relatório da consulta pública do cnsf n.º 1/2010 · referido projecto consubstanciava as...
TRANSCRIPT
1
CONSELHO NACIONAL DE SUPERVISORES FINANCEIROS
Relatório da Consulta Pública do CNSF n.º 1/2010
PROJECTO DE RECOMENDAÇÕES RELATIVAS À GESTÃO DA CONTINUIDADE DE NEGÓCIO
NO SECTOR FINANCEIRO
1. INTRODUÇÃO
O Conselho Nacional de Supervisores (CNSF) submeteu a consulta pública um Projecto de
Recomendações relativas à Gestão da Continuidade de Negócio (GCN) no sector financeiro. O
referido Projecto consubstanciava as propostas desenvolvidas pelo Banco de Portugal (“BdP”), pelo
Instituto de Seguros de Portugal (“ISP”) e pela Comissão do Mercado de Valores Mobiliários
(“CMVM”) em matéria de GCN e enquadrou-se no âmbito da iniciativa de Better Regulation do
Sector Financeiro.
A consulta pública decorreu entre os dias 18 de Maio e 18 de Junho de 2010, tendo sido difundida, em
simultâneo, nos sítios da Internet das três autoridades de supervisão.
Este relatório do CNSF visa apresentar os resultados da referida consulta pública, no âmbito da qual
foram recebidas oito respostas escritas. Para esse efeito, foram coligidos todos os comentários
transmitidos ao CNSF e apresentado o entendimento das autoridades de supervisão relativamente a
cada uma das questões abordadas.
A consulta pública teve uma participação bastante significativa, atendendo à experiência passada do
CNSF com estas iniciativas. Do conjunto de oito respostas recebidas, cinco correspondem a
instituições de crédito ou a grupos bancários (que, em alguns casos, contemplam também empresas de
seguros), duas foram remetidas por empresas que prestam, entre outros, serviços de consultoria,
nomeadamente na área das tecnologias de informação e comunicação, e uma resposta foi transmitida
ao CNSF por um particular, a título individual. No ponto 5 deste relatório apresenta-se o elenco dos
participantes na consulta pública.
2
O CNSF agradece todos os comentários recebidos, que, em geral, se revelaram pertinentes e úteis para
melhorar e, em alguns aspectos, clarificar o conjunto de Recomendações sobre GCN.
3
2. APRECIAÇÃO GERAL
A iniciativa do CNSF em definir uma abordagem concertada relativamente à GCN, no âmbito da qual
se estabelecem regras e princípios aplicáveis, de forma transversal, a todos os segmentos do sistema
financeiro, mereceu o apreço generalizado dos participantes na consulta pública. Em particular, foi
apontado um conjunto de benefícios decorrentes desta iniciativa, dos quais se destacam:
- O facto de constituir uma compilação, sistematização e uniformização de princípios e boas
práticas já anteriormente divulgados, mas que se encontravam dispersos no quadro
regulamentar para o sector financeiro;
- A actualização das orientações anteriormente existentes e a promoção do seu alinhamento
com os princípios internacionais publicados nos últimos anos;
- O facto de proporcionar uma abordagem comum e a aplicabilidade transversal dos princípios
e orientações sobre GCN a observar pelas instituições que actuam no sector bancário,
segurador e mercados de valores mobiliários e instrumentos financeiros;
- A possibilidade de esta iniciativa conjunta constituir uma “alavanca poderosa para o suporte
à GCN” nas instituições e de contribuir, nesse sentido, para o reforço da resiliência do sector
financeiro em Portugal.
O conteúdo do documento de consulta também foi bastante apreciado pelos participantes. Entre os
méritos mais referenciados, incluem-se dois aspectos que as autoridades de supervisão consideram
particularmente importantes: o facto de o documento ser claro e de conter orientações exequíveis.
Merece também ser destacado o reconhecimento, explicitamente apontado por alguns participantes, de
que as recomendações reflectem as normas e as melhores práticas internacionais sobre GCN.
A abordagem flexível preconizada no documento de consulta1 também foi louvada por alguns
participantes, sem prejuízo de alguma necessidade de clarificação manifestada a este respeito e que é
abordada no ponto seguinte.
1 Nos termos da qual a implementação das recomendações não é obrigatória e as instituições têm a possibilidade
de ajustar o quadro orientador à respectiva realidade, adoptando as soluções que lhes pareçam mais adequadas,
ainda que devam poder demonstrar às autoridades de supervisão que a solução adoptada é a mais apropriada,
quando for diferente daquilo que se prevê nas recomendações (comply or explain).
4
Importa ainda referir o apreço manifestado por um participante na consulta quanto à autonomização do
tema da GCN face à temática da gestão de crises financeiras.
No que respeita às sugestões apresentadas pelos participantes na consulta pública, merecem especial
relevo aquelas que se referem ao âmbito das Recomendações. Conforme definido no documento de
consulta, para além da componente “micro” da GCN – que compreende as iniciativas a nível de cada
instituição financeira –, a resiliência do sistema financeiro requer também a implementação de
medidas que reflictam uma perspectiva integrada do sistema e no âmbito da qual se consideram as
interdependências entre os diferentes agentes (perspectiva “macro”). A presente iniciativa do CNSF
incide apenas sobre a componente “micro”, factor que motivou a reacção de vários participantes na
consulta pública.
Embora sem colocar em causa a adequação da abordagem adoptada pelo CNSF e de, nalguns casos, se
reconhecer que deve, efectivamente, ser dada prioridade ao desenvolvimento das competências de
GCN ao nível das instituições em particular, alguns participantes aproveitaram a iniciativa para
assinalar a importância da referida componente “macro”. Nesse contexto, foram apresentadas diversas
sugestões de iniciativas que podem ser desenvolvidas de forma conjunta no sistema financeiro, com
especial destaque para os simulacros.
No restante, os comentários e propostas transmitidos ao CNSF foram bastante diversificados e
abrangeram aspectos como a natureza das recomendações e o acompanhamento/supervisão da sua
implementação, o eventual estabelecimento de um prazo para se atingir a observância das
Recomendações, a possibilidade de serem desenvolvidos indicadores de desempenho ou outras
métricas de avaliação do grau de implementação das Recomendações, a possibilidade de ser
recomendado que as instituições recorram a modelos e metodologias formais para a análise do impacto
no negócio, a exequibilidade de determinados elementos particulares das Recomendações, e ainda
questões de terminologia e de estrutura do documento.
Nos pontos seguintes são coligidos os comentários recebidos pelo CNSF no âmbito da consulta
pública e apresentado o entendimento das autoridades de supervisão relativamente a cada um, de
forma individualizada. Por motivos de simplificação, os comentários são apresentados de forma
adaptada, não correspondendo a uma transcrição exacta dos textos que constam das respostas dos
participantes.
5
3. COMENTÁRIOS GENÉRICOS
a) Articulação entre o presente projecto de Recomendações e a Carta Circular do Banco de
Portugal n.º 100/2005/DSB
A Carta Circular do Banco de Portugal n.º 100/2005/DSB, de 26 de Agosto, sobre planeamento de
contingências, abrange igualmente o conceito de gestão de crises financeiras. Uma vez que as
recomendações em consulta pública incidem, exclusivamente, na componente do planeamento para a
continuidade operacional do negócio numa situação de desastre, foi solicitada clarificação quanto ao
enquadramento que passará a ter a temática da gestão de crises financeiras.
Resposta do CNSF:
As Recomendações sobre GCN que foram submetidas a consulta pública e que serão adoptadas pelas
autoridades de supervisão irão constituir, grosso modo, uma actualização dos conteúdos da Carta-
Circular do Banco de Portugal n.º 100/2005, no que respeita à GCN, reflectindo, nomeadamente, a
evolução que entretanto se registou nos standards internacionais sobre este tema e nas práticas
adoptadas pelas instituições financeiras em Portugal.
Neste contexto, a publicação das Recomendações sobre GCN, no âmbito do CNSF, implica
necessariamente que seja substituída2 a Carta-Circular n.º 100/2005.
Contudo, como assinalado pelo respondente, o âmbito da referida Carta-Circular é, efectivamente,
mais abrangente do que o das Recomendações do CNSF sobre GCN. Com efeito, aquela incide sobre
o conceito de “planificação de contingências”, o qual contempla, não apenas as estratégias que visam
assegurar o funcionamento contínuo da instituição no caso de ocorrência de um evento susceptível de
causar perturbações operacionais na actividade, mas também a noção de “gestão de crises
financeiras”. Por sua vez, as Recomendações desenvolvidas no âmbito do CNSF referem-se,
exclusivamente, ao tema da GCN.
A abordagem das actuais Recomendações reflecte o entendimento segundo o qual as componentes
operacional e financeira requerem planificações de natureza distinta e a particular importância de
2 I.e. revogada, embora tal expressão não seja a mais rigorosa, dado que o instrumento regulatório em causa se
trata de uma Carta-Circular.
6
cada um dos temas justifica um tratamento autonomizado, embora se reconheça que uma crise
financeira, tal como um “desastre operacional”, configura igualmente uma circunstância excepcional,
susceptível, porventura, de colocar em causa o normal funcionamento da instituição, ou mesmo a sua
sobrevivência.
Esta evolução reflecte, nomeadamente, os desenvolvimentos ocorridos após a publicação da Carta-
Circular n.º 100/2005.
