A importância da conformidade e das avaliações de risco

Março 9, 2018
Doug Barney
Conformidade regulatória, Risco de terceiros

A conformidade é fundamental para muitos setores. Finanças, bancos, saúde - praticamente todas as empresas, pelo menos nos Estados Unidos, além de um determinado tamanho ou de propriedade pública, enfrentam regras de conformidade. E com a chegada do GDPR em 25 de maio e o surgimento de novas regulamentações em todo o mundo, a conformidade é um problema mundial.

As penalidades por violações podem ser enormes, e a não conformidade é praticamente um tapete de boas-vindas para o crime cibernético, resultando em perda de reputação e desastre financeiro.

Seja você um profissional de TI ou um prestador de serviços, não é possível elaborar um plano de conformidade sem compreender a situação atual da sua empresa. Isso exige uma avaliação aprofundada e metódica.

RapidFire Tools ., fornecedora de ferramentas de avaliação de conformidade com a HIPAA,realizou uma pesquisa comMSPs sobre a importância dessas avaliações. A pesquisa revelou que os prestadores de serviços utilizam essas avaliações para iniciar conversas com novos clientes em potencial e, por fim, conquistar novos clientes. Um dos MSPs entrevistados aumentou sua receita em mais de US$ 12.000 por mês.

De acordo com aPesquisa de Referência MSP 2018 da Kaseya, 52% dos MSPs em todo o mundo (e 55% na região EMEA) oferecem avaliações de conformidade. Essas avaliações beneficiam tanto o MSP quanto seus clientes, proporcionando ao MSP oportunidades de novas fontes de receita, além de conscientizá-lo sobre as mudanças que devem ser implementadas para proteger ambas as empresas.

A Crowe Horwath, empresa de contabilidade, consultoria e tecnologia , tem um processo passo a passo que começa com a definição das metas. "As avaliações servem para determinar o escopo das atividades de conformidade em toda a organização, a eficácia do programa de conformidade e até que ponto a cultura da organização é favorável às atividades de conformidade. Uma avaliação pode dar à organização uma ideia dos pontos fortes e fracos de seu programa de conformidade e das áreas em que ele pode melhorar", explica a empresa.

Os avaliadores devem começar do zero, mas devem se basear em documentos existentes relacionados à conformidade. "Exemplos de documentos relevantes que normalmente são coletados e revisados durante uma avaliação incluem:

  • Organogramas da liderança executiva e do escritório de conformidade
  • Políticas e procedimentos relacionados ao escritório de conformidade ou a áreas de alto risco
  • Exemplos de exercícios de treinamento de conformidade de funcionários e amostras de comunicações feitas aos funcionários sobre o código de conduta de conformidade
  • Amostras de monitoramento de conformidade e planos de trabalho de conformidade
  • Avaliações anteriores do programa de conformidade
  • Avaliações de risco de conformidade e políticas de avaliação de risco de conformidade"

Conhecendo os jogadores

Os avaliadores precisam não apenas entender a estrutura e as funções da organização, mas também conhecer as próprias pessoas. Isso pode ser feito por meio de entrevistas. A revisão de documentos ajuda a preparar os avaliadores para essas conversas. O objetivo é entender até que ponto os principais participantes compreendem a conformidade e se são capazes de definir seus riscos e tomar medidas para mitigá-los.

Os indivíduos que podem ser entrevistados incluem pessoas diretamente responsáveis pelo gerenciamento da conformidade, funcionários cujas funções exijam o cumprimento das diretrizes de conformidade e a liderança da empresa.

Realização de análise de lacunas

Uma análise de lacunas mostrará onde a organização já está em conformidade e quais medidas precisam ser tomadas para garantir a adesão total. A análise "deve revelar as tendências do programa de conformidade existente na organização, incluindo os pontos fortes do programa e as oportunidades de melhoria. Além disso, o avaliador deve fazer recomendações para a organização com base nas melhores práticas observadas em organizações líderes de tamanho e estrutura semelhantes à que está sendo avaliada", explica a empresa.

Tudo isso deve ser codificado em um relatório final que defina o que é bom e recomende melhorias específicas.

A empresa de consultoria financeira Deloitte explica por que a avaliação de conformidade não é suficiente em seu whitepaper, "Avaliações de risco de conformidade: O terceiro ingrediente em um programa de ética e conformidade de classe mundial".

Muitas organizações podem pensar que estão em dia com a conformidade só porque realizaram uma avaliação de riscos. No entanto, conformidade e risco, embora estejam relacionados, exigem processos distintos. “Em que difere uma avaliação de risco de conformidade de outras avaliações de risco? As organizações realizam avaliações para identificar diferentes tipos de risco organizacional. Por exemplo, elas podem realizar avaliações de risco empresarial para identificar os riscos estratégicos, operacionais, financeiros e de conformidade aos quais a organização está exposta. Na maioria dos casos, o processo de avaliação de risco empresarial concentra-se na identificação dos riscos que podem comprometer a empresa – aqueles que poderiam afetar a capacidade da organização de atingir seus objetivos estratégicos”, explica a Deloitte.

