Monitoramento Contínuo e GRC em Instituições Financeiras

O segmento financeiro foi o que mais evoluiu em GRC - Governança, Riscos e Compliance, e serve como base teórica para todos os segmentos. Além de proximidade com o mercado de capitais e a necessidade de controle e gestão de riscos intrínsecos ao negócio, as agências reguladoras do setor exigem a implementação de estruturas de controles e riscos, avaliam a governança e publicam milhares de normas que exigem um modelo sofisticado de compliance.


Para regular o setor existe o BIS - Bank for International Settlements - que pode ser considerado ´o Banco Central dos Bancos Centrais´, ele publica normativos, que são adotados e adaptados pelos Bancos Centrais de cada país. O BIS tem sede na Suíça, na cidade de Basiléia, que dá o nome ao seu normativo mais popular, que está em sua terceira edição - International regulatory framework for banks (Basel III), chamado no Brasil de Basiléia III, que visa fortalecer a regulação, supervisão e gestão de riscos do segmento financeiro através da melhor capacidade de absorção de choques financeiros e econômicos, da melhoria da gestão de riscos e governança e da transparência.

O BIS trata o GRC de forma bem organizada. Alguns exemplos:

• O documento Principles for Enhancing Corporate Governance, surgiu como uma resposta à crise de 2008, quando foram identificadas deficiências de governança corporativa em vários bancos; é um ótimo documento de consulta. Aqueles que conhecem o Código das Melhores Práticas de Governança Corporativa do IBGC vão se sentir em casa. Uma dica: procure a palavra "monitoring" neste documento;
• Os bancos possuem um modelo sofisticado de gestão de riscos que aloca capital para riscos de crédito, de mercado e operacional. Um documento clássico do setor para riscos operacionais é o Principles for the Sound Management of Operational Risk, que em sua nova versão de junho de 2011 traz como novidade a integração da governança com a gestão de riscos; 
• Uma instituição financeira de grande porte tem que cumprir dezenas de milhares de normas, por isso o BIS procura apoiar a estrutura de compliance. Em 2007 foi publicado o documento BIS Compliance Charter, que pode ser muito útil para aqueles que desejam implementar um departamento ou a função de compliance. Vale também estudar o documento Compliance and the compliance function in banks.

As publicações do BIS são inspiradoras para todos os segmentos e estão evoluindo a cada dia, o Banco Central do Brasil é um forte participante da regulação mundial e publica regulamentação de alto nível. Mesmos aqueles que não precisam se submeter à regulação bancária deveriam conhecer estas normas como forma de melhorar seus processos.

Dia 4 vamos fazer um café da manhã sobre "Monitoramento Contínuo e GRC no Segmento Financeiro", quem estiver interessado me mande um email (fnery@modulo.com.br) e encaminho o convite.

Aquele abraço,

FNery.

Benchmarking de Monitoramento Contínuo

Hoje começa a primavera. A natureza é o grande benchmarking do monitoramento contínuo!

Segue foto que tirei semana passada no Jardim Botânico do Rio, que não permite mais correr na pista nem sentar na grama, felizmente a natureza supera em muito a miopia do gestor.

Bom fim de semana,

FNery

Jogos Pan-americanos

Daqui a 21 dias começam na cidade de Guadalajara os Jogos Panamericanos 2011, evento que teve sua mais recente edição em 2007 no Rio de Janeiro, quando foi implementado o primeiro centro de monitoramento para grandes eventos no Brasil, o chamado MOC - Main Operation Center. Naquela época, foi uma grande inovação e adotou o topo da tecnologia. A realização dos Jogos Panamericanos Rio 2007 serviu como forte argumento para o Brasil conquistar a sede da Copa do Mundo de 2014 e os Jogos Olímpicos de 2016, e transformou o Brasil no principal destino mundial dos grandes eventos nesta década, como o Rock in Rio que - assim como a primavera - começa hoje e terá 700 mil fãs (mais que o número previsto de turistas no Brasil na Copa de 2014!).

