DIRECTIVA SOBRE GESTÃO DE CONTINUIDADE DE NEGÓCIO

Transcrição

1 Circular N. o 033/B/2009-DBS/AMCM Data: 14/8/2009 DIRECTIVA SOBRE GESTÃO DE CONTINUIDADE DE NEGÓCIO A Autoridade Monetária de Macau (AMCM), no exercício das competências que lhe foram atribuídas pelo Artigo 9. o do seu Estatuto, aprovado pelo Decreto-Lei n. o 14/96/M, de 11 de Março, e pelo Artigo 6. o do Regime Jurídico do Sistema Financeiro (RJSF), aprovado pelo Decreto- Lei n. o 32/93/M, de 5 de Julho, também conhecido por Lei do Sistema Financeiro, determina o seguinte: Introdução 1. Os acontecimentos passados noutras partes do mundo mostraram que as falhas do sistema, o mau funcionamento do computador, os desastres naturais, o surto de doenças infecciosas, os actos de terrorismo e muitos outros incidentes deram como resultado interrupções prolongadas de operações na indústria financeira. Tais acontecimentos acentuam que a continuidade de negócio (isto é, o estado de funcionamento contínuo e ininterrupto de um negócio) é uma prioridade contínua para as instituições de crédito e demonstram a necessidade que estas têm de possuir planos sólidos de continuidade de negócio. 2. Para minimizar as consequências financeiras, legais, de imagem e outras materiais resultantes de interrupções, as instituições de crédito devem ter uma Gestão de Continuidade de Negócio (GCN) eficaz, conceito utilizado enquanto abordagem de gestão que incorpora políticas, standards e procedimentos que visam garantir um funcionamento 1

2 contínuo da instituição após a ocorrência de eventos susceptíveis de afectar a continuidade das suas operações e de gerar interrupções prolongadas no seu funcionamento. Tal abordagem deve ocupar-se de considerações técnicas e da dimensão humana, mas a segurança pessoal do staff deve constituir a maior dessas considerações. As instituições de crédito devem também considerar a GCN como um processo contínuo e como parte da fase de planeamento de novos negócios, de acordos de subcontratação de actividades/funções materiais de negócio e de importantes projectos que envolvem a introdução de novos processos de negócios e sistemas. 3. Para assegurar que é implementada pelas instituições de crédito 1 uma GCN eficaz, esta Directiva apresenta os princípios fundamentais e os processos chave da GCN, bem como a abordagem de supervisão que a AMCM adoptará ao avaliar a adequação da GCN das instituições de crédito. Em particular, a AMCM espera que todas as instituições de crédito elaborem e implementem Planos de Continuidade de Negócio (PCN s) viáveis e eficazes, que estejam de acordo com a natureza e a dimensão das suas operações. Sempre que indicado, esta Directiva também se aplica a outras instituições financeiras (excluindo as instituições que se dedicam à indústria de seguros e/ou à gestão privada de fundos de pensões) que estejam subordinadas à supervisão da AMCM. É, no entanto, pouco provável que as instituições financeiras cujas transacções com clientes possam ser concluídas à vista, sejam obrigadas a respeitar o disposto nesta Directiva. Princípios e Processos de GCN 4. Com base nos princípios recomendados pelo Fórum Conjunto 2 no seu documento de Agosto de 2006 Princípios de Alto Nível sobre Continuidade de Negócio ( a 1 Estas incluem as sucursais no exterior das instituições de crédito constituídas em Macau e as sucursais das instituições de crédito com sede no exterior autorizadas a operar em Macau. 2 O Fórum Conjunto compreende os seguintes organismos: Comité de Basileia para a Supervisão Bancária (BCBS), Organização Internacional das Comissões de Valores Mobiliários (IOSCO) e Associação Internacional dos Supervisores de Seguros (IAIS). 2

