Nesta palestra abordo, de uma maneira tática-operacional, as relações entre Compliance, Continuidade de Negócios, Controles Internos e Gestão (Apetite) ao Risco. E a importância da peparação como forma de reduzir riscos de incidentes de interrupção.
1. 1
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Consultoria ı Ferramentas ı Capacitação
Continuidade de
Negócios e
Compliance
Agosto/2015
2. 2
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Apresentações
Sidney R. Modenesi
• Gerente da STROHL Brasil;
• ISO 22301 BSI Technical
Expert, 2013;
• Certificado MBCI pelo BCI em
2006;
• Mais de 25 anos de
experiência em DRP/BCM;
• Instrutor internacional de BCM
(ISO 22301, 22313 & outras);
• Representante do BCI -
Business Continuity Institute
no Brasil.
br.linkedin.com/in/sidneymodenesimbci/
STROHL Brasil
• Empresa brasileira;
• 15 anos auxiliando as
organizações a continuarem
os seus negócios;
• Experiência comprovada em
inúmeras indústrias;
• Consultoria, treinamento e
software para GCN;
• Representante Autorizada da
Sungard Availability Services
www.sungardas.com/Pages/default.aspx
22
3. 3
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Agenda
• O que é Continuidade de Negócios – C.N.;
• O que é Compliance;
• As relações entre elas;
• Perguntas e Respostas;
• Encerramento.
3
4. 4
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
O QUE É:
CONTINUIDADE DE NEGÓCIOS
COMPLIANCE
5. 5
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Continuidade de Negócios
• Definição conforme norma ABNT NBR
22301:2013 Segurança da sociedade — Sistema
de gestão de continuidade de negócios —
Requisitos
• “capacidade da organização de continuar a
entrega de produtos ou serviços em um nível
aceitável previamente definido após incidentes
de interrupção.”
5
6. 6
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Continuidade de Negócios
6
Incidente de
interrupção
7. 7
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Compliance
• é o conjunto de disciplinas para fazer cumprir
as normas legais e regulamentares, as políticas
e as diretrizes estabelecidas para o negócio e
para as atividades da instituição ou empresa,
bem como evitar, detectar e tratar qualquer
desvio ou inconformidade que possa ocorrer.
• O termo compliance tem origem no verbo
em inglês to comply, que significa agir de acordo
com uma regra, uma instrução interna, um
comando ou um pedido.
7
8. 8
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Compliance
• Com as atividades de compliance, qualquer possível
desvio em relação à política interna é identificado e
evitado. Com isso, sócios e investidores têm a
segurança de que suas aplicações e orientações
serão detalhadamente geridas segundo as diretrizes.
• A partir de meados da década de 90, todas as
organizações públicas e privadas passaram a adotar
o compliance como uma de suas regras mais
primárias e fundamentais para a transparência de
suas atividades.
8
9. 9
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
LEIS, DECRETOS E
REGULAMENTAÇÕES
RELACIONADOS À CONTINUIDADE DE NEGÓCIOS
10. 10
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
SUSEP – Circular nº 285
• Vigência em 21/05/2005;
Dispõe:
• 4. Plano de Continuidade das Operações
(Contingência/Emergência):
4.1. Indicar plano resumido de continuidade das operações
em situações de contingência e emergência.
4.2. Apresentar resultados do último teste do plano de
continuidade de operações.
4.3. Informar programação dos próximos testes do plano de
continuidade de operações.
4.4. Caso ainda não exista um plano formalizado de
continuidade de operações, informar se existe previsão para
sua implementação.
10
11. 11
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
BACEN - Resolução 3380
• Dispõe sobre a implementação de estrutura de
gerenciamento do Risco Operacional (Basiléia II):
Vigência: 29/06/2006;
VI - existência de plano de contingência contendo as
estratégias a serem adotadas para assegurar condições de
continuidade das atividades e para limitar graves perdas
decorrentes de risco operacional;
VII - implementação, manutenção e divulgação de processo
estruturado de comunicação e informação.
11
12. 12
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
DECRETO Nº 6.523, 31/07/08 – Lei do SAC
• Art. 5. O SAC estará disponível,
ininterruptamente, durante vinte e quatro
horas por dia e sete dias por semana,
ressalvado o disposto em normas
específicas.
• Art. 19. A inobservância das condutas
descritas neste Decreto ensejará
aplicação das sanções previstas no art.
