Home / Artigo / Continuidade de Negócios / Gestão de Riscos com ISO 31000 – Uma Visão Estratégica de Implementação

Gestão de Riscos com ISO 31000 – Uma Visão Estratégica de Implementação

A Gestão de Riscos é a bola da vez. Talvez pelos fatídicos incidentes mundiais nos últimos 20 anos, crises, fraudes, aumento dos Cybercrimes e outros.

Empresas de Tecnologia se esfolam para vender o que o mercado quer comprar, e elas geralmente não sabem vender. Caixas, caixas…vamos vender caixas!!!

Estamos correndo contra o tempo, e pra quê? Por que este pânico generalizado? As auditorias acordaram agora? O que aconteceu? Saímos da hibernação?

Bom, vamos colocar em pratos limpos alguns pontos e principalmente evitar “enganos” recorrentes dos executivos e/ou empresários:

1- NÃO MAPEAR E MODELAR OS PROCESSOS DA EMPRESA. Fazer isso é um erro grave!

Para que isso? Porque durante anos formamos ótimos compradores e péssimos gestores em TI por exemplo. Cursos como o de Analista de Sistemas, que deveria ser a evolução natural do antigo O&M (Organizações e Métodos), formam em Programadores, e não Analistas de Negócios.

Primeiro ponto, isso não é TI. Isso é Gestão. Se não sabe quais são e como são os processos da empresa, quer controlar o quê? Calcular o risco do quê? Monitorar o quê? Balanced Scoredcard do quê?

Para não perder a crista da onda, como muitos executivos e empresários vem fazendo, comece detalhando os processos de sua empresa, classifique-os, analise os riscos e garanta qualidade e segurança para eles. Isso refletirá positivamente para clientes, acionistas e em lucros.

Comece com uma BIA – Business Impact Analysis, identifique o que impacta mais no negócio e a partir dai analise e avalie os riscos destes processos.

2- GRC – GOVERNANÇA, RISCOS E CONFORMIDADE. O que é isso afinal?

Mais que um software de gestão de riscos metido a ERP (Enterprise Resource Planning), o conceito de Governança, Riscos e Conformidade, significa “TER REALMENTE O CONTROLE DE SUA EMPRESA E SER TRANSPARENTE NA GESTÃO”.

Primeiro, precisa entender o que é a Governança e como ela fará parte natural da gestão da empresa. Governar é olhar para a frente. É pensar em metas a longo prazo e ter foco. Para isso, é preciso COMPROMETIMENTO da Alta Administração para VIABILIZAR RECURSOS para que a Governança seja efetiva. Comece dando exemplo! Uma equipe responsável, com senioridade e experiência no negócio é imprescindível. Um bom exemplo de Governança: Jack Welch (GE), Henry Ford (Ford Co.), Carlos Ghosn (Nissan-Renault), Jorge Gerdau (Gerdau).

Depois, vamos entender o que é a Gestão de Riscos e como ela contribui. Parece óbvio, mas, muita empresa não sabe realmente usar este recurso de gestão espetacular. Gerir riscos começa com a identificação destes, classificação, contabilização e por fim o tratamento. Tratar riscos significa MUDANÇA.

É diferente de Feeling! Feeling é uma mistura de sorte, percepção e premonição que alguns executivos tem para algumas coisas. Para as outras, é a técnica e a metodologia que conta.

Leia Prof. Vicente Falconi, seu livro “Verdadeiro Poder”.

Mudar a forma de ver alguns processos. Acrescentar controles que não engessem e que minimizem perdas. Pode ser uma porta, uma biometria, uma lista de verificação, um critério ou regra para mudança entre outras. Muita coisa está ficando na intenção, ou só no papel, e aí para. Perde-se tempo e dinheiro, e não se MUDA nada. Uma atitude é muito mais efetiva do que mil palavras na gestão dos riscos. Não se faz gestão de riscos em um dia, um mês ou apenas um ano. É parte de um sistema de gestão contínuo. (Ver. ISO 31000)

Algumas perguntas para refletir:

Você já fez uma análise de impactos no negócio? É a famosa BIA (Business Impact Analysis).
Você já pediu uma análise de vulnerabilidades de TI?
Ou já fez uma contratação de análise de riscos em fornecedores?
Será que um terceiro contrata mão de obra infantil?
Será que está com uma boa saúde financeira?
Ou ainda, será que está guardando seu backup da forma que lhe vendeu?
Será que seus funcionários estão copiando o que não deve dos locais de rede onde tem acesso?
Quais as implicações civis ou criminais de determinados cenários que poderiam se concretizar na empresa?

E ai chegamos na Conformidade/Compliance. Tem empresa que está totalmente perdida. Estão colocando a área de Compliance para ser um publicador de normas na intranet. Ou ainda, colocando assuntos que não entendem na mão de gente despreparada, como por exemplo, uma empresa de tecnologia bancária que colocou a área de compliance para tocar Plano de Continuidade de Negócios, Mapeamento de Processos e Controles Internos, porém, com tres pessoas sem experiência e capacitação necessária. Tá brincando né! Isso é que é ter fé! Ou é um belo enganation para seus funcionários, clientes e acionistas.

Conformidade/Controles Internos/Compliance, talvez hoje seja uma das áreas mais importantes e parte essencial para que exista o GRC na empresa.

Não está no final por acaso, é com o monitoramento e controle rígido e cíclico dos controles implementados que manteremos os níveis de riscos dentro do aceitável.

3- DEFINA OU REDEFINA ALGUNS PROCESSOS. É melhor se adaptar!

Vamos direto ao ponto. Estabeleça uma VICE-PRESIDENCIA ou DIRETORIA DE GRC na empresa. Isso vai encurtar o caminho. O que eles devem fazer? Manter isto tudo em funcionamento.

