A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

GRC Governance, Risk and Compliance

PublicouCarolina Ennes Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "GRC Governance, Risk and Compliance"— Transcrição da apresentação:

1 GRC Governance, Risk and Compliance

2 Conteúdos Conceitos  - O que significa as componentes GRC     - Governance     - Risk Management     - Compliance Drivers  - Quais os problemas que o GRC visa resolver?  - Porque se tornaram mais importantes estes problemas agora? O que mudou? - Tipos de GRC IT GRC  - Usar o IT para gerir o GRC da organização  - Aplicar GRC aos sistemas/processos de IT que suportam o negocio Considerações Finais  - Como quantificar/justificar o seu valor  - Como validar o seu sucesso/implementação  - Informações disponíveis sobre GRC - Case Studies

3 O que significa GRC

4 Governance Assegura que todas as politicas e estratégias estão implementadas e que todos os processos de requisitos (obrigatórios) são corretamente seguidos. No governance incluímos todas as normas e responsabilidades, métricas e relatórios, e ações a tomar para resolver qualquer questão identificada. Módulo 3 – Service Strategy - Actual Training ITIL Foundation

5 Risk Define por risco um possível evento que pode causar danos ou perdas ou afetar a capacidade de alcançar os objetivos. O risco é medida pela probabilidade de uma ameaça, a vulnerabilidade de estar sujeito a essa ameaça, e o impacto que terá caso a mesma aconteça. 3-18 Módulo 3 – Service Strategy - Actual Training ITIL Foundation

6 Compliance Compliance Interno Externo
Forma como uma organização atenua os riscos e fixa a sua estrutura de governação, analisando e comprovando a conformidade da sua atividade de acordo com os requisitos e as regras definidas no seu negócio. Compliance Interno Externo André Rego Macieira – ELO GROUP - Esta visão - que inclui compliance interno a procedimentos/política e compliance externa a resoluções - caracteriza a capacidade de uma organização em analisar e comprovar que está aderente ou em conformidade com uma série de Requisitos e regras do negócio.

7 Caso Prático: Unidade de Negócio que ao final de um semestre realiza uma quantidade de vendas abaixo da média da empresa. Managers make critical business decisions with outdated and practically useless information leading to the surprises of missed opportunities at best or disastrous failures at worst for business, for manager, for employees, for the economy. (McGee, Gartner) De forma a pragmatizar esta discussão pode-se pensar, por exemplo, em uma Unidade de Negócio que ao final de um semestre realiza uma quantidade de vendas abaixo da média da empresa. Esta informação está disponibilizada no painel de indicadores dos executivos sendo hoje sua principal fonte de informação para tomada de decisão. Como a GRC pode contribuir com este quadro? Que tipo de informação poderia ser disponibilizado num ambiente de GRC que complementaria este entendimento do que está ocorrendo? Managers make critical business decisions with outdated and practically useless information leading to the surprises of missed opportunities at best or disastrous failures at worst for business, for manager, for employees, for the economy. (McGee, Gartner) A partir da implantação de um programa de GRC, o tomador de decisão poderia ter as seguintes informações, por exemplo: 1) notícias extraídas da área de clipping que influenciam na imagem local da empresa e certamente no consumo de produtos da região; 2) registros de problemas nas avaliações individuais de desempenho dos vendedores atuantes na região; 3) documentação de preocupações coletadas nas atas de reuniões regionais que indicavam incompatibilidades daquela região com um novo produto da empresa; 4) notificações de empresa de consultoria atuante na filial da região sugerindo a melhoria dos sistemas de informação instalados; 5) crescimento drástico do número de reclamações registrados na ouvidoria da região sobre a demora para recebimento dos produtos comprados; etc.. Não há dúvidas, que este tomador de decisão poderia fazer contato com todas as áreas apontadas e coletar as informações propostas para tomar a melhor decisão possível. Contudo, este é justamente o paradigma que a GRC deseja quebrar. We are using humans as the middleware because the IT architectural isn’t in a situation where you push the button and get the information you need. A proposta de GRC é, justamente, se conectar às diversas fontes de informação existente em uma organização, coletando continuamente as principais informações geradas nos silos funcionais e disponibilizá-las, em tempo real (ou quase real), nos painéis de indicadores e de monitoração de riscos. Busca-se, portanto, construir um ambiente de gestão com um grau de visibilidade e dinamicidade nunca antes visto para aqueles que estão tomando decisão. The data that can be used to avoid surprises, to capitalize on opportunities, and to make midcourse corrections already exist. (McGree, Gartner) © Setembro ELO Group Página 17 GRC FAQ v1.0

