A Entidade Gestora, em virtude do exercício das funções de gestão, administração e representação de OIAs, adotou e implementa o presente plano de continuidade de negócio (“PCN”).
O PCN compreende o conjunto integrado de políticas e procedimentos que visam assegurar o funcionamento contínuo da Entidade Gestora, ou a recuperação atempada da sua atividade, no caso de ocorrência de eventos suscetíveis de perturbar o normal desenrolar do negócio, nomeadamente, por implicarem a indisponibilidade das infraestruturas físicas, dos sistemas informáticos ou dos recursos humanos.
A implementação do PCN surge em cumprimento do artigo 57.º, número 3 do Regulamento Delegado UE 231/2013, tendo o mesmo sido elaborado com observância das Recomendações sobre Gestão da Continuidade de Negócio (Revistas), emanadas pelo Conselho Nacional de Supervisores Financeiros, adaptadas às especificidades da Entidade Gestora à luz do princípio da proporcionalidade.
A Entidade Gestora não possui filiais nem sucursais, centralizando-se os respetivos serviços na sua sede social.
Nesta medida, a aplicação e adaptação dos princípios regulatórios à realidade da Entidade Gestora suscita a atenção mais cuidada e predominante dos aspetos conexos com o funcionamento constante da respetiva estrutura organizacional de recursos humanos.
a) Administração | Contabilidade
b) Reportes
c) Investimentos (em que se inclui a gestão de OIAs)
a) Infraestruturas físicas
Localização: Av. Engº Duarte Pacheco, Torre 1 Piso 3, Sala 12, 1070-103 LISBOA
b) Infraestruturas tecnológicas
A Entidade Gestora mantém um contrato de prestação de serviços de assistência informática, ambos com empresas externas.
a) Riscos e cenários suscetíveis de afetar o funcionamento da estrutura organizacional de recursos humanos da Entidade Gestora (titulares dos órgãos sociais ou outros colaboradores):
b) Riscos e cenários suscetíveis de afetar as infraestruturas primárias e equipamentos da Entidade Gestora:
c) Riscos e cenários suscetíveis de afetar as infraestruturas tecnológicas da Entidade Gestora:
A identificação da ameaça de ocorrência de qualquer um destes cenários poderá ser realizada por qualquer um dos colaboradores da Entidade Gestora e deverá ser comunicada de imediato, por qualquer forma, ao Conselho de Administrativo de forma a permitir que este possa evitar a concretização dessa ameaça adaptando as diretrizes aqui estabelecidas a uma fase preventiva.
a) Administração | Contabilidade: 7 (sete) dias;
b) Investimentos (em que se inclui a gestão de OIAs): 15 (quinze) dias;
c) Reportes: 15 (quinze) dias;
a) Incumprimento atempado de obrigações fiscais, declarativas e de pagamento;
b) Contingências decorrentes do não cumprimento atempado do reporte de dados financeiros perante a supervisão;
c) Contingências decorrentes da impossibilidade de oferecer resposta atempada a aspetos da área comercial e comunicação com potenciais arrendatários;
d) Contingências decorrentes da impossibilidade de oferecer resposta atempada a aspetos de gestão de projetos imobiliários; e
e) Contingências decorrentes da impossibilidade de obter o valor das valores mobiliários; e
Por referência às contingências referidas no ponto precedente, de referir, para além do impacto reputacional inerente junto dos clientes e do mercado em geral, que as mesmas acarretam um impacto financeiro e legal decorrente do facto de a Entidade Gestora poder ser responsabilizada:
a) Pelo eventual pagamento de coimas emergentes de processos de contraordenação instaurados pela supervisão, em virtude do incumprimento de obrigações e deveres legais da Entidade Gestora;
b) Perante os participantes/acionistas dos OIAs, pelo incumprimento das obrigações contraídas nos termos da lei e dos respetivos regulamentos de gestão.
a) Administração | Contabilidade
Objetivo de recuperação:
(i) Em caso de ocorrência de uma interrupção total não planeada da função/atividade, a mesma deve apresentar um índice de operacionalidade de 50% no prazo máximo de 2 semanas, e um índice de operacionalidade de 100% no prazo máximo de 3 semanas; e
(ii) Em caso de verificação de riscos ou cenários que, não importando a interrupção total da função/atividade, perturbem o seu normal exercício, devem estar asseguradas, a todo o tempo, as condições necessárias à verificação de um índice de operacionalidade de 50%, devendo ser assegurado um índice de operacionalidade de 100% no prazo máximo de 3 semanas.