Por que uma VP ou Diretoria? Para se ter poder e capacidade operacional.

O que precisa estar embaixo dela? Gestores para: Continuidade de Negócios, Segurança da Informação, Riscos Operacionais, Riscos de Mercado, Segurança-Saúde e Meio Ambiente, Responsabilidade Social Corporativa e Leis e Regulamentos (tudo isso holisticamente. Visão global/ Top-Down).

Todos são assuntos CROSS, que precisam ser implementados aos poucos em todos os processos da empresa. Estes irão MUDAR A CULTURA ORGANIZACIONAL para uma conduta de Risco Mínimo, portanto maximizando a prevenção a perdas.

Segurança e confiança estão muito próximas. Não conheço segurança sem confiança ou confiança sem segurança. Andam juntas e motivam juntas.

4- QUANDO O MERCADO COBRAR EU FAÇO. É melhor acordar!

Se os governos até hoje ainda não resolveram a questão das drogas, você acha mesmo que eles irão resolver rapidamente a falta de controles e minimizar a especulação nas bolsas de valores e mercado financeiro? E com o advento da Internet? Geração Y?

Ou você quer, ou não quer. Isto é mais sincero!

Mudanças radicais assustam qualquer executivo ou empresário. Principalmente se ele estiver na zona de conforto. Porém, lembra daquela historia: “Mate a vaquinha!” ? É por ai.

Estamos com praticamente 90% das empresas dependendo de Tecnologia da Informação e principalmente Internet. Temos 70% das transações bancárias on line. Mais de 50% das pessoas compram por cartão de crédito e muitas compras são feitas via internet. E você ainda não tem um Security Officer na empresa?

Existem pessoas trabalhando nas redes sociais. Profissionais especializando-se em marketing de rede social, internet, nuvem. Há lei para controlar tudo isso? Quais as punições?

Já há lei para um bêbado que mata mãe e filha saindo de um shopping na calçada? Ops! Esqueci que temos a LEI SECA. Funciona?

5- O FILHO NÃO É MEU MESMO. Então que se exploda (para ser politicamente correto)!

Uma mudança é necessária. Práticas de GRC precisam ser implementadas neste momento nas empresas. Comprar tecnologia sem investimento em capacitação dos recursos humanos não é o caminho. E capacitação não significa treinar as pessoas para operar o sistema. Capacitação precisa existir continuamente e ser medida. Tem empresa que não dá oportunidade de absorver o conhecimento coletado na mente de seus funcionários em cursos ou pós-graduações.

E pra que correr? Podemos esperar. Esperar até que tenhamos outra oportunidade tão brilhante e ocasional como as que estamos vivendo neste momento no Brasil.

A empresa do futuro próximo, 2025, é a empresa que conseguir unir o mundo real e o virtual (Internet). Que consiga passam confiança através de controles de GRC, e que consiga se adaptar rapidamente aos novos tempos.

Tudo começa e termina na Gestão, ou na falta dela.

Esses temas são abordados mundialmente. No Brasil, os eventos GRC+DRIDAY e GRM proporcionam aos participantes debates e painéis exclusivos que agregam sobre Gestão de Riscos, Continuidade e Cyber Security.

Saiba mais sobre o evento GRC+DRIDAY 2017

Sobre Jeferson D'Addario - CBCP, MBCI, CRISC

mm
Consultor sênior há mais de vinte anos em TI, gestão de riscos e continuidade de negócios, ganhador do prêmio SECMASTER 2006 na categoria “Melhor Contribuição para o Desenvolvimento de Mercado”. Possui mais de 35 projetos de Continuidade de Negócios para empresas líderes no Brasil e Exterior nos últimos dez anos. Certificado como CBCP pelo DRII-USA, MBCI pelo BCI-UK, CRISC pela ISACA, ISO 27001 lead auditor (BSI). Formação em Economia e TI. Foi o responsável por trazer e desenvolver os primeiros cursos de continuidade de negócios oficiais do DRII – Disaster Recovery Institute International para o Brasil em 2005. Desde 2010 é instrutor oficial do DRII e representante executivo para o Brasil. É Membro da ISACA-SP, sendo colaborador na tradução do COBIT 4.1. Possui ampla experiência em Gestão de TIC (ITIL e ISO 20.000) e Govenança de TIC (COBIT, ISO 38500), tendo sido gerente e diretor de TI em empresas nacionais, e participado de projetos de implementação e certificação. Criador, coordenador e professor da Pós-graduação em GTSI - Gestão e Tecnologia em Segurança da Informação, curso DARYUS aplicado na Faculdade Impacta Tecnologia (FIT) – SP/SP, desde 2003, atualmente na turma 15. É sócio-diretor e fundador da DARYUS Consultoria e Treinamento, e atualmente CEO do Grupo DARYUS. Possui ampla experiência em gestão empresarial de negócios, pessoas, educação, gestão de crises, comunicação empresarial, relacionamento executivo e gestão financeira, apoiando executivos de grandes empresas no Brasil em projetos de consultoria. Palestrante, articulista e colaborador em eventos nacionais e internacionais relacionados a GRC, TI, Continuidade e Gestão Empresarial. Foi reconhecido pela Infragard – Califórnia em 2010 pela contribuição na área de segurança da informação para o Brasil. Já lecionou anteriormente para IPEN – Instituto de Pesquisas Nucleares – USP – SP e Instituto Trevisan – SP.

Confira tambem

GRC 2020: você está enxergando? DEV-SEC_GOV_OPS

Venho estudando Marketing Digital, Growht Hacking, Neurociência, Blockchain, IA, RPA faz alguns anos (tudo fora …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *