GRC e Continuidade de Negcios

Claudio Basso claudio.basso@sionpc.com.br

 Governana
um atributo de administrao dos negcios que procura criar um nvel adequado de transparncia atravs da definio clara de mecanismos de tomada de deciso e gesto que iro garantir a aderncia aos processos e polticas estabelecidas.

COSO (Committee of Sponsoring Organizations of the Treadway Commission), ITIL (Information Technology Infrastructure Library) COBIT (Control Objectives for Information and related Technology)

 Riscos
pode ser entendido como o processo pelo qual uma empresa define seu apetite de risco, identifica os impactos potenciais e prioriza os limites de tolerncia ao risco baseada nos objetivos de negcio.
ISO 31000, ISO 27005, ISO 27001, ABNT NBR 15999 (BS 25999), BS 25777

 Conformidade
o processo que estabelece meios de registro e monitoramento de procedimentos, polticas e controles necessrios para demonstrar aderncia a requerimentos legais, polticas internas ou regulamentaes setoriais.
SOX (Sarbanes Oxley) BASELII (Basilia II) Regulamentaes setoriais especficas (Susep 380, 363, 285, 327, 344 entre outras)

ISO 27001
ITIL ABNT NBR 15999

Susep

COBIT

 Operam de forma isolada (no conversam entre si) Canalizam esforos para os mesmos objetivos: duplicando processos e desperdiando recursos. Dificultam a compreenso do assunto em torno de conceito nico.

Componente

Elemento Princpios

Fontes Comuns de Falha

Praticas TI a ser utilizada (Sistemas ou Infra)

Fonte: www.oceg.org

Passos para Implementar a GRC

1. Definir o escopo 2. Identificar leis, regulamentaes e melhores prticas a serem atendidas 3. Identificar os frameworks necessrios 4. Agregar as aes j realizadas 5. Criar o modelo de integrao, colaborao e escala

Norma ABNT NBR 15999 (BS 25999)

Benefcios
- Identifica impactos de uma interrupo antes da sua ocorrncia; - Prov respostas efetivas;

- Melhora a capacidade de administrar riscos;

- Melhora o trabalho entre equipes;

- Incrementa a reputao;
- Cria vantagens competitivas atravs da capacidade demostrada em manter a entrega. - Sistemas de gesto compatvel com outras normas disponveis no mercado (ISO 9001 e ISO 27001).

Norma ABNT NBR 15999 (BS 25999)

Resultados
- Identifica e protege produtos e servios crticos; - Ativa a capacidade de gesto de incidentes;

- Melhora a auto-compreenso da organizao e suas relaes com outras organizaes; - Capacita as pessoas para responder eficazmente ante um incidente; - Controla a cadeia de fornecedores da organizao;
- Protege a reputao da organizao; - Cumpre com obrigaes legais e regulamentares.

Escopo e Aplicao
ABNT NBR 15999-1 Cdigo de Prtica
Establecer processos, princpios e terminologia para GCN; O propsito estabelecer uma base para o entendimento, desenvolvimento e implementaco de continuidade de negcio dentro de uma organizao e para prover confiana em como esta se relaciona com seus clientes e outras organizaes. A norma prov uma base para boas prticas de GCN.

ABNT NBR 15999-2 Especificaes

Especifica requisitos para planejamento, estabelecimento, implementao, operao, monitoramento, anlise, exerccios, manuteno e melhora de um Sistema de Gesto de Continuidade de Negcios;

Genrica e aplicvel para todo tipo e porte de organizao;

Pode ser utilizada para avaliar a efetividade do sistema pela prpria organizao ou por terceiras partes, incluindo organismos de certificao.

Normas ABNT NBR 15999 - Partes 1 e 2 Requisitos

ABNT NBR 15999-1 Cdigo de Prtica ABNT NBR 15999-2 Especificaes

Prticas no auditveis
(sugestes, comentrios, guias, etc)

Requisitos de Sistemas de Gesto

(aes corretivas e preventivas, auditoria, etc)

Normas ABNT NBR 15999 - Partes 1 e 2 Modelo de Gesto

ABNT NBR 15999-1 Cdigo de Prtica ABNT NBR 15999-2 Especificaes

Fonte: www.oceg.org

Alcanar Objetivos de Negcio Reforar a Cultura Organizacional Aumentar da confiana das partes interessadas
Preparar e proteger a organizao (resilincia organizacional) Prevenir, Detectar e Reduzir Adversidades

Motivar e Inspirar Conduta desejada

Melhorar a Resposta e Eficincia Otimizar o Valor Econmico e Social

Fonte: www.oceg.org

Concluses A GCN no deve ser apenas mais um Processo dentro da Cadeia de Valor das organizaes, mais sim um Ingrediente dos Produtos e Servios oferecidos ao mercado.

A GCN somente ser compreendida e eficaz quando atender s reas de Governana, Riscos e Conformidade, principalmente se integradas atravs da GRC, e aos objetivos da estratgia organizacional.

Obrigado!