Gestão de riscos abnt sp-15999-1_3jun2008
-
Upload
amirahamia -
Category
Education
-
view
270 -
download
2
description
Transcript of Gestão de riscos abnt sp-15999-1_3jun2008
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Gestão de Riscos: Realidade no Brasil e desenvolvimento da nova ISO 31000
© C
opyr
ight
–M
ódul
o
Alberto Bastos, CISSP, MCSOCoordenador CEE Gestão de [email protected]
Comitê Especial de Gestão de Riscos - ABNT
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
sO que é risco?O que é risco?
© C
opyr
ight
–M
ódul
o
efeito da incerteza efeito da incerteza nos objetivosnos objetivos
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Visão do Risco
“Nunca na história tivemos “Nunca na história tivemos tão formidável tecnologia. tão formidável tecnologia. Todo o avanço científico Todo o avanço científico conhecido pela humanidade conhecido pela humanidade foi incorporado no projeto. foi incorporado no projeto.
© C
opyr
ight
–M
ódul
o
foi incorporado no projeto. foi incorporado no projeto. Os controles operacionais Os controles operacionais são a prova de falhas!”são a prova de falhas!”
E.J. Smith, Captain of the TitanicE.J. Smith, Captain of the Titanic
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
sSupervalorizar o risco, acaba por desacreditá-lo.
Subestimar o risco, abre a guarda ao fracasso!
© C
opyr
ight
–M
ódul
o
guarda ao fracasso!
“A Empresa com Alma”Francisco Gomes de Matos
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Visão do Risco
© C
opyr
ight
–M
ódul
o
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
sGestão de Riscos nas organizaçõesGestão de Riscos nas organizações
© C
opyr
ight
–M
ódul
o
Atividades coordenadas para dirigir e controlar uma
organização com relação ao risco.
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
S&P estimula corretoras a investir em ERM
São Paulo, 15 de Maio de 2008São Paulo, 15 de Maio de 2008
“A importância do gerenciamento de risco ganhou “A importância do gerenciamento de risco ganhou um novo estímulo. A Standard & Poor‘s, agência um novo estímulo. A Standard & Poor‘s, agência internacional de rating, divulgou que a partir internacional de rating, divulgou que a partir
© C
opyr
ight
–M
ódul
o
internacional de rating, divulgou que a partir internacional de rating, divulgou que a partir do terceiro trimestre de 2008 irá passar a do terceiro trimestre de 2008 irá passar a considerar o ERM (Enterprise Risk Management) considerar o ERM (Enterprise Risk Management) em seus critérios de ratings.”em seus critérios de ratings.”
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Riscos Corporativos
•• Os riscos de uma empresa vão muito além Os riscos de uma empresa vão muito além do risco de acidentes com incêndio, roubo do risco de acidentes com incêndio, roubo e perdas com transporte. É preciso pensar e perdas com transporte. É preciso pensar nos riscos que podem comprometer a nos riscos que podem comprometer a sustentabilidade da organização como sustentabilidade da organização como
© C
opyr
ight
–M
ódul
o
sustentabilidade da organização como sustentabilidade da organização como danos causados ao meio ambiente, danos causados ao meio ambiente, reputação, logística, risco político e até reputação, logística, risco político e até mesmo de auditorias.mesmo de auditorias.
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Riscos mais temidos
Pesquisa realizada pela Aon com 320 Pesquisa realizada pela Aon com 320 executivos de diversos executivos de diversos segmentos, em 29 países, revelou segmentos, em 29 países, revelou que o risco mais temido pelas que o risco mais temido pelas corporações é "danos à reputação corporações é "danos à reputação da empresa". O segundo risco da empresa". O segundo risco
© C
opyr
ight
–M
ódul
o da empresa". O segundo risco da empresa". O segundo risco potencial foi a interrupção de potencial foi a interrupção de negócios e o terceiro maior risco negócios e o terceiro maior risco foi o de responsabilidade civil, foi o de responsabilidade civil, potencializado pela globalização.potencializado pela globalização.
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Quebra de imagem e reputação
O governo chinês fechou uma O governo chinês fechou uma revista que publicou um revista que publicou um ensaio de fotos de modelos ensaio de fotos de modelos em lingerie com bandagens em lingerie com bandagens ensangüentadas posando no ensangüentadas posando no meio dos prédios demolidos meio dos prédios demolidos pelo terremoto que atingiu a pelo terremoto que atingiu a província de Sichuan e deixou província de Sichuan e deixou mais de 65 mil mortos . O mais de 65 mil mortos . O
© C
opyr
ight
–M
ódul
o
mais de 65 mil mortos . O mais de 65 mil mortos . O governo poderá permitir que governo poderá permitir que a revista volte a operar no a revista volte a operar no futuro, argumentando que a futuro, argumentando que a redação inteira não deveria redação inteira não deveria ser culpada pelo erro ser culpada pelo erro editorial de apenas alguns editorial de apenas alguns profissionais da chefia. profissionais da chefia.
