O aumento sem precedentes na necessidade de seguridade social durante a crise do COVID-19 sobrecarregou os canais de prestação de serviços das instituições, tanto físicos quanto online. Este artigo trata da importância da Gestão de Continuidade de Negócios à luz da pandemia, com base nas boas práticas das instituições de previdência social na Ásia e no Pacífico.
Embora surtos e restrições associados à pandemia sejam uma forma de risco, as operações de previdência social podem ser interrompidas por uma série de outras ameaças, incluindo desastres naturais, eventos políticos e crises internacionais. Além disso, o papel cada vez maior das tecnologias de informação e comunicação (TICs) na administração de seguridade social deixa as organizações vulneráveis a novas ameaças, como falhas de tecnologia, perda de dados e ataques cibernéticos.ISSA, 2022a). A Gestão de Continuidade de Negócios (BCM) permite às instituições previdenciárias antecipar, preparar e mitigar os impactos desses riscos. o Instituto BCM define BCM um processo de gerenciamento holístico que identifica ameaças potenciais, impactos de ameaças e para o desenvolvimento de planos de resposta. Essas estruturas permitem que as organizações criem resiliência que protege efetivamente os interesses das partes interessadas. A gestão prudente exige que as instituições desenvolvam um Plano de Continuidade de Negócios (BCP) para manter os serviços durante essas situações, protegendo os ativos organizacionais.
O desenvolvimento de um BCP geralmente segue uma abordagem passo a passo (Figura 1). O processo começa com uma abrangente Análise de Processos de Negócios (BPA), que mapeia os fluxos de trabalho, atividades, pessoal, sistemas, recursos, controles, dados e instalações necessários para a execução das funções de negócios. O BPA é seguido por uma Análise de Impacto Empresarial (BIA), a fim de identificar quais funções são críticas para as operações da organização. A informação recolhida através do BPA e do BIA é então utilizada para conceber as técnicas de mitigação de risco a serem cobertas no BCP. O BCP é testado e atualizado antes que os funcionários sejam treinados. O BCP requer testes regulares, atualização e retreinamento.
Dada a importância do BCM para a administração da previdência social, a International Social Security Association (ISSA) desenvolveu uma série de recursos para apoiar as instituições membros a fortalecer sua resiliência e manter a continuidade dos negócios. Em particular, o próximo Diretrizes da ISSA sobre Continuidade e Resiliência em Serviços e Sistemas de Previdência Social (ISSA, 2022c), e o Diretrizes da ISSA sobre boa governança traçar estratégias para a gestão de riscos tanto do ponto de vista empresarial (Diretrizes 32–34) quanto das TIC (Diretriz 69) (ISSA, 2019a). Além disso, a Parte G do Diretrizes da ISSA sobre Qualidade de Serviço (ISSA, 2019c) estabelece princípios de melhoria contínua, e a Parte F destaca a importância de desenvolver uma cultura de serviço. Por último, mas não menos importante, a Diretriz 12 do Diretrizes ISSA sobre Tecnologias de Informação e Comunicação (ISSA, 2019b) e uma nova publicação sobre resiliência operacional digital (ISSA, 2022a) ampliam os aspectos relacionados às TIC da continuidade dos negócios, dado que a resiliência operacional geral depende cada vez mais da robustez dos serviços de TIC.
Experiências de gestão de continuidade de negócios da Ásia e do Pacífico
Um número crescente de instituições de previdência social na Ásia e no Pacífico reconhecem a importância do BCM para uma administração de previdência social eficaz. Exemplos de boas práticas da região foram apresentados durante a Fórum Virtual de Previdência Social para a Ásia e o Pacífico e a 16th ISSA Conferência Internacional sobre Tecnologia da Informação e Comunicação na Segurança Social (TIC 2022), webinars e outras atividades da ISSA. Este artigo resume as experiências das instituições membros, as lições aprendidas e os desafios para colocar a GCN em prática a partir de duas perspectivas. Primeiro, examina as abordagens para operacionalizar o BCM e como diferentes organizações enfrentaram alguns desafios específicos. Em segundo lugar, examina alguns dos resultados que um BCM operacional trouxe para as organizações durante a pandemia.
Estabelecimento de gerenciamento de continuidade de negócios
Diferentes instituições membros da ISSA demonstraram a eficácia de ter implementado a Gestão de Continuidade de Negócios. Embora possa haver diferentes estágios de desenvolvimento, as experiências mostradas abaixo fornecem evidências sólidas do valor de implementar GCNs, independentemente do estágio de desenvolvimento.
