Modelo de Referência de Governança, Riscos e Conformidades

Transcrição

1 Modelo de Referência de Governança, Riscos e Conformidades v 2.1 Novembro

2 2

3 Informações do Documento Título do Documento: Modelo de Referência de Governança, Riscos e Conformidades Versão: 2.1 Versão Final Novembro/16 Data de Publicação: Nome do arquivo: Número de páginas: Modelo de Referência de GRC_v2.1 16, incluindo páginas preliminares e apêndices Controle de Versão do Documento Versão Descrição da Versão Autor Data de Publicação 0.1 Versão Preliminar Vanessa Nunes 03/10/ Versão revista Claudia Cappelli, Alexandre coutinho 05/10/ Versão Final Vanessa Nunes 06/10/ Contribuições diversas STI 07/11/2016 3

4 Sumário 1. MODELO DE REFERÊNCIA DE GRC DESCRIÇÃO OBJETIVOS E BENEFÍCIOS Valor para Outras Visões Fatores Críticos de Sucesso PAPÉIS E RESPONSABILIDADES POLÍTICAS E DIRETRIZES POLÍTICAS Diretrizes ESCOPO E ARTEFATOS Modelo Conceitual Artefatos Taxonomia de Referência PADRÕES, ASPECTOS LEGAIS, MÉTODOS E MELHORES PRÁTICAS PARA IMPLANTAÇÃO DO MODELO DE REFERÊNCIA Padrões Aspectos Legais Métodos e Melhores Práticas

5 1. Modelo de Referência de GRC 1.1. Descrição As organizações governamentais têm sido cada vez mais demandadas por mais controle, monitoramento e transparência nas ações de planejamento e gestão. Essas ações passam por realizar, em paralelo, uma efetiva gestão sobre incertezas nos resultados que se pretende alcançar, alinhado a conformidade com leis, regulamentações, políticas e padrões estabelecidos. Para endereçar esse desafio, as organizações têm recorrido a modelos que integrem a ações de Governança, Gestão de Riscos e Gestão de Conformidades como forma de unificação dos interesses comuns e conciliação de interesses opostos de cada uma destas disciplinas. O termo GRC (Governança, Riscos e Conformidade) diz respeito à integração dos processos dentro de uma organização, fazendo com que a estratégia de negócios aconteça de forma unificada e transparente, com a devida avaliação de riscos e a garantia de conformidade com as leis, regulamentações, políticas e padrões. Alinhado a esta necessidade, um dos objetivos da Arquitetura Corporativa consiste em promover a uniformização do uso e compartilhamento de elementos comuns a estas três disciplinas por todas as organizações governamentais. Neste sentido, a Visão de GRC do FACIN apresenta a forma como elementos comuns relacionados a ações de governança, riscos e conformidade devem ser descritos e relacionados entre si e estabelece padrões e diretrizes para sua descrição, categorização, compartilhamento, reuso e gestão pelas organizações governamentais. Os elementos definidos, a relação entre eles e os artefatos, diretrizes e padrões associados, descrevem o Modelo de Referência de GRC (MRG) do FACIN que estabelecem princípios comuns que as organizações governamentais devem seguir para implementar internamente a governança, gestão de riscos e gestão de conformidades. O escopo do MRG abrange: O Modelo Conceitual de Referência de GRC que contém os meta-conceitos necessários à definição, descrição, categorização e entendimento dos dados e dos relacionamentos entre eles. Uma taxonomia que descreve a categorização e hierarquia de elementos de GRC classificados por área de domínio para ser utilizada por todo o Governo e as organizações governamentais; Um conjunto de artefatos comuns para a realização de GRC pelas organizações governamentais; Um conjunto de políticas e diretrizes para implementação e gestão do MRG; Um conjunto de padrões e modelos de referência de interesse de todas as organizações governamentais relacionadas ao MRG; É importante destacar que os elementos que compõem o MRG são flexíveis e podem ser estendidos e aplicados em qualquer organização governamental para apoiar a gestão, reuso e compartilhamento de elementos e ações de GRC entre estas. Também 5