8 INFORMAÇÃO Governance: Definição das métricas e monitorização
Diminuição de vendas -> nº vendas = 1/3 da produção Reclamações de entregas -> 2 reclamações por mês Monitorização: validação de gestão de stocks, otimização registo de vendas, renovação de meios de transporte. Tomada de decisão: contratação de outra transportadora. Risk: Identificação e classificação do risco. Diminuição de vendas -> incumprimento de compromissos; despedimento de pessoal; insolvência. Avaliação do risco: GRAVE; Perda: Encerramento da Empresa. Nº de Reclamações -> ultrapassou o limite definido pela política da empresa (falhas de entrega do produto). Compliance: Validação e controlo Auditoria e controlo se as medidas estão a ser aplicadas para a diminuição do risco. Lançamento de alertas passado 1 mês! De forma a pragmatizar esta discussão pode-se pensar, por exemplo, em uma Unidade de Negócio que ao final de um semestre realiza uma quantidade de vendas abaixo da média da empresa. Esta informação está disponibilizada no painel de indicadores dos executivos sendo hoje sua principal fonte de informação para tomada de decisão. Como a GRC pode contribuir com este quadro? Que tipo de informação poderia ser disponibilizado num ambiente de GRC que complementaria este entendimento do que está ocorrendo? Managers make critical business decisions with outdated and practically useless information leading to the surprises of missed opportunities at best or disastrous failures at worst for business, for manager, for employees, for the economy. (McGee, Gartner) A partir da implantação de um programa de GRC, o tomador de decisão poderia ter as seguintes informações, por exemplo: 1) notícias extraídas da área de clipping que influenciam na imagem local da empresa e certamente no consumo de produtos da região; 2) registros de problemas nas avaliações individuais de desempenho dos vendedores atuantes na região; 3) documentação de preocupações coletadas nas atas de reuniões regionais que indicavam incompatibilidades daquela região com um novo produto da empresa; 4) notificações de empresa de consultoria atuante na filial da região sugerindo a melhoria dos sistemas de informação instalados; 5) crescimento drástico do número de reclamações registrados na ouvidoria da região sobre a demora para recebimento dos produtos comprados; etc.. Não há dúvidas, que este tomador de decisão poderia fazer contato com todas as áreas apontadas e coletar as informações propostas para tomar a melhor decisão possível. Contudo, este é justamente o paradigma que a GRC deseja quebrar. We are using humans as the middleware because the IT architectural isn’t in a situation where you push the button and get the information you need. A proposta de GRC é, justamente, se conectar às diversas fontes de informação existente em uma organização, coletando continuamente as principais informações geradas nos silos funcionais e disponibilizá-las, em tempo real (ou quase real), nos painéis de indicadores e de monitoração de riscos. Busca-se, portanto, construir um ambiente de gestão com um grau de visibilidade e dinamicidade nunca antes visto para aqueles que estão tomando decisão. The data that can be used to avoid surprises, to capitalize on opportunities, and to make midcourse corrections already exist. (McGree, Gartner) © Setembro ELO Group Página 17 GRC FAQ v1.0 INFORMAÇÃO

9  O que significa GRC GRC é uma abordagem integrada e holística para Gestão, Risco e Conformidade de toda a organização, garantindo que a mesma age de forma eticamente correta e de acordo com as suas definições de risco, as suas políticas internas e as regulamentações externas através do alinhamento da estratégia, processos, tecnologia e pessoas, melhorando assim a eficiência e eficácia. Racz, N., Weippl, E. & Seufert, A. (2010) CMS 2010 Proceedings. Berlin: Springer, pp GRC is an integrated, holistics approach to organisation-wide governance, risk and compliance ensuring that an organisation acts ethically correct and in accordance with its risk appetite, internal policies and external regulations through the alignment of strategy, processes, technology and people, thereby improving efficiency and effectiveness The work was published in the conference proceedings: Racz, N., Weippl, E. & Seufert, A. (2010): A frame of reference for research of integrated GRC. In: Bart De Decker, Ingrid Schaumüller-Bichl (Eds.), Communications and Multimedia Security, 11th IFIP TC 6/TC 11 International Conference, CMS 2010 Proceedings. Berlin: Springer, pp

10 Estrutura de GRC

11 GRC Historia Nosso resumo: GRC 0.9 Antes de 2002 O GRC sempre esteve presente com o negócio das empresas, contudo não com o conceito completo em si mas sim a utilização de tecnologias e metodologias implementando os componentes do GRC individualmente. GRC 1.0, 2002 to 2007 Passa a ser reconhecido o termo GRC como um todo com principal voco no financial reporting. GRC 2.0, 2007 to 2012 Ganha maior importância e credibilidade, passando a ser aplicado a outras áreas das organizações. GRC 3.0, 2013 into the future No futuro próximo prevê-se que o GRC atenue a sua complexidade, aproximando a capacidade de decisão aos níveis mais operacionais da organização, proporcionando soluções simples, móveis e de fácil utilização. ---- “Organizations have been doing GRC since the dawn of business.  We did not need a three-letter acronym to all of a sudden do GRC.” Michael Rasmussen (2013): GRC 3.0 – A History of GRC, URL: “Organizations have been doing GRC since the dawn of business. We did not need a three-letter acronym to all of a sudden do GRC.” Michael Rasmussen (2013)

12 Transparência de Resultados
Drivers Fluxo Informação Stakeholders ? Transparência de Resultados Novas Tecnologias Regulação Concorrência In its GRC Capability Model, Red Book 2.0 (April 2009), Open Compliance and Ethics Group (OCEG) defines GRC as a “system of people, processes, and technology that enables an organization to: Understand and prioritize stakeholder expectations. Set business objectives that are congruent with values and risks. Achieve objectives while optimizing risk profile, and protecting value. Operate within legal, contractual, internal, social, and ethical boundaries. Provide relevant, reliable, and timely information to appropriate stakeholders. Enable the measurement of the performance and effectiveness of the system.” Estratégia

13 Tipos de GRC -Market Segment
Finance and audit GRC IT GRC Management Controls and policy library Policy distribution and response IT Controlos self-assement and measurement Automated geral computer control (GCC) collection Remediation and exception management Reporting Adavanced IT risk evalutation and compliance dashboards Enterprise risk management Fonte: Os três tipos mais comuns de GRC são: Finance and audit GRC relaciona-se com as atividades que se destinam a assegurar o correto funcionamento de todos os processos financeiros, bem como a conformidade com os mandatos relacionados a finanças. - IT GRC Management relaciona com as atividades destinadas a garantir que a TI organização apoia as necessidades atuais e futuras do negócio, e está em conformidade com todos os mandatos relacionados a TI. Enterprise risk management foca ligando todos os três componentes via departamento jurídico de uma empresa e diretor de conformidade.

