Artigos

Conheça a ferramenta de GRC Archer

Por 13 de dezembro de 2017 Um comentário

*Por Marcos Santos

Visão Geral 

O GRC é a composição dos termos Governance, Risk & Compliance. Uma integração das áreas de conhecimento de Gestão de Riscos, Governança Corporativa, práticas de auditoria e aplicação de controles para assegurar a conformidade com leis, regulamentações e imposições de padrões, de forma centralizada na organização.

Com a necessidade de apresentar maior transparência ao board e acionistas, a abordagem era realizada de forma “espalhada” pela organização. Práticas distintas de governança, gestão de riscos e controle, traziam muitas vezes redundância a abordagem realizada em outras áreas, o que poderiam acarretar uma perda de performance, produtividade e até uma má gestão de recursos financeiros.

Abaixo, segue como podemos definir a função de cada área de conhecimento:

  • Governança: Políticas, procedimentos, responsabilidades para que a organização defina suas diretrizes e objetivos, coordenando pessoas, processos e tecnologias para alcança-los.
  • Risco: Pode ser definido como o efeito das incertezas nos objetivos da empresa, é relacionado então a probabilidade de um evento ocorrer e a possíveis impactos do evento nos objetivos de negócio.
  • Compliance: Explicita o quanto a organização está adequada a normas, legislações, procedimentos e boas práticas, recomendáveis ou obrigatória.

Desta forma observa-se a necessidade de integração das iniciativas corporativas, em um modelo único de trabalho que evite controles redundantes, conflitos na tomada de decisão e facilite o alinhamento com os objetivos de negócios.

Sobre o da GRC ServiceNow – Saiba mais aqui

GRC Archer

O GRC Archer da RSA é uma ferramenta customizável e intuitiva que suporta o gerenciamento de Governança, Risco e Compliance (GRC) para a empresa. A plataforma permite você adaptar a solução para a sua necessidade construir novas aplicações e integrar com outros sistemas externas sem a necessidade de desenvolvimento e programação. Ela e composta por:

  • Customização da Aplicação;
  • Workflows de negócios;
  • Reportes e Dashboards;
  • Integração entre sistemas.

Os componentes chave que são fundamentais para os “casos de uso” de negócios utilizados pela solução são:

  • Entendimento do negócio através de uma visão organizacional e de ativos estruturada. A organização deve saber quais são seus ativos, como eles estão relacionados e quem é o responsável por ele;
  • Personalização desde a visualização até a geração de relatórios, o que permite aos usuários uma fácil customização, sem a necessidade de desenvolvimentos e programações, com base na evolução dos processos da empresa;
  • Centralização das informações para gerar relacionamentos entre os processos. Compartilhar informações entre os processos de negócios permite um ganho de eficiência na gestão;
  • Integração com outros sistemas tanto para entrada de dados como para a saída de dados, otimizando as análises.

A solução permite ter um controle centralizado sobre a ótica de GRC para 6 áreas de soluções (IT & Security Risk Management, Business Resiliency, Regulatory and Corporate Compliance, Audit, Operational Risk e Third Part Governance).

IT Security Risk Management

A solução permite o estabelecimento de políticas e procedimentos referente a segurança, identificação e resolução de deficiências e detecção e resposta a ataques.

A solução engloba os seguintes casos de uso:

  • IT Security Policy Program Management;
  • IT Security Corporate Obligations Management;
  • IT Controls Assurance;
  • IT Security Vulnerabilities Program;
  • IT Risk Management;
  • Payment Card Industry (PCI);
  • Security Incident Managent;
  • Security Operations and Breach Management.

Business Resiliency

Permite de forma centralizada uma abordagem para continuidade de negócios, recuperação de desastres e gerenciamento de crises.

A solução engloba os seguintes casos de uso:

  • Incident Management;
  • Business Impact Analysis;
  • Business Continuity and Disaster Planning;
  • Resiliency Management.

Regulatory and Corporate Compliance

Permite uma abordagem para automatização, gerenciamento e centralização dos controles que suportam os requisitos regulatórios e de negócio.

A solução engloba os seguintes casos de uso:

  • Policy Program Management;
  • Corporate Obligations Management;
  • Controls Assurance Program Management;
  • Controls Monitoring Program Management.

Audit

A solução permite um controle de todo o ciclo de auditoria, permitindo seu aprimoramento através de atividade relacionadas e proporcionando integração entre controles e riscos relacionados ao negócio. Proporciona um direcionamento mais eficiente nos planos de auditoria, baseado em riscos.

A solução engloba os seguintes casos de uso:

  • Issue Management;
  • Audit Engagements and Workpapers;
  • Audit Planning.

Operational Risk

Permite a organização uma visualização geral dos riscos. A solução permite a avaliação de riscos de forma quantitativa e qualitativa, acompanhamento de métricas e gerenciar perdas.

A solução engloba os seguintes casos de uso:

  • Risk Catalog;
  • Risk Inventory and Top-Down Assessment;
  • Loss Event Management;
  • Key Indicator Management;
  • Bottom-Up Risk Assessment;
  • Operational Risk Management.

Third Part Governance

Trata da parte de relacionamento com fornecedores. A solução automatiza e simplifica a supervisão dos fornecedores, além de facilitar nas atividades de atendimentos a obrigações regulatórias e nas melhores prática.

A solução engloba os seguintes casos de uso:

  • Third Party Catalog;
  • Third Party Risk Management;
  • Third Party Engagement;
  • Third Party Governance.

