PLANO DE CONTINGÊNCIA E
CONTINUIDADE DE NEGÓCIOS
JUNHO/2014
SUMÁRIO
INTRODUÇÃO
1. CONCEITUAÇÃO
2. RELAÇÃO DO PCCN COM O PLANEJAMENTO ESTRATÉGICO DA PREVDATA
3. RECOMENDAÇÕES DE MEDIDAS PREVENTIVAS
4. PLANOS DE CONTINGÊNCIA PARA INCIDENTES DE IMPACTO GLOBAL NA
EMPRESA
5. PLANOS DE CONTINGÊNCIA PARA INCIDENTES DE IMPACTO ESPECÍFICO
EM PROCESSOS
6. MONITORAMENTO DO PCCN E MELHORIAS
CONSIDERAÇÕES FINAIS
ANEXOS
PCCN v01/2014
1
INTRODUÇÃO
Este Plano de Contingência e Continuidade de Negócios (PCCN) objetiva
prover a PREVDATA de um conjunto de planos de ações que suportem o
gerenciamento de situações de contingência provocada por incidentes causadores de
interrupção no andamento normal de suas atividades, garantindo as condições
mínimas necessárias para a continuidade e normalização das mesmas.
As etapas abrangidas pelo PCCN são representadas abaixo:
Incidente
Resposta ao incidente
Continuidade
Retorno à normalidade
O PCCN está dividido em 6 partes, a saber:
Conceituação;
Relação do PCCN com o Planejamento Estratégico da PREVDATA;
Recomendações de Ações Preventivas;
Planos de Contingência para Incidentes de Impacto Global na Empresa;
Planos de Contingência para Incidentes de Impacto Específico em
Processos; e
Monitoramento do PCCN e Melhorias.
Em “Conceituação”, o principal objetivo é familiarizar os colaboradores da
PREVDATA com os termos utilizados em projetos de contingência e continuidade de
negócios, nivelando o conhecimento e facilitando o entendimento do conteúdo deste
PCCN.
A “Relação do PCCN com o Planejamento Estratégico da PREVDATA”
evidencia a importância do PCCN no alcance dos objetivos estratégicos da empresa.
PCCN v01/2014
2
As
Recomendações
de
Medidas
Preventivas
estão
diretamente
relacionadas às providências para mitigação de risco na ocorrência de algum incidente.
Os Planos de Contingência para Incidentes de Impacto Global na Empresa
são aquelas ações que, uma vez ocorrido o incidente que cause impacto na
organização como um todo, permitirão à empresa a continuidade das atividades vitais
ao atendimento de sua missão, nas condições mínimas necessárias de funcionamento,
até o retorno à normalidade. Exemplos de incidentes causadores de contingência de
âmbito geral: incêndio ou alagamento em grandes proporções, pane generalizada nos
recursos de informática e telecomunicações, interdição do prédio onde funciona a
PREVDATA por motivos externos, etc.
Os Planos de Contingência para Incidentes de Impacto Específico em
Processos são ações voltadas para o reestabelecimento de atividades vitais,
específicas de cada unidade organizacional da PREVDATA, que tenham sofrido
alguma descontinuidade em função de um incidente. Exemplos de incidentes
enquadrados neste caso: ausência de um ou mais funcionários por um período de
tempo significativo, indisponibilidade de sistema/ferramenta de uso exclusivo por um
determinado processo, indisponibilidade de recursos de telecomunicação, etc.
O respaldo metodológico para o desenvolvimento deste PCCN é a ISO
22.301:2013, que trata de Segurança da Sociedade – Sistema de Gestão de
Continuidade de Negócios – Requisitos.
Para garantia de sua eficácia e efetividade, este PCCN deve ser de
conhecimento de todos os colaboradores da PREVDATA e daqueles que, na estrutura
da DATAPREV, têm interface com os seus processos de negócio. Sua revisão
periódica é requisito básico para o atingimento de seus objetivos.
Como observação final desta introdução, é importante lembrar que as pessoas
são o principal ativo da PREVDATA e que, em caso de incidente provocado por
desastres como incêndios ou desabamentos, a prioridade será sempre a preservação
de vidas.
PCCN v01/2014
3
1. CONCEITUAÇÃO
Os conceitos abaixo relacionados objetivam o nivelamento de conhecimento de
todos os colaboradores da PREVDATA, quanto ao objeto deste PCCN, e perfeito
entendimento do contexto no qual ele se insere. Estes conceitos devem ser
interpretados sob o ponto de vista da continuidade de negócios.
1.1 Sistema de Gestão de Continuidade de Negócios (SGCN)
É o conjunto de ferramentas de gestão concorrendo para a garantia do atendimento
às demandas dos clientes da PREVDATA em situações de contingência. O PCCN
é parte integrante deste sistema, conforme demonstrado no diagrama abaixo:
Importante:
A liderança do SGCN tem que ser da Diretoria da PREVDATA.
As pessoas envolvidas num processo de continuidade de negócios têm que
ser capacitadas para tal.
Deve haver a garantia de que os recursos necessários para a continuidade
dos negócios estejam sempre disponíveis.
O SGCN deve estar alinhado com o Planejamento Estratégico.
Qualquer alteração em processos que tenha interferência no SGCN deve
acarretar a revisão do mesmo.
PCCN v01/2014
4
A Gestão de Riscos e a Gestão de Continuidade de Negócios devem estar
alinhadas, uma vez que a análise de riscos fornece subsídios para a análise
de impacto nos negócios em casos de descontinuidades.
A Comunicação é atividade fundamental para a eficácia do SGCN.
Todos os colaboradores devem conhecer o SGCN.
O SGCN deve ser periodicamente avaliado e melhorado.
1.2 Contingência
É uma eventualidade, um acontecimento que tem como fundamento a incerteza do
que pode ou não acontecer.
1.3 Incidente
No contexto do PCCN, é o evento imprevisto e indesejável que pode resultar em
algum tipo de dano a pessoas, ao patrimônio ou ao meio ambiente, provocando a
paralisação de atividades vitais ao negócio.
1.4 Continuidade de Negócio
Capacidade estratégica e tática que a empresa tem para planejar e responder a
incidentes, com a finalidade de continuar a execução das atividades críticas, dentro
de um nível aceitável e assumido pela organização.
