Gestão de riscos abnt sp-15999-1_3jun2008

931 visualizações

Publicada em

Norma ISO 31000

Publicada em: Educação
0 comentários
3 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
931
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
62
Comentários
0
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Gestão de riscos abnt sp-15999-1_3jun2008

  1. 1. Módulo-2007-TodososDireitosReservados Gestão de Riscos: Realidade no Brasil e desenvolvimento da nova ISO 31000 ©Copyright–Módulo Alberto Bastos, CISSP, MCSO Coordenador CEE Gestão de Riscos abastos@modulo.com.br Comitê Especial de Gestão de Riscos - ABNT
  2. 2. Módulo-2007-TodososDireitosReservados O que é risco? O que é risco? ©Copyright–Módulo efeito da incertezaefeito da incerteza nos objetivosnos objetivos
  3. 3. Módulo-2007-TodososDireitosReservados Visão do Risco “Nunca na história tivemos“Nunca na história tivemos tão formidável tecnologia.tão formidável tecnologia. Todo o avanço científicoTodo o avanço científico conhecido pela humanidadeconhecido pela humanidade foi incorporado no projeto.foi incorporado no projeto. ©Copyright–Módulo foi incorporado no projeto.foi incorporado no projeto. Os controles operacionaisOs controles operacionais são a prova de falhas!”são a prova de falhas!” E.J. Smith, Captain of the TitanicE.J. Smith, Captain of the Titanic
  4. 4. Módulo-2007-TodososDireitosReservados Supervalorizar o risco, acaba por desacreditá-lo. Subestimar o risco, abre a guarda ao fracasso! ©Copyright–Módulo guarda ao fracasso! “A Empresa com Alma” Francisco Gomes de Matos
  5. 5. Módulo-2007-TodososDireitosReservados Visão do Risco ©Copyright–Módulo
  6. 6. Módulo-2007-TodososDireitosReservados Gestão de Riscos nas organizações Gestão de Riscos nas organizações ©Copyright–Módulo Atividades coordenadas para dirigir e controlar uma organização com relação ao risco.
  7. 7. Módulo-2007-TodososDireitosReservados S&P estimula corretoras a investir em ERM São Paulo, 15 de Maio de 2008São Paulo, 15 de Maio de 2008 “A importância do gerenciamento de risco ganhou“A importância do gerenciamento de risco ganhou um novo estímulo. A Standard & Poor‘s, agênciaum novo estímulo. A Standard & Poor‘s, agência internacional de rating, divulgou que a partirinternacional de rating, divulgou que a partir ©Copyright–Módulo internacional de rating, divulgou que a partirinternacional de rating, divulgou que a partir do terceiro trimestre de 2008 irá passar ado terceiro trimestre de 2008 irá passar a considerar o ERM (Enterprise Risk Management)considerar o ERM (Enterprise Risk Management) em seus critérios de ratings.”em seus critérios de ratings.”
  8. 8. Módulo-2007-TodososDireitosReservados Riscos Corporativos •• Os riscos de uma empresa vão muito alémOs riscos de uma empresa vão muito além do risco de acidentes com incêndio, roubodo risco de acidentes com incêndio, roubo e perdas com transporte. É preciso pensare perdas com transporte. É preciso pensar nos riscos que podem comprometer anos riscos que podem comprometer a sustentabilidade da organização comosustentabilidade da organização como ©Copyright–Módulo sustentabilidade da organização comosustentabilidade da organização como danos causados ao meio ambiente,danos causados ao meio ambiente, reputação, logística, risco político e atéreputação, logística, risco político e até mesmo de auditorias.mesmo de auditorias.