56 da Lei no 8.078, de 1990, sem prejuízo
das constantes dos regulamentos
específicos dos órgãos e entidades
reguladoras.
• Parágrafo único. A multa será em
montante não inferior a duzentas e não
superior a três milhões de vezes o valor
da Unidade Fiscal de Referência (UFIR),
ou índice equivalente que venha a
substituí-lo. (Parágrafo acrescentado pela
Lei nº 8.703, de 6.9.1993)
12
13. 13
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
E Muitas Outras
• SOX, JSOX ...
• Cada empresa deve sistematicamente
revisar e avaliar todas as leis, normas,
regulamentações ou itens regulatórios a
que está sujeita.
(ISO 22301- 4.2.2 Requisitos legais e regulatórios)
13
14. 14
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Portanto
• A organização DEVE:
Ter um processo para revisar e avaliar
sistematicamente todas as leis, normas,
regulamentações ou itens regulatórios
a que está sujeita;
Endereçá-las dentro da organização;
Desenvolver políticas e diretrizes para
o negócio e para as suas atividades;
E evitar, detectar e tratar qualquer desvio
ou inconformidade que possa ocorrer.
14
Continuidade
de Negócios
Compliance
15. 15
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
CONCEITOS BÁSICOS DE
CONTINUIDADE DE NEGÓCIOS
16. 16
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Ciclo Básico da C.N.
Patrocínio
executivo
Inserção na
cultura
Identificar
os riscos
Quantificar
os impactos
Definir
estratégias
Apetite ao
Risco
Desenvolver
planos de
contingência
Testar e
manter
pronto
16
17. 17
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Riscos
17
Na infraestrutura
predial
Na infraestrutura
de TIC
Em segurança
da informação
No quadro de
colaboradores
E na cadeia de
fornecedores
18. 18
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Riscos Interrupções Impactos
18
19. 19
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Impactos
• Financeiros
Perda de receita
Multas
Fluxo de caixa
• Operacionais
Perda de clientes
Market share
Danos a imagem
• Regulatórios
Multas
Penalidades
19
0
5,000
10,000
15,000
20,000
25,000
30,000
Dia 0 Dia 1 Dia 2 Dia 3 Dia 4 Dia 5 Dia 6 Dia 14 Dia 21 Dia 28 > Dia 28
Custos com aluguel de pallets
Perda não repassar aumento preço
Perda de Vendas
Perda de Juros no Fluxo de Caixa
Perda de Descontos Comerciais
Perda de Clientes
Penalidades Pag. Atrasado Fornec.
Penalidades Contratuais/Multas
Pedidos Cancel. Atraso Entrega
Juros Pagos sobre Emprestimos
Disponibilidade de Fundos
20. 20
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
tempo
perdas
financeiras e
operacionais
Investimento em
prevenção e
contingência
R$
APETITE AO RISCO
t0
t1< t0
< Apetite ao Risco
t2 > t0
> Apetite ao Risco
R$
Estratégia de
Recuperação
20
21. 21
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Planos de
Continuidade de
Negócios
Descreve como um produto,
serviço ou processo será
reiniciado e operado, num
local alternativo, com
poucas pessoas e recursos,
num determinado tempo e
nível de serviço
estabelecidos
(Estratégia de Recuperação).
21
22. 22
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Testar e
Manter pronto
Exercícios, testes e
manutenção contínua.
Assegurar que toda a
infraestrutura e
documentação de
recuperação está atualizada
e será eficaz na
eventualidade da sua
utilização.
22
23. 23
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Patrocínio executivo
Inserção na cultura
Comprometimento
Conscientização
Exercícios
Atualização
Recuperação
23
+
24. 24
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
CONTROLES
25. 25
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Controles
• Controle pode ser:
Uma ou várias políticas;
Um ou vários procedimentos;
Um ou vários equipamentos;
Ou ainda uma combinação de todos acima
que eliminam ou reduzem a probabilidade da
ocorrência de um determinado risco, ou ainda
reduzem os impactos decorrentes da materialização
do risco, ao qual o(s) controle(s) foi(ram)
aplicado(s), alinhado ao apetite ao risco assumido.
25
26. 26
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Fluxo de Implantação
26
Riscos
Risco
aceito?
Monitorar o
risco
Implantar
controles
Risco
residual
aceito?
