Gesto de Riscos: Realidade no Brasil e desenvolvimento da nova ISO 31000

Comit Especial de Gesto de Riscos - ABNT

Alberto Bastos, CISSP, MCSO Coordenador CEE Gesto de Riscos

abastos@modulo.com.br

Copyright Mdulo - 2007 - Todos os Direitos Reservados

O que risco?
Copyright Mdulo - 2007 - Todos os Direitos Reservados

efeito da incerteza nos objetivos

Viso do Risco
Nunca na histria tivemos to formidvel tecnologia. Todo o avano cientfico conhecido pela humanidade foi incorporado no projeto. Os controles operacionais so a prova de falhas!
E.J. Smith, Captain of the Titanic
Copyright Mdulo - 2007 - Todos os Direitos Reservados

A Empresa com Alma Francisco Gomes de Matos

Copyright Mdulo - 2007 - Todos os Direitos Reservados

Supervalorizar o risco, acaba por desacredit-lo. Subestimar o risco, abre a guarda ao fracasso!

Viso do Risco
Copyright Mdulo - 2007 - Todos os Direitos Reservados

Atividades coordenadas para dirigir e controlar uma organizao com relao ao risco.

Copyright Mdulo - 2007 - Todos os Direitos Reservados

Gesto de Riscos nas organizaes

S&P estimula corretoras a investir em ERM

So Paulo, 15 de Maio de 2008

A importncia do gerenciamento de risco ganhou um novo estmulo. A Standard & Poors, agncia internacional de rating, divulgou que a partir do terceiro trimestre de 2008 ir passar a considerar o ERM (Enterprise Risk Management) em seus critrios de ratings.

Copyright Mdulo - 2007 - Todos os Direitos Reservados

Riscos Corporativos
Os riscos de uma empresa vo muito alm do risco de acidentes com incndio, roubo e perdas com transporte. preciso pensar nos riscos que podem comprometer a sustentabilidade da organizao como danos causados ao meio ambiente, reputao, logstica, risco poltico e at mesmo de auditorias.
Copyright Mdulo - 2007 - Todos os Direitos Reservados

Riscos mais temidos

Pesquisa realizada pela Aon com 320 executivos de diversos segmentos, em 29 pases, revelou que o risco mais temido pelas corporaes "danos reputao da empresa". O segundo risco potencial foi a interrupo de negcios e o terceiro maior risco foi o de responsabilidade civil, potencializado pela globalizao.
Copyright Mdulo - 2007 - Todos os Direitos Reservados

Quebra de imagem e reputao

O governo chins fechou uma revista que publicou um ensaio de fotos de modelos em lingerie com bandagens ensangentadas posando no meio dos prdios demolidos pelo terremoto que atingiu a provncia de Sichuan e deixou mais de 65 mil mortos . O governo poder permitir que a revista volte a operar no futuro, argumentando que a redao inteira no deveria ser culpada pelo erro editorial de apenas alguns profissionais da chefia.

Copyright Mdulo - 2007 - Todos os Direitos Reservados

Normas internacionais
Copyright Mdulo - 2007 - Todos os Direitos Reservados

Gesto de Riscos Corporativos

Compliance Seguros

TI

ERM

SMS

Estratgia
Modelos isolados Integrao

Copyright Mdulo - 2007 - Todos os Direitos Reservados

COSO: Enterprise Risk Management (ERM)

Copyright Mdulo - 2007 - Todos os Direitos Reservados

O que norma?
Copyright Mdulo - 2007 - Todos os Direitos Reservados

um documento estabelecido por consenso e aprovado por um organismo reconhecido, que fornece, para uso comum e repetitivo, regras, diretrizes ou caractersticas para atividades ou seus resultados, visando obteno de um grau timo de ordenao em um dado contexto.
Definio internacional - Fonte: ABNT

O uso de Normas Brasileiras obrigatrio?