  9. 9. Módulo-2007-TodososDireitosReservados Riscos mais temidos Pesquisa realizada pela Aon com 320Pesquisa realizada pela Aon com 320 executivos de diversosexecutivos de diversos segmentos, em 29 países, revelousegmentos, em 29 países, revelou que o risco mais temido pelasque o risco mais temido pelas corporações é "danos à reputaçãocorporações é "danos à reputação da empresa". O segundo riscoda empresa". O segundo risco ©Copyright–Módulo da empresa". O segundo riscoda empresa". O segundo risco potencial foi a interrupção depotencial foi a interrupção de negócios e o terceiro maior risconegócios e o terceiro maior risco foi o de responsabilidade civil,foi o de responsabilidade civil, potencializado pela globalização.potencializado pela globalização.
  10. 10. Módulo-2007-TodososDireitosReservados Quebra de imagem e reputação O governo chinês fechou umaO governo chinês fechou uma revista que publicou umrevista que publicou um ensaio de fotos de modelosensaio de fotos de modelos em lingerie com bandagensem lingerie com bandagens ensangüentadas posando noensangüentadas posando no meio dos prédios demolidosmeio dos prédios demolidos pelo terremoto que atingiu apelo terremoto que atingiu a província de Sichuan e deixouprovíncia de Sichuan e deixou mais de 65 mil mortos . Omais de 65 mil mortos . O ©Copyright–Módulo mais de 65 mil mortos . Omais de 65 mil mortos . O governo poderá permitir quegoverno poderá permitir que a revista volte a operar noa revista volte a operar no futuro, argumentando que afuturo, argumentando que a redação inteira não deveriaredação inteira não deveria ser culpada pelo erroser culpada pelo erro editorial de apenas algunseditorial de apenas alguns profissionais da chefia.profissionais da chefia.
  11. 11. Módulo-2007-TodososDireitosReservados Normas internacionais Normas internacionais ©Copyright–Módulo internacionaisinternacionais
  12. 12. Módulo-2007-TodososDireitosReservados Seguros Compliance Gestão de Riscos Corporativos ©Copyright–Módulo TI Estratégia SMS Modelos isolados Integração ERMERM
  13. 13. Módulo-2007-TodososDireitosReservados COSO: Enterprise Risk Management (ERM) ©Copyright–Módulo
  14. 14. Módulo-2007-TodososDireitosReservados O que é norma? É um documento estabelecido por consenso e aprovado porÉ um documento estabelecido por consenso e aprovado por um organismo reconhecido, que fornece, para uso comumum organismo reconhecido, que fornece, para uso comum e repetitivo, regras, diretrizes ou características parae repetitivo, regras, diretrizes ou características para atividades ou seus resultados, visando à obtenção de umatividades ou seus resultados, visando à obtenção de um ©Copyright–Módulo atividades ou seus resultados, visando à obtenção de umatividades ou seus resultados, visando à obtenção de um grau ótimo de ordenação em um dado contexto.grau ótimo de ordenação em um dado contexto. Definição internacionalDefinição internacional -- Fonte: ABNTFonte: ABNT