No que respeita à gestão da continuidade de negócio, em particular, foi emitido, já após a publicação
da Carta-Circular n.º 100/2005, um conjunto de standards internacionais específicos, não apenas
sobre as políticas de gestão de continuidade no sector financeiro (“High-Level Principles for Business
Continuity”, publicados pelo The Joint Forum3, em 2006), mas inclusivamente sobre o tema de
business continuity management (BCM) em geral (British Standard 25999, que passou a ser o
standard internacional de referência para a BCM).
A planificação de contingências em matéria de crises financeiras também tem merecido reforçada
atenção recentemente, na sequência dos ensinamentos da crise financeira internacional, tendo já sido
publicadas orientações por organismos internacionais, por exemplo sobre a gestão do risco de
liquidez, que abrangem o tema de planos de financiamento de contingência, para além de
preconizarem a utilização dos stress tests como instrumento relevante neste domínio. Além disso, as
discussões em curso quanto à criação de um novo regime europeu para a gestão de crises financeiras
também contemplam o tópico dos planos de contingência para a obtenção de financiamento, sendo
ainda relevantes, para este efeito, os conceitos de resolution plans ou de living wills.
Ao contrário do que sucede relativamente à GCN, porém, não se prevê, a curto prazo, qualquer
iniciativa regulamentar especificamente vocacionada para o tema da “gestão de crises financeiras”.
Em primeiro lugar, verifica-se que o essencial dos princípios estabelecidos na Carta-Circular
n.º 100/2005 relativamente à componente financeira da planificação de contingências já se encontra
vertido noutras peças legislativas ou regulamentares, ou está em vias de o ser. Para ilustrar essa
conclusão, importa considerar as matérias da Carta-Circular n.º 100/2005 que se referem à
componente financeira. Para além do disposto na Recomendação 9 da Carta-Circular4 – que constitui
3 Organismo internacional que congrega, essencialmente, o Comité de Basileia (banca), a International
Organization of Securities Commissions (valores mobiliários) e a International Association of Insurance
Supervisors (seguros). 4 Na qual se estabelece que:
7
a única situação em que existe uma separação clara entre a componente operacional e a componente
financeira da planificação de contingência –, as orientações e princípios que têm aplicação directa no
âmbito da planificação para crises financeiras são os seguintes:
- A recomendação para que exista um plano de contingência que, nomeadamente, permita uma
adequada preparação para eventuais dificuldades financeiras de natureza pontual e de
elevada significância.
- A orientação para que a responsabilidade pelo plano de contingência seja assumida pelo
órgão de administração e pela gestão de topo.
- A recomendação para que sejam previamente identificados os riscos que possam originar um
impacto materialmente relevante para a instituição e para que seja definida a probabilidade
de ocorrência de cada um dos eventos identificados como relevantes e calculada a duração
provável dos seus efeitos, com base nos quais devem ser definidos cenários de contingência.
- A recomendação para que o plano de contingência contemple uma estratégia de
comunicação com o exterior.
- A recomendação para que, no âmbito da planificação de contingências, sejam internalizadas
as circunstâncias excepcionais de uma crise (o que implica que seja ponderado, por exemplo,
que “a evolução adversa dos mercados financeiros e do comportamento dos passivos detidos
poderá ter impactos muito significativos na capacidade de resposta da instituição,
“9. O Plano de Contingência deve contemplar uma estratégia clara e detalhada para a obtenção de
financiamento em situação de crise, que incorpore uma previsão dos recursos financeiros disponíveis e
defina meios de financiamento alternativos.
O Planeamento de Contingências deve incluir uma componente financeira que assegure uma adequada
capacidade de resposta da instituição a dificuldades desta natureza, quer estas tenham origem numa crise
puramente financeira, quer surjam em consequência de um evento de natureza operacional.
Refira-se, aliás, que uma correcta gestão da liquidez exige que as instituições não apenas avaliem a sua
posição numa base contínua, mas que também antecipem a tendência de evolução das necessidades de
liquidez em diferentes cenários, incluindo em condições adversas. A este respeito, será de especial utilidade
o recurso a análises de stress testing.
Em face das necessidades identificadas, deverá ser definida uma estratégia para fazer face a crises de
liquidez que inclua procedimentos para ultrapassar a escassez de liquidez em situações de emergência e que
assegure meios de obtenção de liquidez em condições extraordinárias. Esses procedimentos podem
consubstanciar-se, por exemplo, na contratação de linhas de crédito de contingência, na celebração de
acordos de cedência de liquidez com outras instituições (de preferência activas em outros sistemas
financeiros, de modo a prevenir a indisponibilidade destes meios de liquidez face a casos de crise sistémica),
ou mesmo em pré-acordos com accionistas para injecções de capital.
A estratégia definida e os procedimentos previstos devem possibilitar a estimativa rigorosa do montante de
fundos potencialmente disponíveis em situações de emergência, bem como os cenários em que esses fundos
podem ser usados, e ainda os respectivos custos. Todas as condicionantes de acesso a estes recursos devem
ser explicitadas (nomeadamente períodos de pré-aviso) de modo a ser possível antecipar igualmente
situações eventuais de indisponibilidade dos mesmos.
A eficácia do Plano de Contingência beneficiará ainda se as medidas a adoptar e os meios a recorrer forem
claramente relacionados aos diferentes cenários considerados.”
8
nomeadamente no que respeita à capacidade de liquidação de posições ou ao acesso aos
meios de financiamento alternativos”).
Assim, o requisito de existência de um plano de contingência financeiro encontra-se previsto no
Decreto-Lei n.º 104/2007, de 2 de Abril, o qual estabelece, no ponto X do seu Anexo, que “a
instituição de crédito deve dispor de políticas e procedimentos para avaliar e gerir a sua situação de
financiamento líquido e os seus requisitos de fundos próprios líquidos numa base contínua e
prospectiva” e que “devem ser instituídos planos de emergência para fazer face a uma eventual crise
de liquidez”.
Estas disposições irão ser aprofundadas no âmbito da transposição da Directiva 2009/111/CE do
Parlamento Europeu e do Conselho, de 16 de Setembro de 2009, que altera, entre outras, a Directiva
2006/48/CE do Parlamento Europeu e do Conselho, de 14 de Junho de 2006. Nesse contexto, irão ser
estabelecidos requisitos reforçados em matéria de gestão do risco de liquidez e da planificação de
contingência, que abordam grande parte dos princípios que actualmente constam da Carta-Circular
n.º 100/2005, incluindo a necessidade de serem identificados cenários de contingência, de os planos
serem aprovados pela administração e de serem consideradas as circunstâncias excepcionais de uma
situação de crise, para além da determinação para a realização de stress tests e de testes regulares aos
planos.
Além disso, a Instrução n.º 32/2009, sobre stress tests, estabelece a obrigatoriedade de serem
realizados stress tests sobre todos os riscos materiais, incluindo o risco de liquidez, estabelecendo
igualmente que a responsabilidade pela incorporação destes testes na gestão do risco da instituição
compete ao órgão de administração. Estabelece-se ainda que os stress tests deverão constituir um
instrumento no âmbito do processo de planeamento e gestão do capital e da liquidez. Por último,
também nesta Instrução se estabelece que devem ser tomadas em consideração as circunstâncias
excepcionais de uma situação de crise.
Apesar de os princípios assinalados nos parágrafos anteriores já se encontrarem, na sua maioria,
contemplados noutros diplomas legais e regulamentares em vigor, a verdade é que a “revogação” da
Carta-Circular implica que esses normativos deixem de estar sistematizados e estruturados num
documento único. Poderia justificar-se, portanto, ponderar uma iniciativa regulamentar
especificamente sobre “gestão de crises financeiras” ou “planificação de contingências financeiras”,
tendo em vista definir um quadro integrado, abrangente e aprofundado sobre as estratégias, políticas e
procedimentos que devem ser observados pelas instituições para planear, antecipadamente, eventuais
9
situações de dificuldade financeira. No entanto, considera-se que tal iniciativa não é oportuna, no
imediato, uma vez que este é um dos temas que está presentemente em debate a nível europeu e em
relação ao qual, como tal, existe ainda muita incerteza quanto ao alcance que poderão ter as
recomendações/requisitos sobre esta matéria. Importa referir que a Comissão Europeia tem vindo a
incluir o tema da planificação de contingências na discussão sobre o futuro enquadramento para
gestão de crises financeiras, prevendo-se que daí resultem obrigações acrescidas para as instituições,
não só em matéria de planeamento para a obtenção de financiamento alternativo, em situações de
crise, como de planeamento para a obtenção de fundos próprios, e ainda de planeamento de uma
eventual “resolução”, ou mesmo liquidação da instituição. É de esperar, como se compreende, que do
debate internacional em curso resultem princípios e regras que vão bastante mais além dos conteúdos
actualmente previstos na Carta-Circular n.º 100/2005, por darem eventualmente resposta a
necessidades que, em 2005, não eram antecipáveis, mas que foram evidenciadas pela crise financeira
internacional.
Além disso, para este tema aproveitam também eventuais princípios qualitativos sobre a gestão do
risco de liquidez, que actualmente não são objecto de regulação autonomizada em Portugal. Tais
princípios têm vindo a ser desenvolvidos no âmbito do Comité de Basileia e do CEBS5, mas não
estão ainda concluídos os trabalhos, a nível internacional, quanto a um novo regime regulamentar do
risco de liquidez.