3 AMCM apresenta os seguintes princípios de GCN, para adopção pelas instituições de crédito: 1º. Princípio: Responsabilidade do conselho de administração e dos quadros superiores As instituições de crédito devem ter abordagens à GCN eficazes e abrangentes. O conselho de administração 3 (adiante designado administração) e os quadros superiores de uma instituição de crédito são ambos responsáveis pela continuidade de negócio da instituição. 2º. Princípio: Interrupções prolongadas de operações As instituições de crédito devem, de forma explícita, considerar e elaborar planos visando interrupções prolongadas de operações e incluir o risco de tais interrupções nas suas abordagens à GCN. 3º. Princípio: Objectivos de recuperação As instituições de crédito devem definir objectivos de recuperação que reflictam o risco que representam para o funcionamento do sistema financeiro. 4º. Princípio: Comunicações As instituições de crédito devem incluir nos seus PCN s procedimentos relativos às comunicações internas e às comunicações com partes externas relevantes, inclusive com partes externas noutras jurisdições, caso ocorra uma interrupção prolongada de operações. 5º. Princípio: Testes As instituições de crédito devem testar os seus PCN s, avaliar a sua eficácia e actualizar a sua GCN, conforme for apropriado. 3 No caso das sucursais das instituições de crédito com sede no exterior, a referência nesta Directiva ao Conselho de Administração/Administração abrange, dependendo das circunstâncias, quer a gestão local das sucursais, quer a gestão responsável nas sedes pelas operações das sucursais. 3

4 5. Os princípios acima são apresentados pela AMCM no entendimento de que uma estrutura de GCN eficaz envolverá a integração de certo número de processos, cujas características incluem: a) identificação e avaliação do risco; b) análise do impacto no negócio; c) estratégias de recuperação; d) planeamento de continuidade de negócio; e) comunicações; f) testes; g) formação e consciencialização; h) gestão de crises; i) actualização dos PCN s; j) auditoria e revisões independentes; e k) considerações sobre seguros. 6. Quer os requisitos gerais e as práticas recomendadas nos processos de GCN acima, quer a responsabilidade da administração e dos quadros superiores de uma instituição de crédito na condução da integração desses processos são tratados com mais detalhe nos n. os 7 a 38 desta Directiva. Para além das orientações dadas nesta Directiva, as instituições de crédito, ao elaborarem a sua estrutura de GCN, podem também tirar referências do documento do Fórum Conjunto, bem como da GCN de outras organizações ou grupos do sector privado 4. Por exemplo, nos Anexos I a V do documento do Fórum Conjunto, podem encontrar alguns estudos de caso relevantes de casos recentes de interrupções prolongadas de operações 5. 4 Exemplos de GCN de organizações e grupos do sector privado: The Disaster Recovery Institute International ( The Business Continuity Institute ( The Security Industry Business Continuity Management Group ( ChicagoFIRST ( etc. 5 Os estudos de caso incluem: (1) As falhas na rede eléctrica EUA - Canadá, em Agosto de 2003; (2) O impacto do surto da epidemia SARS - Síndrome Respiratória Aguda Severa, de 2003, no mercado de valores da Região Administrativa Especial de Hong Kong; (3) O impacto do surto da epidemia SARS - Síndrome Respiratória Aguda Severa, de 2003, na indústria de valores do Canadá; (4) O terramoto de Niigata Chuetsu e (5) Os ataques terroristas de 7 de Julho de 2005, em Londres. 4

5 Requisitos Gerais e Práticas Recomendadas nos Processos de GCN Responsabilidade da administração e dos quadros superiores 7. A administração e os quadros superiores de uma instituição de crédito são, de facto, os responsáveis pela gestão de continuidade de negócio da instituição. 8. A administração e os quadros superiores devem cumprir as suas responsabilidades em matéria de continuidade de negócio estabelecendo políticas, dando prioridade às funções críticas do negócio, atribuindo recursos e pessoal suficientes, assegurando supervisão, aprovando os PCN s, revendo os resultados dos testes e fazendo a manutenção de um PCN em vigor. Tais responsabilidades em matéria de GCN abrangem também as actividades de negócio subcontratadas a outros prestadores de serviços. A administração e os quadros superiores devem também criar e promover uma cultura da instituição que atribua uma elevada prioridade à continuidade de negócio. A afectação dos necessários recursos financeiros e humanos deve ajudar com este objectivo. 9. Os quadros superiores devem descrever claramente, nas políticas da instituição de crédito, os procedimentos, as responsabilidades e a autoridade para agir, bem como os planos de sucessão. Durante uma interrupção, os quadros superiores podem também ter necessidade de: a) realinhar as prioridades e os recursos para acelerar a recuperação e reagir de forma decidida; b) estabelecer um lugar de responsabilidade para gerir a continuidade de negócio, por exemplo, uma equipa de gestão de crise com membros dos próprios quadros superiores; c) envolver na comunicação a reacção da instituição, de acordo com a gravidade da interrupção. 10. A administração e os quadros superiores devem assegurar a implementação de uma estrutura para os informar sobre assuntos relacionados com a continuidade de negócio, neles se incluindo o estado 5

