DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
Pesquisa sobre Continuidade de
Negócios no Brasil - 2007/2008
DARYUS Strategic Risk Consulting Brasil
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
w w w . d a r y uDARYUS
s . c 1a.
o Pesquisa
m . bBCM
r - v2a_2008--OK.DOC
SÃO PAULO – BRASIL – 2008
0
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
© 2008 DARYUS, Inc. All rights reserved. DARYUS,
DARYUS™ logo, DARYUS Education logo™, Global Risk Meeting™ logo e outras
marcas comerciais, serviços e marcas são registrados pela DARYUS Consultoria e
Treinamentos Ltda. – SP- Brasil. Fica vetada qualquer tipo de reprodução, cópias
ou utilização de textos deste documento sem a prévia autorização formal da
DARYUS no Brasil ou exterior. As marcas de empresas ou institutos mencionadas
neste pertencem a seus respectivos controladores e tem os seus direitos
garantidos no Brasil e Exterior.
ÍNDICE
1. Sobre a DARYUS........................................................................................................ 2
2. Sumário Executivo ...................................................................................................... 4
3. Apresentação da pesquisa ........................................................................................ 14
4. Metodologia utilizada................................................................................................. 15
5. Carta de apresentação da pesquisa.......................................................................... 16
6. Formulário de coleta on-line ...................................................................................... 17
7. Resultados da Pesquisa............................................................................................ 18
7.1. Perfil das empresas e profissionais........................................................................ 18
7.2. Planos de Continuidade de Negócios .................................................................... 24
7.3. Continuidade de Negócios e a Governança ........................................................... 29
7.4. O que contemplam os Planos de Continuidade ..................................................... 31
7.5. Conscientização e Treinamentos ........................................................................... 36
7.6. Exercícios e Testes ................................................................................................ 38
8. Conclusões................................................................................................................ 42
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
1
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
1. Sobre a DARYUS
A DARYUS é uma empresa 100% nacional focada em gestão de
riscos estratégicos empresariais. Fundada em 2005 tornou-se uma
referência em consultoria de riscos no Brasil, principalmente na
disciplina de Continuidade de Negócios. Possui duas unidades:
Consultoria e Treinamentos, ambas localizadas na Avenida
Paulista em São Paulo – SP.
Em consultoria a DARYUS destaca-se pela experiência dos seus
profissionais, metodologias e soluções para Gestão de Riscos,
Continuidade de Negócios e Segurança da Informação. De 2005
a 2007, através de parceria com o DRII – Disaster Recovery
Institute International1, a DARYUS viabilizou seis edições do curso
de certificação do DRII no Brasil. Devido a estas e outras
iniciativas recebeu o prêmio SECMASTER 2006 na categoria
Melhor Contribuição para o Desenvolvimento de Mercado.
A DARYUS possui parceria com o Grupo Impacta2. Nesta parceria
a DARYUS é responsável pelo material didático, metodologia de
ensino e instrutores dos cursos de Segurança da Informação
(CSO), Cobit®, ITIL® e Gestão de TI oferecidos pela Impacta ao
mercado nacional. A DARYUS também é um Authorized
Examination Center do EXIN3, podendo assim, efetuar sob
agendamento as provas para certificações ITIL®.
recovery institute international – USA (Instituto internacional de recuperação de desastres www.drii.org)
2 O Grupo Impacta é líder em treinamentos de TI no Brasil a 20 anos no mercado. Possui várias
empresas onde se destacam a Impacta Treinamentos e a FIT – Faculdade Impacta de Tecnologia
- www.impacta.com.br e www.impacta.edu.br
3 Examination Institute for Information Science (instituto de exames para a ciência da informação http://www.exin-exams.com)
1 Disaster
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
2
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
Visão
Ser um diferencial na trajetória de desenvolvimento de empresas
e profissionais em gestão de riscos estratégicos empresariais.
Objetivo
Ser uma empresa líder em serviços de consultoria em
Continuidade de Negócios e Segurança da Informação no Brasil
nos próximos anos.
Missão
Contribuir, com serviços relacionados à gestão de riscos, pessoas
e consultoria para que nossos clientes atinjam seus propósitos e
objetivos.
Valores
Ética,
Responsabilidade,
Transparência,
Lealdade
e
Competência.
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
3
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
BUSINESS CONTINUITY
MANAGEMENT
2. Sumário Executivo
Ao contrário do que muitos pensam, a realidade das ameaças
existentes no Brasil mudou nos últimos anos. Ameaças naturais até
ontem discutíveis como terremotos, ciclones e outros agora já são
mais reais e assustadoras. A pergunta é: O quanto estamos
realmente preparados?
As
organizações
brasileiras
ao
longo
dos
últimos
anos
perceberam que gerir riscos, está muito além dos riscos do
mercado financeiro. A Gestão de Riscos deve fazer parte da
gestão empresarial diária de quem almeja a liderança ou
simplesmente quer exportar produtos e serviços nos próximos
anos.
Para quem atua com gestão de riscos, e principalmente em
Continuidade de Negócios (CN), vale ficar atento a quatro
grandes temas para reflexão:
1. - O cenário atual de desastres no Brasil;
2. - A economia brasileira e o ambiente de negócios;
3. - O impacto do negócio regido por índices;
4. - O índice de risco país.
1. O cenário atual de desastres no Brasil.
Tomando como base o CENACID4 da UFPR (Universidade Federal
do Paraná) e o ISDR5, apresentamos a seguir dados e
informações sobre esta nova realidade brasileira. O CENACID
O Centro de Apoio Científico de Situações de Desastre é uma unidade especial do Núcleo Interdisciplinar
de Meio Ambiente e Desenvolvimento da Universidade Federal do Paraná (UFPR) e tem por objetivo
proporcionar apoio científico e técnico à comunidade em situações de emergências.