A estrutura do MOC tornou-se a primeira referência de um centro de operações integrado urbano no Brasil e funcionou na sede do COB - Comitê Olímpico Brasileiro. Relembrando o projeto e a evolução da tecnologia, lembro por exemplo da dificuldade em fazer o monitoramento de veículos, pois não existiam smartphones com GPS, o que hoje é quase banal; na época fizemos pesquisas de triangulação de antenas, o que trazia um erro razoável. Eram incipientes as redes sociais como twitter e facebook e, como mostra a imagem abaixo, os monitores ainda eram de tubo. E foram só há quatro anos...

No MOC foi feita a gestão dos incidentes que afetavam os Jogos, em as áreas como alimentação, transporte, hopedagem, relações internacionais, esportes, ordem urbana, segurança pública, patrocinadores, televisionamento e outras. Na sala de gestão, além dos profissionais do COB estavam a prefeitura, governo do estado e governo federal. Os incidentes foram acompanhados desde a primeira informação até sua solução, o software Módulo Risk Manager fez a integração das informações e estava instalado na própria sala, nos locais de competição, na vila panamericana, nos hotéis, aeroportos, garagens e outros locais de apoio aos jogos.

Vale conhecer os números e as informações no case que publicamos em 2007.

Aquele abraço,

FNery

Comitê da ISO 31000

Amigos,


Estou ministrando uma palestra junto com o Alberto Bastos, sócio da Módulo e coordenador do comitê brasileiro da ISO 31000, ele informa que aqueles que desejarem participar da discussão das normas de Gestão de Riscos deve encaminhar solicitação para o email risk-l@modulo.com.br.


Abraço,


FNery.

Monitorar o Que?

Estudando a doutrina de monitoramento contínuo e de GRC - Governança, Riscos e Compliance, e conversando com pessoas interessadas neste tema, fica a impressão que implementar monitoramento contínuo é um trabalho infinito, e realmente deve ser... 

Uma coisa é certa quando se trata deste assunto: qualquer que seja a área, o resultado do processo costuma ser surpreendente. Coletar informações automaticamente e gerar indicadores de forma dinâmica incentiva e inspira outras áreas e aplicações.

Algumas dicas ajudam a organizar as ações nos desafios corporativos:

1.     Gosto de uma frase manjada, mas muito eficiente e utilizada em projetos complexos e mudanças corporativas: "Pense grande, comece pequeno e cresça rapidamente". Pensar em monitorar tudo desde o início pode ser uma armadilha. Começar pequeno é importante, mas deve ser feito de maneira que permita o ganho de escala. Uma representação interessante deste modelo é a Sequência de Fibonacci, uma sucessão matemática na qual cada elemento é a soma dos dois anteriores (0, 1, 1, 2, 3, 5, 8, 13, 21, 34, ...); ela é encontrada em alguns fenômenos da natureza e utilizada em aplicações de negócios como no mercado de capitais e em otimização de geração de energia. Uma forma de representá-la graficamente é na espiral de Fibonacci, na qual os elementos da sequência são o raio de cada quarto de círculo, como mostra o desenho a seguir:

  

2.     Outra recomendação é adotar uma metodologia cíclica e de fácil aplicação e comunicação. Na Módulo adotamos o Módulo GRC Metaframework, um modelo derivado do PDCA e da ISO 31000, implementado através do ciclo Inventariar, Analisar, Avaliar e Tratar. Preferimos um modelo cíclico a um modelo linear, pois ele é mais dinâmico e adequado a processos inovadores e com crescimento rápido. O modelo é representado na figura a seguir:

3.     Para a organização da coleta de informações, o Framework Caesars (Continuous Asset Evaluation, Situational Awareness, and Risk Scoring), citado em posts anteriores, organiza a coleta de informações, seja de forma manual ou automática, em: pessoas (questionários, pesquisas, ...), processos (avaliação baseada em padrões), tecnologia (coletores automáticos) e ambientes (sensores). Estes modelos de coleta serão discutidos em um futuro post. O desenho a seguir mostra a base do Caesars, que começa nos ativos e na coleta de informações: 

Implementar um projeto de monitoramento contínuo é uma tarefa estimulante e com ótimo valor para a organização. Caso deseje divulgar sua experiência procure-nos. Nos próximos posts vamos analisar algumas experiências. 

