WWW. DOMI NANDOTI . COM.

BR
WWW. DOMI NANDOTI .COM. BR
COSO II, COBIT, ISO 31000, ISO 27005
Professor Gledson Pompeu gledson@dominandoti.com.br
WWW. DOMI NANDOTI . COM. BR WWW. DOMI NANDOTI . COM. BR
Acesse nosso site em
WWW.DOMINANDOTI.COM.BR
Curta o Dominando TI no
e receba nossas dicas sobre concursos!
Cursos Turmas em Braslia, na sua cidade, e cursos online
Livros Edies publicadas, lanamentos e promoes
Frum Interao direta entre estudantes e com os professores
Simulados Questes inditas, ranking de notas e correes em vdeo
Blog Dicas e macetes de estudo, indicaes de bibliografia, etc.
Materiais Verses atualizadas de notas de aula e listas de exerccios
Professor Gledson Pompeu gledson@dominandoti.com.br 2
WWW. DOMI NANDOTI . COM. BR
COSO II - Enterprise Risk Management
Objetivos
Conceitos bsicos
Incerteza e valor
Eventos, riscos e oportunidades
Gerenciamento de riscos corporativos
Cubo COSO
Categorias de objetivos
Dimenses organizacionais
Componentes do gerenciamento de riscos
Professor Gledson Pompeu gledson@dominandoti.com.br 3
WWW. DOMI NANDOTI . COM. BR
Riscos x Controles internos (COSO I)
O controle interno um processo constitudo de:
Ambiente de controle
Avaliao e gerenciamento de riscos
Atividades de controle
Informao e comunicao
Monitoramento
O objetivo principal dos controles internos auxiliar a
entidade a atingir seus objetivos
Professor Gledson Pompeu gledson@dominandoti.com.br 4
WWW. DOMI NANDOTI . COM. BR
Objetivos do gerenciamento de riscos
Alinhar o apetite a risco com a estratgia
Otimizar as decises de resposta a risco
Reduzir surpresas e prejuzos operacionais
Identificar e administrar os riscos inerentes aos
empreendimentos
Fornecer respostas integradas aos diversos riscos
Aproveitar as oportunidades
Melhorar a alocao de capital
Professor Gledson Pompeu gledson@dominandoti.com.br 5
WWW. DOMI NANDOTI . COM. BR
Incerteza e valor
Toda organizao
existe para gerar valor para as partes interessadas
enfrenta incertezas
As incertezas geram riscos e oportunidades
Potencial para destruir ou gerar valor
O gerenciamento de riscos corporativos
trata incertezas, riscos e oportunidades
aprimora a capacidade de gerao de valor
Professor Gledson Pompeu gledson@dominandoti.com.br 6
WWW. DOMI NANDOTI . COM. BR
Evento, risco e oportunidade
Evento um incidente ou ocorrncia com fontes internas
ou externas, que afeta a realizao dos objetivos
Eventos podem causar impacto negativo, positivo ou ambos
Eventos que geram impacto negativo representam riscos
Risco: possibilidade de que um evento ocorra e afete
negativamente a realizao dos objetivos
Eventos cujo impacto positivo podem contrabalanar os
impactos negativos ou representar oportunidades
Oportunidade: possibilidade de que um evento ocorra e influencie
favoravelmente a realizao dos objetivos
Professor Gledson Pompeu gledson@dominandoti.com.br 7
WWW. DOMI NANDOTI . COM. BR
Gerenciamento de riscos corporativos
Processo
conduzido por
Conselho de Administrao
Diretoria executiva
Demais funcionrios
aplicado no estabelecimento de estratgias para
Identificar eventos em potencial
capazes de afetar a organizao
Administrar os riscos
mant-los compatveis com o apetite a risco
Possibilitar garantia razovel
de cumprimento dos objetivos da entidade
Professor Gledson Pompeu gledson@dominandoti.com.br 8
WWW. DOMI NANDOTI . COM. BR
Categorias de objetivos
Estratgicos
Referem-se s metas no nvel mais elevado
Alinham-se e fornecem apoio misso
Operaes
Tm como meta a utilizao eficaz e eficiente dos recursos
Comunicao
Relacionados confiabilidade dos relatrios
Conformidade
Cumprimento das leis e dos regulamentos pertinentes
Professor Gledson Pompeu gledson@dominandoti.com.br 9
WWW. DOMI NANDOTI . COM. BR
COSO II - Enterprise Risk Management
Professor Gledson Pompeu gledson@dominandoti.com.br 10
WWW. DOMI NANDOTI . COM. BR
Ambiente interno
Abrange a cultura da organizao, que influencia a
gesto organizacional e o gerenciamento de riscos, e
serve de base para os outros componentes
Filosofia de gesto de riscos
Apetite a risco
Superviso do conselho de administrao
Integridade e valores ticos
Compromisso com a competncia pessoal
Atribuio de aladas e responsabilidades