4
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
4
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
define algumas regras para inclusão dos acidentes e desastres,
que devem apresentar ao menos as seguintes características:
1. Não ser relativo a guerra, assaltos, crimes, etc.;
2. Ter resultado em pelo menos uma morte;
3. Ter resultado em prejuízos econômico superiores a R$
1.000.000,00 (Reais);
4. Ter afetado seriamente um ecossistema;
5. Ter resultado em preocupação extrema da sociedade:
manchetes com o tema, passeatas, etc.);
6. Ter resultado em punição legal do causador (prisão);
7. Ter exigido resposta da defesa civil estadual ou
nacional.
Apresentamos os resultados que servem para informar e orientar
os gestores de Continuidade de Negócios no Brasil, sendo:
TABELA 1 - TIPOS DE ACIDENTES NO BRASIL 2007
Estado
Tipo de acidentes
Data
AC
BA
Vazamento de substâncias perigosas
Deslizamento
Alagamento
Inundação
Temporal
Sismo
Sismo
Vazamento de substâncias perigosas
Alagamento
Inundação
Alagamento
Acidente tecnológico
Alagamento
Deslizamento
Desabamento
Deslizamento
Temporal
Vazamento de substâncias perigosas
Vazamento de substâncias perigosas
Sismo
Alagamento
Inundação
20/12/2007
04/12/2007
13/12/2007
13/12/2007
13/12/2007
09/12/2007
12/12/2007
23/12/2007
06/12/2007
11/12/2007
11/12/2007
24/12/2007
13/12/2007
12/12/2007
14/12/2007
16/12/2007
13/12/2007
27/12/2007
11/12/2007
12/12/2007
28/12/2007
28/12/2007
SC
Alagamento
11/12/2007
SP
Alagamento
Alagamento
Alagamento
Acidente tecnológico
Deslizamento
06/12/2007
19/12/2007
20/12/2007
29/12/2007
19/12/2007
MG
MT
PR
RJ
RN
RS
International Strategy for Disaster Reduction (http://www.unisdr.org/) ESTRATÉGIA INTERNACIONAL PARA
REDUÇÃO DE DESASTRES.
5
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
5
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
Estes acidentes computados pelo CENACID refletem que as
regiões de SP e PR são as mais afetadas, seguidas pelo RJ, veja :
PERCENTUAL DE ACIDENTE NO BRASIL 2007
Veja o total de acidentes significativos no Brasil em 2007:
TOTAL DE ACIDENTES CENACID BRASIL 2007
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
6
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
Uma
pesquisa
recente
do
Instituto
de
Geociências
da
Universidade Federal de Minas Gerais (IGC/UFMG) mapeou o
território brasileiro e identificou 48 falhas geológicas mestras,
locais onde "nascem" os terremotos. Dirigida e conduzida pelo
Prof. Allaoua Saadi, pesquisador do IGC/UFMGO, o projeto faz
parte do Programa Internacional da Litosfera (International
Lithosphere Program) que, através de uma força-tarefa, mapeia
as estruturas tectônicas em atividade no planeta para prever
catástrofes naturais.
Por muito tempo, a idéia de que o Brasil estava livre do risco de
terremotos, furacões ou
outro tipo de catástrofe
natural
prevaleceu no imaginário popular. Segundo o professor Saadi,
porém, a ausência de tais fenômenos não se deve à interferência
divina, mas a um conjunto de fatores resultantes do tipo de
ocupação do País.
A legislação atual obriga as empresas a realizarem uma
avaliação do risco de sismicidade induzida antes de iniciar a
construção de barragens. Isso porque a maioria dos rios cria seus
leitos ao longo das falhas geológicas, zonas frágeis onde surgem
os terremotos. Dessa forma, as chances de qualquer barragem
estar localizada em cima de uma falha são grandes. A espessa
coluna d’água cria tensão suplementar, e aquele tremor que só
ocorreria depois de um século pode ser antecipado para daqui a
alguns meses ou anos. (fonte: www.fapemig6.br)
É possível evitar catástrofes?
A necessidade de conhecer a natureza, dinâmica, origem e
evolução da crosta terrestre levou à criação de um projeto
mundial para estudo dos terremotos. Instituído em 1980, o
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
7
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
Programa Internacional da Litosfera (International Lithosphere
Program) funciona através de grupos de trabalho localizados em
todos os continentes. O professor Saadi é o coordenador do
trabalho no Brasil, papel que assumiu efetivamente em 1996.
Todas as informações serão reunidas em um grande mapa-múndi
que permitirá, até certo ponto, evitar futuras catástrofes.
"É bom lembrar que não podemos afirmar quando ou com qual
intensidade os
"A França possui registros históricos de quase dois
milênios, que contam também sobre eventos
geológicos ocorridos na região. No Brasil isso é mais
difícil. Os dados confiáveis que temos não ultrapassam
os 50-60 anos".
terremotos
irão ocorrer. O
que o estudo
indica são os
locais
com
maior probabilidade de serem atingidos por terremotos", explica
o professor. Em países
como o Japão, boa
parte
dos
investimentos na área vão para pesquisas que tentam prever a
data dos abalos, o que permitiria elaborar com antecedência
um plano de evacuação. No entanto, isso ainda não foi
alcançado. Conhecer a história do país também ajuda na
previsão de tremores.
Cada uma das falhas identificadas pela equipe de Saadi está
relacionada
no
site
do
IGC
(www.igc.ufmg.br/hpgagea/inicio.htm) junto com características,
probabilidade
de
movimentação
e
eventuais
abalos
relacionados a ela. O espaço é aberto também àqueles que
desejam acrescentar outros dados.
A FAPEMIG é a única agência de fomento ao desenvolvimento científico e tecnológico de Minas Gerais. É
uma fundação do Governo Estadual, vinculada à Secretaria de Estado de Ciência, Tecnologia e Ensino
Superior. Os recursos financeiros são assegurados pela Constituição do Estado
6
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
8
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
O primeiro relatório de atividades foi apresentado em 1999, mas o
trabalho ainda não terminou: falta traduzir os dados para a base
cartográfica do serviço geológico americano.
