quarta-feira, 23 de novembro de 2011

Regulação, Fiscalização, Transparência e Controles são assunto do momento!

O vazamento de óleo no campo Frade na Bacia de Campos reacendeu o debate sobre o mundo da regulação e controles, o mesmo tinha acontecido anos atrás com o acidente semelhante, mas de dimensões bem maiores no Golfo do México.
Durante a crise do subprime em 2008, os lideres mundiais se reuniram no G20 e decretaram que a regulação deveria ser mais rigorosa, e que deveriam aumentar os controles sobre as operações financeiras.

A globalização encurtou a distância da comunicação, das relações, dos negócios e das transações financeiras. A partir da década de 90, países com cultura, religião, ética e leis diferentes convivem como se fossem vizinhos no mesmo bairro. A economia ganhou velocidade e surgiram leis, regulamentações e melhores práticas com impacto mundial como a Basiléia II e III, a lei Sarbanes Oxley e o PCI/DSS, todas apontando para a melhoria da governança, para controles mais eficientes e para melhor gestão de riscos.

Outro fator que também tem demandado regulação são os fenômenos climáticos e os grandes acidentes, como os vazamentos de petróleo e os desastres aéreos.

Estamos em uma situação de múltipla exigência de controles: crise econômica, catástrofes de abrangência mundial, mudanças climáticas, pressão pela transparência e maior exigência da sociedade. Tudo isso tem dado muito trabalho às agências reguladoras e aos departamentos de auditoria e controles internos.

Tenho falado em palestras que o segredo é aumentar a capacidade de fiscalização, e que isso é feito com capacitação, método e software. Se por um lado o volume de informações é grande, heterogêneo e muda constantemente, por outro lado, os equipamentos portáteis e as ferramentas de comunicação permitem coletas automatizadas, self assessment e instrumentação das equipes de campo.

Seguem alguns métodos e técnicas para aumentar a capacidade de controle:

  • Instrumentar o pessoal de campo: equipes de auditoria, controles, vistoria, fiscalização, pesquisa, ou qualquer outra que vá a campo precisa contar com ferramentas que aumentem sua eficácia. Os smartphones são ótimos para isso: coletam e transmitem a informação e permitem a consolidação com maior velocidade e consistência. Certa vez me perguntaram se o smartphone não deixava o projeto caro e eu disse que caro é a prancheta;
  • Todos podem colaborar: muita gente está no local onde o fato acontece, e mais, estas pessoas têm celular, computadores, tablet e usam redes sociais, elas podem mandar desde um simples SMS até um relatório detalhado com vídeos. Cada vez mais os jornais são feitos com informações e imagens que recebem de seus leitores. Os funcionários, clientes, fornecedores e as comunidades são ótimos colaboradores, usá-los com um bom método é um grande auxiliar para a estrutura de controles;
  • Imprensa e redes sociais monitoradas: boa parte das informações necessárias para o monitoramento estão na imprensa, nos blogs e nas redes sociais, o twitter em especial é uma ótima forma de medir a repercussão de ocorrências e fatos, por sua vez, o facebook nos fornece informações preciosas sobre pessoas, fatos e relações.
  • Olho nos bancos de dados: boa parte das operações da organização são registradas de forma estruturada em bancos de dados. O sistema de controles deve ter a capacidade de fazer pesquisas em bancos de dados e emitir alertas de acordo com a situação; 
  • Sistemas e equipamentos falam: toda organização possui sistemas e equipamentos que processam ocorrências que podem ser monitoradas. Uma maneira eficaz de controle é criar regras de negocio com parâmetros de alertas, por exemplo "o sistema financeiro alerta caso haja pagamento acima de um valor", "o sensor de presença do CFTv avisa em caso de acesso entre 22h e 6h", "o sistema de gestao de projetos informa sobre projetos atrasados e que estouraram o orçamento". A estrutura de controle pode fornecer APIs - applicationprogramming interfaces, a partir das quais as equipes de desenvolvimento encaminham os alertas de controle;
  • Self-assessment: quando o self assessment surgiu, as ferramentas de coleta de informação eram os formulários e os correios; houve um salto de produtividade com as planilhas, mas mesmo assim o processo era demorado, propenso a erros e gerava relatórios pobres. Hoje o processo de self assessment é automatizado com alertas por email,SMS e redes sociais e formulários respondidos digitalmente que geram relatórios e possuem recursos de apoio e acompanhamento das decisões;

Os métodos citados são diferentes, exigem recursos gerados por pessoas diferentes, e de forma diferente, e este é o desafio contemporâneo das estruturas de controle.

A tecnologia permite a junção destes dados e a geração de informações homogêneas para decisão e prestação de contas. Uma providência que tem mostrado eficácia é a criação de uma sala de gestão e monitoramento, que passa a ser a referência da coleta de informações, dos painéis de controle, do apoio à decisão e do tratamento dos riscos e ocorrências. O conceito de sala é eficaz, mas de acordo com os recursos e a necessidade o conceito de sala pode virar um caminhão, uma baia, uma mesa ou até um celular.

