GIR - Gestão Integrada de Riscos

Transcrição

1 GIR - Gestão Integrada de Riscos Alinhado ao COSO ERM 2017, Res /2017 CMN, ISO 31000:2009 e ISO 9000:2015 Marcos Assi MSc, CRISC, ISFS Fone: Cel: marcos.assi@massiconsultoria.com.br Site: Fernando Nicolau Freitas Ferreira MSc, CCI IBGC, CISM, CRISC, CGEIT, CSSLP, CFE, CobiT, BS7799LA Fone: Cel: fernandoferreira@auditsafe.com.br Site: 25/09/2017

2 Sobre a AuditSafe

3 Sobre a AuditSafe Quem Somos Brasília Rio de Janeiro São Paulo, sede própria A AuditSafe é uma empresa de Auditoria e Consultoria com foco estratégico e atuação em Riscos Corporativos. Dada a natureza de suas operações, a AuditSafe certificou em fevereiro/2014 seu Sistema de Gestão na principal norma internacional de Segurança da Informação, denominada NBR ISO/IEC 27001:2013.

4 Sobre a AuditSafe Nossos Serviços Segurança da Informação e Cyber Security: Diagnóstico e Análise de Riscos. Implementação da ISO 27001, elaboração e revisão de processos, políticas, normas e procedimentos. Testes de Invasão (Penetration Test). Gestão de Vulnerabilidades. Body Shop - Alocação de Profissionais (Sob Demanda / Contínua) Continuidade de Negócios: Elaboração do BIA (Business Impact Analysis), Gestão de Crises, Recuperação de Desastres. Certificação Digital e ICP-Brasil: Auditoria de Autoridades Certificadoras e de Registro, ou consultoria para adequação e credenciamento. Auditoria Interna: Terceirização e adequação ao IPPF. WebTrust: Auditoria de certificação ou consultoria de implementação.

5 Sobre a MASSI

6 Sobre a MASSI Quem Somos A MASSI Consultoria e Treinamento, sediada em São Paulo Capital, com 12 anos de vivência na realização de Consultoria especializada em Controles Internos, Gestão de Riscos, Compliance, Prevenção a Fraudes e a Lavagem de Dinheiro e Mapeamento de Processos, amplamente reconhecida e premiada pela excelência na capacitação de profissionais nas áreas de Gestão de Riscos, Compliance, Controles Internos, Auditoria e Contabilidade, processos de suma importância para a gestão, transparência e conformidade dos negócios no mundo corporativo. Realizamos treinamentos e suporte operacional com as melhores metodologias de mercado COSO, COBIT, ISO 27000, ISO 31000, ISO 19600, ISO 9000 entre outros e ainda no processo de mentoria, auxiliamos na implementação, validação e aplicação das melhores práticas de mercado sempre com foco em sua estrutura. O comprometimento forte e sustentado a ser assumido pela administração da organização, bem como planejamento rigoroso e estratégico para obter o tão falado comprometimento em todos os níveis.

7 Sobre a MASSI Nossos Serviços Serviços de Consultoria, Mentoria, Coaching e treinamentos Gestão de Risco com Ênfase no Coso e na ISO 31000:2009. Controles Internos e Compliance base ISO e COSO. Programas de Integridade de Compliance. Prevenção à Lavagem de Dinheiro, Bens e Direitos. Mapeamento de Processos e Fluxos Operacionais. Auditoria Interna com base nas normas do IIA. Revisão e adequação de normativos (CVM, Bacen e SUSEP). Suporte para empresas de Meios Eletrônicos de Pagamentos.

8 Sobre a Aliança entre AuditSafe e MASSI

9 Sobre a Aliança entre AuditSafe e MASSI Propósitos em comum com colaboradores e clientes. Convergência e integração dos processos de negócios. Serviços e soluções cada vez mais completos aos clientes. Governança com base nas melhores práticas e profissionais do mercado. Foco no cliente e em resultados.

10 Contextualizando a Situação

11 Contextualizando a situação Inexistência de uma estrutura de políticas, normas e procedimentos. A gestão do controle de acesso permite uma identificação para uso comum. Inexistência de gestor da informação e do gestor do processo de riscos. Planos de continuidade que são apenas belos documentos. Registros de ações realizadas inexistentes ou com pouco tempo de guarda. Desalinhamento das práticas de Riscos Corporativos com o negócio. Usuário: pouco treinamento e conscientização. Fonte: AuditSafe

