Este documento discute os conceitos de governança, gestão de riscos e compliance (GRC) e como eles estão relacionados. O documento fornece uma introdução sobre os benefícios da abordagem GRC e como ela pode ajudar as organizações a gerenciar melhor os riscos e atender aos requisitos regulatórios.
1. GRC - Governando a TI (Governança), com sabedoria (Gestão
de Riscos) e como todos esperam (Compliance)
Gustavo Lens Minarelli
Gerente de Projetos
CGEIT, ITIL, ISO27001 Lead Auditor,
COBIT, ISMAS
gustavo.minarelli@gmail.com
• Quais são os mistérios que envolvem este novo tema?
• Quais os benefícios de cada uma destas disciplinas, tão importantes na Gestão Moderna dos
investimentos em tecnologia nas organizações.
• Como é possível fazer com que a estratégia de TI faça parte da estratégia de negócios?
• Dicas para que os novos profissionais ganhem destaque nesta nova ordem do mercado, e para que os
mais experientes aproveitem esta nova oportunidade!
2. Agenda
O que é GRC, qual sua importância?
O cenário nas empresas?
Governança
Gestão de Riscos
Compliance
Esta bem, como fazer GRC?
3. Como estamos hoje?
A tendência (o mais fácil) é que nos agarremos a
pedaços de informações sem uma análise do
quadro maior
Atacamos os meios, sem método e às vezes sem
nem mesmo conhecer o problema.
4. As metas das
Entregar valor
organizações para os negócios
Com um risco
aceitável
Gerenciando com
eficiência
Com uso
eficiente de
recursos
5. Como saber se esta Quem define o que
é valor são as
tudo bem? partes
interessadas
Quem aceita os
riscos são as partes
interessadas
Quem define o que é
gerenciar
corretamente são as
partes interessadas
Quem dá os
recursos
necessários são as
partes interessadas
6. Como a maior parte das
organizações estão hoje?
Tentamos nos agarrar a metodologia isoladas,
em busca de uma solução mágica para os
problemas das organizações
7. Frameworks, padrões, modelos, …
PCI-DSS
COBIT 4.1 ISO/IEC 27001 eSCM
BASEL II
NIST 800-53 BS 7799
ISO Guide 73
ISO 15408 ANS RN 114
ITIL
ISO DIS 31000
CMM COSO BITS
ISO 3WD 25700
BS 25999:1 2006
AS/NZS 4360
HIPAA BC 3380 FISMA BS 25999
ISO/IEC 17799 ISO/IEC TR 13335
BC 2553
ISO/IEC 27005
8. Frameworks, padrões, modelos, …
Assim, vivemos uma época em que
esta sendo necessário gerenciar os
negócios com um pé no acelerador
e outro no freio
....mas, acelerar continua
sendo a prioridade das
empresas
9. Uma constatação do óbvio
O método é um instrumento
para resolver problemas e não
a solução em si
10. Renascença
Época de
mudanças
•Intelecto
•Assimilação de
conhecimento
•Estruturas sociais
•Educação
•Arte
•Ciência
20. Benefícios do GRC
• Valor das ações
• Confiabilidade e o prestígio da organização
• Fraudes
• Perdas (ex: multas, incidentes operacionais)
• fidelidade dos acionistas, sócios, direção, colaboradores, parceiros ,
fornecedores....
• Competitividade, melhorando a capacidade da organização tomar decisões
rápidas e certeiras
• Melhora a comunicação na empresa, aumentando a confiança e a “boa vontade”
• Promove a sustentabilidade da empresa
- Transparência
- Manutenção dos ideais com (Confiança e Integridade)
- Responsabilidade da organização com a sociedade
21. E Você no GRC?
• Mude a forma de pensar
• Faça os outros mudarem
também (seja um agente da mudança)
• Aproveite as oportunidade que estão surgindo
• Ganhe respeito e prestígio
• Faça os deveres do dia-a-dia
• Mantenha equilíbrio entre detalhe (micro) e a
estratégia (macro)
• Planeje-se seja realista no curto prazo e visionário no
longo prazo
26. Governança de TI
Definição MIT
“Especificação dos direitos decisórios e do
framework de responsabilidades para estimular
comportamentos desejáveis na área de TI.”
Governança de TI trata de três questões:
Quais decisões devem ser tomadas para garantir a
gestão e o uso eficazes de TI?
