Paulo Bertolini explica as etapas do processo, os principais requisitos, benefícios e desafios para empresas que adotam o Sistema de Gestão da Continuidade de Negócios.

Com um cenário de riscos cada vez mais diversos e complexos – de desastres naturais a ciberataques –, garantir a continuidade das operações é uma prioridade estratégica para organizações de todos os portes. A norma ISO 22301 estabelece requisitos internacionais para um Sistema de Gestão da Continuidade de Negócios (SGCN), oferecendo uma abordagem estruturada para mitigar riscos e manter serviços essenciais mesmo em situações de crise.

Em entrevista exclusiva à Associação Brasileira de Avaliação da Conformidade (Abrac), Paulo Bertolini, diretor-geral da APCER Brasil e conselheiro da Abrac, apresenta as etapas para a certificação ISO 22301, os principais requisitos, os benefícios observados após a certificação e os desafios enfrentados pelas organizações durante a implementação. Ele também explica por que a norma é aplicável a empresas de todos os portes e setores, com especial atenção à realidade das pequenas e médias empresas.

Abrac – Como funciona o processo de certificação para a ISO 22301 e quais são as etapas principais envolvidas?

Paulo Bertolini – O processo de certificação segundo a norma ISO 22301 – que estabelece os requisitos para um Sistema de Gestão da Continuidade de Negócios (SGCN) – segue uma abordagem estruturada, composta por várias etapas essenciais. Tudo começa com um diagnóstico inicial realizado pela organização, que permite avaliar o seu nível de maturidade em relação aos requisitos da norma. Com base nesta análise, é elaborado um plano de ação que define as prioridades e os recursos necessários para a implementação do sistema de gestão.

A fase seguinte consiste na própria implementação, onde é necessário identificar os processos críticos da organização, realizar uma Análise de Impacto nos Negócios (BIA), avaliar riscos e definir estratégias de continuidade. Neste ponto, são desenvolvidos e documentados planos de resposta e recuperação, acompanhados de simulações e testes para validar a eficácia desses planos.

Depois de concluída a implementação, a organização deve realizar uma auditoria interna e uma análise crítica do sistema de gestão para garantir que todos os requisitos foram atendidos e que o sistema está preparado para a avaliação de uma entidade externa independente.

A auditoria de certificação ocorre em duas fases: a 1ª fase analisa a documentação e o planejamento do sistema de gestão, e a 2ª fase verifica a sua aplicação prática nas operações da organização. Caso a organização cumpra os requisitos, o certificado é emitido com validade de três anos, sujeito a auditorias de acompanhamento com frequência no mínimo anuais. No final desse ciclo, é necessária uma auditoria de recertificação para renovar a validade do certificado.

Abrac – Quais são os principais requisitos que uma organização precisa atender para estar em conformidade com a ISO 22301?

Paulo Bertolini – Para que uma organização esteja em conformidade com a norma ISO 22301, é necessário cumprir um conjunto de requisitos estruturados que garantem a eficácia do Sistema de Gestão da Continuidade de Negócios.

O primeiro passo é compreender o contexto organizacional, ou seja, identificar fatores internos e externos que podem impactar a continuidade das operações, bem como as partes interessadas relevantes e suas necessidades. A liderança da empresa desempenha um papel central, sendo responsável por demonstrar compromisso, estabelecer uma política de continuidade clara e atribuir responsabilidades específicas.

Em seguida, é exigido que a organização planifique adequadamente o sistema, incluindo a definição de objetivos de continuidade alinhados com a sua estratégia e a adoção de medidas para abordar riscos e oportunidades.

A norma também requer a disponibilização dos recursos necessários – humanos, tecnológicos e financeiros – além de assegurar competências, sensibilização dos colaboradores e mecanismos de comunicação eficazes, tanto internos como externos.

Um dos elementos mais críticos da norma é a realização de uma Análise de Impacto nos Negócios (BIA), que permite identificar os processos essenciais da organização, os impactos associados à sua interrupção e os tempos máximos aceitáveis para a sua recuperação. Complementarmente, é feita uma avaliação de riscos e definida uma estratégia de continuidade baseada em planos documentados, que devem ser mantidos atualizados, testados regularmente e sujeitos a melhorias contínuas.