1.5 Atividade
Conjunto de processos que suportam um ou mais serviços/produtos (Ex.: TI,
Investimentos, Benefícios, Empréstimos, Financeiro, etc).
1.6 Infraestrutura
Sistema
de
instalações,
equipamentos
e
serviços
necessários
para
o
funcionamento da empresa.
1.7 Parte Interessada
Pessoa ou organização que pode afetar ou ser afetado ou que entende ser afetado
por uma situação de contingência. Ex.: DATAPREV, Participantes, Beneficiários,
Colaboradores da PREVDATA, etc.
PCCN v01/2014
5
1.8 Período Máximo de Interrupção Tolerável
Tempo necessário para que os impactos adversos de uma situação de contingência
tornem-se inaceitáveis.
1.9 Tempo Objetivado de Recuperação
Período de tempo após um incidente/acidente em que o serviço deve ser retomado
ou os recursos recuperados (retorno à normalidade).
1.10 Objetivo Mínimo de Continuidade de Negócios
Níveis mínimos aceitáveis de serviços para a empresa realizar suas atividades
vitais durante uma interrupção provocada por uma contingência.
1.11 Acordo de Ajuda Mútua
Pré-disposição de entendimento entre duas ou mais áreas para prestação de
assistência mútua, visando a manutenção de algum processo vital em
funcionamento.
1.12 Registro
Formalização dos resultados atingidos durante e após a execução de um PCCN.
1.13 Risco
Possibilidade de ocorrência de eventos que interfiram no alcance dos objetivos da
empresa. O gerenciamento de riscos está relacionado com os objetivos da
organização, que incluem, mas não se limitam aos objetivos de continuidade de
negócios.
1.14 Impacto
Consequência da indisponibilidade de recursos, tecnológicos e humanos,
decorrente da efetiva ocorrência de falhas.
PCCN v01/2014
6
2. RELAÇÃO DO PCCN COM O PLANEJAMENTO ESTRATÉGICO DA PREVDATA
O PCCN, parte integrante do Sistema de Gestão de Continuidade de Negócios,
deve estar alinhado ao Planejamento Estratégico, concorrendo para o atingimento dos
seus objetivos.
O diagrama abaixo representa a contribuição do PCCN para o Planejamento
Estratégico:
P l a n e j a m e n t o E s t r a t é g ic o
M IS S Â O
. . . a t e n d a à s e x p e c t a t iv a s e
c u m p r a o s c o m p r o m is s o s
p e r a n t e P a r t ic ip a n t e s ,
A s s i s tid o s e P a t r o c i n a d o r e s .
VALO RES
. . . a tu e c o m t r a n s p a r ê n c ia ,
c o m p r o m e t im e n to e
e x c e lê n c ia
PO NTO S FO RTES
. . . m a n t e n h a o c o n c e it u a d o
n í v e l d e a t e n d im e n t o a o
c lie n t e e a e fic á c ia n a
g e s t ã o d o s a t iv o s .
PCCN
PONTO S FRACOS
G a r a n t ir a
c o n tin u id a d e d o s
n e g ó c io s e m s itu a ç ã o
d e c o n t in g ê n c ia . . .
...c o n tr ib u in d o
p a ra q u e a
P R E V D A T A ...
. . . m e lh o r e a g e s t ã o d e T I.
P IL A R E S
...g a ra n ta a s e g u r a n ç a d e
s e u s c o la b o r a d o r e s , a
p re s e rv a ç ã o d e s e u s
p r o c e s s o s v it a is e a
u t iliz a ç ã o d e r e c u r s o s
t e c n o ló g ic o s n e c e s s á r io s à
r e c u p e r a ç ã o o p e r a c io n a l.
P A R C E IR O S - C H A V E
.. . g a r a n ta a q u a lid a d e n a
r e la ç ã o / c o m u n ic a ç ã o c o m
DATAPREV, BRADESCO,
C O N SU LTO R ES de
IN V E S T IM E N T O e IN T E C H ,
m esm o em caso de
in c i d e n t e s .
A T IV ID A D E S -C H A V E
. .. r e c u p e r e a o p e r a ç ã o d e
s u a s a t iv id a d e s - c h a v e n o
m e n o r t e m p o p o s s ív e l. .
PCCN v01/2014
7
3. RECOMENDAÇÃO DE MEDIDAS PREVENTIVAS
Com o objetivo de reduzir os riscos de ocorrência de incidentes e de prover
recursos para a garantia da vida, a adoção das seguintes medidas deve ser avaliada e
decidida pela Diretoria da PREVDATA:
3.1 Rota de Fuga e Sinalização de Emergência
Instalação de Rota de Fuga e Sinalização de Emergência em pontos estratégicos do
escritório, instruindo aos colaboradores e visitantes um padrão de conduta adequado
em caso de sinistros com o fogo.
3.2 Revisão Periódica de Equipamentos de Combate a Incêndios
Estabelecer cronograma de revisão periódica em extintores, mangueiras e sprinklers.
Se no caso das mangueiras a responsabilidade for do condomínio, cobrar laudo sobre
as condições das mesmas.
3.3 Formar Grupo de Brigadistas
Garantir que, pelo menos, 2 colaboradores de cada andar sejam certificados em cursos
especializados para atuação em caso de incêndio ou outros casos de incidentes que
gerem a necessidade de evacuação do escritório.
3.4 Simulações
Caso não seja prática do condomínio a realização de simulações periódicas de
evacuação do prédio, estabelecer um procedimento interno para este fim, prédeterminando: tempo ideal para a evacuação, ponto de encontro, coordenação do
procedimento, etc. Acordos para participação de empresas instaladas em andares
vizinhos aumentam a eficácia do procedimento.
3.5 Disponibilização de Telefones da Polícia, do Corpo de Bombeiros, da Defesa Civil e
do SAMU.
Afixar os telefones de emergência em locais estratégicos. Em situações de pânico, esta
medida pode facilitar a comunicação com essas instituições.
PCCN v01/2014
8
3.6 Identificação de Visitantes
Estabelecer procedimento para a identificação de visitantes no âmbito da PREVDATA
(crachá ou etiqueta), como medida para aumento do nível de segurança.
