Em que medida é que a continuidade do negócio poderá ser afetada?
O objetivo do plano de continuidade do negócio da Bondora é garantir que as atividades empresariais se mantêm em funcionamento durante situações de emergência e que as atividades empresariais e os sistemas informáticos são restaurados após situações de emergência. Esta secção debruça-se sobre atividades de continuidade do negócio que não são do domínio informático. As questões sobre a continuidade do negócio do domínio informático foram tratadas na secção de riscos informáticos.
As emergências são interrupções do negócio que ocorrem por motivos alheios à Bondora, incluindo, entre outros: perda de colaboradores, problemas associados aos locais ou infraestruturas físicas da Bondora, uma falha ou problema semelhante nos sistemas de informação da Bondora e acidentes externos (por exemplo, um incêndio).
O processo de continuidade do negócio da Bondora é gerido pelo conselho de administração de acordo com os planos de continuidade do negócio desenvolvidos para cada área, a saber:
- Serviço e canais de apoio ao cliente – inclui eventos que afetam o serviço ao cliente e os canais de comunicação com o mesmo;
- Edifícios, segurança física e transportes – inclui respostas a incêndios, cheias e fenómenos afins em instalações da Bondora; ameaças à segurança, como assaltos, atos de terrorismo e fraudes; e o transporte de colaboradores e de suportes de dados;
- Segurança das informações relacionada com informática e comunicações – inclui incidentes de segurança das informações, apoio informático em situações de emergência que não são do domínio informático e tratamento de situações que envolvem comunicações de dados e telefónicas;
- Pessoal – inclui situações que afetam os recursos humanos, como perda de vidas, doenças em massa, etc. e a organização das comunicações apropriadas com os familiares e outras partes relevantes;
- Crédito – inclui o tratamento de situações relacionadas com o processamento de créditos;
- Jurídico – inclui a prestação de apoio jurídico em circunstâncias extraordinárias e a resposta a situações de emergência relacionadas com questões jurídicas;
- Diretores de departamento – inclui a implementação de planos de continuidade do negócio nas respetivas áreas; e
- Outras áreas, conforme determinado pelo conselho de administração.
Cada plano de continuidade do negócio define claramente as responsabilidades e as linhas hierárquicas. As alterações ao nível dos processos comerciais, de pessoal e recursos (por exemplo, sistemas de informação e aplicações de software) são registadas nos planos de continuidade do negócio relevantes.
Todos os planos de continuidade do negócio incluem os elementos seguintes:
- Procedimentos de emergência destinados a garantir a segurança do pessoal
- A função dos serviços de informação, os papéis e as obrigações dos fornecedores que prestam serviços de recuperação e o pessoal de apoio administrativo dos utilizadores do serviço
- Planos de comunicação para informar as partes interessadas – incluindo colaboradores, clientes e a autoridade de supervisão financeira da Estónia – sobre um evento extraordinário e o respetivo estado de recuperação
- Lista de recursos do sistema para os quais poderão ser necessárias alternativas, como hardware, dispositivos externos, software, etc.
- Lista de aplicações prioritárias, tempos de recuperação necessários e normas de desempenho previstas;
- Cenários de recuperação passo a passo suficientemente pormenorizados, juntamente com respostas apropriadas, começando com situações em que os danos são limitados e acabando em situações em que os danos são consideravelmente maiores
- Descrição de dispositivos e acessórios especiais (por exemplo, dispositivos de comunicação, telefones, etc.) que poderão ser necessários, juntamente com fontes designadas e alternativas
- Calendário de testes, resultados dos testes prévios e medidas complementares implementadas no seguimento dos testes prévios
- Lista de prestadores de serviços contratados, indicando os serviços que prestam e as respostas esperadas
- Informação sobre a localização de recursos importantes, incluindo localizações seguras para contratos, ficheiros de clientes, sistemas operacionais, aplicações, ficheiros de dados, manuais de instruções e programas críticos, assim como documentação dos sistemas e do utilizador
- Dados atualizados de colaboradores que ocupam cargos essenciais – nomes, moradas, números de telefone, outros meios alternativos de contacto
- Alternativas para recomeçar a atividade profissional, como nos casos em que os sistemas foram restabelecidos numa localização alternativa, mas os locais de trabalho dos colaboradores foram destruídos
Os planos de continuidade do negócio exigem que as cópias de segurança de dados críticos, recursos e outros materiais sejam mantidas em locais apropriados.
O conselho de administração, um funcionário designado pelo mesmo ou uma entidade terceira notificará as pessoas indicadas no plano de continuidade do negócio de que isto foi implementado. O conselho de administração é responsável por notificar a autoridade de supervisão financeira da Estónia.
No prazo máximo de três dias, após as atividades empresariais normais terem sido restabelecidas, tem de ser enviada para a autoridade de supervisão financeira da Estónia uma descrição do incidente, incluindo os seguintes dados:
- Hora do incidente
- Dimensão e impacto do incidente
- Descrição das medidas tomadas para dar resposta ao incidente
- Causa do incidente
- Medidas que serão implementadas para evitar incidentes semelhantes no futuro
O conselho de administração revê e aprova os planos de continuidade do negócio e os resultados dos testes de forma regular, pelo menos, uma vez por ano. Após o lançamento de um novo processo crítico de negócio ou aplicação de software; alterações importantes ao nível do pessoal; ou outros desenvolvimentos, conforme considerado necessário, o conselho de administração irá rever os planos de continuidade do negócio e os resultados dos testes com mais frequência.
Os planos de continuidade do negócio são avaliados por um auditor interno; se necessário, também poderá ser realizada uma auditoria externa.