CIRCULAR SUSEP Nº 285, DE 21.03.2005
Estabelece cadastro de recursos e mapa de saldos, referentes às áreas de tecnologia da informação e contábil, a serem preenchidos pelas sociedades seguradoras, entidades abertas de previdência complementar e sociedades de capitalização, e dá outras providências.
O SUPERINTENDENTE DA SUPERINTENDÊNCIA DE SEGUROS PRIVADOS – SUSEP, na forma do disposto na alínea “b” do Art. 36, do Decreto-lei nº 73, de 21 de novembro de 1966, no uso das atribuições que lhe confere o Art. 74 da Lei Complementar nº 109, de 29 de maio de 2001, o Art. 3º, §2º do Decreto-lei nº 261, de 23 de fevereiro de 1967, e considerando o que consta do Processo SUSEP nº 15414.004363/2004-61,
Resolve:
(Notas: - 1 -Sobre o cadastro de recursos e mapa de saldos, vide apresentação realizada pela SUSEP - 2 - Vide também "Orientações sobre as circulares 285 e 297 e o Questionário de Informática no FIP".
Art. 1º - Estabelecer o cadastro de recursos e mapa de saldos, referentes às áreas de tecnologia da informação e contábil, nos termos constantes dos anexos I e II desta Circular, a serem preenchidos pelas sociedades seguradoras, entidades abertas de previdência complementar e pelas sociedades de capitalização.
Art. 2º - Os administradores das sociedades e entidades referidas no artigo 1º desta Circular deverão, dentro de suas áreas de atuação, ratificar as respostas aos quesitos do cadastro de recursos e mapa de saldos.
Art. 3º - O cadastro de recursos e o mapa de saldos deverão ser enviados, devidamente preenchidos, no prazo máximo de 20 (vinte) dias úteis, sempre que solicitados pela SUSEP.
Parágrafo único - As informações referidas no “caput” deste artigo, deverão estar disponíveis a partir de 31 de dezembro de 2005 e 30 de abril de 2006, respectivamente.
(Nota: Art. 3º e parágrafo único alterados pela Circular SUSEP nº 297, de 12.07.2005)
Art. 4º - Esta Circular entra em vigor na data de sua publicação.
Renê Garcia Junior
Superintendente
(DOU de 23.03.2005 - pág. 14 - Seção 1)
ANEXO I
CADASTRO DE RECURSOS:
As informações prestadas nos formulários em anexo deverão ser apresentadas para cada localidade ou centro de processamento de dados, com preenchimento de um quadro resumo por sociedade ou entidade.
Os formulários poderão ser modificados ou substituídos conforme a necessidade, mantendo-se, preferencialmente, a ordem de apresentação das informações.
Para substituir ou complementar um ou mais itens, podem ser anexados trabalhos diversos, gráficos ou relatórios recentes que retratem a situação atual da sociedade ou entidade (por exemplo: relatórios gerados por aplicativos de gerenciamento do inventário de hardware e software e por outros aplicativos de gestão da área de tecnologia).
Devem ser incluídas informações adicionais, que, embora não solicitadas no questionário, sejam consideradas importantes para a correta caracterização da área de informática na sociedade ou entidade.
INFORMAÇÕES REQUISITADAS:
1. Planejamento e Organização
1.1. Estrutura Organizacional da Área de Informática, incluindo:
1.1.1. Organograma da área até o nível de gerência e supervisão, com indicação dos nomes dos atuais ocupantes de cada cargo, acrescentando, ainda, o nome dos responsáveis pelas áreas de risco de segurança, compliance, de auditoria interna e de tecnologia da informação, caso não façam parte da estrutura formal de tecnologia da informação da sociedade ou entidade.
1.1.2. Localização física dos ambientes de informática (utilizar formulário PO-01 - Localização Física);
1.1.3. Quadro de pessoal, detalhado por local (utilizar formulário PO-02 - Quadro de Pessoal); e
1.1.4. Quadro das principais mudanças recentemente ocorridas ou a ocorrer (utilizar formulário PO-03 – Principais Mudanças).