Assim que o
serviço for concluído, o mapa do Brasil ocupará o mapa das
maiores falhas ativas (World Map of Major Active Faults). (fonte:
www.fapemig7.br)
2. A economia brasileira e o ambiente de negócios.
Sendo o país mais populoso e economicamente poderoso da
América do Sul, o Brasil, está em posição de se consolidar como
um líder mundial literalmente. Com uma economia equilibrada,
reservas cambiais sólidas, uma política econômica realista o que
falta é somente mais disposição política para isto acontecer.
Empresas e investidores vêem no Brasil muitas características
positivas para investimentos a médio e longo prazo, devido aos
recursos naturais de nossa terra, a qualidade de nossos
profissionais, a produção industrial, a flexibilidade e criatividade
do povo brasileiro e a superação das empresas brasileiras que
competem no mercado internacional com competência.
Até o quase esquecido etanol (Álcool) ressurgiu como uma Fênix8
para se tornar a grande moeda de virada econômica do Brasil.
Somos os mais especializados e tecnologicamente viáveis para
abastecer com etanol os países que se interessarem. Porém, o
Brasil
está
vendendo
esta
tecnologia
ou
fornecendo
gratuitamente?. Como não temos uma legislação favorável a
proteção intelectual, sofremos ao ver o pouco conhecimento
tecnológico esvairindo entre os dedos, assim como vemos todos
7 A FAPEMIG é a única agência de fomento ao desenvolvimento científico e tecnológico de Minas Gerais. É
uma fundação do Governo Estadual, vinculada à Secretaria de Estado de Ciência, Tecnologia e Ensino
Superior. Os recursos financeiros são assegurados pela Constituição do Estado
8 A Fênix ou Fénix - é um pássaro da mitologia grega que quando morria entrava em autocombustão e
passado algum tempo renascia das próprias cinzas.
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
9
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
os dias as riquezas naturais da
amazônia
saindo
por
nossas
Cada vez mais o mundo será
conduzido por índices
(ratings), ou seja, índices que
comparam as rganizações.
fronteiras.
Infelizmente a legislação fraca e a justiça morosa e duvidosa
permite que os criminosos do mundo digital ou tradicional se
escondam na sala com a luz acesa, e questionem o óbvio. Para
gerir adequamente os riscos globais precisamos entender que
mesmo enquanto pessoas jurídicas temos que considerar as
ameaças
político-econômicas,
além
das
naturais,
físicas,
humanas e tecnológicas.
3. O impacto do negócio regido por índices.
Cada vez mais o mundo será conduzido por índices (ratings), ou
seja, índices que comparam às organizações. O indicador sobre
os riscos corporativos será grande diferencial nesta conta para
investidores e acionistas.
Para alguns o risco financeiro é o que importa, mas, saiba que o
risco operacional tem muito a dizer sobre uma organização e sua
gestão. No Brasil cada vez mais as empresas entendem que os
riscos operacionais são parte essencial de todo um programa de
gestão
dos
riscos,
contemplando:
processos,
pessoas
e
tecnologia. Mesmo tendo requisitos legais muito significativos e a
própria
BASILEIA
II
com
demandas,
algumas
instituições
financeiras ainda estão com problemas na implementação da
Resolução 3380 do BACEN, que foca a gestão dos riscos
operacionais.
A cultura da gestão de riscos não pode ficar restrita ao mercado
financeiro, e sempre relacionada a leis e normas. Os outros
segmentos precisam encarar com mais seriedade também. De
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
10
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
acordo com as melhores práticas, processos de Gestão de Riscos,
Segurança da Informação e o de Continuidade de Negócios
devem ser sinérgicos, e possuir responsáveis independentes para
que isto ocorra. Para alguns institutos internacionais as disciplinas
que compõe a gestão de riscos são: Continuidade de Negócios,
Governança de TI, Segurança da Informação, Responsabilidade
Social Corporativa, Segurança em TI, Segurança Física, Saúde e
Meio Ambiente e Conformidade Legal e Regulatória. Claro que
estas disciplinas podem ser
tratadas de forma independente,
porém, elas precisam se comunicar e trocar seus resultados para
que se possa entender o real risco corporativo.
Portanto, falar sobre a gestão de riscos é uma forte tendência
devido as exigências empresariais e mercadológicas. Sabe-se
que organizações que aplicam melhor a gestão de riscos,
principalmente as análises de impacto ao negócio (BIA),
oferecem melhores condições de resposta frente a adversidades.
Quando pensamos em riscos obviamente esquecemo-nos das
oportunidades geradas por eles. Quem gerencia riscos de uma
forma mais holística, consegue ter maiores oportunidades de
transformar riscos em oportunidades e estas em resultados.9
O índice de risco país
O Goldman Sachs10 criou em 2003 o BRIC-Group (Brasil, Rússia,
Índia e China). Estes países foram
agrupados há mais de seis
anos, por serem economias emergentes no mundo. O Brasil
aparece como o principal país e líder deste grupo apesar de
Trechos deste texto foram retirados de um artigo publicado na Revista Executivos Financeiros, Ed.4, Ano de
2008, por D’Addario, Jeferson.
10 Goldman Sachs (GS) é creditado sobre a criação DO BRIC em 2003. Após GS divulgar o quadro do BRIC,
tornou-se uma referência na estratégia de investimentos internacionais, e é amplamente referido no
investimento e financiamento nestes países.
9
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
11
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
ainda ter muitos problemas como a falta de uma reforma
tributária, excesso de impostos e outros.
A economia brasileira tem um constante crescimento em torno
de 4,5% desde 1994. E ainda está tímida perto de Rússia, Índia e
China. Desde o início do Real em 1994 a economia brasileira vem
se recuperando de décadas e décadas de alta inflação, o que
inibiu
A ECONOMIA BRASILEIRA TEM UM CONSTANTE
CRESCIMENTO EM TORNO DE 4,5% DESDE 2004.
as
organiza
ções
nacionais
a
competir no exterior. De um mero produtor de comodities11 o
Brasil passou a um grande exportador de manufaturados como
texteis, eletrodomésticos e até carros e caminhões.