Em face do exposto, e em síntese, a eminente “revogação” da Carta-Circular n.º 100/2005 não irá
justificar, a curto prazo, qualquer outra iniciativa regulamentar relacionada com a gestão de crises
financeiras, mas salienta-se que, actualmente, o Decreto-Lei n.º 104/2007 e a Instrução n.º 32/2009
abordam já os principais conteúdos da componente financeira da Carta-Circular n.º 100/2005, sendo
ainda importante ter presente que a transposição da Directiva 2009/111/CE irá reforçar as disposições
do Decreto-Lei n.º 104/2007 sobre este tema. No futuro, é de esperar que seja definido um quadro
mais estruturado sobre planificação de contingências de âmbito financeiro, à luz dos resultados do
debate sobre o enquadramento europeu de gestão de crises financeiras.
5 O acrónimo CEBS refere-se ao Comité Europeu de Supervisores Bancários ou, em inglês, Committee of
European Banking Supervisors.
10
b) Clarificação quanto à natureza das recomendações e à sua supervisão
Foi solicitada clarificação quanto ao modo como deve ser entendido e seguido pelas entidades
financeiras o conteúdo das Recomendações agora apresentadas, assim como quanto ao modo como a
supervisão irá acompanhar a sua observância.
Em particular, propôs-se que fossem assinaladas, por um lado, as orientações cuja aplicação é
recomendada de acordo com a definição expressa no documento; e, por outro lado, as outras sugestões
cuja implementação seja aceite como dependente não só de considerações sobre grau de resiliência
mas também de tempo de implementação, custos associados, grau de probabilidade (riscos) assumidos
pela entidade, etc.
Resposta do CNSF:
O CNSF reitera que as Recomendações são um conjunto de princípios e boas práticas que devem ser
implementados e aprofundados pelas instituições de acordo com as respectivas características e
atendendo a critérios de proporcionalidade, tendo em vista nortear, quer a implementação, quer o
aperfeiçoamento das políticas e das estratégias das instituições em matéria de GCN.
Estando esta matéria em franca evolução, e sendo as Recomendações dirigidas a um conjunto muito
heterogéneo de destinatários – sublinha-se que esta iniciativa abrange todos os sectores de actividade
do sistema financeiro –, o CNSF não considera apropriado, pelo menos nesta fase, categorizar ou
estabelecer qualquer hierarquia ou grau de prioridade quanto ao conjunto de recomendações proposto
sob pena de condicionar as opções ao dispor de cada uma das instituições.
A classificação das recomendações, na perspectiva do CNSF, transmitiria a ideia errada de que estas
seriam diferenciadas e de que os reguladores dariam maior valor a determinados aspectos da GCN em
detrimento de outros. Na realidade, precisamente por se tratar de “boas práticas”, todas as
Recomendações merecem igual ênfase e todas devem ser objecto de implementação.
Sem prejuízo do referido, o CNSF reconhece que, nesta matéria, não existem soluções universais e que
a GCN deve respeitar as características próprias de cada instituição. Também se reconhece que nem
todas as instituições do sistema financeiro nacional têm necessidade de implementar todos os aspectos
abrangidos pelas Recomendações. É nessa medida que se admite que as instituições não observem
determinadas Recomendações ou adoptem opções distintas , apenas se impondo que, nestes casos, seja
11
demonstrado às autoridades de supervisão que as opções adoptadas conferem um grau de resiliência
apropriado e são aquelas que mais se adequam à realidade da instituição.
c) Clarificação quanto ao conceito de “Gestão da Continuidade de Negócio” e sua abrangência
Foi manifestada preocupação relativamente à definição de conceitos relacionados com a Gestão de
Continuidade de Negócio, tendo sido referida a necessidade de “estabelecer um entendimento comum
e uniforme, de que a Gestão da Continuidade de Negócio deve abarcar duas vertentes fundamentais
que devem ser devidamente articuladas: a Continuidade Operacional, que visa garantir a continuidade
das operações (processos, pessoas, relações com parceiros e fornecedores, etc.); e a Recuperação
Tecnológica, que visa assegurar o restabelecimento das condições tecnológicas de suporte à actividade
(comunicações, aplicações, dados informatizados e respectivas infra-estruturas técnicas)”.
Resposta do CNSF:
O CNSF está de acordo com a referida necessidade de clarificar os conceitos associados à temática da
GCN, mas gostaria de chamar a atenção para o facto de que o segundo parágrafo da Introdução às
Recomendações esclarece que “[a] gestão da continuidade de negócio contempla […] dois conceitos
centrais, que se complementam: a continuidade operacional, que corresponde a uma situação em que a
actividade é desempenhada sem interrupções ou com o mínimo de perturbações possível; e a
recuperação, nomeadamente após a verificação de um evento que provoque uma interrupção, completa
ou parcial, do negócio ou que de algum modo impossibilite o seu desenrolar nos padrões habituais”.
Ainda assim, optou-se por, na versão final das Recomendações, incluir informação adicional na
definição de “continuidade operacional”, passando esta a descrever-se como “a continuidade
operacional […] corresponde a uma situação em que a actividade é desempenhada sem interrupções
ou com o mínimo de perturbações possível em termos de processos, pessoas, relações com parceiros e
fornecedores, entre outros”. No que respeita ao conceito de recuperação, aproveita-se para promover
um ligeiro ajustamento na redacção, que passa a ser “a recuperação […] visa assegurar o
restabelecimento da actividade nomeadamente após a verificação de um evento que provoque uma
interrupção, completa ou parcial, do negócio ou que de algum modo impossibilite o seu desenrolar nos
padrões habituais.”
12
Note-se, no entanto, que o CNSF considera que a recuperação não está única e exclusivamente ligada
à componente tecnológica, mas que tem uma abrangência maior, estendendo-se a todas as vertentes
que tenham sido afectadas por uma eventual interrupção não planeada da actividade.
d) Sobre o acompanhamento dos desenvolvimentos registados na GCN das instituições
Foi sugerida a adopção, por parte das instituições, de sistemas de avaliação e indicadores de
desempenho da capacidade de GCN, avalizados pelo CNSF e utilizando critérios comummente aceites
e alinhados com as melhores práticas internacionais – ou seja, com os princípios orientadores previstos
nas Recomendações. Os resultados individuais estariam acessíveis a cada uma das instituições
supervisionadas, por comparação com a média do sector ou da sua área.
Foi também sugerido que as organizações adoptem um conjunto de métricas caracterizadoras das
respectivas políticas de GCN, como por exemplo: número de entidades funcionais da organização;
número e percentagem de entidades funcionais que designaram um responsável pela identificação e
actualização da lista de activos críticos da entidade funcional; número de activos críticos por unidade
funcional da organização; variação percentual face ao último período reportado; número de activos
críticos de IT por activo crítico.
Estas métricas seriam objecto de reporte às autoridades de supervisão e facilitariam o processo de
auditoria e de supervisão, demonstrando o nível de abrangência e evolução do plano de gestão da
continuidade do negócio de uma dada organização.
Resposta do CNSF:
O CNSF reconhece que a definição de indicadores de avaliação de desempenho ou de métricas que
permitam caracterizar sumariamente as políticas de GCN das instituições seria facilitador, não apenas
do processo de supervisão, mas – talvez mais importante ainda – do processo de auto-avaliação das
próprias instituições financeiras, na medida em que permitiria a comparabilidade e, dessa forma,
possibilitaria a realização de peer reviews, com inerentes efeitos disciplinadores sobre as instituições
com políticas e planos de GCN menos desenvolvidos.
Não obstante, o CNSF entende que tal medida não é consentânea com a abordagem que preside à
emissão das actuais Recomendações e com a sua natureza não vinculativa. Com efeito, uma vez que as
instituições terão flexibilidade para adoptar as estratégias e políticas que mais de adeqúem à sua
13
realidade concreta, seria legítimo que, em certas circunstâncias, determinada instituição não se
enquadrasse nas métricas padronizadas, o que, não significando um menor nível de resiliência, poderia
transmitir uma imagem errada da qualidade e do grau de implementação da GCN nessa instituição.
Considera-se, por isso, que a estandardização inevitavelmente associada à definição de métricas não é
compatível com a filosofia destas Recomendações.
Além disso, a imposição de métricas e indicadores requer que seja cumprido um conjunto de pré-
condições. Seria necessário, por um lado, que se atingisse um nível mínimo de maturidade na
implementação de estratégias de GCN, algo que o CNSF ainda não conseguiu confirmar para todo o
sistema financeiro – mais uma vez, salienta-se que as Recomendações se destinam a todos os sectores
do sistema financeiro. Seria necessário também que se identificassem as práticas comuns ou
tendências nas opções das instituições ao nível da GCN, o que o CNSF apenas conseguiu fazer para
um determinado substrato do sistema financeiro. Em todo o caso, o CNSF admite que estas propostas
possam ser recuperadas no futuro.
O CNSF assinala também que o facto de não ser oportuno que a definição de métricas seja imposta
pelas autoridades de supervisão, de modo a não prejudicar que as instituições financeiras
desenvolvam, por sua própria iniciativa, indicadores ajustados às suas características, que lhes
permitam monitorizar o desenvolvimento das suas estratégias de GCN.
e) Sobre um eventual plano de gestão de incidentes
Foi assinalado que a eficácia de um Plano de GCN, e implicitamente das recomendações apresentadas
pelo CNSF, reside na capacidade de as organizações manterem um estado de alerta e preparação para
lidar com a ocorrência de desastres.
