GRC - Palestra Gf 12nov2009

GRC - Governando a TI (Governança), com sabedoria (Gestão
de Riscos) e como todos esperam (Compliance)

Gustavo Lens Minarelli
Gerente de Projetos

CGEIT, ITIL, ISO27001 Lead Auditor,
COBIT, ISMAS

gustavo.minarelli@gmail.com

• Quais são os mistérios que envolvem este novo tema?
• Quais os benefícios de cada uma destas disciplinas, tão importantes na Gestão Moderna dos
investimentos em tecnologia nas organizações.
• Como é possível fazer com que a estratégia de TI faça parte da estratégia de negócios?
• Dicas para que os novos profissionais ganhem destaque nesta nova ordem do mercado, e para que os
mais experientes aproveitem esta nova oportunidade!

Agenda

O que é GRC, qual sua importância?

O cenário nas empresas?

Governança

Gestão de Riscos

Compliance
Esta bem, como fazer GRC?

Como estamos hoje?

A tendência (o mais fácil) é que nos agarremos a
pedaços de informações sem uma análise do
quadro maior

Atacamos os meios, sem método e às vezes sem
nem mesmo conhecer o problema.

As metas das
Entregar valor
organizações para os negócios

Com um risco
aceitável

Gerenciando com
eficiência

Com uso
eficiente de
recursos

Como saber se esta Quem define o que
é valor são as
tudo bem? partes
interessadas
Quem aceita os
riscos são as partes
interessadas

Quem define o que é
gerenciar
corretamente são as
partes interessadas

Quem dá os
recursos
necessários são as
partes interessadas

Como a maior parte das
organizações estão hoje?
Tentamos nos agarrar a metodologia isoladas,
em busca de uma solução mágica para os
problemas das organizações

Frameworks, padrões, modelos, …

PCI-DSS

COBIT 4.1 ISO/IEC 27001 eSCM
BASEL II
NIST 800-53 BS 7799
ISO Guide 73

ISO 15408 ANS RN 114
ITIL
ISO DIS 31000
CMM COSO BITS
ISO 3WD 25700
BS 25999:1 2006
AS/NZS 4360

HIPAA BC 3380 FISMA BS 25999

ISO/IEC 17799 ISO/IEC TR 13335
BC 2553
ISO/IEC 27005

Frameworks, padrões, modelos, …

Assim, vivemos uma época em que
esta sendo necessário gerenciar os
negócios com um pé no acelerador
e outro no freio

....mas, acelerar continua
sendo a prioridade das
empresas

Uma constatação do óbvio

O método é um instrumento
para resolver problemas e não
a solução em si

Renascença

Época de
mudanças
•Intelecto
•Assimilação de
conhecimento
•Estruturas sociais
•Educação
•Arte
•Ciência

O que é GRC?

Governança

Gestão de
Compliance
Riscos

Uma nova onda

“GRC é uma das principais
prioridades dos negócios”

Objetivos de Controle de TI para
atender Sarbanes Oxley

Situação atual das organizações

Ilhas organizacionais
e funcionais

Fonte: Open Compliance & Ethics Group

GRC: Situação desejavel

IT
Fonte: Open Compliance & Ethics Group

Benefícios do GRC

• Valor das ações
• Confiabilidade e o prestígio da organização
• Fraudes
• Perdas (ex: multas, incidentes operacionais)
• fidelidade dos acionistas, sócios, direção, colaboradores, parceiros ,
fornecedores....
• Competitividade, melhorando a capacidade da organização tomar decisões
rápidas e certeiras
• Melhora a comunicação na empresa, aumentando a confiança e a “boa vontade”
• Promove a sustentabilidade da empresa
- Transparência
- Manutenção dos ideais com (Confiança e Integridade)
- Responsabilidade da organização com a sociedade

E Você no GRC?

• Mude a forma de pensar
• Faça os outros mudarem
também (seja um agente da mudança)
• Aproveite as oportunidade que estão surgindo
• Ganhe respeito e prestígio
• Faça os deveres do dia-a-dia
• Mantenha equilíbrio entre detalhe (micro) e a
estratégia (macro)
• Planeje-se seja realista no curto prazo e visionário no
longo prazo

Governança de TI

Governança

Gestão de
Compliance
Riscos

Governança de TI
Definição MIT

“Especificação dos direitos decisórios e do
framework de responsabilidades para estimular
comportamentos desejáveis na área de TI.”
Governança de TI trata de três questões:
Quais decisões devem ser tomadas para garantir a
gestão e o uso eficazes de TI?
Quem deve tomar estas decisões?
Como estas decisões serão tomadas e
monitoradas?