A expressão "risco país"12 entrou para a linguagem cotidiana do
noticiário econômico, principalmente em países como o Brasil e a
Argentina. Trata-se de um indicador que auxilia a determinar o
grau de instabilidade econômica de cada país. O risco país é um
índice denominado Emerging Markets Bond Index Plus (EMBI+) e
mede o grau de "perigo" que um país representa para o
investidor estrangeiro. Na América Latina, os índices mais
significativos são relacionados as economias mais expressivas da
região: Brasil, México e Argentina. Comparativos com outros
países
como Rússia, Bulgária, Marrocos, Nigéria e Malásia
também são utilizados no cálculo dos índices.
Commodities são produtos básicos, homogêneos e de amplo consumo, que podem ser produzidos e
negociados por uma ampla gama de empresas. Podem ser produtos agropecuários, como boi gordo, soja,
café; minerais, como ouro, prata, petróleo e platina; INDUSTRIAIS COMO TECIDOS 100% algodão, poliéster,
ferro gusa e açúcar; e até mesmo financeiros, como as moedas mais requisitadas (dólar e euro), ações de
grandes empresas, títulos de governos nacionais.
12 Alguns trechos baseados no site http://www.ai.com.br/pessoal/indices/risco.htm Prof. Paulo Cezar Ribeiro
da Silva. graduado em Ciências Econômicas pela Universidade Federal do Espírito Santo (UFES) em 1982 e
Mestre em Gestão Empresarial pela FGV - RJ em 2001.
11
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
12
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
O “risco-país” reflete a percepção de segurança que os
investidores externos têm em relação a um país. Esse risco é
medido pelo número de pontos percentuais de juros que
determinado governo tem de pagar a mais que os EUA para
conseguir empréstimos no exterior. A maior economia do planeta
é considerada de risco zero para o investidor.
O “risco-país” é calculado por agências de classificação de risco
e bancos de investimentos. O banco de investimentos americano
J. P. Morgan, que possui filiais em diversos países latinoamericanos, foi o primeiro a fazer essa classificação. O J. P.
Morgan analisa o rendimento dos instrumentos da dívida de um
determinado país, principalmente a taxa de juros com o qual o
país
pretende
remunerar
os
aplicadores
em
bônus,
representativos da dívida pública.
O “risco-país” indica ao investidor que o preço de se arriscar a
fazer negócios em um determinado país é mais ou menos
elevado. Quanto maior for o risco, menor será a capacidade do
país
de
atrair
investimentos
estrangeiros.
Para
tornar
o
investimento atraente, o país tem que elevar as taxas de juros
que remuneram os títulos representativos da dívida.
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
13
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
3. Apresentação da pesquisa
Com o crescimento da demanda mundial por práticas de gestão
de riscos empresariais percebemos a necessidade de contribuir
com colegas da área de consultoria, docentes e estudantes de
Continuidade de Negócios, que constantemente nos questionam
sobre várias questões contidas nesta pesquisa.
Publicada via Internet no final de Outubro de 2007 esta pesquisa
levou 8 meses para ser concluída. Contou com a colaboração
de inúmeras pessoas das equipes de consultoria e treinamento
da DARYUS, empresas parceiras, colegas de mercado, clientes,
profissionais certificados pelo DRII no Brasil e colegas atuantes nas
áreas de riscos de empresas renomadas. Os nomes dos
profissionais que responderam esta pesquisa, bem como o nome
das empresas serão mantidos em sigilo e os dados informados
são confidenciais e não serão utilizados para outros fins se não
este.
Foi enviado convite as 500 maiores do Brasil e mais 200 empresas
que participam ativamente dos nossos cursos e palestras. Destas,
112 empresas responderam a pesquisa. Infelizmente muitas
empresas acham que pesquisas devem ser somente para
aspectos
comerciais
e
não
forneceram
suas
importantes
respostas. Foi permitido que somente uma pessoa, representante
de áreas de riscos, TI, segurança da informação ou Continuidade
de Negócios respondesse as perguntas por sua empresa.
Sabe-se que este é apenas um pequeno passo para que
possamos repetir esta pesquisa nos próximos anos, até termos um
comparativo ano a ano da evolução das áreas de continuidade
de negócios nas empresas brasileiras.
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
14
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
Nosso intuito é aprimorar esta pesquisa todos os anos e contribuir
com estudos relacionados a Continuidade de Negócios no Brasil
e no mundo.
Caso tenha alguma sugestão ou contribuição envie um e-mail
para [email protected], ou ligue para +55 11 3285-6539
ramal 11 - Education Center.
4. Metodologia utilizada
Utilizou-se um questionário on-line, via Internet com cerca de 40
questões de fácil entendimento e múltipla escolha.
Este questionário foi dividido em três partes:
1- Perguntas iniciais;
2- Perguntas intermediárias;
3- Perguntas finais.
A divulgação da pesquisa foi efetuada por mailing e website da
DARYUS e parceiros.
O prazo de resposta foi de 150 dias úteis.
Após este período houve contato telefônico ativo para confirmar
a participação e convidar novos participantes.
Quando houve preenchimento por dois ou mais participantes da
mesma empresa, os mesmos foram excluídos.
Ao atingir 112 empresas pesquisadas, avisamos o encerramento,
e 30 dias depois encerrado o link para a pesquisa. Depois os
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
15
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
resultados
da
pesquisa
foram
analisados,
consolidados,
interpretados, e ela foi redigida e revisada.
5. Carta de apresentação da pesquisa
Na introdução a esta pesquisa estava incluso um pequeno texto
orientativo em formato de carta ao participante da seguinte
forma:
Prezado Profissional,
Você faz parte de um grupo seleto de pesquisados que
representam o mercado brasileiro e contribuirão para a melhoria
e desenvolvimento das disciplinas de risco estratégico no país.
A pesquisa visa demonstrar a situação atual das empresas em
relação a Continuidade de Negócios no Brasil. Está dividida em 3
partes:
- Perguntas iniciais (8 perguntas)
- Perguntas intermediárias (20 perguntas)
- Perguntas finais (11 perguntas)
Por favor, responda as questões de maneira muito clara e
objetiva.
Os itens não aplicáveis devem ser marcados com o item N/A,
Não sei ou não pode responder os itens com (*) são obrigatórios
de resposta.
