Monitoramento Contínuo na Gestão de Incidentes

Dias de chuva e o início da temporada de frio inspiram o tema gestão de incidentes. A seguir uma evidência publicada pela ONG Rio - eu amo eu cuido mostrando o retorno à normalidade no Rio de Janeiro esta manhã.

Neste post estamos propondo que a gestão de incidentes seja tratada através  um modelo de gestão de riscos, e que seja chamada de gestão de eventos (considerando a definição da ISO 31000). 

A concentração urbana, os desastres naturais, as mudanças climáticas, as exigências regulatórias e o discurso de sustentabilidade colocaram o assunto gerenciamento de incidentes na pauta das empresas e dos governos. Mesmo sendo um tema que sempre aparece em destaque, a gestão de incidentes na maioria das vezes ainda é tratada de maneira mais intuitiva que metodológica, e mais individual que integrada.

Uma vez ocorrido um incidente é necessário dar pronta resposta, fazer avaliações precisas e tomar decisões corretas, daí surgem algumas perguntas:

• Como classificar a gravidade e o impacto do incidente? Existem critérios?
• O incidente pode aumentar sua severidade? Quando dar o incidente por encerrado? Quais os cenários?
• Que recursos humanos, financeiros e materiais são necessários para responder o incidente? 
• Como comparar dois incidentes diferentes? 
• Qual a causa do incidente?
• Como tratar com a seguradora? 
• O incidente virou uma crise? ...

A resposta a estas e outras perguntas devem estar no planejamento e nas ações preventivas. Um incidente faz parte de um contexto, e o processo de tratá-lo deve considerar a visão do todo.

Planejar a gestão de incidentes olhando o retrovisor é bom para emocionar o interlocutor. Os fatos e experiências do passado são ótimos para convencimento, para aprendizado continuo, para o desenho de ações preventivas e para a geração de estatísticas. Mas o planejamento de gestão de incidentes também exige olhar para frente. 

Tenho sugerido tratar incidentes como um evento classificado. A ISO 31000 define evento como “ocorrência ou mudança em um conjunto específico de circunstâncias”. Podemos considerar um incidente como uma ocorrência classificada, e uma crise como um incidente classificado. Alguns argumentos ajudam nesta linha: 

• Duas pessoas podem classificar e registrar incidentes através de parâmetros individuais, algo que é grave para um pode não ter severidade para outro. É necessário ter critério para avaliação;
• Tratar eventos permite a implementação de uma camada de critérios, assim: toda ocorrência ou mudança será registrada e classificada e, de acordo com os critérios será considerada um incidente ou crise; 
• Existem ocorrências de baixa severidade (não são incidentes) mas com grande frequência. Por exemplo, falta de luz por longo tempo é uma ocorrência grave com frequência baixa, por outro lado, o trânsito é uma ocorrência com gravidade média e com frequência muito alta;
• Uma ocorrência ou mudança simples pode iniciar uma cadeia que leve a um incidente. O baixo nível de combustível de um gerador é uma ocorrência de baixa severidade, mas se houver uma previsão de interrupção de energia elétrica, ele pode ter sua severidade aumentada;
• Além das ameaças, a gestão de eventos pode levar ao tratamento de oportunidades, a ISO 31000 considera o risco tanto positivo como negativo. Por exemplo, se uma tempestade fecha um aeroporto, gera risco negativo para a administração do aeroporto, os passageiros e as companhia aérea, mas ao mesmo tempo gera riscos positivo para a livraria, a lanchonete, o engraxate, os hotéis perto do aeroporto e outros.

Tratada como gestão de eventos, a gestão de incidentes tem na ISO 31000 uma grande aliada pois permite implementar um modelo completo, cíclico e que considera aspectos preventivos e corretivos. As principais atividades da ISO 31000 são: estabelecer o contexto; identificar os riscos e criar o inventário; analisar e avaliar os riscos; tratar os riscos; monitorar, comunicar e evoluir continuamente. 

A proposta neste post é o uso da ISO 31000 para implementar modelos de gestão de incidentes, mas não de transformar a gestão de incidentes em gestão de riscos, se bem que um está contido no outro. Temos usado o framework da ISO 31000 para projetos que não necessariamente sejam de riscos, ela é um caminho legitimo pois além de ser um framework maduro, a norma é um consenso mundial e integrada à legislação brasileira e de outros países.

Dentro deste modelo, a experiência mostra alguns elementos que precisam ser destacados: 

• Um bom inventário é essencial na gestão de incidentes. Possuir informações sobre os ativos envolvidos no incidentes e dos recursos que podem ajudar na solução ajudam na pronta resposta e na ação imediata. O inventário considera a relação dos ativos com sua localização geográfica, os recursos materiais existentes, o telefone das pessoas e fornecedores importantes e várias outras informações;
• Um processo de triagem de informações é fundamental para garantir a qualidade do processo. A triagem é realizada de duas formas: automática através de regras aplicadas ao registro de eventos e incidentes, e manual, através de pessoas que estão analisando as informações e atualizando os parâmetros através de critérios. Imagine uma cidade onde existem milhares de ocorrências por dia e os dirigentes precisem acompanhar as principais demandas. Uma triagem bem implementada garante informações certas às autoridades e decisões melhor embasadas;
• O modelo de triagem deve ser embalado por critérios de classificação. Devem haver critérios para definir os níveis de urgência, severidade, gravidade, relevância, probabilidade e outras variáveis. O critério deve tornar os julgamentos mais objetivos e devem ter os seus parâmetros revistos periodicamente;
• Implementamos normalmente o conceito de painel de controle e tratamos como painel de controle qualquer informação distribuída de forma organizada, desde um gráfico projetado em um centro de operações, até uma mensagem de alerta por SMS. Deve haver um entendimento único do conceito de painel de controle e alguns produtos que tornem eficazes a comunicação e o monitoramento, eu gosto muito do Top 10, no qual cada um sabe os 10 principais eventos que deve tratar;
• É importante haver um critério de decisão que aumente a eficiência da tomada de decisão. Uma decisão será tão boa quanto à qualidade da informação. Se sua gestao de eventos possui dois mil registros, não adianta mandar todos para o decisor, chamo isso de "bola quadrada". A informação para decisão deve ser organizada, correta, parametrizada e hierarquizada;
• O uso de equipamentos móveis aumenta significativamente a produtividade nos dois extremos da pirâmide: são excelentes para recolher informações tanto preventivas quanto durante a ocorrência, além de servirem como instrumento de apoio à decisão. Temos tido ótimas experiências de implementar gestão de riscos em situações nas quais os gestores recebem informações e tomam decisão através de um tablet.

Há muito o que falar sobre o tema, nosso blog está à disposição para evoluir a discussão.

Demos aqui a visão da gestão do ponto de vista dos objetivos de uma organização, o assunto pode ser aprofundado através da norma ISO 22320 - Societal security -- Emergency management -- Requirements for incident response que trata de gestão de emergências, pela ABNT 15999 - Gestão de Continuidade de Negócios (BS 25999) e pela ISO/IEC Guide 51 “Safety Aspects – Guidelines for their inclusion in standards”, norma de 1999, que está sendo revisada e deve ter nova versão publicada em breve.

Aquele abraço,

FNery