Fundo de Pensões dos Funcionários Públicos, Omã
O Fundo de Pensões dos Funcionários do Serviço Público (CSEPF) de Omã criou um site de Continuidade de Negócios (BC) e Recuperação de Desastres (DR) para proteger as funções de negócios de desastres naturais, riscos externos e falhas críticas de tecnologia (CSEPF, 2015). Para tanto, o CSEPF considerou uma série de fatores como localização, infraestrutura do data center, infraestrutura de comunicação, espaço de trabalho e acessibilidade, e o uso de máquinas virtuais para garantir a disponibilidade dos dados. Os principais objetivos eram minimizar a indisponibilidade do serviço e a perda de dados. Na prática, isso envolveu o monitoramento do plano em relação a dois benchmarks: (i) o Objetivo de Tempo de Recuperação (RTO), ou o tempo de espera necessário para colocar o sistema ou processo em funcionamento, que foi definido como um dia, e (ii) o Objetivo do Ponto de Recuperação (RPO), ou quantos dados o CSEPF estava potencialmente preparado para perder no pior caso medido em termos de tempo, que foi definido para uma hora. O CSEPF realiza testes anuais para garantir a robustez dos planos de continuidade de negócios . Esses testes são projetados para serem realistas, pois os sites primários são desconectados. Os objetivos do teste são validar o RPO e o RTO; identificar falhas e agilizar o plano de continuidade de negócios e treinar a equipe.
Autoridade Pública para o Seguro Social, Omã
O Sistema de Gestão de Continuidade de Negócios (BCMS) criado pela Autoridade Pública para o Seguro Social (PASI) em Omã identificou ameaças potenciais e definiu protocolos para minimizar impactos sobre ativos, pessoas e operações (PASI, 2015, 2021). A PASI primeiro empreendeu uma abrangente Análise de Impacto nos Negócios, ou seja, “identificando as funções críticas de negócios (CBFs) da organização e analisando o potencial impacto disruptivo para os negócios” (Go, 2021). Essa análise informou benchmarks para o objetivo de tempo de recuperação e a interrupção máxima aceitável. Os riscos identificados são abordados usando uma abordagem 4Ts, ou seja, Tolerar, Terminar, Tratar ou Transferir, de acordo com a Diretriz 7 sobre Gestão de Riscos do Diretrizes da ISSA sobre boa governança. Os principais componentes do BCMS incluíam: (i) um plano de contingência para evitar perdas de dados, (ii) um site de recuperação de desastres, (iii) um site de continuidade de negócios, (iv) um manual de gestão do sistema de saúde e segurança ocupacional, (v) uma política de trabalho remoto, (vi) ativação de comunicações digitais, (vii) um registro de riscos de acidentes e incidentes, (viii) um sistema de inspeção inteligente para evitar os riscos de inspeção de campo e (ix) exercícios periódicos de recuperação de desastres e continuidade de negócios locais. Este BCMS provou ser valioso na manutenção dos serviços de rotina durante a pandemia de COVID-19.
Organização Geral do Seguro Social (antiga Agência de Previdência Pública), Arábia Saudita
Ao operacionalizar seu BCM, a Agência de Previdência Pública (PPA), hoje parte da Organização Geral do Seguro Social (GOSI), da Arábia Saudita realizou pela primeira vez uma análise de impacto nos negócios (APP, 2020). Em seguida, desenvolveu um programa de continuidade de negócios por meio da preparação de uma estratégia, política, planos e acordos para toda a empresa que lhe permitiriam lidar efetivamente com várias crises e desastres. Para implementar o programa com eficiência, um centro de recuperação de desastres foi estabelecido em 2013 como um centro de backup de dados. Campanhas de conscientização foram realizadas anualmente para os colaboradores do PPA e suas controladas, incluindo workshops, e-mails de conscientização e questionários. Um centro alternativo também foi estabelecido fora da capital Riad, e o plano de continuidade de negócios foi testado com sucesso.
Gerenciando a continuidade dos negócios durante a pandemia
Pesquisas sobre operações governamentais mais amplas, principalmente focadas em países de alta renda, constatam que a maioria das agências não incluía uma pandemia como fator de risco em seus BCPs antes da crise do COVID-19. Os BCPs estavam focados em proteger as operações contra falhas do sistema e perdas de dados, com foco limitado em questões pessoais e não relacionadas ao sistema. Além disso, os BCPs existentes eram voltados para interrupções de serviço de curto prazo, em vez de interrupções prolongadas (Balibek, Storkey e Yavuz, 2021). Portanto, a maioria das organizações governamentais foi forçada a revisar seus BCPs durante a pandemia, e as instituições de previdência social não foram diferentes.
