O documento discute a gestão de riscos no Brasil e o desenvolvimento da norma internacional ISO 31000. Apresenta conceitos sobre riscos, normas e gestão de riscos corporativos. Também aborda a participação brasileira no desenvolvimento da ISO 31000 e a importância de se estabelecer uma linguagem única para gestão de riscos.

1. Módulo-2007-TodososDireitosReservados
Gestão de Riscos: Realidade no Brasil e
desenvolvimento da nova ISO 31000
©Copyright–Módulo
Alberto Bastos, CISSP, MCSO
Coordenador CEE Gestão de Riscos
abastos@modulo.com.br
Comitê Especial de Gestão de Riscos - ABNT

2. Módulo-2007-TodososDireitosReservados
O que é
risco?
O que é
risco?
©Copyright–Módulo
efeito da incertezaefeito da incerteza
nos objetivosnos objetivos

3. Módulo-2007-TodososDireitosReservados
Visão do Risco
“Nunca na história tivemos“Nunca na história tivemos
tão formidável tecnologia.tão formidável tecnologia.
Todo o avanço científicoTodo o avanço científico
conhecido pela humanidadeconhecido pela humanidade
foi incorporado no projeto.foi incorporado no projeto.
©Copyright–Módulo
foi incorporado no projeto.foi incorporado no projeto.
Os controles operacionaisOs controles operacionais
são a prova de falhas!”são a prova de falhas!”
E.J. Smith, Captain of the TitanicE.J. Smith, Captain of the Titanic

4. Módulo-2007-TodososDireitosReservados
Supervalorizar o risco, acaba
por desacreditá-lo.
Subestimar o risco, abre a
guarda ao fracasso!
©Copyright–Módulo
guarda ao fracasso!
“A Empresa com Alma”
Francisco Gomes de Matos

5. Módulo-2007-TodososDireitosReservados
Visão do Risco
©Copyright–Módulo

6. Módulo-2007-TodososDireitosReservados
Gestão de Riscos
nas organizações
Gestão de Riscos
nas organizações
©Copyright–Módulo
Atividades coordenadas para
dirigir e controlar uma
organização com relação ao risco.

7. Módulo-2007-TodososDireitosReservados
S&P estimula corretoras a
investir em ERM
São Paulo, 15 de Maio de 2008São Paulo, 15 de Maio de 2008
“A importância do gerenciamento de risco ganhou“A importância do gerenciamento de risco ganhou
um novo estímulo. A Standard & Poor‘s, agênciaum novo estímulo. A Standard & Poor‘s, agência
internacional de rating, divulgou que a partirinternacional de rating, divulgou que a partir
©Copyright–Módulo
internacional de rating, divulgou que a partirinternacional de rating, divulgou que a partir
do terceiro trimestre de 2008 irá passar ado terceiro trimestre de 2008 irá passar a
considerar o ERM (Enterprise Risk Management)considerar o ERM (Enterprise Risk Management)
em seus critérios de ratings.”em seus critérios de ratings.”

8. Módulo-2007-TodososDireitosReservados
Riscos Corporativos
•• Os riscos de uma empresa vão muito alémOs riscos de uma empresa vão muito além
do risco de acidentes com incêndio, roubodo risco de acidentes com incêndio, roubo
e perdas com transporte. É preciso pensare perdas com transporte. É preciso pensar
nos riscos que podem comprometer anos riscos que podem comprometer a
sustentabilidade da organização comosustentabilidade da organização como
©Copyright–Módulo
sustentabilidade da organização comosustentabilidade da organização como
danos causados ao meio ambiente,danos causados ao meio ambiente,
reputação, logística, risco político e atéreputação, logística, risco político e até
mesmo de auditorias.mesmo de auditorias.