6 promovem o estabelecimento de práticas uniformes de governança, riscos e conformidade Objetivos e Benefícios O MRG foi desenvolvido com foco em resultados. Sua principal utilização é servir como auxílio às organizações governamentais no projeto e implementação de sistemas de governança, riscos e conformidades mais eficazes, eficientes e efetivos, orientados ao desempenho na prestação de serviços. Os Objetivos desta visão são: Prover um mecanismo padrão para descrever e gerir as arquiteturas de GRC das organizações governamentais; Servir como mecanismo para destacar alinhamentos e desalinhamentos de GRC das organizações governamentais e como estes se cruzam com os serviços prestados; Apoiar no desenvolvimento de modelos de custo para serviços e capacidades de TIC; Servir como mecanismo para evidenciar a governança da vinculação das decisões à estratégia e o impacto nos serviços prestados; Estabelecer uma ponte para a interoperação da governança, gestão de riscos e gestão de conformidades das organizações governamentais; Estabelecer vocabulário e padrões comuns a todas as organizações governamentais para promover unificação e reuso de elementos de GRC; Subsidiar a transparência e a responsabilidade no governo. Os Benefícios esperados são: Melhoria na geração de respostas em relação ao progresso e desempenho das organizações governamentais; Diminuir gastos com controles redundantes; Aumento da eficácia dos investimentos das organizações governamentais; Aumento da eficiência das organizações governamentais na utilização do dinheiro e recursos públicos na entrega de produtos e serviços; Aumento do alinhamento dos resultados produzidos pelas organizações governamentais em relação aos objetivos desejados por estas e pelo Governo; Facilitação da interoperabilidade entre as organizações governamentais, favorecendo uma visão de Governo como um todo ; Aumento da transparência no planejamento, gestão e medição das ações e programas executados; Maior integração entre as áreas; Maior resistência a crises. 6

7 Valor para Outras Visões Esta seção apresenta o valor que a Visão de GRC, por meio do MRG, apresenta para as outras visões que compõem o FACIN. Valor Entregue Estabelece os elementos de GRC utilizados no apoio ás ações de controle, organização e eficiência relacionadas ao atingimento dos objetivos estratégicos e em tomadas de decisão estratégica. Estabelece os elementos de GRC que atuam no controle, unificação, organização e eficiência da definição, gestão e melhoria dos processos e serviços. Estabelece os elementos de GRC que atuam no controle, unificação, organização e eficiência da governança, compartilhamento e garantia de qualidade dos dados e informações. Estabelece os elementos de GRC que atuam no controle, unificação, organização e eficiência da governança, investimento, compartilhamento e garantia de qualidade de aplicações e serviços e TI. Estabelece os elementos de GRC que atuam no controle, unificação, organização e eficiência da governança, investimentos, compartilhamento e garantia de qualidade dos ativos de infraestrutura. Estabelece os elementos de GRC que atuam no controle, unificação, organização e eficiência das ações e investimentos em segurança. Estabelece os elementos de GRC que atuam no controle, unificação, organização e eficiência da priorização, investimentos, governança e garantia de qualidade de programas e projetos de governo. Visões Relacionadas Visão de Estratégia Visão de Negócio Visão de Dados Visão de Aplicações Visão de Infraestrutura Visão de Segurança Visão de Programas e Projetos Estabelece os elementos de GRC que atuam no controle, unificação, organização e eficiência orientada aos anseios e interesses da Sociedade. Visão de Sociedade Valor entregue pela Visão de GRC para as demais Visões do FACIN 7

8 Fatores Críticos de Sucesso O sucesso na implementação do Modelo de Referência de GRC em uma organização governamental depende da observância e cuidado com alguns fatores críticos: Compromisso da alta administração da organização governamental, uma vez que o desenvolvimento e gestão do MRG dependem fortemente do esforço dos gestores; Implantação do MRG como parte integrante da governança e gestão das organizações; Implantação dos processos dos mecanismos de governança, riscos e conformidade de forma integrada; Capacidade e prontidão da organização governamental em adotar as transformações necessárias em relação às necessidades apontadas em um modelo de GRC; Garantia de uma base estável e confiável que sirva como alicerce para as iniciativas da organização governamental, mantendo a integridade, precisão e completude da Arquitetura de GRC necessárias para a melhoria contínua das operações e do atendimento das necessidades da Sociedade; Estabelecimento de um repositório comum para armazenamento de todos os documentos e artefatos produzidos pelas atividades descritas no MRG; Estabelecimento do MRG em conformidade com as definições estabelecidas para o modelo conceitual e com as políticas e diretrizes; Governança e gerenciamento adequados do repositório da arquitetura corporativa considerando todos os modelos de referência, visando manter seu conteúdo atualizado e relevante, permitindo a geração de relatórios com informações estratégicas da organização governamental para os gestores e governantes; 1.3. Papéis e Responsabilidades A operacionalização e gestão desta visão incluem, mas não se limitam, aos seguintes papéis: Alta Administração/Direção da organização governamental: Responsáveis pela governança da organização; Alta Gestão da organização governamental: Responsáveis por definir os objetivos e serviços aplicáveis ao seu contexto, com base nas metas estabelecidas dentro do planejamento do Governo como um todo e do papel exercido por sua organização em particular; Gestores intermediários da organização governamental: Responsáveis diretamente por monitorar itens de governança, riscos e conformidade; 8

