Gerenciar controles

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Controles são implementações específicas de um objetivo de controle. Controles desativados não aparecem na lista. Antes de definir controles, racionalize, consolide e defina os controles importantes em sua organização.

    Racionalizar seus controles

    Se você carregar todos os seus controles em massa, estará perdendo a oportunidade de refinar e simplificar seu conjunto de controles. Conforme sua empresa muda e seus dados, processos e tecnologia de TI melhoram, substitua os controles e procedimentos desatualizados ao implementar sua aplicação GRC. Considere o seguinte:
    • Como este controle afeta meu objetivo de negócio?
    • Este controle está realmente prevenindo ou detectando riscos?
    • Existe um controle diferente que você pode colocar para proteger melhor sua empresa?
    • Existe um controle que você pode implementar para reduzir a sobrecarga do processo e melhorar o desempenho da TI e, ao mesmo tempo, reduzir o risco?
    • Um controle complicado pode ser substituído por um controle mais simples e eficaz?
    Nota:
    Quando você define controles manualmente ou quando os importa do Unified Compliance Framework (UCF), uma entidade é associada aos controles. É um campo obrigatório no formulário Controle. Se, no entanto, você importar controles de uma origem diferente do UCF, poderá encontrar controles que não têm entidades associadas. É importante que você retorne ao formulário Controle e adicione uma entidade ao controle. Entidades ausentes podem gerar resultados não confiáveis nos cálculos. Além disso, se você encontrar um controle com uma entidade que foi desabilitada, o controle deverá ser descontinuado.

    Consolidar seus controles

    Procure oportunidades para consolidar controles. Procure controles comuns e repetidos em várias autoridades regulatórias de estruturas (por exemplo, SOX, GLBA e AML). Evite operar um único controle várias vezes para cada regulamentação, mapeando controles cruzados e eliminando os redundantes. Este processo estabelece um único conjunto consolidado de controles = estrutura de controle, executar e preservar o mapeamento cruzado de controles é essencial para auditorias.
    Figura 1. Sobreposição de requisitos e regulamentações do setor
    Sobreposição de requisitos e regulamentações do setor

    Definir controles e regras de negócio

    As regras de negócio que você define no início, estabelecem as definições de configuração GRC posteriormente. Esteja preparado para:
    • Identificar controles e proprietários de controle
    • Definir testes de controle e resultados esperados
    • Estabelecer frequências de teste e controle
    • Identificar riscos: impacto e probabilidade
    • Preparar certificações, avaliações, questionários e evidências necessárias
    • Compor casos de uso prováveis (quem precisa interagir ou exibir o conteúdo do sistema GRC e para quais finalidades)
    • Mapear origens autorizadas para políticas, procedimentos, controles e riscos