Gabinete de Administração de Pensões das Maldivas
O Escritório de Administração de Pensões das Maldivas (MPAO) transformou sua infraestrutura de TIC para criar resiliência e continuidade de negócios em suas operações (MPAO, 2022). Os sistemas legados da MPAO dependiam de infraestrutura de TI interna, backups manuais de dados, dados em computadores desktop, gerenciamento manual de chamadas, comunicação e colaboração interna baseada em e-mail e documentação física. Como resultado, era difícil acessar os dados e continuar as operações durante emergências. Para resolver isso, a MPAO começou a migrar sua infraestrutura para a nuvem em 2016. Além disso, também identificou serviços para aprimorar a colaboração interna. Alguns dos aplicativos usados incluem Cloudrun, Pub Sub, Cloud SQL, BigQuery, Bucket, Google Workspace, Workplace by Facebook, Amazon Web Services Short Messing Service e Cloudflare. Todos os serviços são apoiados por backups automatizados e testados e processos de recuperação de desastres. Essa transformação digital mais ampla foi fundamental para proteger os serviços da MPAO da pandemia.
Organização Geral para o Seguro Social, Arábia Saudita
Na Arábia Saudita, o GOSI iniciou serviços de trabalho remoto e automatizados para permanecer resiliente durante a pandemia (SHOW, 2020). Essa agenda ambiciosa não apenas teve que lidar com os riscos de segurança e privacidade, mas também fornecer a infraestrutura de TIC necessária (por exemplo, laptops, sistemas, suporte de TI) em meio à escassez do mercado global desencadeada pelo aumento da demanda.
GOSI seguiu o Diretrizes da AISS sobre Tecnologias da Informação e Comunicação, Diretriz 12 sobre gerenciamento de continuidade de serviços de TIC, para garantir que todos os serviços críticos estejam disponíveis para os clientes e que a disponibilidade de informações seja mantida em níveis aceitáveis. O GOSI estabeleceu um comitê de resposta ao COVID-19 que se reunia semanalmente para resolver problemas e manter a continuidade dos negócios. Transitou vários serviços online e criou uma nova agência para quem procurava atendimento presencial por meio de agendamento prévio. Forneceu laptops para todos os funcionários que executavam funções críticas. Garantir a continuidade dos negócios exigia integração e coordenação com várias partes externas, como TI, seguro-desemprego, troca de dados e saúde. Ao longo desse processo, o registro de riscos de continuidade de negócios e segurança da informação foi atualizado e monitorado.
Abu Dhabi Pension Fund, Emirados Árabes Unidos
Para minimizar as interrupções no início da crise do COVID-19, o Fundo de Pensão de Abu Dhabi (ADPF) iniciou um modelo híbrido de trabalho que combinava de forma flexível arranjos no local e remotos (ADPF, 2021). Embora a ADPF tenha alguma experiência em trabalho remoto desde 2018, a pandemia exigiu uma rápida ampliação em toda a organização desses recursos, levando em consideração a privacidade de dados, monitoramento e considerações de colaboração. Em 2015, a ADPF introduziu um serviço denominado TAWASOL que permitia aos utilizadores empresariais aceder remotamente às soluções da ADPF e prestar serviços aos clientes. Em 2018, a ADPF introduziu um desktop inteligente seguro que permite aos usuários empresariais acessar o serviço ADPF fora de suas instalações.
No início da pandemia, a ADPF revisitou sua análise de impacto operacional para identificar serviços críticos e priorizar serviços não críticos para maximizar os recursos operacionais limitados disponíveis. Todas as divisões foram solicitadas a planejar sua disponibilidade dentro e fora das instalações da organização. A ADPF ampliou sua infraestrutura com soluções de continuidade de negócios e automação de gerenciamento de crises, incluindo soluções para gerenciamento de emergências e notificações em massa. Também manteve a disponibilidade de ativos cibernéticos em caso de interrupções de pessoal. A ADPF adotou um software especializado que ajudou a desdobrar os objetivos estratégicos em planos operacionais, equipando os gerentes com a capacidade de monitorar o progresso de toda a organização. A infraestrutura de acesso remoto pré-existente e a experiência de trabalho remoto foram fundamentais na manutenção dos serviços. O sucesso do BCM é evidente a partir dos inquéritos ao pessoal: 100 por cento dos funcionários concordaram que a ADPF fornece infraestrutura técnica para apoiar o trabalho remoto sem problemas, dos quais 95 por cento sentiram que a qualidade do trabalho em regime de teletrabalho estava a par do trabalho no local trabalhar.