Copyright Mdulo - 2007 - Todos os Direitos Reservados

As Normas Brasileiras so desenvolvidas e utilizadas voluntariamente. Elas tornam-se obrigatrias somente quando explicitadas em um tornaminstrumento do Poder Pblico (lei, decreto, portaria, normativa, etc) ou quando citadas em contratos. Entretanto, mesmo no sendo obrigatrias, as normas so sistematicamente adotadas em questes judiciais por conta do Inciso VIII do Art. 39 do Cdigo de Defesa do Consumidor. Fonte: ABNT

O Desafio da Linguagem nica

Copyright Mdulo - 2007 - Todos os Direitos Reservados

ISO Guide 73: Risk Management - Vocabulary ISO 31000: Risk Management Principles and Guidelines on implementation China Meeting Dez/2007 Singapura Meeting Dez/2008

ISO 31000 Gesto de Riscos - Framework

Copyright Mdulo - 2007 - Todos os Direitos Reservados

ISO 31000 Gesto de Riscos - Processo

Copyright Mdulo - 2007 - Todos os Direitos Reservados

ISO 31000 Gesto de Riscos 11 Princpios

1. Criar valor 2. Ser parte integrante dos processos da organizao 3. Ser parte do processo decisrio 4. Tratar a incerteza explicitamente 5. Ser sistemtica e estruturada 6. Basear-se na melhor informao possvel Basear7. Ser customizvel 8. Considerar os fatores humanos 9. Ser transparente e incluir as partes interessadas 10. Ser dinmica, iterativa e responder a mudanas dinmica, 11. Ser continuamente melhorada
Copyright Mdulo - 2007 - Todos os Direitos Reservados

Cronograma
International Standard Final Draft IS Final CD Committee Draft Working Draft New Proposal Study Period
Publicao!
Copyright Mdulo - 2007 - Todos os Direitos Reservados

2009 - Genebra 2008 - Singapura 2007 - China 2007 Ottawa 2006 Sidney e Viena 2005 - Tokyo

Srie ISO/IEC 27000

Copyright Mdulo - 2007 - Todos os Direitos Reservados

COBIT
PO9 - Avaliao e Gesto de Riscos em TI
Copyright Mdulo - 2007 - Todos os Direitos Reservados

34 processos de TI, sendo um deles especfico para Avaliao e Gesto dos Riscos de TI (PO9).

Objetivos de Controle Detalhados: PO9.1 IT Risk Management Framework PO9.2 Establishment of Risk Context PO9.3 Event Identification PO9.4 Risk Assessment PO9.5 Risk Response PO9.6 Maintenance & Monitoring of a Risk Action Plan

ABNT NBR 15999

Gesto de Continuidade de Negcios
Copyright Mdulo - 2007 - Todos os Direitos Reservados

NBR 15999-1:2007
Lanada em 30/outubro Cdigo de Prtica Norma BS 25999-1:2006 - Publicada em Dez/2006

BS 25999-2:2007 (certificao) - Publicada em set/2007 - NBR (em andamento)