Foi, assim, sugerido o desenvolvimento, implementação e manutenção de um plano de gestão de
incidentes que descreva a “avaliação, mitigação, contenção, reporting e resposta” a incidentes de
forma integrada com o PGCN.
Foi ainda proposto que, acima de um determinado nível de duração, impacto, ou de um determinado
número de ocorrências de um determinado tipo de incidente, as instituições deveriam reportar a sua
ocorrência às autoridades de supervisão, independentemente de terem accionado o seu PCN.
14
Resposta do CNSF:
O CNSF concorda que a eficácia de um plano de GCN é tanto maior consoante as organizações
mantenham um estado de alerta e de preparação permanente para a ocorrência de eventos ou
incidentes. Aliás, a definição de GCN que é apresentada nas Recomendações do CNSF refere,
expressamente, que a mesma deve abranger, não apenas a recuperação do negócio, mas também a
“prevenção de desastres”.
Neste sentido, considera-se que o registo histórico dos incidentes ocorridos numa instituição, com
indicação das respectivas origens e das medidas para os resolver, entre outra informação
potencialmente relevante, constitui um instrumento útil para melhorar a eficácia da prevenção de
desastres e pode conter informação importante para o planeamento no âmbito da GCN. Nessa
perspectiva, é pertinente a articulação entre um plano de gestão de incidentes eventualmente existente
na instituição e as respectivas políticas de GCN. Ainda assim, o CNSF entende que este tipo de
medida configura uma forma de operacionalização dos princípios básicos sobre GCN, e não justifica
ser integrado no texto das Recomendações, sob pena de este se tornar demasiado prescritivo.
Relativamente ao dever de reporte de ocorrências de incidentes nas instituições financeiras às
autoridades de supervisão, o CNSF considera que este vai para além dos objectivos destas
recomendações e que não se deve optar por um regime obrigatório nesta questão.
f) Repositório central de informação sobre GCN
Foi proposta “a criação de uma plataforma centralizada onde resida informação e ferramentas de
suporte à implementação das recomendações; informação relativa ao status de cada organização
(acessível apenas à organização e às entidades supervisoras); informação estatística sobre o estado do
sector relativamente às recomendações e a resultados de auditorias realizadas”.
Resposta do CNSF:
A ideia proposta tem contornos muito interessantes, embora, no entendimento do CNSF, seja ainda
prematuro instituir este tipo de iniciativa. É necessário ter em conta que o estádio de evolução das
várias instituições que integram o sistema financeiro português é muito díspar e, como tal, nem todas
poderiam contribuir de igual modo (vide igualmente resposta à alínea d) supra).
15
Por outro lado, parece levantar-se também outro tipo de questões, designadamente no que respeita à
gestão e manutenção de tal informação, bem como no que respeita à confidencialidade da informação
gerida. Neste sentido, o CNSF considera que as associações que representam as instituições
financeiras constituem fora mais adequados para lidar com este tipo de iniciativa.
g) Sobre a vertente “macro” da GCN
i. Exercícios de simulação
Foi assinalado que a realização de testes e exercícios de simulação integrados do sistema financeiro
seria um catalisador da resiliência do sistema financeiro, tendo sido sugerido que as autoridades de
supervisão equacionem assumir um papel proactivo na realização e organização destes exercícios (ou,
pelo menos, que neles participem), que poderiam incluir, não apenas as instituições financeiras, como
também entidades prestadoras de serviços cuja inoperacionalidade possa causar um impacto negativo
relevante no sistema financeiro.
ii. Comunicação
Foi manifestada a opinião de que a Política de comunicação a que alude a Recomendação 9 não deve
restringir-se à política de comunicação de cada uma das instituições, mas ser encarada como uma
necessidade global e integrada do sistema financeiro como um todo. Nesse sentido, foi sugerido que o
papel das autoridades de supervisão, participando activamente na definição de protocolos de
comunicação que garantam o acesso/divulgação atempado de informação fidedigna, pode revelar-se
essencial.
iii. Colaboração e articulação entre as instituições
Foi referido que a cooperação bidireccional entre as instituições do sistema financeiro, por um lado, e
as autoridades de supervisão, enquanto elo enquadrador e de articulação com o interesse público num
cenário de catástrofe, por outro lado, potencia respostas passíveis de ir além da componente financeira.
Em particular, foi sugerido, como exemplo, que a capilaridade das redes de sucursais bancárias poderá
constituir uma rede alternativa de distribuição e recolha de informações de interesse geral à população,
a nível nacional, regional ou local, em caso de desastre.
Foi também sugerido que a concretização do princípio que preconiza os contactos regulares entre as
instituições financeiras em matéria de GCN, de modo a estimular a partilha de conhecimentos e
experiências na matéria, seja dinamizada pelas associações representativas das instituições financeiras.
16
Foi assinalada a importância e a urgência de serem promovidas formas de colaboração permanente
entre as instituições financeiras com os seguintes objectivos principais: (i) Análise de riscos sistémicos
e estudo de formas de os minimizar nomeadamente ao nível da comunicação em situação de desastre e
da especificação de procedimentos de contingência a utilizar nos processos em que interagem; (ii)
Estratégia concertada de relacionamento e de exigência com os grandes fornecedores críticos comuns
às diferentes instituições que são capazes de serem, por si sós, factor de risco sistémico caso fiquem
inoperacionais.
iv. Disponibilidade de infra-estruturas alternativas
Foi ainda defendido que seria importante reforçar que é indispensável as instituições assegurarem
infra-estruturas alternativas exclusivas num quadro de cobertura de riscos simultâneos em diferentes
instituições.
Resposta do CNSF:
O CNSF reconhece a importância de que o desenvolvimento das competências em matéria de GCN a
nível de cada instituição financeira seja complementado por iniciativas que explorem as
interdependências entre os diversos actores num cenário de desastre.
Em especial, a realização conjunta de simulacros de desastre, no âmbito dos quais as instituições
financeiras e, porventura, outros intervenientes, possam testar as suas estratégias e planos de resposta
ao desastre de forma simultânea, pode ser essencial para identificar vulnerabilidades na resiliência do
sistema financeiro, para além de outros benefícios.
Em geral, aliás, a coordenação e a articulação entre as instituições financeiras afigura-se essencial para
que se atinjam níveis adequados de resiliência no sistema financeiro, pelo que o CNSF registou com
apreço as diversas propostas que foram apresentadas a este respeito, algumas das quais realmente
inovadoras. Concorda-se, por exemplo, que a existência de contactos regulares entre as instituições
estimula a partilha de conhecimentos e contribui para que sejam difundidas as melhores práticas. Do
ponto de vista do CNSF, são particularmente interessantes as propostas para que se instituam
procedimentos de cooperação regulares entre as instituições, o que aliás vai de encontro àquilo que se
prevê na Recomendação 8, bem como a ideia de utilizar a capilaridade das sucursais e agências das
instituições financeiras para fins relacionados com o apoio às populações, em cenário de catástrofe.
17
No entanto, a designada componente “macro” da GCN encontra-se fora do âmbito das presentes
Recomendações, conforme referido no documento de consulta.
Com efeito, a temática da GCN encontra-se ainda em estado de desenvolvimento no sistema
financeiro nacional, sem prejuízo de ser conhecimento das autoridades de supervisão que existem
algumas instituições e grupos financeiros que dispõem já de estratégias e políticas evoluídas neste
domínio. O CNSF optou, assim, por se concentrar, num primeiro momento, na disseminação das
competências essenciais em matéria de GCN, cujo primeiro passo consiste na publicação das presentes
Recomendações e cuja sequência será assegurada no âmbito do acompanhamento regular da respectiva
implementação, a realizar pelas autoridades de supervisão.
O CNSF registou o interesse, as propostas e os argumentos suscitados pelos participantes na consulta
pública a propósito da componente “macro” e terá estes elementos em consideração se e quando vier a
ponderar intervir neste domínio.
Em todo o caso, o CNSF assinala que as associações que representam as instituições financeiras
também podem desempenhar um papel muito importante, e possivelmente insubstituível, nesta
matéria, uma vez que é às próprias instituições que compete, em primeira instância, fazer a
aproximação mútua no sentido da concertação e da colaboração.
No que respeita à sugestão para que as instituições assegurem infra-estruturas alternativas exclusivas,
a mesma já se encontra contemplada na Recomendação 7, designadamente na seguinte passagem:
“Uma instituição deve dispor de uma ou mais infra-estrutura alternativas que lhe permitam fazer face a
uma situação de contingência que possa provocar a inoperacionalidade da infra-estrutura primária. No
entanto, caso tal situação seja inexequível, pode recorrer à subcontratação desse tipo de serviço a
prestadores de serviços especializados, procurando a obtenção de direitos exclusivos para a utilização
das infra-estruturas alternativas contratadas.”
h) Formação de competências em GCN
Foi proposto que as autoridades de supervisão, directamente ou através de outros organismos,
nomeadamente a Associação Portuguesa de Bancos e a Associação Portuguesa de Seguradores,
tenham uma contribuição na definição de programas de formação específica sobre Continuidade de
Negócio destinados ao universo de colaboradores das instituições financeiras.
