Edição FCA – Editora de Informática, Lda. Av. Praia da Vitória, 14 A – 1000-247 Lisboa Tel: +351 213 511 448 fca@fca.pt www.fca.pt Distribuição Lidel – Edições Técnicas, Lda. Rua D. Estefânia, 183, R/C Dto. – 1049-057 Lisboa Tel: +351 213 511 448 lidel@lidel.pt www.lidel.pt Livraria Av. Praia da Vitória, 14 A – 1000-247 Lisboa Tel: +351 213 511 448 livraria@lidel.pt Copyright © 2020, FCA – Editora de Informática, Lda. ISBN edição impressa: 978-972-722-911-6 1.ª edição impressa: fevereiro 2020 Paginação: Alice Simões Impressão e acabamento: Tipografia Lousanense, Lda. – Lousã Depósito Legal n.º 467595/20 Capa: José M. Ferrão – Look-Ahead
Marcas Registadas de FCA – Editora de Informática, Lda. –
Todos os nossos livros passam por um rigoroso controlo de qualidade, no entanto aconselhamos a consulta periódica do nosso site (www.fca.pt) para fazer o download de eventuais correções. Não nos responsabilizamos por desatualizações das hiperligações presentes nesta obra, que foram verificadas à data de publicação da mesma. Os nomes comerciais referenciados neste livro têm patente registada Reservados todos os direitos. Esta publicação não pode ser reproduzida, nem transmitida, no todo ou em parte, por qualquer processo eletrónico, mecânico, fotocópia, digitalização, gravação, sistema de armazenamento e disponibilização de informação, sítio Web, blogue ou outros, sem prévia autorização escrita da Editora, exceto o permitido pelo CDADC, em termos de cópia privada pela AGECOP – Associação para a Gestão da Cópia Privada, através do pagamento das respetivas taxas.
Índice Geral
© FCA
Introdução IX 1 Continuidade de Negócio 1.1 Gestão da Continuidade de Negócio 1.1.1 Desastre e Interrupção de Serviço 1.1.2 Ciclo de Vida da Gestão da Continuidade de Negócio 1.1.3 Gerir o Programa da Continuidade de Negócio 1.2 Plano de Continuidade de Negócio
1 1 2 7 11 11
2 Metodologia para a Gestão da Continuidade de Negócio 2.1 Compreender a Organização 2.2 Comprometimento dos Gestores de Topo 2.3 Avaliação do Risco 2.4 Análise de Impacto no Negócio 2.5 Equipas de Continuidade de Negócio 2.6 Estratégia da Gestão da Continuidade de Negócio 2.6.1 Tipos de Planos de Continuidade de Negócio 2.6.2 Estratégia das TIC 2.7 C onceber e Implementar um Plano de Continuidade de Negócio 2.7.1 Alternativas para as Funções Críticas 2.7.2 Data Center 2.7.3 Classificação Tier de Data Center 2.8 Incutir a Continuidade de Negócio na Cultura Organizacional 2.9 Formação em Continuidade de Negócio 2.10 T estar, Manter e Analisar o Plano de Continuidade de Negócio
15 20 21 23 27 31 33 38 42 45 50 53 54 56 57 60
3 Ferramentas de Apoio à Gestão da Continuidade de Negócio 3.1 Ferramentas de Auditoria 3.2 Ferramentas de Monitorização de Infraestruturas TIC
67 70 70
4 Normativos 73 4.1 ISO/IEC 73 4.1.1 ISO/IEC 27001:2013 74 4.1.2 ISO/IEC 27002:2013 77 —V—
Programas de Faturação Certificados
4.1.3 ISO/IEC 27031:2011 4.1.4 ISO 22301:2012 4.1.4.1 Plano de Continuidade de Negócio 4.1.5 ISO 22313:2012 5 Modelos de Referência e Boas-práticas 5.1 ITIL 5.1.1 ITIL V4 5.1.2 Práticas Gerais de Gestão 5.1.3 Práticas de Gestão de Serviço 5.1.4 Prática de Gestão da Continuidade de Serviço de TIC 5.1.5 Práticas de Gestão Técnica 5.2 COBIT 5.3 CMMI 5.3.1 Resolução de Incidentes e Prevenção 5.3.2 Gestão do Risco e Oportunidades 5.3.3 Continuidade
81 82 85 87 93 94 94 97 99 102 104 104 108 110 111 112
6 Enquadramento Fiscal no Âmbito da Continuidade de Negócio 115 6.1 Certificação de Programas Informáticos de Faturação 120 6.2 I mpressão Tipográfica de Faturas e de Documentos de Transporte 123 6.3 I ntegração de Documentos Não Contidos em Cópia de Segurança 124 6.4 P olítica de Cópias de Segurança de Periodicidade Obrigatória 124 6.5 Emissão por Via Eletrónica 125 6.5.1 Assinatura Eletrónica Qualificada 132 6.5.2 Selo Eletrónico Qualificado 134 6.5.3 Sistema de Intercâmbio Eletrónico de Dados 135 6.5.4 Faturação Eletrónica nos Contratos Públicos 138 6.5.5 Transmissão em Tempo Real para a AT 140 6.6 Arquivo Eletrónico dos Documentos 143 7 Boas‑práticas para Produtores e Utilizadores de Programas Informáticos de Faturação 7.1 Boas-práticas: Cópias de Segurança 7.1.1 Porquê Estabelecer as Políticas de Cópias de Segurança? 7.1.2 O Que Considerar ao Implementar as Políticas de Cópias de Segurança? 7.1.3 Quem Deve Iniciar as Cópias de Segurança? 7.1.4 O Que Considerar para Controlar a Base de Dados em Utilização? 7.1.5 O Que Fazer Quando for Atingido o Limite da Capacidade da Base de Dados? — VI —
