GRC - Palestra Gf 12nov2009

1.326 visualizações

Publicada em

Palestra para grupo de alunos e professores da Universidade Gama Filho - Rio de Janeiro

Aborda os principais aspectos da Governança, Risco e Compliance nas organizações, estuda a integração de temas como Governança em TI, Gestão de Serviços, ITIL, COBIT, PMBOK, dentre outros assuntos emergentes no mundo de tecnologia da informação e sua gestão.

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
1.326
No SlideShare
0
A partir de incorporações
0
Número de incorporações
29
Ações
Compartilhamentos
0
Downloads
55
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

GRC - Palestra Gf 12nov2009

  1. 1. GRC - Governando a TI (Governança), com sabedoria (Gestão de Riscos) e como todos esperam (Compliance) Gustavo Lens Minarelli Gerente de Projetos CGEIT, ITIL, ISO27001 Lead Auditor, COBIT, ISMAS gustavo.minarelli@gmail.com • Quais são os mistérios que envolvem este novo tema? • Quais os benefícios de cada uma destas disciplinas, tão importantes na Gestão Moderna dos investimentos em tecnologia nas organizações. • Como é possível fazer com que a estratégia de TI faça parte da estratégia de negócios? • Dicas para que os novos profissionais ganhem destaque nesta nova ordem do mercado, e para que os mais experientes aproveitem esta nova oportunidade!
  2. 2. Agenda O que é GRC, qual sua importância? O cenário nas empresas? Governança Gestão de Riscos Compliance Esta bem, como fazer GRC?
  3. 3. Como estamos hoje? A tendência (o mais fácil) é que nos agarremos a pedaços de informações sem uma análise do quadro maior Atacamos os meios, sem método e às vezes sem nem mesmo conhecer o problema.
  4. 4. As metas das Entregar valor organizações para os negócios Com um risco aceitável Gerenciando com eficiência Com uso eficiente de recursos
  5. 5. Como saber se esta Quem define o que é valor são as tudo bem? partes interessadas Quem aceita os riscos são as partes interessadas Quem define o que é gerenciar corretamente são as partes interessadas Quem dá os recursos necessários são as partes interessadas
  6. 6. Como a maior parte das organizações estão hoje? Tentamos nos agarrar a metodologia isoladas, em busca de uma solução mágica para os problemas das organizações
  7. 7. Frameworks, padrões, modelos, … PCI-DSS COBIT 4.1 ISO/IEC 27001 eSCM BASEL II NIST 800-53 BS 7799 ISO Guide 73 ISO 15408 ANS RN 114 ITIL ISO DIS 31000 CMM COSO BITS ISO 3WD 25700 BS 25999:1 2006 AS/NZS 4360 HIPAA BC 3380 FISMA BS 25999 ISO/IEC 17799 ISO/IEC TR 13335 BC 2553 ISO/IEC 27005
  8. 8. Frameworks, padrões, modelos, … Assim, vivemos uma época em que esta sendo necessário gerenciar os negócios com um pé no acelerador e outro no freio ....mas, acelerar continua sendo a prioridade das empresas
  9. 9. Uma constatação do óbvio O método é um instrumento para resolver problemas e não a solução em si
  10. 10. Renascença Época de mudanças •Intelecto •Assimilação de conhecimento •Estruturas sociais •Educação •Arte •Ciência
  11. 11. .... e de conflitos
  12. 12. Oportunidade!
  13. 13. Ameaça!
  14. 14. O que é GRC? Governança Gestão de Compliance Riscos
  15. 15. Uma nova onda “GRC é uma das principais prioridades dos negócios”
  16. 16. Objetivos de Controle de TI para atender Sarbanes Oxley
  17. 17. E agora?
