Baixe o app para aproveitar ainda mais
Prévia do material em texto
PLANO DE CONTINGÊNCIA E CONTINUIDADE DE NEGÓCIOS JUNHO/2014 PCCN v01/2014 1 SUMÁRIO INTRODUÇÃO 1. CONCEITUAÇÃO 2. RELAÇÃO DO PCCN COM O PLANEJAMENTO ESTRATÉGICO DA PREVDATA 3. RECOMENDAÇÕES DE MEDIDAS PREVENTIVAS 4. PLANOS DE CONTINGÊNCIA PARA INCIDENTES DE IMPACTO GLOBAL NA EMPRESA 5. PLANOS DE CONTINGÊNCIA PARA INCIDENTES DE IMPACTO ESPECÍFICO EM PROCESSOS 6. MONITORAMENTO DO PCCN E MELHORIAS CONSIDERAÇÕES FINAIS ANEXOS PCCN v01/2014 2 INTRODUÇÃO Este Plano de Contingência e Continuidade de Negócios (PCCN) objetiva prover a PREVDATA de um conjunto de planos de ações que suportem o gerenciamento de situações de contingência provocada por incidentes causadores de interrupção no andamento normal de suas atividades, garantindo as condições mínimas necessárias para a continuidade e normalização das mesmas. As etapas abrangidas pelo PCCN são representadas abaixo: O PCCN está dividido em 6 partes, a saber: � Conceituação; � Relação do PCCN com o Planejamento Estratégico da PREVDATA; � Recomendações de Ações Preventivas; � Planos de Contingência para Incidentes de Impacto Global na Empresa; � Planos de Contingência para Incidentes de Impacto Específico em Processos; e � Monitoramento do PCCN e Melhorias. Em “Conceituação”, o principal objetivo é familiarizar os colaboradores da PREVDATA com os termos utilizados em projetos de contingência e continuidade de negócios, nivelando o conhecimento e facilitando o entendimento do conteúdo deste PCCN. A “Relação do PCCN com o Planejamento Estratégico da PREVDATA” evidencia a importância do PCCN no alcance dos objetivos estratégicos da empresa. Incidente Resposta ao incidente Continuidade Retorno à normalidade PCCN v01/2014 3 As Recomendações de Medidas Preventivas estão diretamente relacionadas às providências para mitigação de risco na ocorrência de algum incidente. Os Planos de Contingência para Incidentes de Impacto Global na Empresa são aquelas ações que, uma vez ocorrido o incidente que cause impacto na organização como um todo, permitirão à empresa a continuidade das atividades vitais ao atendimento de sua missão, nas condições mínimas necessárias de funcionamento, até o retorno à normalidade. Exemplos de incidentes causadores de contingência de âmbito geral: incêndio ou alagamento em grandes proporções, pane generalizada nos recursos de informática e telecomunicações, interdição do prédio onde funciona a PREVDATA por motivos externos, etc. Os Planos de Contingência para Incidentes de Impacto Específico em Processos são ações voltadas para o reestabelecimento de atividades vitais, específicas de cada unidade organizacional da PREVDATA, que tenham sofrido alguma descontinuidade em função de um incidente. Exemplos de incidentes enquadrados neste caso: ausência de um ou mais funcionários por um período de tempo significativo, indisponibilidade de sistema/ferramenta de uso exclusivo por um determinado processo, indisponibilidade de recursos de telecomunicação, etc. O respaldo metodológico para o desenvolvimento deste PCCN é a ISO 22.301:2013, que trata de Segurança da Sociedade – Sistema de Gestão de Continuidade de Negócios – Requisitos. Para garantia de sua eficácia e efetividade, este PCCN deve ser de conhecimento de todos os colaboradores da PREVDATA e daqueles que, na estrutura da DATAPREV, têm interface com os seus processos de negócio. Sua revisão periódica é requisito básico para o atingimento de seus objetivos. Como observação final desta introdução, é importante lembrar que as pessoas são o principal ativo da PREVDATA e que, em caso de incidente provocado por desastres como incêndios ou desabamentos, a prioridade será sempre a preservação de vidas. PCCN v01/2014 4 1. CONCEITUAÇÃO Os conceitos abaixo relacionados objetivam o nivelamento de conhecimento de todos os colaboradores da PREVDATA, quanto ao objeto deste PCCN, e perfeito entendimento do contexto no qual ele se insere. Estes conceitos devem ser interpretados sob o ponto de vista da continuidade de negócios. 1.1 Sistema de Gestão de Continuidade de Negócios (SGCN) É o conjunto de ferramentas de gestão concorrendo para a garantia do atendimento às demandas dos clientes da PREVDATA em situações de contingência. O PCCN é parte integrante deste sistema, conforme demonstrado no diagrama abaixo: Importante: � A liderança do SGCN tem que ser da Diretoria da PREVDATA. � As pessoas envolvidas num processo de continuidade de negócios têm que ser capacitadas para tal. � Deve haver a garantia de que os recursos necessários para a continuidade dos negócios estejam sempre disponíveis. � O SGCN deve estar alinhado com o Planejamento Estratégico. � Qualquer alteração em processos que tenha interferência no SGCN deve acarretar a revisão do mesmo. PCCN v01/2014 5 � A Gestão de Riscos e a Gestão de Continuidade de Negócios devem estar alinhadas, uma vez que a análise de riscos fornece subsídios para a análise de impacto nos negócios em casos de descontinuidades. � A Comunicação é atividade fundamental para a eficácia do SGCN. � Todos os colaboradores devem conhecer o SGCN. � O SGCN deve ser periodicamente avaliado e melhorado. 1.2 Contingência É uma eventualidade, um acontecimento que tem como fundamento a incerteza do que pode ou não acontecer. 