145 146 146 147 156 157 158
© FCA
Índice Geral
7.2 B oas-práticas: Inoperacionalidade do Programa 162 7.2.1 Como Reconhecer a Inoperacionalidade do Programa? 163 7.2.2 O Que Considerar na Criação de uma Série? 165 7.2.3 Q uais as Consequências de Não Manter a Sequencialidade, de Numeração ou Cronológica, na Emissão dos Documentos? 167 7.2.4 Q uando Devo Encerrar as Séries em Utilização e Criar Novas Séries? 168 7.2.5 Qual a Cópia de Segurança a ser Reposta? 169 7.2.6 C omo Integrar os Documentos que Não Constam da Cópia Reposta? 170 7.2.7 C omo Recuperar Documentos Impressos em Tipografia para o Programa? 172 7.2.8 P osso Adquirir Faturas e Documentos de Transporte Impressos em Tipografia? 176 7.2.9 O Que Fazer ao Restabelecer a Operacionalidade do Programa? 177 7.2.10 O Que Considerar na Comunicação de um Documento de Transporte Impresso em Tipografia? 180 7.3 Boas-práticas: Controlo de Acesso 181 7.3.1 C omo Controlar o Acesso Eficaz ao Programa, de Forma a Evitar a sua Inoperacionalidade? 183 7.3.2 O Que Considerar para Estabelecer um Controlo de Acessos? 184 7.3.3 O Que Considerar no Controlo da Informação através da Gestão de Acessos às Funções do Programa? 187 7.3.4 O Que Considerar para Detetar Alterações ao Programa? 188 7.3.5 O Que Considerar para a Proteção da Chave Privada? 189 7.4 Boas-práticas: Impressão de Faturas 190 7.4.1 Porque Devo Imprimir as Faturas em Duplicado? 191 7.4.2 O Que Considerar na Impressão de Faturas em Papel Térmico? 192 7.5 Boas-práticas: Emissão por Via Eletrónica 192 7.5.1 Porquê Emitir Faturas por Via Eletrónica? 193 7.5.2 Como Dispensar o Papel para Impressão das Faturas? 194 7.5.3 O Que Considerar na Implementação da Emissão de Documentos por Via Eletrónica? 196 7.6 Boas-práticas: O Ficheiro SAF‑T (PT) 199 7.6.1 A Exportação do SAF‑T (PT) 200 7.6.2 SAF‑T (PT) vs. E‑fatura 202 7.6.3 Formas de Comunicação à AT 204 7.6.3.1 Transmissão Eletrónica de Dados em Tempo Real 205 7.6.3.2 Envio do Ficheiro SAF‑T (PT) 206 7.6.3.3 Comunicação Manual 207 — VII —
Programas de Faturação Certificados
7.7 Boas-práticas: Arquivo Eletrónico 207 7.7.1 O Que Considerar na Implementação do Sistema de Arquivo Eletrónico? 209 7.7.2 O Que Considerar na Conservação do Arquivo e das Cópias de Segurança dos Suportes Eletrónicos? 212 7.7.3 O Que Considerar na Implementação do Plano de Arquivo? 214 7.7.4 Que Restrições Existem Relativamente à Localização do Arquivo? 220 7.7.5 Posso Ter o Arquivo Assegurado por Terceiros? 221 7.7.6 O Que Considerar na Digitalização dos Documentos em Papel? 223 7.7.7 O Que Considerar na Conservação das Faturas Eletrónicas? 224 7.7.8 Quais os Requisitos do Arquivamento das Faturas Eletrónicas? 225 Anexo A – Níveis de Classificação Tier 227 A.1 Tier I: Básico 227 A.2 Tier II: Componentes Redundantes para Infraestrutura do Site 228 A.3 Tier III: Manutenção Simultânea 229 A.4 Tier IV: Infraestrutura do Site Tolerante a Falhas 229 Anexo B – Documentos de Suporte à Continuidade de Negócio 231 B.1 D ocumento 1: Procedimento para Reposição de Cópia de Segurança 231 B.2 D ocumento 2: Matriz de Avaliação do Grau de Inoperacionalidade 233 Bibliografia 235 Índice Remissivo
243
— VIII —
Introdução A necessidade de utilização de Sistemas de Informação (SI) capazes de dinamizar os processos de negócio deixou de ser apenas percebida como uma vantagem competitiva para ser essencial à sobrevivência das organizações. Pela sua dimensão, recursos internos ou especificidade de negócio, algumas organizações desenvolvem as suas próprias aplicações, enquanto outras optam pela aquisição de aplicações comerciais “prontas a ser utilizadas”, ou ainda pela contratação de uma empresa de software capaz de desenvolver essas aplicações à medida da organização. Não obstante a forma como as aplicações são desenvolvidas e integradas na organização, considera-se que têm de cumprir requisitos funcionais e não funcionais. Alguns requisitos funcionais são específicos do negócio, enquanto outros terão origem em disposições legais ou normativas.
