Os sistemas de gestão consistem num conjunto de políticas, processos e procedimentos implementados segundo um modelo de melhoria contínua. A gestão do risco das organizações é um destes processos, sendo composto por diversas etapas que permitem a identificação das ameaças e das vulnerabilidades que exploram; a definição dos riscos e respectivos níveis em função quer da probabilidade de ocorrência das ameaças, quer do impacto nos serviços críticos de suporte ao negócio; e a definição dos tratamentos necessários para baixar, o mais possível, os níveis de risco.
Actualmente, as organizações encontram grandes desafios face às diversas fontes de risco que se podem identificar no contexto das suas actividades de negócio, tais como o risco financeiro, o risco de segurança da informação crítica, o risco da disrupção de serviços, risco de falhas de conformidade legal, regulamentar ou normativa, entre muitos outros.
Para fazer face a tais desafios, as organizações necessitam de melhorar a gestão e tratamento de todas as variantes de risco, sendo, para tal, imperativa uma abordagem mais abrangente pela gestão de topo das organizações, que permitirá uma correcta identificação e gestão de múltiplos cenários de risco.
Por outro lado, muitas organizações identificam desafios para a implementação de sistemas de gestão ISO, que podem incluir a gestão da qualidade (ISO 9001), gestão ambiental (ISO 14001), gestão de saúde e segurança no trabalho (ISO 45001), gestão da continuidade de negócio (ISO 22301), gestão da segurança da informação (ISO 27001), gestão da Cibersegurança (ISO 27032), gestão da conformidade (ISO 37301), entre vários outros. Apostando tipicamente num dos sistemas de gestão e procurando gerir os restantes desafios de uma forma desagregada, infelizmente obtém, em geral, uma taxa de sucesso muito baixa, que gera uma desmotivação crescente e que se expande à comunidade empresarial que a envolve.
Neste contexto, a integração dos sistemas de gestão tem-se revelado internacionalmente como uma alternativa com bons resultados.
Como funciona?
Muito simples: nos últimos seis anos, a ISO (International Standard Organization) tem feito um alinhamento das normas que suportam a certificação dos sistemas de gestão de modo a que tenham um tronco comum, permitindo assim um melhor retorno do investimento por parte das organizações.
Assim, a integração dos sistemas de gestão promove uma abordagem orientada para a unificação do esforço/investimento que é exigido às Organizações em tempo, recursos humanos, financeiros e tecnológicos, e em custos, permitindo o completo aproveitamento de sinergias na definição e implementação de políticas, processos e procedimentos.
Tal inclui, de uma forma muito particular, a gestão e tratamento do risco, uma vez que em todos os sistemas de gestão esta está integrada na cláusula 6 (Planeamento) e a cláusula 8 (Operações).
Assim, a aposta na integração dos sistemas de gestão, adoptando planos de implementação e melhoria plurianais devidamente coordenados com a estratégia da gestão de topo, resulta em Organizações mais protegidas, credíveis, seguras e resilientes.
Os benefícios da integração dos sistemas de gestão incluem:
1. A diminuição do custo e tempo de implementação devido ao uso mais eficiente do tempo de execução de documentos e à ausência de duplicação de certas actividades, tais como acções de formação, auditorias internas, criação e operacionalização de processos, análises de risco, gestão do projecto, etc.
2. Benefícios operacionais, do ponto de vista de controlo de documentos e na medida em que permitem uma gestão mais harmonizada, simplificada e eficiente. Os requisitos dos diferentes sistemas estão alinhados e são apresentados por um mesmo documento, por exemplo, uma Política Integrada da Segurança ou um Manual de Gestão integrado de Qualidade e Saúde e Segurança no Trabalho.
3. Melhoria da eficácia da comunicação interna e externa com as partes interessadas, utilizando um único procedimento com mensagens pré-definidas e coordenadas.
4. Atribuição mais racional da alocação de tempos dos colaboradores para as necessárias funções e responsabilidades.
5. Realização de uma análise do risco com várias fontes em simultâneo (Organizativa, Financeira, Humana, Tecnológica, Natureza, Cibersegurança, etc…), permitindo a identificação mais abrangente dos riscos, dos respectivos tratamentos e dos controlos de segurança a implementar.
6. Implementação de uma única ferramenta para gestão de incidentes, utilizando um único processo para resposta a diversos tipos de acontecimentos, melhorando a maturidade e o tempo que a organização necessita para retomar o modo normal dos seus serviços, em especial no caso de falhas de disponibilidade geradas por eventos disruptivos.
7. Realização de auditorias integradas num programa anual, diminuindo o tempo necessário para recolha de evidências, para a produção de constatações de conformidade e dos respectivos relatórios de auditoria, e promovendo um catálogo de melhorias o mais abrangente possível.
8. Permitir a melhor sustentabilidade da organização, focando não só a redução de custos, mas também o maior envolvimento e responsabilização dos colaboradores, contribuindo para a sua eficácia, auto-motivação e fidelização à organização.
9. Maior eficácia na demonstração de conformidade legal, normativa, regulamentar e contratual, a vários níveis da organização.
Um exemplo práctico da necessidade e benefícios da integração de sistemas de gestão pode ser dado no contexto da implementação de um S.G.C.N – Sistema de gestão de continuidade de negócio, que tem como objectivo assegurar a capacidade de a organização continuar a disponibilizar os seus produtos e serviços em caso de incidente disruptivo, de forma planeada e adequada aos limites temporais pré-definidos.
“Os desafios que as organizações mundiais encontram actualmente estão relacionados com mercados globais e altamente competitivos… com evolução muito dinâmica”
Para assegurar esta capacidade, devem ser conhecidos quais os activos críticos que queremos proteger de modo a assegurarmos a referida continuidade. Após a identificação dos serviços críticos a proteger, deverão ser tidos em consideração quais os riscos que poderão afectar a organização e, em particular, os activos identificados. A título de exemplo, imaginemos que, para além de outros riscos, a organização tem uma elevada exposição no ciberespaço e/ou que existem elevados riscos associados à informação sensível com que lida diariamente.
Como resposta, no contexto da implementação do sistema de gestão de continuidade do negócio, considera-se necessário proceder, também, à implementação integrada da gestão da Cibersegurança e da gestão da Segurança da Informação – trata-se de uma resposta adequada e alinhada com as necessidades da organização, imperativos contratuais e/ou legais e que contribui de forma efectiva para a resiliência da organização.
No que diz respeito à Cibersegurança, serão identificadas e implementadas medidas e acções de prevenção, monitorização, detecção, reacção, análise e correcção que visarão manter o estado de segurança desejado e garantir a confidencialidade, integridade e disponibilidade da informação, redes digitais e dos sistemas de informação no ciberespaço, assim como das pessoas que nele interagem. No caso concreto da segurança da informação protege-se o activo identificado como crítico – a informação, do ponto de vista da sua confidencialidade, integridade e disponibilidade.
Os desafios que as organizações mundiais encontram actualmente estão relacionados com mercados globais e altamente competitivos, caracterizados por estados de mudança e evolução muito dinâmicos, assentes numa forte digitalização de processos de negócio. Assim, os riscos gerados, cada vez mais impactantes e globais, convidam a que a gestão de topo adopte uma estratégia mais abrangente, eficaz e integrada, na gestão da sua segurança.
Fazer bem, à primeira, com menos custos e usando menos recursos, protegendo o que é crítico e mitigando a probabilidade de disrupções de serviços e perda de informação é a chave do sucesso para as organizações públicas e privadas em todo o Mundo e, em particular, em Moçambique.