GCNBRASIL.

Gestão de Crises e Continuidade dos Negócios

  • Increase font size
  • Default font size
  • Decrease font size

A revisão da ISO 22301

Email Print PDF

Menos texto, mais flexibilidade, menos prescrições e mais pragmatismo. Em poucas palavras, assim é a nova versão da norma ISO 22301.  Embora a revisão não traga mudanças drásticas, ela é uma melhoria definitiva e trará ainda mais valor para seus usuários.

Desde sua publicação em 2012, a norma ISO 22301 se tornou referência internacional em sistemas de gerenciamento de continuidade dos negócios.  De acordo com uma pesquisa da ISO, mais de 4000 organizações são certificadas na ISO 22301.  A popularidade do padrão se espalhou entre indústrias muito diversas, tais como bancos, fábricas de produtos químicos, provedores de serviços de TI, fabricantes de autopeças, etc.

Considerando essa popularidade, é apropriado que a ISO sofra uma revisão e incorpore os aprendizados de seus primeiros anos de uso.  Em janeiro de 2019, a ISO publicou a norma ISO/DIS 22301: 2019, que é um esboço da nova versão.  Embora possa haver mudanças entre o draft e a versão final, ele já dá uma ideia clara do que devemos esperar.

Boas notícias: as mudanças são limitadas
Vamos começar com o ponto principal: se você já é certificado pela ISO 22301: 2012, você não deve ter nenhum problema com a transição, já que não houveram grandes mudanças estruturais no padrão.
Uma das principais razões pelas quais as revisões dos padrões do sistema de gestão da ISO têm sido desafiadoras nos últimos dois anos tem sido a adoção da Estrutura de Alto Nível, que é uma estrutura unificada e um texto central para todos os padrões do sistema de gerenciamento da ISO.  No entanto, a versão 2012 da ISO 22301 já tinha a estrutura de alto nível - foi um dos primeiros padrões ISO a apresentar essa nova estrutura.
Portanto, em vez de reescrever todo o padrão, o grupo de trabalho poderia se concentrar no texto e na clareza.  Muitas seções redundantes foram reduzidas, as definições tornaram-se mais consistentes e o texto tornou-se mais lógico.

A Grande Notícia: De Volta à Essência da GCN
O que é particularmente interessante é muitos requisitos foram reduzidos à sua essência.  A seção 4.1 é um bom exemplo: enquanto a versão de 2012 prescreve o que uma organização precisa fazer (e documentar!) para entender a organização e seu contexto, a nova versão apenas declara a necessidade de “determinar problemas externos e internos” sem especificar o que isso implica.  Não diz quais aspectos precisam ser levados em conta, nem inclui um requisito para documentar este processo.  Algo semelhante está acontecendo na seção 7.4 sobre comunicação: a nova versão é marcadamente menos prescritiva.
Outro requisito que foi cortado é o envolvimento da alta administração (5.2).  Tanto a versão antiga quanto a nova exigem que a alta gerência se comprometa com a política de GCN.  Mas enquanto a versão antiga chegou ao ponto de exigir que a alta gerência “se envolvesse ativamente em exercícios e testes”, a nova versão é mais pragmática em sua abordagem e foca no que é realmente necessário para manter um SGCN eficaz.

Outras alterações
Além de muitos ajustes com pouco ou nenhum impacto, há algumas mudanças que merecem destaque:
•    Um dos poucos requisitos novos é a cláusula 6.3, que exige que as organizações façam alterações no SGCN “de maneira planejada”.  Embora tecnicamente este requisito seja novo, o conteúdo da cláusula não deve ser uma surpresa para ninguém.
•    A Seção 8.2.2 sobre Análise de Impacto nos Negócios (BIA) estipula agora que o BIA deve usar as categorias de impacto como ponto de partida.  Embora muitas organizações já estejam definindo categorias de impacto em seu BIA, a nova versão torna isso obrigatório.
•    A seção 8.3 foi renomeada de “Estratégia de continuidade dos negócios” para “Estratégias e soluções de continuidade dos negócios”.  Isso reflete o aumento do pragmatismo do padrão: o foco não é tanto em desenvolver uma grande estratégia para garantir a continuidade dos negócios, mas em encontrar soluções para riscos e impactos específicos:
 “A organização deve identificar e selecionar estratégias de continuidade dos negócios com base nos resultados da análise de impacto nos negócios e na avaliação de riscos.  As estratégias de continuidade dos negócios devem ser compostas por uma ou mais soluções.”
•    O termo “apetite ao risco” foi removido.  Na versão de 2012, “apetite por risco” foi definido como a “quantidade e tipo de risco que uma organização está disposta a perseguir ou manter”.  O novo padrão, no entanto, está certo em abolir o termo.  Não apenas o “apetite ao risco” é uma questão bastante subjetiva, mas também irrelevante: o que importa não é o risco que uma organização está disposta a assumir, mas o nível em que o impacto de não retomar atividades se tornaria inaceitável para uma organização.

Revisão da Orientação ISO 22313
Ao reduzir o padrão à sua essência, a ISO alcançou uma separação mais clara entre os requisitos (o que) e a orientação (como).  O documento de orientação ISO 22313, que remonta a 2012, também será atualizado para refletir as mudanças na norma ISO 22301.  Espera-se que seja publicado logo após a liberação da nova versão da ISO 22301.

Linha do tempo
A nova versão da ISO 22301 está atualmente em fase de elaboração.  Dependendo do feedback para o draft, o comitê técnico responsável pela revisão espera que o padrão seja publicado no outono de 2019.

Fonte: https://dqs-cfs.com

 

PUBLICIDADE


Translate

Portuguese English French German Italian Spanish

Creative Commons License
Site GCNBRASIL - Creative Commons Atribuição-Uso Não-Comercial-Vedada a Criação de Obras Derivadas 2.5 Brasil License.