Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
www.semola.com.br
marcos@semola.com.br
Para colocar tudo isso em prtica, o primeiro passo deve ser mapear todos os requerimentos genricos de governana, gesto de riscos e conformidade que incidem sobre todas as indstrias e ento mapear aqueles especficos e inerentes natureza da atividade comercial da empresa. A partir da, preciso reunir os frameworks implementados e mantidos pela empresa e procurar por sobreposies. Sejam atividades de gerenciamento de projetos, sejam atividades de desenvolvimento de polticas ou mesmo atividades regulares de teste de controle e assurance, dado como certo encontrar pontos de redundncia em que se pode empregar um esforo nico, mais eficiente e econmico. Se a empresa j emprega frameworks internacionais reconhecidos pelo mercado, possvel ainda ganhar tempo procurando por trabalhos que j oferecem o resultado do mapeamento entre diversos esquemas. A ISACA (Information System Audit and Control Association), por exemplo, disponibiliza anlises completas que mapeiam os controles do COBIT contra diversos outros frameworks de segurana, conformidade e governana. Com o primeiro passo completo, o prximo deve ser a adoo de uma abordagem baseada em risco, ou seja, assumindo o resultado da anlise de riscos como a varivel chave de definio de prioridades e, portanto, de classificao da importncia dos controles multifuncionais que suportam um ou mais esquemas de governance, risk e compliance. Nesta etapa j ser possvel ver os benefcios do GRC, pois ao invs de ter os originais trs pratos cheios de controles especficos, ser possvel ter agora um nico prato com um nmero menor de controles, alm de organizados e rotulados individualmente por sua relevncia em relao a cada um dos esquemas de GRC, por exemplo, ISO27001 e SOX. A experincia prtica me diz que convm assumir um esquema de mais alto nvel como o esquema me, como o COBIT, e ento realizar os mapeamentos dos demais em relao a ele. Desta forma, tendo a tabela de mapeamento nas mos, quando estivermos falando, por exemplo, de um controle de segurana ISO27001 relacionado continuidade de negcios: 14.1.2 Business continuity and risk assessment, visualizaremos sua relao direta como o objetivo de controle do COBIT: DS4.1 IT continuity framework, assim como sua relevncia para o esquema de conformidade SOX ou qualquer outro relevante para a indstria em questo, baseado no rtulo do controle. Sob o ponto de vista operacional, esta integrao proporcionar uma linguagem comum entre os diversos nveis da organizao bem como entre os diversos domnios e esquemas de governana, risco e conformidade, permitindo maior fluidez das decises e o mais importante, a maximizao dos investimentos a partir de uma viso integrada dos controles e suas implicaes. Ao mesmo tempo, o longo e doloroso processo de definio e justificao dos oramentos e investimentos ser facilitado pela boa visibilidade que se ter da prioridade dos controles e seu papel nos diferentes esquemas. importante ainda reconhecer a necessidade de uma gesto eficiente da rea de GRC, que mesmo integrando trs grandes e complexos domnios, dever manter mecanismos de acompanhamento de progresso segregado, onde se possa enxergar os principais milestones e requerimentos de assurance de cada esquema e reagir a eles adequadamente.
www.semola.com.br
marcos@semola.com.br
Garantia ou simplesmente assurance, em Ingls, outro tema de extrema importncia para o contexto de governana, risco e conformidade, pois , na verdade, o resultado que se espera de um bom trabalho integrado feito pela rea de GRC. Para isso, crucial estabelecer um framework especial de assurance que ir definir os fluxos de relatrio de progresso dos diferentes esquemas, os mecanismos para o armazenamento das evidncias e ainda os diversos pontos de checagem de qualidade ao longo do trabalho. Tudo isso para evitar surpresas desagradveis e a descoberta de que o trem estava fora dos trilhos quando j for tarde demais. Ainda h muito mais sobre GRC e seus desafios para ser descoberto, desenvolvido e experimentado, mas possvel comear esta jornada acessando o site da OCEG (Open Compliance and Ethics Group) em www.oceg.org, associao sem fins lucrativos que, de maneira competente, promove a integrao desses trs importantes domnios.
Marcos Smola Global IT GRC Manager da Shell International Limited Gas & Power na Holanda, CISM, BS7799 Lead Auditor, PCI Qualified Security Assessor; Membro fundador do Institute of Information Security Professionals of London. MBA em Tecnologia Aplicada, Professor da FGV com especializao em Negociao e Estratgia pela London School, Bacharel em Cincias da Computao, autor de livros sobre gesto da segurana da informao, governana e inteligncia competitiva. Visite www.semola.com.br ou contate marcos@semola.com.br
Nota: Este artigo expressa exclusivamente a opinio pessoal do autor, no representando necessariamente a opinio da empresa citada.
www.semola.com.br
marcos@semola.com.br