9. Módulo-2007-TodososDireitosReservados
Riscos mais temidos
Pesquisa realizada pela Aon com 320Pesquisa realizada pela Aon com 320
executivos de diversosexecutivos de diversos
segmentos, em 29 países, revelousegmentos, em 29 países, revelou
que o risco mais temido pelasque o risco mais temido pelas
corporações é "danos à reputaçãocorporações é "danos à reputação
da empresa". O segundo riscoda empresa". O segundo risco
©Copyright–Módulo
da empresa". O segundo riscoda empresa". O segundo risco
potencial foi a interrupção depotencial foi a interrupção de
negócios e o terceiro maior risconegócios e o terceiro maior risco
foi o de responsabilidade civil,foi o de responsabilidade civil,
potencializado pela globalização.potencializado pela globalização.

10. Módulo-2007-TodososDireitosReservados
Quebra de imagem e reputação
O governo chinês fechou umaO governo chinês fechou uma
revista que publicou umrevista que publicou um
ensaio de fotos de modelosensaio de fotos de modelos
em lingerie com bandagensem lingerie com bandagens
ensangüentadas posando noensangüentadas posando no
meio dos prédios demolidosmeio dos prédios demolidos
pelo terremoto que atingiu apelo terremoto que atingiu a
província de Sichuan e deixouprovíncia de Sichuan e deixou
mais de 65 mil mortos . Omais de 65 mil mortos . O
©Copyright–Módulo
mais de 65 mil mortos . Omais de 65 mil mortos . O
governo poderá permitir quegoverno poderá permitir que
a revista volte a operar noa revista volte a operar no
futuro, argumentando que afuturo, argumentando que a
redação inteira não deveriaredação inteira não deveria
ser culpada pelo erroser culpada pelo erro
editorial de apenas algunseditorial de apenas alguns
profissionais da chefia.profissionais da chefia.

11. Módulo-2007-TodososDireitosReservados
Normas
internacionais
Normas
internacionais
©Copyright–Módulo
internacionaisinternacionais

12. Módulo-2007-TodososDireitosReservados
Seguros
Compliance
Gestão de Riscos Corporativos
©Copyright–Módulo
TI
Estratégia
SMS
Modelos isolados Integração
ERMERM

13. Módulo-2007-TodososDireitosReservados
COSO: Enterprise Risk Management (ERM)
©Copyright–Módulo

14. Módulo-2007-TodososDireitosReservados
O que é norma?
É um documento estabelecido por consenso e aprovado porÉ um documento estabelecido por consenso e aprovado por
um organismo reconhecido, que fornece, para uso comumum organismo reconhecido, que fornece, para uso comum
e repetitivo, regras, diretrizes ou características parae repetitivo, regras, diretrizes ou características para
atividades ou seus resultados, visando à obtenção de umatividades ou seus resultados, visando à obtenção de um
©Copyright–Módulo
atividades ou seus resultados, visando à obtenção de umatividades ou seus resultados, visando à obtenção de um
grau ótimo de ordenação em um dado contexto.grau ótimo de ordenação em um dado contexto.
Definição internacionalDefinição internacional -- Fonte: ABNTFonte: ABNT

15. Módulo-2007-TodososDireitosReservados
O uso de Normas Brasileiras é obrigatório?
As Normas Brasileiras são desenvolvidas e utilizadas voluntariamente.As Normas Brasileiras são desenvolvidas e utilizadas voluntariamente.
Elas tornamElas tornam--se obrigatse obrigatóórias somente quando explicitadas em umrias somente quando explicitadas em um
instrumento do Poder Pinstrumento do Poder Púúblico (lei, decreto, portaria, normativa,blico (lei, decreto, portaria, normativa,
etc) ou quando citadas em contratos.etc) ou quando citadas em contratos.
Entretanto, mesmo não sendo obrigatEntretanto, mesmo não sendo obrigatóórias, as normas sãorias, as normas são
©Copyright–Módulo
Entretanto, mesmo não sendo obrigatEntretanto, mesmo não sendo obrigatóórias, as normas sãorias, as normas são
sistematicamente adotadas em questões judiciais por conta dosistematicamente adotadas em questões judiciais por conta do
Inciso VIII do Art. 39 do CInciso VIII do Art. 39 do Cóódigo de Defesa do Consumidor.digo de Defesa do Consumidor.
Fonte: ABNTFonte: ABNT