3.7 Circulação de Terceiros
Estabelecer procedimento para circulação de terceiros na PREVDATA, tanto de
visitantes como de prestadores de serviço.
3.8 Monitoramento do Ambiente Corporativo
Implantação de sistema de monitoramento com câmeras em locais estratégicos.
3.9 Melhoria Operacional na Central de Controle de Documentos
Em função da natureza da atividade (manuseio e guarda de documentos), recomendase a adoção de recursos específicos para controle de umidade e pragas.
3.10 Avaliação Periódica dos Circuitos Elétricos
Verificação periódica para mitigar o risco de curto-circuito.
3.11 Avaliação Periódica das Instalações Hidráulicas
Verificação periódica de registros, válvulas e pontos de infiltração.
3.12 Telefones de Colaboradores
Disponibilização de lista de telefones celulares e residenciais dos colaboradores, para
utilização em caso de necessidade de comunicação de situações de contingência, se
necessário.
PCCN v01/2014
9
4. PLANOS DE CONTINGÊNCIA PARA INCIDENTES DE IMPACTO GLOBAL NA
EMPRESA
Os planos aqui estabelecidos baseiam-se na análise das Matrizes de Impacto x
Risco por Processo (vide Anexos I, II e III), onde foram verificadas as falhas em ativos
que impactam a organização como um todo.
Algumas ações recomendadas exigirão da Diretoria Executiva da PREVDATA
decisão de investimento, visando atingir com as soluções propostas níveis acima do
objetivo mínimo aceitável de continuidade de negócios, o que se traduz em melhoria
significativa de eficácia de recuperação (exemplo: montagem de site de contingência).
Relativamente
à
decisão
de
entrada
em
situação
de
contingência,
recomendam-se os seguintes níveis de alçada:
Incidente
Tomadores de Decisão
Falha em Ativo de TI
Coordenador de TI + Presidente ou 1 Diretor
Incidente nas Instalações
Coordenador de Administração + Presidente ou 1
Prediais
Diretor
Incidente nas Instalações
Coordenador de Administração + Presidente ou 1
Elétricas
Diretor
Incidente com Envolvimento
Coordenador de Administração + Coordenador de
de Colaboradores
Área + Presidente ou 1 Diretor
Na sequência são apresentados os planos de ação, divididos por ativo da
empresa com risco de falhas de impacto global:
PCCN v01/2014
10
Ativo: Rede de Dados Interna (LAN)
AMEAÇAS
VULNERABILIDADE
RISCOS
Falha no equipamento (switch)
Fornecimento de acesso à rede de forma
interrompida, por inexistência de
redundância.
Parada da rede corporativa LAN
AÇÕES
RESPONSÁVEIS
PRAZO MÁXIMO INTERRUPÇÃO TOLERÁVEL
Reestabelecer de forma emergencial a
funcionalidade da rede de dados interna (LAN)
Coordenador de TI
PRIORIDADE
Implantar ação
imediatamente
Interrupção não tolerável
Viabilizar a disponibilização da rede
em modo redundante.
PCCN v01/2014
Coordenador de TI, Diretoria Executiva e
Conselho Deliberativo
Implantar ação a médio
prazo
11
Ativo: Link de dados (WAN) – Internet
AMEAÇAS
VULNERABILIDADE
RISCOS
Interrupção do serviço de fornecimento de
acesso internet (WAN) pelo prestador do
serviço e falha no equipamento
(modem/roteador).
Fornecimento de acesso a internet de
forma interrompida por inexistência de
redundância.
Perda de acesso a internet com
indisponibilidade dos serviços de
email, WEB e com possibilidade de
perdas de transações eletrônicas.
AÇÕES
RESPONSÁVEIS
PRAZO MÁXIMO - INTERRUPÇÃO
TOLERÁVEL
PRIORIDADE
Reestabelecer de forma emergencial a
funcionalidade da rede de dados WAN.
Coordenador de TI
Interrupção não tolerável
Implantar ações
imediatamente
Viabilizar o fornecimento de acesso em
modo redundante para disponibilizar o
acesso a internet e seus serviços de forma
ininterrupta.
PCCN v01/2014
Coordenador de TI, Diretoria Executiva e
Conselho Deliberativo
12
Ativo: Intranet
AMEAÇAS
VULNERABILIDADE
RISCOS
Perda de acesso aos
Interrupção do serviço de Intranet, falha no servidor responsável por suportar o Fornecimento de acesso ao
serviços disponibilizados na
serviço intranet.
serviço intranet interrompida.
intranet.
AÇÕES
RESPONSÁVEIS
PRAZO MÁXIMO INTERRUPÇÃO TOLERÁVEL
PRIORIDADE
Efetuar procedimento corretivo utilizando-se de backup para restauração mais
relevante do ambiente intranet.
Coordenador de TI
24 horas
Implantar ação a médio
prazo
PCCN v01/2014
13
Ativo: Link de Voz (telefonia)
AMEAÇAS
VULNERABILIDADE
RISCOS
Interrupção do serviço de voz.
Fornecimento de link de voz
interrompido por falha
adversa, sem aviso prévio e
por inexistência de
redundância.
Perder a comunicação via
telefone com as entidades
externas à empresa
(DATAPREV, participantes,
beneficiários, instituições
bancárias, corretoras, etc).
AÇÕES
RESPONSÁVEIS
PRAZO MÁXIMO INTERRUPÇÃO TOLERÁVEL
PRIORIDADE
Utililizar de forma emergencial os telefones celulares corporativos.
Colaboradores portadores
desse recurso
Viabilizar o fornecimento de link de voz em modo redundante, para
disponibilizar este serviço de forma ininterrupta.
Coordenador de
Administração, Diretoria
Executiva e Conselho
Deliberativo
Interrupção não tolerável
Implantar ações
imediatamente
Informar a interrupção e a previsão de retorno à DATAPREV.
Assessoria de Comunicação
PCCN v01/2014
14
Ativo: Servidor de Banco de Dados
AMEAÇAS
VULNERABILIDADE
RISCOS
Falha no equipamento (servidor).
Interrupção do acesso às
informações core da empresa.
Parada do servidor.
