Dias de chuva e o início da temporada de frio inspiram o tema gestão de incidentes. A seguir uma evidência publicada pela ONG Rio - eu amo eu cuido mostrando o retorno à normalidade no Rio de Janeiro esta manhã.
Neste post estamos propondo que a gestão de incidentes seja tratada através um modelo de gestão de riscos, e que seja chamada de gestão de eventos (considerando a definição da ISO 31000).
A concentração urbana, os desastres naturais, as mudanças
climáticas, as exigências regulatórias e o discurso de sustentabilidade
colocaram o assunto gerenciamento de incidentes na pauta das empresas e dos
governos. Mesmo sendo um tema que sempre aparece em destaque, a gestão de
incidentes na maioria das vezes ainda é tratada de maneira mais intuitiva que
metodológica, e mais individual que integrada.
Uma vez ocorrido um incidente é necessário dar pronta
resposta, fazer avaliações precisas e tomar decisões corretas, daí surgem
algumas perguntas:
- Como classificar a
gravidade e o impacto do incidente? Existem critérios?
- O incidente pode
aumentar sua severidade? Quando dar o incidente por encerrado? Quais os cenários?
- Que recursos humanos, financeiros e materiais são
necessários para responder o incidente?
- Como comparar dois
incidentes diferentes?
- Qual a causa do
incidente?
- Como tratar com a
seguradora?
- O incidente virou uma
crise? ...
A resposta a estas e outras perguntas devem estar no planejamento
e nas ações preventivas. Um incidente faz
parte de um contexto, e o processo de tratá-lo deve considerar a visão do todo.
Planejar a gestão de incidentes olhando o retrovisor é bom
para emocionar o interlocutor. Os fatos e experiências do passado são ótimos
para convencimento, para aprendizado continuo, para o desenho de ações
preventivas e para a geração de estatísticas. Mas o planejamento de gestão de
incidentes também exige olhar para frente.
Tenho sugerido tratar incidentes como um evento classificado. A ISO 31000 define evento como “ocorrência ou mudança em um conjunto específico de circunstâncias”.
Podemos considerar um incidente como uma ocorrência classificada, e uma crise como um
incidente classificado. Alguns argumentos ajudam nesta linha:
- Duas pessoas podem
classificar e registrar incidentes através de parâmetros individuais, algo
que é grave para um pode não ter severidade para outro. É necessário ter
critério para avaliação;
- Tratar eventos permite a
implementação de uma camada de critérios, assim: toda ocorrência ou
mudança será registrada e classificada e, de acordo com os critérios será considerada um incidente ou crise;
- Existem ocorrências de baixa
severidade (não são incidentes) mas com grande frequência. Por exemplo,
falta de luz por longo tempo é uma ocorrência grave com frequência baixa,
por outro lado, o trânsito é uma ocorrência com gravidade média e com
frequência muito alta;
- Uma ocorrência ou mudança simples
pode iniciar uma cadeia que leve a um incidente. O baixo nível de combustível de um gerador é
uma ocorrência de baixa severidade, mas se houver uma previsão de
interrupção de energia elétrica, ele pode ter sua severidade aumentada;
- Além das ameaças, a
gestão de eventos pode levar ao tratamento de oportunidades, a ISO 31000
considera o risco tanto positivo como negativo. Por exemplo, se uma
tempestade fecha um aeroporto, gera risco negativo para a administração do
aeroporto, os passageiros e as companhia aérea, mas ao mesmo tempo gera
riscos positivo para a livraria, a lanchonete, o engraxate, os hotéis
perto do aeroporto e outros.
Tratada como gestão de eventos, a gestão de incidentes tem
na ISO 31000 uma grande aliada pois permite implementar um modelo completo,
cíclico e que considera aspectos preventivos e corretivos. As principais atividades da ISO
31000 são: estabelecer o contexto; identificar os riscos e criar o
inventário; analisar e avaliar os riscos; tratar os
riscos; monitorar, comunicar e evoluir continuamente.
A proposta neste post é o uso da ISO 31000 para
implementar modelos de gestão de incidentes, mas não de transformar a gestão de
incidentes em gestão de riscos, se bem que um está contido no outro. Temos
usado o framework da ISO 31000 para projetos que não necessariamente sejam de
riscos, ela é um caminho legitimo pois além de ser um framework maduro, a norma é um consenso mundial e
integrada à legislação brasileira e de outros países.
Dentro deste modelo, a experiência mostra alguns elementos que
precisam ser destacados:
- Um bom inventário é
essencial na gestão de incidentes. Possuir informações sobre os ativos
envolvidos no incidentes e dos recursos que podem ajudar na solução ajudam
na pronta resposta e na ação imediata. O inventário considera a relação dos ativos com sua localização geográfica, os recursos materiais existentes, o telefone das pessoas e fornecedores importantes e várias outras informações;
- Um processo de triagem
de informações é fundamental para garantir a qualidade do processo. A
triagem é realizada de duas formas: automática através de regras aplicadas
ao registro de eventos e incidentes, e manual, através de pessoas que
estão analisando as informações e atualizando os parâmetros através de
critérios. Imagine uma cidade onde existem milhares de ocorrências por dia
e os dirigentes precisem acompanhar as principais demandas. Uma triagem
bem implementada garante informações certas às autoridades e decisões
melhor embasadas;
- O modelo de triagem deve
ser embalado por critérios de classificação. Devem haver critérios para definir os níveis
de urgência, severidade, gravidade, relevância, probabilidade e outras
variáveis. O critério deve tornar os julgamentos mais objetivos e devem
ter os seus parâmetros revistos periodicamente;
- Implementamos
normalmente o conceito de painel de controle e tratamos como painel de
controle qualquer informação distribuída de forma organizada, desde um
gráfico projetado em um centro de operações, até uma mensagem de alerta
por SMS. Deve haver um entendimento único do conceito de painel de
controle e alguns produtos que tornem eficazes a comunicação e o
monitoramento, eu gosto muito do Top 10, no qual cada um sabe os 10
principais eventos que deve tratar;
- É importante
haver um critério de decisão que aumente a eficiência da tomada de
decisão. Uma decisão será tão boa quanto à qualidade da informação. Se sua
gestao de eventos possui dois mil registros, não adianta mandar todos para o decisor, chamo isso de "bola quadrada". A informação
para decisão deve ser organizada, correta, parametrizada e hierarquizada;
- O uso de equipamentos móveis aumenta significativamente a produtividade nos dois extremos da pirâmide: são excelentes para recolher informações tanto preventivas quanto durante a ocorrência, além de servirem como instrumento de apoio à decisão. Temos tido ótimas experiências de implementar gestão de riscos em situações nas quais os gestores recebem informações e tomam decisão através de um tablet.
Há muito o que falar sobre o tema, nosso blog está à disposição para evoluir a discussão.
Demos aqui a visão da gestão do ponto de vista dos objetivos de uma organização, o assunto pode ser aprofundado através da norma ISO 22320 - Societal security -- Emergency management -- Requirements for incident response que trata de gestão de emergências, pela ABNT 15999 - Gestão de Continuidade de Negócios (BS 25999) e pela ISO/IEC Guide 51 “Safety Aspects – Guidelines for their inclusion in standards”, norma de 1999, que está sendo revisada e deve ter nova versão publicada em breve.
Aquele abraço,
FNery
Olá Fernando, você tem o talento nato de reinventar a roda, ou melhor, seria de ajudá-la a girar ainda melhor. Parabéns pelo trabalho, você é um grande inovador, mestre de muitos! Abraços Vlad.
ResponderExcluir