Definindo riscos e controles

Documente e garanta que os riscos operacionais sejam mitigados pelos controles. Você pode definir riscos primeiro e depois controles, ou vice-versa.

Observação

Você pode definir riscos e controles em um fluxo de trabalho de Controle Interno, que é usado para tipos mais complexos de projeto onde narrativas são definidas, orientações são realizadas para verificar o design do controle e os testes são realizados para verificar a efetividade operacional dos controles.

Se você precisar realizar um simples projeto de procedimento, é possível definir riscos e procedimentos em um fluxo de trabalho de Plano de Trabalho.

O que são riscos e controles?

Um risco é um efeito de incerteza sobre um objetivo, com o efeito tendo desvio positivo ou negativo do esperado.

Um controle é um conjunto de medidas ou ações realizadas para gerenciar riscos e aumentar a probabilidade de que os objetivos estabelecidos sejam alcançados.

Os termos para "risco" ou "controle" podem variar, dependendo das configurações da sua organização. Por exemplo, um risco pode ser chamado de requisito, e um controle pode ser chamado de procedimento.

Antes de começar

Antes de definir riscos e controles, você precisa:

  1. Criar um projeto ou estrutura.
  2. Definir objetivos.
Observação

Dependendo da configuração de projeto ou estrutura da sua organização, os objetivos também podem ser chamados de seções, processos, ciclos, áreas funcionais, sistemas de aplicação ou outro termo personalizado.

Como funciona?

Quando você associa um risco a um controle, está especificando as medidas ou cursos de ação para como o risco será mitigado. A combinação de riscos identificados e controles correspondentes é chamada de Matriz de Controle de Riscos.

Um risco pode ser associado a muitos controles e um controle pode ser associado a vários riscos.

Cada controle definido tem uma orientação correspondente, usada para verificar se o controle foi criado de forma adequada. Ao criar ou propagar um projeto, você pode escolher ter uma, duas ou quatro rodadas de testes para verificar se o controle está operando de forma eficaz.

Definindo relações complexas entre controles e testes

A Matriz de Controle de Riscos cria uma relação de um para um entre cada controle e o teste de associado. Se você precisa definir relações mais complexas entre controles e testes, há duas opções:

Relação Descrição Como faço isso?
Um para muitos

Uma relação entre um teste e vários resultados de testes

Aplique os testes aos itens múltiplos (como sistemas de aplicativos empresariais) e registre os resultados de teste de todos os itens no mesmo teste.
Muitos para um

Uma relação entre um único resultado de teste e vários testes

Execute e registre os resultados de testes no primeiro teste e vincule-os aos resultados de teste de outros testes.

Observação

Você pode copiar o URL da barra de endereços do navegador e colá-lo no campo Resultados dos Testes para os outros testes onde os resultados são aplicáveis.

Limitações

Cada objetivo pode conter, no máximo, 1000 riscos e 1000 controles.

Exemplo

Definindo riscos e controles

Cenário

Você é diretor financeiro proprietário de um projeto de Revisão de Controles Gerais de TI completo. Uma das falhas de controle identificadas está relacionada à segurança de rede e é de propriedade de TI. O Conselho quer saber quem é o proprietário da remediação.

Processo

A tabela abaixo ilustra os riscos e controles definidos como parte da Matriz de Controle de Riscos de sua organização. Para acompanhar a falha de controle (NS-002), você designa o membro da equipe de TI apropriado como proprietário do controle.

Risco Controle(s) associado(s)
NS-A: Nenhuma tecnologia está disponível para detectar e proteger a rede de ferramentas de avaliação de vulnerabilidade não autorizadas.
  • NS-001: A rede de produção é arquitetada para evitar tráfego não autenticado ou não autorizado para e de sistemas confidenciais.
  • NS-002: Há firewalls disponíveis configurados para impedir tráfego de Internet não especificamente solicitado ou autorizado.
NS-B: Alterações inapropriadas ou arriscadas são feitas na configuração dos dispositivos de segurança de rede.
  • NS-003: Apenas pessoal administrativo de rede adequado tem acesso para fazer alterações na configuração dos dispositivos de firewall da rede.
NS-C: Há vulnerabilidades de segurança da rede ou do sistema não detectadas porque não há processo de auditoria estabelecido.
  • NS-004: varreduras mensais de vulnerabilidade são realizadas em endereços IP e aplicativos externos para detectar possíveis vulnerabilidades. Todas as vulnerabilidades identificadas são acompanhadas e solucionadas de forma oportuna.
NS-D: Os sistemas e dispositivos de rede utilizam software de sistema desatualizado e potencialmente vulnerável.
  • NS-005: Um procedimento documentado está estabelecido e é seguido para verificar e aplicar correções e atualizações do sistema em sistemas de servidores e dispositivos de rede mensalmente.
NS-E: Os dados transmitidos para e da rede são interceptados por indivíduos não autorizados.
  • NS-006: Transmissões de informações confidenciais para e da rede ou aplicativos públicos são forçadas via conexão criptografada apropriada.