1.3 Incidente No contexto do PCCN, é o evento imprevisto e indesejável que pode resultar em algum tipo de dano a pessoas, ao patrimônio ou ao meio ambiente, provocando a paralisação de atividades vitais ao negócio. 1.4 Continuidade de Negócio Capacidade estratégica e tática que a empresa tem para planejar e responder a incidentes, com a finalidade de continuar a execução das atividades críticas, dentro de um nível aceitável e assumido pela organização. 1.5 Atividade Conjunto de processos que suportam um ou mais serviços/produtos (Ex.: TI, Investimentos, Benefícios, Empréstimos, Financeiro, etc). 1.6 Infraestrutura Sistema de instalações, equipamentos e serviços necessários para o funcionamento da empresa. 1.7 Parte Interessada Pessoa ou organização que pode afetar ou ser afetado ou que entende ser afetado por uma situação de contingência. Ex.: DATAPREV, Participantes, Beneficiários, Colaboradores da PREVDATA, etc. PCCN v01/2014 6 1.8 Período Máximo de Interrupção Tolerável Tempo necessário para que os impactos adversos de uma situação de contingência tornem-se inaceitáveis. 1.9 Tempo Objetivado de Recuperação Período de tempo após um incidente/acidente em que o serviço deve ser retomado ou os recursos recuperados (retorno à normalidade). 1.10 Objetivo Mínimo de Continuidade de Negócios Níveis mínimos aceitáveis de serviços para a empresa realizar suas atividades vitais durante uma interrupção provocada por uma contingência. 1.11 Acordo de Ajuda Mútua Pré-disposição de entendimento entre duas ou mais áreas para prestação de assistência mútua, visando a manutenção de algum processo vital em funcionamento. 1.12 Registro Formalização dos resultados atingidos durante e após a execução de um PCCN. 1.13 Risco Possibilidade de ocorrência de eventos que interfiram no alcance dos objetivos da empresa. O gerenciamento de riscos está relacionado com os objetivos da organização, que incluem, mas não se limitam aos objetivos de continuidade de negócios. 1.14 Impacto Consequência da indisponibilidade de recursos, tecnológicos e humanos, decorrente da efetiva ocorrência de falhas. PCCN v01/2014 7 2. RELAÇÃO DO PCCN COM O PLANEJAMENTOESTRATÉGICO DA PREVDATA O PCCN, parte integrante do Sistema de Gestão de Continuidade de Negócios, deve estar alinhado ao Planejamento Estratégico, concorrendo para o atingimento dos seus objetivos. O diagrama abaixo representa a contribuição do PCCN para o Planejamento Estratégico: P C C N P la n e ja m e n to E s t r a té g ic o G a ra n t ir a c o n tin u id a d e d o s n e g ó c io s e m s itu a ç ã o d e c o n t in g ê n c ia . . . M IS S Â O . . .a te n d a à s e x p e c ta t iv a s e c u m p ra o s c o m p ro m is s o s p e ra n te P a r t ic ip a n te s , A s s is t id o s e P a tro c in a d o re s . V A L O R E S . . .a tu e c o m tra n s p a rê n c ia , c o m p ro m e t im e n to e e x c e lê n c ia . . .c o n tr ib u in d o p a r a q u e a P R E V D A T A .. . P O N T O S F O R T E S . . .m a n te n h a o c o n c e itu a d o n ív e l d e a te n d im e n to a o c l ie n te e a e f ic á c ia n a g e s tã o d o s a t iv o s . P O N T O S F R A C O S . . .m e lh o re a g e s tã o d e T I. P IL A R E S . . .g a ra n ta a s e g u ra n ç a d e s e u s c o la b o ra d o re s , a p re s e rv a ç ã o d e s e u s p ro c e s s o s v ita is e a u t i l iz a ç ã o d e r e c u rs o s te c n o ló g ic o s n e c e s s á r io s à re c u p e ra ç ã o o p e ra c io n a l. P A R C E IR O S -C H A V E . . .g a ra n ta a q u a lid a d e n a re la ç ã o /c o m u n ic a ç ã o c o m D A T A P R E V , B R A D E S C O , C O N S U L T O R E S d e IN V E S T IM E N T O e IN T E C H , m e s m o e m c a s o d e in c id e n te s . A T IV ID A D E S -C H A V E . . . re c u p e re a o p e ra ç ã o d e s u a s a t iv id a d e s -c h a v e n o m e n o r te m p o p o s s ív e l. . PCCN v01/2014 8 3. RECOMENDAÇÃO DE MEDIDAS PREVENTIVAS Com o objetivo de reduzir os riscos de ocorrência de incidentes e de prover recursos para a garantia da vida, a adoção das seguintes medidas deve ser avaliada e decidida pela Diretoria da PREVDATA: 3.1 Rota de Fuga e Sinalização de Emergência Instalação de Rota de Fuga e Sinalização de Emergência em pontos estratégicos do escritório, instruindo aos colaboradores e visitantes um padrão de conduta adequado em caso de sinistros com o fogo. 3.2 Revisão Periódica de Equipamentos de Combate a Incêndios Estabelecer cronograma de revisão periódica em extintores, mangueiras e sprinklers. Se no caso das mangueiras a responsabilidade for do condomínio, cobrar laudo sobre as condições das mesmas. 3.3 Formar Grupo de Brigadistas Garantir que, pelo menos, 2 colaboradores de cada andar sejam certificados em cursos especializados para atuação em caso de incêndio ou outros casos de incidentes que gerem a necessidade de evacuação do escritório. 3.4 Simulações Caso não seja prática do condomínio a realização de simulações periódicas de evacuação do prédio, estabelecer um procedimento interno para este fim, pré- determinando: tempo ideal para a evacuação, ponto de encontro, coordenação do procedimento, etc. Acordos para participação de empresas instaladas em andares vizinhos aumentam a eficácia do procedimento. 