Setor Financeiro: gestão da continuidade de negócio
Setor Financeiro: gestão da continuidade de negócio
O Conselho Nacional de Supervisores Financeiros (“CNSF”) decidiu proceder à revisão das suas Recomendações às instituições financeiras sobre a Gestão da Continuidade de Negócio (“GCN”), emitidas em 2010, de modo a promover a sua atualização face às referências legislativas e regulamentares vigentes e às melhores práticas atuais.
O Conselho Nacional de Supervisores Financeiros (“CNSF”) decidiu proceder à revisão das suas Recomendações às instituições financeiras sobre a Gestão da Continuidade de Negócio (“GCN”), emitidas em 2010, de modo a promover a sua atualização face às referências legislativas e regulamentares vigentes e às melhores práticas atuais.
Sendo esta uma matéria de importância transversal para a resiliência do setor financeiro, as novas Recomendações, à semelhança das anteriores, foram elaboradas em conjunto pelo Banco de Portugal (“BdP”), a Autoridade de Supervisão de Seguros e Fundos de Pensões (“ASF”) e a Comissão do Mercado de Valores Mobiliários (“CMVM”) – sob a égide do CNSF e no âmbito do projeto de “Better Regulation” do setor financeiro.
As anteriores Recomendações previam já a possibilidade do CNSF “proceder à sua atualização ou adaptação, tendo em conta, quer a experiência entretanto recolhida junto das instituições, quer as alterações ao nível das condicionantes de risco a que as instituições possam estar sujeitas, e ainda outros desenvolvimentos que se venham a registar em relação a esta matéria.”.
As Recomendações refletem os princípios internacionais relevantes sobre esta matéria, em especial no âmbito da harmonização europeia da regulação financeira. De forma transversal a todo o setor financeiro, releva a proposta de Regulamento do Parlamento Europeu e do Conselho relativo à resiliência operacional digital do setor financeiro (“DORA”).
Em concreto o CNSF, estabeleceu o seguinte:
- Adoção das Recomendações (abaixo discriminadas) sobre gestão da continuidade de negócio dirigidas às instituições financeiras sujeitas à supervisão das autoridades competentes;
- As instituições financeiras devem observar as disposições apresentadas nas Recomendações, que compreendem um conjunto de requisitos mínimos e traduzem as expetativas de supervisão gerais das autoridades competentes;
- As instituições financeiras devem aplicar estas Recomendações tendo em conta a natureza das suas atividades, dimensão e complexidade, modelo organizativo e perfil de risco;
- Com a publicação destas Recomendações deixam de vigorar as anteriores Recomendações sobre GCN, de 2010, divulgadas pela “Carta-Circular4 nº 75/2010/DSB” do Banco de Portugal, de 3 de dezembro, e pela “Circular n.º 11/2010” da ASF, de 11 de novembro, bem como através de comunicação datada de 1 de dezembro de 2010 na página da CMVM na Internet.
Estas novas recomendações introduzem mais exigência na elaboração dos Planos de Continuidade de Negócio e novos conceitos e preocupações das autoridades de supervisão nesta matéria como é o caso da adoção de um modelo de governo das tecnologias da informação a trabalhar em pleno com a gestão do risco tecnológico de forma a responder a um dos principais riscos para a continuidade do negócio que é o assegurar da Cibersegurança.
As Recomendações indiciam elas próprias a importância que os reguladores do setor financeiro pretendem dar a esta matéria já que estas referem que “as autoridades competentes acompanharão a adequação da implementação destas Recomendações pelas respetivas instituições supervisionadas por referência ao seu grau de observância, nomeadamente, através de ações direcionadas ou outros procedimentos de supervisão”.
Tabela sumária de recomendações:
-
RECOMENDAÇÃO 1 – Política de Gestão da Continuidade de Negócio (PCN)
As instituições devem dispor de uma política de gestão da continuidade de negócio que reflita o seu perfil de risco e seja proporcional à natureza das suas atividades, à sua dimensão, complexidade e modelo organizativo.
- RECOMENDAÇÃO 2 – Responsabilidades do órgão de administração
O órgão de administração das instituições deve garantir a salvaguarda da resiliência operacional da instituição.
- RECOMENDAÇÃO 3 – Responsabilidades em caso de desastre
A política de GCN deve contemplar uma definição clara das responsabilidades em caso de desastre.
- RECOMENDAÇÃO 4 – Plano de Continuidade de Negócio
As instituições devem estabelecer e implementar um PCN no âmbito do processo de GCN, por forma a maximizar as capacidades de prestação de serviços numa base contínua e para limitar as perdas, na eventualidade de uma perturbação grave da sua atividade.
- RECOMENDAÇÃO 5 – Análise do Impacto no Negócio
As instituições devem fundamentar o PCN num exercício analítico de avaliação de impactos para o negócio. Esta análise deve permitir identificar os processos e as funções de negócio críticos, os principais fatores dos quais depende a sua continuidade (internos e externos), assim como os níveis de proteção adequados perante diferentes cenários.
- RECOMENDAÇÃO 6 – Definição e implementação da Estratégia de Recuperação
As instituições devem definir e implementar uma estratégia de recuperação dos seus processos e funções de negócio que permita estabelecer os objetivos e as prioridades de recuperação tendo por base os resultados da análise de impacto no negócio.
- RECOMENDAÇÃO 7 – Infraestruturas alternativas
O processo de gestão da continuidade de negócio deve garantir a existência de infraestruturas alternativas, incluindo físicas, informáticas e de comunicações.
- RECOMENDAÇÃO 8 – Interdependências
A estratégia de recuperação deve tomar em consideração eventuais dependências, pelo que os pressupostos a utilizar quanto à disponibilidade e acesso aos serviços prestados por terceiros devem ser especialmente conservadores, devendo ainda ser previstas formas de mitigar estas dependências.
- RECOMENDAÇÃO 9 – Política de comunicação
As instituições devem criar, manter, atualizar e testar, em articulação com as entidades relevantes, uma política de comunicação com todos os interessados, de modo a assegurar os fluxos de informação necessários à recuperação de processos e continuidade do negócio, em caso de crise, assegurando as obrigações perante clientes e outras contrapartes, bem como o cumprimento de deveres de reporte às autoridades de supervisão.
- RECOMENDAÇÃO 10 – Testes e Manutenção do Plano de Continuidade de Negócio
As instituições devem assegurar a realização de testes, simulações, treinos e/ou outros procedimentos de preparação da ativação do PCN e de verificação da sua qualidade, em situações de risco mínimo a extremo, e a auditoria independente e atualização do PCN, pelo menos anualmente e sempre que necessário.