2. Desenvolvimento e Manutenção de Sistemas
2.1. Arquitetura dos sistemas de informações – diagramas esquemáticos e descritivos.
2.2. Sistemas aplicativos (utilizar formulário DS-01 - sistemas aplicativos):
2.2.1. Relacionar todos os principais sistemas vinculados a produtos e a controles administrativos, gerenciais, legais e fiscais, implantados e em desenvolvimento, utilizados pela sociedade ou entidade.
2.2.2. Incluir os sistemas executados em outras empresas.
2.2.3. Incluir sistemas de todas as plataformas: mainframe, cliente/servidor, gerenciais, suporte a decisões, banco de dados, backoffice, web, internet, intranet etc.
3. Centros de Processamento de Dados e Suporte Técnico
3.1. Descrição dos Ambientes de Processamento
3.1.1. Hardware (utilizar formulário PR - 01 - hardware)
3.1.2. Software (utilizar formulário PR - 02 - software)
3.2. Topologia da rede (utilizar formulário PR - 03 - telecomunicações)
3.3. Serviços terceirizados (utilizar formulário PR - 04 - serviços terceirizados - produção, hospedagem, contingenciamento, off site backup etc.)
3.4. Separação de ambientes de desenvolvimento, testes/validação/homologação e produção – diagramas esquemáticos e descritivos.
4. Plano de Continuidade das Operações (Contingência/Emergência)
4.1. Indicar plano resumido de continuidade das operações em situações de contingência e emergência.
4.2. Apresentar resultados do último teste do plano de continuidade de operações.
4.3. Informar programação dos próximos testes do plano de continuidade de operações.
4.4. Caso ainda não exista um plano formalizado de continuidade de operações, informar se existe previsão para sua implementação.
5. Política de Segurança da Informação da Sociedade ou Entidade.
5.1. Apresentar cópia da atual política de segurança da informação.
5.2. Apresentar procedimentos para assegurar aderência à política de segurança da informação.
5.3. Informar freqüência de atualização da política de segurança da informação.
5.4. Caso ainda não haja uma política formalizada de segurança da informação, informar se existe previsão para sua implementação.
6. Investimentos e Despesas específicas da Área de Tecnologia da Informação (TI)
6.1. Apresentar demonstrativos dos investimentos financeiros realizados, nos últimos 3 (três) anos, com a área de tecnologia da informação, desmembrados em infra-estrutura, hardware e software.
6.2. Apresentar demonstrativo das despesas atuais com a área de tecnologia da informação, especificando os montantes despendidos, nos últimos 3 (três) anos, com pessoal próprio, suprimentos e serviços terceirizados.
6.3. Informar estimativas e projeções disponíveis dos dispêndios futuros entre investimentos e despesas, na área de tecnologia da informação, para os próximos 18 (dezoito) meses.
7. Quadro Resumo.
7.1. Informar a quantidade total de empregados alocadas em TI, por área de:
7.1.1. Desenvolvimento
7.1.2. Suporte técnico
7.1.3. Produção
7.1.4. Outros
7.1.5. Dentro de cada área especificada nos subitens anteriores, indicar o total de empregados próprios e terceirizados.
7.2. Informar o número total de instalações e de equipamentos, especificando por:
7.2.1. Matriz e sucursais.
7.2.2. Outros tipos de instalações
7.3. Informar resumo dos recursos de hardware:
7.3.1. Número de mainframes com quantidade de MIPS e capacidade total de armazenamento.
7.3.2. Número de servidores de plataforma baixa e sua capacidade total de armazenamento.
7.3.3. Número de microcomputadores.
7.4. Informar resumo dos recursos de software: quantidade total de sistemas, programas e linhas de código.
7.5. Informar resumo de informações financeiras:
7.5.1. valor total dos investimentos realizados, nos últimos 3 (três) anos, com a área de tecnologia da informação, desmembrado em infra-estrutura, hardware e software.