16. Módulo-2007-TodososDireitosReservados
O Desafio da Linguagem Única
•• ISO Guide 73: Risk ManagementISO Guide 73: Risk Management -- VocabularyVocabulary
•• ISO 31000: Risk ManagementISO 31000: Risk Management –– Principles and Guidelines onPrinciples and Guidelines on
implementationimplementation
•• China MeetingChina Meeting –– Dez/2007Dez/2007
•• Singapura MeetingSingapura Meeting –– Dez/2008Dez/2008
©Copyright–Módulo

17. Módulo-2007-TodososDireitosReservados
ISO 31000
Gestão de Riscos - Framework
©Copyright–Módulo

18. Módulo-2007-TodososDireitosReservados
ISO 31000
Gestão de Riscos - Processo
©Copyright–Módulo

19. Módulo-2007-TodososDireitosReservados
ISO 31000
Gestão de Riscos – 11 Princípios
1.1.1.1. Criar valorCriar valorCriar valorCriar valor
2.2.2.2. Ser parte integrante dos processos da organizaçãoSer parte integrante dos processos da organizaçãoSer parte integrante dos processos da organizaçãoSer parte integrante dos processos da organização
3.3.3.3. Ser parte do processo decisórioSer parte do processo decisórioSer parte do processo decisórioSer parte do processo decisório
4.4.4.4. Tratar a incerteza explicitamenteTratar a incerteza explicitamenteTratar a incerteza explicitamenteTratar a incerteza explicitamente
5.5.5.5. Ser sistemática e estruturadaSer sistemática e estruturadaSer sistemática e estruturadaSer sistemática e estruturada
6.6.6.6. BasearBasearBasearBasear----sesesese nananana melhormelhormelhormelhor informaçãoinformaçãoinformaçãoinformação possívelpossívelpossívelpossível
©Copyright–Módulo
6.6.6.6. BasearBasearBasearBasear----sesesese nananana melhormelhormelhormelhor informaçãoinformaçãoinformaçãoinformação possívelpossívelpossívelpossível
7.7.7.7. SerSerSerSer customizávelcustomizávelcustomizávelcustomizável
8.8.8.8. ConsiderarConsiderarConsiderarConsiderar osososos fatoresfatoresfatoresfatores humanoshumanoshumanoshumanos
9.9.9.9. SerSerSerSer transparentetransparentetransparentetransparente eeee incluirincluirincluirincluir asasasas partespartespartespartes interessadasinteressadasinteressadasinteressadas
10.10.10.10.SerSerSerSer dinâmicadinâmicadinâmicadinâmica,,,, iterativaiterativaiterativaiterativa e responder ae responder ae responder ae responder a mudançasmudançasmudançasmudanças
11.11.11.11.SerSerSerSer continuamentecontinuamentecontinuamentecontinuamente melhoradamelhoradamelhoradamelhorada

20. Módulo-2007-TodososDireitosReservados
Cronograma
InternationalInternational
StandardStandard
Final Draft ISFinal Draft IS
Final CDFinal CD
Publicação!Publicação!
20092009 -- GenebraGenebra
20082008 -- SingapuraSingapura
©Copyright–Módulo
Committee DraftCommittee Draft
Working DraftWorking Draft
New ProposalNew Proposal
20072007 -- ChinaChina
20072007 –– OttawaOttawa
20062006 –– Sidney e VienaSidney e Viena
20052005 -- TokyoTokyo
Study PeriodStudy Period

