Comunicado 05/99 IBRACON

Plano de Continuidade (Circular nº. 2.892, do Banco Central do Brasil)

INTRODUÇÃO

Em adição ao Comunicado IBRACON nº. 98/009, emitido em 28 de setembro de 1998, que trata das implicações nas entidades e na auditoria independente das demonstrações contábeis com a chegada do ano 2000, incluindo a definição de como o auditor deve atender a requerimentos específicos emitidos por órgãos reguladores, o presente Comunicado tem por finalidade orientar os auditores independentes no atendimento dos requerimentos da Circular nº. 2.892, do Banco Central do Brasil, de 26 de maio de 1999, que determina, com fundamento na Resolução nº. 2.453 do Conselho Monetário Nacional, de 18 de dezembro de 1997, que as instituições financeiras, demais instituições autorizadas a funcionar pelo Banco Central do Brasil e as administradoras de consórcio, devem providenciar, até 30 de setembro de 1999, a elaboração, validação e implementação de um Plano de Continuidade, a fim de assegurar a continuação das suas operações vitais e a integridade das informações processadas em sistemas eletrônicos de informação automatizados, sob sua responsabilidade e em interface com sistema de terceiros, diante de eventuais situações emergenciais que possam ocorrer na passagem para o ano 2000.

Especificamente com relação ao auditor independente, o item 5.2 do anexo à Circular nº. 2.892 requer a emissão de relatório sobre o plano de continuidade e sobre os resultados obtidos nos testes de validação.

ENTENDIMENTO DO IBRACON

É entendimento do IBRACON que:

a responsabilidade da administração, do auditor independente e outras considerações quanto ao problema do ano 2000 estão descritas no Comunicado IBRACON nº. 98/009, antes referido;
as informações obtidas pelo auditor independente, em conexão com seus exames das demonstrações contábeis, serão incluídas em relatório circunstanciado específico, com base em indagações aos responsáveis pela Instituição e inspeção da documentação suporte existente;
considerando que o prazo concedido pela Circular nº. 2.892 para elaboração, validação e implementação do plano de continuidade é 30 de setembro de 1999, o relatório circunstanciado será emitido ao longo do segundo semestre de 1999, mas não após 15 de novembro;
o relatório circunstanciado acima mencionado fará referência específica a todas as fases detalhadas no anexo à referida circular, quais sejam: I - Planejamento Estratégico de Continuidade; II - Análise de Riscos Potenciais; III - Planos de Contingência;
IV - Validação/Testes; e V - Procedimentos Complementares, ressaltando-se que quanto ao requerimento previsto no item 4.3. do anexo à circular, a participação do auditor independente deve ser limitada à indagação quanto aos resultados dos testes e a inspeção da documentação deles resultante, não incluindo qualquer avaliação sobre a sua suficiência.
ORIENTAÇÃO DO IBRACON

Para cumprimento do mencionado neste Comunicado, o IBRACON entende que os seguintes aspectos mínimos devem ser objeto de comentários no relatório do auditor independente:

Planejamento Estratégico de Continuidade (Fase I)
Incluir comentários sobre os seguintes aspectos, inclusive referência à documentação comprobatória fornecida:

Existência de um cronograma geral, estabelecido pela Instituição para o desenvolvimento e implementação do plano de continuidade de negócios, e cronogramas específicos para cada uma das 5 (cinco) fases mencionadas na Circular Bacen nº 2.892, com indicação de atividades, prazos e responsáveis.
Identificação dos processos operacionais críticos da Instituição, bem como das evidências do envolvimento da alta administração nesse processo.
Existência de mapeamento (matriz de impacto) a ser utilizado no desenvolvimento dos planos de contingência, relacionando os processos operacionais críticos, identificados no item anterior, e os recursos de hardware, software e infra-estrutura (telefonia, energia elétrica, etc.) que os suportam.
Análise de Riscos Potenciais (Fase II)
Incluir comentários sobre os seguintes aspectos, inclusive referência à documentação comprobatória fornecida:

Existência de análise de probabilidades de ocorrência de falhas nos diferentes recursos do parque de informática da instituição: hardware, software e infra-estrutura, baseada na avaliação da administração, quanto ao grau de dependência que esses recursos possuam em relação ao processamento de datas.
Existência de uma análise do grau de vulnerabilidade a interrupções dos processos operacionais críticos, em função das probabilidades de ocorrência de erros nos recursos que os suportam, levantadas no item anterior.
Estabelecimento de prioridades, incluindo alocação de recursos humanos e materiais para o desenvolvimento dos planos de contingência, em função da análise efetuada no item anterior e de outros fatores operacionais considerados críticos pela administração, tais como: volume de transações, retorno financeiro, etc., envolvidos nos diferentes processos de negócio.
Processo adotado pela Instituição para comprovar a existência de planos de continuidade desenvolvidos por seus parceiros de negócio e provedores de serviço.
Planos de Contingência (Fase III)
Incluir comentários sobre os seguintes aspectos, inclusive referência à documentação comprobatória fornecida:

