+55 (11) 2500-1646 vendas@trustsis.com

DONO DE PERFIS – Papeis & Responsabilidades no Controle de Acesso

por Cláudio Rocha | set 29, 2022 | Perfis de Acesso SAP

dono de perfil

claudioA efetividade do controle sobre os processos de governança, riscos, conformidade (GRC) e segurança de uma empresa, vai além da adoção de frameworks e metodologias disponíveis no mercado.

Garantir a conformidade com as melhores práticas adotadas para GRC e segurança requer também o engajamento dos colaboradores e sobretudo o aculturamento corporativo para tornar isso uma cultura da empresa.

 

PRINCIPAIS DESAFIOS
  • Fortalecimento da cultura GRC e Segurança;
  • Consenso entre as equipes de trabalho;
  • Alinhamento entre cultura e práticas corporativas;
  • Maior engajamento dos colaboradores às práticas adotadas;
  • Melhor efetividade no controle;
  • Tomar a decisão correta no processo de aprovação;
  • Aculturamento corporativo continuado em GRC e Segurança.

 

Práticas e frameworks como o modelo das “Três Linhas” ajudam as organizações no atingimento dos seus objetivos de controles e uma melhor efetividade no processo. O modelo das Três linhas proposto pelo “Institute of Internal Auditors – IIA) também acrescenta ao modelo uma explicação detalhada das práticas através dos 6 princípios mencionados a seguir.

3 linhas

Figura: Modelo das Três linhas | Fonte: IIA

 

  • Princípio 1: Governança
  • Princípio 2: Papéis do órgão de governança
  • Princípio 3: Gestão e os papéis da primeira e segunda linhas
  • Princípio 4: Papéis da terceira linha
  • Princípio 5: A independência da terceira linha
  • Princípio 6: Criando e protegendo valor


Visão interpretada das Três Linhas

A lista abaixo consolida a interpretação do modelo das Três linhas, resumindo as principais atividades desempenhadas por cada linha. Com isso é possível visualizar e correlacionar a 1ª e 2ª linha com as atividades geralmente desempenhadas pelo dono de perfil.

 

1ª LINHA [Gestão Operacional]
  • Identificar, avaliar, documentar e responder a riscos em operadores de negócios;
  • Cumprir leis, regulamentos e políticas internas;
  • Monitorar riscos, respostas e status de conformidade;
  • Levantar, relatar e responder a incidentes e eventos de violação;
  • Aceitar conselhos da equipe de auditoria interna.

 

2ª LINHA [Risco Corporativo e Conformidade]
  • Definir o contexto e fornecer estruturas para o GRC;
  • Supervisionar métodos de gerenciamento de riscos e conformidade;
  • Monitorar os resultados de risco e conformidade;
  • Relatar percepçoes e agregar conclusões de GRC
  • Aceitar conselhos da equipe de auditoria interna.

 

3ª LINHA [Auditores Internos]
  • Gerenciar atividades de auditoria para a primeira e segunda linha;
  • Planejar e realizar auditorias para dar suporte aos requisitos de garantia;
  • Comunicar os resultados dos compromissos;
  • Informar sobre a confiabilidade do trabalho realizado na primeira e segunda linha.

 

DONO DE PERFIS – Papeis & Responsabilidades no Controle de Acesso e relação com as Três Linhas

No contexto de controle de acesso, o dono de perfis assume papel muito importante no objetivo de controle da organização. Para empresas que adotam o modelo das Três Linhas, o dono de perfis atua diretamente na 1ª linha, executando atividades de identificação, monitoramento e decisão no contexto de riscos e controles.

As atividades de dono de perfis mencionadas abaixo podem mudar dependendo da maturidade GRC da organização, requisitos legais como SOX, CVM e/ou tamanho da sua estrutura organizacional.

 

PRINCIPAIS ATIVIDADES DONO DE PERFIS
  • Atuar na redução dos riscos através de controles compensatórios
  • Definir e validar novos riscos relacionados ao seu processo
  • Aprovar solicitações de perfis de sua responsabilidade
  • Solicitar a criação/modificação de perfis de sua responsabilidade
  • Participar da campanha de revisão/reafirmação de perfis aprovando perfis de sua responsabilidade
  • Participar da campanha de revisão de acesso do usuário de perfis de sua responsabilidade
  • Monitoramento contínuo de conformidade
  • ETC.

 

Definir as atividades dos donos de perfis é o menor dos problemas!

Geralmente o Key-user nas organizações assumem as atividades como donos de perfis, e na grande maioria das vezes, este mesmo key-user não domina o tema GRC atribuído ao seu papel de trabalho. Também há a movimentação orgânica de pessoas nas empresas onde ocorre movimentos internos de pessoas na estrutura e/ou pessoas saem das empresas (turnover) por várias razões. Como resultado, o objetivo de controle fica comprometido aumentando o risco com GAPs com auditoria e não conformidades.

Pesando nisso a TrustSis trouxe para o mercado serviços de aculturamento corporativo em GRC e tambem o suporte TSC (TrustSis Support Center) que ajuda as organizações a resolverem este problema.  Atuamos na 1ª linha de defesa para garantir o cumprimento do objetivo de controle.

 

Saiba mais sobre Aculturamento Corporativo em GRC:

https://trustsis.com/aculturamento-corporativo-continuado-grc-treinamento-especializado/

Saiba mais sobre TSC – TrustSis Support Center

https://trustsis.com/celula-de-acesso/

 

Imagem

 

Só quem tem em seu DNA a Governança, Gestão de Riscos e Conformidade (GRC) pode garantir a Excelência que oferecemos! – Confira e surpreenda-se com a TrustSis!

E caso queira saber mais detalhes de como a TrustSis pode colaborar com o crescimento da sua empresa, entre em contato nos nossos canais de atendimento. Esperamos por vocês!

SiteFacebook LinkedinYoutube