7.5.2. valor total das despesas correntes com a área de tecnologia da informação, especificando os montantes despendidos, nos últimos 3 (três) anos, com pessoal próprio, serviços terceirizados, suprimentos e outros.
7.5.3. valor total das estimativas e projeções disponíveis dos dispêndios futuros com investimentos e despesas, na área de tecnologia da informação para os próximos 18 (dezoito) meses.
Formulário PO – 01: Localização Física dos Ambientes da Área de Informática
|
Nº |
Localidade e Descrição |
Nº Empregados |
||
|
Próprios |
Terceiros |
Total |
||
|
1 |
||||
|
2 |
||||
|
3 |
||||
|
4 |
||||
|
5 |
||||
|
Totais |
||||
Instruções:
a) relacionar todos os locais onde os dados são processados e armazenados.
b) incluir os locais em que trabalham as equipes de desenvolvimento de sistemas e outras equipes (técnicos em processamento de dados).
c) se a sociedade ou entidade centralizar o seu processamento em computadores de grande porte (mainframes), relacionar os locais onde estão instalados, incluindo as eventuais instalações de backup e contingência.
d) devem ser, também, incluídos os locais de servidores de redes onde esteja centralizado o processamento de sistemas corporativos, referentes a produtos relevantes da sociedade ou entidade.
e) descrever cada local com as seguintes informações:
• nome/sigla/identificação;
• endereço; e
• descrição resumida da função;
f) indicar, apenas, a quantidade de empregados correspondente à área de informática.
FORMULÁRIO PO - 02: QUADRO DE PESSOAL
|
Local: |
|||||
|
Função |
Quant. de Empregados |
Quant. de Terceiros |
Experiência média na área (anos) |
Experiência média na função (anos) |
Rotatividade ao ano (%) |
|
Diretor |
|||||
|
Gerente de Desenv. de Sistemas |
|||||
|
Líder de Projetos |
|||||
|
Analista de Sistema |
|||||
|
Programador |
|||||
|
Gerente de Produção |
|||||
|
Analista de Produção |
|||||
|
Scheduler |
|||||
|
Operador |
|||||
|
Gerente de Software |
|||||
|
Analista de Software |
|||||
|
Gerente de Segurança |
|||||
|
Supervisor de Redes |
|||||
|
Analista de Suporte (help desk) |
|||||
|
Analista de Segurança |
|||||
|
Web Designer |
|||||
|
Web Master |
|||||
|
Analista de Negócios |
|||||
|
Total |
|||||
Obs.: Deve ser utilizada uma folha para cada local, acrescentando e editando funções, se necessário.
FORMULÁRIO PO - 03: PRINCIPAIS MUDANÇAS
|
Mudanças ocorridas e/ou a ocorrer (novos sistemas, hardware, software, organizacional) |
Data da implantação ou previsão |
Instruções:
a) relacionar as mudanças significativas verificadas na sociedade ou entidade, nos últimos 2 (dois) anos, que tenham afetado a área de processamento de dados, mesmo que não ocorridas nela diretamente, mas sim em outra área.
b) incluir as mudanças planejadas para o futuro próximo.
c) as descrições das mudanças devem ser sucintas.
Formulário PR – 01: Hardware
|
Local: |
a) para cada localidade e/ou ambiente lógico, deverá ser utilizado um conjunto de folhas, com descrição dos equipamentos dentro das categorias exemplificadas no quadro a seguir, editando e/ou adicionando novas categorias, se necessário.
b) incluir as principais características tais como: função, marca ou modelo, sistema operacional, número de MIPS, número e velocidade do processador, memória, número e capacidade de discos, dispositivos de entrada e saída, outros periféricos associados (fita, cartucho, disco, impressora, discos flexíveis, CD-ROMs, DVDs, placas de rede, modems, etc.) e outros dispositivos de armazenamento de dados.
c) incluir, quando aplicável, data de instalação e percentual de uso para produção e desenvolvimento.
d) para equipamentos do tipo terminais, workstations, PCs, notebooks, laptops e desktops, enviar um resumo, indicando, para cada sistema operacional e tipo de equipamento, o número total de equipamentos em operação e de idade média do conjunto.