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Normas internacionaisNormas
internacionais © C
opyr
ight
–M
ódul
o
internacionaisinternacionais
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Seguros
Compliance
Gestão de Riscos Corporativos
© C
opyr
ight
–M
ódul
o
TI
Estratégia
SMS
Modelos isolados Integração
ERMERM
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
COSO: Enterprise Risk Management (ERM)
© C
opyr
ight
–M
ódul
o
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
O que é norma?
É um documento estabelecido por consenso e aprovado por É um documento estabelecido por consenso e aprovado por
um organismo reconhecido, que fornece, para uso comum um organismo reconhecido, que fornece, para uso comum
e repetitivo, regras, diretrizes ou características para e repetitivo, regras, diretrizes ou características para
atividades ou seus resultados, visando à obtenção de um atividades ou seus resultados, visando à obtenção de um
© C
opyr
ight
–M
ódul
o
atividades ou seus resultados, visando à obtenção de um atividades ou seus resultados, visando à obtenção de um
grau ótimo de ordenação em um dado contexto.grau ótimo de ordenação em um dado contexto.
Definição internacional Definição internacional -- Fonte: ABNTFonte: ABNT
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
O uso de Normas Brasileiras é obrigatório?
As Normas Brasileiras são desenvolvidas e utilizadas voluntariamente. As Normas Brasileiras são desenvolvidas e utilizadas voluntariamente.
Elas tornamElas tornam--se obrigatse obrigatóórias somente quando explicitadas em um rias somente quando explicitadas em um
instrumento do Poder Pinstrumento do Poder Púúblico (lei, decreto, portaria, normativa, blico (lei, decreto, portaria, normativa,
etc) ou quando citadas em contratos. etc) ou quando citadas em contratos.
Entretanto, mesmo não sendo obrigatEntretanto, mesmo não sendo obrigatóórias, as normas são rias, as normas são
© C
opyr
ight
–M
ódul
o
Entretanto, mesmo não sendo obrigatEntretanto, mesmo não sendo obrigatóórias, as normas são rias, as normas são
sistematicamente adotadas em questões judiciais por conta do sistematicamente adotadas em questões judiciais por conta do
Inciso VIII do Art. 39 do CInciso VIII do Art. 39 do Cóódigo de Defesa do Consumidor.digo de Defesa do Consumidor.
Fonte: ABNTFonte: ABNT
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
O Desafio da Linguagem Única
•• ISO Guide 73: Risk Management ISO Guide 73: Risk Management -- VocabularyVocabulary•• ISO 31000: Risk Management ISO 31000: Risk Management –– Principles and Guidelines on Principles and Guidelines on
implementationimplementation•• China Meeting China Meeting –– Dez/2007Dez/2007•• Singapura Meeting Singapura Meeting –– Dez/2008Dez/2008
© C
opyr
ight
–M
ódul
o
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
ISO 31000 Gestão de Riscos - Framework
© C
opyr
ight
–M
ódul
o
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
ISO 31000Gestão de Riscos - Processo
© C
opyr
ight
–M
ódul
o
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
ISO 31000Gestão de Riscos – 11 Princípios
1.1.1.1. Criar valorCriar valorCriar valorCriar valor
2.2.2.2. Ser parte integrante dos processos da organizaçãoSer parte integrante dos processos da organizaçãoSer parte integrante dos processos da organizaçãoSer parte integrante dos processos da organização
3.3.3.3. Ser parte do processo decisórioSer parte do processo decisórioSer parte do processo decisórioSer parte do processo decisório
4.4.4.4. Tratar a incerteza explicitamenteTratar a incerteza explicitamenteTratar a incerteza explicitamenteTratar a incerteza explicitamente
5.5.5.5. Ser sistemática e estruturadaSer sistemática e estruturadaSer sistemática e estruturadaSer sistemática e estruturada
6.6.6.6. BasearBasearBasearBasear----se se se se nananana melhormelhormelhormelhor informaçãoinformaçãoinformaçãoinformação possívelpossívelpossívelpossível
© C
opyr
ight
–M
ódul
o
6.6.6.6. BasearBasearBasearBasear----se se se se nananana melhormelhormelhormelhor informaçãoinformaçãoinformaçãoinformação possívelpossívelpossívelpossível
7.7.7.7. Ser Ser Ser Ser customizávelcustomizávelcustomizávelcustomizável
8.8.8.8. ConsiderarConsiderarConsiderarConsiderar osososos fatoresfatoresfatoresfatores humanoshumanoshumanoshumanos
9.9.9.9. Ser Ser Ser Ser transparentetransparentetransparentetransparente e e e e incluirincluirincluirincluir as as as as partespartespartespartes interessadasinteressadasinteressadasinteressadas
10.10.10.10.Ser Ser Ser Ser dinâmicadinâmicadinâmicadinâmica, , , , iterativaiterativaiterativaiterativa e responder a e responder a e responder a e responder a mudançasmudançasmudançasmudanças
11.11.11.11.Ser Ser Ser Ser continuamentecontinuamentecontinuamentecontinuamente melhoradamelhoradamelhoradamelhorada
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Cronograma
InternationalInternationalStandardStandard
Final Draft ISFinal Draft IS
Final CDFinal CD
Publicação!Publicação!