Pensando neste assunto a SAFEWAY trás as melhores soluções, personalizadas e customizadas, para auxiliar seu negócio a trabalhar de forma mais eficiente e eficaz, utilizando-se de todo o potencial disponível na solução de 

Visão Geral – GRC

O GRC é a composição dos termos Governance, Risk & Compliance. Uma integração das áreas de conhecimento de Gestão de Riscos, Governança Corporativa, práticas de auditoria e aplicação de controles para assegurar a conformidade com leis, regulamentações e imposições de padrões, de forma centralizada na organização.

Com a necessidade de apresentar maior transparência ao board e acionistas, a abordagem era realizada de forma “espalhada” pela organização. Práticas distintas de governança, gestão de riscos e controle, traziam muitas vezes redundância a abordagem realizada em outras áreas, o que poderiam acarretar uma perda de performance, produtividade e até uma má gestão de recursos financeiros.

Abaixo, segue como podemos definir a função de cada área de conhecimento:

  • Governança: Políticas, procedimentos, responsabilidades para que a organização defina suas diretrizes e objetivos, coordenando pessoas, processos e tecnologias para alcança-los.
  • Risco: Pode ser definido como o efeito das incertezas nos objetivos da empresa, é relacionado então a probabilidade de um evento ocorrer e a possíveis impactos do evento nos objetivos de negócio.
  • Compliance: Explicita o quanto a organização está adequada a normas, legislações, procedimentos e boas práticas, recomendáveis ou obrigatória.

Desta forma observa-se a necessidade de integração das iniciativas corporativas, em um modelo único de trabalho que evite controles redundantes, conflitos na tomada de decisão e facilite o alinhamento com os objetivos de negócios.

GRC Archer

O GRC Archer da RSA é uma ferramenta customizável e intuitiva que suporta o gerenciamento de Governança, Risco e Compliance (GRC) para a empresa. A plataforma permite você adaptar a solução para a sua necessidade construir novas aplicações e integrar com outros sistemas externas sem a necessidade de desenvolvimento e programação. Ela e composta por:

  • Customização da Aplicação;
  • Workflows de negócios;
  • Reportes e Dashboards;
  • Integração entre sistemas.

Os componentes chave que são fundamentais para os “casos de uso” de negócios utilizados pela solução são:

  • Entendimento do negócio através de uma visão organizacional e de ativos estruturada. A organização deve saber quais são seus ativos, como eles estão relacionados e quem é o responsável por ele;
  • Personalização desde a visualização até a geração de relatórios, o que permite aos usuários uma fácil customização, sem a necessidade de desenvolvimentos e programações, com base na evolução dos processos da empresa;
  • Centralização das informações para gerar relacionamentos entre os processos. Compartilhar informações entre os processos de negócios permite um ganho de eficiência na gestão;
  • Integração com outros sistemas tanto para entrada de dados como para a saída de dados, otimizando as análises.

A solução permite ter um controle centralizado sobre a ótica de GRC para 6 áreas de soluções (IT & Security Risk Management, Business Resiliency, Regulatory and Corporate Compliance, Audit, Operational Risk e Third Part Governance).

IT Security Risk Management

A solução permite o estabelecimento de políticas e procedimentos referente a segurança, identificação e resolução de deficiências e detecção e resposta a ataques.

A solução engloba os seguintes casos de uso:

  • IT Security Policy Program Management;
  • IT Security Corporate Obligations Management;
  • IT Controls Assurance;
  • IT Security Vulnerabilities Program;
  • IT Risk Management;
  • Payment Card Industry (PCI);
  • Security Incident Managent;
  • Security Operations and Breach Management.

Business Resiliency

Permite de forma centralizada uma abordagem para continuidade de negócios, recuperação de desastres e gerenciamento de crises.

A solução engloba os seguintes casos de uso:

  • Incident Management;
  • Business Impact Analysis;
  • Business Continuity and Disaster Planning;
  • Resiliency Management.

Regulatory and Corporate Compliance

Permite uma abordagem para automatização, gerenciamento e centralização dos controles que suportam os requisitos regulatórios e de negócio.

A solução engloba os seguintes casos de uso:

  • Policy Program Management;
  • Corporate Obligations Management;
  • Controls Assurance Program Management;
  • Controls Monitoring Program Management.

Audit

A solução permite um controle de todo o ciclo de auditoria, permitindo seu aprimoramento através de atividade relacionadas e proporcionando integração entre controles e riscos relacionados ao negócio. Proporciona um direcionamento mais eficiente nos planos de auditoria, baseado em riscos.

A solução engloba os seguintes casos de uso:

  • Issue Management;
  • Audit Engagements and Workpapers;
  • Audit Planning.

Operational Risk

Permite a organização uma visualização geral dos riscos. A solução permite a avaliação de riscos de forma quantitativa e qualitativa, acompanhamento de métricas e gerenciar perdas.

A solução engloba os seguintes casos de uso:

  • Risk Catalog;
  • Risk Inventory and Top-Down Assessment;
  • Loss Event Management;
  • Key Indicator Management;
  • Bottom-Up Risk Assessment;
  • Operational Risk Management.

Third Part Governance

Trata da parte de relacionamento com fornecedores. A solução automatiza e simplifica a supervisão dos fornecedores, além de facilitar nas atividades de atendimentos a obrigações regulatórias e nas melhores prática.

A solução engloba os seguintes casos de uso:

  • Third Party Catalog;
  • Third Party Risk Management;
  • Third Party Engagement;
  • Third Party Governance.

Pensando neste assunto a SAFEWAY trás as melhores soluções, personalizadas e customizadas, para auxiliar seu negócio a trabalhar de forma mais eficiente e eficaz, utilizando-se de todo o potencial disponível na solução.

Sobre o da GRC ServiceNow – Saiba mais aqui

*Marcos Santos é consultor de segurança da [SAFEWAY]

Junte-se à discussão Um comentário

Deixe uma resposta