Develop Compliance Strategy
Desenvolver uma estratégia de conformidade para TI alinhada com os objetivos do negócio é essencial para garantir que todas as operações de TI estejam em conformidade com as leis e regulamentos aplicáveis.
Este processo envolve a criação de um plano abrangente que aborde todas as áreas críticas de conformidade, incluindo privacidade de dados, segurança cibernética e requisitos de auditoria.
A estratégia deve considerar os riscos específicos enfrentados pela organização e definir medidas preventivas e corretivas.
Além disso, é necessário identificar os recursos necessários, tanto humanos quanto tecnológicos, e estabelecer um cronograma para a implementação das iniciativas de conformidade.
A comunicação clara da estratégia e o treinamento adequado dos colaboradores são fundamentais para assegurar o cumprimento das políticas estabelecidas.
- PDCA focus: Plan
- Periodicidade: Anual
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Assess Compliance Landscape | Avaliar o panorama regulatório e de conformidade relevante para a organização. | Leis e regulamentos aplicáveis, benchmarks | Relatório de avaliação do panorama regulatório | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: Cybersecurity; Informed: All areas | Decider: IT Governance & Transformation; Advisor: Cybersecurity; Recommender: Architecture & Technology Visioning; Executer: IT Governance & Transformation |
| 2 | Define Compliance Objectives | Definir os objetivos de conformidade alinhados com os objetivos do negócio. | Feedback de stakeholders, análise de riscos | Objetivos de conformidade definidos | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: All areas; Recommender: Solution Engineering & Development; Executer: IT Governance & Transformation |
| 3 | Develop Compliance Policies | Desenvolver políticas de conformidade detalhadas e alinhadas com os objetivos definidos. | Objetivos de conformidade, benchmark de políticas | Políticas de conformidade desenvolvidas | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: All areas; Recommender: Data, AI & New Technology; Executer: IT Governance & Transformation |
| 4 | Establish Compliance Framework | Estabelecer um framework de conformidade que suporte a implementação das políticas. | Políticas de conformidade, frameworks de referência | Framework de conformidade estabelecido | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: All areas; Recommender: Architecture & Technology Visioning; Executer: IT Governance & Transformation |
| 5 | Communicate Compliance Strategy | Comunicar a estratégia de conformidade para todas as partes interessadas. | Framework de conformidade, políticas de conformidade | Estratégia de conformidade comunicada | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: All areas; Recommender: Solution Engineering & Development; Executer: IT Governance & Transformation |
Identify Regulatory Requirements
Identificar os requisitos regulatórios aplicáveis à organização é um processo crítico para assegurar que todas as operações de TI estejam em conformidade com as leis e regulamentos pertinentes.
Este processo envolve a pesquisa e análise detalhada dos regulamentos locais, nacionais e internacionais que impactam a organização.
A identificação de requisitos regulatórios abrange áreas como proteção de dados, segurança da informação, privacidade e auditorias.
A colaboração com departamentos legais e consultores externos pode ser necessária para garantir uma compreensão abrangente das obrigações regulatórias.
Uma vez identificados, esses requisitos devem ser documentados e comunicados às partes interessadas para garantir a conformidade contínua.
- PDCA focus: Plan
- Periodicidade: Anual
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Research Regulatory Landscape | Pesquisar o cenário regulatório aplicável à organização. | Leis e regulamentos, consulta a especialistas | Relatório de pesquisa regulatória | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: Legal; Informed: All areas | Decider: IT Governance & Transformation; Advisor: Legal; Recommender: Cybersecurity; Executer: IT Governance & Transformation |
| 2 | Identify Applicable Regulations | Identificar os regulamentos específicos que impactam a organização. | Relatório de pesquisa regulatória | Lista de regulamentos aplicáveis | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: Legal; Informed: All areas | Decider: IT Governance & Transformation; Advisor: Legal; Recommender: Architecture & Technology Visioning; Executer: IT Governance & Transformation |
| 3 | Analyze Compliance Impact | Analisar o impacto dos regulamentos na organização e suas operações de TI. | Lista de regulamentos aplicáveis | Análise de impacto regulatório | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: Legal; Recommender: Solution Engineering & Development; Executer: IT Governance & Transformation |
| 4 | Document Regulatory Requirements | Documentar os requisitos regulatórios identificados. | Análise de impacto regulatório | Documento de requisitos regulatórios | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: Legal; Informed: All areas | Decider: IT Governance & Transformation; Advisor: Legal; Recommender: Data, AI & New Technology; Executer: IT Governance & Transformation |
| 5 | Communicate Requirements | Comunicar os requisitos regulatórios para todas as partes interessadas relevantes. | Documento de requisitos regulatórios | Requisitos comunicados | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: Legal; Recommender: Architecture & Technology Visioning; Executer: IT Governance & Transformation |
Implement Compliance Programs
Implementar programas de conformidade é crucial para garantir que a organização adira às políticas e regulamentações estabelecidas.
Este processo envolve a criação e execução de programas que abrangem treinamento, monitoramento e auditoria das práticas de conformidade.
A implementação deve incluir a designação de responsáveis por cada aspecto do programa, a criação de processos claros para o reporte e a resolução de não conformidades, e a integração de tecnologias que facilitem o monitoramento contínuo.
Além disso, a comunicação e o treinamento são fundamentais para garantir que todos os colaboradores compreendam suas responsabilidades e estejam preparados para cumprir os requisitos de conformidade.
