FACT SHEET

SAS® Enterprise Governance, Risk and Compliance (GRC)

Confiança no todo da organização

O que faz o SAS® Enterprise GRC?O SAS® Enterprise GRC fortalece a governance e reforça a confiança na organização, ao permitir que atempada-mente a exposição ao risco seja gerida de forma sistemática, antecipando os problemas associados, permitindo a elaboração de planos de ação (quando indicados) e o acompanhamento do percurso para a resolução de todas as questões. A solução também ajuda a detetar e a prevenir o não cumprimento das leis, regulamentos e políticas, bem como, garantir que a estratégia se mantenha alinhada com o apetite ao risco, com as expectativas dos stakeholder e com as obrigações externas.

Porque é importante o SAS® Enterprise GRC?O SAS® Enterprise GRC permite a construção de uma visão fiável das exposições ao risco e obrigações impostas pela compliance - um processo que é demorado e propenso a erros, quando as componentes de GRC não estão integradas. A solução retrata visualmente os riscos, liga-os aos impactos e a todas as dimensões relacionadas, capturando e mostrando todas as relações existentes. O SAS® Enterprise GRC também facilita a colaboração, reduzindo o custo da gestão de risco e da compliance ao eliminar a duplicação tanto dos dados, como dos processos, através da automação.

A quem se destina o SAS® Enterprise GRC?O SAS® Enterprise GRC é projetado para gestores de risco, de compliance, auditores externos e internos; advogados; estrategas, utilizadores de negócio responsáveis pelos registos no GRC (por exemplo, os incidentes) ou utilizadores que executam processos específicos de GRC (por exemplo, planos de mitigação), executivos e conselhos de administração.

A falta de informação partilhada entre as unidades de negócios está na raiz de muitos escândalos financeiros e desastres operacionais. Independentemente da indústria, as organizações que não coordenam e monitorizam suficientemente os processos de negócios, irão falhar na deteção do não cumprimento das políticas e regulamentos definidos.

Esse facto tem trazido a público, desastres nucleares, descargas catastróficas de petróleo, fraudes, roubos, falhas na segurança de redes, violações de dados de clientes, etc. Acontecimentos estes que saem caros - desde multas elevadas, publicidade negativa, baixa de rating da organização, custos com prémios de seguros mais elevados, menor valor para o acionista, etc

O objetivo da governance, risco e compliance (GRC) é promover o cumprimento das políticas e da legislação. Para fazer isso de forma eficaz, uma solução de GRC deve ser capaz de identificar e quantificar as exposições de riscos combinados - exposições que podem parecer muito menos significativas quando consideradas isoladamente, em unidades de negócios desconexas.

O SAS® Enterprise GRC fornece uma plataforma integrada para padronizar e gerir risco operacional e estratégico, bem como consolidar a informações de todos os sistemas de gestão de risco financeiro (risco de crédito, risco de mercado, etc) numa visão corporativa de risco. A solução integrando todas as funções de GRC reforça a governação e a confiança porque, alinha os princípios do GRC com os objetivos do negócio e a execução da estratégia.

Benefícios relevantes

• Unifica todos os elementos de GRC numa única plataforma. Repositórios para riscos, controlos, leis e regulamentos, políticas, avaliações, dados de perda, cenários e as auditorias estão numa única estrutura o que facilita a colaboração entre os gestores de risco, os diretores de compliance, auditores e utilizadores de negócio. A solução também permite a implementação das melhores práticas definidas em frameworks tais como AS / NZS ISO 31000, etc.

• Permite tomar melhores decisões. A visão de 360 graus relaciona o potencial de compliance, com a exposição ao risco e as obrigações. Fácil visualização e exploração das ligações entre os elementos do GRC. Integra KPIs (Key Performance Indicator) e Kris (Key Risk Indicator) para monitorização da execução da estratégia e objetivos de negócio de forma proactiva.

• Evita surpresas desagradáveis. Combina a framework de GRC com a definição da estratégia e o processo de execução, emite alertas precoces relativos aos riscos emergentes, associando problemas e planos de ação para lidar com eles, através de um motor de alertas completo.