Resultado

  • O membro da equipe de TI recebe uma notificação por e-mail e consegue auxiliar na atualização da definição do controle.
  • Você consegue informar o conselho quem é o proprietário da remediação de NS-002.

Permissões

Gerentes Profissionais e Usuários Profissionais podem definir e associar riscos e controles.

Definir riscos e controles

Observação

  • Os termos, os campos e as guias da interface são personalizáveis. Em sua instância do Diligent One, alguns termos, campos e guias podem ser diferentes.
  • Se um campo obrigatório for deixado em branco, você verá uma mensagem de alerta: Este campo é obrigatório. Alguns campos personalizados podem ter valores padrão.
  1. Execute uma das seguintes ações:
    • Para definir riscos e procedimentos em um projeto:

      1. Na página inicial do Launchpad (www.highbond.com), selecione o aplicativo Projetos para abri-lo.

        Se já tiver entrado na Diligent One, você pode usar o menu de navegação à esquerda para mudar para o aplicativo Projetos.

      2. Abra um projeto e clique na guia Execução.
    • Para definir riscos e procedimentos em uma estrutura:
      1. Abra o Estruturas.
      2. Abra uma estrutura e clique na guia Seções.
  2. Localize o objetivo apropriado, clique em Ir Para e selecione Matriz de Controle de Riscos.
  3. Execute qualquer uma das seguintes ações:
    • Para definir um risco, clique em Adicionar Risco, insira as informações necessárias e clique em Salvar.
    • Para definir um controle, clique em Controle ao lado do rótulo Exibir por, clique em Adicionar Controle, insira as informações necessárias e clique em Salvar.
  4. Para associar riscos e controles, faça o seguinte:
    1. Assegure-se de ter criado pelo menos um risco e um controle.
    2. Ao lado do risco ou controle, clique em Associar Risco ou Associar Controle, defina as associações apropriadas e clique em Salvar.

Campos de risco

Observação

Campos de rich text não podem ultrapassar 524.288 caracteres.

Dica

Para ativar a verificação ortográfica, execute qualquer uma das seguintes ações:

  • No Chrome, Firefox ou Safari CTRL + clique com botão direito no campo no Windows ou Comando + clique com botão direito no Mac
  • No Internet Explorer ou Microsoft Edge abra as configurações do navegador e ative a verificação ortográfica/realce de palavras com erros ortográficos
Campo Descrição

Título

opcional

um título relevante para o risco

O comprimento máximo é 255 caracteres.
Descrição

uma instrução sobre o risco

ID do Risco

opcional

o número de identificação de risco

O comprimento máximo é 255 caracteres.

Impacto

opcional

 uma classificação das consequências da ocorrência do risco

Probabilidade

opcional

 uma classificação da probabilidade da ocorrência do risco

Fatores de Pontuação de Risco Personalizados

opcional

especifica os fatores de pontuação de risco personalizados associados com o risco.

Administradores de Projeto e Administradores de Tipo de Projeto podem definir atributos personalizados para riscos em Gerenciar tipos de projetos.

Dica

Você pode automatizar avaliações de risco para Impacto, Probabilidade e Fatores de Pontuação de Risco Personalizados. Para obter mais informações, consulte Automatizando avaliações de risco operacional.

Atributos de Risco Personalizados

opcional

especifica os atributos associados com o risco.

Administradores de Projeto e Administradores de Tipo de Projeto podem definir atributos personalizados para riscos em Gerenciar tipos de projetos.

Evidência de Suporte

opcional

permite que você vincule dados do Resultados à documentação no Projetos para consolidar informações, aprovar facilmente quando a remediação estiver concluída e informar avaliações

Observação

Essa opção somente está disponível se sua organização usa o Resultados.

