GRC e Continuidade de Negcios
� Governana
um atributo de administrao dos negcios que procura criar um nvel adequado de transparncia atravs da definio clara de mecanismos de tomada de deciso e gesto que iro garantir a aderncia aos processos e polticas estabelecidas.
COSO (Committee of Sponsoring Organizations of the Treadway Commission), ITIL (Information Technology Infrastructure Library) COBIT (Control Objectives for Information and related Technology)
� Riscos
pode ser entendido como o processo pelo qual uma empresa define seu apetite de risco, identifica os impactos potenciais e prioriza os limites de tolerncia ao risco baseada nos objetivos de negcio.
ISO 31000, ISO 27005, ISO 27001, ABNT NBR 15999 (BS 25999), BS 25777
� Conformidade
o processo que estabelece meios de registro e monitoramento de procedimentos, polticas e controles necessrios para demonstrar aderncia a requerimentos legais, polticas internas ou regulamentaes setoriais.
SOX (Sarbanes Oxley) BASELII (Basilia II) Regulamentaes setoriais especficas (Susep 380, 363, 285, 327, 344 entre outras)
�ISO 27001
ITIL ABNT NBR 15999
Susep
COBIT
� Operam de forma isolada (no conversam entre si) Canalizam esforos para os mesmos objetivos: duplicando processos e desperdiando recursos. Dificultam a compreenso do assunto em torno de conceito nico.
��Componente
Elemento Princpios
Fontes Comuns de Falha
Praticas TI a ser utilizada (Sistemas ou Infra)
Fonte: www.oceg.org
�Passos para Implementar a GRC
1. Definir o escopo 2. Identificar leis, regulamentaes e melhores prticas a serem atendidas 3. Identificar os frameworks necessrios 4. Agregar as aes j realizadas 5. Criar o modelo de integrao, colaborao e escala
�Norma ABNT NBR 15999 (BS 25999)
Benefcios
- Identifica impactos de uma interrupo antes da sua ocorrncia; - Prov respostas efetivas;
- Melhora a capacidade de administrar riscos;
- Melhora o trabalho entre equipes;
- Incrementa a reputao;
- Cria vantagens competitivas atravs da capacidade demostrada em manter a entrega. - Sistemas de gesto compatvel com outras normas disponveis no mercado (ISO 9001 e ISO 27001).
�Norma ABNT NBR 15999 (BS 25999)
Resultados
- Identifica e protege produtos e servios crticos; - Ativa a capacidade de gesto de incidentes;
- Melhora a auto-compreenso da organizao e suas relaes com outras organizaes; - Capacita as pessoas para responder eficazmente ante um incidente; - Controla a cadeia de fornecedores da organizao;
- Protege a reputao da organizao; - Cumpre com obrigaes legais e regulamentares.
�Escopo e Aplicao
ABNT NBR 15999-1 Cdigo de Prtica
Establecer processos, princpios e terminologia para GCN; O propsito estabelecer uma base para o entendimento, desenvolvimento e implementaco de continuidade de negcio dentro de uma organizao e para prover confiana em como esta se relaciona com seus clientes e outras organizaes. A norma prov uma base para boas prticas de GCN.
ABNT NBR 15999-2 Especificaes
Especifica requisitos para planejamento, estabelecimento, implementao, operao, monitoramento, anlise, exerccios, manuteno e melhora de um Sistema de Gesto de Continuidade de Negcios;
Genrica e aplicvel para todo tipo e porte de organizao;
Pode ser utilizada para avaliar a efetividade do sistema pela prpria organizao ou por terceiras partes, incluindo organismos de certificao.
�Normas ABNT NBR 15999 - Partes 1 e 2 Requisitos
ABNT NBR 15999-1 Cdigo de Prtica ABNT NBR 15999-2 Especificaes
Prticas no auditveis
(sugestes, comentrios, guias, etc)
Requisitos de Sistemas de Gesto
(aes corretivas e preventivas, auditoria, etc)
�Normas ABNT NBR 15999 - Partes 1 e 2 Modelo de Gesto
ABNT NBR 15999-1 Cdigo de Prtica ABNT NBR 15999-2 Especificaes
Fonte: www.oceg.org
�Alcanar Objetivos de Negcio Reforar a Cultura Organizacional Aumentar da confiana das partes interessadas
Preparar e proteger a organizao (resilincia organizacional) Prevenir, Detectar e Reduzir Adversidades
Motivar e Inspirar Conduta desejada
Melhorar a Resposta e Eficincia Otimizar o Valor Econmico e Social
Fonte: www.oceg.org
�Concluses A GCN no deve ser apenas mais um Processo dentro da Cadeia de Valor das organizaes, mais sim um Ingrediente dos Produtos e Servios oferecidos ao mercado.
A GCN somente ser compreendida e eficaz quando atender s reas de Governana, Riscos e Conformidade, principalmente se integradas atravs da GRC, e aos objetivos da estratgia organizacional.
�Obrigado!