© FCA
Os programas informáticos de faturação são componentes de um SI sujeitos a imposições legais subjacentes à legislação na área fiscal. Com efeito, existem requisitos funcionais que estão considerados na legislação com o objetivo, por exemplo, de garantir a integridade dos dados, a segurança da informação ou a Continuidade de Negócio (CN). Porém, a disposição legal e fiscal na qual se baseiam esses requisitos é extensa. No entanto, existe um conjunto limitado de diplomas legais que contém grande parte dos requisitos. O Decreto-Lei n.º 28/2019 regula as obrigações relativas ao processamento de faturas e outros documentos fiscalmente relevantes, bem como as obrigações de conservação de livros, registos e respetivos documentos de suporte. Regula ainda as condições para utilização exclusiva de programa informático previamente certificado pela Autoridade Tributária e Aduaneira (AT). Neste sentido, a Portaria n.º 363/2010 regulamenta a certificação prévia dos programas informáticos de faturação e a emissão e revogação do certificado emitido pela AT, definindo requisitos e impondo a conformidade com requisitos técnicos aprovados pelo Despacho n.º 8632/2014. — IX —
Programas de Faturação Certificados
Este livro apresenta, assim, informação relevante que apoiará as organizações que sejam, ou pretendam ser, detentoras de um programa informático de faturação, a fim de encontrar uma solução para conceber um Plano de Continuidade de Negócio (PCN). Outro objetivo deste livro é incentivar a conformidade com os principais requisitos definidos na legislação fiscal, traduzindo-os em boas-práticas concretas, suportada no respetivo enquadramento fiscal, normativo e de modelos de referência, na área das Tecnologias de Informação e Comunicação (TIC). A obra está organizada em sete capítulos, desempenhando, cada um deles, um papel importante na compreensão das temáticas. Nos Capítulos 1 e 2 faz-se a revisão da literatura relativa ao tema da CN, sugerindo-se uma metodologia para a CN, de forma a construir a sua estrutura teórica, no sentido de apoiar a conceção de um PCN holístico na organização. No Capítulo 3 apresenta-se a relevância de deter ferramentas de Gestão da Continuidade de Negócio (GCN), com o objetivo de apoiar a conceção de um PCN, facilitando a sistematização da sua elaboração. São apresentados alguns dos requisitos a considerar na adoção de tais ferramentas. Nos Capítulos 4 e 5 desenvolve-se a revisão de standards internacionais International Organization for Standardization (ISO) e International Electrotechnical Commission (IEC) e de modelos de referência e de boas-práticas, nomeadamente, Information Technology Infrastructure Library (ITIL), Control Objectives for Information and Related Technology (COBIT) e Capability Maturity Model Integration (CMMI), considerados relevantes para a GCN e para a estruturação de um PCN. No Capítulo 6 apresenta-se a legislação fiscal que se considerou relevante para enquadrar os programas informáticos de faturação certificados pela AT na temática da CN. A certificação dos programas informáticos de faturação é também abordada, a fim de se caracterizar esta atividade no âmbito da AT, de acordo com a legislação em vigor. Por último, no Capítulo 7, é apresentado um conjunto de boas-práticas que permitirá apoiar o processo de decisão para aquisição e adequação de um programa informático de faturação existente, ou o desenvolvimento de outro, em conformidade com os pressupostos essenciais e requisitos aplicáveis em matéria fiscal. A implementação de um arquivo eletrónico também é abordada, como forma de diminuir a exposição ao risco de perda de arquivo, especialmente o estabelecido em suporte de papel. —X—
1
Continuidade de Negócio
A Continuidade de Negócio (CN) tem subjacente a capacidade estratégica e tática da organização, para planear e responder a incidentes e interrupções de negócio, a fim de continuar as operações de negócio, num nível predefinido aceitável (Ramakrishnan & Viswanathan, 2011). Noutra perspetiva, a CN deve ser considerada como um processo de gestão holístico que identifica os impactos potenciais que ameaçam uma organização, e que fornece uma estrutura para criar resiliência e capacidade para uma resposta eficaz, protegendo os interesses das principais partes interessadas (stakeholders), reputação, marca e atividades criadoras de valor (ISO 22313:2012). A vertente apresentada descreve o valor estratégico da CN, tem em consideração fatores impulsionadores de ganho e o potencial para estratégias de maximização de lucros e não apenas na perspetiva de controlo para providenciar uma resposta eficaz e de mitigação de perdas (Ramakrishnan & Viswanathan, 2011). Os autores advogam que é apenas quando a organização começa a considerar os riscos, que existe um aumento do valor das “ações da bolsa”. É importante que o restabelecimento de operações de negócio seja analisado à luz da perspetiva do cliente (Ramakrishnan & Viswanathan, 2011), enquanto se prioriza a resposta a disrupções. Os processos que têm mais pontos de contacto com os clientes são os que necessitam de ser abordados primeiro.
1.1 Gestão da Continuidade de Negócio
© FCA
A Gestão da Continuidade de Negócio (GCN) compreende o conjunto integrado de políticas e procedimentos que visam assegurar o funcionamento contínuo dos processos de negócio de uma organização e a sua recuperação atempada, aquando da ocorrência de eventos suscetíveis de perturbar a normalidade do mesmo (BP, CMVM & ISP, 2010). O BCM Institute refere que a GCN deve envolver toda a organização (Goh, 2008). Trata‑se de um processo de gestão holístico, ou de um conjunto de —1—
Programas de Faturação Certificados
processos, que identifica ameaças potenciais a uma organização e o impacto às operações de negócio que essas ameaças, se realizadas, podem causar. Permite a existência de uma estrutura que crie resiliência organizacional e responda com eficácia, protegendo a organização, nomeadamente, nas vertentes de reputação, marca e criação de valor. A GCN contempla, assim, duas perspetivas que se complementam (BP, CMVM & ISP, 2010): A continuidade operacional, que garante uma situação em que os processos de negócio são desempenhados sem interrupções ou com o mínimo de perturbações possível; A recuperação, que visa assegurar o restabelecimento dos processos de negócio, após a verificação de um evento que provoque a sua interrupção completa ou parcial, ou grave perturbação. Neste enquadramento, a GCN deve assegurar o desenvolvimento, a implementação, a manutenção e a integração de planos adequados à prossecução dos objetivos da organização, podendo ser planos de segurança física e da informação, planos de contingência, planos de comunicação, planos de continuidade de negócio e planos de recuperação (Silva, 2016). Desta forma, contribuindo para o objetivo de elaboração dos planos, o processo de GCN deve estar integrado nos processos de negócio da organização. Em particular, considera‑se ser necessário que a seleção das funções de negócio críticas traduza, efetivamente, as prioridades, os procedimentos a sistematizar e os recursos (humanos e materiais) a mobilizar, bem como refletir sobre as condições em que o negócio é normalmente desenvolvido (BP, CMVM & ISP, 2010). Neste sentido, a CN deve ser gerida e ajustada continuamente ao negócio, pelo que esta secção apresenta os conceitos da GCN, o seu ciclo de vida e a gestão do programa de CN.