21. Módulo-2007-TodososDireitosReservados
Série ISO/IEC 27000
©Copyright–Módulo

22. Módulo-2007-TodososDireitosReservados
COBIT
PO9 - Avaliação e Gestão de Riscos em TI
34 processos de TI, sendo um
deles específico para Avaliação
e Gestão dos Riscos de TI (PO9).
©Copyright–Módulo
Objetivos de Controle Detalhados:
PO9.1 IT Risk Management Framework
PO9.2 Establishment of Risk Context
PO9.3 Event Identification
PO9.4 Risk Assessment
PO9.5 Risk Response
PO9.6 Maintenance & Monitoring of a Risk Action
Plan
Objetivos de Controle Detalhados:
PO9.1 IT Risk Management Framework
PO9.2 Establishment of Risk Context
PO9.3 Event Identification
PO9.4 Risk Assessment
PO9.5 Risk Response
PO9.6 Maintenance & Monitoring of a Risk Action
Plan

23. Módulo-2007-TodososDireitosReservados
ABNT NBR 15999
Gestão de Continuidade de Negócios
• NBR 15999-1:2007
– Lançada em 30/outubro
– Código de Prática
– Norma BS 25999-1:2006
- Publicada em Dez/2006
©Copyright–Módulo
• BS 25999-2:2007
(certificação)
- Publicada em set/2007
- NBR (em andamento)

24. Módulo-2007-TodososDireitosReservados
ISO/DIS 13824
©Copyright–Módulo

25. Módulo-2007-TodososDireitosReservados
Participação Brasileira
•• CEETCEET –– GestãoGestão dede RiscosRiscos
– NBR ISO Guia 73
•• Participação no WGParticipação no WG onon RMRM
– Sidney, Vienna, Ottawa e Sanya
– 120 comentários
– ~70% considerados
©Copyright–Módulo
– ~70% considerados
– Número redondo: ISO 31000
•• GruposGrupos dede TrabalhoTrabalho
– Gestão de Continuidade de Negócios
• NBR 15999-1
– Risco como oportunidade
– Riscos em Projetos
•• LiasionLiasion CB21CB21 –– ISO 27005ISO 27005

26. Módulo-2007-TodososDireitosReservados
Linguagem Única – ISO Guia 73
GESTÃO DE RISCOS (3.1.7)
ANÁLISE E AVALIAÇÃO DE RISCOS (3.3.1)
•• Um dos desafios da implementação da estrutura deUm dos desafios da implementação da estrutura de
gerenciamento de riscos é manter uma linguagem únicagerenciamento de riscos é manter uma linguagem única
com a operação, a ISO Guia 73 é um bom caminho,com a operação, a ISO Guia 73 é um bom caminho,
inclusive por estar integrado à Legislação brasileira.inclusive por estar integrado à Legislação brasileira.
©Copyright–Módulo
ANÁLISE DE RISCOS (3.3.2)
IDENTIFICAÇÃO DE FONTES (3.3.4)
ESTIMATIVA DE RISCOS (3.3.5)
AVALIAÇÃO DE RISCOS (3.3.6)
TRATAMENTO DO RISCO (3.4.1)
AÇÃO DE EVITAR O RISCO (3.4.6)
OTIMIZAÇÃO DO RISCO (3.4.3)
TRANSFERÊNCIA DO RISCO (3.4.7)
RETENÇÃO DO RISCO (3.4.9)
ACEITAÇÃO DO RISCO (3.4.10)
COMUNICAÇÃO DO RISCO (3.2.4)

27. Módulo-2007-TodososDireitosReservados
Lançamento do Handbook para
Gestão de Riscos Positivos
©Copyright–Módulo

28. Módulo-2007-TodososDireitosReservados
AS/NZS 4360
Risk is the chance of something happening that will
have an impact on objectives.
©Copyright–Módulo
ThreatsOpportunities

