Objetivo:

Assegurar aderência regulatória e reduzir riscos de sanções, restrições operacionais e danos reputacionais, estruturando um programa de compliance “executável” no dia a dia, com governança, controles, evidências e monitoramento contínuo, adequado às exigências de mercados regulados (Saúde, Financeiro, Seguradoras, Energia, Apostas de Quota Fixa e Telecomunicações).

​

O que fazemos:

• Mapeamento regulatório e diagnóstico:

  • Levantamento de obrigações aplicáveis (leis, normativos setoriais, autorregulação e contratos).

  • Gap analysis por processo, área e priorização por risco e criticidade.

• Programa de Compliance (estrutura e governança):

  • Modelo de governança (papéis, comitês, ritos, reporting e trilhas de decisão).

  • Política de compliance, código de conduta e diretrizes operacionais por tema.

• Controles e evidências:

  • Desenho, fortalecimento de controles (preventivos e detectivos) e requisitos de evidência.

  • Padronização de registros, aprovações, segregação de funções e trilhas de auditoria.

• Gestão de riscos de compliance:

  • Metodologia, matriz de riscos, KRIs/KPIs e planos de tratamento.

  • Gestão de exceções, aceites e mudanças regulatórias com rastreabilidade.

• Monitoramento, auditorias e melhoria contínua:

  • Testes periódicos de controles, auditorias internas temáticas e planos de ação.

  • Acompanhamento de indicadores e revisão de efetividade (ciclo PDCA).

• Terceiros e cadeia de fornecimento:

  • Due diligence e requisitos contratuais, incluindo obrigações regulatórias e de conduta.

  • Monitoramento de desempenho e conformidade de fornecedores críticos.

• Treinamento e cultura:

  • Trilhas por público (liderança, áreas críticas e operação), comunicação e campanhas.

  • Registro de participação e mensuração de eficácia.

Objetivo:

Preparar a organização para certificações e exigências técnicas e regulatórias, estruturando governança, processos, controles e evidências de forma auditável, com mínimo retrabalho e máxima previsibilidade. Atuamos tanto em certificações de referência (ISO 31000 e ISO 22301) quanto em certificações e requisitos técnicos específicos por mercado, como os aplicáveis a Apostas de Quota Fixa no Brasil.

​

O que fazemos:

• ISO 31000 (Gestão de Riscos):

  • Diagnóstico de maturidade e desenho do framework de riscos (princípios, estrutura e processo).

  • Definição de apetite, tolerância, critérios de risco e metodologia corporativa.

  • Implantação do registro de riscos, plano de tratamento e ritos de governança (comitês e reporte).

  • KPIs/KRIs, integração com planejamento e suporte a auditorias/revisões internas.

• ISO 22301 (Continuidade de Negócios):

  • Readiness e definição de escopo do BCMS (contexto, requisitos e objetivos).

  • BIA (Business Impact Analysis), estratégias de continuidade e requisitos de recuperação.

  • Elaboração e atualização de planos (continuidade, crise, comunicação, testes e lições aprendidas).

  • Execução de exercícios e testes, ajustes de eficácia e preparação para auditoria.

• Certificações técnicas por mercado (ex: Apostas de Quota Fixa no Brasil):

  • Mapeamento de requisitos técnicos e regulatórios aplicáveis e matriz de conformidade.

  • Estruturação de políticas, planos, normas e procedimentos exigidos, com evidências.

  • Implementação assistida de controles, governança e rotinas de monitoramento e relato.

  • Preparação para inspeções, auditorias e certificações (incluindo dossiês de evidências).

Objetivo:

Implantar e operar um modelo corporativo de Gestão de Riscos alinhado à ISO 31000, integrando estratégia, processos e governança para apoiar decisões, reduzir incertezas e aumentar previsibilidade. Estruturamos critérios, papéis, ritos e indicadores para que o risco seja gerenciado de forma contínua, com rastreabilidade e foco em resultados.

​

O que fazemos:

• Framework ISO 31000 (estrutura e processo):

  • Definição de política, princípios, escopo e integração com a gestão da empresa.