Por fim, a ISO 22301 exige que a organização monitore e avalie o desempenho do sistema, através de auditorias internas, análises críticas da direção e ações corretivas. A melhoria contínua é um princípio transversal, garantindo que o sistema evolua em função de mudanças no ambiente interno, nas ameaças externas ou nos objetivos estratégicos da empresa.

Abrac – Quanto tempo, em média, leva a implementação da norma ISO 22301 em uma empresa de médio porte?

Paulo Bertolini – De acordo com a nossa experiência no mercado, não sendo a Apcer Brasil uma entidade que preste serviços de consultoria, diria que o tempo necessário para implementar a norma ISO 22301 numa empresa pode variar significativamente consoante a complexidade da organização, a maturidade dos processos existentes e o nível de envolvimento da liderança.

No entanto, de forma geral, estima-se que o processo leve entre seis e doze meses. Este intervalo considera desde o diagnóstico inicial até à auditoria de certificação por um organismo certificador. Organizações que já possuem sistemas de gestão estruturados, com base em requisitos da ISO 9001 ou da ISO 27001, tendem a ter uma implementação mais rápida, uma vez que já estão familiarizadas com a lógica de gestão por processos, avaliação de riscos e melhoria contínua.

Por outro lado, empresas que partem do zero ou com baixo grau de maturidade em gestão podem demorar mais tempo, especialmente na fase de análise de impacto nos negócios (BIA), na definição de estratégias de resposta e na elaboração dos planos de continuidade. Além disso, a disponibilidade de recursos internos, a existência de equipes multidisciplinares e o apoio da alta direção são fatores determinantes para o sucesso e a agilidade do processo.

Abrac – Quais são os principais benefícios observados pelas empresas após a certificação em ISO 22301?

Paulo Bertolini – As empresas que implementam e se certificam de acordo com a norma ISO 22301 tendem a observar uma série de benefícios estratégicos, operacionais e reputacionais.

Um dos ganhos mais evidentes é o reforço da resiliência organizacional, permitindo que a empresa continue a operar ou recupere rapidamente em situações de crise, como falhas tecnológicas, desastres naturais, pandemias, ciberataques ou interrupções na cadeia de abastecimento.

No contexto brasileiro, há vários exemplos recentes que ilustram a importância da continuidade do negócio. Durante a greve dos caminhoneiros em 2018, muitas empresas enfrentaram rupturas na logística e na cadeia de abastecimento. Empresas que dispunham de planos de continuidade estruturados conseguiram reagir de forma mais rápida, com alternativas de distribuição e comunicação eficaz com os clientes.

Outro exemplo marcante foi o impacto da pandemia da COVID-19, onde setores como saúde, tecnologia e serviços financeiros foram forçados a adaptar-se rapidamente a novos modelos operacionais – e as empresas que já dispunham de sistemas de gestão de continuidade, mesmo que informais, conseguiram manter a entrega de serviços críticos com menos disrupção.

Mais recentemente, eventos climáticos extremos, como as cheias no Rio Grande do Sul em 2024, voltaram a expor vulnerabilidades nos sistemas de transporte, energia e telecomunicações. Nestes casos, empresas com planos robustos de contingência conseguiram deslocar operações, ativar centros de backup e garantir a segurança das suas equipes, mantendo a confiança dos seus clientes e parceiros.

Além de enfrentar melhor as crises, a certificação ISO 22301 contribui para uma gestão mais eficaz dos riscos operacionais, promovendo uma cultura organizacional mais preparada e proativa. Isto traduz-se numa redução de perdas financeiras e de reputação, bem como num aumento da confiança do mercado – seja de clientes, investidores ou entidades reguladoras.

Em setores regulados ou altamente dependentes da continuidade, como o financeiro, energético e tecnologia, a norma assume-se cada vez mais como um diferencial competitivo.

Por fim, muitas empresas certificadas referem melhorias na coordenação interna e comunicação em situações de crise, o que fortalece a resposta integrada entre departamentos e acelera a tomada de decisão. No Brasil, onde a instabilidade logística, climática e digital é uma realidade frequente, a norma ISO 22301 transforma-se, mais do que numa exigência técnica, numa ferramenta estratégica para a sobrevivência e sustentabilidade dos negócios.

Abrac – Quais os desafios mais comuns enfrentados pelas organizações durante a implementação da ISO 22301?

Paulo Bertolini – Durante a implementação da norma ISO 22301, as organizações enfrentam uma série de desafios, muitos dos quais estão ligados à mudança de cultura e à complexidade de integrar a continuidade de negócio na gestão estratégica.