1.1.1 Desastre e Interrupção de Serviço De forma a implementar a resiliência e seguir as diretivas que incentivam a pro‑ teção contra incidentes ou eventos disruptivos, os Sistemas de Informação (SI) e as aplicações/sistemas que os suportam estão cada vez mais preparados para resistir a falhas. No entanto, importa compreender que existem vários cenários de interrupção de serviço, tradicionalmente mais conhecidos, desencadeados —2—
2
Metodologia para a Gestão da Continuidade de Negócio
Assim como qualquer outro sistema de gestão, a Gestão da Continuidade de Negócio (GCN) precisa de ser planeada, implementada e melhorada continuamente (Russo, 2019). Sendo a GCN um processo, deverá ter uma metodologia de suporte à sua definição na organização. Desta forma, apresenta‑se o que os autores consideram ser metodologicamente mais adequado, por forma a que a implementação seja eficaz e eficiente. A utilização de uma metodologia permite que a organização sistematize os seus objetivos e estratégias de Continuidade de Negócio (CN), a fim de potenciar a sua concretização, com uma execução adequada de todas as atividades envolvidas, alinhada com as premissas organizacionais, com a uniformização de procedimentos e de comunicação, garantindo, assim, a eficiência do programa de GCN (Ferreira, 2018). Durante a fase de planeamento, na implementação da GCN, define‑se o quê e como se espera alcançar. É vital que a GCN apoie os objetivos e as metas da organização, bem como as necessidades das suas partes interessadas (Cornish, 2011). Deve, então, implementar os principais elementos da GCN, identificados no ciclo de vida da CN, e incluir verificações e controlos, para garantir a eficácia da implementação. O exercício, a manutenção, a revisão e a auditoria contínuas fornecerão a base para a gestão de topo garantir que a GCN melhore com o tempo.
© FCA
Nesta perspetiva, a GCN é um processo estratégico e holístico para tratamento do risco e construção da resiliência na organização. A GCN poderá materializar ‑se através de diversos instrumentos, desde que seja observada uma metodologia no seu desenvolvimento (Alves, 2010). Neste propósito, numa perspetiva global, a GCN persegue os seguintes objetivos: Minimizar o impacto do desastre numa organização – Plano de Gestão de Crise (PGC); — 15 —
Programas de Faturação Certificados
Recuperar e manter, com custo aceitável, os processos de negócio críticos, na ocorrência de eventos disruptivos – Plano de Recuperação de Desastre (PRD); Continuar, alternativamente e com custo aceitável, os processos de negócio críticos, após a ocorrência de eventos disruptivos – Plano de Continuidade de Negócio (PCN). A gestão do programa de GCN permite que a capacidade de CN seja estabelecida e mantida de maneira apropriada ao tamanho e à complexidade da organização. Para Cornish (2011), os requisitos essenciais para gerir o programa são os seguintes: Atribuição de responsabilidades; Implementação da continuidade do negócio, incluindo: −− Comunicação com as partes interessadas; −− Disponibilização de formação; −− Realização de exercícios. Disponibilização de gestão contínua na forma de: −− Manutenção para garantir que o plano está atualizado; −− Documentação de controlo e finalização. Aquando da elaboração do programa de GCN, podem surgir os primeiros obstáculos ou constrangimentos, ou seja, resistência da organização à mudança. Caberá, então, aos responsáveis pela CN organizacional a realização de um trabalho de consciencialização dos colaboradores para a CN, o qual deverá ter o apoio da gestão de topo e do setor de recursos humanos (Guindani, 2008). Assim, é imperativo potenciar a incorporação da GCN na cultura organizacional para permitir que aquela integre os valores centrais da organização e incuta confiança, em todas as partes interessadas, na capacidade que a organização demonstra em lidar com as interrupções (Cornish, 2011). Para que uma organização tenha sucesso no desenvolvimento e na manutenção da sua capacidade de CN, é essencial que haja um claro compromisso dos decisores de topo e suporte ao processo de gestão da mudança e implementação de uma cultura organizacional consistente (Russo, 2019). Neste contexto, deve haver um Gestor do Programa de GCN com respon sabilidade geral pela gestão e coordenação da implementação da GCN. Para distribuir a carga de trabalho, devem, também, ser indicados gestores de planos individuais para gerir o desenvolvimento e a manutenção de planos individuais (Cornish, 2011). — 16 —
3
Ferramentas de Apoio à Gestão da Continuidade de Negócio
No final da primeira década deste milénio, começavam a emergir novas fer‑ ramentas de software, com reconhecido apoio, para o desenvolvimento e manutenção de programas de Continuidade de Negócio (CN) (Bird, 2011). Estas não substituem a fase de análise da Gestão da Continuidade de Negócio (GCN), quem planeia a CN, a metodologia selecionada ou o compromisso contínuo da gestão com o processo, no entanto, é importante reconhecer que, das áreas de competência em CN, Bird (2011) refere que apenas duas são assistidas direta‑ mente por este tipo de software: Desenvolver e implementar o Plano de Continuidade de Negócio (PCN); Manter e exercitar o PCN. Existem outras ferramentas de software, num nível mais elevado de GCN, para: Avaliação e Controlo do Risco; Análise de Impacto no Negócio (AIN); Resposta de Emergência e Operações. Há ainda outras tecnologias e ferramentas de software para gestão de proje‑ tos, mapeamento de processos, entre outros, mas são produtos de software genéricos, não projetados especificamente para GCN (Bird, 2011). Tecnologias capacitadoras, como a intranet, correio eletrónico e afins, apoiarão as ferra‑ mentas de GCN.
© FCA
Segundo Hiles (2011b), existem muitas maneiras de projetar o plano, incluindo o uso de: Ferramentas de software especializadas para CN; Software de gestão de projetos; Software de base de dados; — 67 —
Programas de Faturação Certificados
Ferramentas‑padrão de processamento de texto, folhas de cálculo e apresentações. A seleção da ferramenta certa depende, em parte, de quem será o responsável pelo plano, pois, provavelmente, é melhor usar ferramentas com as quais es‑ teja familiarizado, caso contrário, a iniciação e a manutenção do plano podem ser problemáticas (Hiles, 2011a). A utilização de ferramentas de software especializado pode, em alguns casos, auxiliar no processo de manutenção, mas, por outro lado, pode levar a que as informações sejam armazenadas e mantidas em dois lugares, consi‑ dera Armit (2011). Algumas ferramentas de software mostram datas e pistas de auditoria, sobre quem realizou determinada ação e o último momento em que certas ações foram efetuadas, ajudando nas atividades de supervisão e na preservação de um histórico das operações efetuadas. As ferramentas também podem auxiliar na identificação de ligações entre planos e, assim, simplificar a identificação de áreas que exigem atualizações após uma alte‑ ração. Existem ferramentas de suporte à GCN disponíveis no mercado, projetadas para ajudar as organizações a cultivar uma cultura de resiliência, e correspon‑ der às expectativas dos clientes e partes interessadas. As ferramentas permitem que as organizações fortaleçam a gestão do risco, a gestão de fornecedores, a gestão de qualidade e a conformidade normativa, ao mesmo tempo que impulsionam o desempenho do negócio. No entanto, ao decidirem a adoção de uma ferramenta, as organizações devem considerar os seguintes aspetos: Custo de aquisição; Disponibilização de uma free demo ou free trial, para avaliar e testar antes da adoção; Meio de utilização da ferramenta – por exemplo, online ou de instalação em posto de trabalho; Disponibilização de aplicação móvel, especialmente para consulta de informação; Software e licenciamento adicional necessário – por exemplo, base de dados; Capacidade de Gestão de Programas e Políticas; Capacidade de abordagem das fases de GCN necessárias à organização (Avaliação do Risco, AIN, Planeamento e Testes dos Planos, Equipas de CN, etc.); — 68 —
4
Normativos
De acordo com a definição da Norma Portuguesa (NP), que adota a Norma Europeia (EN), denominada NP EN 45020:2009, a “normalização é a atividade destinada a estabelecer, face a problemas reais ou potenciais, disposições para a utilização comum e repetida, tendo em vista a obtenção do grau ótimo de ordem, num determinado contexto. Consiste, de um modo particular, na formulação, edição e implementação de Normas”. A Normalização procura a definição, a unificação e a simplificação, de forma racional, quer dos produtos acabados, quer dos elementos que se empregam para os produzir, através do estabelecimento de documentos denominados Normas. Normas são documentos técnicos que fornecem regras, orientações ou características para produtos ou serviços. Estes documentos técnicos são estabelecidos por consenso, aprovados por um organismo de normalização reconhecido, baseiam‑se em resultados comprovados, científicos, técnicos ou experimentais e são de aplicação voluntária.
4.1 ISO/IEC
© FCA
A International Organization for Standardization (ISO) é uma organização internacional não governamental independente constituída por 164 órgãos nacionais de normalização. Através dos seus membros, reúne especialistas para partilhar conhecimento e desenvolver voluntariamente Normas Internacionais relevantes, consensuais e importantes para o mercado, que apoiem a inovação e forneçam soluções para os desafios globais. Fundada em 1906, a International Electrotechnical Commission (IEC) é uma organização mundial sem fins lucrativos, líder na preparação e publicação de normas internacionais para todas as tecnologias elétricas, eletrónicas e rela‑ cionadas. Os membros da IEC são Comités Técnicos nacionais que nomeiam especialistas e delegados vindos da indústria, órgãos governamentais, asso‑ ciações e académicos para participar no trabalho de avaliação técnica e de conformidade da IEC. — 73 —
Programas de Faturação Certificados
A ISO e a IEC formam o sistema especializado para padronização mundial. Os organismos nacionais que são membros da ISO ou da IEC participam no desenvolvimento de Normas Internacionais, através de Comités Técnicos estabelecidos pela respetiva organização, para lidar com campos específicos da atividade técnica. Os Comités Técnicos ISO e IEC colaboram em áreas de interesse mútuo. Outras organizações internacionais, governamentais e não governamentais, que colaboram com a ISO e a IEC, também participam no trabalho. No campo da tecnologia da informação, a ISO e a IEC criaram um Comité Técnico conjunto, o ISO/IEC JTC 1. A principal tarefa do Comité Técnico conjunto é preparar Normas Interna‑ cionais, que serão adotadas pelo Comité Técnico conjunto e distribuídas aos 164 órgãos nacionais de normalização, para votação. A sua publicação requer a aprovação de, pelo menos, 75% dos órgãos nacionais que votam. Forma uma rede global dos principais padronizadores do mundo e, através dos seus membros, reúnem‑se especialistas de todo o mundo para desenvolver Normas Internacionais.
