Crie um controle usando Espaço de conformidade

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 6 min. de leitura

    • Os controles são gerados automaticamente quando você associa uma política a um tipo de entidade ou um tipo de entidade a um objetivo de controle ou quando uma entidade é adicionada a um objetivo de controle. Um controle é criado para cada entidade listada no tipo de entidade para o objetivo de controle. Os controles também podem ser criados manualmente usando o. Espaço de conformidade.

    Antes de Iniciar

    Função necessária: sn_compliance_ws.corporate_compliance_analista, sn_compliance_ws.corporate_compliance_manager, sn_compliance_ws.it_compliance_manager

    Procedimento

    1. Navegar até Tudo > Políticas e conformidade > Espaço de conformidade.
    2. Selecione Criar e clique em Controle .
    3. No formulário, preencha os campos.
      Tabela 1. Criar novo formulário de controle
      Campo Descrição
      Número Número de identificação exclusivo.
      Nome Nome do controle.
      Entidade Entidade relacionada.
      Nota:
      Se você mudar o estado da entidade para Ativo do estado Descontinuado, o controle criado manualmente na entidade também passará para o estado Rascunho.
      Status Status do controle. As opções possíveis são:
      • Em conformidade
      • Fora de conformidade
      • Não aplicável
      Herdar do objetivo de controle Opção para indicar se o controle é criado por meio de um processo de geração de item. Para obter mais informações, consulte Vários controles para uma combinação exclusiva de entidade e objetivo de controle .
      Estado Estado de controle. As opções possíveis são:
      • Rascunho Neste estado, todos os usuários de conformidade podem modificar o controle. Disponível somente ao criar um controle único. Controles únicos são possíveis, mas não recomendados.
      • Atestar Quando o controle é criado a partir de um objetivo de controle, os controles estão neste estado.
        Nota:
        Quando um controle é definido de volta para rascunho, o atestado é cancelado.
      • Revisão Os controles são movidos automaticamente para revisão a partir da fase de atestado.
      • Monitor Neste estado, todos os gerentes de conformidade podem mover o controle de revisão para monitoramento.
      • Descontinuado Os gerentes ou administradores de conformidade podem mover um controle de Monitor para Descontinuado.
        Nota:
        Quando um controle é descontinuado:
        • Os indicadores relacionados não são executados
        • As certificações associadas foram canceladas
        • As mudanças nos objetivos de controle associados não atualizam o controle
      Controle-chave Indicador de que o controle é um controle de chave.
      Isento Marque o controle como isento.
      Objetivo de Controle Objetivo de controle relacionado.

      Se você estiver criando um controle comum, deverá selecionar um objetivo de controle.
      Imposição Lista de opções:
      • Obrigatório
      • Voluntário
      Função Campo de função somente leitura. Todos os controles criados são Controle padrão por padrão. Quando você converte o controle em um controle comum, o valor muda para Controle comum .
      Ponderação Peso usado para calcular o fator de falha de controle de um risco. Defina a ponderação entre um e 10.
      Frequência Frequência na qual o controle é testado. Este campo é para fins de teste e emissão de relatórios do controle. Lista de opções:
      • Orientado por evento
      • Diariamente
      • Semanalmente
      • Mensalmente
      • Trimestralmente
      • Semestralmente
      • Anualmente
      Nota:
      Para obter informações sobre a diferença entre Frequência campo para um controle e o. Frequência de atestado campo em uma entidade, consulte KB06694607 .
      Categoria Lista de opções:
      • Aquisição ou venda de instalações, tecnologia e serviços
      • Gestão de auditorias e riscos
      • Manual de Estilo de Conformidade e Governança
      • Gestão do Human Resources
      • Liderança e objetivos de alto nível
      • Monitoramento e medição
      • Gestão operacional
      • Proteção física e ambiental
      • Proteção da privacidade quanto a informações e dados
      • Gestão de registros
      • Endurecimento do sistema por meio de gestão de configuração
      • Continuidade de sistemas
      • Design, compilação e implementação de sistemas
      • Segurança técnica
      • Supervisão de terceiros e da cadeia de suprimentos
      • Raiz
      • Descontinuado
      Tipo Lista de opções:
      • Aquisição/Venda de Ativos ou Serviços
      • Relatórios ou Medições Acionáveis
      • Gestão de auditorias e riscos
      • Comportamento
      • Processos de negócios
      • Comunicar
      • Configuração
      • Gestão de dados e Informações
      • Duplicar
      • Estabelecer Funções
      • Estabelecer/Manter Documentação
      • Gestão do Human Resources
      • Investigar
      • Zona de Impacto de TI
      • Gestão de logs
      • Manutenção
      • Monitorar e Avaliar Ocorrências
      • Proteção Física e Ambiental
      • Processo ou Atividade
      • Gestão de registros
      • Continuidade de Sistemas
      • Design, Compilação e Implementação de Sistemas
      • Segurança Técnica
      • Teste
      • Treinamento
      Classificação Lista de opções:
      • Preventivo
      • Corretiva
      • Detetive
      • Zona de Impacto de TI
      Descrição Descrição do controle.
      Informação adicional Informações adicionais sobre o controle.
      Atribuição
      Grupo responsável Grupo proprietário da política.
      Responsável Usuário proprietário da política.
      Nota:
      O responsável é sempre adicionado como respondente. O responsável pelo controle selecionado pertence ao grupo responsável.
      Atestado
      Método de atestado O padrão é atestado clássico.
      • Atestado clássico: Now Platformmétodo clássico de avaliação de controle.
      • Atestado: Método pelo qual os controles são avaliados.
      Atestado

