Campo

Instruções

*Nome resumido

Nome pelo qual o documento é geralmente conhecido ou referenciado em publicações extraoficiais. É recomendado adotar a seguinte sintaxe:

<sigla da entidade de autoria> - <nome resumido do documento de referência> - <versão, quando disponível>

Exemplo: IBCG – Guia de Orientação para Gerenciamento de Riscos Corporativos 2007

O ano de publicação e o idioma não fazem parte do nome resumido, uma vez que esses campos estão disponíveis para visualização no sistema separadamente. O nome resumido, juntamente com outros campos associados (autor, abrangência, idioma, etc.), devem identificar plenamente o documento de referência.

*Nome do Documento de Referência

Nome oficial publicado do documento.

Exemplo: Instituto Brasileiro de Governança Corporativa – Guia de Orientação para Gerenciamento de Riscos Corporativos 2007

*Descrição

Breve descrição, geralmente encontrada na seção de apresentação, introdução ou no preâmbulo do documento original. Se o documento de referência não estiver baseado em nenhum documento publicado, escreva uma breve descrição que mencione os objetivos e as características do documento de referência.

Entidade responsável

Instituição, órgão, departamento ou pessoa que detém a autoria do documento e que geralmente define os critérios de verificação dos requisitos, quando se trata de um documento externo.

Ano de publicação

Ano no qual o documento de referência foi oficialmente publicado. Utilize o formato <AAAA>. O ano de publicação deve ser incluído no nome do documento de referência quando não existir versão que o identifique.

Exemplo: Instituto Brasileiro de Governança Corporativa – Guia de Orientação para Gerenciamento de Riscos Corporativos 2007.

*Idioma

As opções de idioma são português e inglês.

Se desejar criar um documento de referência em mais de um idioma, devem ser criados documentos separados (um por idioma) e os requisitos devem ser registrados nos idiomas respectivos.

*Responsável

Insira o login da pessoa ou o nome do grupo de pessoas responsável pelo documento de referência. Os nomes dos grupos devem ser precedidos de um asterisco.

Por exemplo: jsilva ou *Finanças

Esse papel é responsável por manter atualizadas as informações sobre o documento de referência e seus requisitos e, por padrão, recebe permissão para visualizar e editar documentos de referência para os quais foi alocado. Tenha em mente ainda que a pessoa ou grupo deve estar incluído na lista de restrição para este papel na seção Restrições por Papel do módulo Administração, e também deve estar incluído no perfil Usuários do módulo de Conhecimento para obter acesso ao módulo.

*Tipo

Indica o tipo do documento de referência de acordo com sua abrangência, estrutura e aplicabilidade.

Legislação: documentos que geralmente são de responsabilidade do poder legislativo (Congresso Nacional, Câmara Legislativa, Câmara Municipal).

Origem: Poder Legislativo.

Exemplos: Constituição, decretos-lei, leis, medidas provisórias.

Regulamentação: documentos de responsabilidade de ministérios, agências reguladoras, autarquias e órgãos de classe.

Origem: Poder Executivo, em sua maior parte.

Exemplos: PCI 1.2, CONAMA Resolução 273/01.

Código de prática: documentos criados e gerenciados por indivíduos ou empresas que não fazem parte da governança. O código de prática descreve as melhores práticas recomendadas.

Origem: qualquer empresa que não seja do Estado (Governo) ou entidades internacionais, como ISO, etc.

Exemplos: ISO 27002, COBIT 4.1, etc.

Política: conjunto de princípios básicos e guias de conduta, formulados por uma autoridade interna e impostos pelos administradores de uma organização, para direcionar e limitar suas ações na busca dos objetivos de longo prazo.

Norma: conjunto de regras que devem ser respeitadas e que são organizadas em um modelo que determina um comportamento, conduta e ação a serem seguidos. Documentos abrangentes, podendo incluir códigos de prática ou especificações de uma organização e elaborados por entidades governamentais ou organizações de normatização.