4.1.1 ISO/IEC 27001:2013 A Segurança de Informação desempenha um papel importante na garantia de Continuidade de Negócio (CN) da organização. A proteção dos ativos de informação e do fluxo de informação, dentro da organização e com os clientes e fornecedores, é crucial para a continuidade dos processos de negócio da mesma. Gerir a segurança de informação pode potenciar a garantia de proteção contra eventos disruptivos da continuidade da segurança de informação e deve ser contemplada na Gestão da Continuidade de Negócio (GCN) da organização. De acordo com o âmbito definido, a norma, a ISO/IEC 27001:2013 – Information technology – Security techniques – Information security management systems – Requirements especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão da Segurança de Informação (SGSI), dentro do contexto da organização. Esta Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação, adaptados às necessidades da organização (ISO/IEC 27001:2013). Os requisitos estabelecidos são genéricos e destinam‑se a ser aplicáveis a todas as organizações, independentemente do tipo, tamanho ou natureza. Para os efeitos desta norma, aplicam‑se os termos e definições apresentados na ISO/IEC 27000:2018. Ao nível da estrutura, a ISO/IEC 27001:2013 está — 74 —
5
Modelos de Referência e Boas-práticas
No âmbito da padronização e da melhoria dos processos de negócio, surge a preocupação com a aplicação de boas ‑práticas. Uma boa prática deve ser entendida como uma forma otimizada de se realizar uma determinada atividade de um processo, dado um critério, por exemplo, de menor custo ou maior eficiência (Mello, 2008). Por outro lado, o termo “modelo de referência” é utilizado em contexto de declarações teóricas, arquiteturas técnicas padronizadas ou documentações de sistemas empresariais. Modelos são representações de objetos reais e situações. Assim, um conjunto de boas‑práticas, estabelecido nos processos, pode constituir valor acrescentado, aquando da elaboração de um modelo de referência. Os modelos de referência são modelos genéricos, considerados válidos, que podem ser aplicados como ponto de partida para a implementação de uma solução, realizando‑se, posteriormente, os ajustes necessários para a sua adaptação à situação específica a modelar (Mello, 2008). Um modelo de referência pode também ser definido como um modelo padronizado que seja reconhecido e aprovado por todas as partes interessadas no mesmo. Pode ser encarado como um importante apoio no desenvolvimento de uma linguagem comum entre diferentes organizações, facilitando a comunicação entre elas (Vernadat, 1996; Mcgrath, 1997 apud Mello, 2008).
© FCA
Os modelos de maturidade procuram estabelecer níveis de desenvolvimento de processos, designados por níveis de maturidade, caracterizando estádios na implementação de processos de melhoria na organização (Guedes, 2012). Assim, a cada passo, o modelo reconhece e sinaliza o reconhecimento progressivo da organização. Pela sua relevância, neste capítulo, apresentam‑se o conjunto de boas‑práticas Information Technology Infrastructure Library (ITIL) e Control Objectives for Information and Related Technology (COBIT), e o modelo de referência de capacidade e maturidade Capability Maturity Model Integration (CMMI). — 93 —
Programas de Faturação Certificados
5.1 ITIL As Tecnologias de Informação e Comunicação (TIC) disponibilizam um conjunto de serviços críticos para as organizações e estas dependem de recursos computacionais complexos, para manter os seus negócios operacionais e gerarem lucro. A ITIL é uma framework de Gestão de Serviços de TIC (GSTIC), com forte aceitação no mundo, que procura alinhar os serviços das TIC com as necessidades de negócio. A orientação fornecida pelo conjunto de boas‑práticas ITIL, pode ser adotada e adaptada a todos os tipos de organizações e serviços (ITIL, 2019). Os serviços são a forma principal que as organizações têm de criar valor para si e para os seus clientes. Quase todos os serviços são baseados nas TIC, o que significa que existem benefícios para as organizações em criarem, expandirem e melhorarem a sua capacidade de gestão dos serviços de TIC. Mais do que nunca, a tecnologia está a avançar rapidamente e as organizações estão a proceder a grandes transformações para explorar as oportunidades criadas através do uso das tecnologias mais recentes (ITIL, 2019). Por isso, a GSTIC posiciona‑se como uma capacidade estratégica‑chave. As organiza‑ ções devem equilibrar a necessidade de estabilidade e previsibilidade com as necessidades de agilidade operacional e velocidade aumentada. Assim, a ges‑ tão de serviço está a mudar para corresponder e dar suporte a esta mudança organizacional, assim como para garantir que as oportunidades das novas tec‑ nologias e novas formas de trabalho sejam maximizadas. Deste modo, a gestão de serviço está a evoluir, tal como a ITIL, o guia de GSTIC mais adotado no mundo (ITIL, 2019).
5.1.1 ITIL V4 A ITIL 4, a framework de GSTIC mais popular, foi apresentada no primeiro trimestre de 2019. A ITIL conduz a indústria da GSTIC com orientações, formação e programas de certificação, há mais de 30 anos. Com efeito, a ITIL 4 atualiza a ITIL, através da reformulação de muitas das práticas estabelecidas da GSTIC, num contexto mais alargado de experiência do cliente, fluxo de valor e transformação digital, assim como abraçando novas formas de trabalho, tais como Lean, Agile e DevOps (ITIL, 2019). A ITIL 4 garante a continuidade (ITIL, 2019). A ITIL fornece orientações para ajudar os indivíduos e as organizações a verem os seus benefícios e irem mais — 94 —
6
Enquadramento Fiscal no Âmbito da Continuidade de Negócio
O Código do Imposto sobre o Valor Acrescentado (CIVA) obriga à emissão de uma fatura por cada transmissão de bens ou prestação de serviços, mesmo que o adquirente não a solicite. Na maior parte das situações, a fatura é emitida na data do recebimento, no caso em que o pagamento coincide com o momento em que o imposto é devido, o que geralmente se enquadra nas transmissões de bens, no momento em que estes são colocados à disposição do adquirente, ou nas prestações de serviços, no momento da sua realização/conclusão. A fatura também pode ser emitida, o mais tardar, no 5.º dia útil seguinte ao do momento em que o imposto é devido, quando a fatura é a crédito. Os artigos 36.º e 40.º do CIVA indicam as formalidades que devem ser cumpridas, nomeadamente, as relativas à informação que deve constar na fatura, ou na fatura simplificada, respetivamente. O CIVA refere que uma das formalidades é a obrigatoriedade de processamento dos documentos em duplicado, destinando‑se o original ao cliente e a cópia ao arquivo do fornecedor. De forma geral, são sujeitos passivos do imposto as pessoas singulares ou coletivas que, de um modo independente e com caráter de habitualidade, exerçam atividades de produção, comércio ou prestação de serviços.
