Palestra sobre as relações entre Compliance e Continuidade de Negócios

1ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.

Consultoria ı Ferramentas ı Capacitação

Continuidade de Negócios eCompliance

Agos

to/2

015


Apresentações

Sidney R. Modenesi• Gerente da STROHL Brasil; • ISO 22301 BSI Technical Expert,

2013;• Certificado MBCI pelo BCI em

2006;• Mais de 25 anos de experiência

em DRP/BCM;• Instrutor internacional de BCM

(ISO 22301, 22313 & outras);• Representante do BCI - Business

Continuity Institute no Brasil.br.linkedin.com/in/sidneymodenesimbci/

STROHL Brasil• Empresa brasileira;• 15 anos auxiliando as

organizações a continuarem os seus negócios;

• Experiência comprovada em inúmeras indústrias;

• Consultoria, treinamento e software para GCN;

• Representante Autorizada da Sungard Availability Services

www.sungardas.com/Pages/default.aspx

22


Agenda

• O que é Continuidade de Negócios – C.N.;• O que é Compliance;• As relações entre elas;• Perguntas e Respostas;• Encerramento.

3


O QUE É:CONTINUIDADE DE NEGÓCIOSCOMPLIANCE


Continuidade de Negócios

• Definição conforme norma ABNT NBR 22301:2013 Segurança da sociedade — Sistema de gestão de continuidade de negócios — Requisitos

• “capacidade da organização de continuar a entrega de produtos ou serviços em um nível aceitável previamente definido após incidentes de interrupção.”

5



Series1

6

Incidente de interrupção


Compliance

• é o conjunto de disciplinas para fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa, bem como evitar, detectar e tratar qualquer desvio ou inconformidade que possa ocorrer.

• O termo compliance tem origem no verbo em inglês to comply, que significa agir de acordo com uma regra, uma instrução interna, um comando ou um pedido.

7


Compliance

• Com as atividades de compliance, qualquer possível desvio em relação à política interna é identificado e evitado. Com isso, sócios e investidores têm a segurança de que suas aplicações e orientações serão detalhadamente geridas segundo as diretrizes.

• A partir de meados da década de 90, todas as organizações públicas e privadas passaram a adotar o compliance como uma de suas regras mais primárias e fundamentais para a transparência de suas atividades.

8


LEIS, DECRETOS E REGULAMENTAÇÕESRELACIONADOS À CONTINUIDADE DE NEGÓCIOS

10ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. 10

SUSEP – Circular nº 285

• Vigência em 21/05/2005;

Dispõe:• 4. Plano de Continuidade das Operações

(Contingência/Emergência): 4.1. Indicar plano resumido de continuidade das operações

em situações de contingência e emergência. 4.2. Apresentar resultados do último teste do plano de

continuidade de operações. 4.3. Informar programação dos próximos testes do plano de

continuidade de operações. 4.4. Caso ainda não exista um plano formalizado de

continuidade de operações, informar se existe previsão para sua implementação.


BACEN - Resolução 3380

• Dispõe sobre a implementação de estrutura de gerenciamento do Risco Operacional (Basiléia II): Vigência: 29/06/2006;

VI - existência de plano de contingência contendo as estratégias a serem adotadas para assegurar condições de continuidade das atividades e para limitar graves perdas decorrentes de risco operacional;

VII - implementação, manutenção e divulgação de processo

estruturado de comunicação e informação.

11


DECRETO Nº 6.523, 31/07/08 – Lei do SAC• Art. 5. O SAC estará disponível,

ininterruptamente, durante vinte e quatro horas por dia e sete dias por semana, ressalvado o disposto em normas específicas.

• Art. 19. A inobservância das condutas descritas neste Decreto ensejará aplicação das sanções previstas no art. 56 da Lei no 8.078, de 1990, sem prejuízo das constantes dos regulamentos específicos dos órgãos e entidades reguladoras.

• Parágrafo único. A multa será em montante não inferior a duzentas e não superior a três milhões de vezes o valor da Unidade Fiscal de Referência (UFIR), ou índice equivalente que venha a substituí-lo. (Parágrafo acrescentado pela Lei nº 8.703, de 6.9.1993)

12

http://www.planalto.gov.br/ccivil_03/LEIS/L8078.htm






E Muitas Outras

• SOX, JSOX ...

• Cada empresa deve sistematicamente revisar e avaliar todas as leis, normas, regulamentações ou itens regulatórios a que está sujeita.(ISO 22301- 4.2.2 Requisitos legais e regulatórios)

13


Portanto

• A organização DEVE: Ter um processo para revisar e avaliar

sistematicamente todas as leis, normas, regulamentações ou itens regulatóriosa que está sujeita;

Endereçá-las dentro da organização; Desenvolver políticas e diretrizes para

o negócio e para as suas atividades; E evitar, detectar e tratar qualquer desvio

ou inconformidade que possa ocorrer.

14


Compliance


CONCEITOS BÁSICOS DE CONTINUIDADE DE NEGÓCIOS


Ciclo Básico da C.N.

Patrocínio executivo

Inserção nacultura

Identificar os riscos

Quantificar os impactos

Definir estratégiasApetite ao

Risco

Desenvolver planos de

contingência

Testar e manter pronto

16


Riscos

17

Na infraestruturapredial

Na infraestruturade TIC

Em segurançada informação

No quadro decolaboradores

E na cadeia de fornecedores


Riscos Interrupções Impactos

18


Impactos

• Financeiros Perda de receita Multas Fluxo de caixa

• Operacionais Perda de clientes Market share Danos a imagem

• Regulatórios Multas Penalidades

19

Dia 0 Dia 1 Dia 2 Dia 3 Dia 4 Dia 5 Dia 6 Dia 14 Dia 21 Dia 28 > Dia 28

0

5,000

10,000

15,000

20,000

25,000

30,000Custos com aluguel de pallets

Perda não repassar aumento preço

Perda de Vendas

Perda de Juros no Fluxo de Caixa

Perda de Descontos Comerciais

Perda de Clientes

Penalidades Pag. Atrasado Fornec.

