Como avaliar, selecionar e implementar um software de GRC empresarial

As ferramentas de RPA desempenham um papel importante nas empresas modernas, pois podem automatizar tarefas manuais e repetitivas, permitindo que os trabalhadores se concentrem em atividades mais importantes.

Este artigo também pode ser encontrado no Download Editorial Premium: ComputerWeekly.com.br E-Zine: Tolerância zero para conformidade de segurança corporativa

Em um mundo pós-LGPD (Lei Geral de Proteção de Dados) é crucial que as empresas se preparem para um programa de Governança, Riscos e Compliance (GRC). Uma estratégia a ser considerada é a implementação de um software especializado para ajudar a gerenciar as atividades de GRC e proporcionar informação processável para otimizá-las.

Este artigo oferece conselhos para planejar, avaliar, selecionar e implementar um sistema de GRC, além de examinar algumas opções de software disponíveis.

Preparar o cenário para o sucesso do GRC

Tanto para os programas de GRC estabelecidos como para os novos, um sistema projetado para apoiar as funções de GRC pode ser um investimento estratégico. Uma boa opção é buscar sistemas que possam capturar e analisar uma ampla gama de controles e métricas, que depois poderão ser exibidos em painéis de controle fáceis de entender. A geração de relatórios também pode ser importante, especialmente quando se apresentam resultados e atividades recomendadas à alta direção.

Como em qualquer atividade importante, os programas de GRC devem contar com o apoio da alta direção e receber verba suficiente. O quadro de pessoal é outro ponto importante, seguido pela identificação de uma estrutura apropriada para o programa. Além disso, é preciso garantir que os recursos estejam disponíveis para apoiar a implementação do sistema de GRC. Tanto se o novo sistema é baseado em nuvem, e gerenciado remotamente, ou se ele é implementado localmente, é necessário certificar-se de que seja compatível com a área de TI.

Identificação e seleção de candidatos

Assim que os elementos anteriores já estiverem estabelecidos, é o momento de começar a avaliar e selecionar os possíveis candidatos ao software de GRC. Os produtos estão disponíveis para implementações locais ou serviços hospedados. Há uma grande variedade de preços, dependendo das características ou requisitos do sistema, como armazenamento de dados, recuperação de desastres (DR), disponibilidade do servidor e largura de banda da rede. Priorizar iniciativas pode ser uma saída, optando por um modesto investimento em um pacote de GRC, em vez de um programa estabelecido que pode precisar de um conjunto de recursos mais robusto.  É bom ter em mente que um software de GRC com amplas funções implicará um maior investimento.

A informação sobre o software de GRC está disponível em múltiplos recursos. Os clientes da Gartner, por exemplo, devem verificar se a empresa possui um relatório que examine as ferramentas e os serviços de GRC. A pesquisa das opções também pode ser feita facilmente por meio de qualquer mecanismo de busca disponível. Outro recurso é utilizar os critérios de referência que constam em nossa lista comparativa de produtos GRC, disponível para download, para uma comparação paralela dos possíveis sistemas.

Atividades pré-lançamento

Depois de ter analisado as opções e selecionado o software de GRC, a empresa deve se coordenar com a equipe técnica do provedor. Isso implica a programação de atividades de pré-instalação, transição e pós-instalação. Uma lista de atividades prévias ao lançamento inclui o seguinte:

  1. Considerar o uso do modelo de ciclo de vida de desenvolvimento de software para as atividades de planejamento e instalação.
  2. Estabelecer uma equipe interna de planejamento e instalação.
  3. Determinar como o novo sistema será configurado no lançamento.
  4. Estabelecer um plano de projeto coordenado com o provedor.
  5. Coordenar as atividades de treinamento de usuários e administradores do sistema com o provedor.
  6. Garantir que todos os ativos auxiliares (servidores, armazenamento, fontes de alimentação e backup de dados) estejam configurados e nos locais adequados.
  7. Garantir que todos os arquivos existentes relacionados ao GRC estejam no local e no formato de dados adequado para uso do sistema.
  8. Coordenar as ações com a equipe de gestão de mudanças.
  9. Coordenar as ações com a equipe de segurança de TI.
  10. Garantir que a documentação esteja disponível para instalações locais e hospedadas.
  11. Coordenar as ações com a equipe de administração da base de dados.
  12. Garantir que haja espaço local disponível para qualquer hardware.
  13. Rever a conectividade de rede, por exemplo, a largura de banda da internet, para sistemas hospedados.
  14. Programar reuniões regulares prévias ao lançamento com as equipes internas e provedores.
  15. Informar a direção sobre o progresso e o status do sistema.