Quem deve tomar estas decisões?
Como estas decisões serão tomadas e
monitoradas?
27. Governança de TI
Paralelo com Governança Corporativa
Conselho de Administração Governança
Comitê de TI
CEO, CFO, Usuários
Serviços Objetivos de
CIO Resultados Negócios
Equipe de TI
Gestão
28. Governança de TI
Paralelo com Governança Corporativa
Acionistas Governança
Assembléia
Conselho de Administração
Transparência Direcionamento
CEO Resultados Alinhamento
Organização Gestão
29. Referência para TI: Cobit 4
CobiT é reconhecido mundialmente e
adotado como referência por muitas
empresas como um modelo de
referência para a Governança de TI
30. Framework Cobit
Auxilia na inclusão da estratégia de TI na estratégia de
negócios;
Tem a missão de atender aos objetivos de negócio;
Organiza TI através de um modelo amplamente
aceitável;
Identifica recursos de TI necessários;
Ajuda a definir objetivos de controle que precisam ser
implementados.
31. BUSINESS OBJECTIVES AND
GOVERNANCE OBJECTIVES
C O B I T
ME1 Monitor and evaluate IT F RAMEWO R K PO1 Define a strategic IT plan.
performance. INFORMATION PO2 Define the information
ME2 Monitor and evaluate internal
architecture.
control.
Efficiency Integrity PO3 Determine technological
ME3 Ensure compliance with
Effectiveness Availability direction.
external requirements.
Compliance PO4 Define the IT processes,
ME4 Provide IT governance. Confidentiality
Reliability organization and relationships.
PO5 Manage the IT investment.
MONITOR PLAN
PO6 Communicate management
AND AND aims and direction.
EVALUATE ORGANISE PO7 Manage IT human resources.
IT PO8 Manage quality.
DS1 Define and manage service
levels.
RESOURCES PO9 Assess and manage IT risks.
DS2 Manage third-party services. PO10 Manage projects.
DS3 Manage performance and
capacity.
DS4 Ensure continuous service. Applications
DS5 Ensure systems security. Information AI1 Identify automated solutions.
DS6 Identify and allocate costs. Infrastructure AI2 Acquire and maintain
DS7 Educate and train users. DELIVER People ACQUIRE application software.
DS8 Manage service desk and AND AND AI3 Acquire and maintain
incidents. SUPPORT IMPLEMENT technology infrastructure.
DS9 Manage the configuration. AI4 Enable operation and use.
DS10 Manage problems. AI5 Procure IT resources.
DS11 Manage data. AI6 Manage changes.
DS12 Manage the physical AI7 Install and accredit solutions
environment. and changes.
DS13 Manage operations.
32. Cobit
O Cobit é composto por
34 processos de TI,
sendo que um deles é Além disso, para
específico para tratar da satisfazer os objetivos
Information Criteria
Avaliação e Gestão dos de negócios, a
Riscos de TI (PO9). Effectiveness informação precisa
IT Process Efficiency atender critérios de
Confidentiality controle, que o COBIT
Integrity refere como requisitos
Availability do negócio para a
Business Requirement Compliance informação.
