© laureate international universities - 2012 (borges, capitão, dias, gonçalves, samuel) (ti ii -...

© Laureate International Universities - 2012

www.isla.pt

(Borges, Capitão, Dias, Gonçalves, Samuel)

(TI II - GRC)

GRCGovernance, Risk and Compliance


www.isla.pt


(TI II - GRC)

Conteúdos

Conceitos - O que significa as componentes GRC - Governance - Risk Management - Compliance

Drivers - Quais os problemas que o GRC visa resolver? - Porque se tornaram mais importantes estes problemas agora? O que mudou?

- Tipos de GRC

IT GRC - Usar o IT para gerir o GRC da organização - Aplicar GRC aos sistemas/processos de IT que suportam o negocio

Considerações Finais - Como quantificar/justificar o seu valor - Como validar o seu sucesso/implementação - Informações disponíveis sobre GRC - Case Studies


www.isla.pt


(TI II - GRC)

O que significa GRC


www.isla.pt


(TI II - GRC)

Governance

Assegura que todas as politicas e estratégias estão

implementadas e que todos os processos de requisitos

(obrigatórios) são corretamente seguidos.

No governance incluímos todas as normas e responsabilidades,

métricas e relatórios, e ações a tomar para resolver qualquer

questão identificada.


www.isla.pt


(TI II - GRC)

Risk

O risco é medida pela probabilidade de

uma ameaça, a vulnerabilidade de estar

sujeito a essa ameaça, e o impacto que

terá caso a mesma aconteça.

Define por risco um possível evento que pode causar

danos ou perdas ou afetar a capacidade de alcançar os

objetivos.


www.isla.pt


(TI II - GRC)

Compliance

Forma como uma organização atenua os riscos e fixa a sua

estrutura de governação, analisando e comprovando a

conformidade da sua atividade de acordo com os requisitos e

as regras definidas no seu negócio.

Compliance

Interno Externo


www.isla.pt


(TI II - GRC)

Caso Prático:

Unidade de Negócio que ao final de um semestre realiza uma quantidade de vendas abaixo da média da empresa.

Managers make critical business decisions with outdated and practically useless information leading to the surprises of missed opportunities at best or disastrous failures at worst for business, for manager, for employees, for the economy.(McGee, Gartner)


www.isla.pt


(TI II - GRC)

Governance: Definição das métricas e monitorização

Diminuição de vendas -> nº vendas = 1/3 da produção

Reclamações de entregas -> 2 reclamações por mês

Monitorização: validação de gestão de stocks, otimização registo de vendas, renovação de meios de transporte. Tomada de

decisão: contratação de outra transportadora.

Risk: Identificação e classificação do risco.

Diminuição de vendas -> incumprimento de compromissos; despedimento de pessoal; insolvência. Avaliação do risco: GRAVE;

Perda: Encerramento da Empresa.

Nº de Reclamações -> ultrapassou o limite definido pela política da empresa (falhas de entrega do produto).

Compliance: Validação e controlo

Auditoria e controlo se as medidas estão a ser aplicadas para a diminuição do risco. INFORMAÇÃO

Lançamento de alertas passado 1 mês!


www.isla.pt


(TI II - GRC)

O que significa GRC

GRC é uma abordagem integrada e holística para Gestão, Risco e Conformidade

de toda a organização, garantindo que a mesma age de forma eticamente correta

e de acordo com as suas definições de risco, as suas políticas internas e as

regulamentações externas através do alinhamento da estratégia, processos,

tecnologia e pessoas, melhorando assim a eficiência e eficácia.

Racz, N., Weippl, E. & Seufert, A. (2010)

CMS 2010 Proceedings. Berlin: Springer, pp. 106-117


www.isla.pt


(TI II - GRC)

Estrutura de GRC


www.isla.pt


(TI II - GRC)

GRC Historia

1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

GRC 0.9

GRC

“Organizations have been doing GRC since the dawn of business. We did not need a three-letter acronym to all of a sudden do GRC.” Michael Rasmussen (2013)


www.isla.pt


(TI II - GRC)

Drivers

?Stakeholders

Novas Tecnologias

Regulação

Estratégia

Concorrência

Transparência de Resultados

Fluxo Informação


www.isla.pt


(TI II - GRC)

Tipos de GRC -Market Segment

Finance and audit GRC

IT GRC ManagementControls and policy libraryPolicy distribution and responseIT Controlos self-assement and measurementAutomated geral computer control (GCC) collectionRemediation and exception managementReportingAdavanced IT risk evalutation and compliance dashboards

Enterprise risk management


www.isla.pt


(TI II - GRC)

Fluxo de Informação

The data that can be used to avoid surprises, to capitalize on opportunities, and to make midcourse corrections already exist. (McGree, Gartner)


www.isla.pt


(TI II - GRC)

Fluxo de Informação - KPMG


www.isla.pt


(TI II - GRC)

IT GRC


www.isla.pt


(TI II - GRC)

O que é o GRC IT

Se o GRC estiver bem implementado conseguimos saber os

riscos relacionados com TI e alinhar as atividades de TI

relacionadas com os regulamentos e normas da empresa.