O que acabamos de falar é um grande modelo de monitoramento contínuo, temos pesquisado e praticado estes conceitos e estamos à disposição para trocar experiências.

Nesta quinta feira vamos falar sobre Automatização de Fiscalização e Controles em um evento em Brasília e na segunda feira dia 28 às 10h30 vamos fazer um webinar sobre Governança da TI e Monitoramento Contínuo, inscreva-se!

Aquele abraço,

Fnery

terça-feira, 15 de novembro de 2011

Monitoramento Contínuo para Gestão e Governança de TI

Nos encontros sobre monitoramento contínuo, tenho concluído que a demanda sempre existiu, mas era reprimida pela falta de método e software.


Mesmo com o título do post falando de TI, ele vale para qualquer executivo C-level que deseje conhecer mais sobre o assunto.


É comum escutar executivos que desejam "monitorar tudo, o tempo todo", não é a forma correta de começar, mas é um caminho. Usamos como símbolo uma espiral de Fibonacci e adotamos o lema: "pense no todo, comece pequeno, cresça rapidamente", veja o post de setembro "monitorar o que?".


O CIO é um executivo que tem um grande número de assuntos heterogêneos para administrar, atua em um segmento com pouca base teórica de gestão pois é uma profissão nova e em frequente mudança, e carece de ferramenta para sua própria gestão.


Vamos adotar como referência a versão do Cobit 5 que o ISACA disponibilizou em Exposure Draft e usou o título de "The Framework"; realmente ele promete. Esta versão está finalmente alinhada com a governança corporativa e separa a governança da gestão. Note na imagem a seguir que tanto na gestão quanto na governança existem fases de monitoramento.




Monitoramento contínuo é essencialmente uma ferramenta para a gestão, mas permite que a governança tenha indicadores à mão, por isso pode ser aplicado tanto em gestão como na governança. Temos que virar o jogo, hoje a principal ferramenta de monitoramento para a governança é o telefone: quando os indicadores chegam ao nível crítico, alguém liga para o chefe. A maior parte das informações estão na cabeça das pessoas, em bancos de dados e sistemas que não se falam, e em planilhas.


Vamos dividir os temas conforme o modelo proposto pelo Cobit 5. Note mais uma vez que monitoramento é palavra de destaque: ele faz a ligação entre a gestão e a governança.




Veja o monitoramento contínuo através dos domínios do Cobit 5:

  • Plan: O monitoramento da fase de planejamento é a base para as próximas fases, ela considera as demandas e expectativas dos usuários, os padrões de TI, o legado da infra-estrutura, as tendências tecnológicas, os fornecedores e a inovação, tudo isso deve gerar a visão de futuro. Você não precisa esperar o planejamento ficar pronto para adotar o monitoramento contínuo, ele já lhe ajuda nesta fase; 
  • Build: Aqui é a primeira parte da execução, onde há a construção, a definição de requisitos, a implementação dos projetos, as aquisições e a gestão de mudanças. O monitoramento contínuo permitirá o controle de cada atividade, a coerência com os objetivos e o planejamento, e a preparação para a fase de operação;
  • Run: Esta é a fase de operação, quando o ambiente está em produção. Durante esta fase são monitorados os indicadores da operação, os ativos, a segurança, os níveis de serviço, e os problemas e incidentes. Adotar o monitoramento contínuo nesta fase vai lhe fornecer um painel de controle da operação e dos serviços prestados pela área de TI;
  • Monitor: Esta é a fase que une a gestão à governança e é a essência do monitoramento contínuo, a partir dela as fases anteriores são monitoradas e avaliadas conforme os objetivos de negócio e as exigências externas (clientes, legislação e agências reguladoras). A partir destes controles a governança organiza e realiza a evolução contínua das demandas de TI.

Para implementar este modelo nossa proposta é a adoção das fases do Módulo GRC Metaframework:

  • Inventariar: Manter o inventário dos usuários e objetivos de negócio, e dos projetos, operações, sistemas e serviços de TI;
  • Analisar: Coletar e analisar os indicadores de cada elemento inventariado, considerando os modelos preventivo (controles, vistorias, melhores práticas, ...) e corretivo (ocorrências, incidentes, problemas, ...); 
  • Avaliar: As informações coletadas na fase anterior devem ser integradas e analisadas de diversas formas (painel de controle, relatórios, mapas, top 10, ...). Esta é a fase da decisão, e vai considerar a análise de muitas variáveis heterogêneas. As decisões aqui tomadas serão tratadas e acompanhadas na próxima fase;
  • Tratar: Esta é a fase do workflow de acompanhamento das decisões. Durante o processo de gestão e governança de TI são tomadas decisões de planejamento, projeto, operação e de ocorrências, estas decisões precisam ser acompanhadas em sua implementação. Também na fase de tratamento é realizada a prestação de contas;
  • Veja na imagem a seguir que estas fases formam um ciclo, quanto mais giros forem dados, maior será o aprendizado e a melhoria contínua. Por exemplo, você não precisa inventariar tudo para começar a análise, basta inventariar um ativo, projeto, operação, sistema ou serviço por exemplo que o ciclo começa a girar.