A participação é gratuita e espontânea.
Agradecemos sua participação,
Divisão de Pesquisas
DARYUS Consultoria e Treinamentos - SP
www.daryus.com.br
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
16
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
6. Formulário de coleta on-line
Para facilitar o entendimento e visualização dos pesquisados
formulários on-line simplificados foram criados e permitiram a fácil
visualização e entendimento das questões, conforme exemplo a
seguir:
FORMULÁRIO DE COLETA VIA INTERNET
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
17
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
BUSINESS CONTINUITY BRASIL
7. Resultados da Pesquisa
7.1. Perfil das empresas e profissionais
Os setores de Serviços e Financeiro foram os que mais
participaram demonstrando claramente que possuem maiores
exigências internas e externas para práticas de gestão de riscos.
Sendo o setor de Serviços 35%, Financeiro 34%, Indústria 6%,
Comércio 4%, Gás & Óleo e Governo 3%,
Educação e
Agronegócio 2% e Manufatura 1% das respostas desta pesquisa,
veja:
SEGMENTO DAS EMPRESAS PESQUISADAS
Dentre as organizações pesquisadas constatou-se que 30% são
grandes empresas que faturam acima de 1 Bilhão de Reais ao
ano, 12% faturam acima de 500 milhões de Reais ao ano, 23%
tem faturamento entre 100 e 500 milhões de Reais ao ano, 7%
ficam entre 50 e 100 milhões ao ano, 11% entre 10 e 50 milhões,
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
18
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
7% de 5 a 10 milhões de Reais ao ano e 10% até 5 milhões de
Reais ao ano. Muitas figuram entre as 500 maiores empresas (com
base no relatório anual da revista EXAME) do Brasil, e lideram seus
mercados. Isto demonstra a maturidade e preocupação destas
empresas em relação aos riscos corporativos, e principalmente
Continuidade de Negócios:
FATURAMENTO DAS EMPRESAS PESQUISADAS
O tempo médio de experiência dos profissionais envolvidos nos
projetos de Continuidade de Negócios reflete a preocupação
destas empresas
com o entendimento sobre o negócio. A
maioria atua nas empresas a pelo menos 5 anos:
TEMPO DE ATUAÇÃO NA EMPRESA
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
19
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
Os profissionais participantes em grande parte estão envolvidos
com
gestão
de
riscos,
segurança
da
informação
ou
Continuidade de Negócios diretamente. A maioria destes
profissionais tem forte conhecimento das melhores práticas e
padrões internacionais. A função organizacional é variável de
cada empresa. Não existe uma regra e temos a Continuidade de
Negócios sob cuidados do Security Office em alguns casos e de
Controles Internos em outros, veja a função dos profissionais
envolvidos:
FUNÇÃO ORGANIZACIONAL DOS PESQUISADOS
Há muitos profissionais certificados e não existe uma regra para
qual certificação é a mais indicada para quem atua no dia a dia
na Continuidade de Negócios, porém, existem institutos focados
somente no estudo da disciplina e capacitação dos profissionais
como os dois mais reconhecidos mundialmente, DRII13 e BCI14.
De todos os setores pesquisados, o maior percentual de
certificados está no setor de serviços, reflexo da própria oferta de
serviços especializados e consultorias. A maior parte dos
13
14
Disaster Recovery Institute International-USA
Business Continuity Institute-UK
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
20
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
profissionais é certificado pelo menos como ITIL15 Foundation
(EXIN16), um reflexo natural do crescimento de gestão orientada a
processos nos últimos 2 anos. O número de profissionais que
buscam conhecer melhor e se certificar em ITIL cresce em torno
de 14% ao ano. 25% dos profissionais pesquisados possuem
certificações específicas para Continuidade de Negócios pelo
DRII como: ABCP17, CFCP18 e CBCP19, 15% possuem certificações
pelo ISACA20 como CISM21, CISA22 e CobiT23 Foundation, o que
demonstra a importância e correlação direta com práticas de
governança de TI. Outros 7% são Auditores Líderes em ISO 2700124,
6% são PMP25 pelo PMI26, 4% possuem certificação específica em
Continuidade de Negócios pelo BCI, 4% pelo ISC2 como CISSP27,
veja:
CERTIFICAÇÕES DOS PROFISSIONAIS ENVOLVIDOS
INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY
EXAMINATION INSTITUTE FOR INFORMATION SCIENCE
17 ASSOCIATED BUSINESS CONTINUITY PROFESSIONAL
18 CERTIFIED FUNCTIONAL CONTINUITY PROFESSIONAL
19 CERTIFIED BUSINESS CONTINUITY PROFESSIONAL
20 INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION
21 CERTIFIED INFORMATION SECURITY MANAGER
22 CERTIFIED INFORMATION SYSTEMS AUDITOR
23 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY
24 INFORMATION SECURITY MANAGEMENT SYSTEMS
25 PROJECT MANAGEMENT PROFESSIONAL
26 PROJECT MANAGEMENT INSTITUTE
27 CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL
15
16
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
21
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
A importância destas certificações provém da necessidade de
alinhar a estratégia de negócio as práticas de governança de TI,
riscos,
segurança
da
informação
e
Continuidade
dos
“A GESTÃO DOS RISCOS É UM CAMPO
MULTI-DISCIPLINAR
E
ABRANGE
UMA
Negócios aplicadas em
GRANDE GAMA DE NEGÓCIOS E DE
cada organização.
SOBREPOSIÇÃO DE ÁREAS.”
Fonte: British Standard Institute –
É
crescente
percepção
UK-2007. Business Continuity &
a
Risk.
pelas
organizações de que a
Governança de TI de nada vale se não estiver alinhada a
disciplina de Continuidade de Negócios e Segurança da
Informação.
Sendo assim, temos atualmente uma grande preocupação em
capacitar
cada
vez
mais
profissionais
para
atuar
adequadamente com Gestão da Continuidade de Negócios,
por haver uma demanda natural das empresas por este tipo de
profissional focado, mas, que tenha conhecimento de outras
disciplinas de riscos e possa ser um dos principais fomentadores
do alinhamento, sinergia e congruência da visão holística na
gestão dos riscos.