Atividades pós-lançamento

Comprovar que existe um plano de transição implementado e coordenado com o provedor do software de GRC e o provedor dos serviços de rede para garantir uma ótima implementação do sistema. Uma vez realizada a transição, seguir os passos seguintes:

  1. Completar os testes de aceitação do sistema antes de entrar em produção.
  2. Coordenar as mudanças e modificações necessárias do sistema com base nos resultados dos testes de transição e aceitação do sistema.
  3. Coordenar as atividades de backup de dados e recuperação de desastres com o provedor.
  4. Coordenar as atividades de segurança com o provedor e a equipe de segurança.
  5. Programar e completar atividades de treinamento.
  6. Enviar notificações a todos os funcionários/empregados/colaboradores sobre o novo sistema.
  7. Distribuir a documentação, tanto eletrônica como impressa, aos administradores e usuários do sistema.
  8. Completar uma revisão posterior à instalação e fornecer os resultados à direção.
  9. Estabelecer um cronograma de manutenção com as equipes de gestão de mudanças e o serviço de help desk.
  10. Assessorar a área de auditoria interna sobre a finalização e entrada em funcionamento do sistema.

Quando o software de GRC já estiver em funcionamento, realizar revisões periódicas com os usuários, diária ou semanalmente, para identificar qualquer problema que precise ser solucionado. Fornecer feedback periódico ao provedor sobre o progresso e problemas do sistema. Se forem estabelecidas métricas de desempenho, como indicadores-chave de desempenho, programar revisões periódicas com os administradores do sistema para garantir que as métricas sejam cumpridas.

Opções de software de GRC

Há várias opções de software de GRC no mercado a serem consideradas. A seguir, oferecemos a descrição de alguns produtos disponíveis:

  • IBM OpenPages GRC Platform é um conjunto de aplicações que permite atividades de gestão de risco empresarial. A plataforma inclui módulos na gestão de controles financeiros, gestão de riscos operacionais, gestão de políticas e compliance, governança de TI e gestão de auditoria interna. São suportadas opções de instalação local ou em nuvem.
  • A solução MetricStream Enterprise GRC fornece uma plataforma única que incorpora atividades de GRC relevantes em um sistema unificado. Os módulos incluem gestão de risco empresarial, gestão de risco operacional, gestão de auditoria interna, gestão de compliance com a Lei Sarbanes-Oxley, gestão de compliance e gestão de políticas e documentos. São suportadas opções de instalação local ou em nuvem.
  • HighBond da Galvanize, parte da ACL Services Ltd., oferece um conjunto modular de aplicativos que abordam o GRC e atividades relacionadas. Seu módulo ITGRCBond aborda a gestão de riscos e compliance de TI; os módulos adicionais incluem RiskBond para a gestão de risco, ComplianceBond para a gestão de compliance e ControlsBond para a gestão de controles internos. Podem ser implementadas soluções locais ou em nuvem.
  • A plataforma avançada de análise de risco Identity Governance and Administration 2.0, da Saviynt, integra uma variedade de tecnologias e plataformas de aplicações para um sistema de GRC otimizado. Software local ou em nuvem são suportados.
  • Donesafe utiliza sua plataforma de tecnologia em nuvem, além de 30 aplicativos diferentes para adaptar um sistema de GRC personalizado.

Planejar e implementar um software de GRC não é diferente de implementar qualquer outra instalação de TI. Há muitas opções disponíveis com uma ampla variedade de preços, o que pode tornar o processo de avaliação um desafio. Utilize os conselhos acima e a lista comparativa de produtos GRC, disponível para download, para tomar uma decisão prudente. O software de GRC adequado será coerente com os requisitos comerciais, oferecerá os resultados desejados e terá um desempenho de acordo com as expectativas delineadas pelo cliente.

Saiba mais sobre Auditoria e conformidade