gir - gestão integrada de riscos - static.eventials.com · gir - gestão integrada de riscos...
TRANSCRIPT
GIR - Gestão Integrada de RiscosAlinhado ao COSO ERM 2017, Res. 4.557/2017 CMN, ISO 31000:2009 e ISO 9000:2015
Fernando Nicolau Freitas FerreiraMSc, CCI IBGC, CISM, CRISC, CGEIT, CSSLP, CFE, CobiT, BS7799LA
Fone: +55 11 2626-1480 | Cel: +55 11 98181-6100E-mail: [email protected]
Site: www.auditsafe.com.br
25/09/2017
Marcos AssiMSc, CRISC, ISFS
Fone: +55 11 2387-4837 | Cel: +55 11 98147-0450E-mail: [email protected]
Site: www.massiconsultoria.com.br
[email protected] | [email protected]
Sobre a AuditSafe
[email protected] | [email protected]
Sobre a AuditSafe | Quem Somos
• A AuditSafe é uma empresa de Auditoria eConsultoria com foco estratégico e atuaçãoem Riscos Corporativos.
• Dada a natureza de suas operações, aAuditSafe certificou em fevereiro/2014 seuSistema de Gestão na principal normainternacional de Segurança da Informação,denominada NBR ISO/IEC 27001:2013.São Paulo, sede própria
Rio de Janeiro
Brasília
[email protected] | [email protected]
Sobre a AuditSafe | Nossos Serviços
• Segurança da Informação e Cyber Security:• Diagnóstico e Análise de Riscos.• Implementação da ISO 27001, elaboração e revisão de
processos, políticas, normas e procedimentos.• Testes de Invasão (Penetration Test).• Gestão de Vulnerabilidades.• Body Shop - Alocação de Profissionais (Sob Demanda /
Contínua)
• Continuidade de Negócios:• Elaboração do BIA (Business Impact Analysis), Gestão de
Crises, Recuperação de Desastres.
• Certificação Digital e ICP-Brasil:• Auditoria de Autoridades Certificadoras e de Registro, ou
consultoria para adequação e credenciamento.
• Auditoria Interna:• Terceirização e adequação ao IPPF.
• WebTrust:• Auditoria de certificação ou consultoria de implementação.
[email protected] | [email protected]
Sobre a MASSI
[email protected] | [email protected]
A MASSI Consultoria e Treinamento, sediada em São Paulo – Capital, com 12 anos de vivência narealização de Consultoria especializada em Controles Internos, Gestão de Riscos, Compliance, Prevençãoa Fraudes e a Lavagem de Dinheiro e Mapeamento de Processos, amplamente reconhecida e premiadapela excelência na capacitação de profissionais nas áreas de Gestão de Riscos, Compliance, ControlesInternos, Auditoria e Contabilidade, processos de suma importância para a gestão, transparência econformidade dos negócios no mundo corporativo.
Realizamos treinamentos e suporte operacional com as melhores metodologias de mercado COSO,COBIT, ISO 27000, ISO 31000, ISO 19600, ISO 9000 entre outros e ainda no processo de mentoria,auxiliamos na implementação, validação e aplicação das melhores práticas de mercado sempre com focoem sua estrutura.
O comprometimento forte e sustentado a ser assumido pela administração da organização, bem comoplanejamento rigoroso e estratégico para obter o tão falado comprometimento em todos os níveis.
Sobre a MASSI| Quem Somos
[email protected] | [email protected]
➢ Gestão de Risco com Ênfase no Coso e na ISO 31000:2009.
➢ Controles Internos e Compliance base ISO 19600 e COSO.
➢ Programas de Integridade de Compliance.
➢ Prevenção à Lavagem de Dinheiro, Bens e Direitos.
➢ Mapeamento de Processos e Fluxos Operacionais.
➢ Auditoria Interna com base nas normas do IIA.
➢ Revisão e adequação de normativos (CVM, Bacen e SUSEP).
➢ Suporte para empresas de Meios Eletrônicos de Pagamentos.
Serviços de Consultoria, Mentoria, Coaching e treinamentos
Sobre a MASSI| Nossos Serviços
Sobre a Aliança entreAuditSafe e MASSI
[email protected] | [email protected]
Sobre a Aliança entre AuditSafe e MASSI
• Propósitos em comum com colaboradores e clientes.
• Convergência e integração dos processos de negócios.
• Serviços e soluções cada vez mais completos aos clientes.
• Governança com base nas melhores práticas e profissionais do mercado.
• Foco no cliente e em resultados.
Contextualizando a Situação
[email protected] | [email protected]
Contextualizando a situação
• Inexistência de uma estrutura de políticas, normas e procedimentos.
• A gestão do controle de acesso permite uma identificação para uso comum.
• Inexistência de gestor da informação e do gestor do processo de riscos.
• Planos de continuidade que são apenas belos documentos.
• Registros de ações realizadas inexistentes ou com pouco tempo de guarda.
• Desalinhamento das práticas de Riscos Corporativos com o negócio.
• Usuário: pouco treinamento e conscientização.
Fonte: AuditSafe
[email protected] | [email protected]
Contextualizando a situação
• Principais informações e estatísticas discutidas em Comitês e Conselhos
• 65% das empresas identificaram o phishing e a engenharia social como a maior ameaça.
• Os ataques de Ransonware estão eminentes e cada vez mais sofisticados, com grandes impactos e prejuízos
financeiro e à imagem das empresas – vazamento de dados.
• 78% das empresas sabem dos riscos de links desconhecidos, mas ainda clicam neles de qualquer maneira.
• 20% das organizações experimentaram uma violação de BYOD.