6 da implementação, relatórios de incidentes, resultados de testes e planos de acção afins, para fortalecer a resiliência da instituição de crédito ou a capacidade para recuperar determinadas operações. A administração e os quadros superiores devem também assegurar que uma entidade independente, por exemplo, um auditor interno ou externo, faça uma revisão à GCN da instituição de crédito e chame oportunamente a sua atenção para conclusões importantes. Identificação e Avaliação do Risco 11. As interrupções prolongadas de operações causam um sério risco quer ao funcionamento contínuo das instituições de crédito, quer ao funcionamento do sistema financeiro. Assim, todas as instituições de crédito devem identificar cenários prováveis de interrupção que possam conduzir a interrupções de curto, médio e longo prazos das funções críticas de negócio (inclusive das funções subcontratadas) e avaliar a probabilidade de ocorrência desses cenários. 12.Com base em experiências e em circunstâncias e acontecimentos possíveis, as instituições de crédito devem elaborar cenários realistas de ameaças que possam provavelmente interromper os seus processos de negócio e a capacidade para satisfazer as expectativas dos seus clientes. Apesar de as ameaças poderem incluir actividades maliciosas 6 e desastres naturais 7 e técnicos 8, devem as instituições de crédito analisar uma ameaça focando o seu impacto na instituição de crédito e não na natureza da ameaça. Por exemplo, tratando o desafio principal de um surto de doença (por exemplo, pandemia de gripe) como a possibilidade de uma baixa disponibilidade do staff, que provavelmente interromperia as operações de negócio por períodos prolongados. De igual modo, os efeitos de certos cenários de ameaça podem também ser reduzidos a 6 Exemplos de ameaças actividades maliciosas: (i) fraude, roubo ou chantagem; (ii) sabotagem; (iii) terrorismo. 7 Exemplos de ameaças desastres naturais: (i) surto de doenças infecciosas; (ii) fogo; (iii) inundações e outros danos provocados pela água; (iv) tempestades violentas; (v) contaminações do ar; (vi) derramamento de substâncias químicas perigosas. 8 Exemplos de ameaças desastres técnicos: (i) falhas nas comunicações; (ii) falhas na energia eléctrica; (iii) falhas nos equipamentos e no software; (iv) interrupções no sistema de transportes. 6

7 interrupções de negócio que afectem áreas de trabalho específicas, sistemas, instalações ou locais geográficos. 13. Os cenários de ameaça elaborados pelas instituições de crédito devem ter em consideração o impacto da interrupção e a probabilidade de ocorrência da ameaça. Por exemplo, pode haver ameaças com uma elevada probabilidade de ocorrência e um baixo impacto na instituição de crédito (por exemplo, breves interrupções de energia eléctrica); mas pode também haver ameaças com uma baixa probabilidade de ocorrência e um elevado impacto na instituição (por exemplo, terrorismo). As ameaças com uma elevada probabilidade de ocorrência devem ser apoiadas por PCN s muito específicos. 14.Ao avaliarem a probabilidade de ocorrência de um determinado acontecimento, as instituições de crédito devem ter em consideração a localização geográfica das instalações e a sua susceptibilidade às ameaças naturais (por exemplo, localização numa área de inundações), bem como a proximidade de infra-estruturas críticas (por exemplo, centrais eléctricas, aeroportos, auto estradas, etc.). 15.A avaliação do risco deve abranger todos os locais e instalações da instituição de crédito ou do prestador de serviços. Devem ainda ser tidos em consideração cenários de casos extremos (por exemplo, destruição de instalações e perdas de staff). Nas conclusões da avaliação do risco, uma instituição de crédito terá ajuizado como pode ele ser contido sob diversos cenários de ameaça. 16. A medida em que uma instituição de crédito se prepara para recuperar de uma interrupção prolongada de operações, deve basear-se nas suas características únicas e no perfil de risco. Considerando que o acesso aos recursos necessários à plena recuperação das suas operações pode estar limitado durante uma interrupção prolongada de operações, uma instituição de crédito deve identificar, através da análise do impacto no negócio, as funções de negócio e as operações que devem ser 7

8 prioritariamente recuperadas e definir para essas operações objectivos apropriados de recuperação. Análise do Impacto no Negócio 17. Uma análise do impacto no negócio implica identificar todas as funções críticas de negócio (inclusive as funções subcontratadas), recursos e infra-estruturas da instituição de crédito e avaliar o impacto da interrupção nessas funções. A análise deve abranger todos os departamentos de negócio, inclusive as sucursais no exterior das instituições de crédito constituídas em Macau. Os factores a ter em conta para determinar as possíveis consequências financeiras, legais, de imagem e outras materiais, caso as funções críticas do negócio, os recursos e as infra-estruturas não estejam disponíveis, incluem (mas não se limitam): a) a medida em que os interesses dos clientes (incluindo depositantes) possam sofrer impacto negativo pela interrupção dos serviços normais e das operações; b) o impacto financeiro e de imagem da falha da instituição de crédito para realizar num determinado período de tempo; c) a perda de receitas como uma percentagem das receitas totais; d) o grau de dificuldade, incluindo o tempo gasto, para restabelecer a actividade do negócio ou a função de apoio ou para implementar planos alternativos; e) a capacidade da instituição de crédito para cumprir as obrigações contidas nos regulamentos, caso haja problemas de continuidade de negócio. 18. Os membros do staff responsáveis pela realização da análise do impacto no negócio devem considerar preparar entrevistas uniformes e listas de perguntas que possam ser utilizadas numa base institucional ampla. Tal pode melhorar a consistência das respostas e ajudar a comparar e avaliar os requisitos dos processos de negócio. O processo de análise do impacto no negócio pode inicialmente dar prioridade a processos de negócio baseados na sua importância para o sucesso dos objectivos estratégicos 8

9 da instituição e à manutenção de práticas fiáveis e saudáveis. Ao serem definidas as necessidades críticas da instituição de crédito, devem ser feitas revisões a todas as funções, processos e pessoal de cada departamento/unidade de negócio. Cada departamento/unidade de negócio deve documentar a missão que as funções críticas realizam e ponderar, por exemplo, nas seguintes perguntas: a) que equipamento especializado é necessário e como é utilizado? b) como poderá o departamento funcionar se o mainframe, a rede e/ou o acesso à internet não estiverem disponíveis? c) quais são os únicos pontos de falha existentes e porque são significativos esses riscos? d) quais são as relações subcontratadas críticas e as dependências? e) qual é o número mínimo de staff e de espaço necessário num site de recuperação 9 (vide também Anexo 1 sobre requisitos gerais de um site de recuperação utilizável)? f) que impressos ou artigos especiais serão necessários num site de recuperação? g) que dispositivos de comunicação serão necessários num site de recuperação? h) que controlos críticos operacionais ou de segurança devem ser implementados antes da recuperação? i) advirá algum provável impacto dos sites comuns de recuperação que servem várias linhas de negócio ou departamentos? j) receberam os membros do staff formação cruzada e definiu o departamento quais os que devem fazer o back-up das funções/procedimentos, caso o pessoal chave não se encontre disponível? 19. Baseada nos resultados da análise do impacto no negócio, uma instituição de crédito deve ser capaz de identificar as funções críticas do negócio e os prejuízos prováveis resultantes das suas operações que devem ser 9 Para os fins desta Directiva, um site de recuperação (ou um site alternativo) é um site pronto para utilização durante um evento de descontinuidade de negócio, para manter a continuidade de negócio de uma instituição de crédito. O termo aplica-se quer a um espaço para trabalho, quer a requisitos tecnológicos. O Anexo I dá esclarecimentos sobre requisitos gerais de um site de recuperação utilizável. 9

10 contidos. O processo serve também para realçar as prioridades relativas de entre as diversas funções críticas, calcular como poderão estas funções críticas ser rapidamente retomadas e ajudar a instituição de crédito a estabelecer a sua estratégia de recuperação. Estratégias de Recuperação 20. Baseadas nos resultados da análise do impacto no negócio, as instituições de crédito devem estabelecer as suas estratégias de recuperação que apresentem quer os objectivos, quer as prioridades de recuperação. Entre outros, as estratégias de recuperação devem indicar o nível de serviços que as instituições de crédito têm em vista prestar nas diferentes fases durante e depois das interrupções de operações, bem como as estruturas para, por fim, retomarem as actividades de negócio. 21. Quer o próprio negócio, quer as funções de apoio de uma instituição de crédito devem estabelecer as suas estratégias de recuperação sobre como conseguir a recuperação de um nível mínimo de serviços críticos num determinado prazo. Isso implica a determinação de um site de recuperação, número total de pessoas a ele afectas e respectivo espaço para trabalho, aplicações e necessidades em meios tecnológicos, equipamentos de escritório e registos vitais necessários à prestação de tais níveis de serviços. Estas estratégias estão sujeitas a aprovação dos quadros superiores, os quais devem também garantir orçamento bastante e outros recursos atribuídos às estratégias acordadas. 22. Ao estabelecerem uma estratégia de recuperação, as instituições de crédito devem avaliar a interdependência entre os seus próprios serviços críticos, como pode esta constituir a base para determinar a prioridade de recuperação de cada serviço e operações. As instituições de crédito devem também ter em conta a natureza da interdependência do sistema financeiro e definir objectivos de recuperação que sejam proporcionais ao risco que causam ao funcionamento deste mesmo sistema. Por exemplo, as instituições de crédito que estejam dependentes de outras instituições para cumprir obrigações destas últimas instituições, devem manter um 10