Controle associados a este Risco

opcional

permite associar um controle ao risco

Abrangência por Entidade

opcional

permite marcar o risco com tags de uma ou mais entidades para fins de geração de relatórios

Observação

Somente Gerentes Profissionais e Usuários Profissionais podem marcar um controle com uma tag de entidade clicando em Exibir conteúdo e selecionando as entidades que devem ser associadas ao controle. As alterações são salvas automaticamente.
Histórico

Exiba um histórico completo das alterações de campos efetuadas no risco

Campos de controle

Observação

Campos de rich text não podem ultrapassar 524.288 caracteres.

Dica

Para ativar a verificação ortográfica, execute qualquer uma das seguintes ações:

  • No Chrome, Firefox ou Safari CTRL + clique com botão direito no campo no Windows ou Comando + clique com botão direito no Mac
  • No Internet Explorer ou Microsoft Edge abra as configurações do navegador e ative a verificação ortográfica/realce de palavras com erros ortográficos
Campo Descrição

Título

opcional

um título relevante para o controle

O comprimento máximo é 255 caracteres.
Descrição

uma instrução sobre o controle
ID de Controle

o número de identificação de controle

O comprimento máximo é 255 caracteres.

Observação

Esse número é adicionado ao final do prefixo do objetivo.

Proprietário

opcional

permite designar um usuário licenciado ou não licenciado como proprietário do controle para fins de rastreamento e geração de relatório

Os usuários com a função Testador Colaborador ou Usuário Colaborador são normalmente designados como proprietários de um controle.

Os proprietários podem ser atribuídos com base em uma estrutura regional, de unidade de negócios ou relacionada ao projeto. Quando uma pessoa é designada como proprietária de um controle, ela recebe notificações por e-mail com um link para o controle que concede acesso de gravação ao controle designado e acesso de leitura aos objetivos e riscos.

Observação

Se você carregou controles em massa e especificou uma pessoa no campo Proprietário, o nome dessa pessoa aparecerá no Projetos, mas o controle não será designado automaticamente a essa pessoa e ela não será notificada por e-mail.
Frequência

determina o padrão de método de teste e de tamanho da amostra na guia Plano de Teste

Por exemplo, o plano de teste para um projeto pode ser configurado com uma frequência específica (contínua, semanal, mensal, etc.) ou conforme a necessidade.

Para obter mais informações, consulte Executando procedimentos e testando controles.
Tipo

determina o padrão de método de teste e de tamanho da amostra na guia Plano de Teste

Por exemplo, o plano de teste pode incluir Controles Manuais, Controles de Aplicativo/Sistema, Controles Gerais de TI ou Controles Manuais Dependentes de TI.

Para obter mais informações, consulte Executando procedimentos e testando controles.
Prevenir ou Detectar? especifica se o controle é destinado a evitar ou detectar riscos ou se não é aplicável

Método

opcional

especifica como o controle será testado ou implementado

Status

opcional

 especifica o estado atual do controle

Atributos de Controle Personalizado

opcional

especifica os atributos associados com o controle

Administradores de Projeto e Administradores de Tipo de Projeto podem definir atributos personalizados para controles em Gerenciar tipos de projetos.

Afirmações Relevantes

opcional

permite marcar o controle com tags de uma ou mais Afirmações Relevantes

Princípios COSO

opcional

permite marcar o controle com tags de um ou mais Princípios COSO

Observação

O aplicativo Projetos é compatível com a Estrutura COSO 2013, que inclui 17 princípios COSO.

Risco associados a este Controle

opcional

permite associar um risco ao controle

Peso de Controle

opcional

expressa a porcentagem do risco que o controle mitiga

A configuração padrão do peso de controle é 100%. Você pode inserir um peso de controle entre 0% e 100%. A soma dos pesos de controle pode resultar em qualquer número.

Para obter mais informações, consulte Componentes da garantia.

Abrangência por Entidade

opcional

permite marcar o controle com tags de uma ou mais entidades para fins de geração de relatórios

Observação

Somente Gerentes Profissionais e Usuários Profissionais podem marcar um controle com uma tag de entidade clicando em Exibir conteúdo e selecionando as entidades que devem ser associadas ao controle. As alterações são salvas automaticamente.
Histórico

Exiba um histórico completo das alterações de campos efetuadas no controle

Adicionar vários riscos e controles

Para obter informações sobre como adicionar vários riscos e controles uma vez, consulte Importação em massa de riscos e Importação em massa de controles, respectivamente.