Descrever conceitos de governança, risco e conformidade (GRC)

  • 4 minutos

As organizações enfrentam uma crescente complexidade e mudanças nos ambientes regulatórios, exigindo uma abordagem mais estruturada para gerenciar governança, risco e conformidade (GRC).

Diagram showing a GRC framework.

À medida que as organizações estabelecem a competência de GRC, elas podem estabelecer uma estrutura que inclui a implementação de políticas, processos operacionais e tecnologias específicas. Uma abordagem estruturada para gerenciar GRC ajuda as organizações a reduzir riscos e melhorar a eficácia da conformidade.

Um pré-requisito importante para estabelecer a competência GRC é entender os termos-chave.

Governação

Governança é o sistema de regras, práticas e processos que uma organização usa para dirigir e controlar suas atividades. Muitas atividades de governação decorrem de normas, obrigações e expectativas externas. Por exemplo, as organizações estabelecem regras e processos que definem quem, o quê, onde e quando os usuários e aplicativos podem acessar recursos corporativos e quem tem privilégios administrativos e por quanto tempo.

Risco

A gestão de riscos é o processo de identificar, avaliar e responder a ameaças ou eventos que possam afetar os objetivos da empresa ou do cliente. As organizações enfrentam riscos de fontes externas e internas. Os riscos externos podem vir de forças políticas e econômicas, eventos relacionados ao clima, pandemias e violações de segurança, para citar apenas algumas fontes. Os riscos internos são riscos que vêm de dentro da própria organização. Exemplos incluem vazamentos de dados confidenciais, roubo de propriedade intelectual, fraude e insider trading.

Conformidade

Conformidade refere-se ao país/região, leis estaduais ou federais ou até mesmo regulamentações multinacionais que uma organização deve seguir. Esses regulamentos definem quais tipos de dados devem ser protegidos, quais processos são exigidos pela legislação e quais penalidades são emitidas para as organizações que não cumprirem.

É importante notar que conformidade não é o mesmo que segurança. No entanto, a segurança deve ser considerada ao construir um plano de conformidade, pois a segurança eficaz é frequentemente um requisito de conformidade. A conformidade exige apenas que os padrões mínimos legalmente exigidos sejam cumpridos, enquanto a segurança de dados abrange todos os processos, procedimentos e tecnologias que definem como você cuida de dados confidenciais e protege contra violações.

Alguns conceitos relacionados à conformidade incluem:

  • Residência de dados - Quando se trata de conformidade, os regulamentos de residência de dados regem os locais físicos onde os dados podem ser armazenados e como e quando podem ser transferidos, processados ou acessados internacionalmente. Estes regulamentos podem variar significativamente dependendo da jurisdição.
  • Soberania de dados - Outra consideração importante é a soberania de dados, o conceito de que os dados, particularmente os dados pessoais, estão sujeitos às leis e regulamentos do país/região em que são fisicamente coletados, mantidos ou processados. Isso pode adicionar uma camada de complexidade quando se trata de conformidade, porque o mesmo dado pode ser coletado em um local, armazenado em outro e processado em outro; sujeitando-o a leis de diferentes países/regiões.
  • Privacidade de dados - Avisar e ser transparente sobre a recolha, processamento, utilização e partilha de dados pessoais são princípios fundamentais das leis e regulamentos de privacidade. Por dados pessoais entende-se qualquer informação relativa a uma pessoa singular identificada ou identificável. As leis de privacidade abrangem quaisquer dados que estejam diretamente ligados ou indiretamente ligados a uma pessoa. As organizações estão sujeitas e devem operar de forma consistente com uma infinidade de leis, regulamentos, códigos de conduta, padrões específicos do setor e padrões de conformidade que regem a privacidade de dados.

Todas as organizações gerenciam dados, portanto, entender a terminologia e os conceitos relacionados à conformidade é importante à medida que trabalham para atender às leis e/ou regulamentos mínimos e obrigatórios.