  18. 18. Situação atual das organizações Ilhas organizacionais e funcionais Fonte: Open Compliance & Ethics Group
  19. 19. GRC: Situação desejavel IT Fonte: Open Compliance & Ethics Group
  20. 20. Benefícios do GRC • Valor das ações • Confiabilidade e o prestígio da organização • Fraudes • Perdas (ex: multas, incidentes operacionais) • fidelidade dos acionistas, sócios, direção, colaboradores, parceiros , fornecedores.... • Competitividade, melhorando a capacidade da organização tomar decisões rápidas e certeiras • Melhora a comunicação na empresa, aumentando a confiança e a “boa vontade” • Promove a sustentabilidade da empresa - Transparência - Manutenção dos ideais com (Confiança e Integridade) - Responsabilidade da organização com a sociedade
  21. 21. E Você no GRC? • Mude a forma de pensar • Faça os outros mudarem também (seja um agente da mudança) • Aproveite as oportunidade que estão surgindo • Ganhe respeito e prestígio • Faça os deveres do dia-a-dia • Mantenha equilíbrio entre detalhe (micro) e a estratégia (macro) • Planeje-se seja realista no curto prazo e visionário no longo prazo
  22. 22. Governança de TI Governança Gestão de Compliance Riscos
  23. 23. Algumas referências
  24. 24. Modelo ISO 38500
  25. 25. Modelo ISO 38500
  26. 26. Governança de TI Definição MIT “Especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na área de TI.” Governança de TI trata de três questões: Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes de TI? Quem deve tomar estas decisões? Como estas decisões serão tomadas e monitoradas?
  27. 27. Governança de TI Paralelo com Governança Corporativa Conselho de Administração Governança Comitê de TI CEO, CFO, Usuários Serviços Objetivos de CIO Resultados Negócios Equipe de TI Gestão
  28. 28. Governança de TI Paralelo com Governança Corporativa Acionistas Governança Assembléia Conselho de Administração Transparência Direcionamento CEO Resultados Alinhamento Organização Gestão
  29. 29. Referência para TI: Cobit 4 CobiT é reconhecido mundialmente e adotado como referência por muitas empresas como um modelo de referência para a Governança de TI
  30. 30. Framework Cobit Auxilia na inclusão da estratégia de TI na estratégia de negócios; Tem a missão de atender aos objetivos de negócio; Organiza TI através de um modelo amplamente aceitável; Identifica recursos de TI necessários; Ajuda a definir objetivos de controle que precisam ser implementados.
  31. 31. BUSINESS OBJECTIVES AND GOVERNANCE OBJECTIVES C O B I T ME1 Monitor and evaluate IT F RAMEWO R K PO1 Define a strategic IT plan. performance. INFORMATION PO2 Define the information ME2 Monitor and evaluate internal architecture. control. Efficiency Integrity PO3 Determine technological ME3 Ensure compliance with Effectiveness Availability direction. external requirements. Compliance PO4 Define the IT processes, ME4 Provide IT governance. Confidentiality Reliability organization and relationships. PO5 Manage the IT investment. MONITOR PLAN PO6 Communicate management AND AND aims and direction. EVALUATE ORGANISE PO7 Manage IT human resources. IT PO8 Manage quality. DS1 Define and manage service levels. RESOURCES PO9 Assess and manage IT risks. DS2 Manage third-party services. PO10 Manage projects. DS3 Manage performance and capacity. DS4 Ensure continuous service. Applications DS5 Ensure systems security. Information AI1 Identify automated solutions. DS6 Identify and allocate costs. Infrastructure AI2 Acquire and maintain DS7 Educate and train users. DELIVER People ACQUIRE application software. DS8 Manage service desk and AND AND AI3 Acquire and maintain incidents. SUPPORT IMPLEMENT technology infrastructure. DS9 Manage the configuration. AI4 Enable operation and use. DS10 Manage problems. AI5 Procure IT resources. DS11 Manage data. AI6 Manage changes. DS12 Manage the physical AI7 Install and accredit solutions environment. and changes. DS13 Manage operations.
