Radar

Reguladores adotam medidas e práticas voltadas para o fortalecimento da resiliência operacional

OutrosInfraestruturas de mercado

A IOSCO divulgou em junho o Relatório Final que reúne boas práticas para o enfrentamento de interrupções da negociação em ambientes de negociação – denominadas Market Outages. Embora o objetivo inicial da IOSCO tenha sido responder aos levantamentos prévios realizados entre 2018 e 2022 e às lições do período de crises consecutivas e incidentes operacionais que resultaram em 42 interrupções desse tipo, em mercado organizados de listagem e negociação de ações, o conjunto de práticas reunido no documento revelou-se particularmente oportuno no contexto dos últimos meses, com a ocorrência de eventos de semelhante gravidade operacional que testaram a resiliência de diferentes participantes do sistema financeiro.

O documento da IOSCO aponta um conjunto de práticas simples, mas subsequentes, capazes de aprimorar a capacidade de resposta às interrupções e com isso ampliar a resiliência do mercado e de seus participantes a essas ocorrências. São elas:

• Elaboração e publicação de um plano de interrupção (outage plan) que reúna ações e iniciativas planejadas para essas situações, tais como plano de comunicação, estratégia de reabertura, procedimentos para realização de leilões de encerramento, metodologia para prover preços de fechamento, se necessário; e, na ocorrência da interrupção;

Implementação de plano de comunicação, que tenha início com o fornecimento, tempestivo, por meio de canal de comunicação adequado, da informação inicial sobre a interrupção, aos participantes e ao público em geral, e que promova atualizações periódicas sobre o status da interrupção e quanto ao reestabelecimento, para todos os participantes do mercado;

• Comunicações das informações relevantes sobre a reabertura das negociações no mercado/sistema, de forma tempestiva e simultânea a todos os participantes, buscando esclarecer questões sobre a situação das ordens de negociação e assegurar aviso prévio sobre a retomada dos negócios;
• Adotar e comunicar os processos e procedimentos previstos para a realização de leilões de encerramento e/ou estabelecimento de preços de fechamento durante a interrupção, ou sobre alternativas estabelecidas no plano de interrupção;
• Conduzir e compartilhar com reguladores as lições aprendidas e adotar um plano pós-interrupção, com calendários e alocação de responsabilidades para remediação, com vistas a reduzir a probabilidade de incidentes futuros semelhantes e/ou de aprimorar a capacidade de responder às interrupções, tanto no que se refere a causas, quanto ao respectivo tratamento.

Para fins do documento da IOSCO, a interrupção de mercado é utilizada para referir-se “à interrupção total da negociação ou da negociação ordenada em um ambiente (sistema/plataforma) de negociação causada por um problema técnico ou por uma questão operacional, que leva à suspensão da negociação”. Mas o próprio documento reconhece que tais situações, e as práticas e procedimentos contidos no Relatório, tem verificação mais abrangente relativamente ao ecossistema de negociação financeira e intermediação.

As causas de interrupção elencadas no trabalho da IOSCO compreendem questões ligadas a software (a maior parte), hardware, operacionais, de capacidade do sistema e de rede, entre outras. As causas não apontadas, mas destacadas pela entidade, referem-se a ataques cibernéticos, eventos da natureza (inclusive pandemias) e terceiros materialmente relevantes.

Além das práticas recomendadas, a IOSCO elenca elementos específicos que devem ser observados relacionados aos planos de continuidade de negócios, à comunicação com reguladores, às implicações sobre participantes e transfronteiriças e, novamente, aos terceiros provedores de serviços. Fica claro que a revisão de políticas e processos com vistas à incorporação de lições apreendidas, a comunicação entre envolvidos e o conhecimento quanto a terceiros críticos vem se tornando aspectos chave do atual receituário sobre resiliência operacional.

De fato, o avanço da regulamentação da Lei que trata de resiliência digital operacional na UE – Digital Operational Resilience Act ou DORA – é ilustrativo desses aspectos. Em fevereiro e março foram finalizadas regras e padrões complementares, inclusive aqueles referentes aos critérios para a designação de terceiros e para classificação e determinação de materialidade dos incidentes. Em 17/7, as ESAs divulgaram o segundo pacote de padrões técnicos trazendo: (i) conteúdo, formato e cronograma para relato de incidentes e ameaças cibernéticas significativas; (ii) padrões para atividades de supervisão e avaliações e para testes de penetração; (iii) orientações sobre estimativas de custos e perdas com incidentes. Em 27/7, foram elencados os elementos a serem considerados pelas instituições para determinar e avaliar terceiros críticos contratados. Os padrões técnicos ainda estão sujeitos à aprovação pela Comissão Europeia. O mesmo trio lançou, ainda em julho, uma estrutura de coordenação de respostas a incidentes considerados sistêmicos – The Systemic Cyber Incident Coordination Framework ou EU-SCICF.

Já nos EUA, a resposta a incidentes resultantes da conectividade entre Fintechs e sistema bancário suscitou declaração conjunta, em 27/7, das agências reguladoras, sobre os riscos potenciais representados por arranjos entre bancos e terceiros na disponibilização de produtos e serviços bancários aos usuários finais, destacando exemplos de práticas de gestão de riscos já estabelecidos em orientações existentes, e solicitando informações quanto a natureza dos acordos e respectiva implicação, e quanto a melhorias na supervisão da gestão de riscos desses arranjos.

No Brasil, merece destaque a vigência a partir de 1º/7 do questionário de due diligence para contratação de terceiros e serviços em nuvem da ANBIMA, para apoiar instituições nesses temas, conforme Guia e regras da autorregulação.

Direto da Fonte

• FED, OCC, FDIC – Request for Information on Bank-Fintech Arrangements Involving Banking Products and Services Distributed to Consumers and Business – July 25, 2024
• FED, OCC, FDIC – Joint Statement on Banks’ Arrangements with Third Parties to Deliver Bank Deposit Products and Services – July 25, 2024
• ESMA, EBA and EIOPA – “One Page on EU-SCIF” – July 17, 2024
• ESMA, EBA and EIOPA - “ESAs publish second batch of policy products under DORA”, July 17, 2024
• IOSCO – “Market Outages – Final Report” – June 2024