de Negócio em Melhoria Contínua, 13% revela não ter qualquer tipo de mecanismos de avaliação implementado. Estes resultados demonstram que as empresas não asseguram a Melhoria Contínua do sistema, logo, não são ainda resilientes. Gráfico 14: Quais os mecanismos de avaliação de desempenho do sistema de Gestão de Continuidade de Negócio da sua Organização? Auditoria Interna 44% Self-assessment Não existem mecanismos de avaliação de desempenho implementados Avaliações externas 26% 36% 34% Indicadores de desempenho 19%

25 Continuidade de Negócio: Assegurar a resiliência na adversidade 25 Vamos realizar um simulacro de ameaça de bomba em articulação com a protecção civil Director de Segurança do sector de infra-estruturas Perspectiva KPMG A implementação de um programa de Gestão de Continuidade de Negócio traz um conjunto de benefícios às organizações, nomeadamente a identificação das principais ameaças e dos potenciais impactos de uma interrupção dos processos de negócio críticos e a preparação da resposta a incidentes, minimizando o seu impacto na organização. Em caso de incidente, possuir um sistema de Gestão de Continuidade de Negócio pode significar a diferença entre perecer ou sobreviver obtendo uma vantagem competitiva relativamente aos seus concorrentes directos. Possuir um sistema de Gestão de Continuidade de Negócio pode também significar outros benefícios, como a qualificação em concursos públicos e a redução dos prémios a pagar em apólices de seguros. Outro benefício importante poderá ser a possibilidade de participar em exercícios de simulação de desastre onde poderão ser testadas as soluções de recuperação implementadas em articulação com os fornecedores da sua cadeia de valor ou outras entidades externas. Um exemplo destes simulacros a nível sectorial, são os exercícios realizados pelas autoridades financeiras do Reino Unido, que têm vindo a testar a resposta do sector a vários tipos de ameaças, nomeadamente terrorismo (2004), pandemia (2006) e mau tempo (2009), envolvendo não só as instituições financeiras mas os parceiros da cadeia de valor do sector financeiro e outras entidades relevantes tais como os serviços de emergência. Para além da recuperação das suas operações críticas, as empresas portuguesas deveriam reflectir sobre os benefícios adicionais de possuir um sistema de Gestão de Continuidade de Negócio.

26 26 Continuidade de Negócio: Assegurar a resiliência na adversidade Modelo de Governo

27 Continuidade de Negócio: Assegurar a resiliência na adversidade 27 84% 14% das empresas refere que a Gestão de Continuidade de Negócio está atribuída a um Administrador das empresas possui um Director de Continuidade de Negócio com a função de coordenação da Gestão de Continuidade de Negócio Os Conselhos de Administração, apesar de reconhecerem o papel fundamental da Gestão de Continuidade de Negócio para assegurar a resiliência das empresas, ainda não a patrocinam devidamente. As recentes ameaças de pandemias, mau tempo, falha dos sistemas de informação e sismo têm vindo a despertar a atenção dos Conselhos de Administração para a necessidade de iniciar programas de Gestão de Continuidade de Negócio. 84% das empresas inquiridas refere que a função está atribuída a um Administrador e 31% das empresas afirma que o pelouro está atribuído ao CEO (consultar Gráfico 15). No entanto, a responsabilidade pela Gestão de Continuidade de Negócio nem sempre é atribuída a um coordenador com dedicação exclusiva. 21% das empresas inquiridas refere que a função não está atribuída e apenas 14% revelou possuir um Director de Continuidade de Negócio (consultar Gráfico 16). A função é muitas vezes atribuída à área relacionada com a origem do tema na organização. No sector financeiro, a função surge com frequência em direcções de risco e controlo interno devido às imposições regulamentares. A função surge também associada a programas de Segurança de Informação ISO 27000, à Segurança operacional no âmbito do planeamento de emergência, à área de Tecnologias de Informação (TI) no âmbito dos seus planos de recuperação de sistemas de informação ou, até, à área de Recursos Humanos no âmbito da elaboração de planos de contingência para resposta à pandemia de gripe. Sem o claro patrocínio de um programa de Gestão de Continuidade de Negócio por parte da Administração, e sem a nomeação de um coordenador que assegure a implementação da Gestão de Continuidade de Negócio nas suas várias vertentes, coexistem, na organização, várias iniciativas com várias lideranças não articuladas entre si que dificilmente asseguram uma resposta eficaz a uma situação de catástrofe. Gráfico 15: Ao nível da Administração, quem é responsável pela Gestão de Continuidade de Negócio? 17% 16% 6% 6% 6% 11% 31% 7% CEO/Presidente do CAE CFO/Administrador Financeiro COO/Administrador de Operações CIO/Administrador de TI CRO/Administrador de Risco CSO/Administrador Segurança Outro Não está atribuído Gráfico 16: Qual a função do coordenador do Programa de Gestão de Continuidade de Negócio? 22% 21% 4% 6% 14% 9% 14% 10% Director Continuidade de Negócio Director Risco Director Segurança Director TI Director Recursos Humanos Director Instalações Outro Não está atribuído