Resultados
A Tabela 1 resume como as instituições de seguridade social se beneficiaram com o estabelecimento de um BCM. Também mostra as instituições indicando que aplicaram a gestão de continuidade de negócios durante um choque, especialmente durante a pandemia de COVID-19.
| Instituição | Resultados obtidos | Indicado que BCM foi aplicado durante um choque |
|---|---|---|
| CSEPF, Omã |
|
Não |
| PASSAPORTE, Próprio |
|
Sim |
| PPA / GOSI, Arábia Saudita |
|
Sim |
| MPAO, Maldivas |
|
Sim |
| SHOW, Arábia Saudita |
|
Sim |
| ADPF, Emirados Árabes Unidos |
|
Não |
Fatores críticos de sucesso
A experiência das instituições membros revela vários fatores-chave que são essenciais para uma gestão de continuidade de negócios robusta e confiável.
Um plano abrangente de continuidade de negócios é o ponto de partida para um gerenciamento eficaz de continuidade de negócios. O sucesso do CSEPF em Omã decorre de um plano com informações importantes sobre tarefas críticas, protocolos operacionais padrão em caso de imprevistos, informações sobre backup de dados e sites e protocolos padrão de recuperação. É igualmente importante que o BCP seja desenvolvido iterativamente ao longo do tempo e seja atualizado após um evento de desastre específico. De fato, o BCP e a estratégia geral de BCM no CSEPF continuaram a evoluir desde sua introdução em 2012.
Planejar e administrar o BCP requer uma estrutura organizacional forte. O pessoal adequado é fundamental para alcançar os resultados do BCP. Por exemplo, o PASI em Omã implementou uma estrutura de vários níveis com funções e responsabilidades claramente definidas. À frente do BC e do comitê de direção de crise que tomava decisões estratégicas. Ao nível operacional, foi criada uma equipa funcional e uma equipa de TI. As atividades dessas equipes eram coordenadas por um coordenador.
Testes realistas do BCP ao gerenciar riscos para o funcionamento de rotina são importantes. Todas as instituições membros destacaram a necessidade de testar regularmente o BCP para detectar quaisquer pontos fracos. O CSEPF em Omã alertou que testes realistas exigem deliberadamente causar falhas primárias no sistema e, portanto, as agências precisam se preparar para interrupções nos sistemas em execução durante os testes.
A conscientização e o treinamento contínuos dos funcionários são fundamentais para a operacionalização do plano de continuidade de negócios. O PASI em Omã enfatizou a importância da gestão de continuidade de negócios e respectivas funções para todos os funcionários. O PPA na Arábia Saudita organizou mais de 30 workshops para fomentar uma cultura de BCM. A experiência do Órgão de Administração da Segurança Social Nacional para o Emprego (BPJS Ketenagakerjaan) na Indonésia reitera a importância da formação: As principais preocupações da agência de julgamento de BCM em 26 filiais e 10 escritórios regionais foram a falta de compreensão das funções de cada pessoal e responsabilidades e documentos BCP desatualizados incompletos (Emprego BPJS, 2020).
Uma estratégia digital é fundamental para um BCM eficaz, reforçado pela crise do COVID-19. A ADPF em Abu Dhabi constatou que a colaboração interna eficaz durante a pandemia não teria sido possível sem investimentos em soluções digitais para comunicação e gestão de desempenho. Da mesma forma, ter uma infraestrutura de nuvem gerenciada adequadamente foi fundamental para manter os serviços da MPAO nas Maldivas. Essas experiências foram reiteradas por instituições de segurança social do Sudeste Asiático durante um webinar da ISSA. Na Malásia, a Organização da Previdência Social (PERKESO) identificou a não digitalização de arquivos e infraestrutura limitada como principais limitações para operacionalizar o BCP durante a pandemia (Organização da Previdência Social, 2020).