Para convencer você a ler o documento do Cobit 5 (ele vai virar o livro de cabeceira do CIO), note na imagem a seguir que o modelo de implementação é mais um modelo cíclico. Veja como as tendências se encontram:




Já temos nossos mantras:

  • Usar modelos cíclicos;
  • Pensar no todo, começar pequeno, crescer rapidamente;
  • Adotar como base teórica o modelo de GRC-Governança, Riscos e Compliance.
O assunto é amplo e será objeto de novos posts, estou à disposição.

Aquele abraço,

FNery
fnery@modulo.com.br

sábado, 5 de novembro de 2011

Atualizações sobre Monitoramento Contínuo

Amigos,


Outubro foi um mês de muito trabalho e realizações que reduziram a frequência do blog. Estou aguardando  autorização para compartilhar com vocês uma experiência bastante rica em monitoramento contínuo em um ambiente heterogêneo e dinâmico.


Vamos recomeçar com informações importantes para os interessados pelo monitoramento contínuo: o grupo que está organizando o assunto no NIST divulgou a lista dos normativos (alguns já comentamos) que formam a estrutura do tema. Alguns estão finalizados e outros em draft ou pre-draft (ainda não disponibilizados, mas estamos acompanhando do Brasil a preparação e discussão do 7799 e 7800 e vem coisa interessante por aí):

Tenho  repetido em minhas palestras que este mundo de governança, riscos, compliance e monitoramento contínuo é para quem gosta de estudar. Por muito tempo estes segmentos eram carentes de base teórica e consensos, e hoje é um dos setores com o melhor conjunto de boas práticas e frameworks. Quando estourou a crise de 2008, os orgãos reguladores afirmaram que não eram necessário criar novos frameworks de governança, mas aplicar o que existe.

Dica light do post, uma app para iphone/ipad para que gosta de música: Rádio Ibiza  :-)

Aquele abraço,

FNery

domingo, 16 de outubro de 2011

Monitoramento Contínuo na pauta do dia: Novíssima norma NIST 800-137

Após uma semana de muito trabalho e viagens, voltamos ao blog.


Como temos falado, o tema monitoramento contínuo está entrando rapidamente na pauta dos assuntos corporativos devido ao aumento da complexidade dos negócios, à maior exigência de controles e à rápida evolução da tecnologia.


Os textos e normas sobre monitoramento contínuo estão sempre acompanhados da palavra "awareness" (consciência, conscientização), o que nos parece bastante coerente.


No mês passado o NIST - National Institute of Standards and Technology publicou o normativo NIST 800-137 - Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations, que mesmo sendo um padrão para organizações do Governo Americano, e focado em segurança da informação, serve como ótima referência para todos os segmentos.


Vale atentar para a definição: "Information security continuous monitoring (ISCM) is defined as maintaining ongoing awareness of information security, vulnerabilities, and threats to support organizational risk management decisions".


Da mesma forma que outros normativos, o NIST 800-137 posiciona o monitoramento contínuo como uma ação hierárquica (seja na corporação ou em um departamento) em três níveis: Organização, Processos e Sistemas; veja na pirâmide abaixo.




Seguindo a nova geração de frameworks, o NIST 800-137 implementa um modelo cíclico (veja abaixo). Os modelos cíclicos começaram com o PDCA - que foi consagrado e virou consenso com a ISO 9000 -, e hoje tem sido adotado pelos frameworks pois permitem aprendizado contínuo e a rápida apresentação de resultados.




Este novo framework mostra uma forma madura de se tratar a segurança da informação e tem um ótimo glossário. Acho que o NIST deveria se alinhar com as normas ISO 27000 e ISO 31000, que sequer são citadas (para o NIST ISO significa "Information System Owner" :-), mas como se trata de uma norma do governo americano, não existe nenhuma obrigação de fazer este alinhamento. De qualquer maneira recomendo ao leitor usar esta norma como melhor prática e as normas da ISO como referências normativas.


O monitoramento contínuo tem ganho espaço, vale acompanhar as novidades.


Aquele abraço,


FNery.




Information security continuous monitoring (ISCM) is defined as maintaining ongoing awareness of information security, vulnerabilities, and threats to support organizational risk management decisions.

quarta-feira, 5 de outubro de 2011

Jobs deixa a inspiração...

Um pouco sobre Steve Jobs. Parece que perdemos alguém da família, nos últimos anos ele foi onipresente.


Sempre o admirei, ele sabia fazer as pessoas amar a tecnologia, e a palavra amor estava sempre em suas apresentações.

Assim que entrei na faculdade estava curioso com um tal de Apple II, um computador bonito, com monitor colorido, que era fácil de abrir e ver o que tinha dentro; aprendi o seu Assembly 6502, que permitia coisas incríveis, como acelerar e frear o disquete, era divertido e inspirador.