AÇÕES
RESPONSÁVEIS
PRAZO MÁXIMO INTERRUPÇÃO TOLERÁVEL
Reestabelecer a funcionalidade física do servidor
(componentes eletrônicos)
Reestabelecer a funcionalidade do banco de dados do servidor
(base de dados)
Viabilizar provisionamento para substituição do equipamento em caso de falha
e/ou criação de ambiente redundante com sincronização dos dados.
PCCN v01/2014
Coordenador de Ti
Coordenador de Ti
Coordenador de TI, Diretoira
Executiva e Conselho
Deliberativo
15
PRIORIDADE
Implantar ações
imediatamente
Interrupção não tolerável
Implantar ação a médio
prazo
Ativo: Sistema Integrado de Gestão
AMEAÇAS
VULNERABILIDADE
RISCOS
Falha do sistema;
Descontinuidade na prestação de serviço do fornecedor do sistema.
Impacto nos processos que
utilizam o sistema.
Atualização de versão com
falha.
AÇÕES
RESPONSÁVEIS
PRAZO MÁXIMO INTERRUPÇÃO TOLERÁVEL
Reestabelecer o sistema de forma funcional.
Coordenador de Ti
PRIORIDADE
Implantar ações
imediatamente
Viabilizar provisionamento para melhoria / atualização do sistema
Coordenador de TI, Diretoria
Executiva e Conselho
Deliberativo
Elaborar estudo de viabilidade para substituição do fornecedor
PCCN v01/2014
16
Interrupção não tolerável
Implantar ação a médio
prazo
Ativo: Site Internet da PREVDATA
AMEAÇAS
VULNERABILIDADE
RISCOS
Falha na prestação do serviço do provedor internet;
Falha no link de dados.
Impacto nos processos e
clientes que utilizam os
serviços disponibilizados
neste ambiente.
Indiponibilidade dos
serviços prestados aos
clientes.
AÇÕES
RESPONSÁVEIS
PRAZO MÁXIMO INTERRUPÇÃO TOLERÁVEL
Reestabelecer a disponibilização do site de forma emergencial.
Coordenador de Ti
PRIORIDADE
Implantar ações
imediatamente
Informar a interrupção e a previsão de retorno à DATAPREV.
Assessoria de Comunicação
Viabilizar criação de redundância dos serviços indispensáveis aos clientes e
disponibilizados na internet
Coordenador de TI, Diretoria
Executiva e Conselho
Deliberativo
PCCN v01/2014
17
24 horas
Implantar ação a médio
prazo
Ativo: Instalações Prediais
AMEAÇAS
VULNERABILIDADE
RISCOS
Desastres (Incêndio, inundação, sabotagem, assalto, atentado terrorista).
Indisponibilização do acesso
às instalações prediais.
Impossibilidade de
operação da empresa.
AÇÕES
RESPONSÁVEIS
PRAZO MÁXIMO INTERRUPÇÃO TOLERÁVEL
Salvaguardar a vida dos colaboradores providenciando a evacuação do escritório.
Brigadistas
Acionar os orgãos competentes (SAMU, Bombeiros, Defesa Civil, Polícia, etc),
conforme a natureza do incidente/desastre
PRIORIDADE
Coordenador de
Administração
Nas situações extremas (por exemplo: existência de vítimas) , informar aos
familiares
Informar a interrupção e a previsão de retorno à DATAPREV e aos clientes.
Se necessário, informar à mídia (jornal, tv, rádio, etc), com o suporte da
Assesoria Jurídica
Reestabelecer de forma emergencial as cópias de segurança em ambiente de
nuvem para que os colaboradores possam ter acesso via internet aos
documentos de uso diário (planilhas, textos, etc).
Providenciar junto aos órgãos competentes os documentos necessários para as
medidas de reestabelecimento da empresa junto às seguradoras (financeiro e
operacional)
Assessoria de Comunicação
Coordenador de TI
Não definido. Quanto mais
ágil for a empresa em
prover os recursos
necessários para atuação
em modo de contingência,
menor será o prejuízo.
Coordenador de
Administração
Viabilizar montagem de site de contigência, visando disponibilizar em local
seguro que não seja afetado pelo mesmo incidente os recursos mínimos
Coordenador de TI, Diretoria
necessários para manter a operação da empresa em modo de contingência (vide
Executiva e Conselho
Anexo - Recursos Mínimos para a Manutenção de Operação em Modo de
Deliberativo
Contingência)
PCCN v01/2014
Implantar ações
imediatamente
Implantar ação a médio
prazo.
18
Ativo: Energia Elétrica
AMEAÇAS
VULNERABILIDADE
RISCOS
Falha na prestação do serviço;
Desastre (acidente, sabotagem, curto-circuito).
Fornecimento de energia
interrompida por falta de
redundância.
Interromper a operação da
empresa.
AÇÕES
RESPONSÁVEIS
PRAZO MÁXIMO INTERRUPÇÃO TOLERÁVEL
PRIORIDADE
Reestabelecer a energia elétrica de forma emergencial e, se houver
necessidade, contratar energia elétrica de outro fornecedor (gerador) até o
retorno através da prestadora de serviço (Ligth, Ampla, etc)
Coordenador de
Administração
Executar medidas para preservação dos equipamentos de TI.
Coordenador de TI
4 horas
Implantar ações
imediatamente
Viabilizar o fornecimento de energia elétrica de forma ininterrupta e estável,
por um período maior e abrangendo os equipamentos essenciais/mínimos para
o funcionamento da empresa.
Coordenador de
Administração, Diretoria
Executiva e Conselho
Deliberativo
PCCN v01/2014
19
Ativo: Colaboradores
AMEAÇAS
VULNERABILIDADE
RISCOS
Desligamento em massa por motivo adverso;
Movimentos sociais (greves, passeatas, etc).
Quadro de pessoal enxuto.
Operação da empresa
interrompida parcial ou
totalmente.
AÇÕES
RESPONSÁVEIS
PRAZO MÁXIMO INTERRUPÇÃO TOLERÁVEL
PRIORIDADE
No caso de impossibilidade de comparecimento à PREVDATA, disponibilizar
recursos para acesso remoto para que os colaboradores possam acessar as
informações necessárias para o desenvolvimento do trabalho (home office)
Coordenador de Ti
Para os casos de desligamento em massa, utilizar os recursos de setores
remanescentes com atividades afins estabelecendo um acordo de ajuda mútua.