  32. 32. Cobit O Cobit é composto por 34 processos de TI, sendo que um deles é Além disso, para específico para tratar da satisfazer os objetivos Information Criteria Avaliação e Gestão dos de negócios, a Riscos de TI (PO9). Effectiveness informação precisa IT Process Efficiency atender critérios de Confidentiality controle, que o COBIT Integrity refere como requisitos Availability do negócio para a Business Requirement Compliance informação. Reliability Control Approach IT Resources IT Processes Applications Domains Consideration Information Processes • …………………………… Activities Infrastructure • …………………………… • ……………………..…….. People
  33. 33. PO9 – Avaliação e Gestão de Riscos em TI
  34. 34. Integração de TI com os Negócios Visão do CobiT Balanced ScoreCard, Planejamento Estratégico Objetivos de Negocios CobiT 4 CobiT 4 Objetivos de TI Procesos de TI Maturidade
  35. 35. Business Goals X IT Goals
  36. 36. IT Goals X IT Processes
  37. 37. Gestão de Riscos Governança Gestão de Compliance Riscos
  38. 38. O que é risco? “ efeito das incertezas nos objetivos”
  39. 39. Risco: Ameaça ou Oportunidade
  40. 40. Falta um vínculo entre o conselho, diretoria e as unidades de negócio Conselho Executivo
  41. 41. Falta um vínculo entre o conselho, diretoria e as unidades de negócio Pessoas Conselho Executivo Tecnologia Processos
  42. 42. Oportunidades para o GRC Conselhos de Unidades de administração Negócios • Não estabelece o tom para a gestão • Não relacionam a Gestão de Riscos aos de riscos. objetivos estratégicos • Não entende a gestão de riscos como • Não identificam ou avaliam completamente os vantagem competitiva. riscos relacionados a compliance, leis e regulamentações • Tem mínima participação nas discussões sobre risco da organização • Permanecem identificando, apenas, riscos “técnicos” • Possuem pouca visibilidade da Gestão de Riscos das organizações. • Só cumprem, não avaliam • Não comunica expectativas a respeito • Só controlam, não avaliam dos riscos para a gerencia executiva
  43. 43. Apetite ao risco
  44. 44. Quais são os riscos? Conhecemos nossos riscos?
  45. 45. Quais são os riscos?
  46. 46. Ameaças de Fraude - Integridade
  47. 47. Ameaças de Sabotagem - Disponibilidade
  48. 48. O pior risco... O pior risco é não ter uma gestão de riscos adequada
  49. 49. Quais são os riscos?
  50. 50. Análise de causa-efeito Fonte: Wikipedia
  51. 51. Árvore de decisão
  52. 52. Riscos Vs Governança de TI (Cobit) efeito efeito for Business efeito evento achieving Objectives i to Business Processes efeito Information provide IT Resources and Processes Exemplo de riscos em TI (adaptado do COBIT)
  53. 53. COSO/ERM Enterprise Risk Management - COSO/ERM – The Committee of Sponsoring Organizations / Enterprise Risk Management - Framework de Gestão de Riscos Empresariais (ERM – Enterprise Risk Management) - Concebido inicialmente para atender instituições financeiras através da avaliação de controle internos, - Expandido para a gestão de riscos operacionais de qualquer natureza
  54. 54. COSO/ERM - Enterprise Risk Management 4 categorias de objetivos ISO 31000 8 componentes interrelacionados
  55. 55. Desafio de uma linguagem comum • ISO Guide 73: Risk Management - Vocabulary • ISO 31000: Risk Management – Principles and Guidelines on implementation
  56. 56. ISO31000 – Gestão de Riscos Processo de Gestão de Riscos: Aplicação sistemática de políticas de gestão, procedimentos e práticas para as atividades de comunicação, consulta, definição de contexto, identificação, análise, avaliação, tratamento, monitoração e análise crítica referentes ao risco.