11 estado de prontidão de continuidade de negócio mais elevado e ter em vista os mais elevados objectivos de recuperação. Relativamente a outras instituições de crédito, pode aceitar-se que tenham em vista um tempo de recuperação menos rigoroso. Planeamento de Continuidade do Negócio 23. Depois de efectuar a avaliação do risco e a análise do impacto no negócio e depois de estabelecer a estratégia de recuperação, uma instituição de crédito deve preparar os seus PCN s por escrito. Os PCN s contêm procedimentos escritos e informação que permitem que a instituição de crédito reaja a uma interrupção e recupere e retome as funções críticas do negócio. Como características, um PCN estabelece regras e atribui responsabilidades para gerir as interrupções das operações e dá ainda uma clara orientação em relação à sucessão da autoridade, caso ocorra uma interrupção que incapacite o pessoal chave. Um PCN deve também indicar claramente a autoridade que toma decisões e definir os eventos que permitem invocar o PCN. 24. O processo de planeamento de continuidade de negócio deve incluir todas as unidades de negócio e abranger não só todas as funções críticas de negócio, recursos e infra-estruturas, inclusive as operações no exterior de uma instituição de crédito constituída em Macau, como também os acordos com os prestadores de serviços críticos. No mínimo, um PCN deve conter: a) os procedimentos a seguir como reacção a uma interrupção material das operações normais de negócio. Os procedimentos devem permitir que a instituição de crédito administre a interrupção inicial do negócio e recupere e retome funções críticas do negócio, recursos e infra-estruturas descritos no PCN, nos prazos propostos; b) uma lista contendo todos os recursos necessários à execução das operações, caso o site operacional principal não se encontre disponível. Esta incluirá (mas não se limita) o hardware e o software do computador, as impressoras, faxes e telefones, os 11

12 artigos standard de escritório e os impressos. Nos recursos adicionais incluem-se o staff disponível devidamente treinado e a documentação relevante, por exemplo, apólices de seguros e contratos; c) um plano de comunicações para notificar partes chave, internas e externas, caso o PCN da instituição de crédito seja invocado; d) considerações sobre a continuidade de negócio como parte de um acordo de subcontratação material celebrado com uma entidade terceira prestadora de serviços críticos (vide também a Directiva relativa à Subcontratação de Serviços da AMCM sobre requisitos adicionais relativos aos acordos de subcontratação); e) informação relevante sobre um site de recuperação da instituição de crédito para recuperação do negócio e/ou de operações de TI s, se este fizer parte do PCN da instituição de crédito. 25. Deve ser implementado na instituição de crédito um método consistente para documentar o PCN. No PCN as entradas detalhadas devem ocorrer ao nível da unidade de negócios. Devem ser guardadas fora do site cópias do PCN por um número de gestores responsáveis que tenham responsabilidades designadas nos termos do PCN; estes devem também estar disponíveis, se for o caso, no site de recuperação. Comunicações 26. A capacidade para comunicar eficazmente com partes relevantes internas e externas, caso ocorra uma interrupção prolongada de operações, é essencial para as instituições de crédito. Os PCN s das instituições de crédito devem descrever os canais de comunicação internos e externos com o staff, reguladores, investidores, clientes, contrapartes, parceiros de negócio, prestadores de serviços, media e outras partes interessadas. O PCN deve também incluir protocolos completos de comunicação de emergência e procedimentos, no caso de uma interrupção prolongada de operações. Devido à crescente interdependência e interligação entre instituições financeiras dentro e noutras jurisdições, os PCN s das instituições de crédito devem conter protocolos de comunicação para 12