- PDCA focus: Do
- Periodicidade: Contínua
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Design Compliance Programs | Desenhar programas de conformidade alinhados com os requisitos regulatórios. | Requisitos regulatórios, políticas de conformidade | Programas de conformidade desenhados | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: Legal; Recommender: Architecture & Technology Visioning; Executer: IT Governance & Transformation |
| 2 | Assign Compliance Roles | Designar responsáveis por cada aspecto dos programas de conformidade. | Programas de conformidade desenhados | Responsáveis designados | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: All areas; Recommender: Solution Engineering & Development; Executer: IT Governance & Transformation |
| 3 | Develop Training Programs | Desenvolver programas de treinamento para assegurar a compreensão das políticas de conformidade. | Programas de conformidade, políticas de conformidade | Programas de treinamento desenvolvidos | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: All areas; Recommender: Data, AI & New Technology; Executer: IT Governance & Transformation |
| 4 | Implement Monitoring Tools | Implementar ferramentas de monitoramento para assegurar a conformidade contínua. | Programas de conformidade, ferramentas de monitoramento | Ferramentas de monitoramento implementadas | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: Cybersecurity; Informed: All areas | Decider: IT Governance & Transformation; Advisor: Cybersecurity; Recommender: Architecture & Technology Visioning; Executer: IT Governance & Transformation |
| 5 | Execute Compliance Programs | Executar os programas de conformidade, monitorando continuamente a aderência. | Ferramentas de monitoramento, programas de conformidade | Conformidade monitorada | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: All areas; Recommender: Solution Engineering & Development; Executer: IT Governance & Transformation |
Monitor Compliance Performance
Monitorar continuamente o desempenho dos programas de conformidade utilizando indicadores-chave de desempenho (KPIs) é vital para assegurar a eficácia e a aderência às políticas regulatórias.
Este processo envolve a coleta e análise de dados de conformidade, a fim de identificar possíveis desvios e áreas de melhoria.
A definição de KPIs claros e mensuráveis permite uma avaliação objetiva do desempenho de conformidade.
O monitoramento contínuo inclui a realização de auditorias internas regulares e a implementação de sistemas de alerta para não conformidades.
A comunicação dos resultados para as partes interessadas é fundamental para garantir a transparência e a tomada de ações corretivas quando necessário.
- PDCA focus: Check
- Periodicidade: Trimestral
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Define Compliance KPIs | Definir indicadores-chave de desempenho para monitorar a conformidade. | Requisitos regulatórios, programas de conformidade | KPIs definidos | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: Legal; Recommender: Cybersecurity; Executer: IT Governance & Transformation |
| 2 | Collect Compliance Data | Coletar dados de desempenho relacionados à conformidade. | Ferramentas de monitoramento, relatórios de auditoria | Dados de conformidade coletados | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: Cybersecurity; Informed: All areas | Decider: IT Governance & Transformation; Advisor: Cybersecurity; Recommender: Architecture & Technology Visioning; Executer: IT Governance & Transformation |
| 3 | Analyze Compliance Performance | Analisar os dados coletados para avaliar a conformidade com os KPIs definidos. | Dados de conformidade coletados | Análise de desempenho de conformidade | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: Cybersecurity; Recommender: Solution Engineering & Development; Executer: IT Governance & Transformation |
| 4 | Conduct Compliance Audits | Realizar auditorias internas de conformidade para validar os resultados. | Análise de desempenho de conformidade | Relatórios de auditoria de conformidade | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: Cybersecurity; Recommender: Data, AI & New Technology; Executer: IT Governance & Transformation |
| 5 | Communicate Compliance Results | Comunicar os resultados das auditorias e análises de desempenho para as partes interessadas. | Relatórios de auditoria de conformidade | Resultados de conformidade comunicados | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: All areas; Recommender: Architecture & Technology Visioning; Executer: IT Governance & Transformation |
Review and Update Compliance Processes
Revisar e atualizar os processos de conformidade com base nos resultados das auditorias e feedbacks recebidos é essencial para assegurar a melhoria contínua e a eficácia dos programas de conformidade.
Este processo envolve a análise crítica dos resultados das auditorias, a identificação de áreas de melhoria e a implementação de mudanças necessárias.
A revisão deve considerar as melhores práticas do setor e as lições aprendidas de ciclos anteriores para garantir que os processos de conformidade estejam sempre atualizados e alinhados com os requisitos regulatórios.
A comunicação das atualizações é fundamental para garantir que todas as partes interessadas estejam cientes das mudanças e possam se adaptar adequadamente.
- PDCA focus: Act
- Periodicidade: Semestral
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Evaluate Audit Results | Avaliar criticamente os resultados das auditorias de conformidade. | Relatórios de auditoria de conformidade | Relatório de avaliação de auditoria | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: Cybersecurity; Recommender: Architecture & Technology Visioning; Executer: IT Governance & Transformation |
| 2 | Identify Improvement Areas | Identificar áreas de melhoria nos processos de conformidade. | Relatório de avaliação de auditoria | Áreas de melhoria identificadas | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: Cybersecurity; Recommender: Solution Engineering & Development; Executer: IT Governance & Transformation |
| 3 | Develop Improvement Plan | Desenvolver um plano detalhado para melhorar os processos de conformidade. | Áreas de melhoria identificadas | Plano de melhoria desenvolvido | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: Cybersecurity; Recommender: Data, AI & New Technology; Executer: IT Governance & Transformation |
| 4 | Implement Process Improvements | Implementar as melhorias conforme o plano desenvolvido. | Plano de melhoria desenvolvido | Melhorias implementadas | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: Cybersecurity; Recommender: Architecture & Technology Visioning; Executer: IT Governance & Transformation |
| 5 | Communicate Process Updates | Comunicar as atualizações dos processos de conformidade para as partes interessadas. | Melhorias implementadas | Atualizações comunicadas | Responsible: IT Governance & Transformation; Accountable: IT Governance & Transformation; Consulted: All areas; Informed: All areas | Decider: IT Governance & Transformation; Advisor: All areas; Recommender: Solution Engineering & Development; Executer: IT Governance & Transformation |
