facilita.etcBlogISO 22301: o plano B que ninguém testou

Compliance

ISO 22301: o plano B que ninguém testou

Klaus Fuchs · 30 abr 2026 · 8 min de leitura

Pergunta básica em qualquer auditoria séria: "Vocês têm plano de continuidade de negócio?".

A resposta padrão é "sim, temos". A pergunta seguinte separa empresa madura de empresa com teatro:

"Quando foi a última vez que vocês testaram?".

Em 70%+ das organizações que faço esse exercício, a resposta é "nunca testamos" - ou "testamos lá em 2020 quando começou a pandemia". Plano que não foi testado é hipótese. E hipótese não te salva quando o evento acontece.

ISO 22301 é a norma global pra Sistema de Gestão de Continuidade de Negócio (BCMS). Diferente de outras ISOs, ela tem foco quase exclusivo em uma coisa: garantir que sua organização sobreviva quando processo crítico parar.

Os 3 documentos que toda empresa séria tem

BCMS bem implementado articula 3 documentos vivos que dialogam entre si:

1. BIA - Business Impact Analysis

É o ponto de partida. Pergunta-chave: "se esse processo parar, qual o impacto e em quanto tempo?".

Saída do BIA:

  • Lista de processos críticos - aqueles que, parados, causam dano relevante
  • RTO (Recovery Time Objective) - tempo máximo aceitável de inatividade
  • RPO (Recovery Point Objective) - perda máxima aceitável de dados
  • Dependências - quais processos dependem deste, e dos quais ele depende

BIA bem feita revela coisas que ninguém tinha mapeado: às vezes o "processo crítico" depende de uma pessoa, um sistema antigo, ou um fornecedor único - todos pontos de fragilidade não percebidos.

2. BCP - Business Continuity Plan

Plano operacional. Quando processo crítico parar, BCP responde:

  • Quem é acionado primeiro?
  • Como a comunicação interna funciona em emergência?
  • Como cliente é informado?
  • Qual a ordem de retomada das atividades?
  • Quem decide quando "voltamos ao normal"?

BCP é organizacional - foco em pessoas, papéis, decisão. Não trata de tecnologia ainda - isso é o DRP.

3. DRP - Disaster Recovery Plan

Plano técnico. Pra cada sistema crítico, descreve:

  • Como restaurar a partir do backup
  • Onde estão os ativos de recuperação (servidor secundário, datacenter alternativo, cloud)
  • Procedimento técnico passo a passo
  • Tempo estimado de recuperação - que precisa caber dentro do RTO definido no BIA

BIA + BCP + DRP formam um sistema. Falta um, sistema não funciona.

Por que tantas empresas têm BCP morto

3 padrões clássicos:

Padrão 1: Foi feito uma vez, ficou na pasta

Empresa contratou consultoria, gastou R$ 80k, recebeu PDF de 200 páginas, arquivou. Em 2 anos, nada foi atualizado. Mudou ERP - BCP não reflete. Trocou data center - DRP aponta pra IP que não existe mais. Ninguém sabe.

Padrão 2: Existe mas ninguém testou

Plano completo, bem escrito. Mas se o evento acontecer hoje, equipe não vai saber executar - porque nunca treinaram. Plano não testado é trabalho perdido.

Padrão 3: Existe pra TI, não pra negócio

TI tem DRP excelente. Negócio (vendas, atendimento, financeiro) não tem BCP. Quando evento acontece, TI restaura sistemas em 4h, mas equipe não sabe como atender cliente sem o processo normal - e o dano operacional é tão grande quanto seria sem TI.

O que ISO 22301 muda

A norma exige que os 3 documentos sejam:

  • Vivos - revisados quando há mudança organizacional relevante (mudança de sistema, fusão, abertura de unidade)
  • Testados - cronograma anual de testes documentado e executado
  • Auditáveis - histórico versionado de planos, testes, achados e melhorias

Os tipos de teste, do mais leve ao mais real:

  1. Tabletop: equipe se reúne, simula cenário em conversa, debate decisões. 2-3 horas.
  2. Walkthrough: equipe segue plano passo a passo num ambiente controlado. Identifica documentação errada ou incompleta.
  3. Simulação parcial: ativa um subset do plano em ambiente real. Por exemplo, restaurar 1 sistema do backup.
  4. Simulação completa: ativa o plano inteiro como se evento real. Caro, raro, mas validador definitivo.

ISO 22301 exige que pelo menos tabletops sejam realizados anualmente, com simulações parciais a cada 2-3 anos.

Quem precisa

Algumas combinações em que ISO 22301 vira praticamente obrigatória:

  • Setor financeiro - Bacen exige BCP estruturado
  • Saúde - hospital, operadora, laboratório precisam de continuidade pra atendimento
  • Infraestrutura crítica - energia, água, telecom
  • Cloud e SaaS - SLA contratual exige garantias de continuidade
  • Empresa em processo de M&A - due diligence pede BCP estruturado

Pra empresa não-regulada de pequeno porte, ISO 22301 ainda é bom - mas começo enxuto (BIA + BCP simples + 1 teste anual) entrega 70% do valor com 20% do esforço.

O ganho composto

BCMS bem implementado tem efeito além do plano em si. A organização passa a:

  • Conhecer melhor seus próprios processos (BIA força esse mapeamento)
  • Identificar fragilidades antes do evento real
  • Ter comunicação interna mais clara em emergências
  • Negociar melhor com seguradora (apólice cai 10-20% com 22301)
  • Vencer licitação que exige BCMS estruturado

Quem implementa só pra "tirar o selo" perde esses ganhos. Quem implementa como sistema vivo, ganha tudo.

Sua continuidade é plano ou hipótese?

Diagnóstico em 5 minutos: avalia maturidade do seu BCMS atual - BIA, BCP, DRP e testes - com plano de implementação ISO 22301.

  Diagnóstico ISO 22301   Solução ISO 22301
Klaus Fuchs
Klaus Fuchs Founder da facilita.etc. 15+ anos liderando gestão estratégica em saúde, educação e organizações sociais. Conduziu acreditações em uma das maiores OSS do Brasil. Escreve sobre o que pratica.

Quer aplicar isso na sua organização?

Em 5 minutos, faça um diagnóstico de prontidão e descubra onde sua operação ganha em organização, compliance e gestão.

  Diagnóstico de prontidão   Falar com a gente