3.5 Disponibilização de Telefones da Polícia, do Corpo de Bombeiros, da Defesa Civil e do SAMU. Afixar os telefones de emergência em locais estratégicos. Em situações de pânico, esta medida pode facilitar a comunicação com essas instituições. PCCN v01/2014 9 3.6 Identificação de Visitantes Estabelecer procedimento para a identificação de visitantes no âmbito da PREVDATA (crachá ou etiqueta), como medida para aumento do nível de segurança. 3.7 Circulação de Terceiros Estabelecer procedimento para circulação de terceiros na PREVDATA, tanto de visitantes como de prestadores de serviço. 3.8 Monitoramento do Ambiente Corporativo Implantação de sistema de monitoramento com câmeras em locais estratégicos. 3.9 Melhoria Operacional na Central de Controle de Documentos Em função da natureza da atividade (manuseio e guarda de documentos), recomenda- se a adoção de recursos específicos para controle de umidade e pragas. 3.10 Avaliação Periódica dos Circuitos Elétricos Verificação periódica para mitigar o risco de curto-circuito. 3.11 Avaliação Periódica das Instalações Hidráulicas Verificação periódica de registros, válvulas e pontos de infiltração. 3.12 Telefones de Colaboradores Disponibilização de lista de telefones celulares e residenciais dos colaboradores, para utilização em caso de necessidade de comunicação de situações de contingência, se necessário. PCCN v01/2014 10 4. PLANOS DE CONTINGÊNCIA PARA INCIDENTES DE IMPACTO GLOBAL NA EMPRESA Os planos aqui estabelecidos baseiam-se na análise das Matrizes de Impacto x Risco por Processo (vide Anexos I, II e III), onde foram verificadas as falhas em ativos que impactam a organização como um todo. Algumas ações recomendadas exigirão da Diretoria Executiva da PREVDATA decisão de investimento, visando atingir com as soluções propostas níveis acima do objetivo mínimo aceitável de continuidade de negócios, o que se traduz em melhoria significativa de eficácia de recuperação (exemplo: montagem de site de contingência). Relativamente à decisão de entrada em situação de contingência, recomendam-se os seguintes níveis de alçada: Incidente Tomadores de Decisão Falha em Ativo de TI Coordenador de TI + Presidente ou 1 Diretor Incidente nas Instalações Prediais Coordenador de Administração + Presidente ou 1 Diretor Incidente nas Instalações Elétricas Coordenador de Administração + Presidente ou 1 Diretor Incidente com Envolvimento de Colaboradores Coordenador de Administração + Coordenador de Área + Presidente ou 1 Diretor Na sequência são apresentados os planos de ação, divididos por ativo da empresa com risco de falhas de impacto global: PCCN v01/2014 11 Ativo: Rede de Dados Interna (LAN) AMEAÇAS VULNERABILIDADE RISCOS Falha no equipamento (switch) Fornecimento de acesso à rede de forma interrompida, por inexistência de redundância. Parada da rede corporativa - LAN AÇÕES RESPONSÁVEIS PRAZO MÁXIMO - INTERRUPÇÃO TOLERÁVEL PRIORIDADE Reestabelecer de forma emergencial a funcionalidade da rede de dados interna (LAN) Coordenador de TI Interrupção não tolerável Implantar ação imediatamente Viabilizar a disponibilização da rede em modo redundante. Coordenador de TI, Diretoria Executiva e Conselho Deliberativo Implantar ação a médio prazo PCCN v01/2014 12 Ativo: Link de dados (WAN) – Internet AMEAÇAS VULNERABILIDADE RISCOS Interrupção do serviço de fornecimento de acesso internet (WAN) pelo prestador do serviço e falha no equipamento (modem/roteador). Fornecimento de acesso a internet de forma interrompida por inexistência de redundância. Perda de acesso a internet com indisponibilidade dos serviços de email, WEB e com possibilidade de perdas de transações eletrônicas. AÇÕES RESPONSÁVEIS PRAZO MÁXIMO - INTERRUPÇÃO TOLERÁVEL PRIORIDADE Reestabelecer de forma emergencial a funcionalidade da rede de dados WAN. Coordenador de TI Interrupção não tolerável Implantar ações imediatamente Viabilizar o fornecimento de acesso em modo redundante para disponibilizar o acesso a internet e seus serviços de forma ininterrupta. Coordenador de TI, Diretoria Executiva e Conselho Deliberativo PCCN v01/2014 13 AMEAÇAS VULNERABILIDADE RISCOS AÇÕES RESPONSÁVEISPRAZO MÁXIMO - INTERRUPÇÃO TOLERÁVEL PRIORIDADE Efetuar procedimento corretivo utilizando-se de backup para restauração mais relevante do ambiente intranet. Coordenador de TI 24 horas Implantar ação a médio prazo Ativo: Intranet Interrupção do serviço de Intranet, falha no servidor responsável por suportar o serviço intranet. Fornecimento de acesso ao serviço intranet interrompida. Perda de acesso aos serviços disponibilizados na intranet. PCCN v01/2014 14 AMEAÇAS VULNERABILIDADE RISCOS AÇÕES RESPONSÁVEIS PRAZO MÁXIMO - INTERRUPÇÃO TOLERÁVEL PRIORIDADE Utililizar de forma emergencial os telefones celulares corporativos. Colaboradores portadores desse recurso Viabilizar o fornecimento de link de voz em modo redundante, para disponibilizar este serviço de forma ininterrupta. Coordenador de Administração, Diretoria Executiva e Conselho Deliberativo Informar a interrupção e a previsão de retorno à DATAPREV. Assessoria de Comunicação Ativo: Link de Voz (telefonia) Interrupção do serviço de voz. Fornecimento de link de voz interrompido por falha adversa, sem aviso prévio e por inexistência de redundância. Perder a comunicação via telefone com as entidades externas à empresa (DATAPREV, participantes, beneficiários, instituições bancárias, corretoras, etc). Interrupção não tolerável Implantar ações imediatamente PCCN v01/2014 15 AMEAÇAS VULNERABILIDADE RISCOS AÇÕES RESPONSÁVEIS PRAZO MÁXIMO - INTERRUPÇÃO TOLERÁVEL PRIORIDADE Reestabelecer a funcionalidade física do servidor (componentes eletrônicos) Coordenador de Ti Reestabelecer a funcionalidade do banco de dados do servidor (base de dados) Coordenador de Ti Viabilizar provisionamento para substituição do equipamento em caso de falha e/ou criação de ambiente redundante com sincronização dos dados. Coordenador de TI, Diretoira Executiva e Conselho Deliberativo Implantar ação a médio prazo Falha no equipamento (servidor). Interrupção do acesso às informações core da empresa. Parada do servidor. Interrupção não tolerável Implantar ações imediatamente Ativo: Servidor de Banco de Dados PCCN v01/2014 16 AMEAÇAS VULNERABILIDADE RISCOS AÇÕES RESPONSÁVEIS PRAZO MÁXIMO - INTERRUPÇÃO TOLERÁVEL PRIORIDADE Reestabelecer o sistema de forma funcional. Coordenador de Ti Viabilizar provisionamento para melhoria / atualização do sistema Elaborar estudo de viabilidade para substituição do fornecedor Implantar ação a médio prazo Implantar ações imediatamente Falha do sistema; Descontinuidade na prestação de serviço do fornecedor do sistema. Impacto nos processos que utilizam o sistema. Atualização de versão com falha. Interrupção não tolerável Ativo: Sistema Integrado de Gestão Coordenador de TI, Diretoria Executiva e Conselho Deliberativo PCCN v01/2014 17 AMEAÇAS VULNERABILIDADE RISCOS AÇÕES RESPONSÁVEIS PRAZO MÁXIMO - INTERRUPÇÃO TOLERÁVEL PRIORIDADE Reestabelecer a disponibilização do site de forma emergencial. Coordenador de Ti Informar a interrupção e a previsão de retorno à DATAPREV. Assessoria de Comunicação Viabilizar criação de redundância dos serviços indispensáveis aos clientes e disponibilizados na internet Coordenador de TI, Diretoria Executiva e Conselho Deliberativo Implantar ação a médio prazo 24 horas Ativo: Site Internet da PREVDATA Implantar ações imediatamente Falha na prestação do serviço do provedor internet; Falha no link de dados. Impacto nos processos e clientes que utilizam os serviços disponibilizados neste ambiente. Indiponibilidade dos serviços prestados aos clientes. PCCN v01/2014 18 AMEAÇAS VULNERABILIDADE RISCOS Desastres (Incêndio, inundação, sabotagem, assalto, atentado terrorista). Indisponibilização do acesso às instalações prediais. Impossibilidade de operação da empresa. AÇÕES RESPONSÁVEIS PRAZO MÁXIMO - INTERRUPÇÃO TOLERÁVEL PRIORIDADE Salvaguardar a vida dos colaboradores providenciando a evacuação do escritório. Brigadistas Acionar os orgãos competentes (SAMU, Bombeiros, Defesa Civil, Polícia, etc), conforme a natureza do incidente/desastre Nas situações extremas (por exemplo: existência de vítimas) , informar aos familiares Informar a interrupção e a previsão de retorno à DATAPREV e aos clientes. Se necessário, informar à mídia (jornal, tv, rádio, etc), com o suporte da Assesoria Jurídica Reestabelecer de forma emergencial as cópias de segurança em ambiente de nuvem para que os colaboradores possam ter acesso via internet aos documentos de uso diário (planilhas, textos, etc). Coordenador de TI Providenciar junto aos órgãos competentes os documentos necessários para as medidas de reestabelecimento da empresa junto às seguradoras (financeiro e operacional) Coordenador de Administração Viabilizar montagem de site de contigência, visando disponibilizar em local seguro que não seja afetado pelo mesmo incidente os recursos mínimos necessários para manter a operação da empresa em modo de contingência (vide Anexo - Recursos Mínimos para a Manutenção de Operação em Modo de Contingência) Coordenador de TI, Diretoria Executiva e Conselho Deliberativo Implantar ação a médio prazo. Não definido. Quanto mais ágil for a empresa em prover os recursos necessários para atuação em modo de contingência, menor será o prejuízo. Coordenador de Administração Assessoria de Comunicação Ativo: Instalações Prediais Implantar ações imediatamente PCCN v01/2014 19 AMEAÇAS VULNERABILIDADE RISCOS AÇÕES RESPONSÁVEIS PRAZO MÁXIMO - INTERRUPÇÃO TOLERÁVEL PRIORIDADE Reestabelecer a energia elétrica de forma emergencial e, se houver necessidade, contratar energia elétrica de outro fornecedor (gerador) até o retorno através da prestadora de serviço (Ligth, Ampla, etc) Coordenador de Administração Executar medidas para preservação dos equipamentos de TI. Coordenador de TI Viabilizar o fornecimento de energia elétrica de forma ininterrupta e estável, por um período maior e abrangendo os equipamentos essenciais/mínimos para o funcionamento da empresa. Coordenador de Administração, Diretoria Executiva e Conselho Deliberativo Falha na prestação do serviço; Desastre (acidente, sabotagem, curto-circuito). Fornecimento de energia interrompida por falta de redundância. Interromper a operação da empresa. 