9 Arquitetos da organização governamental: Responsáveis pela governança e gestão da Arquitetura Corporativa estabelecida na Organização; Comitê de Governança, Riscos e Conformidade: Responsável por institucionalizar estruturas adequadas e incentivar a adoção de boas práticas de governança, de gestão de riscos, de conformidade e controles internos. Auditoria interna: grupo executor de atividade independente e objetiva de avaliação e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização, a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, de controles internos, de integridade e de governança Políticas e Diretrizes Políticas Como política geral associada à Visão de GRC, as organizações governamentais são orientadas a buscar a conformidade com os padrões descritos neste Modelo de Referência de GRC (MRG) e a seguir as seguintes recomendações: O compromisso da alta administração da organização governamental com a iniciativa; Elaborar e manter o método de governança, riscos e conformidade de forma a garantir o contínuo monitoramento das organizações; Definir a governança e o gerenciamento da arquitetura corporativa; Adotar modelos baseados em padrões que permitam o compartilhamento de informações arquiteturais; Estar aderente às definições descritas pelo Programa Nacional de Gestão Pública e Desburocratização GESPÚBLICA mais especificamente com o Guia de Referência em Gestão Estratégica na APF, bem como à Estratégia de Governança Digital EGD Diretrizes Disponibilizar digitalmente os documentos e modelos relevantes que compõem o MRG, às organizações governamentais e à Sociedade como um todo Escopo e Artefatos Esta seção apresenta a base para o desenvolvimento de elementos comuns do MRG de forma padronizada por todas as organizações governamentais. Os conceitos e as relações entre eles, em conjunto com os artefatos mínimos estabelecidos, quando utilizados de forma consistente e unificada, apoiam a análise individual de cada organização governamental bem como a gestão do governo como um todo. 9

10 Modelo Conceitual O Modelo Conceitual de Referência de GRC provê uma apresentação dos conceitos necessários à representação da arquitetura de GRC de uma organização governamental. O MRG, quando associado às outras visões, provê também a rastreabilidade do alinhamento das ações de governança e gestão em relação às ações realizadas. A tabela abaixo apresenta as três disciplinas associadas a esta visão e os conceitos relacionados diretamente a cada uma delas. Conceitos Governança Política Diretriz Riscos Controle Conformidade Descrição Representa a forma como as decisões são tomadas. A governança refere-se ao desenvolvimento de políticas e procedimentos, à definição de responsabilidades e também à criação de diretrizes para orientar as pessoas e os processos da organização. A governança visa coordenar as diversas gestões das organizações governamentais em torno de um objetivo comum e garantindo transparência e equidade para todas as partes interessadas Representa formas de atuação (representada através de um conjunto de regras ou normas) internas das organizações governamentais e externas a elas. Devem estar em conformidade com as leis e não representarem um aumento na probabilidade de riscos. Representam regras que estabelecem linhas gerais de atuação. Devem estar em conformidade com as leis e não representarem um aumento na probabilidade de riscos. Representa os possíveis imprevistos (eventos ou condições incertas) que podem acontecer. Por meio da gestão de risco, as organizações governamentais podem identificar esses imprevistos, analisar seus impactos e planejar o que fazer para mitigá-los ou contingenciá-los. Os riscos podem ser estratégicos ou operacionais e podem estar associados a fatores externos, como a economia ou a falhas internas, como erros no processo. Podem também gerar impactos negativos (ameaças) ou positivos (oportunidades) nos objetivos (por exemplo: objetivos de prazo, custo, qualidade, escopo e imagem) de programas, projetos ou serviços a serem entregues à sociedade 1. Representa ações estabelecidas para prevenir, detectar e reagir aos riscos. Devem estar em conformidade com as leis, políticas e diretrizes. Representa as ações que visam garantir que as organizações governamentais estejam de acordo com as normas, legislações e

11 Negócios Dados Aplicações Infraestrutura Lei Padrão boas práticas de seu segmento. A gestão de conformidade trata de manter a organização adequada a estes requisitos através da implantação, monitoramento e auditoria de controles de modo a garantir e comprovar a adequação a eles. Representa um tipo de ordenamento jurídico definido na Constituição e que deve ser seguido por todas as organizações governamentais. Representa formas de realizar ações que podem ser repetidas e reutilizadas por diversas organizações governamentais. Deve estar em conformidade com as leis e não representar um aumento na probabilidade de riscos. Representa uma ação considerada bem-sucedida em um determinado contexto e que pode ser repetida e reutilizada por Melhor Prática diversas organizações governamentais. Deve estar em conformidade com as leis e não representar um aumento na probabilidade de riscos. Conceitos envolvidos no Modelo de Referência de GRC Os três conceitos devem ser trabalhados de forma integrada para manter o alinhamento entre a Estratégia e as ações e investimentos eficazes e eficientes que tragam benefícios para a Sociedade. Governança Políticas internas Estratégia Programas e Projetos Sociedade Segurança Visão holística Visão integrada Riscos Possíveis Riscos Conformidade Regulamentos Atuação transversal da GRC A visão de GRC possui uma atuação transversal à todas as visões, pois trata de processos para governar o uso eficaz, eficiente e em conformidade com as diretrizes, padrões, métodos e leis associadas a cada um dos elementos das visões do FACIN e à políticas, riscos e regulamentos definidos pela própria visão de GRC. 11

12 Artefatos A tabela abaixo apresenta o conjunto mínimo de artefatos que devem ser gerados a partir do modelo conceitual de referência de acordo com as especificidades de cada organização. Artefatos Plano de Governança do governo como um todo Plano de Governança da organização governamental Relatório de Riscos do governo como um todo Relatório de Riscos da organização governamental Legislação responsável Descrição Descreve as recomendações gerais para a implementação e evolução da arquitetura de GRC nas organizações governamentais. Estabelece o cumprimento das normas e regulamentos internos e externos e as diretrizes que garantam a prestação de contas para as soluções arquitetônicas dentro das organizações governamentais e entre estas. Descreve a lista das políticas e estruturas de GRC da organização governamental. Descreve a estrutura de riscos identificada pelo governo como um todo que contém informações como: classificação, priorização, fonte, probabilidade, consequência, impacto, duração, controles, recomendações, possíveis mitigações e possíveis tratamentos. Descreve a estrutura definida anteriormente para o contexto da organização governamental contendo justificativas para mudanças na proposta de governo como um todo. Descreve a lista de leis e regulamentos aplicáveis à organização governamental. Artefatos do MRG Taxonomia de Referência O estabelecimento de uma taxonomia de referência visa prover uma visão unificada de elementos do modelo de GRC das organizações governamentais dentro do contexto do Governo como um todo. A padronização por meio de uma taxonomia unificada provê uma linha de base para que todas as organizações governamentais padronizem uma linguagem comum de riscos e controle. Isto fortalece a interoperabilidade e integração entre as organizações governamentais, pois suas visões de GRC podem ser facilmente compreendidas por todas as outras organizações governamentais e pela Sociedade. As taxonomias de referências para este Modelo de Referência são: Taxonomia de Riscos: Visa prover uma visão unificada dos riscos comuns ao governo como um todo. 12

13 Taxonomia de controles: Define as medidas e ações estabelecidas para prevenir, detectar e reagir aos riscos. O objetivo está em estabelecer mecanismos de correção, prevenção, direção e observação para eventos que possam impactar no alcance dos objetos da organização governamental. Devem ser desenvolvidos modelos de riscos e controles pré-definidos para cada setor de atuação do negócio público de acordo com as respectivas taxonomias definidas abaixo. Taxonomia de Riscos: Classe Tipo se decompõe em se decompõe em Risco Impacta + ou - Principais componentes da Taxonomia de Referência de Riscos Essas camadas são descritas a seguir: Classe: Representa o foco de análise do risco, que pode ser associado a um Objetivo, Programa Temático, um Programa de Gestão, Manutenção e serviços ao Estado ou a uma iniciativa (programa ou projeto). Tipo: Representa o tipo do risco (baseado no projeto Universal Risk Project 2 ). Existem três tipos: Riscos de Gerenciamento, Riscos Externos e Riscos Tecnológicos o Riscos de Gerenciamento: Composto por riscos provenientes da organização responsável pela classe (um projeto, por exemplo). Podemse considerar, por exemplo, questões relacionadas à cultura, organização estrutural, tendências, condição financeira, estilo de gerenciamento, processos e metodologias utilizadas. o Riscos Externos: Composto por riscos que não estão sob controle da organização responsável pela classe. Podem-se considerar, por exemplo, ações de pessoas externas á classe, ações climáticas, mercado, economia e política

