Objetivo
Garantir que os processos de TI e processos de negócios suportados pela TI estejam em conformidade com as leis, regulamentos e exigências contratuais. Obter a garantia de que os requisitos foram identificados e respeitados, e integrá-los à conformidade com o cumprimento global da organização.
MEA03.01 – Identificar requisitos externos de compliance.
Monitoração contínua de eventuais alterações nas leis, regulamentos e outros requisitos externos e locais de privacidade.
MEA03.02 – Otimizar a resposta a requisitos externos.
Aborda a necessidade de revisar e ajustar políticas, princípios, padrões, procedimentos e metodologias para garantir que a conformidade contínua com os requisitos legais, regulamentares e contratuais.
MEA03.03 – Confirmar o compliance com requisitos externos.
Tem a importante atribuição de, regularmente, confirmar a conformidade de políticas, princípios, normas, procedimentos e metodologias com os requisitos legais, regulamentares e contratuais (por exemplo, por meio de Relatórios de Impacto).
MEA03.04 – Obter garantia de compliance com requisitos externos.
Obtém e relata a garantia de conformidade e aderência a políticas, princípios, padrões, procedimentos e metodologias, confirmando se as ações corretivas descritas no Relatório de Impacto para solucionar as lacunas de conformidade são executadas em tempo hábil.
Componente Estrutura Organizacional
Na matriz RACI, o papel preponderante da equipe de compliance e da Auditoria, são os responsabilizados (accountable) por esse objetivo de gestão. Na lista de responsáveis, merece destaque a participação ativa do Diretor de TI e da Jurídica. Quanto ao Controlador, recomendo que tenha participação ativa (seja responsável (R)) em todas as quatro práticas.
Quanto ao Encarregado (DPO), recomendo que tenha participação ativa (seja responsável (R)) pelas práticas MEA03.01, MEA03.02 e MEA03.03. O objetivo, inclusive faz menção a um Privacy Officer, que tem pontos em comum com o papel do Encarregado.
Componente Fluxos e Itens de Informação
Artefatos de entrada e de saída padrões, merecendo destaque as saídas: Log de ações de conformidade necessárias; registro de requisitos de conformidade; comunicações de requisitos de conformidade alterados; políticas, princípios, procedimentos e normas atualizados; confirmações de conformidade; lacunas de conformidade identificadas; relatórios de garantia de conformidade; relatórios de não conformidade; e problemas e causas raiz.
Componente Pessoas, Habilidades e Competências
Habilidades:
- Segurança da Informação
- Segundo o SCTY do SFIA v6 de 2015.
Para o bom desempenho de suas atribuições, o Encarregado deverá ter um conhecimento sólido de segurança da informação.
Componente Políticas e Procedimentos
Política de Compliance
Identifica os requisitos regulatórios, contratuais e de conformidade interna. Explica o processo para avaliar a conformidade com os requisitos regulatórios, contratuais e internos. Lista as funções e responsabilidades de diferentes atividades no processo e fornece orientação sobre métricas para
medir a conformidade. Obtém relatórios de conformidade e confirma ações corretivas ou de conformidade para corrigir as falhas de conformidade em tempo hábil.
F) Componente Cultura, Ética e Comportamento
Promova uma cultura de conformidade, incluindo tolerância zero pelo não cumprimento de requisitos legais e regulamentares.
Componente Serviços, Infraestrutura e Aplicações
Para o desempenho adequado desse Objetivo, são necessários:
- Serviço/Processo de monitoramento do regulatório;
- Serviços de avaliação de conformidade de terceiros.
Traduzido pela 4Matt Tecnologia do original Process Symphony: Monitor, Evaluate and Assess (COBIT 2019)
Tags: ServiceNow, Snow Software, Gestão de Ativos de Software, Software Asset Management, SAM, FINOps, ITAM, ITSM, Flexera, Cloud Management framework de governança, fatores de desenho, estruturas de governança, design guide, governança de ti, curso online, gerenciados de ti, objetivo de governança, certificação cobit, cobit 2019, governança corporativa, gestão de ti, negócios de ti, governança de informações, desenvolvido pela isaca, deixe um comentário, benefícios do cobit, exame cobit, tomada de decisões, estrutura cobit, profissionais de ti
materiais gratuitos, foundation bridge, projetado para evoluir, gerenciamento de informações, boas práticas, níveis de capacidade, microsoft power, objetivos de controle, programas de certificados, componentes de governança, partes interessadas, cobit 2019, redes sociais
gerenciamento de riscos, isaca lançou, design thinking, gerenciamento de desempenho, fale conosco, certificação em governança, implementation guides, exames de certificação, implementing nist using cobit, power bi, design and implementation, framework de governança, mercado de ti
fatores de design, estratégia de governança, implementação do cobit, melhores práticas, guia de implementação, governança eficaz, cobit 2019, estruturas organizacionais, transformação digital, segurança cibernética, objetivos de negócio, certificação do cobit, gestão de projetos, cascata de metas, processos de negócios.