GRC e Continuidade de

Negócios

Claudio Basso

claudio.basso@sionpc.com.br

• Governança

um atributo de administração dos negócios que procura criar um nível

adequado de transparência através da definição clara de

mecanismos de tomada de decisão e gestão que irão garantir a

aderência aos processos e políticas estabelecidas.

• COSO (Committee of Sponsoring

Organizations of the Treadway Commission),

• ITIL (Information Technology Infrastructure Library)

• COBIT (Control Objectives for Information

and related Technology)

• Riscos

pode ser entendido como o processo pelo qual uma empresa define

seu apetite de risco, identifica os impactos potenciais e prioriza os

limites de tolerância ao risco baseada nos objetivos de negócio.

• ISO 31000,

• ISO 27005,

• ISO 27001,

• ABNT NBR 15999 (BS 25999),

• BS 25777

• Conformidade

é o processo que estabelece meios de registro e monitoramento de

procedimentos, políticas e controles necessários para demonstrar

aderência a requerimentos legais, políticas internas ou

regulamentações setoriais.• SOX (Sarbanes Oxley)

• BASELII (Basiléia II)

• Regulamentações setoriais específicas

(Susep 380, 363, 285, 327,

344 entre outras)

ITIL

COBIT ABNT NBR 15999

ISO 27001Susep

?

• Operam de forma isolada (não conversam entre si)

• Canalizam esforços para os mesmos objetivos:

• duplicando processos e

• desperdiçando recursos.

• Dificultam a compreensão do assunto em torno de

conceito único.

Fonte: www.oceg.org

Componente

Elemento

Princípios

Fontes Comuns de Falha

Praticas

TI a ser utilizada

(Sistemas ou Infra)

Passos para Implementar a GRC

1. Definir o escopo

2. Identificar leis, regulamentações e melhores práticas a serem

atendidas

3. Identificar os frameworks necessários

4. Agregar as ações já realizadas

5. Criar o modelo de integração, colaboração e escala

Benefícios

- Identifica impactos de uma interrupção antes da sua ocorrência;

- Provê respostas efetivas;

- Melhora a capacidade de administrar riscos;

- Melhora o trabalho entre equipes;

- Incrementa a reputação;

- Cria vantagens competitivas através da capacidade demostrada

em manter a entrega.

- Sistemas de gestão compatível com outras normas disponíveis

no mercado (ISO 9001 e ISO 27001).

Norma ABNT NBR 15999 (BS 25999)

Resultados

- Identifica e protege produtos e serviços críticos;

- Ativa a capacidade de gestão de incidentes;

- Melhora a auto-compreensão da organização e

suas relações com outras organizações;

- Capacita as pessoas para responder eficazmente

ante um incidente;

- Controla a cadeia de fornecedores da organização;

- Protege a reputação da organização;

- Cumpre com obrigações legais e regulamentares.

Norma ABNT NBR 15999 (BS 25999)

Escopo e AplicaçãoABNT NBR 15999-1 Código de Prática

• Establecer processos, princípios e terminologia para GCN;

• O propósito é estabelecer uma base para o entendimento, desenvolvimento e

implementacão de continuidade de negócio dentro de uma organização e para prover

confiança em como esta se relaciona com seus clientes e outras organizações.

• A norma provê uma base para boas práticas de GCN.

ABNT NBR 15999-2 Especificações

• Especifica requisitos para planejamento, estabelecimento, implementação,

operação, monitoramento, análise, exercícios, manutenção e melhora de um

Sistema de Gestão de Continuidade de Negócios;

• Genérica e aplicável para todo tipo e porte de organização;

• Pode ser utilizada para avaliar a efetividade do sistema pela própria organização

ou por terceiras partes, incluindo organismos de certificação.

ABNT NBR 15999-2 Especificações

Requisitos

ABNT NBR 15999-1 Código de Prática

Requisitos

de Sistemas

de Gestão(ações corretivas e

preventivas,

auditoria, etc)

Práticas

não

auditáveis(sugestões,

comentários,

guias, etc)

Normas ABNT NBR 15999 - Partes 1 e 2

ABNT NBR 15999-2 EspecificaçõesABNT NBR 15999-1 Código de Prática

Modelo de Gestão

Normas ABNT NBR 15999 - Partes 1 e 2

Fonte: www.oceg.org

Fonte: www.oceg.org

Alcançar Objetivos de Negócio

Reforçar a Cultura Organizacional

Aumentar da confiança das partes interessadas

Preparar e proteger a organização

(resiliência organizacional)

Prevenir, Detectar e Reduzir Adversidades

Motivar e Inspirar Conduta desejada

Melhorar a Resposta e Eficiência

Otimizar o Valor Econômico e Social

Conclusões

• A GCN não deve ser apenas mais um Processo dentro da Cadeia de

Valor das organizações, mais sim um “Ingrediente” dos Produtos e

Serviços oferecidos ao mercado.

• A GCN somente será compreendida e eficaz quando atender às áreas

de Governança, Riscos e Conformidade, principalmente se integradas

através da GRC, e aos objetivos da estratégia organizacional.

Obrigado!