© FCA
O Decreto‑Lei n.º 28/2019, de 15 de fevereiro, obriga os sujeitos passivos de imposto a emitir as faturas, obrigatoria e exclusivamente, através de programas informáticos de faturação que tenham sido objeto de prévia certificação pela Autoridade Tributária e Aduaneira (AT), com algumas exclusões previstas. O referido Decreto‑Lei “tem como objetivos essenciais promover a simplificação legislativa e conferir uma maior segurança jurídica aos contribuintes, consolidando e atualizando legislação dispersa relativa ao processamento — 115 —
Programas de Faturação Certificados
de faturas e de outros documentos fiscalmente relevantes, bem como harmonizando regras divergentes em matéria de conservação de documentos, para efeitos de imposto sobre o valor acrescentado” (Decreto‑Lei n.º 28, 2019). Este Decreto‑Lei criou as condições para a “Fatura sem papel”, prevendo a possibilidade de dispensa de impressão de faturas. Por um lado, foram criadas as condições para a desmaterialização de documentos, incentivando a adoção de um sistema de faturação eletrónica e de arquivo eletrónico de documentos, permitindo às organizações uma redução dos custos com o cumprimento das obrigações fiscais, estimulando o desenvolvimento e a utilização de novos instrumentos tecnológicos, por parte das organizações, incorporando uma filosofia de inovação e desburocratização. Para este efeito, é introduzida uma reforma substancial das regras aplicáveis ao arquivo de livros, registos, bases de dados e documentos de suporte da contabilidade. A Portaria n.º 363/2010, de 23 de junho, do Ministério das Finanças e da Administração Pública, que regulamenta a certificação prévia dos programas informáticos de faturação, no seu preâmbulo já defendia que a utilização crescente de sistemas de processamento eletrónico de dados, nomeadamente, para faturação da transmissão de bens ou de prestações de serviços, acarretava inegáveis vantagens em termos de celeridade do tratamento da informação. Foi uma solução inovadora e única no mundo, desenvolvida em Portugal, para fazer face às novas formas de evasão fiscal que surgiram com a crescente informatização dos sistemas de faturação. A certificação dos programas de faturação depende da verificação cumulativa de vários requisitos e mecanismos de controlo, entre eles, possuir um controlo do acesso ao sistema informático e a possibilidade de exportar o ficheiro Standard Audit File for Tax Purposes – Versão Portuguesa (SAF‑T (PT)). O SAF‑T (PT) é um ficheiro normalizado, em formato Extensible Markup Language (XML), de auditoria tributária e adoção obrigatória pelas aplicações de faturação, com o objetivo de permitir uma exportação fácil, e em qualquer al‑ tura, de um conjunto predefinido de registos contabilísticos e/ou documentos fiscalmente relevantes, num “formato legível e comum, independentemente do programa utilizado, sem afetar a estrutura interna da base de dados do pro‑ grama ou a sua funcionalidade” (AT, 2019b). Porém, este ficheiro deve ser assinado pelos programas informáticos certifica‑ dos, utilizando o mesmo algoritmo de cifra assimétrica Rivest‑Shamir‑Adleman (RSA), que definiu o sistema de identificação da gravação do registo dos documentos (Portaria n.º 363, 2010). Todavia, neste caso, com um conjunto de informação contida no ficheiro SAF‑T (PT), por exemplo: total de documentos — 116 —
7
Boas‑práticas para Produtores e Utilizadores de Programas Informáticos de Faturação
Neste capítulo, será apresentado um conjunto de boas‑práticas que permitirá apoiar o processo de seleção para aquisição, adequação de um existente, ou desenvolvimento de um programa informático de faturação, em conformidade com os pressupostos essenciais e requisitos aplicáveis, em matéria fiscal. A implementação de um arquivo eletrónico também é abordada, como forma de diminuir a exposição ao risco de perda de arquivo, especialmente o estabelecido em suporte de papel.
© FCA
As boas‑práticas apresentadas estão segmentadas em sete secções: 1.ª secção – Cópias de segurança: apresenta‑se o que deve ser consi‑ derado no estabelecimento de políticas de cópias de segurança, o que a política deve incluir e a responsabilidade de inicialização das cópias de segurança; 2.ª secção – Inoperacionalidade do programa: apresentam‑se as boas ‑práticas que permitem a identificação do estado de inoperacionalidade do programa, a decisão sobre a reposição de cópias de segurança e como proceder na eventualidade de ser necessária a reposição de informação perdida. São também consideradas alternativas para quando o programa for declarado como inoperacional; 3.ª secção – Controlo de acesso: descreve‑se o que se considera que o programa deve disponibilizar, relativamente ao controlo de acessos, e de que forma o controlo pode aumentar a segurança de informação, em relação a alterações aos dados usados pelo programa informático de faturação e à chave privada, necessária para assinar documentos fiscalmente relevantes; 4.ª secção – Impressão de faturas: apresentam‑se considerações sobre a importância da emissão, em duplicado, dos documentos fiscalmente relevantes e sobre os suportes de impressão a utilizar; — 145 —
Programas de Faturação Certificados
5.ª secção – Emissão por via eletrónica: elencam‑se as vantagens da emissão de documentos fiscalmente relevantes por via eletrónica. Refere‑se o que deve ser considerado na implementação da emissão por via eletrónica; 6.ª secção – Exportação do ficheiro Standard Audit File for Tax Purposes - Versão Portuguesa (SAF‑T (PT)): apresenta‑se a importância do ficheiro de auditoria SAF‑T (PT) e boas‑práticas para a sua correta utilização, bem como as diferenças entre o ficheiro autónomo e‑fatura e o ficheiro SAF‑T (PT), especialmente do ponto de vista da Continuidade de Negócio (CN); 7.ª secção – Arquivo eletrónico: salienta‑se a importância que tem na CN, na recuperação em caso de desastre e na capacidade de transpor o arquivo documental em papel para um arquivo eletrónico. Assim, serão abordadas boas‑práticas a considerar na implementação do sistema de arquivo eletrónico e digitalização dos documentos em suporte de papel.