Coordenadores das Áreas
Impactadas
Interrupção não tolerável
Implantar ações
imediatamente
Prover transporte alternativo para os elementos chave dos principais processos.
Coordenador de
Administração
PCCN v01/2014
20
5. PLANOS DE CONTINGÊNCIA PARA INCIDENTES DE IMPACTO ESPECÍFICO
EM PROCESSOS
Os planos aqui estabelecidos baseiam-se na análise das Matrizes de Impacto x
Risco por Processo (vide Anexos I, II e III), onde foram verificadas as falhas que
impactam os processos específicos de cada área objeto deste PCCN: Investimentos,
Empréstimos/Seguridade e Atuária/Benefícios.
Pelas características do negócio administrado pela PREVDATA, os impactos
com classificação abaixo de “CRÍTICO” foram desprezados, pois o custo de
acionamento de um plano de contingência para esses casos não é compensador.
Algumas ações recomendadas exigirão da Diretoria Executiva da PREVDATA
decisão de investimento, visando atingir com as soluções propostas níveis acima do
objetivo mínimo aceitável de continuidade de negócios, o que se traduz em melhoria
significativa de eficácia de recuperação (exemplo: redimensionamento do quadro de
pessoal).
Relativamente à decisão de entrada em situação de contingência, a
responsabilidade é exclusiva dos Coordenadores de Área, com a devida formalização
junto ao respectivo Diretor.
Na sequência são apresentados os planos de ação, divididos por ativo da
empresa com risco de falhas de impacto específico em processos:
PCCN v01/2014
21
INVESTIMENTOS
AMEAÇAS
Entidades externas inacessíveis;
Falha na interface com outros setores;
Interrupção do serviço de fornecimento de
acesso internet para bancos e corretoras; e
Ausência de recursos humanos para
execução e aprovação.
AÇÕES
Utilizar recursos alternativos para
comunicação com as entidades externas.
Relatar a falha na interface com outros
setores , buscando consenso com os mesmos
e, se necessário, escalar problema ao nível
superior.
Utlizar os recursos de setores com atividades
afins, estabecendo um acordo de ajuda
mútua.
VULNERABILIDADE
Quadro de pessoal enxuto;
Não atingimento dos objetivos da área; e
Fornecimento de acesso à internet de forma
interrompida, por inexistência de
redundância.
RISCOS
Processos não serem executados parcial ou
totalmente; e
Descumprimento de prazos legais e de
negócio; Afetar a imagem da empresa e
impactar na receita.
RESPONSÁVEIS
PRIORIDADE
Implantar ações imediatas
Coordenador de Investimentos
Coordenador de Liquidação e Custódia
Analista de Investimento - Compliance
Elaborar plano de revisão do quadro de
colaboradores, visando identificar os que
necessitam de espelhamento para que a
execução do processo não sofra interrupção.
Reestabelecer o acesso às entidades
externas de forma emergencial
Em relação ao acesso internet interrompido,
vide planos globais para o ativo: "Link de
dados (WAN) - Internet".
PCCN v01/2014
Implantar ação a médio prazo
Implantar ações imediatas
Coordenador de TI
Ver plano para Link de Dados (WAN) - Internet
22
O tempo objetivado de recuperação em situações de contingência deve considerar as seguintes regras de negócio:
PERÍODOS E DATAS LIMITES
PROCESSOS DE INVESTIMENTOS
OBSERVAÇÕES
Anual (início em novembro)
Definir Política de Investimentos
30 dias após aprovação do Conselho Deliberativo, tem que ser divulgado (PREVIC, PREVDATA
e DATAPREV).
Eventual
Alterar Política de Investimentos
30 dias após aprovação do Conselho Deliberativo, tem que ser divulgado (PREVIC, PREVDATA
e DATAPREV).
Quadrimestral
Aprovar Alocação em RV
30 dias após aprovação do Conselho Deliberativo, tem que ser divulgado (PREVIC, PREVDATA
e DATAPREV).
Eventual
Aprovar Alocação em RF e Estruturados
30 dias após aprovação do Conselho Deliberativo, tem que ser divulgado (PREVIC, PREVDATA
e DATAPREV).
Operar RV
Diário
Operar RF
Variável
Registrar Operações
Depende do tipo de operação/ativo que está sendo realizado
Atualizar Cotas e Índices nos Sistemas RF e RV
Realizar Ranking de Investimentos
Diário
Atualizar Cotas na Planilha RV
Realizar Relatório de acompanhamento de Ações
20 dias após aquisição ou resgate
Cadastrar Fundos no SICAD
Até 15 dias após o fechamento do balancete
Informar Demonstrativo de Investimentos no
SICAD
PCCN v01/2014
23
EMPRÉSTIMOS E SEGURIDADE
AMEAÇAS
Falha na interface com outros setores;
Interrupção do serviço de fornecimento de
acesso internet /site PREVDATA; e
Interrupção do serviço de fornecimento de
acesso internet pelo prestador de serviço,
para comunicação com a DATAPREV, e falha
no equipamento (modem/roteador).
VULNERABILIDADE
Quadro de pessoal enxuto;
Não atingimento dos objetivos da área; e
Fornecimento de acesso a internet de forma
interrompida, por inexistência de
redundância.
RISCOS
Descumprimento de prazos legais e de
negócio;
Afetar os serviços prestados aos clientes;
Impactar negativamente a receita; e
Afetar a imagem da empresa.
AÇÕES
RESPONSÁVEIS
PRIORIDADE
Relatar a falha na interface com outros
setores , buscando consenso com os mesmos
e, se necessário, escalar problema ao nível
Implantar ações imediatas
superior.
Utlizar os recursos de setores com atividades
afins, estabecendo um acordo de ajuda
Coordenador de Empréstimos e Seguridade
mútua.
Elaborar plano de revisão do quadro de
colaboradores, visando identificar os
recursos que necessitam de espelhamento
Implantar ação a médio prazo
para que a execução do processo não sofra
interrupção.
Em relação ao acesso internet interrompido,
Ver planos para Link de dados (WAN) vide planos globais para os ativos: "Link de
Coordenador de TI
Internet e Site internet da PREVDATA.
dados (WAN) - Internet" e "Site internet da
PREVDATA".