14 Fluxo de Informação Os decisores gerem: - os riscos - oportunidades Através acesso a toda a informação, independente de: - metodologias, linguagens, culturas, termos técnicos, experiências A linguagem convergente de GRC promove um aumento significativo da visibilidade e compreensão da organização para seus executivos e stakeholders. Em termos práticos: A visão prática de GRC possui os seguintes objetivos: 1. Coleta contínua e estruturada de informações corporativas dos mais diversos tipos (não estruturada, semi-estrutura e estruturada), formatos (documentos, relatórios, planilhas e sistemas, sites) e áreas; 2. Consolidação inteligente e consiste, a partir da linguagem convergente de GRC, das principais informações geradas, extrapolando os limites e barreiras funcionais referentes ao local onde o conhecimento é gerado; 3. Parametrização da inteligência do negócio, a partir dos conceitos de apetite e rating de riscos para criação de um “sistema nervoso” que dispare alertas e tarefas quando os processos e resultados não transcorrem como esperado; 4. Entrega de dashboards e reports de riscos e oportunidades que permitam aos decisores acessar em tempo real (ou quase real) a melhor informação disponível na organização que seja necessária para o gerenciamento de seus processos e resultados. A figura a seguir ilustra esta visão prática de GRC: SLIDE 09 O grande paradigma é, portanto, que decisores possam gerir seus riscos e oportunidades tendo acesso a tudo o que a organização já sabe sobre aquela determinada questão, independente das metodologias, linguagens, culturas, termos técnicos e experimentos desenvolvidos localmente nos diversos silos funcionais. A tradução das principais informações geradas para a linguagem convergente de GRC promove um aumento significativo da visibilidade e entendimento de organização para seus executivos. “When comparing the state of real-time monitoring weather patterns with real-time monitoring in business, the business world has roughly the same capability as hurricane forecasting had in Managers may hope for a sign in the sky to allow them to know the current situation (…) they are unaware of changes in the environmental around them until is to late to take action. “Its about improving every manager’s ability to meet goals by ending surprises and detecting opportunities. (…) far most of the business uncertainty we line with today is unnecessary; that the primarily negative suprises we have to come to live with should in now way be surprises” (Mcgee, Gartner) Finalmente, de forma a encerrar este item e legitimar o papel da GRC deve-se pensar no exemplo de um náufrago preso numa pequena ilha deserta cercada de água por todos os lados que começa a passar sede. Toda a água que ele precisa existe e está acessível, contudo, falta a atividade essencial de se tratar esta água para torná-la potável, e, portanto usável. Once you classify the possible information to be tracked by its priority, materiality, and other factors, you will find that no more than 5 percent of the available data is necessary to the end business surprises as we know them. (Mcgee, Gartner) © Setembro ELO Group Página 14 GRC FAQ v1.0 The data that can be used to avoid surprises, to capitalize on opportunities, and to make midcourse corrections already exist. (McGree, Gartner)

15 Fluxo de Informação Os decisores gerem: - os riscos - oportunidades Através acesso a toda a informação, independente de: - metodologias, linguagens, culturas, termos técnicos, experiências A linguagem convergente de GRC promove um aumento significativo da visibilidade e compreensão da organização para seus executivos e stakeholders. Em termos práticos: A visão prática de GRC possui os seguintes objetivos: 1. Coleta contínua e estruturada de informações corporativas dos mais diversos tipos (não estruturada, semi-estrutura e estruturada), formatos (documentos, relatórios, planilhas e sistemas, sites) e áreas; 2. Consolidação inteligente e consiste, a partir da linguagem convergente de GRC, das principais informações geradas, extrapolando os limites e barreiras funcionais referentes ao local onde o conhecimento é gerado; 3. Parametrização da inteligência do negócio, a partir dos conceitos de apetite e rating de riscos para criação de um “sistema nervoso” que dispare alertas e tarefas quando os processos e resultados não transcorrem como esperado; 4. Entrega de dashboards e reports de riscos e oportunidades que permitam aos decisores acessar em tempo real (ou quase real) a melhor informação disponível na organização que seja necessária para o gerenciamento de seus processos e resultados. A figura a seguir ilustra esta visão prática de GRC: SLIDE 09 O grande paradigma é, portanto, que decisores possam gerir seus riscos e oportunidades tendo acesso a tudo o que a organização já sabe sobre aquela determinada questão, independente das metodologias, linguagens, culturas, termos técnicos e experimentos desenvolvidos localmente nos diversos silos funcionais. A tradução das principais informações geradas para a linguagem convergente de GRC promove um aumento significativo da visibilidade e entendimento de organização para seus executivos. “When comparing the state of real-time monitoring weather patterns with real-time monitoring in business, the business world has roughly the same capability as hurricane forecasting had in Managers may hope for a sign in the sky to allow them to know the current situation (…) they are unaware of changes in the environmental around them until is to late to take action. “Its about improving every manager’s ability to meet goals by ending surprises and detecting opportunities. (…) far most of the business uncertainty we line with today is unnecessary; that the primarily negative suprises we have to come to live with should in now way be surprises” (Mcgee, Gartner) Finalmente, de forma a encerrar este item e legitimar o papel da GRC deve-se pensar no exemplo de um náufrago preso numa pequena ilha deserta cercada de água por todos os lados que começa a passar sede. Toda a água que ele precisa existe e está acessível, contudo, falta a atividade essencial de se tratar esta água para torná-la potável, e, portanto usável. Once you classify the possible information to be tracked by its priority, materiality, and other factors, you will find that no more than 5 percent of the available data is necessary to the end business surprises as we know them. (Mcgee, Gartner) © Setembro ELO Group Página 14 GRC FAQ v1.0 The data that can be used to avoid surprises, to capitalize on opportunities, and to make midcourse corrections already exist. (McGree, Gartner)