  15. 15. Módulo-2007-TodososDireitosReservados O uso de Normas Brasileiras é obrigatório? As Normas Brasileiras são desenvolvidas e utilizadas voluntariamente.As Normas Brasileiras são desenvolvidas e utilizadas voluntariamente. Elas tornamElas tornam--se obrigatse obrigatóórias somente quando explicitadas em umrias somente quando explicitadas em um instrumento do Poder Pinstrumento do Poder Púúblico (lei, decreto, portaria, normativa,blico (lei, decreto, portaria, normativa, etc) ou quando citadas em contratos.etc) ou quando citadas em contratos. Entretanto, mesmo não sendo obrigatEntretanto, mesmo não sendo obrigatóórias, as normas sãorias, as normas são ©Copyright–Módulo Entretanto, mesmo não sendo obrigatEntretanto, mesmo não sendo obrigatóórias, as normas sãorias, as normas são sistematicamente adotadas em questões judiciais por conta dosistematicamente adotadas em questões judiciais por conta do Inciso VIII do Art. 39 do CInciso VIII do Art. 39 do Cóódigo de Defesa do Consumidor.digo de Defesa do Consumidor. Fonte: ABNTFonte: ABNT
  16. 16. Módulo-2007-TodososDireitosReservados O Desafio da Linguagem Única •• ISO Guide 73: Risk ManagementISO Guide 73: Risk Management -- VocabularyVocabulary •• ISO 31000: Risk ManagementISO 31000: Risk Management –– Principles and Guidelines onPrinciples and Guidelines on implementationimplementation •• China MeetingChina Meeting –– Dez/2007Dez/2007 •• Singapura MeetingSingapura Meeting –– Dez/2008Dez/2008 ©Copyright–Módulo
  17. 17. Módulo-2007-TodososDireitosReservados ISO 31000 Gestão de Riscos - Framework ©Copyright–Módulo
  18. 18. Módulo-2007-TodososDireitosReservados ISO 31000 Gestão de Riscos - Processo ©Copyright–Módulo
  19. 19. Módulo-2007-TodososDireitosReservados ISO 31000 Gestão de Riscos – 11 Princípios 1.1.1.1. Criar valorCriar valorCriar valorCriar valor 2.2.2.2. Ser parte integrante dos processos da organizaçãoSer parte integrante dos processos da organizaçãoSer parte integrante dos processos da organizaçãoSer parte integrante dos processos da organização 3.3.3.3. Ser parte do processo decisórioSer parte do processo decisórioSer parte do processo decisórioSer parte do processo decisório 4.4.4.4. Tratar a incerteza explicitamenteTratar a incerteza explicitamenteTratar a incerteza explicitamenteTratar a incerteza explicitamente 5.5.5.5. Ser sistemática e estruturadaSer sistemática e estruturadaSer sistemática e estruturadaSer sistemática e estruturada 6.6.6.6. BasearBasearBasearBasear----sesesese nananana melhormelhormelhormelhor informaçãoinformaçãoinformaçãoinformação possívelpossívelpossívelpossível ©Copyright–Módulo 6.6.6.6. BasearBasearBasearBasear----sesesese nananana melhormelhormelhormelhor informaçãoinformaçãoinformaçãoinformação possívelpossívelpossívelpossível 7.7.7.7. SerSerSerSer customizávelcustomizávelcustomizávelcustomizável 8.8.8.8. ConsiderarConsiderarConsiderarConsiderar osososos fatoresfatoresfatoresfatores humanoshumanoshumanoshumanos 9.9.9.9. SerSerSerSer transparentetransparentetransparentetransparente eeee incluirincluirincluirincluir asasasas partespartespartespartes interessadasinteressadasinteressadasinteressadas 10.10.10.10.SerSerSerSer dinâmicadinâmicadinâmicadinâmica,,,, iterativaiterativaiterativaiterativa e responder ae responder ae responder ae responder a mudançasmudançasmudançasmudanças 11.11.11.11.SerSerSerSer continuamentecontinuamentecontinuamentecontinuamente melhoradamelhoradamelhoradamelhorada
  20. 20. Módulo-2007-TodososDireitosReservados Cronograma InternationalInternational StandardStandard Final Draft ISFinal Draft IS Final CDFinal CD Publicação!Publicação! 20092009 -- GenebraGenebra 20082008 -- SingapuraSingapura ©Copyright–Módulo Committee DraftCommittee Draft Working DraftWorking Draft New ProposalNew Proposal 20072007 -- ChinaChina 20072007 –– OttawaOttawa 20062006 –– Sidney e VienaSidney e Viena 20052005 -- TokyoTokyo Study PeriodStudy Period
