GRC e Continuidade de

Negcios

Claudio Basso

claudio.basso@sionpc.com.br

Governana

um atributo de administrao dos negcios que procura criar um nvel

adequado de transparncia atravs da definio clara de

mecanismos de tomada de deciso e gesto que iro garantir a

aderncia aos processos e polticas estabelecidas.

COSO (Committee of SponsoringOrganizations of the Treadway Commission),

ITIL (Information Technology Infrastructure Library) COBIT (Control Objectives for Information

and related Technology)

Riscos

pode ser entendido como o processo pelo qual uma empresa define

seu apetite de risco, identifica os impactos potenciais e prioriza os

limites de tolerncia ao risco baseada nos objetivos de negcio.

ISO 31000, ISO 27005, ISO 27001, ABNT NBR 15999 (BS 25999), BS 25777

Conformidade

o processo que estabelece meios de registro e monitoramento de

procedimentos, polticas e controles necessrios para demonstrar

aderncia a requerimentos legais, polticas internas ou

regulamentaes setoriais. SOX (Sarbanes Oxley)

BASELII (Basilia II) Regulamentaes setoriais especficas

(Susep 380, 363, 285, 327,

344 entre outras)

ITIL

COBIT ABNT NBR 15999

ISO 27001Susep

?

Operam de forma isolada (no conversam entre si) Canalizam esforos para os mesmos objetivos:

duplicando processos e desperdiando recursos.

Dificultam a compreenso do assunto em torno de conceito nico.

Fonte: www.oceg.org

Componente

Elemento

Princpios

Fontes Comuns de Falha

Praticas

TI a ser utilizada

(Sistemas ou Infra)

Passos para Implementar a GRC

1. Definir o escopo

2. Identificar leis, regulamentaes e melhores prticas a serem

atendidas

3. Identificar os frameworks necessrios

4. Agregar as aes j realizadas

5. Criar o modelo de integrao, colaborao e escala

Benefcios

- Identifica impactos de uma interrupo antes da sua ocorrncia;

- Prov respostas efetivas;

- Melhora a capacidade de administrar riscos;

- Melhora o trabalho entre equipes;

- Incrementa a reputao;

- Cria vantagens competitivas atravs da capacidade demostrada

em manter a entrega.

- Sistemas de gesto compatvel com outras normas disponveis

no mercado (ISO 9001 e ISO 27001).

Norma ABNT NBR 15999 (BS 25999)

Resultados

- Identifica e protege produtos e servios crticos;

- Ativa a capacidade de gesto de incidentes;

- Melhora a auto-compreenso da organizao e

suas relaes com outras organizaes;

- Capacita as pessoas para responder eficazmente

ante um incidente;

- Controla a cadeia de fornecedores da organizao;

- Protege a reputao da organizao;

- Cumpre com obrigaes legais e regulamentares.

Norma ABNT NBR 15999 (BS 25999)

Escopo e AplicaoABNT NBR 15999-1 Cdigo de Prtica

Establecer processos, princpios e terminologia para GCN;

O propsito estabelecer uma base para o entendimento, desenvolvimento eimplementaco de continuidade de negcio dentro de uma organizao e para prover

confiana em como esta se relaciona com seus clientes e outras organizaes.

A norma prov uma base para boas prticas de GCN.

ABNT NBR 15999-2 Especificaes

Especifica requisitos para planejamento, estabelecimento, implementao,operao, monitoramento, anlise, exerccios, manuteno e melhora de um

Sistema de Gesto de Continuidade de Negcios;

Genrica e aplicvel para todo tipo e porte de organizao;

Pode ser utilizada para avaliar a efetividade do sistema pela prpria organizaoou por terceiras partes, incluindo organismos de certificao.

ABNT NBR 15999-2 Especificaes

Requisitos

ABNT NBR 15999-1 Cdigo de Prtica

Requisitos

de Sistemas

de Gesto(aes corretivas e

preventivas,

auditoria, etc)

Prticas

no

auditveis(sugestes,

comentrios,

guias, etc)

Normas ABNT NBR 15999 - Partes 1 e 2

ABNT NBR 15999-2 EspecificaesABNT NBR 15999-1 Cdigo de Prtica

Modelo de Gesto

Normas ABNT NBR 15999 - Partes 1 e 2

Fonte: www.oceg.org

Fonte: www.oceg.org

Alcanar Objetivos de Negcio

Reforar a Cultura Organizacional

Aumentar da confiana das partes interessadas

Preparar e proteger a organizao

(resilincia organizacional)

Prevenir, Detectar e Reduzir Adversidades

Motivar e Inspirar Conduta desejada

Melhorar a Resposta e Eficincia

Otimizar o Valor Econmico e Social

Concluses

A GCN no deve ser apenas mais um Processo dentro da Cadeia deValor das organizaes, mais sim um Ingrediente dos Produtos eServios oferecidos ao mercado.

A GCN somente ser compreendida e eficaz quando atender s reasde Governana, Riscos e Conformidade, principalmente se integradas

atravs da GRC, e aos objetivos da estratgia organizacional.

Obrigado!