(Nota: Item “d” incluído pela Circular SUSEP nº 297, de 12.07.2005)
QUADRO DE EXEMPLOS DE CATEGORIAS DE EQUIPAMENTOS
1. Grande Porte (mainframe)
2. Minicomputadores
3. Servidores de plataforma baixa (RISC, CISC, Unix, Linux, Windows, Netware, etc.):
3.1 Servidores de controle de rede (domain controllers)
3.2 Servidores de aplicativos
3.3 Servidores de arquivo e de impressão
3.4 Servidores de banco de dados
3.5 Servidores de armazenamento de rede (storage networking servers)
3.6 Servidores de backup
3.7 Servidores de contingenciamento
3.8 Servidores fr e-mail/software colaborativo
3.9 Servidores internet/web server
3.10 Servidores de comunicações
3.11 Servidores de acesso remoto
4. PCs, desktops , workstations e terminais
5. Periféricos diversos
(Nota: Itens 4 e 5 foram suprimidos pela Circular SUSEP nº 297, de 12.07.2005)
FORMULÁRIO PR – 02: SOFTWARE
Para cada Local e/ou CPU e/ou ambiente lógico, utilize uma folha específica e acrescente e/ou edite tipos de “software”, conforme seja necessário.
|
Local e/ou CPU e/ou Ambiente Lógico: |
|
|
Software |
Produto/Fornecedor |
|
Sistema operacional |
|
|
Gerenciador de rede de T. P. |
|
|
Monitor on-line |
|
|
Segurança lógica de dados |
|
|
Gerenciador de bibliotecas-fonte |
|
|
Gerenciador de fitoteca |
|
|
Gerenciador de produção (scheduler) |
|
|
De apoio à programação |
|
|
Gerador de massa de testes |
|
|
Gerador de relatórios |
|
|
De auditoria |
|
|
Utilitário para alteração de dados |
|
|
Gerenciador de banco de dados |
|
|
Linguagem de programação |
|
|
Gerenciador de recursos de sistemas |
|
|
Sistema operacional |
|
FORMULÁRIO PR – 03: TELECOMUNICAÇÕES
a) Para cada ambiente, serviço ou produto, utilize um conjunto de folhas específicas, indicando:
1. Descrição do ambiente, serviço ou produto;
2. Diagrama da topologia da rede e suas rotas alternativas (contingência, back-up);
3. Servidores – Hardware (utilizar formulário PR 01 – Hardware);
4. Servidores – Software (utilizar formulário PR 02 – Software);
5. Outros componentes - roteadores (routers), concentradores, chaveadores, pontes (bridges) etc;
6. Canais de comunicações (exemplos: links de satélite, fibras óticas, micro-ondas, rádio, linhas privadas e/ou discadas, etc.);
7. Protocolos e serviços utilizados (ex. IBM/SNA, TCP/IP, IPX, Voz sobre IP (VoIP), VPN, Frame Relay, ATM, WAP, etc.);
8. Recursos de segurança – (ex. firewalls, encriptografia, anti-virus, etc.)
9. Outras características consideradas importantes.
b) Exemplos de ambientes, serviços ou produtos:
Ambiente mainframe, ambiente distribuído, cliente/servidor, rede de micros, sistemas gerenciais, suporte a decisão, impressão remota, transmissão de dados com clientes, automação de agências, auto atendimento, automação de escritório, correio eletrônico, intranet/internet, etc.
c) Exemplos de componentes – hardware:
Mainframes, servidores RISC, servidores INTEL, estações clientes, controladoras, roteadores, chaveadores, firewalls etc.
d) Exemplos de componentes – software:
Sistemas operacionais (UNIX, Win/NT, netware/novell, linux), gerenciadores de rede, planilhas, editores de texto, correio eletrônico, linguagens, banco de dados etc.
