COMPLIANCE & GOVERNANÇA CORPORATIVA EBANX
Gestão de Continuidade de Negócios
16 de janeiro de 2025
Índice
Introdução e Objetivos
Escopo e abrangência
Termos e definições
Diretrizes
4.1. Comitê de Crise
4.2. Responsabilidades
4.3. Retenção de documentos
Referências normativas
Publicação e distribuição de políticas
1. Introdução e Objetivos
Esta política visa apoiar as estratégias do “SGCN” (Sistema de Gestão de Continuidade de Negócios) de todas as empresas do Grupo EBANX. Para garantir a entrega dos produtos e serviços oferecidos, é crucial colocar em prática uma estratégia eficiente de continuidade de negócios, para que os clientes do EBANX não sejam comprometidos em caso de interrupções de serviço devido a eventos inesperados, bem como o bem-estar dos ebankers considerando qualquer condição adversa, seja de ordem climática, regulatória ou operacional.
O principal objetivo do Business Continuity Management, ou Gestão de Continuidade de Negócios, é identificar estrategicamente os processos críticos da empresa e desenvolver uma estratégia de recuperação e planos de ação para garantir que todos os serviços essenciais funcionem corretamente mesmo quando enfrentam situações não planejadas.
Desta forma, esta política define procedimentos para garantir que o EBANX:
Esteja em conformidade com regulamentos, legislação e práticas de mercado bem recomendadas;
Esteja de acordo com os objetivos e a estratégia de negócios da organização;
Garanta que todos os funcionários do EBANX e quaisquer outras partes que atuam em nome da EBANX estejam cientes de suas responsabilidades em relação às estratégias de recuperação e continuidade dos negócios;
Estabeleça procedimentos adequados para a continuidade dos negócios, a fim de mitigar os riscos associados a interrupções de serviço não planejadas.
Tenha agilidade na avaliação e prevenção sobre os impactos econômicos e regulatório em seus produtos e serviços, nos mais diversos países em que atua;
Evite/reduza os danos causados por eventos inesperados que podem causar interrupções na prestação de nossos serviços aos nossos clientes;
Proteja as operações da EBANX contra violações de confidencialidade, integridade e disponibilidade;
Defina, estabeleça e mantenha controles de continuidade de negócios eficazes, sustentáveis e mensuráveis;
Para isso, é essencial mantermos processos compatíveis com práticas de mercado bem recomendadas, como ISO 22301, ISO 27001 e Resolução 4557 da BACEN. Isso também garantirá a integridade das operações do EBANX e fortalecerá nossa confiabilidade e a confiança de nossos stakeholders.
2. Escopo e usuários
Cada área de negócios deve manter atualizado um Business Continuity Plan considerando riscos para os requisitos de negócios, análise de impacto e recursos, resultando na definição de uma estratégia de Continuidade de Negócios.
Esta política é aplicável a todas as empresas do EBANX e considera a definição de Apetite de Risco da Política Global de Gestão de Riscos do EBANX, ou seja, com foco em processos com impacto de BIA médio, alto e muito alto. Neste caso, a Política de Gestão de Continuidade de Negócios da empresa que presta o serviço de coworking deve ser seguida.
3. Termos e definições
Análise de Sustentabilidade de Ativos (ASA):
determinar os ativos (infraestrutura e sistemas) que suportam os processos críticos de negócios relacionados ao BIA.Avaliação de Fornecedores:
identificar a aderência dos Fornecedores aos requisitos de Continuidade de Negócios, definidos pela diretoria de Legal, Risk & Compliance em conjunto com o time de Risk Management, com foco na indisponibilidade dos serviços prestados pelos fornecedores críticos.Avaliação de Demandas Internas:
avaliar novos produtos, serviços, processos, projetos e mudanças, bem como alterações relevantes em produtos e serviços já existentes e reestruturação de ambientes, no âmbito de Continuidade de Negócios.Business Continuity Plan (BCP): refere-se a uma coleção documentada de procedimentos e informações que são desenvolvidas, compiladas e mantidas em prontidão para uso em um incidente para permitir que uma organização continue a fornecer seus serviços críticos em um nível predefinido aceitável.Business Impact Analysis (BIA):
é o processo utilizado para avaliar a criticidade e o impacto dos serviços e processos realizados pelas áreas em caso de interrupção inesperada, além de identificar seu tempo ideal de recuperação.Business Continuity Management (BCM):
é um processo que identifica potenciais ameaças a uma organização e os impactos às operações de negócios que essas ameaças, se realizadas, podem causar, e que fornece um quadro para a construção da resiliência organizacional com a capacidade de uma resposta eficaz que salvaguarda os interesses de suas principais partes interessadas, reputação, marca e atividades de criação de valor.BCM Lifecycle:
refere-se a uma série de atividades de continuidade de negócios que abrangem coletivamente todos os aspectos e fases do programa BCM, como conclusão/atualização dos documentos de BIA, BCP, Conscientização e Exercícios, que são realizados anualmente.Be there. Anywhere.Disaster Recovery Plan (DRP):
é um business continuity plan em caso de desastre que comprometa parte ou todos os recursos da empresa, incluindo equipamentos de TI, registros de dados e o espaço físico de uma organização. IT Operations & Security é a área responsável no EBANX pela elaboração, teste e ativação do plano quando necessário, bem como enviar os resultados para a governança de Risk Management.Risk and Control Assessment (RCA):
é um processo contínuo que visa mapear os principais processos dos negócios, identificar, avaliar e monitorar seus riscos e controles associados, identificar exposições de riscos e determinar ações corretivas. A atualização do RCA é realizada anualmente pelas equipes de Controles Internos e de Segurança da Informação com o apoio da liderança e ebankers responsáveis pela execução dos processos.Recovery Time Objective (RTO):
é basicamente quanto tempo este processo pode suportar sem ser performado.Recovery Point Objective (RPO):
considera os sistemas e a necessidade de backups (tempo real, intraday, último backup ou não necessário) considerando como é possível realizar o processo se tudo for perdido.Treinamentos:
os treinamentos ocorrem anualmente com o objetivo de promover a cultura e o conceito de continuidade de negócios, de maneira online, através de workshops, transmissões ao vivo e e-learning. É recomendável que, dentro do prazo estipulado pelo EBANX, todos os SPOCs (Single point of contact) participem do treinamento obrigatório.
4. Diretrizes
A Continuidade de Negócios deve ser uma atividade de propriedade das áreas, pois é apenas a área responsável por seus processos que pode determinar exatamente suas prioridades e nível de envolvimento interno e externo. O C-Level bem como todos os demais níveis de liderança devem estar envolvidos com a Gestão de Continuidade de Negócios para suas respectivas áreas e devem estar cientes sobre assuntos de Continuidade de Negócios para a sua estrutura.
Além das operações ou processos existentes, a Continuidade de Negócios precisa considerar os sistemas e suas informações relevantes e realizar uma análise de impacto de negócios realista e confiável. Esta informação irá orientar o time de IT Operations & Security na construção escopo do IT Disaster Recovery Plan (DRP), através do compartilhamento das informações levantadas na Business Impact Analysis (BIA) quanto a processos críticos versus sistemas para garantir que todos os sistemas críticos estão sendo cobertos pelo DRP.
A equipe de Risk Management, em conjunto com as equipes de Facilities, IT Corporate e IT GRC, deve estar envolvida em todas as decisões relacionadas ao risco concentrado nos escritórios do EBANX.
Na ocorrência de uma ameaça de crise, a área de Risk Management deverá ser comunicada para análise do possível impacto da crise no EBANX. Todas as informações disponíveis devem ser levadas ao conhecimento de um ou mais membros do Comitê de Crise para acionamento deste comitê. As reuniões poderão ocorrer presencialmente em qualquer uma das unidades do EBANX em que os membros do Comitê estejam presentes ou ainda remotamente através das ferramentas disponíveis.
Deve existir integração ativa por parte do time de Risk Management para capacitar todos os ebankers e Líderes para que estes estejam preparados para atuar com prevenção a risco em suas áreas. Os Líderes devem ser ativos em seu papel, sendo responsáveis por acompanhar a ativação do Call Tree e outros exercícios, bem como informar a área de Risk Management de todos e quaisquer incidentes relacionados a riscos.
O BCM LifeCycle consiste na revisão anual da Análise de Impacto ao Negócio (BIA) baseado no resultado do mapeamento do Risk and Control Assessment (RCA), o Business Continuity Plan (BCP), Treinamentos e Exercícios de BCM realizados para todas as áreas de negócios do EBANX.
Para medir o cumprimento do objetivo desta política, o EBANX verificará anualmente se todas as áreas estão em conformidade com o Business Continuity Plan formalmente estabelecido. Na área de Global Risk & Compliance, a equipe de Risk Management é responsável por definir o método de medição da observação da política, que será realizada pelo menos uma vez por ano.
O time de Risk Management deve informar os resultados do BCM Lifecycle para a liderança, incluindo planos de ação resultantes das necessidades de melhoria nas estratégias de contingência.
4.1 Comitê de Crise
Como parte do BCM, é crucial garantir que o EBANX tenha uma estrutura de governança de continuidade de negócios adequada para lidar com quaisquer riscos atuais ou emergentes. Esta estrutura deve estar preparada para responder aos mais diferentes tipos de eventos inesperados.
