Comitê de Gerenciamento de Riscos e Complicação

1) Nomeação e mandato

• forma e suporta o Risk Appetite e os princípios de conformidade;
• aprova políticas/padrões essenciais e suas mudanças;
• controla riscos essenciais (operacionais, regulatórios, IB/privacidade, financeiros, terceiros);
• instala as métricas e SLO/SLA da complacência e controla sua realização;
• trata da escalada e do conflito de prioridades;
• fornece um estado «audit-ready» (base de provas, protocolos de decisão).

2) Composição e independência

• Líder de Complacência/DPO (co-chair)
• CISO/Head of Security (co-chair)
• Head of Legal
• Head of Risk/Enterprise Risk
• CFO/Finance (para avaliação de impacto)
• Representante do negócio/produto (VP/Diretor)
• Gerente de plataforma/infraestrutura ou CTO-delegate

• Auditoria interna (observador)
• HR/L & D (formação/avaliação)
• Procurement/Vendor Mgmt (terceiros)
• Data/Platform (DWH/Lineage/CCM)

Os princípios da independência: não haver conflito de interesses, documentação de recusals, fixação do papel dos observadores.

3) RACI do Comitê

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Regulamento e periodicidade

Modo normal: uma vez por mês (90 minutos) + monitoramento expresso semanal KPI/KRI (15 min).
Regime de crise (incidente/regulador): Reuniões de 24 a 48 horas antes da estabilização.
Quórum: ≥ 2/3 dos votos, incluindo um co-chair.
Soluções: maioria simples; por high-risk - 2/3 e direito de veto para co-chairs (fixar no estatuto).

5) Artefatos de entrada (inputs)

Risk Register e Heatmap (KRI atualizado).
Compliance KPI/SLO: DSAR/SLA, Access Hygiene, Drift, Evidence Coverage и др.
Mudança de Políticas (Major/Menor/Emergency).
Registro Waivers com datas de vencimento e controladores compensatórios.
Invidents & Findings: Sev1/Sev2, Repetibilidade, Status de Remunção.
Vendor Risk: provedores críticos, violações de SLA/certificados.
Auditoria/assessoria: estatais, observações abertas, prontidão por botão.

6) Saídas e artefatos (outputs)

Protocolo de soluções com owner, data, severity e efeito de risco previsto.
O Risk Appetite Statement atualizado e as prioridades.
Aprove/rejeita políticas e exceções (waivers) com condições.
Cartas escaladas/soluções para Board/CEO em high-risk.
One-pagers de comunicação e tarefas para comandos (tickets em ITSM/GRC).

7) Convocação típica (60-90 minutos)

1. Resumo do KPI/KRI e desvios (10").
2. Incidentes/Sev1-atualizações e lições (15").
3. Políticas: Alterações maiores, interpretações conflitantes, localizações (15").
4. Terceiros: violações de SLA/certificados, subprocessadores (10").
5. Waivers: extensão/encerramento, zonas vermelhas (10").
6. Auditoria/assessoria: estado de prontidão e "auditoria pack" (10").
7. Soluções e distribuição de tarefas (10").

8) Procedimentos de tomada de decisões e escalação

Decision card (modelo): contexto → opções → impacto sobre o risco/custo → recomendação → votação.
Escalação: se o risco> Appetite ou atraso> SLA - Remover para Executive/Board.
Review: avaliação pós-faturamento dos efeitos da decisão em 30 a 60 dias (impact review).

9) Integração e fluxos de passagem

RBA (auditoria de risco): findings → agenda do Comitê → owner/due → controle de encerramento.
CCM (monitoramento contínuo): alertas/métricas → priorização de regras/liminares.
Policy Lifecyple/Mudança Mgmt: Edição maior → aprove, comunicação, treinamento.
Vendor DD/Outsourcing: modelo de mapeamento e folhas de gap → termos do contrato/SLA.
Invident Mgmt: playbooks SOAR/PR/Legal → relatórios e lições.

10) Métricas de eficiência do Comitê

On-time Remediation:% das tarefas do Comitê encerradas dentro do prazo (severity).
Decision Lead Time: Mediana do tempo desde a questão até a solução.
Waiver Hygiene:% de exceções com data de vencimento relevante (objetivo: 100%).
Repeat Findings: proporção de repetições em 12 m (objetivo: ↓).
Check Readiness Time: O relógio até o «check pack» completo.
Risk Reducção Index: ∆ de risco total de screen QoQ.
Comunicação SLA:% dos papéis notificados a tempo das soluções Major.

