*Por Marcos Santos
Visão Geral
O GRC é a composição dos termos Governance, Risk & Compliance. Uma integração das áreas de conhecimento de Gestão de Riscos, Governança Corporativa, práticas de auditoria e aplicação de controles para assegurar a conformidade com leis, regulamentações e imposições de padrões, de forma centralizada na organização.
Com a necessidade de apresentar maior transparência ao board e acionistas, a abordagem era realizada de forma “espalhada” pela organização. Práticas distintas de governança, gestão de riscos e controle, traziam muitas vezes redundância a abordagem realizada em outras áreas, o que poderiam acarretar uma perda de performance, produtividade e até uma má gestão de recursos financeiros.
Abaixo, segue como podemos definir a função de cada área de conhecimento:
- Governança: Políticas, procedimentos, responsabilidades para que a organização defina suas diretrizes e objetivos, coordenando pessoas, processos e tecnologias para alcança-los.
- Risco: Pode ser definido como o efeito das incertezas nos objetivos da empresa, é relacionado então a probabilidade de um evento ocorrer e a possíveis impactos do evento nos objetivos de negócio.
- Compliance: Explicita o quanto a organização está adequada a normas, legislações, procedimentos e boas práticas, recomendáveis ou obrigatória.
Desta forma observa-se a necessidade de integração das iniciativas corporativas, em um modelo único de trabalho que evite controles redundantes, conflitos na tomada de decisão e facilite o alinhamento com os objetivos de negócios.
Sobre o da GRC ServiceNow – Saiba mais aqui
GRC Archer
O GRC Archer da RSA é uma ferramenta customizável e intuitiva que suporta o gerenciamento de Governança, Risco e Compliance (GRC) para a empresa. A plataforma permite você adaptar a solução para a sua necessidade construir novas aplicações e integrar com outros sistemas externas sem a necessidade de desenvolvimento e programação. Ela e composta por:
- Customização da Aplicação;
- Workflows de negócios;
- Reportes e Dashboards;
- Integração entre sistemas.
Os componentes chave que são fundamentais para os “casos de uso” de negócios utilizados pela solução são:
- Entendimento do negócio através de uma visão organizacional e de ativos estruturada. A organização deve saber quais são seus ativos, como eles estão relacionados e quem é o responsável por ele;
- Personalização desde a visualização até a geração de relatórios, o que permite aos usuários uma fácil customização, sem a necessidade de desenvolvimentos e programações, com base na evolução dos processos da empresa;
- Centralização das informações para gerar relacionamentos entre os processos. Compartilhar informações entre os processos de negócios permite um ganho de eficiência na gestão;
- Integração com outros sistemas tanto para entrada de dados como para a saída de dados, otimizando as análises.
A solução permite ter um controle centralizado sobre a ótica de GRC para 6 áreas de soluções (IT & Security Risk Management, Business Resiliency, Regulatory and Corporate Compliance, Audit, Operational Risk e Third Part Governance).
IT Security Risk Management
A solução permite o estabelecimento de políticas e procedimentos referente a segurança, identificação e resolução de deficiências e detecção e resposta a ataques.
A solução engloba os seguintes casos de uso:
- IT Security Policy Program Management;
- IT Security Corporate Obligations Management;
- IT Controls Assurance;
- IT Security Vulnerabilities Program;
- IT Risk Management;
- Payment Card Industry (PCI);
- Security Incident Managent;
- Security Operations and Breach Management.
Business Resiliency
Permite de forma centralizada uma abordagem para continuidade de negócios, recuperação de desastres e gerenciamento de crises.
A solução engloba os seguintes casos de uso:
- Incident Management;
- Business Impact Analysis;
- Business Continuity and Disaster Planning;
- Resiliency Management.
Regulatory and Corporate Compliance
Permite uma abordagem para automatização, gerenciamento e centralização dos controles que suportam os requisitos regulatórios e de negócio.
A solução engloba os seguintes casos de uso:
- Policy Program Management;
- Corporate Obligations Management;
- Controls Assurance Program Management;
- Controls Monitoring Program Management.
Audit
A solução permite um controle de todo o ciclo de auditoria, permitindo seu aprimoramento através de atividade relacionadas e proporcionando integração entre controles e riscos relacionados ao negócio. Proporciona um direcionamento mais eficiente nos planos de auditoria, baseado em riscos.
A solução engloba os seguintes casos de uso:
- Issue Management;
- Audit Engagements and Workpapers;
- Audit Planning.
Operational Risk
Permite a organização uma visualização geral dos riscos. A solução permite a avaliação de riscos de forma quantitativa e qualitativa, acompanhamento de métricas e gerenciar perdas.
A solução engloba os seguintes casos de uso:
- Risk Catalog;
- Risk Inventory and Top-Down Assessment;
- Loss Event Management;
- Key Indicator Management;
- Bottom-Up Risk Assessment;
- Operational Risk Management.
Third Part Governance
Trata da parte de relacionamento com fornecedores. A solução automatiza e simplifica a supervisão dos fornecedores, além de facilitar nas atividades de atendimentos a obrigações regulatórias e nas melhores prática.
A solução engloba os seguintes casos de uso:
- Third Party Catalog;
- Third Party Risk Management;
- Third Party Engagement;
- Third Party Governance.
Pensando neste assunto a SAFEWAY trás as melhores soluções, personalizadas e customizadas, para auxiliar seu negócio a trabalhar de forma mais eficiente e eficaz, utilizando-se de todo o potencial disponível na solução de
Visão Geral – GRC
O GRC é a composição dos termos Governance, Risk & Compliance. Uma integração das áreas de conhecimento de Gestão de Riscos, Governança Corporativa, práticas de auditoria e aplicação de controles para assegurar a conformidade com leis, regulamentações e imposições de padrões, de forma centralizada na organização.
Com a necessidade de apresentar maior transparência ao board e acionistas, a abordagem era realizada de forma “espalhada” pela organização. Práticas distintas de governança, gestão de riscos e controle, traziam muitas vezes redundância a abordagem realizada em outras áreas, o que poderiam acarretar uma perda de performance, produtividade e até uma má gestão de recursos financeiros.
Abaixo, segue como podemos definir a função de cada área de conhecimento:
- Governança: Políticas, procedimentos, responsabilidades para que a organização defina suas diretrizes e objetivos, coordenando pessoas, processos e tecnologias para alcança-los.
- Risco: Pode ser definido como o efeito das incertezas nos objetivos da empresa, é relacionado então a probabilidade de um evento ocorrer e a possíveis impactos do evento nos objetivos de negócio.
- Compliance: Explicita o quanto a organização está adequada a normas, legislações, procedimentos e boas práticas, recomendáveis ou obrigatória.
Desta forma observa-se a necessidade de integração das iniciativas corporativas, em um modelo único de trabalho que evite controles redundantes, conflitos na tomada de decisão e facilite o alinhamento com os objetivos de negócios.
GRC Archer
O GRC Archer da RSA é uma ferramenta customizável e intuitiva que suporta o gerenciamento de Governança, Risco e Compliance (GRC) para a empresa. A plataforma permite você adaptar a solução para a sua necessidade construir novas aplicações e integrar com outros sistemas externas sem a necessidade de desenvolvimento e programação. Ela e composta por:
- Customização da Aplicação;
- Workflows de negócios;
- Reportes e Dashboards;
- Integração entre sistemas.
Os componentes chave que são fundamentais para os “casos de uso” de negócios utilizados pela solução são:
- Entendimento do negócio através de uma visão organizacional e de ativos estruturada. A organização deve saber quais são seus ativos, como eles estão relacionados e quem é o responsável por ele;
- Personalização desde a visualização até a geração de relatórios, o que permite aos usuários uma fácil customização, sem a necessidade de desenvolvimentos e programações, com base na evolução dos processos da empresa;
- Centralização das informações para gerar relacionamentos entre os processos. Compartilhar informações entre os processos de negócios permite um ganho de eficiência na gestão;
- Integração com outros sistemas tanto para entrada de dados como para a saída de dados, otimizando as análises.
A solução permite ter um controle centralizado sobre a ótica de GRC para 6 áreas de soluções (IT & Security Risk Management, Business Resiliency, Regulatory and Corporate Compliance, Audit, Operational Risk e Third Part Governance).
IT Security Risk Management
A solução permite o estabelecimento de políticas e procedimentos referente a segurança, identificação e resolução de deficiências e detecção e resposta a ataques.
A solução engloba os seguintes casos de uso:
- IT Security Policy Program Management;
- IT Security Corporate Obligations Management;
- IT Controls Assurance;
- IT Security Vulnerabilities Program;
- IT Risk Management;
- Payment Card Industry (PCI);
- Security Incident Managent;
- Security Operations and Breach Management.
Business Resiliency
Permite de forma centralizada uma abordagem para continuidade de negócios, recuperação de desastres e gerenciamento de crises.
A solução engloba os seguintes casos de uso:
- Incident Management;
- Business Impact Analysis;
- Business Continuity and Disaster Planning;
- Resiliency Management.
Regulatory and Corporate Compliance
Permite uma abordagem para automatização, gerenciamento e centralização dos controles que suportam os requisitos regulatórios e de negócio.
A solução engloba os seguintes casos de uso:
- Policy Program Management;
- Corporate Obligations Management;
- Controls Assurance Program Management;
- Controls Monitoring Program Management.
Audit
A solução permite um controle de todo o ciclo de auditoria, permitindo seu aprimoramento através de atividade relacionadas e proporcionando integração entre controles e riscos relacionados ao negócio. Proporciona um direcionamento mais eficiente nos planos de auditoria, baseado em riscos.
A solução engloba os seguintes casos de uso:
- Issue Management;
- Audit Engagements and Workpapers;
- Audit Planning.
Operational Risk
Permite a organização uma visualização geral dos riscos. A solução permite a avaliação de riscos de forma quantitativa e qualitativa, acompanhamento de métricas e gerenciar perdas.
A solução engloba os seguintes casos de uso:
- Risk Catalog;
- Risk Inventory and Top-Down Assessment;
- Loss Event Management;
- Key Indicator Management;
- Bottom-Up Risk Assessment;
- Operational Risk Management.
Third Part Governance
Trata da parte de relacionamento com fornecedores. A solução automatiza e simplifica a supervisão dos fornecedores, além de facilitar nas atividades de atendimentos a obrigações regulatórias e nas melhores prática.
A solução engloba os seguintes casos de uso:
- Third Party Catalog;
- Third Party Risk Management;
- Third Party Engagement;
- Third Party Governance.
Pensando neste assunto a SAFEWAY trás as melhores soluções, personalizadas e customizadas, para auxiliar seu negócio a trabalhar de forma mais eficiente e eficaz, utilizando-se de todo o potencial disponível na solução.
Sobre o da GRC ServiceNow – Saiba mais aqui
*Marcos Santos é consultor de segurança da [SAFEWAY]