SMF Governance, Risk, and Compliance (GRC)

Governana, Risco e Conformidade

ltima reviso feita em 22 de Dezembro de 2008.

Objetivo
Este artigo introduz a primeira SMF da camada Gerenciar, ns veremos as atividades que fazem parte da funo GRC e tambm os procedimentos que devem ser executados para alcanarmos os objetivos definidos aqui. Tenha uma tima leitura. Obs.: As informaes deste artigo so bsicas e destinadas ao prvio entendimento do MOF 4, para maiores detalhes acompanhe a srie de vdeos no site do Projeto MOF Brasil.

Introduo
Todos os colaboradores em uma organizao devem compartilhar um entendimento comum quando se trata de Governana, Riscos e Conformidade. Governana uma atividade gerencial que deixa mais claras as tomadas de deciso determinando responsabilidades para gerar resultados e enderear avaliao de desempenho, trazendo transparncia para a rea de TI. Riscos representam possveis impactos derivados de aes feitas ou no feitas, conformidade uma atividade que assegura que pessoas esto seguindo regras, polticas e procedimentos definidos pela organizao. A SMF GRC (Governance, Risk and Compliance) justificar porque estas atividades devem ser tratadas juntas e mostrar as atividades necessrias para se realizar cada tarefa.

Figura 1 A SMF GRC no MOF 4.0.

Objetivos
Um dos principais objetivos desta SMF possibilitar o oferecimento de servios de TI efetivos, eficazes e em conformidade com polticas, leis e regulamentaes, estabelecendo uma tomada de deciso clara e gerenciando riscos da melhor forma possvel.

Processos
Para que cada um dos processos desta SMF seja realizado existe um fluxo, este fluxo pode acontecer de forma seqencial ou paralela, dependendo de como cada processo funciona dentro da organizao. claro que quando existem dependncias entre um processo e outro
Pgina 1 de 3

estes devero ser executados de forma seqencial ou ainda se a pessoa ou equipe responsvel por um processo for a mesma pelo outro tambm. O que eu quero dizer que, dependendo da forma com que o processo foi implementado na organizao, suas dependncias ou ainda o tamanho da equipe responsvel por ele, sua execuo ser ligeiramente alterada, mas isso no afetar suas atividades ou produto final. Acompanhe a seguir os 3 processos e suas atividades para a SMF GRC. 1. Estabelecendo a Governana de TI. Governana um processo que comea de cima para baixo (Top-Down) e requer a participao de todos colaboradores em uma organizao. So processos, conjunto de normas, responsabilidades, liderana, e tomada de deciso que determinam como a organizao deve trabalhar com transparncia. As principais atividades deste processo so: Definir uma viso Alinhar TI com o Negcio Identificar regulamentos e padres Criar polticas

2. Avaliar, Monitorar e Controlar Riscos. O gerenciamento de riscos uma atividade que visa mitigar os riscos presentes, futuros e recorrentes em uma organizao e os servios prestados por TI. Em longo prazo gerenciar riscos se torna um timo controle interno endereando cada situao para resolues mais rpidas e objetivas. As principais atividades deste processo so: Enderear os objetivos de gerenciamento Identificar riscos Analisar e priorizar riscos Identificar controles Analisar controles Planejar e agendar implementaes Criar registros e Implementar controles Operar controles Aprender com esforos anteriores e atualizar a base de conhecimento

3. Obedecer as Polticas. Estar em conformidade que as atividades aqui oferecem para a organizao. As regulamentaes, leis e polticas so cada vez mais abrangentes e exigem da organizao certo nvel de aderncia, entre as principais leis presentes no dia-a-dia das organizaes hoje so: Sarbanes-Oxley (SOX), a Health Insurance Portability and Accountability (HIPAA) e a Basilia II. As principais atividades deste processo so: Identificar polticas, leis, regulamentaes e contratos Selecionar polticas, leis, regulamentaes e contratos Avaliar o atual estado de conformidade Definir um estado de conformidade futuro Criar um plano de conformidade Manter a conformidade Auditar a conformidade

Pgina 2 de 3

Concluso
E assim terminamos mais um artigo sobre MOF 4.0, desta vez conhecemos os processos da SMF Governance, Risk and Compliance (GRC), no prximo artigo ns aprenderemos um pouco sobre as atividades da SMF Change and Configuration, at l e muito obrigado pela leitura.

Bibliografia
Referncias utilizadas na elaborao deste artigo: 1. Microsoft. www.microsoft.com 2. Microsoft Brasil. www.microsoft.com.br 3. Documentao oficial do MOF. www.microsoft.com/mof Escreveu, Cleber Marques contato@clebermarques.com Domingo, 27 de Abril de 2008.

Pgina 3 de 3