4 horas Ativo: Energia Elétrica Implantar ações imediatamente PCCN v01/2014 20 AMEAÇAS VULNERABILIDADE RISCOS AÇÕES RESPONSÁVEIS PRAZO MÁXIMO - INTERRUPÇÃO TOLERÁVEL PRIORIDADE No caso de impossibilidade de comparecimento à PREVDATA, disponibilizar recursos para acesso remoto para que os colaboradores possam acessar as informações necessárias para o desenvolvimento do trabalho (home office) Coordenador de Ti Para os casos de desligamento em massa, utilizar os recursos de setores remanescentes com atividades afins estabelecendo um acordo de ajuda mútua. Coordenadores das Áreas Impactadas Prover transporte alternativo para os elementos chave dos principais processos. Coordenador de Administração Ativo: Colaboradores Interrupção não tolerável Implantar ações imediatamente Desligamento em massa por motivo adverso; Movimentos sociais (greves, passeatas, etc). Quadro de pessoal enxuto. Operação da empresa interrompida parcial ou totalmente. PCCN v01/2014 21 5. PLANOS DE CONTINGÊNCIA PARA INCIDENTES DE IMPACTO ESPECÍFICOEM PROCESSOS Os planos aqui estabelecidos baseiam-se na análise das Matrizes de Impacto x Risco por Processo (vide Anexos I, II e III), onde foram verificadas as falhas que impactam os processos específicos de cada área objeto deste PCCN: Investimentos, Empréstimos/Seguridade e Atuária/Benefícios. Pelas características do negócio administrado pela PREVDATA, os impactos com classificação abaixo de “CRÍTICO” foram desprezados, pois o custo de acionamento de um plano de contingência para esses casos não é compensador. Algumas ações recomendadas exigirão da Diretoria Executiva da PREVDATA decisão de investimento, visando atingir com as soluções propostas níveis acima do objetivo mínimo aceitável de continuidade de negócios, o que se traduz em melhoria significativa de eficácia de recuperação (exemplo: redimensionamento do quadro de pessoal). Relativamente à decisão de entrada em situação de contingência, a responsabilidade é exclusiva dos Coordenadores de Área, com a devida formalização junto ao respectivo Diretor. Na sequência são apresentados os planos de ação, divididos por ativo da empresa com risco de falhas de impacto específico em processos: PCCN v01/2014 22 AMEAÇAS VULNERABILIDADE RISCOS AÇÕES RESPONSÁVEIS PRIORIDADE Relatar a falha na interface com outros setores , buscando consenso com os mesmos e, se necessário, escalar problema ao nível superior. Utlizar os recursos de setores com atividades afins, estabecendo um acordo de ajuda mútua. Elaborar plano de revisão do quadro de colaboradores, visando identificar os que necessitam de espelhamento para que a execução do processo não sofra interrupção. Implantar ação a médio prazo Reestabelecer o acesso às entidades externas de forma emergencial Implantar ações imediatas Em relação ao acesso internet interrompido, vide planos globais para o ativo: "Link de dados (WAN) - Internet". Ver plano para Link de Dados (WAN) - Internet Coordenador de Investimentos Coordenador de Liquidação e Custódia Analista de Investimento - Compliance Coordenador de TI Implantar ações imediatas INVESTIMENTOS Entidades externas inacessíveis; Falha na interface com outros setores; Interrupção do serviço de fornecimento de acesso internet para bancos e corretoras; e Ausência de recursos humanos para execução e aprovação. Quadro de pessoal enxuto; Não atingimento dos objetivos da área; e Fornecimento de acesso à internet de forma interrompida, por inexistência de redundância. Processos não serem executados parcial ou totalmente; e Descumprimento de prazos legais e de negócio; Afetar a imagem da empresa e impactar na receita. Utilizar recursos alternativos para comunicação com as entidades externas. PCCN v01/2014 23 PERÍODOS E DATAS LIMITES PROCESSOS DE INVESTIMENTOS OBSERVAÇÕES Anual (início em novembro) Definir Política de Investimentos 30 dias após aprovação do Conselho Deliberativo, tem que ser divulgado (PREVIC, PREVDATA e DATAPREV). Eventual Alterar Política de Investimentos 30 dias após aprovação do Conselho Deliberativo, tem que ser divulgado (PREVIC, PREVDATA e DATAPREV). Quadrimestral Aprovar Alocação em RV 30 dias após aprovação do Conselho Deliberativo, tem que ser divulgado (PREVIC, PREVDATA e DATAPREV). Eventual Aprovar Alocação em RF e Estruturados 30 dias após aprovação do Conselho Deliberativo, tem que ser divulgado (PREVIC, PREVDATA e DATAPREV). Operar RV Operar RF Variável Registrar Operações Depende do tipo de operação/ativo que está sendo realizado Atualizar Cotas e Índices nos Sistemas RF e RV Realizar Ranking de Investimentos Atualizar Cotas na Planilha RV Realizar Relatório de acompanhamento de Ações 20 dias após aquisição ou resgate Cadastrar Fundos no SICAD Até 15 dias após o fechamento do balancete Informar Demonstrativo de Investimentos no SICAD O tempo objetivado de recuperação em situações de contingência deve considerar as seguintes regras de negócio: Diário Diário PCCN v01/2014 24 AMEAÇAS VULNERABILIDADE RISCOS AÇÕES RESPONSÁVEIS PRIORIDADE Relatar a falha na interface com outros setores , buscando consenso com os mesmos e, se necessário, escalar problema ao nível superior. Utlizar os recursos de setores com atividades afins, estabecendo um acordo de ajuda mútua. Elaborar plano de revisão do quadro de colaboradores, visando identificar os recursos que necessitam de espelhamento para que a execução do processo não sofra interrupção. Implantar ação a médio prazo Em relação ao acesso internet interrompido, vide planos globais para os ativos: "Link de dados (WAN) - Internet" e "Site internet da PREVDATA". Coordenador de TI Ver planos para Link de dados (WAN) - Internet