PCCN v01/2014
24
O tempo objetivado de recuperação em situações de contingência deve considerar as seguintes regras de negócio:
DATAS LIMITES
5º DIA ÚTIL DO MÊS
PROCESSOS DE SEGURIDADE
OBSERVAÇÕES
Receber Informações sobre Recursos Pagos pelas Patrocinadoras
Elaborar Relatório Disponível Aplicação
ATÉ DIA 18 DO MÊS
Gerar Arquivo para Folha de Pagamento da DATAPREV
Realizar Manutenção do Autopatrocínio
ATÉ DIA 22 DO MÊS
Realizar Cobrança de Autopatrocinados
ATÉ DIA 24 DO MÊS
Em contingência, repetir informações do mês
anterior, com geração externa de boletos.
Realizar Manutenção de Participantes Afastados por ADAT na DATAPREV
Realizar Manutenção da Folha das Patrocinadoras
Cadastrar Participante no SGPe
ATÉ DIA 25 DO MÊS
Alterar Contribuição non SGPe
Realizar Manutenção do Autopatrocínio Parcial no SGPe
Cancelar Inscrição no SGPe
ATÉ 5º DIA ÚTIL DO MÊS SUBSEQUENTE Realizar Portabilidade de Saída (pagamento)
EM 30 DIAS
Analisar Condição do Participante Desligado da Patrocinadora
O Termo de Portabilidade tem que ser emitido 5
dias após a saída.
A partir da informação de desligamento
Resgatar Reserva de Poupança
Arrecadar Contribuições de Participantes Ativos nas Patrocinadoras
O arquivo é liberado próximo ao dia 28 de cada mês
Calcular Dedução Relativa à Manutenção dos Benefícios de Risco
SEM DEFINIÇÃO, MAS NO DECORRER Liberar Participantes para Benefícios
DE 30 DIAS
Elaborar Boletim Financeiro
Elaborar Boletins de População (PRV e CV)
Elaborar Memorando de Contribuição
Elaborar Fatos Relevantes
SEMESTRALMENTE
PCCN v01/2014
Elaborar Demosntrativos Estatísticos de Benefício/População e
Sexo/Idade
Até 28 de fevereiro e até 31 de agosto
25
O tempo objetivado de recuperação em situações de contingência deve considerar as seguintes regras de negócio:
DATAS LIMITES
3º DIA ÚTIL DO MÊS APÓS CADA
DECÊNDIO
5º DIA ÚTIL DO MÊS
8º DIA ÚTIL
PROCESSOS DE EMPRÉSTIMOS
OBSERVAÇÕES
Gerar IOF
Receber Prestações de Participantes Ativos e Aposentados
Receber Informações sobre Prestações Pagas das Patrocinadoras
Receber Pagamentos Avulsos e/ou de Autopatrocinados
Executar Fechamento mensal
Elaborar Memorando de Fechamento Mensal
ATÉ DIA 24 DO MÊS
Enviar Prestações às Patrocinadoras e Benefícios
ATÉ DIA 30 DO MÊS
Revisar Cobranças
Acertos podem ser feitos posteriormente.
Acertos podem ser feitos posteriormente.
Em contingência, repetir informações do mês
anterior
Em contingência, repetir informações do mês
anterior
SEM DEFINIÇÃO, MAS NO DECORRER Conceder ou Renovar Empréstimo
DE 30 DIAS
Integrar Movimentação de Empréstimo com a Liquidação e Custódia
PCCN v01/2014
26
ATUÁRIA E BENEFÍCIOS
AMEAÇAS
Entidades externas à empresa não
cumprirem o contratado;
Falha na interface com outros setores;
Interrupção do serviço de fornecimento de
acesso internet pelo prestador do serviço,
para comunicação com a DATAPREV, e falha
no equipamento (modem/roteador).
AÇÕES
Reestabelecer os serviços indisponibilizados
pelo não cumprimento das entidades
externas e, se necessário, contratar outro
fornecedor.
Relatar a falha na interface com outros
setores, buscando consenso com os mesmos
e, se necessário, escalar problema ao nível
superior.
VULNERABILIDADE
RISCOS
Não atingimento dos objetivos da área; e
Fornecimento de acesso à internet de forma
interrompida, por inexistência de
redundância.
RESPONSÁVEIS
Descumprimento de prazos legais e de
negócios;
Afetar os serviços prestados aos clientes; e
Afetar a imagem da empresa.
PRIORIDADE
Coordenador de Atuária e Benefícios
Implantar ação imediatamente
Reestabelecer o acesso internet para
comunicação com a DATAPREV de forma
emergencial.
Elaboração de um plano para fornecimento
de acesso em modo redundante, para
disponibilizar o acesso à internet para
comunicação com a DATAPREV de forma
ininterrupta.
PCCN v01/2014
Coordenador de TI
Implantar ação a médio prazo
27
O tempo objetivado de recuperação em situações de contingência deve considerar as seguintes regras de negócio:
PERÍODOS E DATAS LIMITES
ENTRE OS DIAS 15 E 20 DE CADA MÊS
ATÉ O DIA 20 DE CADA MÊS
ATÉ O DIA 25 DE CADA MÊS
PROCESSOS DE ATUÁRIA E BENEFÍCIOS
Abrir Folha de Benefícios
Conceder Benefícios
Realizar Manutenção dos Benefícios
Fechar Folha de Benefícios
Enviar Informeções Sobre População ao Atuário e PREVIC
Encerrar Benefícios
Enviar Informações Sobre Auxílio Doença e Acidente de Trabalho
10 DIAS ANTES DA REUNIÃO MENSAL DO
CONSELHO DELIBERATIVO
Elaborar Fatos Relevantes (Atuária e Benefícios)
MENSALMENTE
Acompanhar Processos Judiciais
ATÉ O DIA 10 DO MÊS SUBSEQUENTE
Realizar Controle das Parcelas do Termo de Compromisso
Realizar Controle Relativo ao Custeio da Gestão do Ativo
Realizar Avaliação Atuarial
Elaborar Parecer Atuarial dos Planos
QUADRIMESTRALMENTE
Realizar Manutenção no SISOBI
ANUALMENTE
Suportar Processos Atuariais
ANUALMENTE
Enviar Informes de Rendimentos
ANUALMENTE
Gerar DIRF de Benefícios
BIENALMENTE
Realizar Recadastramento
PCCN v01/2014
OBSERVAÇÕES
Antes de começar o processamento da Folha
Podendo se estender por mais 3 dias
Alimenta Fechamento da Folha de Benefícios
Fechamento dos processos deve ocorrer até 30 de janeiro
28
6. MONITORAMENTO DO PCCN E MELHORIAS
6.1 Revisões
O PCCN deve ser revisado anualmente ou, eventualmente, na ocorrência das
seguintes situações:
Evento
Alteração em processos
(otimização ou adaptação a
alterações na legislação).