Governança de TI
Paralelo com Governança Corporativa

Conselho de Administração Governança
Comitê de TI
CEO, CFO, Usuários

Serviços Objetivos de
CIO Resultados Negócios

Equipe de TI
Gestão

Governança de TI
Paralelo com Governança Corporativa

Acionistas Governança
Assembléia
Conselho de Administração

Transparência Direcionamento
CEO Resultados Alinhamento

Organização Gestão

Referência para TI: Cobit 4

CobiT é reconhecido mundialmente e
adotado como referência por muitas
empresas como um modelo de
referência para a Governança de TI

Framework Cobit

Auxilia na inclusão da estratégia de TI na estratégia de
negócios;
Tem a missão de atender aos objetivos de negócio;
Organiza TI através de um modelo amplamente
aceitável;
Identifica recursos de TI necessários;
Ajuda a definir objetivos de controle que precisam ser
implementados.

BUSINESS OBJECTIVES AND
GOVERNANCE OBJECTIVES

C O B I T
ME1 Monitor and evaluate IT F RAMEWO R K PO1 Define a strategic IT plan.
performance. INFORMATION PO2 Define the information
ME2 Monitor and evaluate internal
architecture.
control.
Efficiency Integrity PO3 Determine technological
ME3 Ensure compliance with
Effectiveness Availability direction.
external requirements.
Compliance PO4 Define the IT processes,
ME4 Provide IT governance. Confidentiality
Reliability organization and relationships.
PO5 Manage the IT investment.
MONITOR PLAN
PO6 Communicate management
AND AND aims and direction.
EVALUATE ORGANISE PO7 Manage IT human resources.
IT PO8 Manage quality.
DS1 Define and manage service
levels.
RESOURCES PO9 Assess and manage IT risks.
DS2 Manage third-party services. PO10 Manage projects.
DS3 Manage performance and
capacity.
DS4 Ensure continuous service. Applications
DS5 Ensure systems security. Information AI1 Identify automated solutions.
DS6 Identify and allocate costs. Infrastructure AI2 Acquire and maintain
DS7 Educate and train users. DELIVER People ACQUIRE application software.
DS8 Manage service desk and AND AND AI3 Acquire and maintain
incidents. SUPPORT IMPLEMENT technology infrastructure.
DS9 Manage the configuration. AI4 Enable operation and use.
DS10 Manage problems. AI5 Procure IT resources.
DS11 Manage data. AI6 Manage changes.
DS12 Manage the physical AI7 Install and accredit solutions
environment. and changes.
DS13 Manage operations.

Cobit
O Cobit é composto por
34 processos de TI,
sendo que um deles é Além disso, para
específico para tratar da satisfazer os objetivos
Information Criteria
Avaliação e Gestão dos de negócios, a
Riscos de TI (PO9). Effectiveness informação precisa
IT Process Efficiency atender critérios de
Confidentiality controle, que o COBIT
Integrity refere como requisitos
Availability do negócio para a
Business Requirement Compliance informação.
Reliability

Control Approach
IT Resources
IT Processes Applications
Domains
Consideration Information
Processes
• ……………………………
Activities Infrastructure
• ……………………………
• ……………………..…….. People

PO9 – Avaliação e Gestão de Riscos em TI

Integração de TI com os Negócios
Visão do CobiT
Balanced ScoreCard, Planejamento
Estratégico

Objetivos de Negocios

CobiT 4
CobiT 4
Objetivos de TI

Procesos de TI

Maturidade

Gestão de Riscos

Governança

Gestão de
Compliance
Riscos

O que é risco?

“ efeito das incertezas
nos objetivos”

Risco: Ameaça ou Oportunidade

Falta um vínculo entre o conselho, diretoria
e as unidades de negócio

Conselho
Executivo

Falta um vínculo entre o conselho, diretoria
e as unidades de negócio

Pessoas
Conselho
Executivo

Tecnologia

Processos

Oportunidades para o GRC
Conselhos de Unidades de
administração Negócios
• Não estabelece o tom para a gestão • Não relacionam a Gestão de Riscos aos
de riscos. objetivos estratégicos

• Não entende a gestão de riscos como • Não identificam ou avaliam completamente os
vantagem competitiva. riscos relacionados a compliance, leis e
regulamentações
• Tem mínima participação nas
discussões sobre risco da organização • Permanecem identificando, apenas, riscos
“técnicos”
• Possuem pouca visibilidade da Gestão
de Riscos das organizações. • Só cumprem, não avaliam

• Não comunica expectativas a respeito • Só controlam, não avaliam
dos riscos para a gerencia executiva

Quais são os riscos?