ISO/DIS 13824

Copyright Mdulo - 2007 - Todos os Direitos Reservados

Participao Brasileira
CEET Gesto de Riscos
NBR ISO Guia 73

Participao no WG on RM
Sidney, Vienna, Ottawa e Sanya

120 comentrios ~70% considerados

Nmero redondo: ISO 31000

Grupos de Trabalho
Gesto de Continuidade de Negcios
NBR 15999-1

Risco como oportunidade Riscos em Projetos

Liasion CB21 ISO 27005

Copyright Mdulo - 2007 - Todos os Direitos Reservados

Linguagem nica ISO Guia 73

Um dos desafios da implementao da estrutura de gerenciamento de riscos manter uma linguagem nica com a operao, a ISO Guia 73 um bom caminho, inclusive por estar integrado Legislao brasileira.
GESTO DE RISCOS (3.1.7) ANLISE E AVALIAO DE RISCOS (3.3.1) ANLISE DE RISCOS (3.3.2) IDENTIFICAO DE FONTES (3.3.4) ESTIMATIVA DE RISCOS (3.3.5) AVALIAO DE RISCOS (3.3.6) TRATAMENTO DO RISCO (3.4.1) AO DE EVITAR O RISCO (3.4.6) OTIMIZAO DO RISCO (3.4.3) TRANSFERNCIA DO RISCO (3.4.7) RETENO DO RISCO (3.4.9) ACEITAO DO RISCO (3.4.10) COMUNICAO DO RISCO (3.2.4)

Copyright Mdulo - 2007 - Todos os Direitos Reservados

Lanamento do Handbook para Gesto de Riscos Positivos

Copyright Mdulo - 2007 - Todos os Direitos Reservados

AS/NZS 4360
Risk is the chance of something happening that will have an impact on objectives.
Copyright Mdulo - 2007 - Todos os Direitos Reservados
Opportunities Threats

 Copyright Mdulo - 2007 - Todos os Direitos Reservados

Tendncias

Santo Isidoro de Sevilha NBR ISO 27001

Copyright Mdulo - 2007 - Todos os Direitos Reservados

F X Confiana

Orao para antes de se conectar Internet

Deus Todo Poderoso, que nos criou Vossa imagem e nos indicou o caminho do bem, do verdadeiro e do belo, especialmente na pessoa divina de Vosso Filho Unignito, Nosso Senhor Jesus Cristo, permiti-nos que, pela intercesso permitide Santo Isidoro, bispo e doutor, durante nossas navegaes pela Internet, dirijamos nossas mos e nossos olhos apenas quelas coisas que Vos sejam aprazveis e que tratemos com caridade e pacincia todas aquelas almas que encontrarmos pelo caminho. Por Cristo Nosso Senhor, Amem. Santo Isidoro, rogai por ns! Santo Isidoro de Sevilha, 4 de abril Sevilha,
Copyright Mdulo - 2007 - Todos os Direitos Reservados

Gesto de Riscos
Informalidade Aes Hericas Apagar incndios Baseada em Talentos Conflito de atribuies Falta de Controle Solues desintegradas nfase em tecnologia Normas e Padres Processos documentados Foco na preveno Requisitos definidos Responsabilidades estabelecidas Indicadores Otimizao de Investimentos nfase em gesto

Processo de Maturidade Gesto de Riscos

Copyright Mdulo - 2007 - Todos os Direitos Reservados

ISO 27001 Certificados por Pas

Copyright Mdulo - 2007 - Todos os Direitos Reservados

 Copyright Mdulo - 2007 - Todos os Direitos Reservados

Primeiro Banco certificado BS 25999 no mundo!

Copyright Mdulo - 2007 - Todos os Direitos Reservados

Chief Risk Office

Copyright Mdulo - 2007 - Todos os Direitos Reservados

Governance + Risk + Compliance

Copyright Mdulo - 2007 - Todos os Direitos Reservados

Convergncia

Modelo Integrado GRC

Agncias reguladoras

Segurana da Informao Segurana Patrimonial Gesto de Riscos Auditoria TI reas de Negcio

Fornecedores

Funcionrios

Riscos
Compliance Controles Internos O&M

Copyright Mdulo - 2007 - Todos os Direitos Reservados

Gesto Empresarial

Governana Corporativa

Automao da Gesto de Riscos

Aumentar a produtividade da equipe Informaes centralizadas Processo estruturado e replicvel Padronizao e Documentao Registros e Evidncias Relatrios, grficos e consultas Coleta automtica de informaes Continuidade e Histrico dos riscos
Copyright Mdulo - 2007 - Todos os Direitos Reservados

Obrigado! Por favor enviem tambm suas

perguntas e sugestes por email!
Copyright Mdulo - 2007 - Todos os Direitos Reservados

Alberto Bastos abastos@modulo.com.br