  21. 21. Módulo-2007-TodososDireitosReservados Série ISO/IEC 27000 ©Copyright–Módulo
  22. 22. Módulo-2007-TodososDireitosReservados COBIT PO9 - Avaliação e Gestão de Riscos em TI 34 processos de TI, sendo um deles específico para Avaliação e Gestão dos Riscos de TI (PO9). ©Copyright–Módulo Objetivos de Controle Detalhados: PO9.1 IT Risk Management Framework PO9.2 Establishment of Risk Context PO9.3 Event Identification PO9.4 Risk Assessment PO9.5 Risk Response PO9.6 Maintenance & Monitoring of a Risk Action Plan Objetivos de Controle Detalhados: PO9.1 IT Risk Management Framework PO9.2 Establishment of Risk Context PO9.3 Event Identification PO9.4 Risk Assessment PO9.5 Risk Response PO9.6 Maintenance & Monitoring of a Risk Action Plan
  23. 23. Módulo-2007-TodososDireitosReservados ABNT NBR 15999 Gestão de Continuidade de Negócios • NBR 15999-1:2007 – Lançada em 30/outubro – Código de Prática – Norma BS 25999-1:2006 - Publicada em Dez/2006 ©Copyright–Módulo • BS 25999-2:2007 (certificação) - Publicada em set/2007 - NBR (em andamento)
  24. 24. Módulo-2007-TodososDireitosReservados ISO/DIS 13824 ©Copyright–Módulo
  25. 25. Módulo-2007-TodososDireitosReservados Participação Brasileira •• CEETCEET –– GestãoGestão dede RiscosRiscos – NBR ISO Guia 73 •• Participação no WGParticipação no WG onon RMRM – Sidney, Vienna, Ottawa e Sanya – 120 comentários – ~70% considerados ©Copyright–Módulo – ~70% considerados – Número redondo: ISO 31000 •• GruposGrupos dede TrabalhoTrabalho – Gestão de Continuidade de Negócios • NBR 15999-1 – Risco como oportunidade – Riscos em Projetos •• LiasionLiasion CB21CB21 –– ISO 27005ISO 27005
  26. 26. Módulo-2007-TodososDireitosReservados Linguagem Única – ISO Guia 73 GESTÃO DE RISCOS (3.1.7) ANÁLISE E AVALIAÇÃO DE RISCOS (3.3.1) •• Um dos desafios da implementação da estrutura deUm dos desafios da implementação da estrutura de gerenciamento de riscos é manter uma linguagem únicagerenciamento de riscos é manter uma linguagem única com a operação, a ISO Guia 73 é um bom caminho,com a operação, a ISO Guia 73 é um bom caminho, inclusive por estar integrado à Legislação brasileira.inclusive por estar integrado à Legislação brasileira. ©Copyright–Módulo ANÁLISE DE RISCOS (3.3.2) IDENTIFICAÇÃO DE FONTES (3.3.4) ESTIMATIVA DE RISCOS (3.3.5) AVALIAÇÃO DE RISCOS (3.3.6) TRATAMENTO DO RISCO (3.4.1) AÇÃO DE EVITAR O RISCO (3.4.6) OTIMIZAÇÃO DO RISCO (3.4.3) TRANSFERÊNCIA DO RISCO (3.4.7) RETENÇÃO DO RISCO (3.4.9) ACEITAÇÃO DO RISCO (3.4.10) COMUNICAÇÃO DO RISCO (3.2.4)
  27. 27. Módulo-2007-TodososDireitosReservados Lançamento do Handbook para Gestão de Riscos Positivos ©Copyright–Módulo
  28. 28. Módulo-2007-TodososDireitosReservados AS/NZS 4360 Risk is the chance of something happening that will have an impact on objectives. ©Copyright–Módulo ThreatsOpportunities
  29. 29. Módulo-2007-TodososDireitosReservados TendênciasTendências ©Copyright–Módulo
  30. 30. Módulo-2007-TodososDireitosReservados Fé X Confiança Santo Isidoro de Sevilha NBR ISO 27001 ©Copyright–Módulo