Conhecemos
nossos riscos?

Ameaças de Fraude - Integridade

Ameaças de Sabotagem
- Disponibilidade

O pior risco...

O pior risco é não
ter uma gestão
de riscos
adequada

Análise de causa-efeito

Fonte: Wikipedia

Riscos Vs Governança de TI (Cobit)

efeito

efeito

for Business
efeito
evento achieving Objectives

i to
Business
Processes efeito
Information
provide

IT Resources
and Processes

Exemplo de riscos em TI (adaptado do COBIT)

COSO/ERM
Enterprise Risk Management

- COSO/ERM – The Committee of
Sponsoring Organizations /
Enterprise Risk Management

- Framework de Gestão de
Riscos Empresariais (ERM –
Enterprise Risk Management)

- Concebido inicialmente para
atender instituições financeiras
através da avaliação de controle
internos,

- Expandido para a gestão de
riscos operacionais de qualquer
natureza

COSO/ERM - Enterprise Risk Management
4 categorias de objetivos

ISO 31000

8 componentes
interrelacionados

Desafio de uma linguagem
comum
• ISO Guide 73: Risk Management - Vocabulary
• ISO 31000: Risk Management – Principles and Guidelines on
implementation

ISO31000 – Gestão de Riscos

Processo de Gestão de Riscos: Aplicação sistemática de políticas de gestão,
procedimentos e práticas para as atividades de comunicação, consulta, definição de
contexto, identificação, análise, avaliação, tratamento, monitoração e análise crítica
referentes ao risco.

Principais desafios da Gestão de
Riscos

- Escassez de informações
- Estatísticas inexistentes
- Controles e indicadores inadequados ao
contexto dos eventos
- Dificuldades em estimar probabilidades e
impacto

Compliance

Governança

Gestão de
Compliance
Riscos

Fé vs Confiança
Santo Isidoro de Sevilla
Patrono da Internet ISO 27001

vs

Série ISO 27000
Norma Descrição Estágio
27000 Visão Geral e Vocabulário FDIS
Requisitos de Sistemas de Gestão de Segurança Publicada
27001 da Informação 2005
Código de prática para Gestão da Segurança da Publicada
27002 Informação 2005
Diretrizes para Implementação de Sistemas de
27003 Gestão de Segurança da Informação DIS
Métricas de Sistemas de Gestão de Segurança da
27004 Informação DIS
Publicada
27005 Gestão de Riscos de Segurança da Informação 2008

Requisitos para Acreditação das Partes - Publicada
27006 Sistemas de Gestão de Segurança da Informação 2007
Diretrizes para auditar Sistemas de Gestão de
27007 Segurança da Informação WD

Adoção da ISO27001 no mundo

Pag.62

ISO/IEC 27005 Gestão de Riscos
para Segurança da Informação

Pag.63

Visão Integrada

COSO

COBIT
ISO 17799

ISO 9000

O QUÊ ITIL COMO

Escopo de cobertura Fonte: Introductory COBIT
Presentation - ISACA

COBIT e outros frameworks

65

Sarbanes-Oxley Act (SOX)

Fonte: Revista CIO

Por exemplo: ISO 27001 e SOX

67

Por exemplo: Basilea II
Eventos de Risco Operacionais e CobiT

68

Por exemplo:
Cartão de Crédito – Padrão de Segurança

Payment Card Industry - Data Security Standard
www.pcisecuritystandards.org/

Motivadores

(Gazeta do Povo) Quadrilha presa lucrava R$ 20 milhões por mês com cartões clonados
http://portal.rpc.com.br/gazetadopovo/vidaecidadania/conteudo.phtml?id=818455

Como integrar tudo
isso?