16 Fluxo de Informação - KPMG
© 2009 KPMG Risk Advisory Services Ltda., uma sociedade brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International, uma cooperativa suíça. Todos os direitos reservados. Impresso no Brasil. KDMS. KPMG e o logotipo da KPMG são marcas registradas da KPMG International, uma cooperativa suíça.

17 IT GRC Fonte: powerpoint do prof. fontan

18 O que é o GRC IT Se o GRC estiver bem implementado conseguimos saber os riscos relacionados com TI e alinhar as atividades de TI relacionadas com os regulamentos e normas da empresa. GRC TI verifica a documentação dos riscos relacionados com a TI e seus controles de compensação, administra o controle periódico de auditorias e avaliações de risco, recolhe eventos relacionados, gere a realização de planos. © 2009 KPMG Risk Advisory Services Ltda., uma sociedade brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International, uma cooperativa suíça. Todos os direitos reservados. Impresso no Brasil. KDMS. KPMG e o logotipo da KPMG são marcas registradas da KPMG International, uma cooperativa suíça.

19 GRC para o IT Alinha os processos de IT com a estratégia e as políticas da organização. - Pagina: 5 IT GRC process has to be able to (i) support management processes through the provision of information about IT risks and IT compliance aspects and through an IT governance framework that can be referred to when taking decisions; and (ii) help business processes and other support processes to be executed in an effective and efficient manner through consideration of IT risks, IT compliance aspects and through an IT governance framework

20 Process model do IT GRC ...blbla
O modelo de processo tem as características de gestão operacional e processos de suporte como afirmado no novo modelo de St. Gallen Management. Em primeiro lugar, gestão e negócio e processos de apoio dentro e fora das operações de TI podem alavancar a saída de processos de gestão de riscos de TI e compliance. Em segundo lugar, governança atua como um quadro de referência para as operações de TI, incluindo o gerenciamento de risco e de TI cumprimento. Um exemplo concreto ajuda a compreender a interação das disciplinas no modelo integrado. Durante um exercício de gestão de risco periódica, que inclui análise de requisitos de conformidade de TI um gerente de TI acha que em um dos mercados mais pequenos da empresa um novo padrão nacional para a segurança dos dados foi introduzido que supera as exigências da norma existente. O gerente precisa ponderar investir recursos para aderir à nova norma, a aquisição de hardware caro e a introdução de processos de segurança tediosas seria necessária. Entretanto, o gerente também pode optar por manter o status quo, como as medidas necessárias no novo padrão pode aumentar a segurança de dados apenas marginalmente em relação ao investimento necessário para cumprir a norma. A análise de desvio, como parte do processo de avaliação de riscos identifica várias lacunas, por isso a probabilidade de não - Compliance é alta. Em contraste, o risco de uma fuga de dados é baixa, como medidas de segurança existentes já provaram ser eficazes. O potencial impacto financeiro é calculado através de métodos de análise quantitativa de riscos, considerando a perda de receita em decorrência do risco de reputação, ea configuração ad-hoc de um projeto de acordo sob pressão de tempo. De um ponto de vista financeiro, a adesão à norma não parece valer a pena. No entanto, a organização da governança de TI codex destaca o papel da organização como um líder em práticas de segurança de dados, que tem sido considerada na definição de objectivos de conformidade. A fim de resolver a contradição, o gerente informa seu chefe, diretor de informática da empresa, da situação, entregando a análise financeira, bem como os fatos moles em torno da questão. Após a sessão, juntamente com os gestores de negócio, o CIO, que dirige a governança de TI codex ser revisto para saber se é necessária uma maior ênfase na Financia considerações l nas decisões de conformidade, e que o novo segurança de dados padrão deve ser ignorado por enquanto. Assim, a aceitação do risco é escolhido como resposta ao risco. A única atividade de gerenciamento de controle / deficiência introduzido é o Monitoramento de aceitação do padrão na indústria. Se os concorrentes ganharam uma vantagem através de conformidade com a norma, a decisão da empresa pode ter que ser reconsiderada como o risco financeiro pode vir a ser maior do que o inicialmente calculado. Finalmente, toda a decisão e comunicados às partes interessadas que estão preocupados de governança, risco e compliance. processo e os seus resultados estão documentados