TEMPO DA ATUAÇÃO DOS PROFISSIONAIS EM CONTINUIDADE
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
22
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
Ao contrário do que muitos imaginam, a área de continuidade
de negócios nos pesquisados apresentou um índice menor de
prestadores de serviços ao número de profissionais com carteira
assinada (CLTs). Este resultado reflete uma tendência natural das
grandes empresas, que é o de registrar mais funcionários. Porém,
também reflete a tendência de que para as empresas que são
mais maduras em gestão de riscos, ter os funcionários registrados
diretamente e não como terceiros significa correr menores riscos
em questões trabalhistas, vazamento de informações e fraudes.
Ainda não é possível afirmar se este índice subirá, mas, é
importante salientar que nesta pesquisa ainda o número de
empresas que responderam reflete uma pequena parte do
universo corporativo do país, e talvez em uma próxima edição
possamos ter uma melhor perspectiva sobre esta pergunta:
PRESTADORES DE SERVIÇOS EM CONTINUIDADE DE NEGÓCIOS
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
23
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
BUSINESS CONTINUITY BRASIL
Em relação a capacitação para os profissionais envolvidos com
Continuidade de Negócios nestas organizações, foi questionado
quem teria especificamente certificação pelo DRII, e as respostas
foram, 54% não possui, 15% sim, 12% não sabia que existia, mas,
querem informações, 9% não pode responder, 6% Não acham
isto relevante e 4% não soube informar, veja a seguir:
CERTIFICAÇÃO DO DRII PARA PROFISSIONAIS
7.2. Planos de Continuidade de Negócios
Das empresas pesquisadas, 67% possuem hoje um PCN - Plano de
Continuidade de Negócios, sendo que a maior motivação para
isso foi estarem alinhadas com as melhores práticas do mercado
mundial (49%), sendo que somente 11% delas possuem planos a
mais de 5 anos e somente 3% gastam mais que 5 milhões de reais
em continuidade de negócios.
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
24
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
EMPRESAS QUE POSSUEM PLANO DE CONTINUIDADE
Ter um início é melhor do que não ter sequer pensado no assunto.
Como a maioria das respostas foram de grandes corporações
entendemos
que
são
extremamente
regulamentadas
e
auditadas em relação a vários requisitos de mercado ou
agências reguladoras. Portanto, a pesquisa buscou obter quais os
motivadores ou requerimentos que estas empresas tem para que
o PCN seja umas das conformidades exigidas. 38% das empresas
mencionaram
alinhamento
com
as
melhores
práticas
internacionais, neste caso com as 10 práticas profissionais do DRII,
com o BCI e com as normas existentes como a recente BS 25999-1
e 2. Cerca de 19% apontaram a Resolução 3380 do Banco
Central (BACEN), que foi publicada em 29/06/2006, e define que
todas as instituições autorizadas a funcionar pelo BACEN devem
institucionalizar um processo de Gestão de Risco Operacional,
onde
a
contingência
e
continuidade
sejam
uma
parte
importante deste. Outros 16% apontaram para regulamentações
setoriais, 5% tem PCN devido a certificação ISO 27001, e apenas
3%
mencionaram
que
o
PCN
foi
concebido
devido
a
incidente/evento que ocorreu na empresa ou um desastre que
interrompeu as operações, veja:
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
25
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
MOTIVADORES DO PCN NAS EMPRESAS
O Brasil “Abençoado por Deus e bonito por natureza” apresenta
baixas probabilidades de ameaças naturais, porém, devemos
considerar sempre as ameaças humanas e não humanas em
cenários de mapeamento e análises de riscos. Ameaças
tecnológicas, político-econômicas e físicas também devem ser
sempre consideradas.
Infelizmente a baixa exigência regulatória e o baixo nível de
conscientização para a devida guarda de registros sobre
incidentes
no
Brasil, comparando-se
a
outras
localidades
demonstra que os Planos e Programas de Continuidade de
Negócios são novos.
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
26
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
TEMPO DOS PLANOS DE CONTINUIDADE DE NEGÓCIOS
O percentual de investimentos em Continuidade no Brasil ainda é
baixo frente as empresas européias e americanas, mas, tem
crescido de acordo com a mudança cultural, tendências
mundiais da gestão de riscos e regulamentos e controles.
INVESTIMENTOS EM CONTINUIDADE DE NEGÓCIOS NO BRASIL
Notamos que a maioria das empresas pesquisadas ainda não
consegue mensurar este tipo de percentual ou valor, devido a
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
27
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
não ter acesso a estes dados, ou por não ter uma maturidade de
gestão de riscos que alinhe investimentos em gestão de riscos
com a receita bruta do negócio.
Porém, entre as que mencionaram notamos que 42% investem
até 5% do seu faturamento. Entre as que não souberam mensurar
os percentuais, mas, conseguem mensurar em valores monetários
estimados, temos 10% que investem até 500 mil Reais ano e 5%
que investem entre 1 e 5 milhões de Reais todos os anos. Em
algumas pesquisas internacionais vemos as empresas investindo
em média 7% do seu faturamento em práticas de continuidade
de negócios. Porém, veja esta pergunta:
INVESTIMENTO IDEAL EM PCN
Muitos dos Planos de Continuidade de Negócios estabelecidos
foram desenvolvidos internamente, note:
PLANOS DESENVOLVIDOS INTERNAMENTE
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
28
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
GOVERNANCE ASPECTS
7.3. Continuidade de Negócios e a Governança
As exigências por parte dos acionistas e investidores, a
competitividade empresarial, normas, padrões, regulamentações
e legislações governamentais fazem com que as empresas
encarem a governança corporativa mais seriamente. Com isso, o
cumprimento de normas e os requisitos regulatórios passam a
serem vistos sob uma nova visão, onde as organizações precisam
se tornar cada vez mais pró-ativas em relação a gestão,
aproveitando além do cumprimento de tais exigências uma nova
oportunidade de posicionamento e diferencial competitivo no
mercado através da gestão adequada dos riscos corporativos.