FORMULÁRIO PR – 04: SERVIÇOS TERCEIRIZADOS
a) Para cada sistema aplicativo ou tipo de serviço prestado, utilize uma folha específica, com indicação do:
1. Sistema ou serviço
2. Fornecedor
2.1 Endereço;
2.2 Responsável pelo contato e
2.3 Responsável pelo controle
3. Características do sistema/serviço:
( ) Sistema padrão (pacote)
( ) Sistema desenvolvido a pedido (exclusivo)
4. Transmissão de dados
|
Dados |
||
|
Envio |
Recebimento |
Meios de Transmissão |
b) Exemplos de meios de transmissão: on-line (CPU-a-CPU), microcomputador/terminal conectado, internet, fita/cartucho magnético, disquete, relatórios, documentos, telex/fax, verbal etc.
FORMULÁRIO DS – 01: SISTEMAS APLICATIVOS
a) relacionar todos os principais sistemas vinculados a produtos financeiros e a controles administrativos, gerenciais, legais e fiscais, implantados e em desenvolvimento, utilizados pela sociedade/entidade.
b) incluir sistemas de todas as plataformas: mainframe, cliente/servidor, gerenciais, suporte a decisões, banco de dados, backoffice, intranet/internet e etc.
c) indicar, para cada sistema, as seguintes informações:
1. código e nome do sistema;
2. breve descrição do sistema;
3. local de processamento;
4. computador onde é executado (marca, tipo, modelo);
5. origem (por exemplo: desenvolvido internamente, licença de uso com os fontes, licença de uso sem os fontes);
6. data de implantação;
7. data prevista para desativação ou substituição por um novo sistema, se for o caso;
8. objetivos do sistema;
9. principais funções;
10. principais interfaces: meios de entrada e saída, sistemas dos quais recebe informações e para os quais envia informações;
11. relação dos principais cadastros e seus volumes (quantidades de registros e espaço ocupado em bytes) - mencionar a organização destes arquivos citando, se pertencentes a banco de dados, o software de gerenciamento utilizado;
12. volumes característicos (por exemplo: quantidade de registros/transações/operações por dia/mês);
13. quantidade de programas e linguagens utilizadas;
14. procedimentos ou ferramenta de gerenciamento e manutenção do sistema utilizados (gerenciadores de programas fontes, PVCS, etc.);
15. analista responsável e telefone;
16. usuário responsável e telefone (indicar departamento, setor etc.);
d) relacionar, também, os sistemas em fase de desenvolvimento, incluindo as informações previstas na alínea “c”deste formulário, quando cabível e previsível.
ANEXO II
MAPA DE SALDOS
1. A presente solicitação tem por objetivo o mapeamento dos sistemas geradores de informações contábeis e dos controles internos diretamente vinculados à contabilização das operações financeiras, com especial destaque aos controles informatizados.