      Selecione em uma lista de opções.

      • Outros tipos de atestado podem ser configurados.
      • Se este campo estiver preenchido, então Respondentes do atestado o campo se torna obrigatório automaticamente e o responsável se torna o respondente.
      Nota:
      Se o usuário mudar o tipo de atestado no objetivo de controle, todos os controles relacionados também serão alterados.
      Entrevistados do atestado
      • Usuários atribuídos ao atestado deste controle.
      • Somente um usuário com a função sn_grc.user pode ser adicionado como respondente.
      Nota:
      Quando ambos Atestado e. Respondentes do atestado os campos são definidos, as certificações são criadas quando você clica em Atestar .
      Frequência de atestado Frequência na qual os atestados no controle são acionados. Se o campo não tiver nenhum valor selecionado, a entidade associada será Frequência de atestado o valor é padronizado para este campo.
      Opções de frequência de atestado:
      • Diariamente
      • Semanalmente
      • Mensalmente
      • Trimestralmente
      • Semestralmente
      • Anualmente
      Nota:
      Após a conclusão do atestado, o controle passa para os estados Revisar e Monitorar. O controle é monitorado quanto à próxima data de vencimento de atestado. Você tem a opção de acionar a frequência de atestado do controle com base no atestado Data de criação ou o último atestado concluído Data de atualização . Esta opção é baseada no valor em Trigger control attestations based on the created or updated date of the last completed attestationpropriedade do sistema.
      Registro de atividades
      Comentários adicionais Informações públicas sobre o controle.
    4. Selecione Frequência da entidade de cópia link relacionado para copiar o valor de Frequência de atestado campo da entidade para Frequência de atestado campo do controle.
      Quando você seleciona Frequência da entidade de cópia link relacionado, a frequência de atestado da respectiva entidade é copiada para Frequência de atestado Na seção de atestado da tabela de controle e não atualiza o. Frequência campo da tabela de controle.
    5. Clique em Salvar.
      O controle é criado e todas as listas relacionadas ficam visíveis.

      Se você criou um controle comum, haverá Entidades confiáveis e Tipos de entidade confiáveis, além de outras listas relacionadas do controle. Use a lista relacionada Entidades Reliant para associar entidades ao controle comum. Ou, você pode usar a lista relacionada Tipos de entidade Reliant para adicionar um grupo de entidades de um tipo de entidade em vez de associá-las uma a uma.

      Figura 1. Listas relacionadas para controles comuns
      Listas relacionadas para associar entidades como entidades dependentes.
      Nota:
      Para obter mais informações sobre a associação da entidade dependente para um controle comum, consulte Converta o controle padrão em controle comum e adicione entidades dependentes .
    6. Em Visão geral , clique em Problemas .
      Você pode adicionar um ou mais problemas relacionados existentes ao controle que você criou. Mapeando as ocorrências existentes para o controle, você pode reduzir a contagem de ocorrências em aberto no documento.

      Quando você adiciona um problema a um controle, um registro é criado associando o item que é o controle ao problema na tabela Problema para controle [sn_grc_m2m_issue_item].

      1. Para adicionar uma ocorrência ao controle, clique em Adicionar botão.
      2. Selecione o problema ou problemas relacionados ao controle no pop-up Problemas.
      3. Clique em Adicionar botão.
        As ocorrências selecionadas são adicionadas ao controle como ocorrências relacionadas. Você também pode criar uma ocorrência para o controle clicando em Novo botão.
      4. Para remover um problema que já foi adicionado ao controle, selecione o problema e clique em Remover .
        O mapeamento de registro associado entre o problema e o controle é removido da tabela Problema para item.
        Nota:
        Os botões de ação de IU, como Novo, Adicionar, Remover, não estarão disponíveis se o controle estiver no estado Descontinuado.