18
Resposta do CNSF:
O CNSF reconhece que a formação específica sobre Gestão da Continuidade de Negócios reforça o
conhecimento dos colaboradores das instituições financeiras e contribui de uma forma inequívoca para
a melhoria dos respectivos planos de continuidade de negócio. Todavia, o CNSF considera que não é
às autoridades de supervisão que compete definir nem implementar programas de formação destinados
às instituições supervisionadas, não só porque tal não se enquadra nas suas atribuições, como porque
isso poderia implicar que o conjunto de Recomendações passasse a ser visto como uma solução
universal ou um modelo único para a GCN. Ao longo deste processo, o CNSF tem tentado adoptar
uma postura isenta de qualquer regime prescritivo de soluções técnicas específicas ou de modelos de
GCN de modo a não comprometer a independência inerente a um regime recomendatório.
Ainda neste particular, no parecer do CNSF, a sugestão de envolvimento directo e proactivo das
associações que representam as instituições financeiras será mais adequada.
i) Prazos para implementação das Recomendações
Foi salientado que “o projecto de Recomendações e a Carta Introdutória que o acompanha não fazem
qualquer referência à existência de um prazo para desenvolvimento e implementação das medidas
apontadas nas diferentes Recomendações”, prazo este que permitiria “uma planificação das acções
necessárias ao cumprimento das Recomendações em análise”. Em sequência, foi proposta a definição
de um prazo não inferior a um ano, excepto no caso do disposto na Recomendação 7, relativa à
operacionalização de infra-estruturas alternativas, em que “o prazo a ser definido não deverá ser
inferior a dois anos em virtude do elevado investimento associado”.
Resposta do CNSF:
O CNSF considera que, no que respeita à implementação de Recomendações, e em coerência com a
abordagem não vinculativa, não parece ser adequada a referência a um prazo mínimo. Com efeito, a
sua adopção depende da realidade de cada uma das instituições abrangidas (em linha com o princípio
da proporcionalidade) e do seu estádio de evolução em termos de práticas de GCN. Adicionalmente,
as referidas Recomendações apelam ainda a um processo de melhoria e adaptação contínuas à situação
de cada instituição, não sendo adequado considerar que existe um ponto a partir do qual as
Recomendações se consideram “totalmente implementadas”.
19
Ainda assim, o CNSF reconhece a necessidade de esclarecer que existe uma necessidade de
acompanhamento das instituições no que respeita à adopção daquelas Recomendações, o qual poderá
passar pela realização de questionários de ponto de situação, à semelhança do que foi efectuado pelo
Banco de Portugal em relação à implementação das orientações previstas na Carta-Circular
n.º 100/2005, de 26 de Agosto.
Neste sentido, foi adicionado o seguinte parágrafo à Introdução das Recomendações: “Sem prejuízo de
outras eventuais iniciativas relacionadas com a GCN, que incidam sobre uma ou mais instituições no
âmbito dos respectivos processos de supervisão, o CNSF admite proceder a uma avaliação do grau de
observância destas Recomendações pelas várias instituições, a fim de verificar a necessidade de se
proceder à sua actualização ou adaptação, tendo em conta, quer a experiência entretanto recolhida
junto das instituições, quer as alterações ao nível das condicionantes de risco a que as instituições
possam estar sujeitas, e ainda outros desenvolvimentos que se venham a registar em relação a esta
matéria”.
Prevê-se que estas iniciativas venham a ser concretizadas no espaço de um ou dois anos a contar a
partir da publicação destas Recomendações por parte de cada uma das autoridades de supervisão que
compõem o CNSF.
20
4. COMENTÁRIOS ÀS RECOMENDAÇÕES
a) Recomendação 1
As instituições devem dispor de uma política de gestão da continuidade de negócio que reflicta o
seu perfil de risco e seja proporcional à natureza das suas actividades e à sua dimensão e
complexidade.
i. Clarificação de terminologias
Foi defendido que a utilização da palavra “Política” no contexto deste documento deve implicar de
forma clara a necessidade de uma estratégia da organização relativamente à Continuidade de Negócio
de forma integrada com o seu perfil de risco, actividades, dimensão e complexidade. Advoga-se que,
ao utilizar o termo “Política” as organizações poderiam cair no erro de formular e descrever um
conjunto de actividades sem que estas estejam devidamente integradas nos seus processos de negócio
e, deste modo, desassociar as actividades de CN da evolução do seu negócio, estando a criar um
documento, ou conjunto de documentos, estático e que não acompanha a evolução do seu perfil de
risco, dos seus processos e do seu enquadramento no tecido financeiro em que existem. Em sequência,
foi sugerida a utilização do termo “Estratégia de Continuidade de Negócio” que, por sua vez, poderá
materializar-se em políticas ou procedimentos adequados a cada tipo de evento passível de afectar o
funcionamento contínuo do negócio.
Resposta do CNSF:
A sugestão mereceu a devida ponderação por parte do CNSF, tendo-se optado por manter a
terminologia que consta do documento de consulta. O CNSF privilegia o conceito de “política”, na
perspectiva de que a política tem necessariamente subjacente uma determinada estratégia e, nessa
medida, traduz o modo como a instituição se propõe implementar a estratégia delineada. Além disso, o
CNSF não concorda que exista o risco referido no comentário, tanto mais que, no entendimento do
CNSF, o texto das Recomendações define e caracteriza, de forma clara, aquilo em que deve consistir a
política de GCN.
21
ii. Papel do órgão de administração
Foi sugerido que a política/estratégia/metodologia de GCN devesse ser aprovada em sede de órgão de
administração, de modo a garantir o alinhamento com os objectivos da instituição.
Resposta do CNSF:
Apesar de o essencial desta sugestão já se encontrar contemplado na Recomendação 2, que estabelece
que a responsabilidade por promover a resiliência da instituição compete ao órgão de administração, o
CNSF reconhece que se pode justificar reforçar a responsabilidade formal desse órgão, pelo que se
considerou que esta proposta deve integrar o texto final das recomendações. Muito embora este
comentário tenha sido referente à Recomendação 1, o CNSF entende que deve integrar o texto da
Recomendação 2 porque é nesta recomendação que é definida a estrutura de responsabilidade pela
GCN.
Assim, o texto explicativo da Recomendação 2 foi alterado do seguinte modo: “Nesse contexto, o
órgão de administração deve considerar a gestão da continuidade de negócio como constituindo parte
integrante da gestão de risco, articulando-a também com as políticas de controlo interno da instituição,
sendo os responsáveis máximos pela implementação e desenvolvimento da política de gestão da
continuidade de negócio. Esta deve, por isso, ser objecto de aprovação em sede de órgão de
administração, ao qual compete também assegurar um acompanhamento próximo do processo de
implementação e desenvolvimento e promover uma discussão regular sobre GCN nas suas reuniões.”
b) Recomendação 2
A salvaguarda da resiliência de uma instituição financeira constitui responsabilidade do órgão de
administração.
22
i. Clarificação da responsabilidade do órgão de administração
No comentário é proposta a adição da palavra “formal” à Recomendação, alterando o texto da
recomendação para “A salvaguarda da resiliência de uma instituição financeira constitui
responsabilidade formal do órgão de administração”. Esta proposta teria o intuito de reforçar “a
necessidade de intervenção do órgão de administração neste processo, bem como a necessidade de se
nomear, de forma clara, um responsável pelo mesmo no âmbito daquele órgão”. É ainda referido que
“O reforço da responsabilidade e a nomeação de um membro do órgão de administração reflecte
também a necessidade de se dar maior visibilidade a esta questão nas várias instituições”.
Resposta do CNSF:
O CNSF considera fundamental que o órgão de administração tenha um papel claro e inequívoco em
toda as vertentes da GCN e esse entendimento está reflectido nas Recomendações.
No entanto, a adição da palavra “formal” ao texto da Recomendação não parece ser, na opinião do
CNSF, imprescindível ou até mesmo desejável. Com efeito, ao reforçar a necessidade de formalização
neste caso concreto, poder-se-ia induzir o leitor em erro, por contraposição a outras atribuições do
órgão de administração que não tenham sido explicitamente adjectivadas no sentido de requerer uma
formalização, podendo acarretar erros de interpretação.
Ainda assim, o CNSF crê ser meritória a proposta de referir que deve ser nomeado, de forma clara, um
responsável pela GCN no âmbito do órgão de administração, independentemente da existência de
outras estruturas de responsabilidade que coincidam ou não com a deste órgão. Neste sentido, foi feito
um aditamento ao texto explicativo da Recomendação 2: “A competência pela implementação da
política de gestão da continuidade de negócio pode, contudo, ser delegada num comité criado para o
efeito ou em outra unidade de estrutura ou responsável que se julgue adequada, o que não afasta,
contudo, a responsabilidade principal do órgão de administração. Para esse efeito, deverá ser
designado, no seio do órgão de administração, um interlocutor para as matérias relacionadas com a
GCN”.
23
ii. Reordenação
Foi sugerido que a Recomendação 2 passasse a ocupar o primeiro lugar na ordenação das
Recomendações, argumentando-se que “a estratégia da instituição deve partir do seu órgão de
administração de modo a reflectir exactamente os objectivos no seio da instituição”.