Ação
Analisar impacto no PCCN
e, se necessário, atualizá-lo.
Responsável
Coordenador de Área
Introdução de nova
tecnologia.
Analisar risco de falha,
impacto nos processos,
definir contingência e
atualizar PCCN.
Coordenador de TI (em
trabalho conjunto com os
Coordenadores das áreas
afetadas).
A revisão anual ocorrerá em data definida pela Diretoria Executiva e será
composta das seguintes etapas:
Etapa
Análise crítica do
PCCN
Ação
Leitura prévia e análise do
conteúdo do PCCN.
Responsável
Coordenadores de Área
(recomendável participação
dos colaboradores).
Validação da revisão
Reunião da Diretoria Executiva
com os Coordenadores, para
apresentação de sugestões.
Presidência
Ao final do processo de revisão, os seguintes produtos serão gerados:
PCCN atualizado e/ou corrigido (se for o caso);
Registro
da
validação
da
revisão
(ata
contendo
sumário
de
atualizações/correções realizadas, assinada por todos os participantes;
caso não existam atualizações/correções, observar na ata que o PCCN
foi revisado e que seu conteúdo atende aos requisitos de negócio para o
próximo período).
Caso ocorra atualização/correção no PCCN, a área de Comunicação
procederá à devida atualização na Intranet (e outros veículos de
divulgação do plano, se existirem).
PCCN v01/2014
29
6.2 Testes
A realização de testes do PCCN é obrigatória e deverá seguir o seguinte
critério de execução:
Evento
Periodicidade
Simulação de evacuação
do escritório em caso de
desastre (incêndio,
alagamento, suspeita de
atentado terrorista, etc.).
Semestral
Rodízio de colaboradores,
para execução de
atividades (exemplo:
alocar, por um dia, um
colaborador de
“Empréstimos” na área de
“Seguridade”).
Home Office: liberar, por
um dia, colaboradores cuja
atividade principal possa
ser executada de casa,
estabelecendo controles de
atuação remota.
Simulação de situações
para validar se os planos
possuem informações
suficientes para a atuação
em caso de contingência.
Testar recursos alternativos
de TI.
Responsável
Coordenador de
Administração
Eventual
(fora de períodos críticos)
Coordenador de Área
Eventual
Coordenador de Área
Semestralmente
(selecionar plano e
executá-lo)
Coordenador de Área
Anualmente
Coordenador de TI
Todo teste de PCCN deve ser formalmente planejado e acordado entre as
áreas envolvidas. Simulações de evacuação do escritório devem ser aprovadas pela
Diretoria Executiva. Os testes com recursos de TI e utilização de Home Office devem
ter a aprovação de, pelo menos, um Diretor. A execução dos demais testes será
decidida pelos próprios Coordenadores.
PCCN v01/2014
30
6.3 Registros
Toda ocorrência de incidente que acarrete o acionamento de um dos planos de
ação estabelecidos no PCCN será documentada, com o registro das seguintes
informações:
Descrição sumária do incidente;
Data e hora (quando aplicável) da ocorrência do incidente;
Responsável pelo acionamento do plano de contingência;
Responsável pela coordenação das ações de contingência;
Descrição sumária das ações tomadas;
Data e hora (quando aplicável) de retorno às condições normais de
trabalho;
Informações adicionais (exemplo: ativos danificados, custo estimado para
reparação de danos, etc.);
Assinaturas (coordenador do plano e superior imediato).
O objetivo deste registro é disponibilizar o histórico de situações de
contingência a quem interessar possa (exemplo: auditorias), além de constituir em
ferramenta de avaliação da eficácia do PCCN, quando de sua revisão.
Este registro deve ser arquivado na Coordenação de Administração.
6.4 Conscientização (recomendação)
A PREVDATA deve criar e manter conscientização da importância do PCCN,
através de um programa de educação coordenado pela Assessoria de Comunicação.
Recomendação de tópicos do programa:
Abordagem do PCCN no informativo da empresa;
Inclusão do PCCN nas apresentações institucionais;
PCCN v01/2014
31
Atualização do PCCN na Intranet;
Participação em fórum de debates (via Internet ou presencialmente, em
simpósios) sobre plano de contingência e continuidade de negócios.
Escalar para estes eventos o Coordenador de Administração e/ou
Coordenador de TI, dependendo do programa;
Incentivar, através de campanhas, a discussão do PCCN entre as equipes
de trabalho das diversas Coordenações;
Realizar benchmarking.
PCCN v01/2014
32
CONSIDERAÇÕES FINAIS
Este PCCN é um instrumento de gestão de uso exclusivo da PREVDATA. O
conteúdo deste documento é de sua propriedade, não podendo ser reproduzido,
armazenado ou transmitido, em qualquer formato ou por quaisquer meios, sejam
eletrônicos ou mecânicos, sem prévia autorização de um ou mais membros da
Diretora Executiva.
A versão final deste PCCN será publicada quando da inserção em seu contexto
das áreas que ainda se encontram em fase de mapeamento (Administração,
Contabilidade e Liquidação/Custódia), uma vez que incidentes em seus
processos podem impactar, em termos de contingência, em algum processo já
considerado neste trabalho, acarretando alteração no conteúdo ora apresentado.
PCCN v01/2014
33
ANEXOS
I.
Níveis de Impacto e Risco nos Processos
II.
Tabela de Classificação e Prioridade – Análise Impacto x Risco
III.
Matrizes de Impacto x Risco por Processo
IV.
Recursos Mínimos para a Manutenção de Operação em Modo de Contingência
V.