  57. 57. Principais desafios da Gestão de Riscos - Escassez de informações - Estatísticas inexistentes - Controles e indicadores inadequados ao contexto dos eventos - Dificuldades em estimar probabilidades e impacto
  58. 58. Compliance Governança Gestão de Compliance Riscos
  59. 59. Fé vs Confiança Santo Isidoro de Sevilla Patrono da Internet ISO 27001 vs
  60. 60. Serie ISO/IEC 27000
  61. 61. Série ISO 27000 Norma Descrição Estágio 27000 Visão Geral e Vocabulário FDIS Requisitos de Sistemas de Gestão de Segurança Publicada 27001 da Informação 2005 Código de prática para Gestão da Segurança da Publicada 27002 Informação 2005 Diretrizes para Implementação de Sistemas de 27003 Gestão de Segurança da Informação DIS Métricas de Sistemas de Gestão de Segurança da 27004 Informação DIS Publicada 27005 Gestão de Riscos de Segurança da Informação 2008 Requisitos para Acreditação das Partes - Publicada 27006 Sistemas de Gestão de Segurança da Informação 2007 Diretrizes para auditar Sistemas de Gestão de 27007 Segurança da Informação WD
  62. 62. Adoção da ISO27001 no mundo Pag.62
  63. 63. ISO/IEC 27005 Gestão de Riscos para Segurança da Informação Pag.63
  64. 64. Visão Integrada COSO COBIT ISO 17799 ISO 9000 O QUÊ ITIL COMO Escopo de cobertura Fonte: Introductory COBIT Presentation - ISACA
  65. 65. COBIT e outros frameworks 65
  66. 66. Sarbanes-Oxley Act (SOX) Fonte: Revista CIO
  67. 67. Por exemplo: ISO 27001 e SOX 67
  68. 68. Por exemplo: Basilea II Eventos de Risco Operacionais e CobiT 68
  69. 69. Por exemplo: Cartão de Crédito – Padrão de Segurança Payment Card Industry - Data Security Standard www.pcisecuritystandards.org/
  70. 70. Motivadores (Gazeta do Povo) Quadrilha presa lucrava R$ 20 milhões por mês com cartões clonados http://portal.rpc.com.br/gazetadopovo/vidaecidadania/conteudo.phtml?id=818455
  71. 71. Como integrar tudo isso? 71
  72. 72. PROCESSOS DE NEGÓCIO SISTEMAS CHAVE PROGRAMA DE COMPLIANCE INVENTARIAR ANALIZAR RISCO AVALIAR RISCO TRATAR RISCOS • Estabelecer políticas e objetivos claros • Implementar e auditar políticas, responsabilidades, processos e procedimentos • Implementar correções e ações preventivas, mantendo a conformidade • Evitar retrabalho, realizando ações integradas para analisar as conformidades CULTURA ORGANIZACIONAL
  73. 73. As metas das Entregar valor organizações para os negócios Com um risco aceitável Gerenciando com eficiência Com uso eficiente de recursos
  74. 74. Como saber se esta Quem define o que é valor são as tudo bem? partes interessadas Quem aceita os riscos são as partes interessadas Quem define o que é gerenciar corretamente são as partes interessadas Quem dá os recursos necessários são as partes interessadas
  75. 75. Deixe de lado o papel de “Cavaleiro do Apocalípse, pense em 360º
  76. 76. Comprometimento • GRC afeta toda a organização (TI e Não-TI) • O sucesso de um programa estruturado de GRC depende do comprometimento do alto escalão (governança) • Não basta só o comprometimento, mas é necessário também o envolvimento das principais áreas envolvidas (governança) • Uma das formas de começar é: • Coletar métricas sobre as não conformidades (compliance) • Identificar benefícios gerais para os negócios (risco) • Identificar e quantificar o Risco das não conformidades para o negócio (risco) • Quais as potenciais perdas que serão evitadas (risco)? • Quais os principais ganhos que as melhorias proporcionaram?! (risco)
  77. 77. Comprometimento • Envolva clientes e fornecedores na sua iniciativa, elas também são interessadas em ajudá-lo a promover a iniciativa na sua organização • Uma consultoria (opinião isenta) poderá ajudá-lo no esforço de conscientização interno • Estabeleça um fórum e um comitê de acompanhamento do programa de conformidade • Evite a tentação de assumir o papel de “mensageiro do apocalipse”
