Gerencie controles usando Espaço de conformidade

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura
  • Controles são implementações específicas de um objetivo de controle. Controles desativados não aparecem na lista. Antes de definir controles, reserve um tempo para racionalizar, consolidar e definir os controles importantes em sua organização.

    Racionalize seus controles

    Se você carregar todos os seus controles em massa, perderá a oportunidade de refinar e simplificar o conjunto de controles.
    • Como este controle afeta meu objetivo de negócios?
    • Este controle está realmente impedindo ou detectando risco?
    • Você pode colocar um controle diferente que proteja melhor o seu negócio?
    • Você pode implementar um controle que reduz a sobrecarga do processo e melhora o desempenho DE TI, além de reduzir os riscos?
    • Um controle complicado pode ser substituído por um controle mais simples e eficaz?
    À medida que seus negócios mudam e seus dados, processos e tecnologia de TI melhoram, substitua controles e procedimentos desatualizados.
    Nota:
    Quando você define controles manualmente ou quando os importa do Unified Compliance Framework (UCF), uma entidade é associada aos controles. É um campo obrigatório no formulário Controle. No entanto, se você importar controles de uma origem diferente do UCF, poderá encontrar controles que não tenham entidades associadas. É importante que você retorne ao formulário de controle e adicione uma entidade ao controle . Entidades ausentes podem causar resultados não confiáveis nos cálculos. Além disso, se você encontrar um controle com uma entidade que foi desabilitada, o controle deverá ser descontinuado.

    Consolide seus controles

    Procure oportunidades para consolidar controles. Procure controles comuns e repetidos em várias autoridades regulatórias de estruturas (por exemplo, SOX, GLBA e AML). Evite operar um único controle várias vezes para cada regulamento, mapeando controles cruzados e eliminando os redundantes. Este processo estabelece um único conjunto consolidado de controles. A estrutura de controle, executar e preservar o mapeamento cruzado de controles é essencial para auditorias.
    Figura 1. Regulamentações e requisitos do setor se sobrepõem
    Regulamentações e requisitos do setor se sobrepõem

    Defina controles e regras de negócios

    As regras de negócio que você define antecipadamente estabelecem GRC definições de configuração mais tarde. Esteja preparado para:
    • Identificar controles e responsáveis pelo controle
    • Definir testes de controle e resultados esperados
    • Estabelecer frequências de teste e controle
    • Identificar riscos: Impacto e probabilidade
    • Prepare certificações, avaliações, questionários e evidências necessárias
    • Compor casos de uso prováveis (quem precisa interagir com ou exibir o conteúdo do GRC e para que finalidades)
    • Mapeie fontes autorizadas para políticas, procedimentos, controles e riscos

    EBA (Entity Based Access, acesso baseado em entidade)

    O recurso de acesso baseado em entidade fornece uma estrutura para uma abordagem mais granular para o gerenciamento de acesso a dados a objetos associados a uma entidade. Os administradores podem conceder acesso aos registros relacionados de uma entidade adicionando usuários ou grupos de usuários ou usando campos de usuário da entidade para a configuração de acesso baseada em entidade. Para obter mais informações, consulte Acesso baseado em entidade.

    Quando um usuário é qualificado com base nessas configurações e tem as funções mínimas necessárias, ele terá acesso às seguintes tabelas:
    • Controle
    • Atestado
    • Exceção de política a ser controlada

    Regras de acesso baseado em entidade (EBA)

    Quando as regras de acesso ao registro baseadas em entidade estão habilitadas no Propriedades da configuração de acesso baseado na entidade Todos os controles recém-criados, certificações de controle, indicadores e tarefas de indicador associados a uma entidade configurada herdarão automaticamente o valor de acesso baseado em entidade (EBA) dessa entidade. Anteriormente, os usuários precisavam executar atualizações de acesso em massa para aplicar restrições de EBA sempre que novos objetos eram criados.

    Para obter mais informações, consulte Regras de acesso de registro baseadas em entidade para proteger novos registros .