Um dos obstáculos mais comuns é a falta de sensibilização interna sobre a importância da continuidade operacional. Em muitos casos, a continuidade ainda é percebida como uma questão apenas técnica ou de responsabilidade da área de tecnologia de informação, quando na verdade exige o envolvimento transversal de todas as áreas da organização, desde a alta direção até as equipes operacionais.

Outro desafio crítico é a realização da Análise de Impacto nos Negócios (BIA), uma etapa essencial para identificar os processos mais críticos, os impactos decorrentes da sua interrupção e os tempos máximos de recuperação aceitáveis. Esta análise exige uma visão aprofundada dos fluxos de trabalho, das interdependências entre áreas e dos riscos envolvidos – algo que, frequentemente, está pouco documentado ou depende fortemente do conhecimento tácito das equipes.

Além disso, muitas organizações enfrentam dificuldades na elaboração e teste dos planos de continuidade, seja por falta de recursos, seja pela resistência interna em simular cenários de crise. A execução de testes e exercícios realistas, com envolvimento das lideranças, é muitas vezes negligenciada, o que compromete a eficácia real do sistema em caso de uma interrupção real.

Em suma, os maiores entraves não estão apenas na parte técnica, mas na gestão da mudança organizacional, na comunicação interna e na capacidade de alinhar a continuidade com os objetivos estratégicos da empresa. Superar esses desafios exige compromisso da liderança, capacitação das equipes e uma abordagem prática, adaptada à realidade e ao contexto de cada organização.

Abrac – A norma ISO 22301 é indicada para empresas de todos os portes e setores? Há alguma adaptação recomendada para pequenas empresas?

Paulo Bertolini – A norma ISO 22301 foi concebida para ser aplicável a organizações de todos os portes e setores, desde grandes empresas multinacionais até micro e pequenas empresas que prestam serviços localizados ou atuam em nichos específicos.

O princípio orientador da norma é a proporcionalidade – ou seja, o sistema de gestão da continuidade de negócio deve ser dimensionado de acordo com o tamanho, a complexidade e o grau de criticidade das operações de cada organização.

No caso das pequenas empresas, a implementação da ISO 22301 é perfeitamente viável, desde que seja adaptada à realidade do negócio. Em vez de desenvolver documentos extensos ou sistemas altamente complexos, é possível adotar uma abordagem mais enxuta, focada nos processos verdadeiramente críticos e nas ameaças mais prováveis.

Por exemplo, uma pequena empresa de tecnologia pode concentrar os seus esforços na proteção dos seus servidores, na continuidade dos serviços em nuvem e na comunicação com os clientes em caso de falha – sem necessidade de aplicar a norma de forma rígida ou burocrática.

Em contextos como o brasileiro, onde muitas pequenas e médias empresas têm um papel essencial em cadeias de fornecimento, subcontratação ou prestação de serviços contínuos (como logística, TIC, saúde e comércio eletrônico), a norma representa uma oportunidade para aumentar a confiança dos clientes, diferenciar-se no mercado e fortalecer a capacidade de resposta a eventos inesperados – como interrupções logísticas, falhas de infraestrutura ou eventos climáticos extremos.

A própria ISO reforça, através da norma complementar ISO 22313, que o sistema de gestão deve ser flexível e escalável, respeitando os recursos disponíveis e o grau de risco a que cada organização está exposta.

Em resumo, a ISO 22301 é aplicável a qualquer tipo de organização, mas exige uma abordagem personalizada, prática e orientada à realidade de cada empresa – o que, longe de ser um obstáculo, torna a norma uma ferramenta acessível e poderosa para reforçar a resiliência, independentemente do porte ou setor.

Abrac – Gostaria de acrescentar mais alguma informação?

Paulo Bertolini – Sim. A norma ISO 22301 representa muito mais do que um certificado – é uma ferramenta estratégica de sobrevivência, confiança e valor percebido. Numa era de incerteza crescente (climática, digital, geopolítica), a resiliência deixou de ser opcional para se tornar diferencial competitivo. Recomenda-se que a adoção da norma seja integrada à cultura da organização, envolvendo não só a gestão de riscos, mas também a comunicação, o RH e os responsáveis pelos sistemas críticos.

Fonte: Assessoria de imprensa da Abrac