  • Modelo de governança: papéis, comitês, linhas de defesa e reporte executivo.

• Critérios e apetite ao risco:

  • Estabelecimento de apetite, tolerância, escalas de impacto, probabilidade e categorias de risco.

  • Regras para aceites, exceções, escalonamento e priorização.

• Identificação, análise e avaliação:

  • Condução de workshops com áreas-chave e mapeamento de riscos por processos e objetivos.

  • Avaliação qualitativa, quantitativa (quando aplicável) e consolidação do registro de riscos.

• Tratamento e monitoramento contínuo:

  • Planos de tratamento com responsáveis, prazos, custos e evidências.

  • KPIs/KRIs, revisão periódica, gestão de mudanças e verificação de eficácia.

• Padronização e sustentabilidade:

  • Templates e guias (matriz de risco, registro, plano de ação, relatórios).

  • Capacitação das áreas e rotinas para manter o ciclo de risco vivo (PDCA).

Objetivo:

Estruturar e operacionalizar a Continuidade de Negócios para garantir resiliência, redução de impactos e retomada rápida de operações críticas. Combinamos a visão de risco da ISO 31000 com a estrutura de sistema de gestão da ISO 22301 e ISO 27031 (Prontidão de TIC para a Continuidade de Negócios), criando processos, planos e evidências que funcionem na prática e sejam sustentáveis ao longo do tempo.

​

O que fazemos:

• Estratégia e Escopo (ISO 22301 e 27031):

  • Definição de escopo, contexto, requisitos e objetivos do BCMS.

  • Modelo de governança, papéis, ritos e comunicação de crise.

• BIA e Priorização (ISO 22301 + ISO 27031 + ISO 31000):

  • Condução de BIA: serviços críticos, impactos, dependências e prazos de recuperação.

  • Definição de requisitos de recuperação (RTO/RPO) e níveis mínimos de serviço.

  • Integração com o registro de riscos e apetite/tolerância (ISO 31000).

• Planos e Controles Operacionais:

  • Estratégias de continuidade e contingência por cenário (pessoas, processos, tecnologia e terceiros).

  • Planos de Continuidade, Gestão de Crise e Comunicação, com checklists e responsabilidades.

  • Alinhamento com fornecedores críticos e requisitos contratuais de continuidade.

• Testes, Exercícios e Melhoria Contínua:

  • Planejamento e execução de exercícios (tabletop e simulações) e testes periódicos.

  • Registro de lições aprendidas, ações corretivas e verificação de eficácia.

  • Indicadores e rotina de revisão para manter o programa vivo e auditável.

Objetivo:

Avaliar, com independência e evidências, a eficácia da governança, gestão de riscos e continuidade de negócios, verificando aderência à ISO 31000 e à ISO 22301, além de requisitos de conformidade em mercados regulados. O foco é antecipar pontos críticos antes de auditorias externas e fiscalizações, reduzir exposição a não conformidades e fortalecer a melhoria contínua.

​

O que fazemos:

• Auditoria Interna ISO 31000 (Gestão de Riscos):

  • Revisão do framework: política, papéis, apetite, tolerância e integração com o negócio.

  • Teste de consistência do processo: identificação, avaliação, tratamento e monitoramento.

  • Validação de evidências: registro de riscos, aceites, planos e reporte executivo.

  • Relatório com gaps, recomendações e plano de ação priorizado por risco.

• Auditoria Interna ISO 22301 (Continuidade de Negócios):

  • Verificação do BCMS: escopo, contexto, governança e requisitos documentais.

  • Revisão de BIA, estratégias de continuidade, planos e mecanismos de comunicação.

  • Avaliação de testes e exercícios, lições aprendidas e eficácia das ações corretivas.

  • Relatório com não conformidades, melhorias e preparação para auditoria externa.

• Auditoria de Conformidade em Mercados Regulados:

  • Mapeamento de obrigações e critérios de auditoria (normas, regras setoriais e exigências técnicas).

  • Testes de controles e trilhas de evidência (processos críticos, registros, segregação e reporting).

  • Avaliação de prontidão para fiscalizações e inspeções, com plano de remediação.