Telefones dos Empregados da PREVDATA
PCCN v01/2014
34
Risco
Impacto
I. Níveis de Impacto e Risco nos Processos
PCCN v01/2014
N/A
0
Desprezível
Baixo
Crítico
Grave
Gravíssimo
1
2
3
4
5
N/A
Muito Baixo
Baixo
Médio
Alto
Muito Alto
0
1
2
3
4
5
35
II. Tabela de Classificação e Prioridade – Análise Impacto x Risco
Impacto
Risco
Muito Baixo
Baixo
Médio
Alto
Muita Alto
(improvável)
(Pouco Provável)
(Possível)
(Provável)
(Frequente)
Desprezível
1
2
3
4
5
Baixo
2
3
4
5
6
Crítico
3
4
5
6
7
Grave
4
5
6
7
8
Gravíssimo
5
6
7
8
9
Nível de Risco
Descrição
Legenda
1a3
Implantar ações a longo prazo
L
4a6
Implantar ações a médio prazo
M
7a9
Implantar ações imediatamente
I
PCCN v01/2014
36
III. Matrizes de Impacto x Risco por Processo
PCCN v01/2014
37
IV. Recursos Mínimos para a Manutenção de Operação em Modo de Contingência
COLABORADORES
Empréstimos e Seguridade
Investimentos
Benefícios
Assistente de Seguridade
1
Analista de Investimentos - RF
1
Assistente de Benefícios
1
Analista de Seguridade
1
Analista de Investimentos - Compliance
1
Atuário
1
Coordenador de Empréstimos/Seguridade
1
Analista de Investimentos - Back-office
1
Coordenador de Atuária/Benefícios
1
Coordenador de Investimentos
1
RECURSOS TECNOLÓGICOS
PCCN v01/2014
Estações de trabalho
10
Servidor (intranet / banco de dados)
1
Impressora
1
Link dados/internet
1
Link de voz
1
Rede de dados (LAN) - switch
1
38
V. Telefones dos Empregados da PREVDATA
SETOR / NOME
CARGO
TELEFONE
RESIDENCIAL
TELEFONE
CELULAR
PRESIDÊNCIA
Paulo Sergio
Legenda de Identificação
Direoria Executiva
Presidente Executivo
(24)3365-0552
(24)9991-4416
98182-8468
Coordenação de Seguridade e Empréstimos
SECRETARIA
Jane Nader
Analista de Administração
2258-5482
99311-4484
Coordenação de Atuária e Benefícios
Advogada
2425-8511
99226-1283
Coordenação de Investimentos
JURIDICO
Milena Neves
COMUNICAÇÃO
Coordenação de Administração
CONTROLES
Victor Honorato (Responsável)
Rodrigo Faria
ASSESSORIA DE INFORMÁTICA
Carlos José (Responsável)
Marcelo Staudt (Substituto Imediato)
DIRETORIA DE ATENDIMENTO E SEGURIDADE
Ary Follain
COORDENAÇÃO DE SEGURIDADE E EMPRÉSTIMOS
Andréa Corrêa (Responsável)
Adalberto Vieira (Substituto Imediato)
Vinícius Vilafranca
Leonardo Crispinho
Sabrina Magalhães
Janaina Cristina
COORDENAÇÃO DE ATUARIA E BENEFICIOS
Fabia Alves (Responsável)
Daiana Menezes (Substituto Imediato)
Jorge Ramalho
Ademir Ribeiro
Heliovania La Torre
COORDENAÇÃO DE ADMINISTRAÇÃO
Ronaldo Curityba (Responsável)
Sônia Alves (Substituto Imediato)
Murilo Cravo
Michele Cardozo
Ana Maria
André Felipe
Alberto Vincler
DIRETORIA DE ADMINISTRAÇÃO E FINANÇAS
Carlos Eduardo
COORDENAÇÃO DE INVESTIMENTOS
Mozart Donato (Responsável)
Rafael Bitencourt (Substituto Imediato)
COORDENAÇÃO DE LIQUIDAÇÃO E CUSTÓDIA
André Luiz
Renato Guimarães
Alberto Passarelli
COORDENAÇÃO DE CONTABILIDADE
Mauro Theodoro
Andréia Panela
Marcelo Bruno
Luciana Bartholomeu
PCCN v01/2014
Assessoria de Informática
Analista de Administração
Analista de Administração
3502-8275
3905-0211
97632-3178
99483-3818
Assessor de Informática
Analista de Tecnologia da Informação
2537-5738
2504-2822
99905-3590/97813-6677
98835-0694
Diretor de Atendimento e Seguridade
2537-3683
99612-7188
Controles
Coordenadora de Seguridade e Empréstimos 2537-5738
Analista de Seguridade
3274-4583
Assistente Administrativo
3046-5187
Assistente Administrativo
2273-1395
Analista de Seguridade
2201-6805
Analista de Seguridade
2485-3866
99253-5995/98855-7485
96445-1641
99451-6951
99654-7672
99828-1811
98399-2175
Coordenadora de Atuária e Benefícios
Analista de Benefícios
Analista de Benefícios
Auxiliar Administrativo
Analista de Benefícios
3314-2367
3936-1663
2567-9085
2205-3174
3579-2369
99253-4239
99365-5472/99176-9739
99726-9212
99734-1280
97363-4387
Coordenador de Administração
Analista de Recursos Humanos
Analista de Administração
Assistente Administrativo
Auxiliar Administrativo
Assistente Administrativo
Analista de Documentação
3340-3585
2573-3319
2273-8463
3301-9972
2238-7428
2782-1623
3155-5408
99750-5385
99354-5199
99403-9240
97751-7884
99955-7464
99235-8399
98885-1852
Diretor de Administração e Finanças
2238-4807
99984-9896
Coordenador de Investimentos
Analista de Investimentos
2258-5482
2704-4841
99461-6480
97871-0799
Coordenador de Liquidação e Custódia
Assistente Econômico Financeiro
Analista de Investimentos
2451-8689
2565-5260
3393-3195
99453-4648
99308-6284
99984-0025
Coordenador de Contabilidade
Analista Contábil
Analista Contábil
Analista Contábil
2573-1331
3468-4674
2238-0936
3116-4803
99408-0468
99253-5975
98143-8722
99423-2509
39