Manual: documentos que contêm conhecimentos referentes à um assunto, explicando o seu funcionamento ou execução através de instruções. Inclui definições e princípios básicos sobre o objeto do qual trata.

Procedimento: conjunto sequencial de ações que permitem atingir um objetivo, podendo ser aplicado em diferentes áreas que necessitam o cumprimento de uma ordem para a correta execução de um processo. O procedimento define em que momento cada ação deve ser executada e contém uma descrição detalhada de todas as operações necessárias para a realização de uma tarefa.

Guia: documentos que contêm informações, instruções e conselhos de diversas naturezas sobre um determinado assunto, fornecendo indicações práticas. Um guia é menos abrangente que um manual, focando mais nos aspectos práticos.

Instrução de Trabalho: documentos que contêm instruções detalhadas que especificam exatamente quais passos devem ser seguidos para executar uma atividade. Uma instrução de trabalho contém mais detalhes do que um procedimento e é criada apenas se instruções muito detalhadas são necessárias.

Formulário: modelo padronizado com campos especificos nos quais são inseridos informações. Um formulário é preenchido com dados e informações que permite o registro e o controle das atividades das organizações, como empresas ou instituições estatais.

*Abrangência

De acordo com o âmbito de atuação da entidade autora do documento, você deve escolher uma opção entre:

Internacional: quando abranger mais de um país.

Nacional: quando abranger todo o país, incluindo todos os estados e municípios, sem exceção. Informe o nome do país.

Estadual: quando abranger todos os municípios/cidades daquele estado.

Municipal: quando abranger um ou mais municípios/cidades/distritos, mas não se caracterizar como "Estadual".

*Obrigatoriedade

Nesse campo, o gestor de compliance deve escolher se o documento lista requisitos obrigatórios ou opcionais.

Obrigatório: quando for uma legislação ou se o cumprimento do documento for determinado pelo gestor de compliance ou pelo responsável da organização/órgão em questão. Geralmente, seu não cumprimento acarreta prejuízos à instituição, tais como perdas financeiras, perdas por ação judicial, perda de selo de qualidade.

Opcional: quando for um código de prática de caráter eletivo, geralmente publicado por uma entidade independente (ISO, ISACA, etc.) ou por um departamento interno. Geralmente, o descumprimento do documento não acarreta em prejuízos diretamente associados à instituição.

Nota: a opção "Condicional" atualmente não está sendo utilizada.

*Especificação

Esse campo identifica o segmento de mercado (para as regulamentações setoriais) ou as atividades econômicas às quais se aplica o documento, utilizando preferencialmente classificações especificadas pelo órgão responsável do local de aplicabilidade do documento. Quando este não for restrito a um segmento ou atividade, o termo "Geral" deve ser utilizado.

ID do Documento de Referência

Esse campo é utilizado para identificar os documentos de referência no sistema. Ele não deve ser preenchido.

Versão do Modelo

Indica a versão da planilha modelo sendo utilizada.

Campo

Instruções

*Código

Esse campo é utilizado para que os itens de um documento de referência sejam exibidos ordenadamente. Deve ser preenchido apenas com números, formando uma sequência numérica, utilizando um "." (ponto) para separar os níveis.

Dois zeros ("00") devem ser inseridos antes de cada número entre 1 e 9 (em cada nível do código) para a ordenação ser feita corretamente no sistema. Insira um zero ("0") para números entre 10 e 99.

Exemplos:

Para itens de primeiro nível: 001, 008, 010, etc.

Para itens de segundo nível: 002.003, 005.010, 012.002, etc.

Para itens de terceiro nível: 001.005.003, 010.002.011, 005.012.006, etc.

Para itens de quarto nível: 006.004.010.003, 010.012.006.008, etc.

*Título

Esse campo deve ser preenchido com o código do item e o título, separados conforme o padrão utilizado no documento original.