Resposta do CNSF:
O CNSF entende que a estrutura de Recomendações que consta do documento de consulta reflecte
uma lógica coerente, pelo que, embora compreendendo os argumentos apresentados, continua a
considerar-se mais adequada a ordenação inicialmente proposta. Com efeito, a lógica seguida pelo
CNSF é a de que, em primeiro lugar, deve ser definida a recomendação genérica quanto à existência
de uma política de GCN, clarificado o seu âmbito e enquadrada essa temática dentro da instituição
(Recomendação 1), e que apenas de seguida se estabeleça a estrutura de responsabilidades que suporta
a GCN (Recomendações 2 e 3), para que depois seja caracterizado o processo de GCN.
c) Recomendação 3
A política de gestão da continuidade de negócio deve contemplar uma definição clara das
responsabilidades em caso de desastre.
i. Clarificação de terminologia
Foi sugerido evitar o termo “Política”, sendo que, neste caso, se argumenta que a definição das
responsabilidades deve ser função da resposta da instituição a um desastre, a qual, por sua vez,
dependem do tipo de evento, o que tornaria a definição de responsabilidades num factor operacional e
não de política.
Em concreto, foi proposto alterar o texto da Recomendação para “A instituição deve prever, nos seus
procedimentos operacionais, a definição clara das responsabilidades em caso de desastre”.
Alega-se ainda que, com esta alteração, se reforça a ideia de que as instituições devem preparar os
seus planos ou procedimentos de continuidade de negócio de acordo com os vários riscos a que se
24
encontram sujeitas e não procurar uma solução universal que cubra todos os casos, e ainda que se
permite às instituições delegar as responsabilidades a equipas ou indivíduos que, de acordo com o tipo
de evento, estejam melhor preparados para responder, ao invés de depositar todas as responsabilidades
numa equipa estática.
Resposta do CNSF:
O CNSF considera que as preocupações do respondente já se encontram acauteladas na versão das
Recomendações sujeita a consulta pública e que, como tal, não se justifica a alteração proposta.
Importa, no entanto, esclarecer que a Recomendação 3 aborda, exclusivamente, a estrutura de
responsabilidades, i.e. refere-se às funções de administração/gestão/coordenação/chefia, e não
propriamente à atribuição de tarefas operacionais. Pretende-se, com a Recomendação 3, que as
políticas de GCN estabeleçam, de forma clara, qual a linha de comando numa situação de emergência.
A constituição de equipas operativas não se enquadra no âmbito da Recomendação 3, estando
contemplada na Recomendação 10 sobre o plano de continuidade de negócio. Essa Recomendação
estabelece, precisamente, orientações quanto aos procedimentos operacionais em situação de desastre
e quanto à constituição de equipas de resposta.
Quanto à alegação de que a actual redacção poderá ser interpretada como preconizando a existência de
uma equipa estática, o CNSF considera que as Recomendações são suficientemente claras em defender
o contrário, nomeadamente a existência de equipas ajustadas a cada função de negócio, bem como a
necessidade de o PCN ser um instrumento dinâmico, continuamente revisto e adaptado à evolução do
negócio.
d) Recomendação 4
As instituições devem implementar um processo de gestão da continuidade de negócio que
compreenda, pelo menos, as etapas de análise do impacto no negócio, a definição de uma estratégia de
recuperação e um plano de continuidade do negócio (PCN), assim como programas de testes,
formação e sensibilização de todos os colaboradores, a todos os níveis da instituição.
25
i. Clarificação de terminologia
Foi proposta uma alteração ao texto da recomendação, que passaria a ter a seguinte redacção: “As
instituições devem implementar um processo de gestão da continuidade de negócio, integrado nos
seus processos de negócio, que compreenda, pelo menos, as etapas de análise do impacto no negócio,
a definição de estratégias de recuperação adequadas e procedimentos para a sua efectivação, assim
como programas de testes, formação e sensibilização de todos os colaboradores, a todos os níveis da
instituição. Este processo deve identificar de forma clara os responsáveis e participantes nas
actividades que o constituem”.
Resposta do CNSF:
O intuito desta Recomendação “agregadora” é, essencialmente, resumir aquelas que o CNSF considera
serem as etapas fundamentais do processo de GCN: a análise do impacto no negócio, a definição de
uma estratégia de recuperação, a criação e implementação de um plano de continuidade do negócio
(PCN) e a realização de testes, assim como a manutenção do mesmo.
No entanto, considerou-se que esta questão deveria ser clarificada no texto das Recomendações, pelo
que foi incluído um texto explicativo à Recomendação 4. Por outro lado, a ideia da integração da GCN
nos processos de negócio deve também ser considerada, tendo o texto dessa mesma Recomendação
sido alterado nesse sentido.
Já no que respeita à questão da identificação dos responsáveis e participantes nas actividades,
considera-se que a mesma está devidamente salvaguardada nas Recomendações 3 e 10.
ii. Reordenação
Foi sugerido que a Recomendação 4 passe a ser a Recomendação 3 “de modo a garantir uma sucessão
coerente: Responsabilidade -> Estratégia -> Processo -> Operacionalização -> Testes”.
Resposta do CNSF:
Em linha com o referido anteriormente, considera-se que esta recomendação se encontra
adequadamente posicionada. Com efeito, e tal como já referido anteriormente (vide resposta à alínea
b), número ii., relativa à Recomendação 2), a lógica seguida pelo CNSF é a de que, em primeiro lugar,
26
deve ser definida a recomendação genérica quanto à existência de uma política de GCN, clarificado o
seu âmbito e enquadrada essa temática dentro da instituição (Recomendação 1), que de seguida se
estabeleça a estrutura de responsabilidades que suporta a GCN (Recomendações 2 e 3), para que
depois seja caracterizado o processo de GCN, apoiado sobre as componentes descritas acima.
e) Recomendação 5
As instituições devem fundamentar o seu processo de gestão da continuidade de negócio num
exercício analítico de avaliação de impactos, para o negócio, de diferentes eventos (análise de impacto
no negócio). Esta análise deve permitir identificar as funções de negócio críticas para a instituição, os
principais factores dos quais depende a sua continuidade, tanto internos como externos, assim como os
níveis de protecção adequados perante diferentes cenários.
i. Sobre a utilização de um eventual modelo para a análise do impacto no negócio
Foi proposto que se estabelecesse que a Análise do Impacto no Negócio seja “suportada num Modelo
estruturado e ajustável à realidade concreta, quer da tipologia de actividade de cada instituição, quer
das respectivas áreas internas.” Segundo um dos respondentes, este Modelo deveria permitir “aferir
correctamente as Funções de Negócio críticas de acordo com os impactos a que as mesmas se
encontrassem expostas”.
No mesmo sentido, foi sugerido que se instituísse a necessidade de adopção de uma metodologia
formal para avaliação de risco, com base nas dimensões “impacto, probabilidade e detectabilidade”,
onde as escalas para cada uma destas dimensões se encontrem definidas e sejam aceites pelo mercado,
de modo a constituir uma base para procedimentos de auditoria, análises comparativas entre
organizações e entre estas e um valor, por percentil, do sector onde as organizações se inserem. Em
particular, foi proposto que se ponderasse “a utilização de uma metodologia formal comum para
identificação sistemática de cenários interrupção/falha e de avaliação dos mecanismos existentes numa
organização para prevenir e/ou mitigar os efeitos dessas interrupções/falhas”, tendo mesmo sido
apontada a metodologia designada Failure Modes and Effects Analysis (FMEA).
27
Resposta do CNSF:
Os comentários recebidos sobre a utilização de um eventual modelo para a análise do impacto no
negócio sugerem que seja preconizado um determinado modelo ou metodologia formal amplamente
testada e documentada. Porém, como explicado anteriormente, o CNSF considera que não se enquadra
na filosofia das recomendações preconizar qualquer modelo ou detalhar e identificar uma metodologia
concreta para efeitos de GCN, não só porque o universo das instituições visadas é muito heterogéneo,
mas também porque prescrever um modelo reduziria a flexibilidade de aplicação de soluções para
cumprir as recomendações propostas.
Aliás, o simples estabelecimento de um requisito (embora não vinculativo) quanto à utilização de um
modelo formal pode ser desajustado para um grande número de instituições financeiras nacionais,
dada a complexidade do seu negócio e a sua dimensão. Essencialmente, considera-se que o recurso a
um modelo formal não constitui um princípio básico da GCN.
O CNSF entende ainda que uma interpretação discricionária destas recomendações por parte das
instituições permitirá salvaguardar a proporcionalidade na adopção destas políticas, evitar impor
custos eventualmente significativos face ao impacto da sua actividade, mas simultaneamente
consciencializar as instituições que necessitam de alterações internas nomeadamente ao nível de
implementação de novos procedimentos e reforço da sua capacidade de resiliência.
ii. Sobre a utilização de uma eventual matriz de cenários de risco
Foi sugerido o reforço da noção de duração de um evento como forma de consciencializar as
organizações de que um mesmo evento poderá ser capaz de causar efeitos distintos consoante o
intervalo de tempo em que decorre.
Assim, foi proposto que se ponderasse preconizar o desenvolvimento de uma matriz de classificação
de eventos/incidentes cruzados com a “identificação de cenários de interrupção plausíveis”. Esta
matriz deveria caracterizar diferentes tipos de eventos/incidentes em função da sua duração e impacto,
e a acção apropriada a tomar em resposta à duração e impacto de cada um.