Penalidades Contratuais/Multas

Pedidos Cancel. Atraso Entrega

Juros Pagos sobre Emprestimos

Disponibilidade de Fundos


tempo

perdasfinanceiras eoperacionais

Investimento emprevenção e contingência

R$

APETITE AO RISCO

t0t1< t0

< Apetite ao Riscot2 > t0

> Apetite ao Risco

R$

Estratégia deRecuperação

20


Planos deContinuidade deNegócios

Descreve como um produto, serviço ou processo será reiniciado e operado, num local alternativo, com poucas pessoas e recursos, num determinado tempo e nível de serviço estabelecidos(Estratégia de Recuperação).

21


Testar eManter pronto

Exercícios, testes e manutenção contínua.Assegurar que toda a infraestrutura e documentação de recuperação está atualizada e será eficaz na eventualidade da sua utilização.

22


Patrocínio executivoInserção na cultura

ComprometimentoConscientização

ExercíciosAtualização

Recuperação

23

+


CONTROLES


Controles

• Controle pode ser: Uma ou várias políticas; Um ou vários procedimentos; Um ou vários equipamentos; Ou ainda uma combinação de todos acimaque eliminam ou reduzem a probabilidade da ocorrência de um determinado risco, ou ainda reduzem os impactos decorrentes da materialização do risco, ao qual o(s) controle(s) foi(ram) aplicado(s), alinhado ao apetite ao risco assumido.

25


Fluxo de Implantação

26

Riscos Risco aceito?

Monitorar o risco

Implantar controles

Risco residual aceito?

Implantar GCN

sim sim

Act Plan

DoCheck


Exemplo 1 – Risco Incêndio

• Controles aplicáveis: Detectores de fumaça (R$ 1,00); Detectores de partículas (R$ 10,00); Detectores VESDA (R$ 100,00); Sprinklers, hidrantes, extintores; Brigadas de emergência; Treinamento contínuo das brigadas, brigadistas e

colaboradores em geral; Procedimento de abandono do local de trabalho; Ponto de encontro e contagem das pessoas ...

27


Exemplo 2 – Risco Seg. da Informação

• Controles aplicáveis: Política corporativa de seg. da informação; Restrição de perfis e acessos; Senhas fortes; Mesa, tela e impressora limpas; Antivírus sempre atualizado; Restrição de acesso a sites potencialmente

perigosos; Bloqueio de mídias removíveis; Grupo de Resposta a Ataques – GRA; Hacker ético ...

28


POR QUE PRATICAR ACONTINUIDADE DE NEGÓCIOS E COMPLIANCE


Independente do que possa ter acontecido é necessário manter

serviços e produtos críticos operando num determinado nível de serviço.

A PREPARAÇÃO É FUNDAMENTAL!E preparação está muito relacionada a Compliance.

30


Enchentes

3131


Mudanças Climáticas

32

Tornado em Indaiatuba/SP – 24/05/05


Incidentes nas Proximidades

33

Desabamento

Vazamento Tóxico


Perda de Capital IntelectualDesastres Aéreos

Vôo 3054 da TAM

Vôo 1907 da GOL


Desastres Aéreos

Helicóptero da TV Record

Pouso forçado na Via Anchieta


Acidentes Naturais

Um tremor de terra de 5,2 graus na escala Richter foi sentido no final da noite desta terça-feira (22) em São Paulo, Paraná e Rio de Janeiro. De acordo com o Observatório Sismológico da Universidade de Brasília (UnB) o tremor ocorreu a 270 km de São Paulo, às 21h e durou cerca de cinco segundos. O epicentro foi localizado no Oceano Atlântico. Segundo Jorge Sand, coordenador do observatório da UnB, essa região tem uma atividade sísmica grande por ser uma plataforma continental, com interfaces de regiões mais densas e menos densas.

Editoria de arte/G1O tremor foi sentido em vários pontos da capital paulista e de cidades do interior e do litoral. Sand acredita que as cidades de São Vicente, a 74 km de São Paulo, e São José dos Campos, a 91 km da capital paulista, também tenham sentido os efeitos do tremor. No Paraná, o tremor foi sentido em Curitiba e em São José dos Pinhais. Não há registros de danos em imóveis e nem de feridos.

Tremor de terra atinge SP, PR e RJ - 22/04/08


Movimentos SociaisPacíficos ou não

Greves e/ou passeatas

Invasões


Falhas de Infra-Estrutura

38

Um transformador explodiu em um dos datacenters do provedor de hospedagem

The Planet, um dos maiores do mundo. Sua Unidade H1, em Houston, Texas sofreu um

princípio de incêndio, 3 paredes demolidas e danos no sistema de alimentação de energia.

Como havia risco de incêndio os bombeiros comandaram o desligamento dos geradores,

que entraram em ação automaticamente.

Apagões

9.000 Servidores Fora do Ar02/06/08

http://www.theplanet.com/


Pandemias e EpidemiasGripe Aviária, H1N1, Dengue, Febre Chikungunya, Ebola ...

39


Perguntas

Sidney R. ModenesiMBCI, BSI ISO 22301 Technical [email protected]@thebci.com.br+55 11 5583-0033br.linkedin.com/in/sidneymodenesimbci

4040

mailto:[email protected]



Palestra sobre as relações entre Compliance e Continuidade de Negócios

Technology

Transcript of Palestra sobre as relações entre Compliance e Continuidade de Negócios