Ramo da segurança que cuida dos interesses ligados à empresas públicas ou privadas, no que tange à proteção de seus recursos humanos e materiais e deve estar em consonância com a missão e valores da empresa, devendo também respeitar os limites éticos e legais impostos nas regiões em que atuam. " Se o SENHOR não edificar a casa, em vão trabalham os que a edificam; se o SENHOR não guardar a cidade, em vão vigia a sentinela." Salmos 127:1
quinta-feira, junho 02, 2016
Mariana, Paris, Risco e Bow Tie
Atentados em Paris, rompimento de barreira em Mariana, estado de alerta em Bruxelas, atentado contra um hotel em Mali, são algumas das notícias que temos recebido nos últimos dias. Em comum em todos estes casos temos a descontinuidade das atividades diárias, dos processos de trabalhos das empresas e da vida das cidades.
No ambiente público e no ambiente privado esta descontinuidade causa impactos indesejáveis e em alguns casos irreparáveis. Evitar estes eventos e, no caso de sua concretização reduzir seus impactos, é o objetivo da gestão de risco.
Não há como reduzir a zero a probabilidade de uma ocorrência como as citadas, mas há como se trabalhar para reduzir a possibilidade de sua ocorrência. E há como se trabalhar para reduzir o impacto de suas consequências.
Gestão de risco é um trabalho que exige método, conhecimento técnico do ambiente do risco a ser tratado e pesquisa para um melhor conhecimento das ameaças e dos controles disponíveis para prevenção e mitigação. Esta variedade de conhecimentos faz com que o trabalho de gestão de risco de casos graves, onde a combinação de probabilidade e consequência implique num risco significativo, seja trabalho de uma equipe. A mescla de conhecimentos faz com que o resultado seja mais eficiente e o risco seja efetivamente reduzido.
Um dos métodos que identificamos como sendo interessante para a realizar da análise do risco é o Bow Tie. Neste método, um dos pontos forte é a comunicação do risco através de um diagrama de excelente visualização, neste diagrama ficam evidenciados os mecanismos de prevenção e os mecanismos de reação à concretização do risco. O método adotado para a análise de risco é um ponto vital para o seu sucesso. A metodologia a ser utilizada deve ser um guia prático, sem ser simplista, para a condução dos trabalhos técnicos e que não permita que seus executores se percam num emaranhado infindável de possibilidades e alternativas. O resultado final deve ser um produto que transmita de forma prática e consistente o que deve ser feito para o tratamento do risco. O método Bow Tie, estruturado pela Shell nos anos 90, vem aos poucos sendo conhecido e ganhando adeptos no Brasil. Seja você um deles!
Resposta a um Desastre
O desastre de Mariana é um caso exemplar para discutir a qualidade de nossos planos de recuperação de desastres.
Nos anos 70 e 80, o termo mais utilizado no Brasil era Plano de Contingência. Expressão em que cabia todos os tipos de respostas a incidentes indesejados e era largamente empregado na forças armadas e nas empresas petrolíferas. Nos Estados Unidos no DRII, Disaster Recovery Institute International, com sede em St. Louis nos EUA, que tratava tanto de desastres naturais como desastres corporativos era utilizado o nome de Plano de Recuperação de Desastres, de forma genérica, não sendo adotado o termo contingência para este tipo de plano.
Nos anos 90 o DRII passou a utilizar a denominação de Planos de Continuidade de Negócios por considerar que a palavra continuidade melhor definia os objetivos de um plano de resposta a desastre. Os desastres, de causas naturais, ficaram excluídos do conceito de Planos de Continuidade de Negócio e para estes o antigo nome se aplicava. No Brasil, a denominação Planos de Continuidade passou a ser utilizada em maior escala quando o Banco Central exigiu este tipo de gestão, com este nome, para fazer frente ao "bug do milênio".
No novo milênio, Disaster Recovery passou a ser também, equivocadamente, utilizado para tratar da recuperação do ambiente de tecnologia de informação das empresas, planos estes que disputavam os orçamentos com os Planos de Continuidade de Negócios. Este reaproveitamento da palavra desastre na área de tecnologia de informação foi decorrente de uma visão simplista do conceito de continuidade de negócios, uma vez que o ambiente de TI não pode ser tratado desassociado dos negócios, mas ainda assim este termo vingou neste meio.
Hoje temos os Planos de Contingência, Planos de Recuperação de Desastres, Planos de Continuidade de Negócio, Planos de Resposta Emergencial, dentre outros disputante um mesmo espaço. Conceitualmente, a estrutura de todos estes tipos de planos se baseiam na prevenção dos desastres, na resposta emergencial, e num plano de continuidade operacional. O nome e o peso de cada parte pode variar em função do seu ambiente, mas o conceito é o mesmo e caso ele seja bem estruturado, a nomenclatura é o que menos importa.
Todos estes planos ao serem construídos tem como premissa alguns pressupostos. Por exemplo, num plano empresarial pode ser considerado como pressuposto que haverá pessoal qualificado em quantidade suficiente para que os processos alternativos sejam executados. Outra premissa usual é que os dados vitais estarão íntegros e em condição de serem utilizados após o desastre (um banco, por exemplo, não tem como sobreviver caso perca seus dados sobre contas correntes e de investimentos). Os pressupostos precisam ser garantidos, e as empresas tem que fazer por onde para que eles possam ser factíveis e confiáveis.
Ao tratarmos de desastres ambientais alguns pressupostos também tem que ser assumidos. Um deles, por exemplo, pode ser o de que o sistema de alerta irá funcionar. Na estruturação dos procedimentos de resposta deste tipo de incidente devem estar contemplados os procedimentos de resposta emergencial, nas primeiras horas, e os procedimentos de mitigação compatíveis com o caso tratado. Em Mariana, pelas informações divulgadas na mídia, podemos considerar que não havia um plano de resposta compatível com o colapso de uma barragem. Os procedimentos de resposta, de contenção e mitigação dos impactos que pudemos conhecer foram ineficientes.
O desenvolvimento de planos de resposta a desastre é um trabalho que exige método, e constante aperfeiçoamento. Infelizmente, isto parece que não foi adotado pelos agentes envolvidos na ruptura da represa em Mariana. O resultado foi desastroso e os procedimentos de resposta que foram implementados parecem ser casuísticos, não planejados e não suportados pelos devidos e necessários recursos técnicos e humanos. Acrescente-se que o a exposição da população a este tipo de desastre também implica numa responsabilidade das autoridades. A Samarco foi incapaz de responder a este colapso, e o governo do Estado de Minas também foi incapaz de proteger a população exposta. A existência de vilarejos exatamente no caminho das águas ou rejeitos de uma represa por si só é inaceitável e demonstra a fragilidade dos procedimentos preventivos.
Pela nossa experiência de desenvolvimentos de trabalhos de gestão de risco e de gestão de resposta a desastres a Samarco não errou apenas na má gestão do incidente. Os erros começaram muito antes.
Temos muito trabalho a fazer para que desastres deste tipo tenham sua possibilidade de ocorrência e consequências diminuídas ao mínimo.
Temos muito trabalho a fazer para que desastres deste tipo tenham sua possibilidade de ocorrência e consequências diminuídas ao mínimo.
Assinar:
Postagens (Atom)