• Melhora a eficiência e a eficácia dos processos de GRC. Processos de GRC automatizados permitem monitorização contínua dos controlos, Kris e exposições ao risco. Reduz a possibilidade de processos em duplicado (por exemplo, avaliações de risco), ao permitir a colaboração entre os gestores de risco, os responsáveis pela compliance e os auditores.

• Reduz as perdas relacionadas com o risco. Captura e monitoriza todas as perdas relacionadas com o risco num repositório único com workflows personalizados que permite aprender com as perdas do passado, ligando-as com os controlos que falharam, as causas, as avaliações e os Kris.

Visão Geral da Solução

O SAS® Enterprise GRC permite a integração efetiva da execução da estratégia de negócios com a compliance e as práticas de gestão de risco. Como resultado, podem-se atingir as metas organizacionais, gerindo o risco e garantindo que as operações permanecem dentro dos limites impostos pelas políticas corporativas, pelas leis e pelos regulamentos. O Workflow permite que alertas com base nos scores de risco e Kris indiquem a direção da tendência ou o afastamento de uma determinada meta.

A solução interliga todos os elementos críticos do GRC - riscos, controlos, políticas, leis e regulamentos, Kris, eventos de perda, não conformidades (issues), planos de ação, avaliação, cenários e missões de auditoria - o que permite visualizar facilmente como é que um qualquer elemento do GRC afeta os outros. Por proporcionar uma visão de 360 graus o SAS Enterprise GRC ajuda a acabar com os silos e a promover a colaboração entre as várias equipas de GRC.

Gestão de Risco

SAS® Enterprise GRC fornece uma plataforma integrada para padronizar e gerir risco estratégico e operacional, bem como consolidar toda a informação vinda dos sistemas de gestão de risco financeiro (por exemplo, risco de crédito, risco de mercado, etc) para desenvolver uma visão empresarial da sua exposição ao risco ao longo de todas as etapas – incluindo identificação, avaliação, resposta e monitorização.

Uma vasta biblioteca de recursos de visualização (por exemplo, heat maps, dashboards gráficos interativos) permite a fácil identificação e monitorização dos riscos críticos. Um motor de alertas personalizado automatiza o acompanhamento das tendências da exposição ao risco e fornece alertas precoces que permitem a seleção atempada da resposta adequada ao risco.

Gestão de desempenho corporativo

SAS® Enterprise GRC permite definir estratégias empresariais otimizadas combinando os processos de GRC com a definição e execução da estratégia utilizando as funcionalidades de integração fornecidas pelo SAS® Enterprise GRC e o SAS® Strategy Management. O SAS® Enterprise GRC também integra com outras soluções para gestão de desempenho corporativo, aumentando assim a flexibilidade e protegendo o investimento.

Gestão de políticas

O SAS® Enterprise GRC une múltiplos processos e sistemas dentro de uma única plataforma, o que ajuda a gerir custos de compliance e a estar preparado para novas regulamentações. Um worflow end to end configurável permite aos responsáveis do compliance criar políticas padronizadas que documentam os detalhes, os recursos, os entrevistados e os conteúdos para cada política. O workflow suporta o ciclo de vida inteiro de uma política - desde a avaliação da necessidade de criação de uma nova política, comunicação, implementação, monitorização, atualização até à

SAS Enterprise GRC home page with integrated dashboard.

eliminação da política.Os responsáveis pela compliance podem também associar políticas com objetos do GRC, como processos, obrigações e objetivos.

Gestão de incidentes

SAS® Enterprise GRC captura e monitoriza continuamente informações específica do GRC - Por exemplo, o desempenho dos controlos, os Kris, os KPIs, etc - em sistemas operacionais de toda a organização. Com a solução, pode:

• Capturar e monitorizar todos os incidentes relacionadas com o GRC, incluindo detalhes como eventos e as suas causas, controlos que falharam, consequências, seguros e recuperações dos não seguros, ações de correção, etc.

• Monitorizar as issues e impactos, afere a severidade e associa-a aos riscos.

• Resolve as causas – incluindo efeitos múltiplos combinadas – e distingue entre erros, falhas dos controlos e não cumprimento intencional. Além disso, a solução permite que se defina e monitorize um ou mais planos de ação para cada issue identificada, o que garante que as issues são resolvidas.

Continua na página seguinte.

Funcionalidades mais relevantes

Visão 360 graus do ambiente de GRC • Um repositório comum interliga todos os elementos críticos do GRC – riscos, controlos, politicas, leis,

regulamentações, KRIs, eventos de perda, não conformidades, planos de ações, assessments, cenários e missões de auditoria

Interface personalizávelHome page da solução personalizável, incluindo a capacidade de adicionar listas de tarefas especificadas pelos utilizadores, atalhos, dashboards, URLs e conteúdos orientados a processos armazenados.• Menus, drop-down, personalizáveis• Capacidade de gravar views, incluindo as ações a efetuar sobre tabelas• Filtros, para campos das tabelas, com valores enumerados

Gestão de riscoSuporta estágios comuns de gestão de risco: identificação, avaliação, resposta, monitorização.• Suporta melhores práticas adotadas a partir de frameworks (por exemplo, ISO 31000, AS / NZS ISO

31000, COSO ERM e ISO 27001)• Motor de alertas, automático, personalizável para monitorizar tendências relativas à exposição ao risco• Capacidades de visualização (por exemplo, heat maps de risco, dashboards, gráficos interativos) que

permitem a fácil identificação e monitorização de riscos críticos• Capacidade de criar objetos relativos aos impactos dos riscos e ligar os impactos com os riscos• Workflow de aprovação para riscos, controlos e impactos

Gestão de desempenho corporativo• Integra processos de GRC com a definição da estratégia e os processos de execução usando

funcionalidades de integração do SAS® Enterprise GRC e SAS® Strategy Management• Suporta integração com outras soluções de gestão de desempenho corporativo

Gestão de políticasSuporta todas as fases do ciclo de vida das políticas, incluindo:• Avaliação da necessidade de uma nova política• Criação de uma nova política• Mapeamento das políticas com as leis e os regulamentos, os riscos e objetivos da governação• Aprovação de novas políticas e atualizações de políticas existentes• Certificação de novas políticas e das atualizações de políticas existentes• Gestão do processo de comunicação para cada política• Documentação, gestão e monitorização de implementação de políticas através de processos e controlos• Avaliação regular das políticas• Captura e monitoriza das violações às políticas• Atualizações para políticas existentes• Substituição das políticas existentes

Gestão de incidentes• Captura risco e compliance relacionados com os incidentes (por exemplo, eventos; causas do evento,

controlos que falharam; efeitos do evento ou consequências; seguros e recuperações dos não seguros; ações de correção)

• Inclui workflows personalizáveis para gestão dos incidentes• Capacidade de gravar os incidentes durante a criação

Gestão de auditoriaSuporta todas as fases essenciais exigidos pelos auditores para fornecer uma garantia fiável para as partes interessadas:• Definição das prioridades dos recursos da auditoria• Definição e gestão de planos de auditoria e missões• Realização de testes manuais aos controlos como parte da missão de auditoria• Utilização de CAATs para automatizar testes aos controlos• Definição de pontos de auditoria e questões como resultado da missão de auditoria• Aprovação e acompanhamento de ações de remediação realizadas pelas unidades de negócios• Definição e monitorização de alertas para identificar proactivamente os riscos emergentes e

mudanças de exposições ao risco nas unidades de negócios

Gestão de auditoria

Os auditores internos podem usar um workflow end to end configurável, para criar missões de auditoria que documentam os detalhes, o âmbito, os recursos e o cronograma necessários para cada auditoria. Os auditores podem documentar os resultados dos testes aos controlos e enviar os resultados por meio de um workflow de aprovação, configurável.