e Site internet da PREVDATA. Implantar ações imediatas Coordenador de Empréstimos e Seguridade EMPRÉSTIMOS E SEGURIDADE Falha na interface com outros setores; Interrupção do serviço de fornecimento de acesso internet /site PREVDATA; e Interrupção do serviço de fornecimento de acesso internet pelo prestador de serviço, para comunicação com a DATAPREV, e falha no equipamento (modem/roteador). Quadro de pessoal enxuto; Não atingimento dos objetivos da área; e Fornecimento de acesso a internet de forma interrompida, por inexistência de redundância. Descumprimento de prazos legais e de negócio; Afetar os serviços prestados aos clientes; Impactar negativamente a receita; e Afetar a imagem da empresa. PCCN v01/2014 25 DATAS LIMITES PROCESSOS DE SEGURIDADE OBSERVAÇÕES Receber Informações sobre Recursos Pagos pelas Patrocinadoras Elaborar Relatório Disponível Aplicação ATÉ DIA 18 DO MÊS Gerar Arquivo para Folha de Pagamento da DATAPREV Realizar Manutenção do Autopatrocínio Realizar Cobrança de Autopatrocinados Em contingência, repetir informações do mês anterior, com geração externa de boletos. Realizar Manutenção de Participantes Afastados por ADAT na DATAPREV Realizar Manutenção da Folha das Patrocinadoras Cadastrar Participante no SGPe Alterar Contribuição non SGPe Realizar Manutenção do Autopatrocínio Parcial no SGPe Cancelar Inscrição no SGPe ATÉ 5º DIA ÚTIL DO MÊS SUBSEQUENTE Realizar Portabilidade de Saída (pagamento) O Termo de Portabilidade tem que ser emitido 5 dias após a saída. EM 30 DIAS Analisar Condição do Participante Desligado da Patrocinadora A partir da informação de desligamento Resgatar Reserva de Poupança Arrecadar Contribuições de Participantes Ativos nas Patrocinadoras O arquivo é liberado próximo ao dia 28 de cada mês Calcular Dedução Relativa à Manutenção dos Benefícios de Risco Liberar Participantes para Benefícios Elaborar Boletim Financeiro Elaborar Boletins de População (PRV e CV) Elaborar Memorando de Contribuição Elaborar Fatos Relevantes SEMESTRALMENTE Elaborar Demosntrativos Estatísticos de Benefício/População e Sexo/Idade Até 28 de fevereiro e até 31 de agosto O tempo objetivado de recuperação em situações de contingência deve considerar as seguintes regras de negócio: 5º DIA ÚTIL DO MÊS ATÉ DIA 22 DO MÊS ATÉ DIA 24 DO MÊS ATÉ DIA 25 DO MÊS SEM DEFINIÇÃO, MAS NO DECORRER DE 30 DIAS PCCN v01/2014 26 DATAS LIMITES PROCESSOS DE EMPRÉSTIMOS OBSERVAÇÕES 3º DIA ÚTIL DO MÊS APÓS CADA DECÊNDIO Gerar IOF Receber Prestações de Participantes Ativos e Aposentados Receber Informações sobre Prestações Pagas das Patrocinadoras Receber Pagamentos Avulsos e/ou de Autopatrocinados Executar Fechamento mensal Elaborar Memorando de Fechamento Mensal ATÉ DIA 24 DO MÊS Enviar Prestações às Patrocinadoras e BenefíciosEm contingência, repetir informações do mês anterior ATÉ DIA 30 DO MÊS Revisar Cobranças Em contingência, repetir informações do mês anterior Conceder ou Renovar Empréstimo Integrar Movimentação de Empréstimo com a Liquidação e Custódia O tempo objetivado de recuperação em situações de contingência deve considerar as seguintes regras de negócio: 8º DIA ÚTIL SEM DEFINIÇÃO, MAS NO DECORRER DE 30 DIAS 5º DIA ÚTIL DO MÊS Acertos podem ser feitos posteriormente. Acertos podem ser feitos posteriormente. PCCN v01/2014 27 AMEAÇAS VULNERABILIDADE RISCOS AÇÕES RESPONSÁVEIS PRIORIDADE Reestabelecer os serviços indisponibilizados pelo não cumprimento das entidades externas e, se necessário, contratar outro fornecedor. Relatar a falha na interface com outros setores, buscando consenso com os mesmos e, se necessário, escalar problema ao nível superior. Reestabelecer o acesso internet para comunicação com a DATAPREV de forma emergencial. Elaboração de um plano para fornecimento de acesso em modo redundante, para disponibilizar o acesso à internet para comunicação com a DATAPREV de forma ininterrupta. Implantar ação a médio prazo ATUÁRIA E BENEFÍCIOS Entidades externas à empresa não cumprirem o contratado; Falha na interface com outros setores; Interrupção do serviço de fornecimento de acesso internet pelo prestador do serviço, para comunicação com a DATAPREV, e falha no equipamento (modem/roteador). Não atingimento dos objetivos da área; e Fornecimento de acesso à internet de forma interrompida, por inexistência de redundância. Descumprimento de prazos legais e de negócios; Afetar os serviços prestados aos clientes; e Afetar a imagem da empresa. Coordenador de Atuária e Benefícios Coordenador de TI Implantar ação imediatamente PCCN v01/2014 28 PERÍODOS E DATAS LIMITES PROCESSOS DE ATUÁRIA E BENEFÍCIOS OBSERVAÇÕES ENTRE OS DIAS 15 E 20 DE CADA MÊS Abrir Folha de Benefícios Conceder Benefícios Realizar Manutenção dos Benefícios Antes de começar o processamento da Folha Fechar Folha de Benefícios Podendo se estender por mais 3 dias Enviar Informeções Sobre População ao Atuário e PREVIC Encerrar Benefícios Enviar Informações Sobre Auxílio Doença e Acidente de Trabalho 10 DIAS ANTES DA REUNIÃO MENSAL DO CONSELHO DELIBERATIVO Elaborar Fatos Relevantes (Atuária e Benefícios) MENSALMENTE Acompanhar Processos Judiciais Alimenta Fechamento da Folha de Benefícios Realizar Controle das Parcelas do Termo de Compromisso Realizar Controle Relativo ao Custeio da Gestão do Ativo Realizar Avaliação Atuarial Elaborar Parecer Atuarial dos Planos QUADRIMESTRALMENTE Realizar Manutenção no SISOBI ANUALMENTE Suportar Processos Atuariais Fechamento dos processos deve ocorrer até 30 de janeiro ANUALMENTE Enviar Informes de Rendimentos ANUALMENTE Gerar DIRF de Benefícios BIENALMENTE Realizar Recadastramento O tempo objetivado de recuperação em situações de contingência deve considerar as seguintes regras de negócio: ATÉ O DIA 20 DE CADA MÊS ATÉ O DIA 25 DE CADA MÊS ATÉ O DIA 10 DO MÊS SUBSEQUENTE PCCN v01/2014 29 6. MONITORAMENTO DO PCCN E MELHORIAS 6.1 Revisões O PCCN deve ser revisado anualmente ou, eventualmente, na ocorrência das seguintes situações: Evento Ação Responsável Alteração em processos (otimização ou adaptação a alterações na legislação). Analisar impacto no PCCN e, se necessário, atualizá-lo. Coordenador de Área Introdução de nova tecnologia. Analisar risco de falha, impacto nos processos, definir contingência e atualizar PCCN. Coordenador de TI (em trabalho conjunto com os Coordenadores das áreas afetadas). A revisão anual ocorrerá em data definida pela Diretoria Executiva e será composta das seguintes etapas: Etapa Ação Responsável Análise crítica do PCCN Leitura prévia e análise do conteúdo do PCCN. Coordenadores de Área (recomendável participação dos colaboradores). Validação da revisão Reunião da Diretoria Executiva com os Coordenadores, para apresentação de sugestões. Presidência Ao final do processo de revisão, os seguintes produtos serão gerados: � PCCN atualizado e/ou corrigido (se for o caso); � Registro da validação da revisão (ata contendo sumário de atualizações/correções realizadas, assinada por todos os participantes; caso não existam atualizações/correções, observar na ata que o PCCN foi revisado e que seu conteúdo atende aos requisitos de negócio para o próximo período). � Caso ocorra atualização/correção no PCCN, a área de Comunicação procederá à devida atualização na Intranet (e outros veículos de divulgação do plano, se existirem). PCCN v01/2014 30 6.2 Testes A realização de testes do PCCN é obrigatória e deverá seguir o seguinte critério de execução: Evento Periodicidade Responsável Simulação de evacuação do escritório em caso de desastre (incêndio, alagamento, suspeita de atentado terrorista, etc.). Semestral Coordenador de Administração Rodízio de colaboradores, para execução de atividades (exemplo: alocar, por um dia, um colaborador de “Empréstimos” na área de “Seguridade”). Eventual (fora de períodos críticos) Coordenador de Área Home Office: liberar, por um dia, colaboradores cuja atividade principal possa ser executada de casa, estabelecendo controles de atuação remota. Eventual Coordenador de Área Simulação de situações para validar se os planos possuem informações suficientes para a atuação em caso de contingência. Semestralmente (selecionar plano e executá-lo) Coordenador de Área Testar recursos alternativos de TI. Anualmente Coordenador de TI Todo teste de PCCN deve ser formalmente planejado e acordado entre as áreas envolvidas. Simulações de evacuação do escritório devem ser aprovadas pela Diretoria Executiva. Os testes com recursos de TI e utilização de Home Office devem ter a aprovação de, pelo menos, um Diretor. A execução dos demais testes será decidida pelos próprios Coordenadores. PCCN v01/2014 31 6.3 Registros Toda ocorrência de incidente que acarrete o acionamento de um dos planos de ação estabelecidos no PCCN será documentada, com o registro das seguintes informações: � Descrição sumária do incidente; � Data e hora (quando aplicável) da ocorrência do incidente; � Responsável pelo acionamento do plano de contingência; � Responsável pela coordenação das ações de contingência; � Descrição sumária das ações tomadas; � Data e hora (quando aplicável) de retorno às condições normais de trabalho; � Informações adicionais (exemplo: ativos danificados, custo estimado para reparação de danos, etc.); � Assinaturas (coordenador do plano e superior imediato). O objetivo deste registro é disponibilizar o histórico de situações de contingência a quem interessar possa (exemplo: auditorias), além de constituir em ferramenta de avaliação da eficácia do PCCN, quando de sua revisão. Este registro deve ser arquivado na Coordenação de Administração. 6.4 Conscientização (recomendação) A PREVDATA deve criar e manter conscientização da importância do PCCN, através de um programa de educação coordenado pela Assessoria de Comunicação. Recomendação de tópicos do programa: � Abordagem do PCCN no informativo da empresa; � Inclusão do PCCN nas apresentações institucionais;PCCN v01/2014 32 � Atualização do PCCN na Intranet; � Participação em fórum de debates (via Internet ou presencialmente, em simpósios) sobre plano de contingência e continuidade de negócios. Escalar para estes eventos o Coordenador de Administração e/ou Coordenador de TI, dependendo do programa; � Incentivar, através de campanhas, a discussão do PCCN entre as equipes de trabalho das diversas Coordenações; � Realizar benchmarking. PCCN v01/2014 33 CONSIDERAÇÕES FINAIS � Este PCCN é um instrumento de gestão de uso exclusivo da PREVDATA. O conteúdo deste documento é de sua propriedade, não podendo ser reproduzido, armazenado ou transmitido, em qualquer formato ou por quaisquer meios, sejam