71

PROCESSOS DE NEGÓCIO

SISTEMAS CHAVE

PROGRAMA DE COMPLIANCE
INVENTARIAR ANALIZAR RISCO AVALIAR RISCO TRATAR RISCOS

• Estabelecer políticas e objetivos claros
• Implementar e auditar políticas, responsabilidades, processos e procedimentos
• Implementar correções e ações preventivas, mantendo a conformidade
• Evitar retrabalho, realizando ações integradas para analisar as conformidades

CULTURA ORGANIZACIONAL

Deixe de lado o papel de “Cavaleiro
do Apocalípse, pense em 360º

Comprometimento

• GRC afeta toda a organização (TI e Não-TI)
• O sucesso de um programa estruturado de GRC depende do
comprometimento do alto escalão (governança)
• Não basta só o comprometimento, mas é necessário também o
envolvimento das principais áreas envolvidas (governança)

• Uma das formas de começar é:
• Coletar métricas sobre as não conformidades (compliance)
• Identificar benefícios gerais para os negócios (risco)
• Identificar e quantificar o Risco das não conformidades para o negócio
(risco)
• Quais as potenciais perdas que serão evitadas (risco)?
• Quais os principais ganhos que as melhorias proporcionaram?! (risco)

Comprometimento

• Envolva clientes e fornecedores na sua iniciativa, elas
também são interessadas em ajudá-lo a promover a
iniciativa na sua organização
• Uma consultoria (opinião isenta) poderá ajudá-lo no
esforço de conscientização interno
• Estabeleça um fórum e um comitê de
acompanhamento do programa de conformidade

• Evite a tentação de assumir o papel de “mensageiro do
apocalipse”

Mude o foco

• Atingimos 150 controles implementados de 599 possíveis

• .......

• Estamos protegendo nossos clientes
• Estamos mantendo a operação da nossa organização
• Reduzimos a fraudes com cartão de crédito!
• Estamos garantindo a rentabilidade dos nossos negócios

Se o seu problema for apenas atingir o “compliance” terá dificuldades
de vender o seu projeto para a sua organização

Mude o foco

A decisão final é sempre da alta gerência

A menos que sejam subsidiados de informação lógica e racional
sobre o porque eles precisam assumir uma determinada direção,
eles não assumirão

Auxilie o seu executivo a comparar o (até agora) seu problema com
outros problemas que estão na agenda da empresa

Você poderá até conseguir investimentos apenas
com o argumento de “should be compliance” mas
será o suficiente para investir em 10 cadeados para
laptops

Foque nas oportunidades

• Ganhos financeiros com a otimização
dos processo
• Criação de um diferencial competitivo
• Aumento das vendas
• Valorização da marca
• ....

Ex: Compliance com PCI

Quando uma empresa tem dados confidenciais roubados sofre
imediatamente impactos…….

• Financeiros – Multas, ressarcimento
• Código Civil - sanções legais
• Perda de credibilidade / Reputação / Imagem
• Redução de valor de suas ações

• Perda de mercado
- Os clientes NÃO COMPRAM se não se sentirem seguros

• Redução no valor de seus serviços
- Os cliente pagam mais por transações seguras!

Lembre-se que GRC significa
INTEGRAÇÃO
• Ganhe parceria de outros projetos na sua organização
• Não reinvente a roda
• Aproveite controles já existentes, você não precisa ter um controle
diferente para cada FRAMEWORK existente no mercado
• Invista na parceria com outras áreas de controle ou auditoria
interna da organização que tenham objetivos semelhantes aos
seus

Entenda como você está

Inicial/ Repetitivo/ Gerenciado y
Inexistente Definido Optimizado
Ad Hoc Intuitivo Medido
0 1 2 3 4 5

83

Verificar conformidade com
as regulamentações

ex: Cobit Vs Sox

Feito com:

Analisar os riscos para os
objetivos dos negócios

IT Goals Vs IT Processes Vs
Business Goals

Feito com:

Analisar diferenças entre o estado atual e
o desejado e implementar práticas de
controle
Alta

Alta
Criticidade

Mejorar

Analisar
Observar possivel
Baja

Baja
desperdício

Baja Alta Baja Alta

Maturidade Maturidade

Implementando GRC – “Quick Wins”

Gestão de Continuidade
dos Negocios

Gestão de Riscos
Governança

Workflow e Painel de
Controle (Dashboard)

Requisitos Legais e Gap Analysis
Regulatórios (Cobit, ISO 27000,
BS 25999, ...)

Implementação de
Políticas

Lembre-se: TI é parte integral da estratégica
de negócio

Negócios/ Visão Executiva /
Processos

Sistemas /
Serviços

Ativos

GRC - Palestra Gf 12nov2009

Mais conteúdo relacionado

Mais procurados

Destaque

Semelhante a GRC - Palestra Gf 12nov2009

GRC - Palestra Gf 12nov2009