Abraço,

FNery

Novidades sobre Gestão de Riscos - ISO 31004

Alberto Bastos, sócio da Módulo, Coordenador do Comitê de Gestão de Riscos da ABNT e seguidor de nosso blog, está representando o Brasil em na reunião da ISO - International Organization for Standardization, que acontece esta semana no escritório central do BSI - British Standards Institution (o foursquare não o deixa mentir :-).

De lá, Alberto enviou a seguinte mensagem com novidades sobre gestão de riscos.

"A ISO criou recentemente um novo Comitê Técnico Internacional - TC 262 - Project committee: Risk management, com o escopo de criar normas internacionais em gestão de riscos.

A tarefa inicial do grupo será o desenvolvimento de uma nova norma 31004 - Guia de implementação para a ISO 31000, que deverá estar pronta em até 3 anos. A primeira reunião do grupo está acontecendo em Londres, com a delegação brasileira representada por Alberto Bastos, Diretor de Tecnologia da Módulo e Coordenador do Comitê de Gestão de Riscos da ABNT e Luiz Carlos Nascimento, da Petrobras. Além do Brasil, outros 30 países estão participando da reunião como Australia, Austria, Bélgica, Brasil, Canada, China, Coréia, Dinamarca, Espanha, Estados Unidos, França, Holanda, Irlanda, Japão, Nova Zelândia, Polônia, Rússia, Singapura, Suécia, Suíça e Reino Unido. Também participam como interessadas organizações como ASIS - Associação Internacional de Profissionais de Segurança, UNECE - Comissão Econômica das Nações Unidas para a Europa, IFAC - International Federation of Accountants e IIA - Instituto dos Auditores Internos.

O objetivo desta nova norma é fornecer diretrizes e orientações para as organizações interessadas em implementar a ISO 31000 - Princípios e Diretrizes, publicada em novembro de 2009 e hoje considerada o padrão internacional de gestão de riscos. Também irá fornecer explicações mais detalhadas sobre os conceitos e terminologia definida bem como exemplos e dicas práticas  de como as organizações podem adaptar seus modelos de gestão de riscos para se alinharem com os princípios, estrutura e processos da ISO 31000.

A ISO 31004 poderá ser aplicada por todos os tipos e tamanhos de empresas, nos mais variados segmentos, além de organizações responsáveis pelo desenvolvimento de normas e padrões e por estudantes e professores interessados no tema gestão de riscos.

No Brasil, a ISO 31000 está publicada em português e pode ser adquirida diretamente pelo site da ABNT.

E em breve estará disponível em Consulta Nacional a versão brasileira da ISO 31010 - Técnicas para o processo de avaliação de riscos que também é uma norma de apoio à ABNT NBR ISO 31000 fornecendo orientações sobre a seleção e aplicação de técnicas sistemáticas para o processo de avaliação de riscos.

"

Valeu Alberto,

Aquele abraço.

Pioneirismo da Segurança da Informação

O segmento de segurança da informação tem atuado de forma exemplar quando o tema é GRC - Governança, Risco e Compliance, e isso não é por acaso. Para implementar modelos de segurança da informação, é necessário tratar de ativos heterogêneos como pessoas, tecnologia, ambiente e processos, sempre com visão holística da organização, integrando ativos e ocorrências internas e externas. O profissional de segurança da informação acostumou-se a seguir padrões e normas.


Não é coincidência que dentre todos os segmentos, a segurança da informação seja o primeiro a possuir um tripé técnico-gestão-governança. Estes três pilares são bem normatizados através da ABNT NBR ISO/IEC 27002- Código de pratica para a gestão da segurança da informação, da ABNT NBR ISO/IEC 27001 - Sistemas de gestão de segurança da informação, e da futura ISO 27014 - Governance of Information Security, que está em fase final de discussão para publicação e possui um Grupo de Trabalho na ABNT.


Também em monitoramento contínuo, a segurança da informação tem sido pioneira. O NIST - National Institute of Standards and Technology, organização do governo americano que administra as normas técnicas, publicou este ano a versão draft do CAESARS Framework Extension: An Enterprise Continuous Monitoring Technical Reference Architecture, ótimo documento para os interessados no tema, que resume seu modelo no desenho a seguir (veja detalhadamente no documento):

O CAESARS vale como referência para todos os segmentos.