13 contactar com autoridades financeiras relevantes do exterior e com instituições nas diferentes jurisdições. 27. Os procedimentos de comunicação das instituições de crédito devem, em geral: a) identificar os responsáveis pela comunicação com o staff e com as diversas partes interessadas. Este grupo poderá incluir quadros superiores, staff afecto às relações públicas, consultores jurídicos e de compliance e staff responsável pelos procedimentos de continuidade de negócio da instituição de crédito; b) utilizar protocolos de comunicação já existentes no sistema financeiro e incluir informação de contacto para a AMCM e outras instituições de crédito, para facilitar uma avaliação da condição do sistema financeiro e coordenar os esforços de recuperação; c) tratar problemas afins que possam surgir durante uma interrupção prolongada de operações, por exemplo, como reagir às falhas dos sistemas principais de comunicação. Tal pode incluir, por exemplo, desenvolver sistemas e informação de contacto para o pessoal chave, que irá facilitar os diversos modos de comunicação (por exemplo, receptores de chamadas, telemóveis, s ou rádios transmissores receptores, etc); d) assegurar a actualização regular das calling trees e de outra informação de contacto, bem como a realização de testes periódicos às calling trees. Testes 28. Conforme for mais apropriado, as instituições de crédito devem testar os seus PCN s, avaliar a sua eficácia e proceder à sua actualização. Considerando as possíveis mudanças na tecnologia, nos processos de negócio e nas competências e responsabilidades dos membros do staff, devem ser efectuadas revisões contínuas e testes significativos a todos os componentes do PCN, para reflectir os riscos e as circunstâncias da mudança enfrentadas pela instituição de crédito, familiarizar os membros do staff com o funcionamento do PCN, verificar que o PCN está, na 13

14 prática, em condições de ser utilizado e identificar questões que devam ser tratadas, mas que não foram visíveis durante a fase de planeamento. 29. As condições e a frequência da realização dos testes devem ser pormenorizadas numa estratégia de testes, que também deve incluir os objectivos dos testes, scripts e programas, bem como assegurar a revisão e o relatório dos resultados dos testes. Os testes devem ser realizados pelo menos uma vez por ano, dependendo do ambiente operacional e da situação crítica das aplicações relevantes e das funções de negócio. Sempre que oportuno, as instituições de crédito devem também participar nos exercícios de testes a toda a indústria realizados pelas associações industriais (por exemplo a Associação de Bancos de Macau). Estes esforços ajudarão as instituições de crédito a aumentar o seu estado de disponibilidade, bem como a resiliência do sistema financeiro para enfrentar com êxito as interrupções prolongadas de operações. 30. Em termos ideais, os testes devem ser realizados pela equipa que irá trabalhar com o PCN, para que seja garantido um grupo de trabalho eficaz, preparado e consciencializado. É também aconselhável rodar o pessoal envolvido nos testes, de modo a prepará-lo para situações de perdas de pessoas chave, quer durante uma interrupção, quer como resultado de reformas, promoções, cessação de funções, renúncias ou transferência de responsabilidades. 31. Os métodos para a realização de testes variam desde os que envolvem preparação e recursos mínimos até aos mais complexos. O tipo de teste utilizado por uma instituição de crédito deve ser escolhido, entre outros critérios, tendo em conta a sua dimensão e a complexidade e natureza dos seus negócios. Como exemplos de métodos de testes, por ordem da sua crescente complexidade, temos: a) método walk-through. O objectivo principal do walk-through é assegurar que o pessoal crítico de todas as áreas se encontra familiarizado com o PCN. Este método é caracterizado por: discussão do PCN num espaço amplo ou num ambiente de grupo restrito; 14

15 treino individual e em equipa; clarificação e destaque dos elementos críticos do plano. b) método tabletop/mini-exercício. Neste exercício, os participantes escolhem como cenário um determinado acontecimento e aplicamlhe o PCN, o que inclui: treino e validação da capacidade de resposta da função específica; foco na demonstração de conhecimentos e aptidões, bem como na interacção da equipa e na capacidade de tomada de decisão; jogo de interpretação com resposta simulada nos sites/instalações de recuperação para realizar etapas críticas, reconhecer dificuldades e resolver problemas num ambiente de não ameaça; mobilização de toda ou parte da equipa de gestão/resposta à crise para treinar coordenação adequada; diferentes graus de notificação e mobilização de recursos, reais oposta às simuladas, para reforçar o conteúdo e a lógica do plano. c) método teste funcional. Este envolve a mobilização real de pessoas noutros sites numa tentativa de estabelecer comunicações e coordenação, como descrito no PCN, o que inclui: demonstração das capacidades de gestão de emergência dos diversos grupos exercendo uma série de funções interactivas, tais como direcção, controlo, avaliação, operações e planeamento; resposta real ou simulada aos sites/instalações de recuperação, utilizando as capacidades reais das comunicações; mobilização de pessoas e de recursos nos diferentes sites geográficos; diferentes graus de notificação e mobilização de recursos, reais oposta às simuladas. d) método teste à escala real. Num teste à escala real, a instituição de crédito implementa todo ou parte do seu PCN, processando dados e transacções utilizando meios back up no site de recuperação, o que envolve: 15