Porém, somente 33% das empresas que participaram da pesquisa
possuem normas ou políticas de Continuidade de Negócios.
EXISTÊNCIA DE POLÍTICA DE CONTINUIDADE NAS EMPRESAS BRASILEIRAS
Este comportamento corporativo é adverso, visto que na maioria
das vezes as empresas sabem que necessitam estabelecer regras
para que a gestão flua adequadamente, mas, ao mesmo tempo
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
29
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
tem dificuldades ao redigir e publicar novas diretrizes e normas
corporativas.
Obviamente com um mercado tendendo a um modelo baseado
em indicadores, os investidores e acionistas tendem a cobrar mais
a existência de normas sobre a gestão de riscos e principalmente
sobre Continuidade de Negócios, visto que, garantir o dinheiro
investido do acionista e do investidor é um dos principais
propósitos desta disciplina. Ou seja, garantir a resiliência
empresarial e demonstrar que há garantias de sobrevida e
melhores condições de reabilitação em situações de crises e
desastres é sem dúvida a melhor maneira de convencer sobre a
necessidade de normas e regras para que a gestão de
continuidade e riscos aconteça nas organizações.
Note o
comprometimento de alguns executivos quanto ao Plano ou
Programa de Continuidade:
PARTICIPAÇÃO DA ALTA ADMINISTRAÇÃO NO PLANO
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
30
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
BUSINESS CONTINUITY PLANS
7.4. O que contemplam os Planos de Continuidade
O plano de continuidade de negócios contempla pessoas,
processos e tecnologia, porém, somente 55% das empresas
pesquisadas têm consciência disso, fato preocupante, veja:
O QUE CONTEMPLAM OS PLANOS BRASILEIROS
Estes planos estão divididos organizacionalmente da seguinte
maneira:
ORGANIZAÇÃO DOS PLANOS
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
31
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
41% dos Planos das empresas pesquisadas contemplam somente
ativos críticos de tecnologia, o que os transforma somente em um
Plano de Recuperação de Desastres.
PLANOS QUE CONTEMPLAM SOMENTE TECNOLOGIA DA INFORMAÇÃO
Apenas 36% mencionam que o Plano existente apresenta o
mapeamento dos processos de negócios críticos na Análise de
Impacto nos Negócios (BIA - Business Impact Analysis), e
apresenta o tempo de retorno necessáriorio (RTO - Recovery Time
Objective) para cada um dos processos e o seu tempo
necessário de dados/último backup (RPO - Recovery Point
Objective):
PLANOS QUE POSSUEM BIA, RTO E RPO
Das empresas participantes 35% das empresas possuem local
alternativo para os principais processos críticos apontados no BIA
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
32
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
e para os principais processos de TI e dentre estes 13% possuem
somente para TI, 13% são terceirizados para DataCenter e outros.
Veja a seguir:
EMPRESAS QUE POSSUEM SITES ALTERNATIVOS
DISTÂNCIA DOS SITES ALTERNATIVOS
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
33
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
A
documentação
em
papel
como
contratos
e
outros
identificados como importantes para a continuidade dos
processos de negócios apontados como críticos na BIA, foram
devidamente inventariados e são armazenados também no site
alternativo.
DOCUMENTOS IMPORTANTES CONSIDERADOS NOS PLANOS
36% dos processos críticos das empresas pesquisadas geram
impactos significativos em até 6 horas. Este resultado se dá
principalmente pelo setor financeiro ter tido maioria entre as
respostas. Devido ao SPB28 ele possui exigências de operação
muito estreitas e reabilitação muito rápida.
PERCENTUAL DE PROCESSOS CRÍTICOS E RTO EXIGÍVEL
28
Sistema de Pagamentos Brasileiro
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
34
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
PERCENTUAL DE PROCESSOS NÃO CRÍTICOS E RTO EXIGÍVEL
PERCENTUAL DOS DEMAIS PROCESSOS E RTO EXIGÍVEL
Com base na pergunta anterior, foi efetuada a seguinte
pergunta: Considerando os impactos mapeados pelo BIA e
possíveis de mensurar, quais os impactos financeiros, em Reais,
estimados de acordo com os RTOs apresentados? As respostas
foram:
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
35
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
BUSINESS CONTINUITY CULTURE
IMPACTOS QUANTITATIVOS AO LONGO DO TEMPO PARTE 1 (RTO)
IMPACTOS QUANTITATIVOS AO LONGO DO TEMPO PARTE 2 (RTO)
7.5. Conscientização e Treinamentos
É importante também analisarmos o grau de conscientização das
pessoas nas organizações. Não somente quem está diretamente
envolvido com a gestão de um Plano de Continuidade, mas,
também as outras pessoas envolvidas e os Stakeholders.
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
36
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
Quantos são os profissionais envolvidos com o PCN na empresas,
e quantos são treinados e conscientizados periodicamente?
CONSCIENTIZAÇÃO ATRAVÉS DE PALESTRAS E OUTROS
Mesmo com uma grande quantidade de empresas investindo em
palestras e treinamentos de conscientização (54%), ainda falta
bastante para que este tipo de trabalho seja aperfeiçoado. Hoje
o investimento em capacitação ainda é muito pequeno somente
40% das empresas investem nisto e destas somente 11% investem
mais que 10 mil reais em treinamentos.
PERIODICIDADE DE TREINAMENTOS E CONSCIENTIZAÇÃO
O apoio pela priorização do tema deve começar pela direção
da empresa e ser disseminada por todos os funcionários. Isso,
porque pode acontecer que a alta direção apóie firmemente a
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
37
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
continuidade dos negócios, mas os funcionários apresentem
reações adversas, quando da implantação dos procedimentos
contidos no PCN.
Poucas empresas se preocupam em compartilhar seus planos de
continuidade de negócios com seus parceiros de negócios, seus
principais fabricantes/ fornecedores ou provedores de serviços,
fato muito importante para que um plano dê os resultados
esperados.