Organizao e desenvolvimento de pessoal
Professor Gledson Pompeu gledson@dominandoti.com.br 11
WWW. DOMI NANDOTI . COM. BR
Fixao de objetivos
Os objetivos so fixados no mbito estratgico,
estabelecendo uma base para objetivos operacionais,
de comunicao e conformidade
Precondio identificao de eventos, avaliao de riscos
e s respostas aos riscos
Professor Gledson Pompeu gledson@dominandoti.com.br 12
WWW. DOMI NANDOTI . COM. BR
Identificao de eventos
Identificao de fatores externos e internos que
impulsionam eventos que afetam a implementao da
estratgia e o cumprimento dos objetivos
Fatores externos:
Econmicos, ambientais, polticos, sociais e tecnolgicos
Fatores internos:
Infraestrutura, pessoas, processos e tecnologia
Diferenciao de riscos e oportunidades
Professor Gledson Pompeu gledson@dominandoti.com.br 13
WWW. DOMI NANDOTI . COM. BR
Avaliao de riscos
Estimativa de probabilidade e impacto
Aplicada primeiramente aos riscos inerentes
Risco inerente
Risco que uma organizao ter de enfrentar na falta de
medidas que a administrao possa adotar para alterar a
probabilidade ou o impacto dos eventos
Aps o desenvolvimento das respostas aos riscos, so
considerados os riscos residuais
Risco residual
Aquele que permanece aps a resposta da administrao
Professor Gledson Pompeu gledson@dominandoti.com.br 14
WWW. DOMI NANDOTI . COM. BR
Resposta a riscos
Avaliao do efeito sobre a probabilidade de ocorrncia
e o impacto do risco, assim como custos e benefcios
Seleo de resposta que mantenha os riscos residuais
dentro das tolerncias a risco desejadas
Evitar - As atividades que geram os riscos so descontinuadas
Reduzir - Adoo de medidas para reduzir a probabilidade ou
o impacto dos riscos, ou ambos
Compartilhar - Reduo da probabilidade ou do impacto pela
transferncia ou pelo compartilhamento de uma poro do
risco
Aceitar - Nenhuma medida adotada para afetar a
probabilidade ou o grau de impacto dos riscos
Professor Gledson Pompeu gledson@dominandoti.com.br 15
WWW. DOMI NANDOTI . COM. BR
Atividades de controle
Polticas e procedimentos que contribuem para
assegurar que as respostas aos riscos sejam
executadas
Ocorrem em toda a organizao, em todos os nveis e
em todas as funes
Revises da alta direo
Administrao funcional direta ou de atividade
Processamento da informao
Controles fsicos
Indicadores de desempenho
Segregao de funes
Professor Gledson Pompeu gledson@dominandoti.com.br 16
WWW. DOMI NANDOTI . COM. BR
Informao e comunicao
Qualidade das informaes
O contedo apropriado est no nvel de detalhe adequado?
As informaes so oportunas esto disponveis quando
necessrio?
As informaes so atuais, exatas e de fcil acesso?
As comunicaes devem transmitir
A importncia e pertinncia do gerenciamento de riscos
corporativos
Os objetivos da organizao
O apetite a riscos e a respectiva tolerncia
Uma linguagem comum de riscos
As funes e as responsabilidades do pessoal pelos componentes
do gerenciamento de riscos corporativos
Professor Gledson Pompeu gledson@dominandoti.com.br 17
WWW. DOMI NANDOTI . COM. BR
Monitoramento
Monitoramento contnuo
como parte das atividades de administrao
Avaliaes independentes
cujo alcance e frequncia depende da avaliao dos
riscos e da eficcia dos procedimentos contnuos de
monitoramento
Relato de deficincias
no gerenciamento de riscos corporativos
Questes graves relatadas ao Conselho de administrao e
diretoria executiva
Professor Gledson Pompeu gledson@dominandoti.com.br 18
WWW. DOMI NANDOTI . COM. BR
COBIT Avaliar e gerenciar riscos de TI
Necessidade de negcio
Analisar e comunicar os riscos de TI e seus possveis impactos nos
processos e objetivos de negcio
Objetivo
Desenvolver uma estrutura de gerenciamento de risco integrada s
estruturas corporativa e operacional de gerenciamento de risco,
avaliao, mitigao e comunicao de risco residual
Indicadores
% de objetivos crticos de TI cobertos pela avaliao de risco
% de riscos crticos de TI com planos de ao desenvolvidos
% dos planos de ao aprovados para implementao
Professor Gledson Pompeu gledson@dominandoti.com.br 19
WWW. DOMI NANDOTI . COM. BR
COBIT Avaliar e gerenciar riscos de TI
Objetivos de controle detalhados