Seleção de estratégias de continuidade adotadas pela administração para cada processo operacional crítico (Fase I), incluindo comentários sobre os aspectos considerados nessa seleção, tais como: utilização de recursos de informática e de infra-estrutura alternativos, tempos de ativação exigidos, serviços possíveis de serem disponibilizados, custos envolvidos, etc.
Desenvolvimento de planos de contingência, formais, para cada uma das estratégias de continuidade referidas no item anterior.
Procedimentos para recuperação dos arquivos magnéticos utilizados nos processos operacionais críticos.
Procedimentos para revisão sistemática dos planos de contingência.
Procedimentos estabelecidos pela instituição para administração e resolução de problemas relacionados com a restauração de seus processos de negócio, incluindo a previsão de intervalos de tempo, considerados pela administração, compatíveis com as suas necessidades.
Validação / Testes (Fase IV)
Incluir comentários sobre os seguintes aspectos, inclusive referência à documentação comprobatória fornecida

Designação e previsão de treinamento das equipes ou pessoas para participação em testes simulados de contingência.
Documentação, evidenciando o planejamento, a realização e conclusão alcançada nos testes simulados de contingência.
Processo de avaliação, pela administração, dos resultados obtidos nos testes, em confronto com as alternativas de contingência previstas no plano.
Previsão de treinamento para os usuários envolvidos na implementação dos planos de contingência.

Procedimentos Complementares (Fase V)
Incluir comentários sobre os seguintes aspectos, inclusive referência à documentação comprobatória fornecida.

Aprovação formal dos planos de contingência pelo Diretor Responsável pelo projeto Ano 2000 da Instituição
Determinação de procedimentos para geração e manutenção de cópias de segurança de dados anteriores à passagem para o ano 2000.
Estabelecimento de um plano de atividades com a alocação de recursos humanos e materiais, a ser cumprido quando da passagem para o Ano 2000, ou seja, período preestabelecido anterior e posterior à passagem para o Ano 2000.
Evidência, por meio de relatórios específicos, internos (por exemplo: auditoria interna) ou externos (por exemplo: órgão supervisor), da implementação de plano de continuidade em agência(s)/matriz, quando aplicável.
Mesmo não se tratando de um processo que implique na certificação pelo auditor do Plano de Continuidade ou de qualquer uma de suas fases, este deve incluir em seu relatório as eventuais inconsistências ou insuficiências observadas no plano durante a aplicação dos procedimentos anteriormente descritos.

O modelo de relatório a ser emitido pelos auditores independentes encontra-se anexo ao presente comunicado.

São Paulo, 22 de setembro de 1999



ANEXO AO COMUNICADO TÉCNICO IBRACON 99/005



Modelo de Relatório a ser Emitido pelos Auditores Independentes para Atendimento dos Requerimentos do Banco Central do Brasil sobre o Plano de Continuidade–Ano 2000 – Circular Bacen nº. 2.892



RELATÓRIO DOS AUDITORES INDEPENDENTES SOBRE O PLANO DE CONTINUIDADE – ANO 2000 (CIRCULAR BACEN Nº 2.892)

Aos Srs. Administradores

Banco ABC

Cidade - Estado



Em conexão com o exame das demonstrações contábeis do Banco ABC do exercício em curso, conduzido de acordo com as normas de auditoria, e em cumprimento ao requerido pela Circular nº. 2.892 do Banco Central do Brasil, apresentamos a seguir as informações, obtidas por meio de indagações aos responsáveis da Instituição, com relação à implementação de um Plano de Continuidade cujo objetivo específico é assegurar a continuação das operações vitais da Instituição diante de eventuais situações emergenciais que possam ocorrer na passagem para o ano 2000, relacionadas com a tecnologia da informação. Conforme Comunicado Técnico IBRACON nº. 99/005., esse processo de indagação compreendeu a obtenção de informações diretamente da administração e a verificação da existência de documentação comprobatória que indicamos especificamente em cada caso. Por se tratar de um levantamento de informações, os procedimentos aplicados não representam um estudo para efeito de avaliação das ações adotadas ou planejadas para dar respostas às possíveis conseqüências da mudança para o ano 2000, nem fornecem certificação de que os sistemas da Instituição sejam compatíveis, em tempo hábil, com o assunto do Ano 2000 ou de que o Plano de Continuidade resolverá qualquer situação emergencial. Conseqüentemente, o presente relatório se restringe às informações obtidas durante o processo de indagação mencionado anteriormente; assim, revisões específicas e mais amplas poderiam revelar outras informações além daquelas descritas neste relatório.

A responsabilidade pela elaboração, validação e implementação do Plano de Continuidade é da Administração da Instituição, conforme estabelecido nas Circulares BACEN nos. 2.892 e 2.909. Os nossos comentários referem-se ao estágio do projeto em ..... de ................. de 1999. Não foram consideradas eventuais modificações ocorridas após essa data.

Com base nos procedimentos adotados acima mencionados, apresentamos a seguir as seguintes informações: (para cada item, detalhar a documentação inspecionada e incluir comentários sobre eventuais inconsistências/deficiências notadas).