Ele sempre nos surpreendeu: Apple II, Mouse, Macintosh, Pixar, iPod, iTunes, iPhone, iPad, ...

Tenho em meu computador todos os vídeos de suas palestras após o retorno à Apple. Foi o melhor dos palestrantes. Mesmo com sua grande capacidade, ele se preparava por 90 horas antes de cada palestra e ainda tinha umas anotações no bolso, após ver o vídeo pela terceira vez, é possível notar este tipo de coisa. Lição de humildade: se o Jobs se prepara, porque eu iria a uma palestra sem me preparar?

Leonardo da Vinci disse que "a simplicidade é a sofisticação suprema" e ele conseguiu colocar isso em prática. Fez o iPhone, que tem 200 patentes, simples e que vem na caixa sem manual.

Ele foi nossos olhos, ouvidos e sentimentos, soube ler nossas mentes e decifrar nossos desejos tecnológicos, fez uma grande revolução: quando o mundo estava lotado de tocadores de mp3 "made in china", lançou o iPod que todos diziam não fazer sentido pois o mercado de tocadores de mp3. Transformou o iPod em iPhone e o iPhone em iPad, nos deixou tendo levando sua empresa ao topo, a maior do mundo. Esta evolução tinha limite? Jobs aumentou a velocidade do desenvolvimento tecnológico, lançou novidades em frequência recorde, e nos fez querer cada vez mais. Ele viabilizou a democratização da tecnologia a partir do momento que popularizou os smartphones e trouxe na sua cola as redes sociais. Até onde ele nos levaria?

Eu sempre disse que o comprador da Apple é na verdade um vendedor, pois ele quer mostrar o produto aos outros e discutir que é o melhor.

Era o chairman e o CEO da Apple; quem no mercado e no mundo das melhores práticas de Governança Corporativa ia dizer que isso não dá certo? Pode não dar certo em 99,9999% do mercado, mas na Apple deu. Gostava de talentos, tinha no seu conselho de administração o Al Gore e a Andrea Jung, presidente mundial da Avon.

Chamá-lo de genial é promover o gênio, ele era discreto, tímido, budista, vegetariano e foi derrubado pelo câncer. É o mistério da vida.

Nos inspirou em muitas coisas: trabalhar duro, foco, visão do cliente, amar o produto, atenção aos detalhes, insatisfação constante, perfeição até o limite da viabilidade, acreditar nos seus propósitos, rir de si mesmo, ...

Vou terminar por aqui, poderia ficar o dia todo falando dele. A wired fez um excelente "post mortem" dele, com direito a um vídeo com um resumo de seus espetáculos. Vale também ver e mostrar aos filhos a palestra dele em Stanford, que emociona cada vez que vejo, ali ele fala da inspiração suprema: "ligar os pontos", se existe lição de vida, esta é uma delas.

Vai Jobs, fica a inspiração.

Aquele abraço,

FNery

terça-feira, 4 de outubro de 2011

Monitoramento Contínuo em Grandes Eventos

Amigos,

Nas duas semanas do Rock in Rio, a polêmica sobre a organização do Brasil para a Copa 2014 e as Olimpíadas 2016 ganhou força. Tipicamente a preocupação é "como fazer quando chegar a Copa?", mas poucos atentam que o Rock in Rio, mesmo não tendo o apelo televisivo, a paixão da disputa, os confrontos internacionais e o fluxo de torcedores/turistas estrangeiros, é maior que a Copa para a cidade do Rio de Janeiro.

Fazendo um comparativo simples, a Copa do Mundo da África teve 9 cidades sede (Joanesburgo teve dois estádios), enquanto o Brasil terá 12, assim os jogos serão mais distribuídos entre as cidades. No Rock in Rio foram 100 mil pessoas por dia em sete dias quase seguidos das 14h às 3 da madrugada; por sua vez, na Copa de 2010, os estádios nem sempre foram cheios, e o Soccer City, principal estádio, que fica em uma área aberta e foi quem recebeu mais jogos (10), teve, por exemplo, Uruguai e Gana, que, independente do apelo futebolístico, não levaram grande torcida para a África do Sul.

O Rock in Rio foi realizado em uma área afastada (perto do Riocentro na Barra da Tijuca - veja o mapa abaixo), com poucas vias de acesso, sem presença de metrô ou trem, e foi implementado um modelo especial de ônibus e estacionamento na periferia; mesmo com a precariedade do local (é complicado fazer um evento deste tamanho em área urbana), o evento foi um sucesso, apesar dos problemas, que acontecem em qualquer lugar do mundo. Os estádios brasileiros têm melhorado a olhos vistos, quem frequentou o Maracanã meses antes do fechamento para obras, notou a melhoria da ordem dentro e no entorno do estádio, no que se refere a: conforto, segurança, trânsito, entrada, limpeza, etc, com certeza isso aconteceu em diversos estádios no Brasil. O Maracanã tem diversas vias de acesso por automóveis, é bem servido por ônibus e possui estações de trem e metrô ao lado, além da segurança muito bem organizada pelo GEPE - Grupamento Especial de Policiamento dos Estádios.