eletrônicos ou mecânicos, sem prévia autorização de um ou mais membros da Diretora Executiva. � A versão final deste PCCN será publicada quando da inserção em seu contexto das áreas que ainda se encontram em fase de mapeamento (Administração, Contabilidade e Liquidação/Custódia), uma vez que incidentes em seus processos podem impactar, em termos de contingência, em algum processo já considerado neste trabalho, acarretando alteração no conteúdo ora apresentado. PCCN v01/2014 34 ANEXOS I. Níveis de Impacto e Risco nos Processos II. Tabela de Classificação e Prioridade – Análise Impacto x Risco III. Matrizes de Impacto x Risco por Processo IV. Recursos Mínimos para a Manutenção de Operação em Modo de Contingência V. Telefones dos Empregados da PREVDATA PCCN v01/2014 35 I. Níveis de Impacto e Risco nos Processos N/A 0 Desprezível 1 Baixo 2 Crítico 3 Grave 4 Gravíssimo 5 N/A 0 Muito Baixo 1 Baixo 2 Médio 3 Alto 4 Muito Alto 5 Im p ac to R is co PCCN v01/2014 36 II. Tabela de Classificação e Prioridade – Análise Impacto x Risco Muito Baixo Baixo Médio Alto Muita Alto (improvável) (Pouco Provável) (Possível) (Provável) (Frequente) Desprezível 1 2 3 4 5 Baixo 2 3 4 5 6 Crítico 3 4 5 6 7 Grave 4 5 6 7 8 Gravíssimo 5 6 7 8 9 Legenda L M IImplantar ações imediatamente 1 a 3 4 a 6 7 a 9 Risco Im p ac to Nível de Risco Descrição Implantar ações a longo prazo Implantar ações a médio prazo PCCN v01/2014 37 III. Matrizes de Impacto x Risco por Processo PCCN v01/2014 38 IV. Recursos Mínimos para a Manutenção de Operação em Modo de Contingência Assistente de Seguridade 1 Analista de Investimentos - RF 1 Assistente de Benefícios 1 Analista de Seguridade 1 Analista de Investimentos - Compliance 1 Atuário 1 Coordenador de Empréstimos/Seguridade 1 Analista de Investimentos - Back-office 1 Coordenador de Atuária/Benefícios 1 Coordenador de Investimentos 1 Estações de trabalho 10 Servidor (intranet / banco de dados) 1 Impressora 1 Link dados/internet 1 Link de voz 1 Rede de dados (LAN) - switch 1 Empréstimos e Seguridade Investimentos Benefícios COLABORADORES RECURSOS TECNOLÓGICOS PCCN v01/2014 39 V. Telefones dos Empregados da PREVDATA SETOR / NOME CARGO TELEFONE RESIDENCIAL TELEFONE CELULAR PRESIDÊNCIA Direoria Executiva Paulo Sergio Presidente Executivo (24)3365-0552 (24)9991-4416 98182-8468 Coordenação de Seguridade e Empréstimos SECRETARIA Jane Nader Analista de Administração 2258-5482 99311-4484 Coordenação de Atuária e Benefícios JURIDICO Milena Neves Advogada 2425-8511 99226-1283 Coordenação de Investimentos COMUNICAÇÃO Coordenação de Administração CONTROLES Assessoria de Informática Victor Honorato (Responsável) Analista de Administração 3502-8275 97632-3178 Rodrigo Faria Analista de Administração 3905-0211 99483-3818 Controles ASSESSORIA DE INFORMÁTICA Carlos José (Responsável) Assessor de Informática 2537-5738 99905-3590/97813-6677 Marcelo Staudt (Substituto Imediato) Analista de Tecnologia da Informação 2504-2822 98835-0694 DIRETORIA DE ATENDIMENTO E SEGURIDADE Ary Follain Diretor de Atendimento e Seguridade 2537-3683 99612-7188 COORDENAÇÃO DE SEGURIDADE E EMPRÉSTIMOS Andréa Corrêa (Responsável) Coordenadora de Seguridade e Empréstimos 2537-5738 99253-5995/98855-7485 Adalberto Vieira (Substituto Imediato) Analista de Seguridade 3274-4583 96445-1641 Vinícius Vilafranca Assistente Administrativo 3046-5187 99451-6951 Leonardo Crispinho Assistente Administrativo 2273-1395 99654-7672 Sabrina Magalhães Analista de Seguridade 2201-6805 99828-1811 Janaina Cristina Analista de Seguridade 2485-3866 98399-2175 COORDENAÇÃO DE ATUARIA E BENEFICIOS Fabia Alves (Responsável) Coordenadora de Atuária e Benefícios 3314-2367 99253-4239 Daiana Menezes (Substituto Imediato) Analista de Benefícios 3936-1663 99365-5472/99176-9739 Jorge Ramalho Analista de Benefícios 2567-9085 99726-9212 Ademir Ribeiro Auxiliar Administrativo 2205-3174 99734-1280 Heliovania La Torre Analista de Benefícios 3579-2369 97363-4387 COORDENAÇÃO DE ADMINISTRAÇÃO Ronaldo Curityba (Responsável) Coordenador de Administração 3340-3585 99750-5385 Sônia Alves (Substituto Imediato) Analista de Recursos Humanos 2573-3319 99354-5199 Murilo Cravo Analista de Administração 2273-8463 99403-9240 Michele Cardozo Assistente Administrativo 3301-9972 97751-7884 Ana Maria Auxiliar Administrativo 2238-7428 99955-7464 André Felipe Assistente Administrativo 2782-1623 99235-8399 Alberto Vincler Analista de Documentação 3155-5408 98885-1852 DIRETORIA DE ADMINISTRAÇÃO E FINANÇAS Carlos Eduardo Diretor de Administração e Finanças 2238-4807 99984-9896 COORDENAÇÃO DE INVESTIMENTOS Mozart Donato (Responsável) Coordenador de Investimentos 2258-5482 99461-6480 Rafael Bitencourt (Substituto Imediato) Analista de Investimentos 2704-4841 97871-0799 COORDENAÇÃO DE LIQUIDAÇÃO E CUSTÓDIA André Luiz Coordenador de Liquidação e Custódia 2451-8689 99453-4648 Renato Guimarães Assistente Econômico Financeiro 2565-5260 99308-6284 Alberto Passarelli Analista de Investimentos 3393-3195 99984-0025 COORDENAÇÃO DE CONTABILIDADE Mauro Theodoro Coordenador de Contabilidade 2573-1331 99408-0468 Andréia Panela Analista Contábil 3468-4674 99253-5975 Marcelo Bruno Analista Contábil 2238-0936 98143-8722 Luciana Bartholomeu Analista Contábil 3116-4803 99423-2509 Legenda de Identificação
Compartilhar