A discussão sobre monitoramento contínuo nos EUA conta com organismos de governo como a NSA - National Security Agency, o DHS - Department of Homeland Security e o Mitre, e na semana passada publicaram um novo documento de referência, vale conferir.


A Módulo participa ativamente do Mitre (veja em OVAL Adoption Program Participants e Capability List), e tem liderado as ações de GRC - Governança, Risco e Compliance e Monitoramento Contínuo no Brasil. 

Monitoramento Contínuo e Gestão de Riscos

Da mesma forma que na Governança Corporativa, a Gestão de Riscos possui um documento de referência que é a ISO 31000, que também deve ser usada tanto como referência para implementação de projetos de Gestão de Riscos como na justificativa para sua implementação.

Conforme a ISO 31000, "risco é o efeito da incerteza nos objetivos": se não houvessem incertezas atingiríamos nossos objetivos independente dos acontecimentos. Estas incertezas devem ser alvo do monitoramento contínuo.

Outra definição importante da norma é o risco positivo: a mesma incerteza pode levar a um risco positivo ou negativo, dependendo do contexto. Por exemplo, o fechamento do aeroporto é negativo para as companhias aéreas, mas é positivo para a livraria e o café.

A ISO 31000 é o consenso mundial de Gestão de Riscos e é publicada no Brasil pela ABNT - Associação Brasileira de Normas Técnicas; ela é adequada para projetos internacionais pois é adotada por diversos países. A ABNT também publicou a ISO Guia 73, que corresponde ao vocabulário de Gestão de Riscos, que é excelente para que todos em uma organização falem a mesma língua. Ambas estão à venda no site da ABNT (ABNT NBR ISO 31000:2009; ABNT ISO GUIA 73:2009 ).

O modelo de Gestão de Riscos da ISO 31000 adota o fluxo a seguir.

Note que a coluna à direita, relacionada ao monitoramento e análise crítica, está ligada a todas as fases da Gestão de Riscos e é a que fecha o ciclo. A prática mostra que monitoramento contínuo é vital em um processo de Gestão de Riscos.

Vale conhecer a norma ISO 31000 e capacitar sua equipe. Temos adotado a norma para buscar legitimidade  metodológica em projetos e processos e para gerar consenso entre pessoas de áreas heterogêneas, que muitas vezes, pela sua formação têm visões diferentes de risco.

Monitoramento Contínuo e Governança Corporativa

O IBGC - Instituto Brasileiro de Governança Corporativa é a principal organização a promover a Governança Corporativa. Praticamente todos os CEOs e conselheiros de administração do Brasil passaram pelos eventos do IBGC. Dentre os documentos publicados, destaca-se o Código das Melhores Práticas de Governança Corporativa, guia que consolida os conceitos e ilustra o modelo da governança corporativa com o seguinte diagrama:

As organizações têm adotado este modelo que coloca o Conselho de Administração como o principal elemento da Governança Corporativa.

O Monitoramento Contínuo é tratado em diferentes passagens do Código das Melhores Práticas de Governança Corporativa, em especial nas referências ao Conselho de Administração: "... dentre as responsabilidades do Conselho de Administração, destacam-se: Discussão, aprovação e monitoramento das decisões ... apoiar e supervisionar continuamente a gestão da organização ...".

Vale adotar este documento como referência, tanto na implementação quanto na justificativa da adoção do Monitoramento Contínuo. Isso ajudará a promover a linguagem comum na organização.

Monitoramento Contínuo para todos

Inauguramos este espaço para discutir o Monitoramento Contínuo, uma necessidade de todo gestor.

Pretendemos trazer experiências, melhores práticas e conceitos que envolvem o Monitoramento Contínuo como uma maneira de fortalecer a implementação de GRC - Governança, Riscos e Compliance.

As organizações e os departamentos têm a necessidade de praticar o monitoramento contínuo, acompanhando informações que estão em sistemas, pessoas, sensores, equipamentos e nas ocorrências externas.

O crescimento do uso de equipamentos portáteis (principalmente smartphones e tablets) e o crescimento do uso das redes sociais nos últimos dois anos criaram um novo mundo de possibilidades para o Monitoramento Contínuo, com coleta dinâmica de informação, colaboração dinâmica e instrumentos para tomadas de decisão.

Convidamos todos para participar deste mundo de possibilidades.