  78. 78. Mude o foco • Atingimos 150 controles implementados de 599 possíveis • ....... • Estamos protegendo nossos clientes • Estamos mantendo a operação da nossa organização • Reduzimos a fraudes com cartão de crédito! • Estamos garantindo a rentabilidade dos nossos negócios Se o seu problema for apenas atingir o “compliance” terá dificuldades de vender o seu projeto para a sua organização
  79. 79. Mude o foco A decisão final é sempre da alta gerência A menos que sejam subsidiados de informação lógica e racional sobre o porque eles precisam assumir uma determinada direção, eles não assumirão Auxilie o seu executivo a comparar o (até agora) seu problema com outros problemas que estão na agenda da empresa Você poderá até conseguir investimentos apenas com o argumento de “should be compliance” mas será o suficiente para investir em 10 cadeados para laptops
  80. 80. Foque nas oportunidades • Ganhos financeiros com a otimização dos processo • Criação de um diferencial competitivo • Aumento das vendas • Valorização da marca • ....
  81. 81. Ex: Compliance com PCI Quando uma empresa tem dados confidenciais roubados sofre imediatamente impactos……. • Financeiros – Multas, ressarcimento • Código Civil - sanções legais • Perda de credibilidade / Reputação / Imagem • Redução de valor de suas ações • Perda de mercado - Os clientes NÃO COMPRAM se não se sentirem seguros • Redução no valor de seus serviços - Os cliente pagam mais por transações seguras!
  82. 82. Lembre-se que GRC significa INTEGRAÇÃO • Ganhe parceria de outros projetos na sua organização • Não reinvente a roda • Aproveite controles já existentes, você não precisa ter um controle diferente para cada FRAMEWORK existente no mercado • Invista na parceria com outras áreas de controle ou auditoria interna da organização que tenham objetivos semelhantes aos seus
  83. 83. Entenda como você está Inicial/ Repetitivo/ Gerenciado y Inexistente Definido Optimizado Ad Hoc Intuitivo Medido 0 1 2 3 4 5 83
  84. 84. Verificar conformidade com as regulamentações ex: Cobit Vs Sox Feito com:
  85. 85. Analisar os riscos para os objetivos dos negócios IT Goals Vs IT Processes Vs Business Goals Feito com:
  86. 86. Analisar diferenças entre o estado atual e o desejado e implementar práticas de controle Alta Alta Criticidade Mejorar Analisar Observar possivel Baja Baja desperdício Baja Alta Baja Alta Maturidade Maturidade
  87. 87. Implementando GRC – “Quick Wins” Gestão de Continuidade dos Negocios Gestão de Riscos Governança Workflow e Painel de Controle (Dashboard) Requisitos Legais e Gap Analysis Regulatórios (Cobit, ISO 27000, BS 25999, ...) Implementação de Políticas
  88. 88. Lembre-se: TI é parte integral da estratégica de negócio Negócios/ Visão Executiva / Processos Sistemas / Serviços Ativos
  89. 89. GRC - Governando a TI (Governança), com sabedoria (Gestão de Riscos) e como todos esperam (Compliance) Gustavo Lens Minarelli Gerente de Projetos CGEIT, ITIL, ISO27001 Lead Auditor, COBIT, ISMAS gustavo.minarelli@gmail.com • Quais são os mistérios que envolvem este novo tema? • Quais os benefícios de cada uma destas disciplinas, tão importantes na Gestão Moderna dos investimentos em tecnologia nas organizações. • Como é possível fazer com que a estratégia de TI faça parte da estratégia de negócios? • Dicas para que os novos profissionais ganhem destaque nesta nova ordem do mercado, e para que os mais experientes aproveitem esta nova oportunidade!

×