  31. 31. Módulo-2007-TodososDireitosReservados “Deus Todo Poderoso, que nos criou à Vossa imagem e nos“Deus Todo Poderoso, que nos criou à Vossa imagem e nos indicou o caminho do bem, do verdadeiro e do belo,indicou o caminho do bem, do verdadeiro e do belo, especialmente na pessoa divina de Vosso Filho Unigênito,especialmente na pessoa divina de Vosso Filho Unigênito, Nosso Senhor Jesus Cristo, permitiNosso Senhor Jesus Cristo, permiti--nos que, pela intercessãonos que, pela intercessão de Santo Isidoro, bispo e doutor, durante nossas navegaçõesde Santo Isidoro, bispo e doutor, durante nossas navegações pela Internet, dirijamos nossas mãos e nossos olhos apenaspela Internet, dirijamos nossas mãos e nossos olhos apenas Oração para antes de se conectar à Internet ©Copyright–Módulo pela Internet, dirijamos nossas mãos e nossos olhos apenaspela Internet, dirijamos nossas mãos e nossos olhos apenas àquelas coisas que Vos sejam aprazíveis e que tratemos comàquelas coisas que Vos sejam aprazíveis e que tratemos com caridade e paciência todas aquelas almas que encontrarmoscaridade e paciência todas aquelas almas que encontrarmos pelo caminho. Por Cristo Nosso Senhor, Amem. Santo Isidoro,pelo caminho. Por Cristo Nosso Senhor, Amem. Santo Isidoro, rogai por nós!”rogai por nós!” SantoSanto IsidoroIsidoro dede SevilhaSevilha, 4 de, 4 de abrilabril
  32. 32. Módulo-2007-TodososDireitosReservados •• InformalidadeInformalidade – Ações Heróicas – “Apagar incêndios” – Baseada em Talentos – Conflito de atribuições – Falta de Controle – Soluções desintegradas •• Normas e PadrõesNormas e Padrões – Processos documentados – Foco na prevenção – Requisitos definidos – Responsabilidades estabelecidas – Indicadores – Otimização de Investimentos Gestão de Riscos ©Copyright–Módulo – Soluções desintegradas – Ênfase em tecnologia – Otimização de Investimentos – Ênfase em gestão Processo de Maturidade Gestão de Riscos
  33. 33. Módulo-2007-TodososDireitosReservados ISO 27001 – Certificados por País ©Copyright–Módulo
  34. 34. Módulo-2007-TodososDireitosReservados©Copyright–Módulo
  35. 35. Módulo-2007-TodososDireitosReservados Primeiro Banco certificado BS 25999 no mundo! ©Copyright–Módulo
  36. 36. Módulo-2007-TodososDireitosReservados Chief Risk Office ©Copyright–Módulo
  37. 37. Módulo-2007-TodososDireitosReservados Convergência ©Copyright–Módulo Governance + Risk + Compliance
  38. 38. Módulo-2007-TodososDireitosReservados Modelo Integrado GRC Gestão Empresarial Segurança da Informação Segurança Patrimonial Funcionários Fornecedores Governança Corporativa Agências reguladoras Riscos ©Copyright–Módulo Patrimonial Gestão de Riscos Auditoria TI O & M Áreas de Negócio Controles Internos Compliance Riscos
  39. 39. Módulo-2007-TodososDireitosReservados Automação da Gestão de Riscos •• Aumentar a produtividade da equipeAumentar a produtividade da equipe •• Informações centralizadasInformações centralizadas •• Processo estruturado e replicávelProcesso estruturado e replicável ©Copyright–Módulo •• Padronização e DocumentaçãoPadronização e Documentação •• Registros e EvidênciasRegistros e Evidências •• Relatórios, gráficos e consultasRelatórios, gráficos e consultas •• Coleta automática de informaçõesColeta automática de informações •• Continuidade e Histórico dos riscosContinuidade e Histórico dos riscos
  40. 40. Módulo-2007-TodososDireitosReservados Obrigado! Por favor enviem também suas perguntas e sugestões por email! ©Copyright–Módulo Alberto BastosAlberto Bastos abastos@modulo.com.brabastos@modulo.com.br

×