Há muito tempo venho frequentando grandes eventos no Brasil, estreei no Rock in Rio de 1985 e inaugurei no Maracanã em um jogo Vasco x Santos em 1974, com Pelé no campo, o que encantaria qualquer menino hoje.

Nos eventos e congressos sobre Copa do Mundo e Olimpíadas no Brasil, tenho sido frequentemente um voz destoante, um dos poucos palestrantes otimista com relação aos grandes eventos no Brasil, mesmo no dia-a-dia enfrentando os aeroportos, o sinal de celular e a velocidade da internet. Diferente das sedes das copas dos últimos anos, o Brasil vai encarar o grande evento em pleno crescimento econômico que, sozinho, exige o fortalecimento de nossa infraestrutura. O desafio de crescer e fazer grandes eventos ao mesmo tempo multiplica a necessidade de infraestrutura. Temos que melhorar nossa auto estima.

Temos trabalhado em alguns grandes eventos, e este fim de semana fizemos um exercício de monitoramento paralelo no Rock in Rio (minhas filhas ajudaram), no jogo São Paulo x Flamengo (com o Renato Tocaxelli, São Paulino de carteirinha, que levou a família ao Morumbi, e assim como eu, não ficou satisfeito com os resultados desta rodada), e o jogo Vasco x Corinthians (que fui com meus filhos).

O objetivo deste post não é falar sobre o futebol e suas polêmicas apaixonadas, mas do monitoramento da organização e da estrutura de grandes eventos. Um grande evento exige monitoramento antes, durante e depois e envolve assuntos diversos como previsão meteorológica, segurança, trânsito, movimento das multidões, alimentação, televisionamento e outros.

O trabalho neste fim de semana foi coletar ocorrências internos e externos nestes três eventos, algumas visões:


  • No Rock in Rio foram coletadas ocorrências desde o ponto de referência do transporte na Alvorada até dentro da área do show, note que as imagens do Google Earth ainda são da área antes da obra;

  • O show adotou um modelo de chegada similar à Copa do Mundo, com perímetros de segurança;

  • No Morumbi, foram levantados ocorrências na chegada, permanência e saída do estádio;

  • O Morumbi tem um modelo eficaz de chegada e entrada na bilheteria, fortalecendo o bom atendimento no estádio, lembro a diferença dos truculentos ´roleteiros´ que tínhamos que enfrentar para entrar em um estádio;

  • São Januário fica no meio de uma área em franco crescimento imobiliário (São Cristóvão), uma região que está recebendo muito investimento (Porto) e uma favela sem UPP (Barreira do Vasco). Foram levantados eventos no entorno do estádio e nas arquibancadas do novo Setor Premium, inaugurado neste domingo;

  • O novo Setor Premium é comparável aos principais estádios do mundo;

  • Um excesso de zelo e por isso o Setor ganha nota 9,5, o pessoal de serviços fica na frente de quem está sentado nas primeiras fileiras. Na minha frente chegaram a ter 5 enfermeiras :-), com certeza é algo que será resolvido na ótima gestão de nosso presidente Roberto Dinamite e sua equipe resolver, basta colocar o serviço ao lado, onde ficam os seguranças;

Grandes eventos são ótimas referências para avaliar modelos monitoramento contínuo em qualquer área, pois trabalham com elementos críticos como multidões, tempestividade, televisionamento, emoção, responsabilidade civil, ordem pública, segurança e acompanhamento da mídia e da sociedade.

Monitorar um grande evento garante melhor gestão, melhoria contínua, gestão dos riscos, aprendizado e respostas rápidas. A intenção deste post foi trazer algumas idéias sobre monitoramento contínuo em grandes eventos, estamos à disposição.

Aquele abraço,

FNery

terça-feira, 27 de setembro de 2011

Monitoramento Contínuo e GRC em Instituições Financeiras

O segmento financeiro foi o que mais evoluiu em GRC - Governança, Riscos e Compliance, e serve como base teórica para todos os segmentos. Além de proximidade com o mercado de capitais e a necessidade de controle e gestão de riscos intrínsecos ao negócio, as agências reguladoras do setor exigem a implementação de estruturas de controles e riscos, avaliam a governança e publicam milhares de normas que exigem um modelo sofisticado de compliance.


Para regular o setor existe o BIS - Bank for International Settlements - que pode ser considerado ´o Banco Central dos Bancos Centrais´, ele publica normativos, que são adotados e adaptados pelos Bancos Centrais de cada país. O BIS tem sede na Suíça, na cidade de Basiléia, que dá o nome ao seu normativo mais popular, que está em sua terceira edição - International regulatory framework for banks (Basel III), chamado no Brasil de Basiléia III, que visa fortalecer a regulação, supervisão e gestão de riscos do segmento financeiro através da melhor capacidade de absorção de choques financeiros e econômicos, da melhoria da gestão de riscos e governança e da transparência.