Alinhamento da gesto de riscos de TI e de Negcios
Estabelecimento do Contexto de Risco
Identificao de Eventos
Avaliao de Riscos
Resposta a Riscos
Manuteno e Monitoramento do Plano de Ao de
Risco
Professor Gledson Pompeu gledson@dominandoti.com.br 20
WWW. DOMI NANDOTI . COM. BR
COBIT x COSO II
Alinhamento da gesto de riscos de TI e Negcio
Estabelecimento do
Contexto de Risco
Identificao de Eventos
Avaliao de Riscos
Resposta a Riscos
Planejar e priorizar atividades
de controle (atividade-chave)
Manuteno e Monitoramento do
Plano de Ao de Risco
Ambiente de controle
Fixao de objetivos
Identificao de Eventos
Avaliao de Riscos
Resposta a Riscos
Atividades de controle
Informao e Comunicao
Monitoramento
Professor Gledson Pompeu gledson@dominandoti.com.br 21
WWW. DOMI NANDOTI . COM. BR
ISO 31000 Gerenciamento de riscos
Definies
Princpios para gerenciamento de riscos
Estrutura de gerenciamento de riscos
Processo de gerenciamento de riscos
Professor Gledson Pompeu gledson@dominandoti.com.br 22
WWW. DOMI NANDOTI . COM. BR
ISO 31000 - Definies
Risco o efeito da incerteza sobre os objetivos
Desvio positivo ou negativo em relao ao esperado
Objetivos estratgicos, de projeto, processo ou produto
Eventos x consequncias x probabilidades
Gesto de riscos
Atividades coordenadas para dirigir e controlar uma
organizao no que se refere aos riscos
Apetite pelo risco
Quantidade e tipo de riscos que uma organizao est
disposta a buscar, manter ou assumir
Professor Gledson Pompeu gledson@dominandoti.com.br 23
WWW. DOMI NANDOTI . COM. BR
ISO 31000 - Princpios
A gesto de riscos ...
cria e protege valor
parte integrante dos processos organizacionais
parte da tomada de decises
aborda explicitamente a incerteza
sistemtica, estruturada e oportuna
baseia-se nas melhores informaes disponveis
Professor Gledson Pompeu gledson@dominandoti.com.br 24
WWW. DOMI NANDOTI . COM. BR
ISO 31000 - Princpios
A gesto de riscos ...
feita sob medida
considera fatores humanos e culturais
transparente e inclusiva
dinmica, iterativa e capaz de reagir a mudanas
facilita a melhoria contnua da organizao
Professor Gledson Pompeu gledson@dominandoti.com.br 25
WWW. DOMI NANDOTI . COM. BR
ISO 31000 - Estrutura
Professor Gledson Pompeu gledson@dominandoti.com.br 26
WWW. DOMI NANDOTI . COM. BR
ISO 31000 Processo de gesto de riscos
Processo de avaliao de riscos
Comunicao e
Consulta
Monitoramento e
Anlise Crtica
Estabelecimento do contexto
Identificao de riscos
Anlise de riscos
Avaliao de riscos
Tratamento de riscos
Professor Gledson Pompeu gledson@dominandoti.com.br 27
WWW. DOMI NANDOTI . COM. BR
ISO 31000 Processo de Avaliao
Processo de avaliao = Risk assessment
Processo global de identificao, anlise e avaliao de
riscos
Identificao de riscos
Envolve a identificao das fontes de risco, eventos, causas e
consequncias potenciais
Anlise de riscos
Compreenso da natureza e nvel do risco
Nvel de risco = f (consequncia, probabilidade)
Avaliao de riscos
Comparao dos resultados da anlise de riscos com os critrios de
risco para determinar se o risco aceitvel ou tolervel
Professor Gledson Pompeu gledson@dominandoti.com.br 28
WWW. DOMI NANDOTI . COM. BR
ISO 27005 Processo de gesto de riscos
Processo de avaliao de riscos
Comunicao e
Consulta
Monitoramento e
Anlise Crtica
Definio do contexto
Identificao de riscos
Anlise de riscos
Avaliao de riscos
Tratamento do risco
Aceitao do risco
Avaliao satisfatria?
(ponto de deciso 1)
Tratamento satisfatrio?
(ponto de deciso 2)
Professor Gledson Pompeu gledson@dominandoti.com.br 29
WWW. DOMI NANDOTI . COM. BR
ISO 27005 Tratamento de Riscos de SI
Definio do Contexto / Avaliao de Riscos
Avaliao satisfatria?
(ponto de deciso 1)
Tratamento de riscos
Modificao
do risco
Reteno
do risco
Ao de evitar
o risco
Compartilhamento
do risco
Riscos Residuais
Tratamento satisfatrio?
(ponto de deciso 2)
Professor Gledson Pompeu gledson@dominandoti.com.br 30
WWW. DOMI NANDOTI . COM. BR
Conceito de Risco - Comparativo
Evento incerto com impacto...
Referncia Negativo Positivo
PMBoK RISCO
COBIT RISCO ---
COSO / COSO II RISCO OPORTUNIDADE
ISO 31000 RISCO
ISO 27005 RISCO DE SI ---
Professor Gledson Pompeu gledson@dominandoti.com.br 31