21 Modelo ISO para IT GRC No IT GRC temos aplicado o Modelo ISSO visando as auditorias e as certificações. A avaliação de riscos, A política de segurança - Direção gestão, Organização da segurança da informação - governança da segurança da informação, Gestão de activos - inventário e classificação dos ativos de informação, Segurança de recursos humanos - aspectos de segurança para os funcionários juntam, movendo e deixando uma organização, Segurança física e ambiental - a protecção dos meios informáticos, Comunicação e gestão de operações - Gestão de controles técnicos de segurança nos sistemas e redes, Controle de acesso - restrição de direitos de acesso a redes, sistemas, aplicações, funções e dados, Sistemas de informação de aquisição, desenvolvimento e manutenção - segurança do prédio em aplicações, Gestão de incidentes de segurança da informação - antecipar e responder adequadamente às violações de segurança da informação, Gestão de continuidade de negócios - proteger, manter e recuperar processos e sistemas críticos de negócios, Compliance - assegurar a conformidade com as políticas de segurança da informação, normas, leis e regulamentos. Permite às empresas controlar o acesso com confiança e evitar fraudes em toda a empresa através da gestão inteligente autorizações dos empregados em ambientes mistos de TI, permitindo exceções autorizadas, e acelerando resolução de eventuais violações, além de reduzir os custos.

22 COBIT COBIT é uma governança de ti que permite definir um melhor conjunto de práticas para controle de ti dentro das organizações, permitindo aos gestores de preencher as falhas entre os requisitos de controlo, questões técnicas e riscos de negócios. COBIT também destaca a conformidade regular e ajuda as organizações a aumentar o valor obtido a partir de seus investimentos em TI. 

23 Modulo Risk Manager Modulo Risk Manager permite que a organização verifique o nível de cada processo de TI dentro da organização. Módulo Risk Manager ajuda a organização na utilização do COBIT da seguinte forma: Mede os níveis de maturidade dos processos de TI Visualiza a integração dos negócios e processos de TI Identifica os processos críticos de TI Otimiza os investimentos em TI Presta assessoria técnica em implementação de controlos e minimização dos riscos de segurança e falhas. A base de conhecimento continuamente atualizada torna o conhecimento disponível em toda a organização Fornece um repositório centralizado para todos os ativos organizacionais (software, hardware, ambiente, pessoas e processos)

24 ISO / IEC 38500: 2008 Governança corporativa de tecnologia da informação Escopo Esta norma fornece princípios orientadores para diretores das organizações (incluindo proprietários, diretores, parceiros, etc.) sobre o uso eficaz, eficiente e aceitável da Tecnologia da Informação (TI) dentro das suas organizações. Esta norma aplica-se à gestão dos processos de gestão e decisões, relativos aos serviços de informação e de comunicação utilizados por uma organização. Estes processos podem ser controlados por especialistas de TI dentro da organização ou externos, ou por unidades de negócio dentro da organização.

25 ISO / IEC 38500: 2008 Princípios: Responsabilidade Estratégia
Princípios: Responsabilidade Estratégia Aquisição Desempenho Conformidade Comportamento Humano

26 ISO / IEC 38500: 2008 Modelo Administração deve governar TI através de três tarefas principais: a) Avaliar o uso atual e futuro da TI. b)Implementação de planos e políticas para garantir que o uso de TI atende aos objetivos de negócios. c) Acompanhar a conformidade com as políticas e desempenho contra os planos.

27 ISACA and COBIT ISACA promove ativamente a pesquisa que resulta no desenvolvimento de produtos relevantes e útil para a governança de TI, risco, controle, garantia e segurança profissionais. ISACA desenvolveu e mantém o framework COBIT reconhecido internacionalmente, ajudando profissionais de TI e os líderes empresariais a cumprir suas responsabilidades de governança de TI ao entregar valor ao negócio.

28 ISACA and COBIT

29 COBIT 5 COBIT 5 reúne os cinco princípios que permitem que a empresa para construir uma governação eficaz e estrutura de gerenciamento baseada em um conjunto holístico de sete facilitadores que otimiza a informação e investimento em tecnologia e o uso para o benefício dos stakeholders.

30 COBIT 5 Framework Simplificando, COBIT 5 ajuda as empresas a criar valor ideal de TI, mantendo um equilíbrio entre a perceber os benefícios e otimizar os níveis de risco e utilização de recursos. COBIT 5 permite que a informação e a tecnologia relacionada a ser governada e gerido de uma forma holística para toda a empresa, tendo no negócio end-to-end completa e áreas funcionais de responsabilidade, considerando os interesses relacionados a TI das partes interessadas internas e externas. Nota: holística (Para resolver o problema específico, você terá que ter uma visão holistica sobre o problema maior.)

31 HUGO

32 IT para o GRC SOFTWARE - SISTEMAS
Alguns dos softwares mais conhecidos: BWise ® GRC TI constrói uma ponte entre a empresa e o departamento de TI. O ProcessGene ™ GRC Suite fornece uma solução completa de software para TI GRC. SaaS SoftExpert GRC Suite - Gestão Governança Riscos - oferece uma estrutura de governança que possibilita uma tomada de decisão eficaz e mudanças comportamentais

33 Tecnologia GRC O software em si, mais uma vez como nós o conhecemos de outras áreas, é composto de uma infinidade de tecnologias de software. Armazenamento de dados, aplicações em tempo real, sistemas transacionais, frontends web, XML e muitos outros juntos construir mais ou menos ferramentas integradas que suportam GRC. Há muitas opiniões sobre quais tecnologias usar e como combiná-los da melhor forma, a fim de cobrir todos os requisitos da Integrated GRC. Ele vai fazer parte da minha pesquisa para investigar as abordagens mais promissoras e identificar semelhanças e lacunas. Do último, espero encontrar muitos. French Caldwell, vice-presidente e diretor de pesquisa do Gartner, foram tão longe como afirmar O que você espera encontrar quando você acabou de clicar em "Tecnologia GRC"? Certamente não é o plano de construção de uma máquina de GRC onde você digita seus processos de negócios e sai o seu apetite de risco e compliance. Como sempre em tecnologia da informação, não há hardware - o que podemos desprezar - e software para GRC. O software em si, mais uma vez como nós o conhecemos de outras áreas, é composto de uma infinidade de tecnologias de software. Armazenamento de dados, aplicações em tempo real, sistemas transacionais, frontends web, XML e muitos outros juntos construir mais ou menos ferramentas integradas que suportam GRC. Há muitas opiniões sobre quais tecnologias usar e como combiná-los da melhor forma, a fim de cobrir todos os requisitos da Integrated GRC. Ele vai fazer parte da minha pesquisa para investigar as abordagens mais promissoras e identificar semelhanças e lacunas. Do último, espero encontrar muitos. French Caldwell, vice-presidente e diretor de pesquisa do Gartner, foram tão longe como afirmar “There is no such thing as a complete GRC solution. Governance cannot be shrinkwrapped. There are some vendors that offer Finance GRC Management applications, and others that offer IT GRC Management applications–but then there are dozens and dozens of other vendors that offer GRC-related technologies ranging from audit management to IT technical controls automation to e-discovery. No vendor combines all these capabilities into a single product, or even a single portfolio offering. “ Switzer, C. S. (2007): Ask the analysists: Where are we going with  technology for GRC? GRC 360°, Spring 2007, pp. 7-8. Recursos de GRC para o momento concentra-se nas aplicações de gestão de GRC Finanças. Governança, gestão de riscos, compliance, segregação de funções, controles automatizados e assim por diante são todos parte de Finanças GRC. De um ponto de vista conceptual e técnica essas soluções devem incorporar tudo o necessário em outras áreas de GRC (por exemplo, conformidade de TI, saúde ambiental ...), exceto para os respectivos projetos de processos de negócios.

34 Fornecedor de Software
A analise de uma lista de fornecedores de GRC é uma tarefa difícil. Tem de se questionar: O que faz com que o produto de um fornecedor de software de um produto de GRC? Onde está a linha entre a ERM, as aplicações de conformidade pura e GRC? A fragmentação do mercado e terminologia enganosa usado em marketing dos fornecedores de software faz com que seja difícil identificar os fornecedores de GRC "reais". Para o momento, a lista abaixo é baseada em empresas mencionadas no Gartner Magic Quadrant for Enterprise Governance, Risk and Compliance Management. Algumas outras empresas foram acrescentadas devido a solicitação. Fornecedores em destaque são empresas compartilhamento de informações com recursos de GRC em inquéritos de investigação. A analise de uma lista de fornecedores de GRC é uma tarefa difícil. Tem de se questionar: O que faz com que o produto de um fornecedor de software de um produto de GRC? Onde está a linha entre a ERM, as aplicações de conformidade pura e GRC? “Organizations are inundated with IT vendors claiming to have the answer for their risk and compliance problems. However, most of these vendors provide capabilities to meet only a single requirement or a handful of requirements and really are not a risk and compliance management vendor themselves. Real risk and compliance vendors provide a platform for documenting and overseeing risk and compliance across an organization.” Rasmussen, Michael (2006): What’s my line: Will the real GRC vendor please step forward? GRC 360°, Summer-Fall 2006, p. 14. A fragmentação do mercado e terminologia enganosa usado em marketing dos fornecedores de software faz com que seja difícil identificar os fornecedores de GRC "reais". Para o momento, a lista abaixo é baseada em empresas mencionadas no Gartner Magic Quadrant for Enterprise Governance, Risk and Compliance Management. Algumas outras empresas foram acrescentadas devido a solicitação. Fornecedores em destaque são empresas compartilhamento de informações com recursos de GRC em inquéritos de investigação.

35 Software venders Featured vendors
CA The provider of IT management software released its GRC Manager in September 2007. IBM IBM sells mostly third-party tools together with its own GRC contents and procedures. IDS Scheer The GRC platform of IDS Scheer is architected around the ARIS Risk & Compliance Manager. MetricStream MetricStream offers comprehensive services for audit, compliance, risk and policy management on its enterprise GRC platform. Paisley Founded in 1995, Paisley is one of the leading GRC software vendors with its products “Paisley Enterprise GRC” and “GRC on Demand”.  In 2009 it was acquired by Thomson Reuters, combining GRC technology with Thomson Reuters business information. Protiviti The risk and internal audit consulting company also offers software along with its services. Rsam Rsam is the d.b.a name for Relational Security Corporation and was founded 2003. SAP The German business software company provides a diverse GRC suite.