Implantar
GCN
sim sim
Act Plan
DoCheck
27. 27
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Exemplo 1 – Risco Incêndio
• Controles aplicáveis:
Detectores de fumaça (R$ 1,00);
Detectores de partículas (R$ 10,00);
Detectores VESDA (R$ 100,00);
Sprinklers, hidrantes, extintores;
Brigadas de emergência;
Treinamento contínuo das brigadas, brigadistas e
colaboradores em geral;
Procedimento de abandono do local de trabalho;
Ponto de encontro e contagem das pessoas ...
27
28. 28
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Exemplo 2 – Risco Seg. da Informação
• Controles aplicáveis:
Política corporativa de seg. da informação;
Restrição de perfis e acessos;
Senhas fortes;
Mesa, tela e impressora limpas;
Antivírus sempre atualizado;
Restrição de acesso a sites potencialmente
perigosos;
Bloqueio de mídias removíveis;
Grupo de Resposta a Ataques – GRA;
Hacker ético ...
28
29. 29
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
POR QUE PRATICAR A
CONTINUIDADE DE NEGÓCIOS E
COMPLIANCE
30. 30
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Independente do que possa ter
acontecido é necessário manter
serviços e produtos críticos operando
num determinado nível de serviço.
A PREPARAÇÃO É FUNDAMENTAL!
E preparação está muito relacionada a Compliance.
30
31. 31
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Enchentes
3131
32. 32
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Mudanças Climáticas
32
Tornado em Indaiatuba/SP – 24/05/05
33. 33
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Incidentes nas Proximidades
33
Desabamento
Vazamento Tóxico
34. 34
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. 34
Perda de Capital Intelectual
Desastres Aéreos
Vôo 3054 da TAM
Vôo 1907 da GOL
35. 35
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. 35
Desastres Aéreos
Helicóptero da TV Record
Pouso forçado na Via Anchieta
36. 36
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. 36
Acidentes Naturais
Um tremor de terra de 5,2 graus na escala Richter foi sentido no final da noite desta terça-feira
(22) em São Paulo, Paraná e Rio de Janeiro. De acordo com o Observatório Sismológico da
Universidade de Brasília (UnB) o tremor ocorreu a 270 km de São Paulo, às 21h e durou cerca
de cinco segundos. O epicentro foi localizado no Oceano Atlântico.
Segundo Jorge Sand, coordenador do observatório da UnB, essa região tem uma atividade
sísmica grande por ser uma plataforma continental, com interfaces de regiões mais densas e
menos densas.
Editoria de arte/G1
O tremor foi sentido em vários pontos da capital paulista e de cidades do interior e do litoral.
Sand acredita que as cidades de São Vicente, a 74 km de São Paulo, e São José dos Campos, a 91
km da capital paulista, também tenham sentido os efeitos do tremor.
No Paraná, o tremor foi sentido em Curitiba e em São José dos Pinhais. Não há registros de danos
em imóveis e nem de feridos.
Tremor de terra atinge SP, PR e RJ - 22/04/08
37. 37
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil. 37
Movimentos Sociais
Pacíficos ou não
Greves e/ou passeatas
Invasões
38. 38
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Falhas de Infra-Estrutura
38
Um transformador explodiu em um dos
datacenters do provedor de hospedagem The
Planet, um dos maiores do mundo. Sua
Unidade H1, em Houston, Texas sofreu um
princípio de incêndio, 3 paredes demolidas e
danos no sistema de alimentação de energia.
Como havia risco de incêndio os bombeiros
comandaram o desligamento dos geradores,
que entraram em ação automaticamente.
Apagões
9.000 Servidores Fora do Ar
02/06/08
39. 39
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Pandemias e Epidemias
Gripe Aviária, H1N1, Dengue, Febre Chikungunya, Ebola ...
39
40. 40
ATENÇÃO: O conteúdo desta apresentação é CONFIDENCIAL. Nada poderá ser divulgado por qualquer
forma ou meio, em qualquer tempo, sem a prévia autorização por escrito da STROHL Brasil.
Perguntas
Sidney R. Modenesi
MBCI, BSI ISO 22301 Technical Expert
sidney_modenesi@strohlbrasil.com.br
sidneymd@thebci.com.br
+55 11 5583-0033
br.linkedin.com/in/sidneymodenesimbci
4040