12 Contextualizando a situação Principais informações e estatísticas discutidas em Comitês e Conselhos 65% das empresas identificaram o phishing e a engenharia social como a maior ameaça. Os ataques de Ransonware estão eminentes e cada vez mais sofisticados, com grandes impactos e prejuízos financeiro e à imagem das empresas vazamento de dados. 78% das empresas sabem dos riscos de links desconhecidos, mas ainda clicam neles de qualquer maneira. 20% das organizações experimentaram uma violação de BYOD. O hacker, quando consegue invadir, permanece em média por 140 dias. Continuidade de negócios: vantagem competitiva em situações de crise. Proteção de dados dos clientes / pessoais / prontuários médicos, dentre outros. Seguro Contra Riscos Cibernéticos: incertezas sobre os verdadeiros riscos e o que cada plano cobre. Fontes: (i) Pesquisa Pomnon: 2016 Cost of Data Breach Study; (ii) Wall Street Journal

13 GIR Gestão Integrada de Riscos São Paulo: (11) e (11) Rio de Janeiro: (21) Brasília: (61)

14 Controles Internos O que não se conhece... O que não se controla... O que não se mensura... O que não se gerencia......não se pode controlar....não se pode mensurar....não se pode gerenciar....não se pode aprimorar. Fonte: Morris A. Cohen

15

16 Diagrama de Assi

17

18 COSO ERM Enterprise Risk Management Framework Governança e Cultura Estratégia e definição objetiva Desempenho Verificação e revisão Informação, comunicação e relatórios

19 COSO ERM Enterprise Risk Management Framework Avaliar mudanças substanciais Revisão dos riscos e desempenho Continuar a melhoria no Gerenciamento de Riscos Empresariais Verificação e revisão Informação, comunicação e relatórios Incrementar informações e tecnologias Comunições dos tipos de riscos Cultura, resultados e relatórios dos riscos

20 COSO ERM Enterprise Risk Management Framework Identificar os tipos de riscos Avaliar a severidade do risco Priorizar os riscos por criticidade Implementar respostas aos riscos Desenvolver a visão do portfólio TEAMWORK Desempenho Verificação e revisão

21 COSO ERM Enterprise Risk Management Framework Analisar contexto dos negócios Definir o apetite de risco Avaliar as estratégias alternativas Formular objetivos de negócios BUSINESS Estratégia e definição objetiva Desempenho

22 COSO ERM Enterprise Risk Management Framework Controle e testes de riscos pelos Conselheiros Estabelecer a estrutura operacional Definir a cultura de risco desejada Demonstrar compromisso com os Valores Fundamentais Atrair, desenvolver e manter indivíduos capacitados SUCCESS Governança e Cultura Estratégia e definição objetiva

23 Gestão Integrada de Riscos - Terminologia Elementos principais do processo de Gestão de Riscos: Mapeamento de processos, Indicadores de Performance Indicadores de riscos, Análise e avaliação de riscos, Tratamento e monitoramento de riscos.

24

25 As três linhas de defesa Órgão de Governança/Conselho/Comitê de Auditoria 1ª Linha de Defesa Controles da Gerencia Medidas de Controle Interno Alta administração 2ª Linha de Defesa Controle Financeiro Segurança Informação Gerenciamento Riscos Conformidade Monitoramento 3ª Linha de Defesa Auditoria Interna Auditoria Externa Órgãos reguladores Mercado Qualidade Adaptado do IIA Global

26 Definindo o Ambiente Externo Essa etapa visa especificar o ambiente externo no qual a empresa opera, e a definição de relacionamento entre esse ambiente e a empresa em si. O ambiente externo geralmente incluem: O mercado local, a linha de atuação e competitividade Ambiente político e financeiro O ambiente legal e regulatório Condições sócio culturais Stakeholders externos

27 Inclusão da Matriz de Compliance por departamento Inclusão dos pontos de auditoria por departamento Inclusão dos plano de melhoria por departamento GCIC Sistema de Gerenciamento de Controles Internos e Compliance em

28 A boa gestão dos Riscos deve ser encarada como mais uma forma de ganhar dinheiro. Por Fernando Ferreira. Espaço para Dúvidas e Perguntas Marcos Assi MSc, CRISC, ISFS Fone: Cel: marcos.assi@massiconsultoria.com.br Site: Software de GCIC Fernando Nicolau Freitas Ferreira MSc, CCI IBGC, CISM, CRISC, CGEIT, CSSLP, CFE, CobiT, BS7799LA Fone: Cel: fernandoferreira@auditsafe.com.br Site:

29 Agradecemos sua Atenção! Marcos Assi MSc, CRISC, ISFS Fone: Cel: Site: Fernando Nicolau Freitas Ferreira MSc, CCI IBGC, CISM, CRISC, CGEIT, CSSLP, CFE, CobiT, BS7799LA Fone: Cel: Site: