Gerenciar controles

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Controles são implementações específicas de um objetivo de controle. Controles desativados não aparecem na lista. Antes de definir controles, reserve um tempo para racionalizar, consolidar e definir os controles importantes em sua organização.

    Racionalizar seus controles

    Se você carregar todos os seus controles em massa, perderá a oportunidade de refinar e simplificar o conjunto de controles. Conforme seus negócios mudam e seus dados, processos e tecnologia de TI melhoram, substitua os controles e procedimentos desatualizados ao implementar sua aplicação GRC. Considere o seguinte:
    • Como este controle afeta meu objetivo de negócios?
    • Este controle está realmente prevenindo ou detectando riscos?
    • Existe um controle diferente que você pode colocar que protege melhor o seu negócio?
    • Existe um controle que você pode implementar que reduza a sobrecarga do processo e melhore o desempenho de TI e, ao mesmo tempo, reduza o risco?
    • Um controle complexo pode ser substituído por um controle mais simples e eficaz?
    Nota:
    Quando você define controles manualmente ou quando os importa do UCF (Unified Compliance Framework), uma entidade é associada aos controles. É um campo obrigatório no formulário de controle. Se, no entanto, você importar controles de uma origem diferente do UCF, poderá encontrar controles que não tenham entidades associadas. É importante que você retorne ao formulário de controle e adicione uma entidade ao controle. Entidades ausentes podem causar resultados não confiáveis nos cálculos. Além disso, se você encontrar um controle com uma entidade que foi desabilitada, o controle deverá ser desativado.

    Consolide seus controles

    Procure oportunidades para consolidar controles. Procure controles comuns e repetidos em várias autoridades regulatórias de estruturas (por exemplo, SOX, GLBA e AML). Evite operar um único controle várias vezes para cada regulamentação, mapeando controles cruzados e eliminando os redundantes. Este processo estabelece um único conjunto consolidado de controles = estrutura de controle. Realizar e preservar o mapeamento cruzado de controles é essencial para as auditorias.
    Figura 1. Sobreposição de regulamentações e requisitos do setor
    Sobreposição de regulamentações e requisitos do setor

    Definir controles e regras de negócio

    As regras de negócios que você define com antecedência estabelecem as definições de configuração GRC mais tarde. Esteja preparado para:
    • Identificar controles e proprietários de controle
    • Definir testes de controle e resultados esperados
    • Estabelecer frequências de teste e controle
    • Identificar riscos: impacto e probabilidade
    • Preparar certificações, avaliações, questionários e evidências necessárias
    • Redigir casos de uso prováveis (quem precisa interagir ou exibir o conteúdo do sistema GRC e para quais finalidades)
    • Mapear fontes autorizadas para políticas, procedimentos, controles e riscos