O BIS trata o GRC de forma bem organizada. Alguns exemplos:

As publicações do BIS são inspiradoras para todos os segmentos e estão evoluindo a cada dia, o Banco Central do Brasil é um forte participante da regulação mundial e publica regulamentação de alto nível. Mesmos aqueles que não precisam se submeter à regulação bancária deveriam conhecer estas normas como forma de melhorar seus processos.

Dia 4 vamos fazer um café da manhã sobre "Monitoramento Contínuo e GRC no Segmento Financeiro", quem estiver interessado me mande um email (fnery@modulo.com.br) e encaminho o convite.

Aquele abraço,

FNery.

sexta-feira, 23 de setembro de 2011

Benchmarking de Monitoramento Contínuo

Hoje começa a primavera. A natureza é o grande benchmarking do monitoramento contínuo!

Segue foto que tirei semana passada no Jardim Botânico do Rio, que não permite mais correr na pista nem sentar na grama, felizmente a natureza supera em muito a miopia do gestor.

Bom fim de semana,

FNery

Jogos Pan-americanos

Daqui a 21 dias começam na cidade de Guadalajara os Jogos Panamericanos 2011, evento que teve sua mais recente edição em 2007 no Rio de Janeiro, quando foi implementado o primeiro centro de monitoramento para grandes eventos no Brasil, o chamado MOC - Main Operation Center. Naquela época, foi uma grande inovação e adotou o topo da tecnologia. A realização dos Jogos Panamericanos Rio 2007 serviu como forte argumento para o Brasil conquistar a sede da Copa do Mundo de 2014 e os Jogos Olímpicos de 2016, e transformou o Brasil no principal destino mundial dos grandes eventos nesta década, como o Rock in Rio que - assim como a primavera - começa hoje e terá 700 mil fãs (mais que o número previsto de turistas no Brasil na Copa de 2014!).

A estrutura do MOC tornou-se a primeira referência de um centro de operações integrado urbano no Brasil e funcionou na sede do COB - Comitê Olímpico Brasileiro. Relembrando o projeto e a evolução da tecnologia, lembro por exemplo da dificuldade em fazer o monitoramento de veículos, pois não existiam smartphones com GPS, o que hoje é quase banal; na época fizemos pesquisas de triangulação de antenas, o que trazia um erro razoável. Eram incipientes as redes sociais como twitter e facebook e, como mostra a imagem abaixo, os monitores ainda eram de tubo. E foram só há quatro anos...


No MOC foi feita a gestão dos incidentes que afetavam os Jogos, em as áreas como alimentação, transporte, hopedagem, relações internacionais, esportes, ordem urbana, segurança pública, patrocinadores, televisionamento e outras. Na sala de gestão, além dos profissionais do COB estavam a prefeitura, governo do estado e governo federal. Os incidentes foram acompanhados desde a primeira informação até sua solução, o software Módulo Risk Manager fez a integração das informações e estava instalado na própria sala, nos locais de competição, na vila panamericana, nos hotéis, aeroportos, garagens e outros locais de apoio aos jogos.

Vale conhecer os números e as informações no case que publicamos em 2007.

Aquele abraço,

FNery

terça-feira, 20 de setembro de 2011

Comitê da ISO 31000

Amigos,


Estou ministrando uma palestra junto com o Alberto Bastos, sócio da Módulo e coordenador do comitê brasileiro da ISO 31000, ele informa que aqueles que desejarem participar da discussão das normas de Gestão de Riscos deve encaminhar solicitação para o email risk-l@modulo.com.br.


Abraço,


FNery.

Monitorar o Que?

Estudando a doutrina de monitoramento contínuo e de GRC - Governança, Riscos e Compliance, e conversando com pessoas interessadas neste tema, fica a impressão que implementar monitoramento contínuo é um trabalho infinito, e realmente deve ser... 

Uma coisa é certa quando se trata deste assunto: qualquer que seja a área, o resultado do processo costuma ser surpreendente. Coletar informações automaticamente e gerar indicadores de forma dinâmica incentiva e inspira outras áreas e aplicações.

Algumas dicas ajudam a organizar as ações nos desafios corporativos:

1.     Gosto de uma frase manjada, mas muito eficiente e utilizada em projetos complexos e mudanças corporativas: "Pense grande, comece pequeno e cresça rapidamente". Pensar em monitorar tudo desde o início pode ser uma armadilha. Começar pequeno é importante, mas deve ser feito de maneira que permita o ganho de escala. Uma representação interessante deste modelo é a Sequência de Fibonacci, uma sucessão matemática na qual cada elemento é a soma dos dois anteriores (0, 1, 1, 2, 3, 5, 8, 13, 21, 34, ...); ela é encontrada em alguns fenômenos da natureza e utilizada em aplicações de negócios como no mercado de capitais e em otimização de geração de energia. Uma forma de representá-la graficamente é na espiral de Fibonacci, na qual os elementos da sequência são o raio de cada quarto de círculo, como mostra o desenho a seguir:

  
2.     Outra recomendação é adotar uma metodologia cíclica e de fácil aplicação e comunicação. Na Módulo adotamos o Módulo GRC Metaframework, um modelo derivado do PDCA e da ISO 31000, implementado através do ciclo Inventariar, Analisar, Avaliar e Tratar. Preferimos um modelo cíclico a um modelo linear, pois ele é mais dinâmico e adequado a processos inovadores e com crescimento rápido. O modelo é representado na figura a seguir:



3.     Para a organização da coleta de informações, o Framework Caesars (Continuous Asset Evaluation, Situational Awareness, and Risk Scoring), citado em posts anteriores, organiza a coleta de informações, seja de forma manual ou automática, em: pessoas (questionários, pesquisas, ...), processos (avaliação baseada em padrões), tecnologia (coletores automáticos) e ambientes (sensores). Estes modelos de coleta serão discutidos em um futuro post. O desenho a seguir mostra a base do Caesars, que começa nos ativos e na coleta de informações: 

Implementar um projeto de monitoramento contínuo é uma tarefa estimulante e com ótimo valor para a organização. Caso deseje divulgar sua experiência procure-nos. Nos próximos posts vamos analisar algumas experiências. 

Abraço,

FNery

quinta-feira, 15 de setembro de 2011

Novidades sobre Gestão de Riscos - ISO 31004

Alberto Bastos, sócio da Módulo, Coordenador do Comitê de Gestão de Riscos da ABNT e seguidor de nosso blog, está representando o Brasil em na reunião da ISO - International Organization for Standardization, que acontece esta semana no escritório central do BSI - British Standards Institution (o foursquare não o deixa mentir :-).


De lá, Alberto enviou a seguinte mensagem com novidades sobre gestão de riscos.

"A ISO criou recentemente um novo Comitê Técnico Internacional - TC 262 - Project committee: Risk management, com o escopo de criar normas internacionais em gestão de riscos.

A tarefa inicial do grupo será o desenvolvimento de uma nova norma 31004 - Guia de implementação para a ISO 31000, que deverá estar pronta em até 3 anos. A primeira reunião do grupo está acontecendo em Londres, com a delegação brasileira representada por Alberto Bastos, Diretor de Tecnologia da Módulo e Coordenador do Comitê de Gestão de Riscos da ABNT e Luiz Carlos Nascimento, da Petrobras. Além do Brasil, outros 30 países estão participando da reunião como Australia, Austria, Bélgica, Brasil, Canada, China, Coréia, Dinamarca, Espanha, Estados Unidos, França, Holanda, Irlanda, Japão, Nova Zelândia, Polônia, Rússia, Singapura, Suécia, Suíça e Reino Unido. Também participam como interessadas organizações como ASIS - Associação Internacional de Profissionais de Segurança, UNECE - Comissão Econômica das Nações Unidas para a Europa, IFAC - International Federation of Accountants e IIA - Instituto dos Auditores Internos.

O objetivo desta nova norma é fornecer diretrizes e orientações para as organizações interessadas em implementar a ISO 31000 - Princípios e Diretrizes, publicada em novembro de 2009 e hoje considerada o padrão internacional de gestão de riscos. Também irá fornecer explicações mais detalhadas sobre os conceitos e terminologia definida bem como exemplos e dicas práticas  de como as organizações podem adaptar seus modelos de gestão de riscos para se alinharem com os princípios, estrutura e processos da ISO 31000.

A ISO 31004 poderá ser aplicada por todos os tipos e tamanhos de empresas, nos mais variados segmentos, além de organizações responsáveis pelo desenvolvimento de normas e padrões e por estudantes e professores interessados no tema gestão de riscos.

No Brasil, a ISO 31000 está publicada em português e pode ser adquirida diretamente pelo site da ABNT.

E em breve estará disponível em Consulta Nacional a versão brasileira da ISO 31010 - Técnicas para o processo de avaliação de riscos que também é uma norma de apoio à ABNT NBR ISO 31000 fornecendo orientações sobre a seleção e aplicação de técnicas sistemáticas para o processo de avaliação de riscos.
"
Valeu Alberto,

Aquele abraço.

segunda-feira, 5 de setembro de 2011

Pioneirismo da Segurança da Informação

O segmento de segurança da informação tem atuado de forma exemplar quando o tema é GRC - Governança, Risco e Compliance, e isso não é por acaso. Para implementar modelos de segurança da informação, é necessário tratar de ativos heterogêneos como pessoas, tecnologia, ambiente e processos, sempre com visão holística da organização, integrando ativos e ocorrências internas e externas. O profissional de segurança da informação acostumou-se a seguir padrões e normas.


Não é coincidência que dentre todos os segmentos, a segurança da informação seja o primeiro a possuir um tripé técnico-gestão-governança. Estes três pilares são bem normatizados através da ABNT NBR ISO/IEC 27002- Código de pratica para a gestão da segurança da informação, da ABNT NBR ISO/IEC 27001 - Sistemas de gestão de segurança da informação, e da futura ISO 27014 - Governance of Information Security, que está em fase final de discussão para publicação e possui um Grupo de Trabalho na ABNT.