b) Investimentos (em que se inclui a gestão de OIAs)
Objetivo de recuperação:
(i) Em caso de ocorrência de uma interrupção total não planeada da função/atividade, a mesma deve apresentar um índice de operacionalidade de 50% no prazo máximo de 3 semanas, e um índice de operacionalidade de 100% no prazo máximo de 45 dias; e
(ii) Em caso de verificação de riscos ou cenários que, não importando a interrupção total da função/atividade, perturbem o seu normal exercício, devem estar asseguradas, a todo o tempo, as condições necessárias à verificação de um índice de operacionalidade de 50%, devendo ser assegurado um índice de operacionalidade de 100% no prazo máximo de 45 dias.
c) Orçamento e Reporte
Objetivo de recuperação:
(i) Em caso de ocorrência de uma interrupção total não planeada da função/atividade, a mesma deve apresentar um índice de operacionalidade de 50% no prazo máximo de 3 semanas, e um índice de operacionalidade de 100% no prazo máximo de 45 dias; e
(ii) Em caso de verificação de riscos ou cenários que, não importando a interrupção total da função/atividade, perturbem o seu normal exercício, devem estar asseguradas, a todo o tempo, as condições necessárias à verificação de um índice de operacionalidade de 50 %, devendo ser assegurado um índice de operacionalidade de 100% no prazo máximo de 45 dias.
Nota: Os prazos de recuperação ora estipulados são aplicáveis em caso de ocorrência dos riscos ou cenários suscetíveis de afetar o funcionamento da estrutura organizacional de recursos humanos da Entidade Gestora.
No caso de ocorrência de riscos ou cenários suscetíveis de afetar o funcionamento das infraestruturas tecnológicas e a utilização das infraestruturas físicas da Sociedade, serão considerados os prazos de recuperação previstos infra.
Considerada a dimensão da estrutura organizacional e de recursos humanos da Entidade Gestora, a estratégia de recuperação das funções de negócio está assegurada em virtude do facto de os departamentos e Conselho de Administração funcionarem em estreita conexão.
Os riscos das funções críticas de negócio decorrentes da indisponibilidade ou ausência temporária de recursos humanos são minimizados pela possibilidade de, em qualquer momento, os vários colaboradores poderem acumular diversas funções.
Ao Conselho de Administração da Entidade Gestora compete acompanhar e avaliar os riscos das funções críticas de negócio decorrentes da afetação da estrutura organizacional e de recursos humanos, analisando, para cada caso concreto, a necessidade de novos recrutamentos.
a) Infraestruturas tecnológicas
A Entidade Gestora mantém, através de um contrato de prestação de serviços, os sistemas informáticos de backup que asseguram a salvaguarda e a recuperação de dados informáticos para o caso de ocorrência de riscos ou cenários que afetem temporariamente a utilização daqueles recursos.
Numa perspetiva de prevenção de ocorrência de riscos, a Entidade Gestora detém o recurso a sistemas de energia autónomos que asseguram o funcionamento temporário das infraestruturas tecnológicas em caso de falhas de energia.
Por outro lado, a Entidade Gestora tem implementado sistemas informáticos antivírus e outros programas informáticos que asseguram a proteção contra ataques informáticos.
Para efeitos de funcionamento adequado dos sistemas de backup, deve ser objeto de salvaguarda toda a informação constante na base de dados, utilizadas pelos programas informáticos específicos e indispensáveis ao exercício das funções de negócio.
Nos termos e para os efeitos do contrato de prestação de serviços de informática, os backups são armazenados no edifício sede da sociedade e num local exterior a este mesmo edifício.
Em caso de ocorrência de uma interrupção total não planeada do funcionamento das infraestruturas tecnológicas que afete as funções de negócio ou o índice de operacionalidade de 100% devem ser recuperados no prazo máximo de 15 dias.
b) Infraestruturas físicas (primárias)
Atenta a localização e as características das infraestruturas primárias do edifício onde a Entidade Gestora exerce a sua atividade, não são considerados os riscos de inundação, derrocada, ou de assalto e vandalismo, em termos que justifiquem a adoção de infraestruturas físicas alternativas atualizadas e preparadas para serem ocupadas a qualquer momento (“hot sites” ou “cold sites”), cujos custos inerentes também não justificariam a adoção de tal medida de salvaguarda.