2009 2009 -- GenebraGenebra
2008 2008 -- SingapuraSingapura
© C
opyr
ight
–M
ódul
o
Committee DraftCommittee Draft
Working DraftWorking Draft
New ProposalNew Proposal
2007 2007 -- ChinaChina
2007 2007 –– OttawaOttawa2006 2006 –– Sidney e VienaSidney e Viena
2005 2005 -- TokyoTokyo
Study PeriodStudy Period
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Série ISO/IEC 27000
© C
opyr
ight
–M
ódul
o
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
COBITPO9 - Avaliação e Gestão de Riscos em TI
34 processos de TI, sendo um deles específico para Avaliação e Gestão dos Riscos de TI (PO9).
© C
opyr
ight
–M
ódul
o
Objetivos de Controle Detalhados:
PO9.1 IT Risk Management FrameworkPO9.2 Establishment of Risk ContextPO9.3 Event IdentificationPO9.4 Risk AssessmentPO9.5 Risk ResponsePO9.6 Maintenance & Monitoring of a Risk Action Plan
Objetivos de Controle Detalhados:
PO9.1 IT Risk Management FrameworkPO9.2 Establishment of Risk ContextPO9.3 Event IdentificationPO9.4 Risk AssessmentPO9.5 Risk ResponsePO9.6 Maintenance & Monitoring of a Risk Action Plan
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
ABNT NBR 15999Gestão de Continuidade de Negócios
• NBR 15999-1:2007– Lançada em 30/outubro
– Código de Prática
– Norma BS 25999-1:2006
- Publicada em Dez/2006
© C
opyr
ight
–M
ódul
o
• BS 25999-2:2007
(certificação)
- Publicada em set/2007
- NBR (em andamento)
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
ISO/DIS 13824
© C
opyr
ight
–M
ódul
o
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Participação Brasileira
•• CEETCEET –– GestãoGestão de de RiscosRiscos– NBR ISO Guia 73
•• Participação no WG Participação no WG onon RMRM– Sidney, Vienna, Ottawa e Sanya
– 120 comentários– ~70% considerados
© C
opyr
ight
–M
ódul
o – ~70% considerados– Número redondo: ISO 31000
•• GruposGrupos de de TrabalhoTrabalho– Gestão de Continuidade de Negócios
• NBR 15999-1
– Risco como oportunidade– Riscos em Projetos
•• LiasionLiasion CB21 CB21 –– ISO 27005ISO 27005
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Linguagem Única – ISO Guia 73
GESTÃO DE RISCOS (3.1.7) ANÁLISE E AVALIAÇÃO DE RISCOS (3.3.1)
•• Um dos desafios da implementação da estrutura de Um dos desafios da implementação da estrutura de gerenciamento de riscos é manter uma linguagem única gerenciamento de riscos é manter uma linguagem única com a operação, a ISO Guia 73 é um bom caminho, com a operação, a ISO Guia 73 é um bom caminho, inclusive por estar integrado à Legislação brasileira.inclusive por estar integrado à Legislação brasileira.
© C
opyr
ight
–M
ódul
o
ANÁLISE DE RISCOS (3.3.2) IDENTIFICAÇÃO DE FONTES (3.3.4) ESTIMATIVA DE RISCOS (3.3.5)
AVALIAÇÃO DE RISCOS (3.3.6) TRATAMENTO DO RISCO (3.4.1)
AÇÃO DE EVITAR O RISCO (3.4.6) OTIMIZAÇÃO DO RISCO (3.4.3) TRANSFERÊNCIA DO RISCO (3.4.7)
RETENÇÃO DO RISCO (3.4.9) ACEITAÇÃO DO RISCO (3.4.10)
COMUNICAÇÃO DO RISCO (3.2.4)
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Lançamento do Handbook para Gestão de Riscos Positivos
© C
opyr
ight
–M
ódul
o
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
AS/NZS 4360
Risk is the chance of something happening that will
have an impact on objectives.