“A avaliação de riscos de conformidade ajudará a organização a compreender toda a extensão de sua exposição a riscos, incluindo a probabilidade de ocorrência de um evento de risco, as razões pelas quais ele pode ocorrer e a gravidade potencial de seu impacto. Uma avaliação de riscos de conformidade bem elaborada também ajuda as organizações a priorizar riscos, atribuir esses riscos aos responsáveis competentes e alocar recursos de forma eficaz para a mitigação de riscos.”

Quem faz o quê?

Depois de identificar quem é quem e quem faz o quê, você pode definir atribuições claras. "Estabeleça claramente a propriedade de riscos específicos e busque maior transparência: Uma avaliação abrangente dos riscos de conformidade ajudará a identificar os indivíduos responsáveis pelo gerenciamento de cada tipo de risco e facilitará para os executivos o controle das atividades de mitigação de riscos, dos esforços de correção e das exposições a riscos emergentes", aconselha a Deloitte.

Parte disso consiste em uma avaliação que exige medidas concretas. “Torne a avaliação passível de ação: a avaliação tanto prioriza os riscos quanto indica como eles devem ser mitigados ou corrigidos. As ações corretivas devem ser compreensíveis por todos e viáveis além das fronteiras. Certifique-se de que os resultados da avaliação de riscos possam ser utilizados no planejamento operacional para alocar recursos e que também possam servir como ponto de partida para programas de teste e monitoramento”, conclui a empresa.

O trabalho de conformidade nunca termina, adverte a Deloitte. “Encare a avaliação como um documento vivo e dinâmico: assim que você alocar recursos para mitigar ou corrigir riscos de conformidade, a gravidade potencial desses riscos mudará. O mesmo se aplica aos eventos no ambiente de negócios. Tudo isso deve impulsionar mudanças na própria avaliação”, escreve a Deloitte. “Repita periodicamente a avaliação de riscos: avaliações eficazes de riscos de conformidade buscam garantir uma abordagem consistente que continue a ser implementada ao longo do tempo, por exemplo, a cada um ou dois anos. Ao mesmo tempo, a inteligência de riscos requer análise contínua e monitoramento do ambiente para identificar riscos emergentes ou sinais de alerta precoce.”

Sobre o autor
Doug Barney foi o editor fundador da Redmond Magazine, Redmond Channel Partner, Redmond Developer News e Virtualization Review. Doug também atuou como editor executivo da Network World, editor-chefe da AmigaWorld e editor-chefe da Network Computing.

Uma plataforma completa para gestão de TI e segurança

Kaseya 365 a solução completa para gerenciar, proteger e automatizar a TI. Com integrações perfeitas entre as principais funções de TI, ele simplifica as operações, reforça a segurança e aumenta a eficiência.

Solicite uma demonstração Conheça o Kaseya 365

Uma plataforma. Tudo em TI.

Kaseya 365 desfrutam dos benefícios das melhores ferramentas de gerenciamento de TI e segurança em uma única solução.

Conheça o Kaseya 365

Seu sucesso é nossa prioridade número 1

O Partner First é um compromisso com condições flexíveis, risco compartilhado e suporte dedicado para o seu negócio.

Conheça Partner First Pledge

Relatório Kaseya sobre a Situação dos MSP de 2026

Kaseya - Relatório sobre a Situação dos MSP em 2026 - Imagem para a Web - 1200x800 - ATUALIZADO

Obtenha insights sobre o MSP para 2026 com mais de 1.000 prestadores de serviços e descubra como aumentar a receita, adaptar-se às pressões do mercado e manter a competitividade.

Faça o download agora

Explore as categorias

O que é a conformidade com o NIST? Um guia prático para equipes de TI e MSPs

O termo “NIST” é usado para se referir a várias coisas diferentes, muitas vezes de forma intercambiável e nem sempre com precisão. A agência. O Quadro de Cibersegurança.

Leia a postagem do blog

Conformidade de TI para MSPs: como criar uma empresa que se adapte ao crescimento

A conformidade tornou-se, discretamente, uma das competências comercialmente mais importantes que um MSP pode desenvolver. A combinação do aumento das exigências regulatórias

Leia a postagem do blog

ISO 27001: O que é, quais são os requisitos para a certificação e se a sua organização precisa dela

A ISO 27001 é a norma internacional para sistemas de gestão da segurança da informação. É a certificação de segurança mais amplamente reconhecida em todo o mundo,

Leia a postagem do blog