Conclusão
Em resumo, uma GCN abrangente é crucial para a construção de operações de previdência social resilientes. Embora o BCP de cada instituição seja único, vários aspectos comuns surgem na análise de BCPs eficazes, que por sua vez sustentam o BCM bem-sucedido. Primeiro, eles devem contemplar toda a extensão dos processos de negócios de front e back-office de uma instituição, bem como recursos humanos e de TIC. Ao fazer uma Análise de Impacto nos Negócios, as organizações devem identificar dependências externas e incluí-las como parte de sua avaliação de risco. Em segundo lugar, é indispensável um treinamento adequado tanto no nível corporativo quanto nas filiais das organizações. Terceiro, um BCP não é uma intervenção pontual. De fato, muitas instituições começam com planos de recuperação de desastres “simples” focados em tecnologia antes de passar para BCMs em grande escala. Em quarto lugar, o sistema de BCM precisará ser continuamente revisado e atualizado, não apenas para refletir as lições aprendidas após o desastre, mas também para incorporar processos de negócios em evolução e mecanismos de prestação de serviços. Quinto, testes regulares são cruciais – embora os testes possam simular diferentes níveis de falha, uma simulação completa deve ser feita em intervalos definidos para testes e garantias abrangentes. Por fim, os BCPs não devem se limitar apenas a interrupções de curto prazo, como demonstrado pela pandemia, o planejamento para eventos prolongados é essencial.
A pandemia colocou à prova os BCMs da organização, tendo como principais resultados i) transição suave para o ambiente de trabalho remoto; ii) serviços essenciais e canais de entrega restaurados dentro dos prazos previstos, e iii) as organizações foram capazes de acompanhar o aumento da demanda de serviços com satisfação adequada do cliente. Uma estratégia explícita para a resiliência operacional digital é fundamental, dada a ligação inextricável entre as TIC e os serviços operacionais (ISSA, 2022a), como demonstrado por experiências durante a pandemia.
As instituições membros da ISSA já se engajaram em melhorar cada vez mais sua capacidade, abordando as diferentes questões envolvidas no estabelecimento de um GCN completo. Apoiando os membros, a ISSA oferece novos Diretrizes sobre Continuidade e Resiliência em Serviços e Sistemas de Previdência Social (ISSA, 2022b), que pode ser aplicado a instituições em diferentes estágios de desenvolvimento em sua jornada em direção a instituições previdenciárias mais resilientes, garantindo qualidade de serviço, entrega e resposta adequada em caso de eventuais choques sistêmicos.
Referência
Abu Dhabi Pension Fund. 2021. Working remotely: How digital enablement allowed Abu Dhabi Pension Fund to survive as well as thrive through the pandemic (Good practices in social security). Geneva, International Social Security Association.
Balibek, E.; Storkey, I.; Yavuz, H. 2021. Business continuity planning for government cash and debt management. Washington, DC, International Monetary Fund.
BPJS Ketenagakerjaan. 2020. Aggressive growth for sustainable protection. Jakarta, National Social Security Administering Body for Employment.
Civil Service Employees Pension Fund. 2015. Creating business continuity and disaster recovery site (Good practices in social security). Geneva, International Social Security Association.
General Organization for Social Insurance. 2020. Business continuity in the context of the COVID-19 pandemic (Good practices in social security). Geneva, International Social Security Association.
Goh, M. H. 2021. What is business impact analysis? Singapore, BCM Institute.
ISSA. 2019a. ISSA Guidelines on good governance (Revised and extended edition). Geneva, International Social Security Association.
ISSA. 2019b. ISSA Guidelines on information and communication technology (Revised and extended edition). Geneva, International Social Security Association.
ISSA. 2019c. ISSA Guidelines on service quality (Revised edition). Geneva, International Social Security Association.
ISSA. 2022a. Digital operational resilience: Strategies and approaches to protect social security data and operations. Geneva, International Social Security Association.
ISSA. 2022b. ISSA Guidelines on continuity and resilience in social security services and systems (forthcoming). Geneva, International Social Security Association.
ISSA. 2022c. ICT response to Covid-19: Leveraging accelerated digital transformation to build better and more resilient social protection systems (ISSA Technical Commission on Information and Communication Technology, Summary report 2020–2022, forthcoming). Geneva, International Social Security Association.
Maldives Pension Administration Office. 2022. Building resilience and business continuity plans in social security institutions (Presentation at ICT 2022). Tallinn, Estonia.
Public Authority for Social Insurance. 2015. Business Continuity Management System (Good practices in social security). Geneva, International Social Security Association.
Public Authority for Social Insurance. 2021. Implementation of business continuity management system (Good practices in social security). Geneva, International Social Security Association.
Public Pension Agency. 2020. Implementation of business continuity plan at the Public Pension Agency (Good practices in social security). Geneva, International Social Security Association.
Social Security Organisation. 2020. Beyond the first wave of COVID-19: Lessons and challenges from SOCSO Malaysia (Presentation in ISSA webinar). Geneva, International Social Security Association.