Resposta do CNSF:
O CNSF considera que esta proposta é de facto interessante e que pode ser incorporada nas políticas
de continuidade de negócio por todas as instituições financeiras que o queiram e estejam em condições
28
de o fazer. No entanto, preconizar a utilização de uma matriz de cenários de risco constitui um grau de
concretização das Recomendações que o CNSF não pretende atingir. Como já amplamente explicado,
as Recomendações constituem princípios orientadores e boas práticas, que se concentram nas matérias
que são consideradas mais básicas em matéria de GCN.
Também já foi explicado anteriormente que o CNSF considera que, ao detalhar demasiadamente os
procedimentos, estar-se-ia a ir além do âmbito das Recomendações e poder-se-ia incorrer no potencial
risco de limitar a actuação para a maioria das instituições financeiras visadas.
Em todo o caso, o comentário aborda uma questão que se justifica, efectivamente, ser reforçada no
texto das Recomendações. Com efeito, a noção de duração não se encontrava adequadamente
reflectida na Recomendação sobre a análise de impactos e o CNSF considera que, do ponto de vista
conceptual, é importante reforçar esse elemento.
Na versão submetida a consulta referia-se que a análise do impacto de negócio deve contemplar, entre
outras fases, a “identificação de cenários de interrupção plausíveis, incluindo estimativas das
respectivas probabilidades de ocorrência e da duração provável dos seus efeitos”, bem como a
“estimativa do período de tempo durante o qual a instituição pode suportar a interrupção”.
Entende-se que é importante reforçar este elemento através da alteração do seguinte parágrafo: “As
instituições devem, assim, ser capazes de caracterizar os cenários de acordo com um trinómio
probabilidade/impacto/duração, o que permitirá que a estratégias de recuperação incidam sobre os
cenários mais relevantes para a instituição”.
f) Recomendação 6
As instituições devem definir uma estratégia de recuperação das suas funções de negócio que permita
estabelecer os objectivos e as prioridades de recuperação das funções de negócio críticas tendo por
base os resultados da análise de impacto no negócio.
i. Clarificação quanto ao conceito de “tempos de recuperação”
Em relação à frase “As funções de negócio com tempos de recuperação mais curtos devem,
naturalmente, ser recuperadas em primeiro lugar”, que está incluída no texto explicativo da
29
Recomendação 6, foi referido que este princípio deveria ser aplicado “considerando sempre o critério
de criticidade das funções de negócio, porquanto algumas podem ter tempo de recuperação curto mas
não serem críticas”.
Resposta do CNSF:
Face ao comentário exposto, o CNSF considera que importa recorrer ao conceito de “objectivos de
recuperação”, de acordo com o qual o “tempo de recuperação” deverá ser definido em linha com
aquela que é considerada a criticidade de cada função de negócio. Ou seja, o tempo de recuperação já
reflecte, em si mesmo, a criticidade da função, pelo que à partida não se espera que uma instituição
venha a atribuir um tempo de recuperação curto a uma função de negócio que não considere ser
crítica.
ii. Periodicidade da salvaguarda de dados
Foi sugerido que a periodicidade seja um requisito concreto associado à Função de Negócio crítica a
recuperar, tal como sejam as condições técnicas, humanas e logísticas.
Resposta do CNSF:
O CNSF reconhece que a frequência de salvaguarda dos dados, tratando-se de um aspecto muito
importante, deve ser sempre ponderada pela criticidade da respectiva informação e pelo possível
impacto que a ausência desta venha a ter na continuidade do negócio após um determinado evento ou
incidente. Não se enquadrando no espírito destas Recomendações a definição de requisitos ou
orientações concretas, considerou-se que importaria reflectir tal princípio geral no texto das
Recomendações. Assim, o texto final da Recomendação 6 foi alterado de modo a incorporar a
sugestão: “Devem ainda ser definidos processos de arquivo e recuperação (backup) de dados
essenciais, incluindo informação detalhada sobre qual a informação a salvaguardar, o local de
armazenamento da informação, e a frequência associada, considerando que as funções críticas
deverão ter naturalmente uma periodicidade mais curta”.
30
g) Recomendação 7
O processo de gestão da continuidade de negócio deve garantir a existência de infra-estruturas
alternativas, incluindo físicas, informáticas e de comunicações.
i. Sobre as infra-estruturas alternativas
Foram consideradas excessivas as recomendações apresentadas para as infra-estruturas físicas
alternativas, situação que poderá implicar custos incomportáveis para as instituições.
Resposta do CNSF:
O CNSF reitera que as Recomendações consubstanciam princípios e boas práticas a observar pelas
instituições, em observância do princípio da proporcionalidade. Nesse contexto, naturalmente que as
soluções que configurem custos comprovadamente “incomportáveis” não serão adequadas para a
realidade de uma instituição. Compete às instituições adaptar os princípios genéricos que constam das
Recomendações às respectivas especificidades.
h) Recomendação 8
A estratégia de recuperação deve tomar em consideração eventuais dependências, pelo que os
pressupostos a utilizar quanto à disponibilidade e acesso aos serviços prestados por terceiros devem
ser especialmente conservadores, devendo ainda ser previstas formas de mitigar estas dependências.
i. Sobre os princípios para assegurar a disponibilidade e acesso aos serviços prestados por
terceiros
Um respondente manifestou algumas preocupações em relação à exequibilidade desta recomendação,
designadamente no que respeita “ao estudo da entidade a contratar, bem como ao acompanhamento do
contrato celebrado garantindo que não existe degradação do nível de serviço, nem saturação do
31
prestador de serviço da qual pudesse resultar prejudicada a continuidade do negócio em situação de
crise”.
Resposta do CNSF:
O CNSF gostaria de chamar a atenção para o facto de que, em regra, qualquer contrato de
subcontratação não exime a instituição contratante das responsabilidades associadas ao mesmo, pelo
que compete a cada instituição a avaliação do prestador de serviços no âmbito de um processo de due
diligence a efectuar antes da referida contratação. Constitui, aliás, um princípio básico de diligência
acompanhar a actividade da entidade subcontratada, dotando-se dos meios materiais e humanos
adequados para o efeito.
i) Recomendação 9
As instituições devem criar, manter, actualizar e testar, em articulação com as entidades aplicáveis,
uma política de comunicação com todos os interessados, de modo a assegurar os fluxos de informação
necessários à recuperação de processos e continuidade do negócio em caso de crise, assegurando as
obrigações perante clientes e outras contrapartes, bem como os deveres para com as autoridades de
supervisão, designadamente em matéria de reporte.
i. Sobre a abordagem alegadamente prescritiva para caracterizar a política de comunicação
Foi sugerido que se evite detalhar as acções que integram a política de comunicação de modo a evitar
que se caia no erro de preconizar uma solução universal. Foi defendido que a estratégia de
comunicação da instituição deve ser planeada e operacionalizada de acordo com o incidente e não de
uma forma genérica.
Resposta do CNSF:
Não se concorda que o texto das Recomendações pretenda prescrever uma solução universal ou que
esteja excessivamente detalhado. Sublinha-se que, conforme referido em respostas anteriores, o CNSF
não pretende identificar uma solução universal, uma metodologia preferida ou um modelo padrão de
32
abordagem à GCN. A opção seguida foi, sempre que possível, a de permitir que a aplicação dos
princípios e a posterior implementação de novos procedimentos seja flexível.
Relativamente à política de comunicação, a posição do CNSF mantém-se, pelo que se considera que
os aspectos operacionais podem ser definidos numa base casuística tendo em conta as especificidades
de cada instituição.
ii. Sobre as minutas no contexto da política de comunicação
Um participante entende ser excessiva a elaboração antecipada de minutas de comunicados de
imprensa e documentos similares, questionando como podem as instituições antecipar os múltiplos
impactos que podem advir de uma situação de desastre de forma a criar tais minutas, visto que as
hipóteses são inúmeras.
Resposta do CNSF:
A proposta do CNSF não teve como último objectivo que as instituições criassem minutas de
comunicados de imprensa que precavessem todas as situações pois, para além de ser uma tarefa difícil,
estaria sempre sujeita a não abranger todos os cenários possíveis. Todavia, considera-se que existirão
eventos ou incidentes cuja probabilidade de ocorrência seja maior, dependendo do perfil de risco da
instituição, os quais devem, aliás, ser objecto de identificação pelas instituições financeiras no âmbito
da análise de impacto no negócio (vide Recomendação 5). Para esses casos, no parecer do CNSF, a
elaboração de minutas de comunicados de imprensa ou documentos similares será uma medida que
permite maior celeridade, maior coerência e consistência, e logo maior eficácia, nas respostas a dar a
essas situações.
Além disso, a elaboração de minutas não implica necessariamente a redacção integral de um texto
concreto e preciso. As minutas poderão, por exemplo, limitar-se a definir termos de referência para a
comunicação com exterior, estabelecendo regras básicas quanto ao “tom” que se deve utilizar nos
comunicados, quanto à forma de apresentar a informação, quanto ao tipo de informação a que deve ser
dado maior destaque e aquele que deve ser diminuído, entre outras considerações.
Ainda assim, de modo a não prevalecerem dúvidas, o texto explicativo da Recomendação 9 foi
ligeiramente alterado de modo a clarificar que “Para garantir uma execução eficaz da política de
comunicação, a instituição deve considerar por exemplo: (…) pelo menos no caso dos principais
33
cenários identificados no âmbito da análise de impacto no negócio, a elaboração antecipada de
minutas de comunicados de imprensa e documentos semelhantes, de modo a minimizar o tempo de
reacção e comunicação com o exterior, assim como o risco de erro ou de fuga de informação em
situação de crise”.
iii. Sobre as listas de contactos
Foi solicitada maior clarificação quanto ao tipo de listas a elaborar (comunicação interna/externa),
respectivo conteúdo e seus destinatários.