2. O arquivo mencionado deverá ser gravado como uma planilha formato “MS EXCEL” com as seguintes informações:
|
CAMPO |
DESCRIÇÃO |
OBSERVAÇÕES |
|
Código SUSEP |
Código da conta no Plano de Contas (Circular SUSEP Nº 279/04) |
Existirá um registro (linha) para cada conta |
|
Código interno |
Código contábil interno da sociedade ou entidade |
Repetir o código SUSEP se o código interno da sociedade ou entidade for idêntico. |
|
Nome |
Nome da conta |
|
|
Saldo |
Saldo parcial ou total da rubrica contábil |
Parcela do saldo controlado segundo os atributos descritos abaixo. |
|
Tipo controle |
Código do tipo de controle das operações ou itens que compõem o saldo |
01 = Operações ou itens que compõem o saldo correspondente são mantidos em sistema de processamento de dados. 02 = Operações ou itens que compõem o saldo correspondente são mantidos em controles informatizados não sistematizados, sendo que a troca de dados com outros sistemas ocorre por meio de transmissão eletrônica. Por exemplo: planilhas eletrônicas, pequenos bancos de dados em microcomputadores, etc. 03 = Operações ou itens que compõem o saldo correspondente são mantidos em controles informatizados não sistematizados, sendo que a troca de dados com outros sistemas é manual. Por exemplo: planilhas eletrônicas, pequenos bancos de dados em microcomputadores, etc... 04 = Operações ou itens que compõem o saldo têm controle manual (planilhas em papel, livros, etc). |
|
Código sistema |
Código do sistema de processamento de dados |
Relacionar todos os sistemas (ou seja, quando existir mais de um sistema utilizado na formação do código SUSEP / código interno da sociedade ou entidade). |
|
Descrição |
Descrição do sistema ou controle |
Descrição sucinta do sistema ou do controle efetuado. |
|
Gestor |
Setor Operacional responsável pelo controle das operações ou itens que compõem o saldo da conta |
Informar sigla ou nome sucinto do setor ou departamento que conste do organograma da sociedade ou entidade, bem como o seu responsável. |
|
Gestor de TI |
Setor de TI responsável pelo controle das operações ou itens que compõem o saldo da conta |
Informar sigla ou nome sucinto do setor ou departamento que conste do organograma da sociedade ou entidade, bem como o seu responsável. |
|
Tipo sistema |
Código do tipo de sistema de processamento de dados |
Preencher quando o “tipo controle” for 01. 11 = Sistema instalado em equipamentos da própria sociedade ou entidade desenvolvido, mantido e controlado por departamento de processamento de dados centralizado. 12 = Sistema instalado em equipamentos da própria sociedade ou entidade desenvolvido e mantido por terceiros, controlado por departamento de processamento de dados centralizado. 13 = Sistema instalado em equipamentos da própria sociedade ou entidade desenvolvido, mantido e controlado pelo departamento usuário. 14 = Sistema instalado em equipamentos de terceiros desenvolvido, mantido e controlado também por terceiros. |
|
Relatório |
Código e nome do(s) relatório(s) ou documento(s) de onde foi apurado o saldo correspondente. |
Se os lançamentos são feitos automaticamente pelo sistema informatizado, mencionar o código e nome da rotina ou programa que inclui os lançamentos na contabilidade. Caso sejam várias rotinas, informar “várias rotinas automáticas”. |
|
Fechamento |
Data de fechamento do sistema para apuração do saldo contábil. |
Informar a data em que o saldo contábil foi apurado. Deve coincidir com a data de emissão do relatório ou a data de transferência dos últimos lançamentos a utomáticos. No caso de controle manual, informar a data em que o saldo definitivo foi apurado. |
|
Quantidade |
Quantidade de operações ou itens que compõem o saldo correspondente. |
Apurar a quantidade segundo os critérios da própria sociedade/entidade. |
(Nota: Excluído o campo “Quantidade” do Mapa do Saldo, conforme redação dada pela Circular SUSEP nº 297, de 12.07.2005)
INSTRUÇÕES GERAIS:
a) os saldos deverão ser detalhados no seu nível mais elementar, até o nível desdobramento do plano de contas SUSEP.
b) deverão ser informados apenas os saldos analíticos: não informar subtotais ou totais de grupos de contas.
c) uma conta deverá ter tantos registros (linhas) quantos forem necessários para descrever os controles do saldo contábil total vinculado.
d) criar códigos específicos para os campos “tipo controle” e “tipo sistema”, quando as sugestões apresentadas não forem suficientes para classificar adequadamente as características dos controles existentes.