16 validação das funções de resposta à crise; demonstração de conhecimentos e aptidões, bem como resposta de gestão e capacidade de tomada de decisão; execução imediata de coordenação e procedimentos de tomada de decisão; notificações, mobilização de recursos e comunicação de decisões, reais opostas às simuladas; actividades realizadas em locais ou instalações de resposta real; ampla participação institucional e interacção das equipas de resposta de gestão interna e externa, com total envolvimento de organizações externas; processamento real de dados utilizando meios back up; exercícios geralmente prolongados por um período de tempo mais longo para permitir, por um lado, que as questões se desenvolvam plenamente como aconteceria numa crise e, por outro, o jogo de interpretação realista de todos os grupos envolvidos. 32. Os resultados dos testes devem ser analisados e comparados com os objectivos inicialmente definidos. Os resultados dos testes e a resolução de alguns problemas devem ser comunicados à administração e aos quadros superiores. As análises dos testes devem incluir: a) uma avaliação que mostre se os objectivos do teste foram alcançados; b) uma avaliação sobre a validade dos dados do teste processados; c) planos de acção correctiva para tratar os problemas encontrados; d) uma descrição de algumas lacunas entre o PCN e os resultados reais dos testes; e) alterações propostas ao PCN; f) recomendações para testes futuros. Formação e Consciencialização 33. As instituições de crédito devem dar formação em matéria de continuidade de negócio à sua gestão e aos membros do staff para 16

17 assegurar que todas as partes, em particular os membros da equipa de continuidade de negócio, estão conscientes das suas responsabilidades quando ocorrer uma interrupção. Os membros chave do staff das instituições de crédito devem envolver-se na elaboração do processo de continuidade de negócio, bem como em exercícios periódicos de formação. O programa de formação deve incluir formação abrangendo toda a instituição, bem como formação específica abrangendo cada uma das unidades de negócio. Os membros do staff das instituições de crédito devem estar conscientes: a) da importância da GCN no quadro geral da gestão do risco da instituição de crédito; b) das condições exigidas para implementar todo ou partes do PCN da instituição de crédito; c) das pessoas responsáveis pela implementação dos PCN s nas unidades de negócio e na instituição de crédito e dos seus contactos de emergência; e d) do que fazer, caso os membros chave do staff não se encontrem disponíveis no momento de uma interrupção. A formação nas diversas áreas deve ser aproveitada para acelerar a recuperação das operações na ausência dos membros chave do staff. A formação do staff deve ser programada com regularidade e actualizado para tratar de alterações ao PCN. 34. As instituições de crédito devem ponderar sobre a criação de um programa de consciencialização para permitir que os clientes, os prestadores de serviços e os reguladores saibam como contactá-las, caso os canais normais de comunicação não estejam em funcionamento. O plano deve também designar as pessoas que comunicarão com os media, governo, vendedores e outras entidades e disponibilizar o tipo de informação a comunicar. 17

18 Gestão da Crise 35. O PCN deve apresentar um processo de gestão de crise que sirva como documento de orientação para ajudar as instituições de crédito a identificar possíveis cenários de crise e a elaborar procedimentos para gerir esses cenários. As instituições de crédito devem organizar equipas de gestão de crise, compostas por quadros superiores e chefias das principais funções de apoio, para reagir a/e gerir as diferentes fases de uma crise. Actualização do PCN 36. O PCN deve ser revisto pelos quadros superiores, pela equipa de planeamento ou pelo coordenador, pelos membros da equipa, pela auditoria interna e pela administração, pelo menos uma vez por ano. Como parte desse processo de revisão, a equipa ou o coordenador devem contactar com os gestores das unidades de negócio da instituição de crédito, com regularidade, para avaliar a natureza e o âmbito de algumas alterações operadas nos negócios, nas estruturas, nos sistemas, no software e hardware, no pessoal ou nas instalações da instituição. Auditoria e Revisões Independentes 37. O departamento de auditoria ou outro qualificado, entidade independente, deve rever a adequação do processo de continuidade de negócio para assegurar que são cumpridas as expectativas da administração. Esta revisão deve incluir, por exemplo, a avaliação da adequação do processo de identificação do negócio, as avaliações do risco, a elaboração de cenários de ameaça, a análise do impacto no negócio, o PCN, os testes a cenários e a programas e a comunicação dos resultados dos testes e recomendações à administração, etc. Para aliviar estas responsabilidades, o departamento de auditoria ou outra entidade independente deve observar directamente os testes do PCN. A administração deve receber e analisar cuidadosamente os relatórios da auditoria sobre a eficácia do processo da instituição que identifique quaisquer áreas de fraqueza. 18