GRC TI verifica a documentação dos riscos relacionados

com a TI e seus controles de compensação, administra o

controle periódico de auditorias e avaliações de risco,

recolhe eventos relacionados, gere a realização de planos.


www.isla.pt


(TI II - GRC)

GRC para o IT

Alinha os processos de IT com a estratégia e as políticas da organização.


www.isla.pt


(TI II - GRC)

Process model do IT GRC

...blbla


www.isla.pt


(TI II - GRC)

Modelo ISO 27001 para IT GRC


www.isla.pt


(TI II - GRC)

COBIT

COBIT é uma governança de ti que permite definir um melhor conjunto de práticas para controle de ti dentro das organizações, permitindo aos gestores de preencher as falhas entre os requisitos de controlo, questões técnicas e riscos de negócios.COBIT também destaca a conformidade regular e ajuda as organizações a aumentar o valor obtido a partir de seus investimentos em TI.


www.isla.pt


(TI II - GRC)

Modulo Risk Manager

Modulo Risk Manager permite que a organização verifique o nível de cada processo de TI dentro da organização.Módulo Risk Manager ajuda a organização na utilização do COBIT da seguinte forma:Mede os níveis de maturidade dos processos de TIVisualiza a integração dos negócios e processos de TIIdentifica os processos críticos de TIOtimiza os investimentos em TIPresta assessoria técnica em implementação de controlos e minimização dos riscos de segurança e falhas. A base de conhecimento continuamente atualizada torna o conhecimento disponível em toda a organizaçãoFornece um repositório centralizado para todos os ativos organizacionais (software, hardware, ambiente, pessoas e processos)


www.isla.pt


(TI II - GRC)

ISO / IEC 38500: 2008

Governança corporativa de tecnologia da informaçãoEscopoEsta norma fornece princípios orientadores para diretores das organizações (incluindo proprietários, diretores, parceiros, etc.) sobre o uso eficaz, eficiente e aceitável da Tecnologia da Informação (TI) dentro das suas organizações.Esta norma aplica-se à gestão dos processos de gestão e decisões, relativos aos serviços de informação e de comunicação utilizados por uma organização. Estes processos podem ser controlados por especialistas de TI dentro da organização ou externos, ou por unidades de negócio dentro da organização.


www.isla.pt


(TI II - GRC)

ISO / IEC 38500: 2008

Princípios:ResponsabilidadeEstratégiaAquisiçãoDesempenhoConformidadeComportamento Humano


www.isla.pt


(TI II - GRC)

ISO / IEC 38500: 2008

ModeloAdministração deve governar TI através de três tarefas principais:a) Avaliar o uso atual e futuro da TI.b)Implementação de planos e políticas para garantir que o uso de TI atende aos objetivos de negócios.c) Acompanhar a conformidade com as políticas e desempenho contra os planos.


www.isla.pt


(TI II - GRC)

ISACA and COBIT

ISACA promove ativamente a pesquisa que resulta no desenvolvimento de produtos relevantes e útil para a governança de TI, risco, controle, garantia e segurança profissionais.ISACA desenvolveu e mantém o framework COBIT reconhecido internacionalmente, ajudando profissionais de TI e os líderes empresariais a cumprir suas responsabilidades de governança de TI ao entregar valor ao negócio.


www.isla.pt


(TI II - GRC)

ISACA and COBIT


www.isla.pt


(TI II - GRC)

COBIT 5

COBIT 5 reúne os cinco princípios que permitem que a empresa para construir uma governação eficaz e estrutura de gerenciamento baseada em um conjunto holístico de sete facilitadores que otimiza a informação e investimento em tecnologia e o uso para o benefício dos stakeholders.


www.isla.pt


(TI II - GRC)

COBIT 5 Framework Simplificando, COBIT 5 ajuda as empresas a criar valor ideal de TI,

mantendo um equilíbrio entre a perceber os benefícios e otimizar os níveis de risco e utilização de recursos.COBIT 5 permite que a informação e a tecnologia relacionada a ser governada e gerido de uma forma holística para toda a empresa, tendo no negócio end-to-end completa e áreas funcionais de responsabilidade, considerando os interesses relacionados a TI das partes interessadas internas e externas. Nota: holística (Para resolver o problema específico, você terá que ter uma visão holistica sobre o problema maior.)


www.isla.pt


(TI II - GRC)

HUGO


www.isla.pt


(TI II - GRC)

IT para o GRC

SOFTWARE - SISTEMASAlguns dos softwares mais conhecidos:BWise ® GRC TI constrói uma ponte entre a empresa e o departamento de

TI.

O ProcessGene ™ GRC Suite fornece uma solução completa de software

para TI GRC.