36 Avaliação do GRC Fonte: powerpoint do prof. fontan

37 Considerações Finais sobre GRC
Como quantificar o retorno financeiro. O valor criado por o GRC sempre foi um desafio justificar aos respectivos responsáveis que avaliam o retorno financeiro gerado. - Primeira forma do retorno é pela redução de perdas, multas compensações ou restituições a clientes, indemnizações de funcionários …etc. - Segunda forma de retorno aumento eficácia ou produtividade com menos necessidade de recursos e gerando o mesmo resultado(minimizar redundância na geração de informação, redução de tempo a chegar á informação necessária). - Terceira forma do retorno, aumento da visibilidade, entendimento e capacidade de reação dos executivos. A mensuração do valor criado por um programa de gestão de riscos, controles, ERM sempre foi um grande desafio para diversos profissionais de gestão de riscos, controles e auditoria interessados em materializar para seus diretores qual o retorno financeiro gerado pela área. No que tange a programas de GRC este desafio é certamente igual ou até mesmo maior. Uma primeira parcela do retorno gerado pela GRC pode ser calculada pela redução do histórico de perdas ocorridas. Esta visão está fortemente associada à visão de apuração de perdas (pergunta 29), sendo composta de itens como: multas, compensações ou restituições a cliente, indenização de funcionários, homens hora de retrabalho, ativos físicos danificados, perdas de receitas programadas, perda de transação, indenização de fornecedores, desperdício de matéria-prima, etc.. A segunda parcela deste retorno se refere ao aumento da eficiência ou produtividade de uma organização percebida como uma menor necessidade de recursos (ou inputs) para gerar os mesmos resultados (ou outputs). Devido ao aumento da sinergia entre as diversas áreas organizacionais espera-se: (1) uma minimização de redundâncias na geração de informação entre diferentes áreas e (2) uma redução na necessidade de tempo para se localizar as informações necessárias. Entre itens financeiros de aumento de eficiência pode-se pensar em: homem-hora de funcionários, horas de contratos com terceiros, quantidade de matéria-prima utilizados, etc.. A terceira parcela que compõe a quantificação do retorno financeiro se refere aos ganhos gerados pelo fato da tomada de decisão se torna mais rápida e assertiva. Contudo, esta parcela acaba sendo a mais difícil de ser calculada... Como quantificar quanto deixou de ser perdido, devido a um novo tipo de ameaça evitada por gestores que rapidamente a detectaram no ambiente de GRC? Como quantificar o ganho extra gerada por uma oportunidade ter sido identificado com grande antecedência ou ter sido explorada de forma mais efetiva? O grande desafio, é que para programas bem sucedidos de GRC, esta terceira parcela é justamente a maior responsável pelo retorno auferido para o negócio. Para entender a complexidade deste desafio, pode-se pensar em alguma pessoa que sugerisse um controle que viesse a evitar ou minimizar o atentado de 11 de Setembro. O mérito desta decisão não teria sido valorizado, como deveria, uma vez que o atentado terrorista não teria ocorrido. Quantas decisões assertivas que implicaram em grandes ganhos, ou evitaram grandes perdas, que não tiveram seu retorno quantificado, simplesmente, por que não conseguimos pensar e estimar como os fatos poderiam ter transcorrido de forma distinta? Como provar que estas decisões não teriam sido tomadas sem as informações de um determinado dashboard? Finalmente, gostaríamos de observar que se os programas de GRC efetivamente aumentarem drasticamente o nível de visibilidade, entendimento e capacidade de reação dos executivos em relação a sua organização - certamente ninguém questionará o valor da manutenção de uma estrutura de GRC. Todo este conjunto de práticas será incorporado sinergicamente na tomada de decisão da organização, como se fosse uma evolução natural, e até mesmo, óbvia dos sistemas de gestão. “ If HP knew what HP knows, it would be three times more profitable” (Lew Plat, CEO of HP) O custo da atividade de coletar traduzir as principais informações geradas para a linguagem de GRC, e armazená-las para serem reutilizadas no ambiente de GRC é marginal frente ao custo de geração da própria informação.