29. Módulo-2007-TodososDireitosReservados
TendênciasTendências
©Copyright–Módulo

30. Módulo-2007-TodososDireitosReservados
Fé X Confiança
Santo Isidoro de Sevilha NBR ISO 27001
©Copyright–Módulo

31. Módulo-2007-TodososDireitosReservados
“Deus Todo Poderoso, que nos criou à Vossa imagem e nos“Deus Todo Poderoso, que nos criou à Vossa imagem e nos
indicou o caminho do bem, do verdadeiro e do belo,indicou o caminho do bem, do verdadeiro e do belo,
especialmente na pessoa divina de Vosso Filho Unigênito,especialmente na pessoa divina de Vosso Filho Unigênito,
Nosso Senhor Jesus Cristo, permitiNosso Senhor Jesus Cristo, permiti--nos que, pela intercessãonos que, pela intercessão
de Santo Isidoro, bispo e doutor, durante nossas navegaçõesde Santo Isidoro, bispo e doutor, durante nossas navegações
pela Internet, dirijamos nossas mãos e nossos olhos apenaspela Internet, dirijamos nossas mãos e nossos olhos apenas
Oração para antes de se
conectar à Internet
©Copyright–Módulo
pela Internet, dirijamos nossas mãos e nossos olhos apenaspela Internet, dirijamos nossas mãos e nossos olhos apenas
àquelas coisas que Vos sejam aprazíveis e que tratemos comàquelas coisas que Vos sejam aprazíveis e que tratemos com
caridade e paciência todas aquelas almas que encontrarmoscaridade e paciência todas aquelas almas que encontrarmos
pelo caminho. Por Cristo Nosso Senhor, Amem. Santo Isidoro,pelo caminho. Por Cristo Nosso Senhor, Amem. Santo Isidoro,
rogai por nós!”rogai por nós!”
SantoSanto IsidoroIsidoro dede SevilhaSevilha, 4 de, 4 de abrilabril

32. Módulo-2007-TodososDireitosReservados
•• InformalidadeInformalidade
– Ações Heróicas
– “Apagar incêndios”
– Baseada em Talentos
– Conflito de atribuições
– Falta de Controle
– Soluções desintegradas
•• Normas e PadrõesNormas e Padrões
– Processos documentados
– Foco na prevenção
– Requisitos definidos
– Responsabilidades estabelecidas
– Indicadores
– Otimização de Investimentos
Gestão de Riscos
©Copyright–Módulo
– Soluções desintegradas
– Ênfase em tecnologia
– Otimização de Investimentos
– Ênfase em gestão
Processo de Maturidade
Gestão de Riscos

33. Módulo-2007-TodososDireitosReservados
ISO 27001 – Certificados por País
©Copyright–Módulo

34. Módulo-2007-TodososDireitosReservados©Copyright–Módulo

35. Módulo-2007-TodososDireitosReservados
Primeiro Banco certificado BS
25999 no mundo!
©Copyright–Módulo

36. Módulo-2007-TodososDireitosReservados
Chief Risk Office
©Copyright–Módulo

37. Módulo-2007-TodososDireitosReservados
Convergência
©Copyright–Módulo
Governance + Risk + Compliance

38. Módulo-2007-TodososDireitosReservados
Modelo Integrado GRC
Gestão
Empresarial
Segurança da
Informação
Segurança
Patrimonial
Funcionários
Fornecedores
Governança
Corporativa
Agências
reguladoras
Riscos
©Copyright–Módulo
Patrimonial
Gestão
de Riscos
Auditoria
TI
O & M
Áreas de
Negócio
Controles
Internos
Compliance
Riscos

39. Módulo-2007-TodososDireitosReservados
Automação da
Gestão de Riscos
•• Aumentar a produtividade da equipeAumentar a produtividade da equipe
•• Informações centralizadasInformações centralizadas
•• Processo estruturado e replicávelProcesso estruturado e replicável
©Copyright–Módulo
•• Padronização e DocumentaçãoPadronização e Documentação
•• Registros e EvidênciasRegistros e Evidências
•• Relatórios, gráficos e consultasRelatórios, gráficos e consultas
•• Coleta automática de informaçõesColeta automática de informações
•• Continuidade e Histórico dos riscosContinuidade e Histórico dos riscos

40. Módulo-2007-TodososDireitosReservados
Obrigado!
Por favor enviem também suas
perguntas e sugestões por email!
©Copyright–Módulo
Alberto BastosAlberto Bastos
abastos@modulo.com.brabastos@modulo.com.br