Planejamento Estratégico de Continuidade (Fase I)
Incluir comentários sobre os seguintes aspectos, inclusive referência à documentação comprobatória fornecida:

Existência de um cronograma geral, estabelecido pela Instituição, para o desenvolvimento e implementação do plano de continuidade de negócios, e cronogramas específicos para cada uma das 5 (cinco) fases mencionadas na Circular Bacen nº 2.892, com indicação de atividades, prazos e responsáveis.
Identificação dos processos operacionais críticos da Instituição, bem como das evidências do envolvimento da alta administração nesse processo.
Existência de mapeamento (matriz de impacto) a ser utilizado no desenvolvimento dos planos de contingência, relacionando os processos operacionais críticos, identificados no item anterior, e os recursos de hardware, software e infra-estrutura (telefonia, energia elétrica, etc.) que os suportam.
Análise de Riscos Potenciais (Fase II)
Incluir comentários sobre os seguintes aspectos, inclusive referência à documentação comprobatória fornecida:

Existência de análise de probabilidades de ocorrência de falhas nos diferentes recursos do parque de informática da instituição: hardware, software e infra-estrutura, baseada na avaliação da administração, quanto ao grau de dependência que esses recursos possuam em relação ao processamento de datas.
Existência de uma análise do grau de vulnerabilidade a interrupções dos processos operacionais críticos, em função das probabilidades de ocorrência de erros nos recursos que os suportam, levantadas no item anterior.
Estabelecimento de prioridades, incluindo alocação de recursos humanos e materiais para o desenvolvimento dos planos de contingência, em função da análise efetuada no item anterior e de outros fatores operacionais considerados críticos pela administração, tais como: volume de transações, retorno financeiro, etc., envolvidos nos diferentes processos de negócio.
Processo adotado pela Instituição para comprovar a existência de planos de continuidade desenvolvidos por seus parceiros de negócio e provedores de serviço.
Planos de Contingência (Fase III)
Incluir comentários sobre os seguintes aspectos, inclusive referência à documentação comprobatória fornecida:

Seleção de estratégias de continuidade adotada pela administração para cada processo crítico (Fase I), incluindo comentários sobre os aspectos considerados nessa seleção, tais como: utilização de recursos de informática e de infra-estrutura alternativos, tempos de ativação exigidos, serviços possíveis de serem disponibilizados, custos envolvidos, etc.

Desenvolvimento de planos de contingência, formais, para cada uma das estratégias de continuidade referidas no item anterior.
Procedimentos para recuperação dos arquivos magnéticos utilizados nos processos operacionais críticos.
Procedimentos para revisão sistemática dos planos de contingência.
Procedimentos estabelecidos pela instituição para administração e resolução de problemas relacionados com a restauração de seus processos de negócio, incluindo a previsão de intervalos de tempo, considerados pela administração, compatíveis com as suas necessidades.
Validação/Testes (Fase IV)
Incluir comentários sobre os seguintes aspectos, inclusive referência à documentação comprobatória fornecida:

Designação e previsão de treinamento das equipes ou pessoas para participação em testes simulados de contingência.
Documentação, evidenciando o planejamento, a realização e conclusão alcançada nos testes simulados de contingência.
Processo de avaliação, pela administração, dos resultados obtidos nos testes, em confronto com as alternativas de contingência previstas no plano.
Previsão de treinamento para os usuários envolvidos na implementação dos planos de contingência.
Procedimentos Complementares (Fase V)
Incluir comentários sobre os seguintes aspectos, inclusive referência à documentação comprobatória fornecida:

Aprovação formal dos planos de contingência pelo Diretor Responsável pelo projeto Ano 2000 da Instituição
Determinação de procedimentos para geração e manutenção de cópias de segurança de dados anteriores à passagem para o ano 2000.
Estabelecimento de um plano de atividades com a alocação de recursos humanos e materiais, a ser cumprido quando da passagem para o Ano 2000, ou seja, período preestabelecido anterior e posterior à passagem para o Ano 2000.
Evidência, por meio de relatórios específicos, internos (por exemplo: auditoria interna) ou externos (por exemplo: órgão supervisor), da implementação de plano de continuidade em agência(s)/matriz, quando aplicável.

Ariovaldo Guello - Presidente da Diretoria Nacional
Francisco Papellás Filho - Diretor de Assuntos Técnicos


Portal | Obras Contábeis | Exemplos | Dicas | Cursos de Atualização | Temáticas | Normas Brasileiras Contabilidade | Glossário | Resoluções CFC | Legislação | Modelos de Contratos | Links | ProgramasNotícias  |  Guia Trabalhista | Guia Tributário

 


Guia Trabalhista On Line    |    CLT Atualizada e Anotada   |    Manual Trabalhista   |     Manual da CIPA

Modelos de Contratos   |    Obras Eletrônicas    |    Manual do Empregador Doméstico  |   Manual PPP

Auditoria Trabalhista  |   Regulamento da Previdência Social   |   Consultoria Eletrônica