38 Considerações Finais sobre GRC
Por que a GRC não é apenas mais um modismo. Um desafio associado ao GRC é provar que é uma solução aos problemas nas organizações. GRC como um conceito não significa que será incorporado às rotina dos executivos antes de ser analisados e claramente identificado como a solução ao problema. - O GRC foca-se também em reutilizar informação já existente na organização ligando-o á actual necessidade de informação em uma linguagem única. Um grande desafio associado à gestão de riscos é provar aos demais que efetivamente é uma solução para uma dor latente nas organizações, em detrimento a mais uma moda disseminada por pesquisadores, consultorias, fornecedores de tecnologias e mídias especializadas. Primeiramente, observa-se que o reconhecimento da GRC como um conceito interessante não significa que ele será incorporado à rotina dos executivos. Antes de se pensar em qualquer solução, deve-se entender claramente qual a demanda ou qual a “dor” a ser solucionada. Ressalta-se ainda que algumas organizações acabam apresentando equivocadamente que a inexistência ou insuficiência de um programa de GRC é o próprio problema a ser resolvido. Neste caso, entendemos que existe efetivamente uma demanda, ou uma “dor” a ser tratada (vide perguntas 15, 16 e 17): A complexidade do ambiente de gestão efetivamente evoluiu de forma muito mais acelerada e dinâmica do que a modernização dos sistemas e ferramentas de gestão. Desta forma, gerir uma área se tornou algo mais complicado, tomar uma decisão se tornou mais desconfortável, responder o que está ocorrendo na organização passa a gerar um maior grau de insegurança, etc.. The Managing work is reaching never seen levels of complexity Managers make critical business decisions with outdated and practically useless information leading to the surprises of missed opportunities at best or disastrous failures at worst for business, for manager, for employees, for the economy. (Gartner) Ressalta-se ainda que diversas referências em management chamam atenção para este fato independente de julgar qual a solução a ser adotada. Ou seja, a demanda por melhorias nos sistemas de gestão é concreta não se tratando de uma motivação adicional criado pela corrente de GRC. “Some challenges simply can't be met without reinventing our 100-year-old management model” (Gary Hamel – The Future of Management) Nós observamos que empresas estavam tendo dificuldades para tirar vantagem das oportunidades criadas pela digitalização e pela globalização por que suas organizações não foram desenvolvidas para o novo mundo (Bryan & Joyce, McKinsey) “Trinta anos atrás, um gestor tinha a opção de ir devagar, esperando pela informação quando decisões estratégicas importantes eram necessárias. O gestor de hoje não tem esse luxo, o ritmo dos negócios acelerou e as decisões são requeridas imediatamente mesmo quando a informação usada está desatualizada.” (Kenneth G. McGee; Heads Up; Gartner; 2004) Um programa de GRC em suma é uma coletânea de boas práticas gerenciais incorporadas de diversas outras disciplinas como gestão de projetos, gestão de processos, gestão da qualidade, projeto organizacional, etc. que tem como diferencial a idéia de ser uma linguagem e metodologia universal de análise para criação de convergência e reusabilidade para informação gerada pelas diversas áreas de negócio e suporte. “We are using humans as the middleware because the IT architectural isn’t in a situation where you push the button and get the information you need” “As unexpected events begin to materialize, someone somewhere sees early warning signs. But the first to know tend to be lower in rank, invisible, reluctant to speak up, and may not even realize that what they are seeing is important.” (Gartner) Entendemos que faz algum tempo que o problema não é a falta de informação. Diversos estudos apontam que o conhecimento necessário para que um executivo tome uma decisão de fato existe, mas está “jogada em algum canto da sala.” Desta forma, a filosofia de GRC se foca justamente em dar re-usabilidade e organização as informações já existentes, conectando fontes e demandas de informação em uma linguagem única baseada em taxonomia e rating. Pela primeira vez, pessoas de negócio têm a habilidade de detectar oportunidades e evitar desastres de maneira consistente, de forma a acabar com as surpresas no negócio. “Its about improving every manager’s ability to meet goals by ending surprises and detecting opportunities. (…) far most of the business uncertainty we line with today is unnecessary; that the primarily negative suprises we have to come to live with should in now way be surprises” Business surprises should not be surprises. The information that would allows managers to turn these currently unexpected events in opportunities is available. (Kenneth G. McGee) Entre 70% e 80% das informações do negócio estão disponíveis na própria empresa, mas ninguém utiliza com eficiência. (Robson Alberoni)

39 Considerações Finais sobre GRC
Casos práticos 1- “Definir os benefícios de gestão de risco, de forma a justificar a implementação de um sistema de gestão de risco.” 2- “Definir os conceitos e drivers de gestão de risco, de forma a compreender como implementar um sistema de gestão de risco” 3- “Identificar riscos aos diversos níveis.” 4-“Como elaborar matrizes de riscos de diversos processos de negócio de uma organização.” 5-“Como chegar à melhor resposta ao risco” 6-“Elaborar um roadmap para a implementação/melhoria de um sistema de gestão de risco”

40 Considerações Finais sobre GRC
Quais são as referências existentes sobre GRC? Sites:

Carregar ppt "GRC Governance, Risk and Compliance"

Apresentações semelhantes

Estudando com Profª Simony

Estudando com Profª Simony
Administração de Sistemas de Informação

Administração de Sistemas de Informação
Tecnologia da Informação para Valor de Negócio

Tecnologia da Informação para Valor de Negócio
Administração e segurança de redes

Administração e segurança de redes
GERENCIAMENTO DE INTEGRAÇÃO DO PROJETO

GERENCIAMENTO DE INTEGRAÇÃO DO PROJETO
Gestão e Governança de TI Parte 06

Gestão e Governança de TI Parte 06
E-business: Como as Empresas Usam os Sistemas de Informação.

E-business: Como as Empresas Usam os Sistemas de Informação.
Segurança da Informação

Segurança da Informação
SISTEMAS OPERACIONAIS ERP E SCM

SISTEMAS OPERACIONAIS ERP E SCM
Governança de TI COBIT x ITIL

Governança de TI COBIT x ITIL
Apresentação da compilação dos resultados das pesquisas.

Apresentação da compilação dos resultados das pesquisas.
Gerenciamento da Integração

Gerenciamento da Integração
O processo de coletar os requisitos (escopo do cliente)

O processo de coletar os requisitos (escopo do cliente)
Preço IBM Service Manager for Smart Business em torno de R$6.000,00 por usuário o preco so é mantido para empresas MidMarket / por usuário Preço referência.

Preço IBM Service Manager for Smart Business em torno de R$6.000,00 por usuário o preco so é mantido para empresas MidMarket / por usuário Preço referência.
Projeto em Engenharia de

Projeto em Engenharia de
Control Objectives for Information and related Technology

Control Objectives for Information and related Technology
ENTERPRISE RESOURSE PLANNING

ENTERPRISE RESOURSE PLANNING
Infraestrutura de tecnologia da informação

Infraestrutura de tecnologia da informação
Apresentação Institucional 2008/04

Apresentação Institucional 2008/04
Código de Ética – Auditoria de Sistemas

Código de Ética – Auditoria de Sistemas

Apresentações semelhantes

Anúncios Google