14 o Riscos Tecnológicos: Composto por riscos relativos à tecnologia e aos processos de TIC. Podem-se considerar, por exemplo, incerteza do escopo, condições de uso, complexidade da tecnologia, maturidade, limites da tecnologia, conhecimento e recursos físicos. Risco: Representa o risco que pode acontecer. o A definição do risco deve ser descrita no formato Se <risco> acontecer, Então <consequência>. A probabilidade deve ser descrita no formato A probabilidade deste risco acontecer é de <probabilidade>. Exemplo: Se esta tecnologia não estiver disponível, então a oferta do serviço pode ser interrompida. Oportunamente serão detalhadas as estruturas das taxonomias necessárias para a classificação dos diversos componentes das organizações governamentais, e definidas as políticas, responsabilidades, recursos e padrões para sua definição, criação e manutenção. Taxonomia de Controle: Tipo de Controle Tipo de Ação se decompõe em se decompõe em Ação de Controle Impacta + ou - Principais componentes da Taxonomia de Referência de Controle Essas camadas são descritas a seguir: Tipo de Controle: Representa o tipo de controle que pode ser Proativo, de Detecção e Responsivo 3. o Ações Proativas: Composto por ações preventivas e devem ser usados para encorajar condições e eventos desejados e prevenir aqueles que não são desejados. o Ações de Detecção: Composto por ações de detecção de condições, conduções e eventos, desejados e não desejados, que possivelmente podem ocorrer dentro de um contexto em andamento. 3 Padrão de GRC da OCEG: 14

15 o Ações Responsivas: Composto por ações que ajudam na recuperação e correção quando do acontecimento de uma condição, condução ou evento não desejado. Tipos de Ações: Representa os tipos de ações que podem estar relacionados ao processo, recursos humanos, tecnologia, financeiro, segurança ou físico. Ação de Controle: Representa as ações de controle propriamente Padrões, Aspectos Legais, Métodos e Melhores Práticas para Implantação do Modelo de Referência A implementação da Visão de GRC dentro da Arquitetura Corporativa diz respeito a como modelar, documentar e monitorar a governança, riscos e conformidade das ações realizadas pelas organizações governamentais. A seguir são descritas orientações para o uso de padrões, legislação relacionada e boas práticas com o intuito de apoiar o estabelecimento de ações e infraestrutura de GRC que garanta o alinhamento entre negócios e as operações de serviços de TI de forma uniforme, por todas as organizações governamentais Padrões Os padrões relacionados ao Modelo de Referência devem ser consultados na última versão disponível do documento de Referência da eping 4. O Vocabulário Controlado de Governo Eletrônico (VCGE) 5, deve ser utilizado como base para a construção das taxonomias envolvidas com este Modelo de Referência Aspectos Legais A legislação relacionada ao Modelo de Referência deve ser consultada no seguinte endereço web do SISP: voltada para a governança de TI. Entre estas, destacamos: Instrução Normativa SLTI/MP nº 4, de 11 de setembro de 2014; Decreto nº de 15 de janeiro de 2016; Instrução Normativa Conjunta MP/CGU nº 1, de 10 de maio de Métodos e Melhores Práticas Métodos e práticas relacionados ao Modelo de Referência deve ser consultada no seguinte endereço web do SISP: voltada para a governança de TI. Entre estes modelos, destacamos: 4 Endereço web: eping.governoeletronico.gov.br 5 Endereço web: vocab.e.gov.br/2011/03/vcge#esquema 15

16 COBIT 5 COSO ERM 6 : Guia para Gestão de Riscos em Organizações GESPÚBLICA: Guia para Gestão de Risco no Setor Público 7 Metodologia de Gestão de Riscos de SIC do SISP (MGR-SISP) 8 Guia de Governança de TIC do SISP 9. Para TI o ABNT NBR ISO/IEC 38500:2009: Governança corporativa de tecnologia da informação Esta Norma oferece princípios para orientar os dirigentes das organizações (incluindo proprietários, membros do conselho de administração, diretores, parceiros, executivos seniores ou similares) sobre o uso eficaz, eficiente e aceitável da Tecnologia de Informação (TI) dentro de suas organizações. o ABNT NBR ISO/IEC 27005:2011: Gestão de riscos de segurança da informação Esta Norma fornece diretrizes para o processo de gestão de riscos de segurança da informação. o ABNT NBR ISO/IEC 27002:2013: Código de prática para controles de segurança da informação Esta Norma fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. o ABNT NBR ISO 31000:2009: Gestão de riscos - Princípios e diretrizes Esta Norma fornece princípios e diretrizes genéricas para a gestão de riscos. o ABNT NBR ISO 31010:2009: Técnicas para o processo de avaliação de riscos Esta Norma é uma norma de apoio à ABNT NBR ISO e fornece orientações sobre a seleção e aplicação de técnicas sistemáticas para o processo de avaliação de riscos