Reliability
Control Approach
IT Resources
IT Processes Applications
Domains
Consideration Information
Processes
• ……………………………
Activities Infrastructure
• ……………………………
• ……………………..…….. People
34. Integração de TI com os Negócios
Visão do CobiT
Balanced ScoreCard, Planejamento
Estratégico
Objetivos de Negocios
CobiT 4
CobiT 4
Objetivos de TI
Procesos de TI
Maturidade
40. Falta um vínculo entre o conselho, diretoria
e as unidades de negócio
Conselho
Executivo
41. Falta um vínculo entre o conselho, diretoria
e as unidades de negócio
Pessoas
Conselho
Executivo
Tecnologia
Processos
42. Oportunidades para o GRC
Conselhos de Unidades de
administração Negócios
• Não estabelece o tom para a gestão • Não relacionam a Gestão de Riscos aos
de riscos. objetivos estratégicos
• Não entende a gestão de riscos como • Não identificam ou avaliam completamente os
vantagem competitiva. riscos relacionados a compliance, leis e
regulamentações
• Tem mínima participação nas
discussões sobre risco da organização • Permanecem identificando, apenas, riscos
“técnicos”
• Possuem pouca visibilidade da Gestão
de Riscos das organizações. • Só cumprem, não avaliam
• Não comunica expectativas a respeito • Só controlam, não avaliam
dos riscos para a gerencia executiva
52. Riscos Vs Governança de TI (Cobit)
efeito
efeito
for Business
efeito
evento achieving Objectives
i to
Business
Processes efeito
Information
provide
IT Resources
and Processes
Exemplo de riscos em TI (adaptado do COBIT)
53. COSO/ERM
Enterprise Risk Management
- COSO/ERM – The Committee of
Sponsoring Organizations /
Enterprise Risk Management
- Framework de Gestão de
Riscos Empresariais (ERM –
Enterprise Risk Management)
- Concebido inicialmente para
atender instituições financeiras
através da avaliação de controle
internos,
- Expandido para a gestão de
riscos operacionais de qualquer
natureza
54. COSO/ERM - Enterprise Risk Management
4 categorias de objetivos
ISO 31000
8 componentes
interrelacionados
55. Desafio de uma linguagem
comum
• ISO Guide 73: Risk Management - Vocabulary
• ISO 31000: Risk Management – Principles and Guidelines on
implementation
56. ISO31000 – Gestão de Riscos
Processo de Gestão de Riscos: Aplicação sistemática de políticas de gestão,
procedimentos e práticas para as atividades de comunicação, consulta, definição de
contexto, identificação, análise, avaliação, tratamento, monitoração e análise crítica
referentes ao risco.
57. Principais desafios da Gestão de
Riscos
- Escassez de informações
- Estatísticas inexistentes
- Controles e indicadores inadequados ao
contexto dos eventos
- Dificuldades em estimar probabilidades e
impacto
58. Compliance
Governança
Gestão de
Compliance
Riscos
61. Série ISO 27000
Norma Descrição Estágio
27000 Visão Geral e Vocabulário FDIS
Requisitos de Sistemas de Gestão de Segurança Publicada
27001 da Informação 2005
Código de prática para Gestão da Segurança da Publicada
27002 Informação 2005
Diretrizes para Implementação de Sistemas de
27003 Gestão de Segurança da Informação DIS
Métricas de Sistemas de Gestão de Segurança da
27004 Informação DIS
Publicada
27005 Gestão de Riscos de Segurança da Informação 2008
Requisitos para Acreditação das Partes - Publicada
27006 Sistemas de Gestão de Segurança da Informação 2007
Diretrizes para auditar Sistemas de Gestão de
27007 Segurança da Informação WD
69. Por exemplo:
Cartão de Crédito – Padrão de Segurança
Payment Card Industry - Data Security Standard
www.pcisecuritystandards.org/
70. Motivadores
(Gazeta do Povo) Quadrilha presa lucrava R$ 20 milhões por mês com cartões clonados
http://portal.rpc.com.br/gazetadopovo/vidaecidadania/conteudo.phtml?id=818455
72. PROCESSOS DE NEGÓCIO
SISTEMAS CHAVE
PROGRAMA DE COMPLIANCE
INVENTARIAR ANALIZAR RISCO AVALIAR RISCO TRATAR RISCOS
• Estabelecer políticas e objetivos claros
• Implementar e auditar políticas, responsabilidades, processos e procedimentos
• Implementar correções e ações preventivas, mantendo a conformidade
• Evitar retrabalho, realizando ações integradas para analisar as conformidades
CULTURA ORGANIZACIONAL
73. As metas das
Entregar valor
organizações para os negócios
Com um risco
aceitável
Gerenciando com
eficiência
Com uso
eficiente de
recursos
74. Como saber se esta Quem define o que
é valor são as
tudo bem? partes
interessadas
Quem aceita os
riscos são as partes
interessadas
Quem define o que é
gerenciar
corretamente são as
partes interessadas
Quem dá os
recursos
necessários são as
partes interessadas
75. Deixe de lado o papel de “Cavaleiro
do Apocalípse, pense em 360º
76. Comprometimento
• GRC afeta toda a organização (TI e Não-TI)
• O sucesso de um programa estruturado de GRC depende do
comprometimento do alto escalão (governança)
• Não basta só o comprometimento, mas é necessário também o
envolvimento das principais áreas envolvidas (governança)
• Uma das formas de começar é:
• Coletar métricas sobre as não conformidades (compliance)
• Identificar benefícios gerais para os negócios (risco)
• Identificar e quantificar o Risco das não conformidades para o negócio
(risco)
• Quais as potenciais perdas que serão evitadas (risco)?