Outro participante considera que a existência de uma lista actualizada de contactos dos Colaboradores
e a designação de um responsável por essa comunicação seria suficientemente eficaz em caso de crise,
não se justificando a existência de um Plano de Comunicação.
Resposta do CNSF:
Os comentários relativos à lista de contactos revelam a heterogeneidade das instituições financeiras no
que respeita à abordagem que pretendem seguir na GCN.
No que respeita à prescrição dos modelos de lista de contactos (i.e. indicação do tipo concreto de listas
a elaborar, do respectivo conteúdo e seus destinatários), o CNSF entende que tal não se enquadra na
filosofia subjacente às Recomendações e que seria contraproducente estar a influenciar as opções das
instituições quanto a esta matéria concreta.
Em todo o caso, considera-se que se justifica clarificar o princípio básico neste domínio, que é o de
que devem ser coligidos antecipadamente, por um lado, os contactos dos colaboradores relevantes para
a recuperação de cada função de negócio, em especial daqueles que integram a linha de comando (o
que é abordado também na Recomendação 10), e por outro lado, os contactos dos interlocutores
identificados para este efeito nas entidades potencialmente relevantes para a instituição. Além disso, a
instituição deve definir os seus próprios interlocutores para contactos em situação de desastre, devendo
transmitir os respectivos contactos às partes interessadas, em particular às autoridades de supervisão.
Esta clarificação irá ser promovida no texto final da Recomendação 9, através do aditamento de alguns
parágrafos (vide versão final em anexo).
O CNSF sublinha que a criação de listas de contactos não substitui, de forma alguma, a definição de
uma política de comunicação. Com efeito, as listas de contactos são parte integrante, mas em caso
34
algum esgotam, a política de comunicação, a qual deve contemplar os termos e os procedimentos de
comunicação, pelo menos para determinadas situações cuja probabilidade de ocorrência é maior. A
política de comunicação visa estabelecer quem comunica com quem, em que circunstâncias, de que
forma e em que termos. Como se percebe, as listas de contactos configuram apenas um instrumento
para dar cumprimento a alguns destes objectivos. Por outro lado, um plano de comunicação é menos
sujeito à alteração dos responsáveis pela comunicação das instituições porque normalmente é definido
a nível institucional e permite uma continuidade que o CNSF considera essencial na abordagem a este
tipo de eventos e incidentes pela instituição financeira.
j) Recomendação 11
As instituições devem assegurar a realização de testes, simulações, treinos e/ou outros procedimentos
de preparação da activação do PCN e de verificação da sua qualidade e actualização, em situações de
risco mínimo a extremo, devendo o PCN ser auditado internamente e actualizado numa base mínima
anual.
i. Actualização do PCN
Face à orientação constante do documento de consulta no sentido de o PCN ser objecto de
actualização numa base mínima anual, um dos respondentes refere que “o PCN deve ser revisto,
actualizado e auditado numa periodicidade bianual, ou sempre que a instituição sofra alterações
internas ou externas com impacto significativo no PCN que justifiquem a sua revisão”.
Outro respondente considera, por outro lado, que “a Gestão da Continuidade de Negócio deve ser
dinâmica de modo a acompanhar continuamente as alterações produzidas na instituição, cuja evolução
é constante. Um dos maiores riscos que pode afectar a Continuidade de Negócio de qualquer
instituição é a inadequação e/ou a desactualização do seu PCN. Desta forma o PCN deve ser alvo de
melhoria contínua mediante a implementação de um Processo de Manutenção que garanta
permanentemente a sua actualização e um constante grau de adequação”.
35
Resposta do CNSF:
Face aos comentários expostos, o CNSF considera que deverá manter a recomendação inicial de
actualização do PCN numa base mínima anual e sempre que existam alterações que a justifiquem. O
processo de melhoria contínua deve ser complementado com uma auditoria anual, dentro dos
parâmetros referidos nas Recomendações.
Com efeito, o CNSF partilha da opinião de que um PCN não actualizado pode ter efeitos mais nefastos
do que a sua não existência.
ii. Participação dos prestadores de serviço relevantes nos testes e simulações
Um respondente manifesta a sua concordância com a “participação, nos exercícios de simulação,
actualização do PCN e nas formações internas, dos prestadores de serviços relevantes à instituição”,
embora considere que tal princípio seja de difícil concretização.
Resposta do CNSF:
O CNSF compreende que a proposta referida no texto explicativo das Recomendações possa não ser
passível de concretização em relação a todos os prestadores de serviços. No entanto, e em linha com o
que foi referido anteriormente (vide comentário h), número i., relativo à Recomendação 8), compete a
cada instituição a selecção dos prestadores de serviços que mais se adeqúem às suas necessidades e
estratégias de actuação.
iii. A necessidade de testar vs. a necessidade de auditar
A Recomendação 11 inclui orientações quanto à realização de testes e treinos ao PCN, bem como
quanto à respectiva actualização e auditoria, o que motivou o comentário no sentido de a
Recomendação ser segregada, “separando-se claramente a necessidade de se testar e de se auditar uma
vez que são actividades que devem ter executantes diferentes.” Nesse sentido, propôs-se ter uma
primeira Recomendação com o seguinte texto: “As instituições devem assegurar a realização de testes,
simulações, treinos e/ou outros mecanismos que garantam a adequabilidade dos seus procedimentos
operacionais e a verificação da sua qualidade e actualização, em situações de risco mínimo a
extremo”. No que diz respeito à questão de auditoria, foi proposto que a mesma seja realizada a todo o
36
processo e não apenas aos procedimentos que dele resultam. Assim foi sugerida a seguinte alteração:
”As instituições devem assegurar, através do exercício de auditoria interna, que o seu processo de
gestão da continuidade de negócio, as suas actividades, as estratégias, procedimentos e outros
resultados que possam advir da execução do processo mitigam efectivamente o grau de exposição ao
risco da instituição. A actividade de auditoria deve ser realizada sempre que exista uma alteração na
exposição ao risco da instituição ou anualmente caso não sejam detectadas alterações de exposição”.
Propôs-se ainda incorporar a actividade de auditoria à gestão da continuidade de negócio nos
processos já existentes de auditoria externa às instituições por entidades independentes, caso em que
se deverá realçar a obrigatoriedade do facto em documento próprio.
Resposta do CNSF:
O CNSF apreciou os argumentos apresentados, mas não partilha da opinião que a referência à
auditoria justifique ser autonomizada no texto das Recomendações.
k) Recomendações 5 a 8 e 10 – Sobre a abordagem alegadamente prescritiva para caracterizar o
processo de GCN
Um respondente apresentou um conjunto diversificado de comentários e sugestões sobre a abordagem
do CNSF para caracterizar o processo de GCN, e nos quais se defende, essencialmente, que o
documento segue uma abordagem demasiado prescritiva, procurando “descrever e definir todos os
passos necessários e suficientes para assegurar a continuidade de negócio”. Nesse contexto, o
respondente alerta para os riscos dessa abordagem e propõe que seja permitido “às instituições
disporem de liberdade suficiente para que possam escolher e materializar as estratégias que melhor se
adeqúem aos riscos identificados, à sua estrutura, aos seus processos de negócio e ao seu apetite de
risco”, defendendo que “o texto apresentado no documento não pode ser entendido como regra, mas
antes como um conjunto de boas práticas que podem, ou não ser seguidas pela instituição [e que se
deverá] permitir às instituições a criação de uma metodologia própria ou a adopção ou adaptação de
uma metodologia existente, até porque já existem actualmente diversas metodologias de gestão de
continuidade de negócio”. Apontando a necessidade de ser reforçada a ideia de que as instituições não
devem pensar em soluções universais, o participante apresenta uma série de propostas de alteração
concretas.
37
Resposta do CNSF:
O CNSF analisou os comentários e sugestões a propósito da sua abordagem para caracterizar o
processo de gestão da continuidade de negócio, mas discorda que a mesma seja demasiadamente
normativa e limitadora da flexibilidade das instituições em implementar os processos mais adequados
às suas realidades.
Conforme declarado no próprio documento de consulta e repetidamente referido neste relatório, as
Recomendações são um conjunto de princípios e boas práticas que devem ser implementadas e
aprofundadas pelas instituições de acordo com as respectivas características e atendendo a critérios de
proporcionalidade. O CNSF concorda, portanto, com o fundamental dos comentários do respondente
quanto àquilo que devem ser as Recomendações sobre GCN, apenas não partilhando da opinião que a
actual redacção desse documento não seja compatível com esses objectivos.
38
5. ENTIDADES QUE PARTICIPARAM NA CONSULTA PÚBLICA
O CNSF agradece os contributos dos participantes na consulta pública, designadamente:
- Banco BIC Português, S.A. [BIC]
- Banco Comercial Português, S.A. [BCP]
- Banco Espírito Santo, S.A. [BES]
- Caixa Económica Montepio Geral [CEMG]
- Everis [Everis]
- Grupo BPI [BPI]
- Jorge Pinto (a título individual) [Jorge Pinto]
- Novabase [Novabase]