Um mapa completo dos principais frameworks, normas e regulamentos que sustentam a gestão integrada de GRC nas organizações modernas.
Estruturas de tomada de decisão, papéis, responsabilidades e mecanismos de prestação de contas que direcionam a organização.
Identificação, avaliação, tratamento e monitoramento de incertezas que podem impactar os objetivos organizacionais.
Conformidade com leis, regulamentos, normas internas e externas, e padrões éticos que a organização deve observar.
Os três pilares se interconectam: governança direciona, risco informa e compliance assegura a conformidade.
Estruturas para direção, controle e prestação de contas nas organizações.
ISACA
Framework de governança e gestão de TI empresarial. Organiza 40 processos em 5 domínios (EDM, APO, BAI, DSS, MEA) com 6 princípios: prover valor aos stakeholders, abordagem holística, sistema de governança dinâmico, separação entre governança e gestão, adequação às necessidades empresariais, e sistema end-to-end.
ISO/IEC
Norma internacional para governança de TI. Define 6 princípios: responsabilidade, estratégia, aquisição, desempenho, conformidade e comportamento humano. Modelo de governança: Avaliar → Dirigir → Monitorar (EDM).
Axelos / PeopleCert
Framework de gestão de serviços de TI. Organizado em Service Value System (SVS) com 4 dimensões, 7 princípios-guia, cadeia de valor do serviço (6 atividades) e 34 práticas de gestão categorizadas em gerais, de serviço e técnicas.
Instituto Brasileiro de Governança Corporativa
Referência brasileira em governança corporativa. 5ª edição baseada em 4 princípios: transparência, equidade, prestação de contas e responsabilidade corporativa. Cobre conselho de administração, diretoria, auditoria, conduta e conflito de interesses.
Metodologias para identificar, avaliar, tratar e monitorar riscos organizacionais.
ISO
Norma internacional de gestão de riscos. Define 8 princípios, framework (liderança, integração, design, implementação, avaliação, melhoria) e processo (escopo/contexto → avaliação de riscos → tratamento → monitoramento → comunicação). Aplicável a qualquer organização.
Committee of Sponsoring Organizations
Enterprise Risk Management integrado com estratégia e performance. 5 componentes: Governança e Cultura, Estratégia e Definição de Objetivos, Performance, Revisão, e Informação/Comunicação/Reporte. 20 princípios que conectam risco à criação de valor.
National Institute of Standards and Technology (EUA)
Risk Management Framework (RMF) com 7 etapas para sistemas federais. Cybersecurity Framework (CSF) 2.0 com 6 funções: Govern, Identify, Protect, Detect, Respond, Recover. Referência mundial em segurança cibernética com 106 subcategorias.
FAIR Institute / Open Group
Factor Analysis of Information Risk — único modelo quantitativo de risco padrão da indústria. Decompõe risco em Frequência de Eventos de Perda (LEF) × Magnitude de Perda (LM). Permite expressar risco cibernético em termos financeiros ($).
ISO
Sistema de Gestão de Continuidade de Negócios (SGCN). Abrange: análise de impacto nos negócios (BIA), avaliação de riscos, estratégias de continuidade, planos de resposta a incidentes, exercícios e testes. Certificável.
Normas e regulamentos para assegurar conformidade legal, regulatória e ética.
ISO
Sistema de Gestão de Compliance. Substitui a ISO 19600. Requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de compliance. Baseada no ciclo PDCA e integrada ao contexto organizacional. Certificável.
ISO/IEC
Sistema de Gestão de Segurança da Informação (SGSI). Define requisitos para estabelecer, implementar, manter e melhorar um SGSI. Anexo A com 93 controles em 4 temas: organizacionais, pessoais, físicos e tecnológicos. A norma mais certificada do mundo em segurança.
COSO / Treadway Commission
Framework de Controles Internos com 5 componentes: Ambiente de Controle, Avaliação de Riscos, Atividades de Controle, Informação e Comunicação, e Monitoramento. 17 princípios. Base para conformidade Sarbanes-Oxley (SOX 302/404).
ISO
Sistema de Gestão Antissuborno. Requisitos para prevenir, detectar e enfrentar o suborno. Inclui due diligence, controles financeiros e não financeiros, treinamento, e canal de denúncias. Alinha-se com FCPA (EUA) e UK Bribery Act.
PCI Security Standards Council
Payment Card Industry Data Security Standard. 12 requisitos em 6 categorias para proteção de dados de cartão. Obrigatório para qualquer organização que processa, armazena ou transmite dados de cartão de crédito.
Regulamentos e frameworks para proteção de dados pessoais e governança de inteligência artificial.
Brasil
Lei Geral de Proteção de Dados Pessoais. Define 10 bases legais, direitos dos titulares (acesso, correção, eliminação, portabilidade), obrigações dos controladores e operadores, e a ANPD como autoridade reguladora. Multas de até 2% do faturamento (limitado a R$ 50M por infração).
União Europeia
General Data Protection Regulation. Referência mundial em proteção de dados. 7 princípios, 8 direitos do titular, privacy by design, DPIAs obrigatórios, notificação de breach em 72h. Multas de até 4% do faturamento global ou €20M.
ISO/IEC
Primeira norma certificável de sistema de gestão de IA. Requisitos para estabelecer, implementar, manter e melhorar um AIMS (AI Management System). Cobre ciclo de vida da IA, gestão de riscos de IA, transparência, explicabilidade e vieses.
União Europeia
Primeira legislação abrangente do mundo sobre IA. Classifica sistemas de IA em 4 níveis de risco: inaceitável (proibido), alto, limitado e mínimo. Obrigações proporcionais ao risco. Multas de até 7% do faturamento global.
NIST (EUA)
AI Risk Management Framework. 4 funções: Govern (governar), Map (mapear), Measure (medir), Manage (gerenciar). Foco em IA confiável: válida, confiável, segura, resiliente, responsável, transparente, explicável, justa e com privacidade.
Senado Federal — Brasil
Marco Legal da Inteligência Artificial no Brasil (em tramitação). Inspirado no EU AI Act, classifica sistemas de IA por risco, exige avaliação de impacto algorítmico, direito à explicação (Art. 20 LGPD ampliado), e cria a ANIA como reguladora.
Visão consolidada dos principais frameworks por domínio, certificabilidade e escopo.
| Framework | Domínio | Emissor | Certificável | Escopo | Foco Principal |
|---|---|---|---|---|---|
| COBIT 2019 | Governança | ISACA | Não * | TI / Digital | Processos e maturidade |
| ISO 38500 | Governança | ISO | Não | TI | Princípios para alta direção |
| ITIL 4 | Governança | Axelos | Pessoas | Serviços TI | Valor do serviço |
| ISO 31000 | Risco | ISO | Não | Universal | Processo de gestão de riscos |
| COSO ERM | Risco | COSO | Não | Empresarial | Risco × estratégia × valor |
| NIST CSF 2.0 | Risco Cyber | NIST | Não | Cibersegurança | 6 funções + profiles |
| FAIR | Risco | Open Group | Pessoas | Risco de TI | Quantificação financeira |
| ISO 22301 | Risco | ISO | Sim | Continuidade | BIA e planos de recuperação |
| ISO 37301 | Compliance | ISO | Sim | Universal | Sistema de compliance |
| ISO 27001 | Compliance | ISO | Sim | Seg. Informação | SGSI + 93 controles |
| COSO IC | Compliance | COSO | Não | Controles Internos | 5 componentes + SOX |
| ISO 37001 | Compliance | ISO | Sim | Antissuborno | Due diligence + controles |
| PCI DSS 4.0 | Compliance | PCI SSC | Sim | Pagamentos | Dados de cartão |
| LGPD | Dados | Brasil | Não ** | Dados pessoais | Direitos do titular |
| GDPR | Dados | UE | Não ** | Dados pessoais | Privacy by design |
| ISO 42001 | IA | ISO | Sim | Sistemas de IA | AIMS + ciclo de vida IA |
| EU AI Act | IA | UE | N/A (Lei) | Sistemas de IA | Classificação por risco |
| NIST AI RMF | IA | NIST | Não | Risco de IA | IA confiável |
* COBIT tem certificação individual (COBIT Foundation/Design/Implementation). ** LGPD e GDPR são leis, não normas certificáveis, mas existem selos privados (e.g., IAPP CIPP).
Os 5 níveis de maturidade em gestão integrada de GRC, do ad hoc ao otimizado.
Ad hoc. Processos inexistentes ou caóticos. Dependência de indivíduos. Sem documentação.
Processos planejados e rastreados. Políticas básicas definidas. Controles reativos.
Processos padronizados. Frameworks adotados. Responsabilidades claras. Treinamento regular.
Métricas e KRIs. Gestão baseada em dados. Dashboards. Monitoramento contínuo. Preditivo.
Melhoria contínua. GRC integrado à estratégia. Automação. IA para detecção. Cultura de risco.
As 6 etapas para implementar um programa integrado de GRC na organização.
Assessment do estado atual, gap analysis
Escopo, frameworks, roadmap, orçamento
Políticas, processos, controles, papéis
Deploy, treinamento, ferramentas, cultura
KPIs, KRIs, auditoria, dashboards
Lições aprendidas, otimização, inovação
Legislações e normativas que impactam diretamente programas de GRC no Brasil.
Responsabiliza empresas por atos de corrupção. Prevê acordo de leniência e PAR. Incentiva programas de integridade.
Proteção de dados pessoais. DPO, RIPD, bases legais, direitos dos titulares. ANPD como autoridade.
Segurança cibernética e requisitos para instituições financeiras. Política de segurança, plano de resposta, cloud.
Princípios para uso da internet no Brasil. Neutralidade de rede, privacidade, responsabilidade de provedores.
Governança para empresas estatais. Conselho de administração, comitê de auditoria, gestão de riscos obrigatória.
Marco Legal da IA (em tramitação). Classificação por risco, avaliação de impacto algorítmico, explicabilidade.
Empresas listadas na NYSE seguem SOX. CVM regula governança de companhias abertas brasileiras (Novo Mercado B3).
Open Finance. Compartilhamento de dados financeiros. Consentimento, segurança, interoperabilidade.
GRC não é um projeto — é uma capacidade organizacional. A integração de governança, risco e compliance transforma silos de controle em vantagem competitiva sustentável.
— OCEG (Open Compliance and Ethics Group), criadores do GRC Capability Model