7.1 Boas-práticas: Cópias de Segurança De acordo com a ISO/IEC 27001:2013, as cópias de segurança têm o objetivo de proteger a informação, o software e as imagens do sistema, para que não ocorra nenhuma perda de dados. As cópias de segurança devem ser efetuadas e testadas regularmente, conforme a política definida para o efeito (ISO/IEC 27001:2013). Nesta política, é conveniente definir os requisitos para proteção e retenção, e disponibilizar os recursos adequados para a criação de cópias de segurança, de forma a garantir que toda a informação e o software essenciais possam ser recuperados, após um desastre. A ISO/IEC 27002:2013 refere que os procedimentos de operação devem ser documentados e disponibilizados a todos os utilizadores que necessitem deles. Assim, devem ser preparados procedimentos documentados para as atividades operacionais associadas a recursos de processamento de comunicação e informação, tais como procedimentos de criação de cópias de segurança, manutenção de equipamentos, tratamento de dispositivos de media, segurança e gestão das salas de computadores.
7.1.1 Porquê Estabelecer as Políticas de Cópias de Segurança? O estabelecimento e manutenção de políticas de cópias de segurança permite que a organização responda a incidentes, que interferem nos seus processos — 146 —
Anexo A Níveis de Classificação Tier
Os data centers classificados como Tier I surgiram no início dos anos 60. Os sites Tier II datam dos anos 70 e os Tier III apareceram entre o final dos anos 80 e o início dos anos 90. Finalmente, os data centers Tier IV surgiram em 1994. O Uptime Institute participou na organização dos conceitos de sites Tier III e foi pioneiro no desenvolvimento dos data centers Tier IV (Bezerra, 2019). Apresentam‑se as características dos quatro níveis Tier, de forma a apoiar a tomada de decisão, de acordo com a capacidade da organização, no momento de contratualização de serviços de data center.
A.1 Tier I: Básico Trata‑se de um data center sem componentes redundantes e com um ramo de distribuição (elétrica e outros sistemas e subsistemas) não redundante para assistir os equipamentos de Tecnologias de Informação e Comunicação (TIC) do site (Uptime Institute, 2019). É apropriado para pequenos negócios, especialmente aqueles em que a utili‑ zação das TIC pode introduzir melhorias de desempenho, principalmente, nos processos de negócio internos.
© FCA
Segundo o Uptime Institute (2019), as características do Tier I são as seguintes: Suscetível a interrupções por atividades planeadas e não planeadas; Possui um ramo único de distribuição de alimentação elétrica, bem como para o sistema de climatização sem componentes redundantes; Possui um ramo único de distribuição de alimentação elétrica, bem como um único sistema de climatização, sem componentes redundantes; Pode ter, ou não, Uninterruptible Power Supply (UPS) e grupos geradores. É um sistema de módulos simples e apresenta vários pontos individuais de falha; Anualmente, a infraestrutura deve ser completamente desligada para realização de serviços de manutenção preventiva e corretiva; — 227 —
Programas de Faturação Certificados
Situações de emergência podem necessitar de shutdowns mais frequentes; Erros de operação e falhas espontâneas na infraestrutura do data center podem ocorrer, e levarão à interrupção da operação do mesmo e à indisponibilidade de serviços.
A.2 Tier II: Componentes Redundantes para Infraestrutura do Site Estes data centers apresentam componentes redundantes, porém, com um ramo único de distribuição (elétrica e outros sistemas e subsistemas) para dis‑ ponibilizar aos equipamentos de TIC (Uptime Institute, 2019). Apropriados para pequenos negócios cujos requisitos de TIC sejam, maioritariamente, limitados às horas de expediente tradicionais, permitem o shutdown de sistema durante as “horas em que não existe expediente”. Exemplos são empresas comerciais de investigação e desenvolvimento com software que não possuam, de modo geral, obrigações de assistência online ou em tempo real e empresas baseadas na Internet sem penalidades financeiras graves pelos compromissos de quali‑ dade de serviço. Segundo o Uptime Institute (2019), as características do Tier II são as seguintes: Uma falha num componente pode causar impactos na operação dos equipamentos de TIC; Uma falha no ramo de distribuição elétrica pode causar o shutdown dos equipamentos de TIC; É um site suscetível a interrupções por atividades planeadas; Módulos UPS redundantes e grupos geradores devem fazer parte da infraestrutura de alimentação elétrica deste ambiente; Anualmente, deve ser efetuado o shutdown total da infraestrutura do site, para serviços de manutenção preventiva e corretiva; Situações de emergência podem necessitar de um shutdown mais frequente; Falhas na execução de serviços de manutenção aumentam os riscos de interrupções não planeadas, assim como a gravidade das consequências das falhas; Erros espontâneos de operação de componentes da infraestrutura do site podem causar interrupção dos serviços do data center.
— 228 —