Diagnóstico organizacional como base para construção de programas de compliance

Em trabalho anterior publicado neste Portal Migalhas falamos a respeito do Plano de Continuidade de Negócios e da importância dessa ferramenta para a plena adequação das organizações à LGPD¹.

 A partir de agora, pretendemos iniciar uma série de artigos para tratar com maior profundidade alguns aspectos da norma ABNT NBR ISO 22.301:2020 (que aborda o sistema de gestão de continuidade de continuidade de negócios), dando prioridade àqueles requisitos constantes em outras normas técnicas relevantes não apenas para programas de Segurança da Informação (tais como: ABNT NBR ISO/IEC 27.001:2013, ABNT NBR ISO/IEC 27.002:2013 e ABNT NBR ISO/IEC 27.701:2019), mas também para o gerenciamento de riscos corporativos (ABNT NBR ISO 31.000: 2018) e programas de compliance (ISO 19.600:2014, ou a ABNT NBR ISO 37.001:2017, que trata de sistemas de gestão antissuborno).

A norma ABNT NBR ISO 22.301:2020 possui a seguinte estrutura: 1. Escopo; 2. Referências normativas; 3. Termos e definições; 4. Contexto da Organização; 5. Liderança; 6. Planejamento; 7. Suporte; 8. Operação; 9. Avaliação de desempenho; 10. Melhoria; sendo que os três primeiros tópicos (Escopo; Referências normativas; e Termos e definições) orientam a aplicação dos demais requisitos constantes na norma técnica.

Sendo assim, o primeiro tópico que abordaremos é o requisito de número quatro, "Contexto da Organização", subdividido em: 4.1 Entendimento da organização e de seu contexto; 4.2. Entendimento das necessidades e expectativas das partes interessadas; 4.3. Determinando o escopo do sistema de gestão de continuidade de negócios; 4.4. Sistema de gestão de continuidade de negócios².

Para o cumprimento do requisito 4.1, a norma orienta que deverá ser realizado um diagnóstico organizacional, avaliando-se os fatores internos e externos à organização que impactem (positiva ou negativamente) na continuidade da prestação de serviços, esclarecendo ainda que essa avaliação levará em conta os objetivos organizacionais, os produtos oferecidos e/ou os serviços prestados, bem como a quantidade e tipo de riscos que a organização está disposta a assumir (o que já revela a estreita ligação desta etapa da construção do PCN com a estruturação de programas de gerenciamento de riscos e compliance).

A análise SWOT, nesse cenário, apresenta-se como técnica extremamente útil para a condução do diagnóstico organizacional.

  Formulada como ferramenta para planejamento estratégico, a análise SWOT (acrônimo em inglês para strengths, weaknesses, opportunities e threats, ou forças, fraquezas, oportunidades e ameaças - daí a adaptação em português para "análise FOFA") representa visualmente os fatores relevantes para determinada organização, classificando-os como fatores internos e externos, e pontos fortes e fracos, da seguinte forma:

 

	Fatores internos	Fatores externos
Pontos fortes	Forças	Oportunidades
Pontos fracos	Fraquezas	Ameaças

 

Os pontos fortes da organização "se referem aos aspectos e/ou fatores positivos (internos) da empresa que atuam como facilitadores de sua capacidade para atender às suas finalidades"³, ao passo que os pontos fracos "se referem aos aspectos e/ou fatores negativos que atuam como inibidores da capacidade para atender às finalidades da empresa"⁴.

Quanto aos fatores externos, podemos definir oportunidades como "situações externas, atuais ou futuras que, se adequadamente aproveitadas pela empresa, podem influenciá-la positivamente"⁵, ao passo que as ameaças são "situações externas, atuais ou futuras que, se não eliminadas, minimizadas ou evitadas pela empresa, podem afetá-la negativamente"⁶.

De maneira exemplificativa, podemos citar como uma "fraqueza" a inexistência de controles internos adequados para o registro de jornada de empregados (gerando riscos trabalhistas), e como uma "ameaça" a existência de um projeto de lei que, se aprovado, trará obrigações e custos adicionais para a organização (como foi o caso da LGPD, por exemplo). Pensando-se especificamente em termos de continuidade de negócios, podemos citar como "ameaça" o surgimento de novos concorrentes ou a popularização de novas tecnologias, situações que poderão implicar diminuição do volume de negócios da organização, com impactos na geração de caixa, no cumprimento de suas obrigações e, em situação extrema, provocar o encerramento de suas atividades⁷.

Além de enumerar os fatores internos e externos que podem afetar a organização, a análise SWOT também permite que se definam estratégias para que os pontos fortes possam maximizar as oportunidades identificadas e mitigar as ameaças, bem como corrigir as fraquezas mapeadas para que não aumentem o grau de exposição a risco ou reduzam as chances de a organização aproveitar oportunidades vantajosas.

 É importante perceber, aqui, que ao falarmos de diagnóstico empresarial e análise SWOT acabamos por utilizar um léxico muito semelhante àquele utilizado no gerenciamento de riscos e na estruturação de programas de compliance. Isso se dá porque, conforme orienta, por exemplo, o Committee of Sponsoring Organization of the Treadway Comission - COSO, em seu framework COSO ERM 2017, o processo de gestão de riscos deve ser integrado ao planejamento estratégico das organizações⁸.

Dando prosseguimento aos requisitos da norma ABNT NBR ISO 22.301:2020, o item 4.2 estabelece que sejam identificadas as partes interessadas relevantes para o sistema de gestão de continuidade de negócios e os requisitos relevantes para esses stakeholders. Há, também, a necessidade de que a organização implemente um processo para mapeamento contínuo dos requisitos legais e regulatórios aplicáveis à organização, garantindo a plena observância à legislação.

Na sequência, o requisito 4.3 ("Determinando o escopo do sistema de gestão de continuidade de negócios") exige que se delimite o alcance do sistema de gestão de continuidade de negócios (quais áreas ou unidades de negócios, filiais etc, estarão incluídas no PCN, bem como quais produtos e serviços serão considerados essenciais para fins do plano), levando em consideração o diagnóstico empresarial (requisito 4.1), as necessidades e expectativas dos stakeholders (requisito 4.3), além da missão e objetivos organizacionais (definidos, também, no planejamento estratégico), bem como as obrigações a que a organização está sujeita (tanto internamente, com seus empregados, por exemplo; quanto externamente, com clientes e fornecedores).

Por fim, o requisito 4.4 determina que a organização deve não apenas implementar, mas garantir a melhoria contínua de seu sistema de gestão de continuidade de negócios (sugerindo a utilização do chamado "ciclo PDCA", que será trabalhado em oportunidade futura, quando abordarmos o tema de avaliação e monitoramento de programas de compliance).

Muito embora o assunto tratado neste artigo possa, à primeira vista, parecer estranho à realidade do operador do direito, fica claro que a utilização de ferramentas de planejamento estratégico, como a análise SWOT, fornece um auxílio muito rico para a estruturação de programas de segurança da informação e compliance, alinhados com a realidade do negócio e, assim, com maiores probabilidades de serem verdadeiramente efetivos.