© C
opyr
ight
–M
ódul
o
ThreatsOpportunities
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
TendênciasTendências
© C
opyr
ight
–M
ódul
o
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Fé X Confiança
Santo Isidoro de Sevilha NBR ISO 27001
© C
opyr
ight
–M
ódul
o
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
“Deus Todo Poderoso, que nos criou à Vossa imagem e nos “Deus Todo Poderoso, que nos criou à Vossa imagem e nos indicou o caminho do bem, do verdadeiro e do belo, indicou o caminho do bem, do verdadeiro e do belo, especialmente na pessoa divina de Vosso Filho Unigênito, especialmente na pessoa divina de Vosso Filho Unigênito, Nosso Senhor Jesus Cristo, permitiNosso Senhor Jesus Cristo, permiti--nos que, pela intercessão nos que, pela intercessão de Santo Isidoro, bispo e doutor, durante nossas navegações de Santo Isidoro, bispo e doutor, durante nossas navegações pela Internet, dirijamos nossas mãos e nossos olhos apenas pela Internet, dirijamos nossas mãos e nossos olhos apenas
Oração para antes de seconectar à Internet
© C
opyr
ight
–M
ódul
o pela Internet, dirijamos nossas mãos e nossos olhos apenas pela Internet, dirijamos nossas mãos e nossos olhos apenas àquelas coisas que Vos sejam aprazíveis e que tratemos com àquelas coisas que Vos sejam aprazíveis e que tratemos com caridade e paciência todas aquelas almas que encontrarmos caridade e paciência todas aquelas almas que encontrarmos pelo caminho. Por Cristo Nosso Senhor, Amem. Santo Isidoro, pelo caminho. Por Cristo Nosso Senhor, Amem. Santo Isidoro, rogai por nós!” rogai por nós!”
Santo Santo IsidoroIsidoro de de SevilhaSevilha, 4 de , 4 de abrilabril
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
•• InformalidadeInformalidade– Ações Heróicas– “Apagar incêndios”– Baseada em Talentos– Conflito de atribuições– Falta de Controle– Soluções desintegradas
•• Normas e PadrõesNormas e Padrões– Processos documentados– Foco na prevenção– Requisitos definidos– Responsabilidades estabelecidas– Indicadores– Otimização de Investimentos
Gestão de Riscos
© C
opyr
ight
–M
ódul
o
– Soluções desintegradas– Ênfase em tecnologia
– Otimização de Investimentos– Ênfase em gestão
Processo de Maturidade
Gestão de Riscos
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
ISO 27001 – Certificados por País
© C
opyr
ight
–M
ódul
o
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s©
Cop
yrig
ht –
Mód
ulo
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Primeiro Banco certificado BS 25999 no mundo!
© C
opyr
ight
–M
ódul
o
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Chief Risk Office
© C
opyr
ight
–M
ódul
o
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Convergência
© C
opyr
ight
–M
ódul
o
Governance + Risk + Compliance
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Modelo Integrado GRC
Gestão
EmpresarialSegurança da
Informação
Segurança
PatrimonialFuncionários
Fornecedores
Governança
Corporativa
Agências
reguladoras
Riscos
© C
opyr
ight
–M
ódul
o Patrimonial
Gestão
de Riscos
Auditoria
TIO & M
Áreas de
Negócio
ControlesInternos
Compliance
Riscos
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Automação da Gestão de Riscos
•• Aumentar a produtividade da equipeAumentar a produtividade da equipe•• Informações centralizadasInformações centralizadas•• Processo estruturado e replicávelProcesso estruturado e replicável
© C
opyr
ight
–M
ódul
o
•• Padronização e DocumentaçãoPadronização e Documentação•• Registros e EvidênciasRegistros e Evidências•• Relatórios, gráficos e consultasRelatórios, gráficos e consultas•• Coleta automática de informaçõesColeta automática de informações•• Continuidade e Histórico dos riscosContinuidade e Histórico dos riscos
Mód
ulo
-20
07 -
Tod
os o
s D
ireito
s R
eser
vado
s
Obrigado!Por favor enviem também suasperguntas e sugestões por email!
© C
opyr
ight
–M
ódul
o
Alberto BastosAlberto Bastos
[email protected]@modulo.com.br