7.6. Exercícios e Testes
Apesar
dos
profissionais
entrevistados
acreditarem
na
importância de um Plano de Continuidade de Negócios, poucos
realizam da forma correta e consideram que o percentual
investido pelas empresas na disciplina de risco estratégico ainda
não é o ideal.
PERIODICIDADE DE REALIZAÇÃO DE TESTES DO PLANO
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
38
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
Outro ponto importante, é que a maioria das organizações que
responderam a pesquisa não terceiriza a administração e
manutenção dos planos existentes. Apenas 3% permitem que
parceiros os mantenham atualizados. É uma tendência de
mercado a terceirização da administração de processos de
gestão de riscos, mas, isto ainda não é realidade no Brasil.
TERCEIRIZAÇÃO DA ADMINISTRAÇÃO E MANUTENÇÃO DO PCN
Quando
questionadas
sobre
o
entendimento
de
que
a
Continuidade de Negócios é um processo adicional a Segurança
da Informação e Gestão de Riscos, e que como todo processo
(P-D-C-A)
precisa
ser
gerido
contínuamente
por
pessoal
capacitado adequadamente, os pesquisados responderam:
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
39
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
Há algum tipo de alinhamento do Plano de Continuidade de
Negócios da sua empresa com as práticas de Governança de TI,
Gestão de Segurança da Informação ou Gestão de Riscos
Operacionais?
ALINHAMENTO COM OUTRAS PRÁTICAS
Algo muito importante para uma devida gestão de Continuidade
de Negócios é auditar periodicamente para a verificação dos
controles
de
continuidade
Quando
questionados
se
estabelecidos
há
um
na
processo
organização.
de
auditoria
estabelecido conduzido por equipe interna ou externa com o
objetivo de identificar falhas ou GAPs (lacunas) existentes, e se
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
40
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
isto é executado periodicamente, os pesquisados responderam
que 57% tem este tipo de procedimento, veja as respostas:
EXISTÊNCIA DE AUDITORIA PERIÓDICA DOS PLANOS
De modo geral, as empresas pesquisadas mencionaram que os
seus Planos ou Processos estabelecidos para Continuidade de
Negócios estão nos seguintes percentuais de implementação,
considerando as fases Estratégica, Tática e Operacional:
PERCENTUAL DE IMPLEMENTAÇÃO DOS PLANOS DE CONTINUIDADE
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
41
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
© 2008 DARYUS, Inc. All rights reserved. DARYUS,
DARYUS™ logo, DARYUS Education logo™, Global Risk Meeting™ logo e outras
marcas comerciais, serviços e marcas são registrados pela DARYUS Consultoria e
Treinamentos Ltda. – SP- Brasil. Fica vetada qualquer tipo de reprodução, cópias
ou utilização de textos deste documento sem a prévia autorização formal da
DARYUS no Brasil ou exterior. As marcas de empresas ou institutos mencionadas
neste pertencem a seus respectivos controladores e tem os seus direitos
garantidos no Brasil e Exterior.
Percebemos que a parte Estratégica da maioria das empresas
está
bem
implementada,
porém
as
camadas
tática
e
operacional merecem melhor atenção e a capacitação
adequada dos envolvidos para a devida gestão do processo de
Continuidade de Negócios.
8. Conclusões
Apesar
dos
profissionais
entrevistados
acreditarem
na
importância de um Plano de Continuidade de Negócios, poucos
realizam da forma correta e consideram que o percentual
investido pelas empresas ainda não é o ideal.
O investimento em conscientização é escasso com palestras e
treinamentos, e poucas empresas compartilham com seus pares
do segmento seus planos, muito menos envolvem provedores e
parceiros durante o desenvolvimento do mesmo.
Com isso,
concluimos que as empresas terão cada vez mais
pressão de seus acionistas, investidores, do mercado e das
seguradoras para demonstrar que seus planos de continuidade
são mais robustos e resilientes.
A maioria das empresas possui planos muito focados em TI, e em
excelente funcionamento para que cópias de segurança e
restaurações sejam feitas periodicamente, mas é justamente
nesse ponto que a maioria dos planos de continuidade dos
negócios fica parado.
Embora a maioria dos profissionais tenham declarado que testam
seus planos, foi indicado também que mesmo quando os testes
funcionam, as avaliações de probabilidade e impacto não são
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
42
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
abrangentes, restando uma grande preocupação quanto a
eficácia.
Em relação ao mercado como um todo, o setor financeiro é
ainda o que mais investe em plano de continuidade de negócios
e o de serviço é o que mais investe em certificações.
Já a Indústria e os demais segmentos precisam entender que
implementar
práticas
de
Governança,
Gestão
de
Riscos,
Continuidade de Negócios e Segurança da Informação não é
um caso de modismo, mas, um movimento irreversível de uma
gestão orientada a processos, moderna e capaz de demonstrar
qualitativa
e
quantitativamente
seus
resultados,
com
transparência e responsabilidade.
A tendência de um mercado regido por ratings demonstra
maturidade econômica dos países e a gestão de riscos
adequada pelas organizações contribuirá para um aumento
sadio da competitividade, porém, com uma margem ainda mais
controlada de riscos, ocasionando em oportunidades mais
seguras para os investidores e clientes.
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
43
DIVULGAÇÃO RESTRITA SOB AUTORIZAÇÃO
Anote
agenda
em
sua
nosso
evento Global Risk
Meeting® no dia
11 de Setembro de
cada ano ao lado
do WTC em SP.
Venha
discutir
riscos
com
os
principais profissionais do mercado
nacional.
Acesse
www.globalriskmeeting.com.br.
Jeferson D’Addario, CBCP
Diretor Executivo
DARYUS Consultoria e Treinamentos Ltda.
São Paulo – SP – Brasil
www.daryus.com.br
[email protected]
Av. Paulista, 1009 – 11º. Andar
01311-000 – Cerqueira César – SP/SP
+55 11 3285-6539
[email protected]
[email protected]
1ª PESQUISA SOBRE CONTINUIDADE DE NEGÓCIOS NO BRASIL 2007-2008
DARYUS 1a. Pesquisa BCM - v2a_2008--OK.DOC
44