De igual modo, o risco de incêndio, apresentando-se como o mais plausível, também se verifica diminuto face às medidas e sistemas de segurança e planos de emergência implementados no edifício.
c) Relação intrínseca entre a utilização de infraestruturas tecnológicas e a utilização de infraestruturas físicas (primárias)
Atenta a natureza, dimensão e complexidade do negócio e o modelo organizativo da Entidade Gestora, na perspetiva da ocorrência improvável do cenário de incêndio, derrocada, inundação ou atos de vandalismo ou outro que inviabilize a utilização das atuais infraestruturas físicas, considera-se que será possível assegurar o funcionamento das funções de negócio com um índice de operacionalidade de 100% num prazo máximo de 15 dias, através de recurso a contratos externos que disponibilizem sistemas informáticos compatíveis.
O PCN será colocado em curso pela equipa de implementação, a ser constituída por decisão do Conselho de Administração, sempre que este seja informado quanto à existência de uma ameaça e assim se justifique.
Face a um reporte ou tendo tomado conhecimento de uma ameaça espontaneamente a Conselho de Administração confirmará a necessidade de desencadear o PCN.
A implementação e gestão do PCN são realizadas pelo Conselho de Administração.
A implementação e gestão do PCN assegurará, sempre que necessário, a comunicação aos colaboradores da Sociedade e outras partes interessadas, através dos meios de comunicação que se mostrem mais adequados em cada momento, das decisões tomadas concernentes à execução do PCN.
A Entidade Gestora dispõe de um serviço de assistência informática, devidamente contratualizado, que assegura a todo o tempo e de acordo com os objetivos fixados a recuperação célere das infraestruturas tecnológicas em caso de falha grave, sem prejuízo relevante para o exercício das funções de negócio.
Os procedimentos a implementar num cenário de falha grave das infraestruturas tecnológicas estão contratualmente previstos.
Atenta a natureza, dimensão e complexidade do negócio e o respetivo modelo organizativo da sociedade, considera-se que será possível diligenciar de uma forma rápida a reinstalação da estrutura orgânica da Entidade Gestora num espaço alternativo.
Conforme indicado acima a reinstalação da estrutura organizativa da Entidade Gestora num espaço alternativo prevê o recurso a contratos externos que disponibilizem sistemas informáticos compatíveis.
A Entidade Gestora adota o plano de evacuação estabelecido para o prédio onde está instalada a sua estrutura organizativa pelo gestor do prédio.
Em caso de modificação, divulgação ou destruição acidental ou não autorizada de informação, os princípios que regem o PCN aqui previsto mantêm-se em vigor. Impendentemente da possibilidade de consulta dos documentos físicos, os colaboradores da Entidade Gestora, e especialmente o Conselho de Administração, devem zelar pela sua aplicação, nos termos mais próximos com os aqui prescritos.
A atuação em situação que implique a ativação do PCN deve ser norteada pelas finalidades subjacentes ao plano, nomeadamente a conservação da atividade da Entidade Gestora e dos OIAs por si geridos e a redução dos danos ao menor valor possível.
Neste sentido, caso seja reportada ou detetada uma situação de modificação ou destruição acidental ou não autorizada de informação por algum colaborador da Entidade Gestora, competirá à equipa responsável pela implementação e gestão do PCN, ou recorrer aos ficheiros arquivados em back-up, se possível, devendo esta operação ser realizada no mais curto espaço de tempo possível.
Na circunstância de se verificar alguma contingência que ponha em causa a continuidade normal da atividade da Entidade Gestora e/ou que afete de alguma forma as entidades relacionadas com esta, nos termos supra descritos, competirá à equipa de implementação do PCN, consoante aplicável, comunicar diretamente aos participantes, reguladores e/ou fornecedores (i) a ocorrência verificada, (ii) o impacto na esfera da entidade em causa e (iii) o prazo expectável para a reposição da situação de normalidade.
As comunicações em causa serão realizadas por escrito, pela forma normalmente utilizada e/ou contratual e/ou legalmente exigida para comunicar com a entidade em causa.
A Entidade Gestora assegurará, sempre que necessário, a realização de testes, simulações, treinos e/ou outros procedimentos de preparação da ativação do PCN e de verificação da sua qualidade e atualização, em situações de risco mínimo a extremo, devendo o PCN ser auditado internamente e atualizado sempre que se verifique uma alteração substancial e qualitativa da atividade desenvolvida pela sociedade.