• O hacker, quando consegue invadir, permanece em média por 140 dias.
• Continuidade de negócios: vantagem competitiva em situações de crise.
• Proteção de dados dos clientes / pessoais / prontuários médicos, dentre outros.
• Seguro Contra Riscos Cibernéticos: incertezas sobre os verdadeiros riscos e o que cada plano cobre.
Fontes: (i) Pesquisa Pomnon: 2016 Cost of Data Breach Study; (ii) Wall Street Journal
GIRGestão Integrada de Riscos
São Paulo: (11) 2626-1638 e (11) 2626-1480 | Rio de Janeiro: (21) 3005-3158 | Brasília: (61) 2626-5746
[email protected] | [email protected]
O que não se conhece...
...não se pode controlar.
O que não se controla...
...não se pode mensurar.
O que não se mensura...
...não se pode gerenciar.
O que não se gerencia...
...não se pode aprimorar.”
““
Fonte: Morris A. Cohen
Controles Internos
[email protected] | [email protected]
Diagrama de Assi
[email protected] | [email protected]
Verificação e revisão
Informação, comunicação e relatórios
COSO ERM – Enterprise Risk Management Framework - 2017
Desempenho
Estratégia e definição objetiva
Governança e Cultura
[email protected] | [email protected]
Informação, comunicação e relatórios
• Incrementar informações e tecnologias
• Comunições dos tipos de riscos
• Cultura, resultados e relatórios dos riscos
• Avaliar mudanças substanciais
• Revisão dos riscos e desempenho
• Continuar a melhoria no Gerenciamento de Riscos
Empresariais
Verificação e revisão
COSO ERM – Enterprise Risk Management Framework - 2017
[email protected] | [email protected]
TEAMWORK
Verificação e revisão
Desempenho
• Identificar os tipos de riscos
• Avaliar a severidade do risco
• Priorizar os riscos por criticidade
• Implementar respostas aos riscos
• Desenvolver a visão do portfólio
COSO ERM – Enterprise Risk Management Framework - 2017
[email protected] | [email protected]
BUSINESS
Desempenho
Estratégia e definição objetiva
• Analisar contexto dos negócios
• Definir o apetite de risco
• Avaliar as estratégias alternativas
• Formular objetivos de negócios
COSO ERM – Enterprise Risk Management Framework - 2017
[email protected] | [email protected]
SUCCESS
• Controle e testes de riscos pelos Conselheiros
• Estabelecer a estrutura operacional
• Definir a cultura de risco desejada
• Demonstrar compromisso com os Valores Fundamentais
• Atrair, desenvolver e manter indivíduos capacitados
Governança e Cultura
Estratégia e definição objetiva
COSO ERM – Enterprise Risk Management Framework - 2017
[email protected] | [email protected]
✓ Elementos principais do processo de Gestão de Riscos:
✓Mapeamento de processos,
✓ Indicadores de Performance
✓ Indicadores de riscos,
✓Análise e avaliação de riscos,
✓ Tratamento e monitoramento de riscos.
Gestão Integrada de Riscos - Terminologia
[email protected] | [email protected]
As três linhas de defesa
Órgão de Governança/Conselho/Comitê de Auditoria
Alta administração
1ª Linha de Defesa
Controles
da
Gerencia
Medidas
de
Controle
Interno
2ª Linha de Defesa
Controle Financeiro
Segurança Informação
Gerenciamento Riscos
Conformidade
Monitoramento
3ª Linha de Defesa
Auditoria
Interna
Audito
ria E
xte
rna
Órg
ãos re
gula
dore
s
Adaptado do IIA Global
Merc
ado
Qualidade
[email protected] | [email protected]
Definindo o Ambiente ExternoEssa etapa visa especificar o ambiente externo no qual a empresa opera, e a definição derelacionamento entre esse ambiente e a empresa em si. O ambiente externo geralmenteincluem:
➢ O mercado local, a linha de atuação e competitividade
➢ Ambiente político e financeiro
➢ O ambiente legal e regulatório
➢ Condições sócio culturais
➢ Stakeholders externos
[email protected] | [email protected]
Inclusão da Matriz de Compliance por departamento
Inclusão dos pontos de auditoria por departamento
Inclusão dos plano de melhoria por departamento
GCIC – Sistema de Gerenciamento de Controles Internos e Compliance em www.massiconsultoria.srv.br
Espaço para Dúvidas e Perguntas
”A boa gestão dos Riscos deve ser encarada como mais uma forma de ganhar dinheiro”.Por Fernando Ferreira.
Fernando Nicolau Freitas FerreiraMSc, CCI IBGC, CISM, CRISC, CGEIT, CSSLP, CFE, CobiT, BS7799LA
Fone: +55 11 2626-1480 | Cel: +55 11 98181-6100E-mail: [email protected]
Site: www.auditsafe.com.br
Marcos AssiMSc, CRISC, ISFS
Fone: +55 11 2387-4837 | Cel: +55 11 98147-0450E-mail: [email protected]
Site: www.massiconsultoria.com.brwww.massiconsultoria.srv.br – Software de GCIC
Agradecemos sua Atenção!
Fernando Nicolau Freitas FerreiraMSc, CCI IBGC, CISM, CRISC, CGEIT, CSSLP, CFE, CobiT, BS7799LA
Fone: +55 11 2626-1480 | Cel: +55 11 98181-6100E-mail: [email protected]
Site: www.auditsafe.com.br
Marcos AssiMSc, CRISC, ISFS
Fone: +55 11 2387-4837 | Cel: +55 11 98147-0450E-mail: [email protected]
Site: www.massiconsultoria.com.br