O Comitê de Crise é um comitê interdisciplinar que está em vigor na sede do EBANX e é composto por líderes de diversas áreas (D and SM Levels). Outras pessoas poderão ser convidadas a participar se houver necessidade de conhecimento específico para aquela situação.
O principal objetivo deste comitê é lidar com as implicações estratégicas mais amplas, incluindo questões de risco de concentração. Em um cenário de crise, este grupo também é responsável por tomar decisões sobre priorização, alocação de recursos, entrega e implantação de processos críticos EBANX.
4.2 Responsabilidades
Áreas de Negócio ou Suporte aos Negócios:
- Disponibilizar as informações relevantes ao negócio, a fim de apoiar a análise das necessidades de disponibilidade dos processos críticos.- Comunicar mudanças significativas nos processos para a avaliação da área de GCN e a atualização dos BIAs e Business Continuity Plan (BCPs), se necessário; e
- Contribuir e participar dos testes e simulações de BCP e DRP.
Diretoria de Risk & Compliance:
- Supervisionar as atividades de continuidade de negócios, sugerir estratégias, apoiar a formalização dos instrumentos normativos relacionados à continuidade de negócios, incentivar a conscientização dos colaboradores, supervisionar a implementação dos planosde continuidade e os testes de contingência.
Gerentes e Gerentes Seniores:
- Assegurar a comunicação efetiva com as equipes sobre a importância da continuidade de negócios e promover o engajamento necessário para o sucesso das iniciativas.- Participar ativamente, quando necessário, nos testes e simulações de continuidade de negócios para entender melhor os riscos e as respostas planejadas.
- Acompanhar a performance das iniciativas de continuidade de negócios, garantindo que os planos estejam alinhados com as metas estratégicas da empresa.
- Oferecer suporte durante auditorias ou revisões internas e externas relacionadas à continuidade de negócios, assegurando a transparência e a conformidade com os padrões.
- Promover uma cultura organizacional que valorize a continuidade de negócios como parte integrante da gestão de riscos.
SPOC’s (Single Point of Contacts):
- Centralizar e compartilhar as questões referentes à continuidade de negócios em suas áreas, além de monitorar a revisão e a manutenção dos Planos e BIAs;- Garantir que todos os processos considerados críticos em sua área estejam incluídos no Business Continuity Plan;
- Participar de treinamentos, workshops, transmissões ao vivo e e-learnings relacionados aos temas de continuidade de negócios;
Área de Governança, Riscos e Controles Internos:
- Apresentar o BCP aos gestores das áreas de negócios;- Aplicar o BIA e o ASA aos processos indicados pelos gestores;
- Assegurar que os serviços existentes ou novos garantam a continuidade do negócio e o BIA dos serviços;
- Monitorar e avaliar a implementação das estratégias de continuidade de negócios;
- Desenvolver e revisar políticas, normas, procedimentos e metodologias relacionadas à continuidade de negócios;
- Criar, consolidar e divulgar o BIA e ASA corporativos, além de compartilhar antecipadamente os dados necessários para a elaboração dos documentos;
- Atender às solicitações de órgãos reguladores, auditorias internas e externas, e clientes institucionais, no que diz respeito à continuidade de negócios do EBANX;
- Coordenar a realização de exercícios de BCP para validar os planos;
- Elaborar e reportar à Administração o relatório de resultados dos testes e simulações de BCP;
- Participar do acionamento do Comitê de Crises, responsável por monitorar, avaliar a situação e ativar o Business Continuity Plan; e
- Analisar e sugerir ajustes à política vigente conforme a periodicidade estipulada nas normas internas do EBANX e sempre que considerar necessário.tados.
4.3 Retenção de documentos
Toda a documentação relacionada ao BCM pode ser armazenada por pelo menos 5 anos, seguindo regras gerais de auditoria e melhores práticas.
Os documentos a serem retidos incluem:
Business Continuity Plan (BCP’s);
Análises de Impacto nos Negócios (BIAs);
Relatórios de testes e exercícios de continuidade;
Registros de treinamentos.
5. Referências normativas
ID 318 - Política Global de Gestão de Riscos do EBANX
ISO 22301:2019 - https://www.iso.org/standard/50038.html
ISO 27001:2022 - https://www.iso.org/standard/54534.html
Resolução 4557 do BACEN -https://www.bcb.gov.br/pre/normativos/busca/downloadNormativo.asp?arquivo=/Lists/Normativos/Attachments/50344/Res_4557_v1_O.pdf
6. Publicação e distribuição de políticas
Esta política e as políticas de apoio, independentemente de se ser uma nova versão de um documento existente, devem ser revistas pelo time Risk & Compliance.
Qualquer nova política ou modificação de documento existente deve ser disponibilizada a todas as partes interessadas.
Políticas estão disponíveis para consulta, pelos ebankers, na OneTrust, na seção “Políticas”.