SaaS

SoftExpert GRC Suite - Gestão Governança Riscos - oferece uma estrutura de

governança que possibilita uma tomada de decisão eficaz e mudanças

comportamentais


www.isla.pt


(TI II - GRC)

Tecnologia GRC

O software em si, mais uma vez como nós o conhecemos de outras áreas, é composto de uma infinidade de tecnologias de software. Armazenamento de dados, aplicações em tempo real, sistemas transacionais, frontends web, XML e muitos outros juntos construir mais ou menos ferramentas integradas que suportam GRC. Há muitas opiniões sobre quais tecnologias usar e como combiná-los da melhor forma, a fim de cobrir todos os requisitos da Integrated GRC. Ele vai fazer parte da minha pesquisa para investigar as abordagens mais promissoras e identificar semelhanças e lacunas. Do último, espero encontrar muitos. French Caldwell, vice-presidente e diretor de pesquisa do Gartner, foram tão longe como afirmar


www.isla.pt


(TI II - GRC)

Fornecedor de Software

A analise de uma lista de fornecedores de GRC é uma tarefa difícil. Tem de se questionar:O que faz com que o produto de um fornecedor de software de um produto de GRC?Onde está a linha entre a ERM, as aplicações de conformidade pura e GRC?

A fragmentação do mercado e terminologia enganosa usado em marketing dos fornecedores de software faz com que seja difícil identificar os fornecedores de GRC "reais". Para o momento, a lista abaixo é baseada em empresas mencionadas no 2.009 Gartner Magic Quadrant for Enterprise Governance, Risk and Compliance Management. Algumas outras empresas foram acrescentadas devido a solicitação. Fornecedores em destaque são empresas compartilhamento de informações com recursos de GRC em inquéritos de investigação.


www.isla.pt


(TI II - GRC)

Software venders

Featured vendors CA

The provider of IT management software released its GRC Manager in September 2007. IBM

IBM sells mostly third-party tools together with its own GRC contents and procedures. IDS ScheerThe GRC platform of IDS Scheer is architected around the ARIS Risk & Compliance Manager. MetricStream

MetricStream offers comprehensive services for audit, compliance, risk and policy management on its enterprise GRC platform.

PaisleyFounded in 1995, Paisley is one of the leading GRC software vendors with its products “Paisley Enterprise GRC” and “GRC on Demand”. In 2009 it was acquired by Thomson Reuters, combining GRC technology with Thomson Reuters business information.

ProtivitiThe risk and internal audit consulting company also offers software along with its services.

RsamRsam is the d.b.a name for Relational Security Corporation and was founded 2003.

SAPThe German business software company provides a diverse GRC suite.

http://www.grc-resource.com/?page_id=114

http://www-306.ibm.com/software/sw-bycategory/?pgel=ibmhzn&cm_re=masthead-_-products-_-sw-bycat

http://www.ids-scheer.com/en/ARIS/ARIS_Software/ARIS_Risk__Compliance_Manager/3754.html

http://www.ids-scheer.com/en/ARIS/ARIS_Software/ARIS_Risk__Compliance_Manager/3754.html


http://www.paisley.com/


http://www.rsam.com/



www.isla.pt


(TI II - GRC)

Avaliação do GRC


www.isla.pt


(TI II - GRC)

Considerações Finais sobre GRC Como quantificar o retorno financeiro.

O valor criado por o GRC sempre foi um desafio justificar aos respectivos responsáveis que avaliam o retorno financeiro gerado. - Primeira forma do retorno é pela redução de perdas, multas compensações ou restituições a clientes, indemnizações de funcionários …etc.- Segunda forma de retorno aumento eficácia ou produtividade com menos necessidade de recursos e gerando o mesmo resultado(minimizar redundância na geração de informação, redução de tempo a chegar á informação necessária). - Terceira forma do retorno, aumento da visibilidade, entendimento e capacidade de reação dos executivos.


www.isla.pt


(TI II - GRC)

Considerações Finais sobre GRC Por que a GRC não é apenas mais um modismo.

- Um desafio associado ao GRC é provar que é uma solução aos problemas nas organizações.

- GRC como um conceito não significa que será incorporado- às rotina dos executivos antes de ser analisados e

claramente identificado como a solução ao problema.- O GRC foca-se também em reutilizar informação já existente na organização ligando-o á actual necessidade de informação em uma linguagem única.


www.isla.pt


(TI II - GRC)

Considerações Finais sobre GRC

Casos práticos 1- “Definir os benefícios de gestão de risco, de forma a justificar

a implementação de um sistema de gestão de risco.” 2- “Definir os conceitos e drivers de gestão de risco, de forma a

compreender como implementar um sistema de gestão de risco” 3- “Identificar riscos aos diversos níveis.” 4-“Como elaborar matrizes de riscos de diversos processos de

negócio de uma organização.” 5-“Como chegar à melhor resposta ao risco” 6-“Elaborar um roadmap para a implementação/melhoria de

um sistema de gestão de risco”


www.isla.pt


(TI II - GRC)

Considerações Finais sobre GRC

Quais são as referências existentes sobre GRC? Sites: • http://www.pwc.pt/pt_PT/pt/formacao/imagens/2012/gestao-controlo-financas/

academiapwc_enterprise_risk_management.pdf • www.elogroup.com.br/ • http://www.itsmnapratica.com.br/carta-para-um-futuro-gerente-qual-ferramenta-

usar-para-implementar-itil-2 • • • • • • • •

© laureate international universities - 2012 (borges, capitão, dias, gonçalves, samuel) (ti ii -...

Documents