11) Estatutos do Comitê (modelo)

Objetivo: supervisão de riscos e conformidade; proteger os interesses da empresa e dos clientes.
Esfera: Todas as jurisdições/linhas de negócios/sistemas de TI/terceirização.
Atribuições: aprovação de políticas/exceções; solicitação de dados/auditorias; Escalação no Board.
Composição e quórum: (Consulte nos parágrafos 2 e 4).
Conflitos de interesse: declarações, recusals, revista.
Protocolos: padrão de minstratos completos (agenda, soluções, vozes, owner, due, links de evidence).
Revisão do estatuto, anual ou a pedido do Board.

12) Modelos de documento

12. 1 Decision Card

Tema/Contexto/Regulação/Riscos

Opções e estimativas (custo, prazo, impacto na SLA/KRI)

Recomendação e nível de risco após a decisão

Proprietário e prazo

Resultado da votação (a favor/contra/abstenção)

12. 2 Protocolo de reunião

Data/quórum/participantes

Agenda

Discussão (resumida por pontos)

Soluções (owner, due, métrica de sucesso)

Perguntas públicas/escalações

Aplicativos (dashboards, relatórios, links para arquivo WORM)

12. 3 Matriz do Risk Appetite (exemplo)

13) Dashboards do Comitê (mínimo)

Risk Heatmap: probabilidade x impacto x risco residual.
Compliance KPI Center: DSAR, Access Hygiene, Drift, Evidence Coverage.
Invidents & Findings: Sev1/Sev2, MTTR, repetível.
Policy Changes: Linha de montagem Major/Menor/Emergency e Status de Treinamento.
Vendor Risks: certificados, SLA, subprocessadores, incidentes.
Waivers & Deadlines: escalações ativas/vencidas.
Check Readiness: porcentagem de «auditoria pack» por auditorias/certificações.

14) Calendário do ano do Comitê

Mensalmente: agenda regular (parágrafo 7).
Trimestralmente: revisão da Risk Appetite, tendências KPI/KRI, resultado de findings.
Semestralidade: revisão de políticas chave e portfólio waivers.
Todos os anos: estatutos do Comitê, plano de auditorias/certificações, contabilidade de lições.

15) Modo de crise (Sev1/Regulatory)

Convocação imediata; botle-rhythm atualizações (por exemplo, a cada 4 h).
Comunicação Unificada (Legal/PR), controle Legal Hold.
Soluções de contorno de acesso/desativação de integração/isolamento de dados.
Um protocolo de incidente separado e um pós-mortem com acções.

16) Antipattern

O Comité é como uma caixa de correio sem autoridade ou deadline.
Falta de protocolos e provas - controvérsia na auditoria.
Waivers eternos sem data de vencimento e controladores compensatórios.
Agendas pendentes: Nenhuma definição cards, nenhuma opção ou avaliação de efeito.
KPI sem proprietários e ligação com Risk Appetite.
Conflitos de interesse sem recusals administrados.

17) Modelo de Maturidade do Comitê (M0-M4)

M0 Ad-House, reuniões raras, sem métricas ou protocolos.
M1 Formalizado: estatutos, quórum, protocolos básicos, reuniões mensais.
M2 Controlado: dashboards KPI/KRI, decisão cards, controle waivers.
M3 Integrado: Comunicação com CCM/RBA/Policy-as-Code, «audit-ready por botão».
M4 Assured: KRI de previsão, escalação automática, impact-review regulares.

18) Artigos wiki relacionados

Auditoria orientada por risco (RBA)

Monitoramento Contínuo de Conformidade (CCM)

KPI e métricas de complaens

Gerenciamento de alterações na política de complacência

Ciclo de vida de políticas e procedimentos

Dê Diligence e riscos de outorga

Legal Hold e congelamento de dados

Resultado

Um Comitê forte não é uma «reunião», mas um mecanismo de gerenciamento de risco: um mandato claro, independência e quórum, dados em dashboards, decisões com proprietários e prazos, controle de execução e base de provas. Então a complacência torna-se um pilar previsível da estratégia, não um travão do negócio.