Também em monitoramento contínuo, a segurança da informação tem sido pioneira. O NIST - National Institute of Standards and Technology, organização do governo americano que administra as normas técnicas, publicou este ano a versão draft do CAESARS Framework Extension: An Enterprise Continuous Monitoring Technical Reference Architecture, ótimo documento para os interessados no tema, que resume seu modelo no desenho a seguir (veja detalhadamente no documento):




O CAESARS vale como referência para todos os segmentos.


A discussão sobre monitoramento contínuo nos EUA conta com organismos de governo como a NSA - National Security Agency, o DHS - Department of Homeland Security e o Mitre, e na semana passada publicaram um novo documento de referência, vale conferir.


A Módulo participa ativamente do Mitre (veja em OVAL Adoption Program Participants e Capability List), e tem liderado as ações de GRC - Governança, Risco e Compliance e Monitoramento Contínuo no Brasil. 

sexta-feira, 2 de setembro de 2011

Monitoramento Contínuo e Gestão de Riscos

Da mesma forma que na Governança Corporativa, a Gestão de Riscos possui um documento de referência que é a ISO 31000, que também deve ser usada tanto como referência para implementação de projetos de Gestão de Riscos como na justificativa para sua implementação.

Conforme a ISO 31000, "risco é o efeito da incerteza nos objetivos": se não houvessem incertezas atingiríamos nossos objetivos independente dos acontecimentos. Estas incertezas devem ser alvo do monitoramento contínuo.

Outra definição importante da norma é o risco positivo: a mesma incerteza pode levar a um risco positivo ou negativo, dependendo do contexto. Por exemplo, o fechamento do aeroporto é negativo para as companhias aéreas, mas é positivo para a livraria e o café.

A ISO 31000 é o consenso mundial de Gestão de Riscos e é publicada no Brasil pela ABNT - Associação Brasileira de Normas Técnicas; ela é adequada para projetos internacionais pois é adotada por diversos países. A ABNT também publicou a ISO Guia 73, que corresponde ao vocabulário de Gestão de Riscos, que é excelente para que todos em uma organização falem a mesma língua. Ambas estão à venda no site da ABNT (ABNT NBR ISO 31000:2009ABNT ISO GUIA 73:2009 ).

O modelo de Gestão de Riscos da ISO 31000 adota o fluxo a seguir.


Note que a coluna à direita, relacionada ao monitoramento e análise crítica, está ligada a todas as fases da Gestão de Riscos e é a que fecha o ciclo. A prática mostra que monitoramento contínuo é vital em um processo de Gestão de Riscos.

Vale conhecer a norma ISO 31000 e capacitar sua equipe. Temos adotado a norma para buscar legitimidade  metodológica em projetos e processos e para gerar consenso entre pessoas de áreas heterogêneas, que muitas vezes, pela sua formação têm visões diferentes de risco.

quinta-feira, 1 de setembro de 2011

Monitoramento Contínuo e Governança Corporativa

O IBGC - Instituto Brasileiro de Governança Corporativa é a principal organização a promover a Governança Corporativa. Praticamente todos os CEOs e conselheiros de administração do Brasil passaram pelos eventos do IBGC. Dentre os documentos publicados, destaca-se o Código das Melhores Práticas de Governança Corporativa, guia que consolida os conceitos e ilustra o modelo da governança corporativa com o seguinte diagrama:


As organizações têm adotado este modelo que coloca o Conselho de Administração como o principal elemento da Governança Corporativa.

O Monitoramento Contínuo é tratado em diferentes passagens do Código das Melhores Práticas de Governança Corporativa, em especial nas referências ao Conselho de Administração: "... dentre as responsabilidades do Conselho de Administração, destacam-se: Discussão, aprovação e monitoramento das decisões ... apoiar e supervisionar continuamente a gestão da organização ...".

Vale adotar este documento como referência, tanto na implementação quanto na justificativa da adoção do Monitoramento Contínuo. Isso ajudará a promover a linguagem comum na organização.

Monitoramento Contínuo para todos

Inauguramos este espaço para discutir o Monitoramento Contínuo, uma necessidade de todo gestor.

Pretendemos trazer experiências, melhores práticas e conceitos que envolvem o Monitoramento Contínuo como uma maneira de fortalecer a implementação de GRC - Governança, Riscos e Compliance.

As organizações e os departamentos têm a necessidade de praticar o monitoramento contínuo, acompanhando informações que estão em sistemas, pessoas, sensores, equipamentos e nas ocorrências externas.

O crescimento do uso de equipamentos portáteis (principalmente smartphones e tablets) e o crescimento do uso das redes sociais nos últimos dois anos criaram um novo mundo de possibilidades para o Monitoramento Contínuo, com coleta dinâmica de informação, colaboração dinâmica e instrumentos para tomadas de decisão.

Convidamos todos para participar deste mundo de possibilidades.