• Quais os principais ganhos que as melhorias proporcionaram?! (risco)
77. Comprometimento
• Envolva clientes e fornecedores na sua iniciativa, elas
também são interessadas em ajudá-lo a promover a
iniciativa na sua organização
• Uma consultoria (opinião isenta) poderá ajudá-lo no
esforço de conscientização interno
• Estabeleça um fórum e um comitê de
acompanhamento do programa de conformidade
• Evite a tentação de assumir o papel de “mensageiro do
apocalipse”
78. Mude o foco
• Atingimos 150 controles implementados de 599 possíveis
• .......
• Estamos protegendo nossos clientes
• Estamos mantendo a operação da nossa organização
• Reduzimos a fraudes com cartão de crédito!
• Estamos garantindo a rentabilidade dos nossos negócios
Se o seu problema for apenas atingir o “compliance” terá dificuldades
de vender o seu projeto para a sua organização
79. Mude o foco
A decisão final é sempre da alta gerência
A menos que sejam subsidiados de informação lógica e racional
sobre o porque eles precisam assumir uma determinada direção,
eles não assumirão
Auxilie o seu executivo a comparar o (até agora) seu problema com
outros problemas que estão na agenda da empresa
Você poderá até conseguir investimentos apenas
com o argumento de “should be compliance” mas
será o suficiente para investir em 10 cadeados para
laptops
80. Foque nas oportunidades
• Ganhos financeiros com a otimização
dos processo
• Criação de um diferencial competitivo
• Aumento das vendas
• Valorização da marca
• ....
81. Ex: Compliance com PCI
Quando uma empresa tem dados confidenciais roubados sofre
imediatamente impactos…….
• Financeiros – Multas, ressarcimento
• Código Civil - sanções legais
• Perda de credibilidade / Reputação / Imagem
• Redução de valor de suas ações
• Perda de mercado
- Os clientes NÃO COMPRAM se não se sentirem seguros
• Redução no valor de seus serviços
- Os cliente pagam mais por transações seguras!
82. Lembre-se que GRC significa
INTEGRAÇÃO
• Ganhe parceria de outros projetos na sua organização
• Não reinvente a roda
• Aproveite controles já existentes, você não precisa ter um controle
diferente para cada FRAMEWORK existente no mercado
• Invista na parceria com outras áreas de controle ou auditoria
interna da organização que tenham objetivos semelhantes aos
seus
83. Entenda como você está
Inicial/ Repetitivo/ Gerenciado y
Inexistente Definido Optimizado
Ad Hoc Intuitivo Medido
0 1 2 3 4 5
83
85. Analisar os riscos para os
objetivos dos negócios
IT Goals Vs IT Processes Vs
Business Goals
Feito com:
86. Analisar diferenças entre o estado atual e
o desejado e implementar práticas de
controle
Alta
Alta
Criticidade
Mejorar
Analisar
Observar possivel
Baja
Baja
desperdício
Baja Alta Baja Alta
Maturidade Maturidade
87. Implementando GRC – “Quick Wins”
Gestão de Continuidade
dos Negocios
Gestão de Riscos
Governança
Workflow e Painel de
Controle (Dashboard)
Requisitos Legais e Gap Analysis
Regulatórios (Cobit, ISO 27000,
BS 25999, ...)
Implementação de
Políticas
88. Lembre-se: TI é parte integral da estratégica
de negócio
Negócios/ Visão Executiva /
Processos
Sistemas /
Serviços
Ativos
89. GRC - Governando a TI (Governança), com sabedoria (Gestão
de Riscos) e como todos esperam (Compliance)
Gustavo Lens Minarelli
Gerente de Projetos
CGEIT, ITIL, ISO27001 Lead Auditor,
COBIT, ISMAS
gustavo.minarelli@gmail.com
• Quais são os mistérios que envolvem este novo tema?
• Quais os benefícios de cada uma destas disciplinas, tão importantes na Gestão Moderna dos
investimentos em tecnologia nas organizações.
• Como é possível fazer com que a estratégia de TI faça parte da estratégia de negócios?
• Dicas para que os novos profissionais ganhem destaque nesta nova ordem do mercado, e para que os
mais experientes aproveitem esta nova oportunidade!