O formato do título deve ser o seguinte:

<código do item no documento><descrição do título>

Existem alguns padrões para o preenchimento desse campo:

•    Quando existe a descrição de um item: situação geralmente encontrada em códigos de prática nacionais e internacionais e nas leis e regulamentações norte-americanas. Nesse caso, cadastre o código do item, seguido do título, conforme o documento.

A sintaxe de separação entre o código e o título é a mesma encontrada na documentação original, podendo ser espaço, ponto, hífen ou outro modelo.

Exemplos:

001 Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão

003.003. Competência, conscientização e treinamento

002 - Governança democrática e colaborativa

Quando não existe a descrição de um item: situação geralmente encontrado nas legislações e regulamentações brasileiras. Nesse caso, cadastre o código do item seguido do texto correspondente, ambos separados conforme o padrão usado no próprio documento de origem.

Quando há dúvida se um item contém ou não uma descrição: situação geralmente encontrada nas legislações norte-americanas e em alguns códigos de prática.

•    Regulamentações norte-americanas não necessariamente adotam uma sistemática única como a legislação brasileira. Alguns itens podem não ser numerados, iniciando pelo texto propriamente dito ou por meio de marcadores. Nesses casos (que também podem ocorrer em alguns códigos de práticas), deve-se digitar todo o conteúdo não numerado no título de um único item (uma linha da planilha).

Descrição

Detalhamento ou esclarecimento do item encontrado no documento original. Geralmente não é encontrado nas legislações e na maioria das regulamentações, devendo, nesses casos, ser deixado em branco.

Código Pai

Esse campo deve conter uma cópia exata do código referente ao item que está no nível imediatamente acima. Caso o requisito seja de 1º nível, o campo deve ser deixado em branco.

Exemplos:

Código do item: 005

Código pai: Deixar o campo vazio

Código do item: 006.002

Código pai: 006

Código do item: 004.002.001

Código pai: 004.001

Código do item: 008.010.006.0002

Código pai: 008.010.006.001

*Nível

Esse campo indica o nível hierárquico do item no documento de referência cadastrado. Para os campos de primeiro nível (001, 008, 010, etc.) deve ser preenchido com o algarismo "1", os itens de segundo nível (002.006, 010.003, 009.012, etc.) devem ser preenchidos com o algarismo "2", e assim sucessivamente. Esse campo sempre será preenchido com um número maior que zero.

*Tipo

Uma das seguintes opções deve ser selecionada: Mandatório ou Opcional. Abaixo, algumas explicações sobre qual critério utilizar ao escolher uma das opções:

Mandatório:

•    Quando o item contiver o verbo "dever" ou variantes;

•    Quando o bom senso na interpretação do item assim determinar, mesmo que não seja utilizado o verbo "dever" e suas variantes;

•    Quando o item estiver determinando a ação utilizando futuro simples, como "o relatório será publicado em forma impressa com papel de tamanho A4", "o relatório terá identificação das assinaturas". Nesses exemplos, o papel tem de ser A4 e o relatório deverá conter a identificação das assinaturas obrigatoriamente.

Opcional:

•    Quando o item contiver o verbo "poder", "recomendar" ou variantes como "convir";

•    Quando a interpretação do item assim determinar, mesmo que não seja utilizado o verbo "poder" e suas variantes;

•    Quando o item estiver sugerindo uma determinada ação, como "o relatório poderá ser publicado em forma impressa em papel A4", "convém que o relatório tenha identificação das assinaturas". Nesses casos, tanto a questão do tamanho do papel quanto à identificação das assinaturas são recomendações e, portanto, opcionais.

ID do Requisito

Esse campo é utilizado para identificar os requisitos no sistema. Ele não deve ser preenchido.

Excluir?

Esse campo só deve ser preenchido em caso de edição do documento de referência. Requisitos existentes podem ser marcados para exclusão e excluídos do sistema quando a planilha for importada.