28 28 Continuidade de Negócio: Assegurar a resiliência na adversidade Gráfico 17: Como classifica o orçamento atribuído às iniciativas de Gestão de Continuidade de Negócio, em percentagem do Orçamento global da Organização? 27% 17% 3% 20% 33% Gráfico 18: Como são atribuídos fundos às iniciativas de Gestão de Continuidade de negócio? Incluídos no Orçamento de TI Atribuídos caso a caso, segundo as necessidades Incluídos no Orçamento de Gestão de Continuidade de Negócio Outro Incluídos no Orçamento de Gestão de Risco Chargeback às Unidades de Negócio 6% 10% 9% 23% 43% Gráfico 19: Qual o número de Colaboradores dedicados à Continuidade de Negócio? 56% Menos de 1% De 1% a 5% Mais de 5% Não tem Orçamento Não sabe/não responde 10 oumais 19% 21% % 13% % 33% % 31% 0 16% 20% Equipa de Recuperação Tecnológica Equipa de Continuidade de Negócio

29 Continuidade de Negócio: Assegurar a resiliência na adversidade 29 O administrador com o pelouro da Continuidade de Negócio viveu o 11/09 em NY e impulsiona claramente a função Director de Continuidade de Negócio de um banco internacional As empresas não possuem orçamentos específicos para as iniciativas de Gestão de Continuidade de Negócio embora admitam orçamentar as soluções de recuperação tecnológica nos seus orçamentos de TI. Apenas 23% das empresas afirma obter fundos de um orçamento específico para a Gestão de Continuidade de Negócio, mas 56% das empresas inquiridas afirma obter fundos no orçamento de TI. Adicionalmente, 27% das empresas não sabe o orçamento global atribuído à Gestão de Continuidade de Negócio, 17% das empresas afirma não existir um orçamento e 33% refere que o seu valor é inferior a 1% do orçamento anual da organização (consultar Gráficos 17 e 18). 23% das empresas possui orçamento específico para a Gestão de Continuidade de Negócio A equipa de Continuidade de Negócio é responsável pelo programa de Gestão de Continuidade de Negócio na sua globalidade, mas a recuperação dos sistemas de informação está tipicamente atribuída a uma equipa da área tecnológica. O estudo mostra claramente a escassez de recursos dedicados a este tema. 20% das empresas afirma não possuir uma equipa de Continuidade de Negócio e 31% afirma que esta equipa possui um a dois elementos. A equipa de Continuidade de Negócio é, em média, menor do que a equipa de Recuperação Tecnológica (consultar Gráfico 19). Perspectiva KPMG O programa de Gestão de Continuidade de Negócio deve ser lançado pela Administração, que deve nomear o seu coordenador e respectiva equipa e assegurar a adesão da organização ao programa em curso. A Administração é igualmente responsável por promulgar a política de Continuidade de Negócio, acompanhar a implementação do programa de Gestão de Continuidade de Negócio e monitorizar o seu desempenho através de mecanismos de avaliação de desempenho, e.g. Auditoria Interna. No entanto, em muitas organizações os Conselhos de Administração encaram a Gestão de Continuidade de Negócio como um centro de custos que pode, no limite, nunca vir a gerar o valor correspondente ao investimento realizado e desvalorizam a sua importância na preparação da organização para responder de forma eficaz a incidentes. O aumento da resiliência das empresas portuguesas passa também pela consciencialização dos Conselhos de Administração da importância de implementar programas de Gestão de Continuidade de Negócio, com os recursos adequados.

30 30 Continuidade de Negócio: Assegurar a resiliência na adversidade Informação KPMG Quem somos A KPMG é uma rede global de firmas profissionais que prestam serviços de Auditoria, Fiscalidade e Consultoria. Estamos presentes em 144 países com pessoas a trabalhar nas firmas membro a nível mundial. As firmas membro da rede KPMG são filiais da KPMG International Cooperative ( KPMG International ), uma entidade suíça. Cada uma das firmas membro é uma entidade legal distinta e independente. Em Portugal, operamos em três escritórios (Lisboa, Porto e Funchal) com 26 sócios e mais de 650 colaboradores. Em 2009, o volume de negócios da KPMG em Portugal atingiu os 64,2 milhões de Euros. Business Continuity Services A KPMG é líder a nível internacional em serviços de Continuidade de Negócio, contando com mais de 300 profissionais distribuídos pelas regiões EMA (Europa, Médio Oriente e África), Américas (Norte e Sul) e ASPAC (Ásia e Pacífico). A KPMG faz parte do grupo de trabalho do British Standards Institution que desenvolveu a norma internacional de Gestão de Continuidade de Negócio BS Em Portugal, a equipa de Continuidade de Negócio possui profissionais com certificações internacionais tais como BS25999 Lead Auditor e Business Continuity Institute. Esta equipa tem desenvolvido projectos em grandes grupos económicos e promovido diversas iniciativas nesta área.

31

32 kpmg.pt Contactos KPMG Advisory Consultores de Gestão, S.A. Edifício Monumental Av. Praia da Vitória, 71 A - 11º Lisboa, Portugal Tel: Fax: Rui Gomes Partner, IT Advisory rgomes@kpmg.com Cristina Alberto Director, Business Continuity Services calberto@kpmg.com A informação contida neste documento é de natureza geral e não se aplica a nenhuma entidade ou situação particular. Apesar de fazermos todos os possíveis para fornecer informação precisa e actual, não podemos garantir que tal informação seja precisa na data em que for recebida/conhecida ou que continuará a ser precisa no futuro. Ninguém deve actuar de acordo com essa informação sem aconselhamento profissional apropriado para cada situação específica KPMG Advisory Consultores de Gestão, S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative ( KPMG International ), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. A KPMG e o logótipo da KPMG são marcas registadas da KPMG International Cooperative ( KPMG International ), uma entidade suíça.