Adicionalmente, os auditores podem visualizar o planeamento das auditorias ao longo de um ciclo de 12 meses e criar planos de ação com base nos resultados. A solução suporta todas as fases exigidas pelos auditores, que garantam aos stakeholders transparência nos processos de auditoria, incluindo:

• Definição das prioridades dos recursos da auditoria, pela identificação das unidades de negócios com exposições a riscos críticos ou com pontos fracos de controlo.

• Definição e gestão dos planos e missões de auditoria.

• Testes aos controlos manuais.

• Testes aos controlos automatizado usando ferramentas de auditoria assistidas por computador (CAATs).

• Definição, de pontos de Auditoria e não conformidades (issues).

• Aprovação e monitorização dos planos de ações corretivas.

• Identificação proactiva de processos deficientes, de riscos emergentes e alterações à exposição ao risco, através da definição e monitorização de alertas.

Benchmarking

SAS® Enterprise GRC permite fazer o benchmark dos processos estratégicos com uma base de dados de risco, melhorando assim a visão da organização relativamente aos riscos que incorre. A extensa base de dados contem dados sobre eventos de perda de risco operacional, obtidos a partir de várias fontes públicas, tanto financeiros como não financeiros, atualizados mensalmente. Esta base de dados pode ser usada para identificar novos riscos, comparar as perdas da organização com as dos seus pares, desenvolver cenários e modelos de capital.

SAS Enterprise GRC 360-degree interactive graph.®

TECHNOLOGY COUNCIL

O SAS Institute Software Lda é uma subsidiária do SAS Institute Inc., SAS Circle, Box 8000, Cary, NC27512-8000, USA. O SAS e todos os outros produtos e serviços do SAS Institute Inc. são marcas comerciais registadas do SAS Institute Inc. nos E.U.A. e noutros países. ® indica o registo nos E.U.A. Copyright © 2013, SAS Institute Inc. All rights reserved.

SAS Portugal – SAS Institute Software, Lda.Campo Grande, 378 – 1º Andar – 1700-097 Lisboa, Portugal Tel: + 351 210 316 000  Fax: + 351 210 316 099 www.sas.com/portugal

Funcionalidades mais relevantes (continuação)

Produção de relatórios • A solução GRC permite, duma forma fácil, a criação de vários tipos de relatórios e dashboards• Para além da componente web, o utilizador da solução pode num ambiente amigável

explorar a informação do GRC através da criação de projetos que incluem análises, relatórios e gráficos. Estes projetos ao serem automatizados e calendarizadas permitem aos utilizadores finais otimizarem o seu trabalho diário

Não conformidades e Planos de ação • Captação e acompanhamento das não conformidades relacionadas com os processos de GRC• Definição e acompanhamento de um ou mais planos de ação para resolver as não

conformidades identificadas• Capacidade para criar planos de ação, sem a existência prévia de uma não conformidade

GRC Assurance • Monitorização contínua da informação do GRC• A monitorização contínua do desempenho dos controlos, Kris, KPIs e informações GRC

noutras aplicações especializadas• Definição de alertas para a identificação pró-ativa de riscos emergentes e processos de

GRC deficientes

Dados externos de perda• Biblioteca extensiva de dados operacionais sobre eventos de perda consolidadas a partir de

várias fontes públicas - Contém dados para ambos os setores, financeiros e não financeiros - É atualizada mensalmente

SAS é líder em software e serviços para business analytics, e é o maior fornecedor independente do mercado de business intelligence. Através de soluções inovadoras, o SAS ajuda clientes em mais de 55.000 sites melhorando o desempenho e acrescentando valor, ao melhorar as decisões e torná-las mais rápidas. Desde 1976, o SAS tem dado aos seus clientes em todo o mundo THE POWER TO KNOW®.sas.com

SAS® Enterprise GRC Requisitos de Sistema

Para saber mais sobre o SAS® Enterprise GRC, faça o download de white papers, screenshots e veja outros materiais relacionados, visite:

sas.com/enterprisegrc

Sobre o SAS