19 Considerações sobre Seguros 38. O seguro é geralmente utilizado para indemnizar perdas devidas a riscos que não podem ser totalmente evitados. Além dos processos de GCN acima referidos, as instituições de crédito devem também considerar obter cobertura de seguro para os riscos que não possam ser inteiramente controlados, mas que poderão representar um significativo potencial em matéria de prejuízos financeiros ou de outras consequências desastrosas. Por exemplo, cobertura de seguro para perdas de staff, escritórios e instalações/equipamentos críticos de TI s, bem como cobertura de seguro para cumprir as responsabilidades legais das instituições de crédito por falhas na prestação de serviços aos seus clientes, etc. A decisão para contratar seguros deve ser baseada na probabilidade e no grau de perda identificado durante a análise do impacto no negócio. A possível exposição aos diversos tipos de interrupções deve ser determinada e as opções de seguro disponíveis devem ser analisadas para garantir que foram tomadas providências apropriadas relativas à cobertura do seguro. As instituições de crédito devem efectuar uma revisão anual dos seguros, para garantir que o nível e os tipos de cobertura são razoáveis em termos comerciais e estão de acordo com os requisitos legais, da gestão e da administração. Elas devem também criar e manter uma lista completa do inventário de hardware e de software num lugar seguro fora do site, para facilitar os processos de indemnização. Não obstante, as instituições de crédito devem estar cientes das limitações do seguro, que de modo algum é um substituto de um PCN eficaz e que não pode reembolsar uma instituição de crédito por danos causados à sua imagem. Abordagem à Supervisão da AMCM 39. A AMCM espera que as instituições de crédito elaborem e implementem uma GCN eficaz que esteja de acordo com os princípios e processos chave acima mencionados. As instituições de crédito devem também actualizar regularmente os seus PCN s. 19

20 40. A AMCM incluirá revisões à GCN nas suas estruturas para avaliação das instituições de crédito. As avaliações verificarão se a GCN de uma instituição de crédito, inclusive os seus objectivos de recuperação, é apropriada à dimensão e ao âmbito dos seus negócios e qual o risco que a instituição de crédito apresenta para o funcionamento continuado do sistema financeiro. 41. A AMCM também avaliará, caso necessário, se as instituições de crédito estão a dar passos apropriados para fortalecer a sua GCN. 42. No decurso da revisão à GCN de uma instituição de crédito, a AMCM avaliará se o programa de testes oferece segurança adequada para que os processos de negócio possam ser recuperados como planeado. 20

21 ANEXO 1 Requisitos gerais de um site de recuperação utilizável para fins de continuidade de negócio 1. Pode ser ou um site externo disponível, devido a um acordo com uma entidade terceira ou um site da própria instituição de crédito. 2. Deve estar suficientemente afastado para evitar ser afectado pela mesma interrupção do site principal. 3. Deve estar facilmente acessível e disponível para trabalhar, dentro dos prazos especificados no PCN. 4. Deve estar adequadamente equipado com as necessárias estações de trabalho, energia eléctrica, telefones e ventilação e ter espaço suficiente. 5. Devem ser implementados no site controlos físicos de acesso apropriados, de acordo com a política de segurança da instituição de crédito. 6. Deve estar disponível no site equipamento técnico suficiente de modelo, dimensão e capacidade apropriados, para satisfazer as necessidades de recuperação apresentadas no PCN. 7. Devem estar disponíveis instalações de telecomunicação adequadas e pré-instaladas ligações à rede, para tratar o volume de negócios esperado, conforme especificado pelo PCN. 8. Deve ser efectuada monitorização contínua e manutenção periódica e testes ao equipamento e às instalações para manter o site operacional. 9. Devem estar facilmente acessíveis no site registos vitais para recuperação de emergência por parte dos membros do staff. 21