×

Aviso

JUser: :_load: Não foi possível carregar usuário com ID: 573
Menu

Práticas de GRC melhoram a governança e a resiliência corporativas

Patrick Faria Coura, especialista em vendas da Archer, uma divisão da RSA Patrick Faria Coura, especialista em vendas da Archer, uma divisão da RSA

Projetos, porém, dependem do rompimento dos silos de informação dentro das empresas

O mundo dos negócios é hoje pautado por uma agudização sem precedentes dos níveis de incerteza, com as empresas tendo de navegar em meio a cenários cada vez mais voláteis e fluidos. É assim que a busca incessante pela melhora da resiliência corporativa vem se tornando um requisito incontornável para as áreas de governança e de gestão de riscos.

Exatamente por propiciar uma resposta mais abrangente e integrada a este desafio, a abordagem conhecida como GRC (Governance, Risk e Compliance) vem ganhando terreno entre as organizações mais maduras, ao integrar disciplinas como segurança da informação, auditoria, controles, gerenciamento de riscos e continuidade de negócios. Mas, sem dúvida, resta muito por fazer.

Foi para esboçar um balanço dos projetos de implantação deste modelo de governança no ambiente empresarial e falar dos cuidados a tomar nestas empreitadas que o portal de Executivos Financeiros entrevistou Patrick Faria Coura, especialista em vendas da Archer, uma divisão da RSA. A seguir, a íntegra de nossa conversa.

Executivos Financeiros - A GRC visa dar um tratamento mais integrado e holístico aos processos e práticas de governança. Em sua opinião, esta abordagem já conquistou um sólido espaço em meio às empresas brasileiras? Quais foram os avanços? Quais as dificuldades? O que falta fazer?

Patrick Faria Coura - Sim, essa abordagem tem conquistado espaço em diversos segmentos no Brasil, como financeiro, cartões de crédito, saúde e telefonia. Inclusive no governo há fortes pressões do TCU (Tribunal de Conta da União) para implementação de governança. Esse processo não é simples e, portanto, durante a jornada são identificadas diversas dificuldades para sua implementação, considerando que o tratamento integrado e holístico depende do rompimento dos silos de informações dentro das empresas. É necessário integrar as diversas áreas, como: segurança da informação, auditoria, controle interno, gestão de fornecedores, continuidade de negócios e outras. Esse é um dos primeiros desafios na implementação do GRC corporativo, que deve ter o comprometimento da alta gestão para que o processo avance, elevando o nível de maturidade. Assim a empresa passa a ter vantagens competitivas frente ao mercado. 

EF - Em que medida o perfil cultural de um país como o Brasil, em que se destaca o famoso “jeitinho”, é um empecilho a um maior enraizamento das boas práticas de governança? 

PFC - O termo “jeitinho” pode ser visto por dois cenários, um que é a visão negativa, pejorativa, que é a malandragem. E outra é a visão positiva, criativa, flexível e intuitiva. Vou me posicionar baseado nesta segunda visão. Para qualquer novo processo a ser implementado, e o GRC não está fora disso, é importante o líder desse processo ter uma posição de negociação, pois irá encontrar diversas dificuldades juntos aos stake holders, que formam a parte interessada. E é aí que entra a criatividade e a flexibilidade do “jeitinho” brasileiro. Com essa flexibilidade, é possível encontrar soluções que possam ser adotadas como controles compensatórios durante a implementação de um plano de remediação para o tratamento de um risco, por exemplo. Portanto o “jeitinho” pode ser utilizado de forma positiva para implantar as boas práticas de governança. 

EF - Que tipos de estruturação organizacional, de arquitetura de TI e de políticas de governança seriam necessários para que uma empresa se capacite efetivamente a gerir riscos e estabelecer o compliance com as regulamentações existentes? 

PFC - Na verdade não há uma estruturação organizacional padrão. Na prática, precisamos considerar o aspecto de ter dentro das organizações o conceito das três linhas de defesa na gestão eficaz dos riscos. Esse conceito determina que a primeira linha de defesa está sob o comando da gerência e funciona por meio das medidas de controle interno. As funções de controle e supervisão da conformidade formam a segunda linha de defesa e aqui se encontram o controle financeiro, a segurança da informação, o gerenciamento de riscos, a qualidade e a conformidade. Por fim, na terceira linha deve haver uma avaliação independente da conformidade, e é onde se posiciona a auditoria interna. 

EF - Em que medida a disseminação de grandes frameworks, como o Cobit, ITIL, PMI, CMMi, etc, contribuiu para o amadurecimento das práticas de GRC? 

Não tenha dúvida de que o uso destas melhores práticas contribui fortemente para implementação das práticas de GRC. Independentemente de qual modelo será implementado, a alta administração deve comunicar claramente as expectativas a toda corporação, informar a necessidade de compartilhamento das informações, e definir as atividades coordenadas entre cada uma das três linhas de defesa responsáveis por gerir riscos e controles da organização. 

EF - Que tipos de serviços de consultoria e de soluções/ferramentas de TI seriam úteis na implantação da GRC? 

PFC - O que é importante nesse ponto é que a implementação das práticas de GRC seja uma solução composta por: a) Definição de processo, b) Capacitação e transferência de conhecimento; c) Sustentação por plataforma. O uso de uma plataforma única que permeie toda a organização tem como benefícios ser um repositório central das informações, padronizar a taxonomia a ser utilizada na empresa, permitir uma visão hierarquizada da organização, dentre outros. 

EF - Normalmente, uma grande empresa já emprega várias ferramentas analíticas (BI, BPM, Balanced Scorecard, etc) e frameworks de gestão (Cobit, ITIL, etc), além dos tradicionais ERPs e softwares de gestão de TI (Tivoli, OpenView, etc). Como fazer uma integração correta de todos estes legados e processos para implementar políticas eficazes de GRC? 

PFC - A palavra-chave é integração! O mais importante é a identificação dos modelos de dados comuns que são gerados pelos diversos sistemas legados. Essa atividade é essencial para estabelecer o programa de GRC, e são os gestores as pessoas responsáveis por ajudar nesta identificação. Uma vez identificados os dados, as plataformas de GRC devem permitir um processo de integração de dados flexível e de fácil implementação, normalmente não dependendo de desenvolvimento ou codificação. 

EF - Projetos com GRC podem ou devem ser implementados em ondas ou de forma modular? Qual seria a melhor estratégia de implantação? Pode-se dizer que a GRC é uma jornada? 

É importante frisar que a empresa deve ter um processo de GRC, que é permanente. Esse processo deve ser segmentado por projetos, tendo-se a visão do todo, porém definindo ondas menores para que sejam apresentados resultados em curto prazo, os chamados quick wins. Fazendo crescer as ondas de maturidade, é possível trazer as demais áreas, pois já há um alicerce para sustentar todo o processo de GRC. Finalizo aqui com uma frase do livro “A Arte da Estratégia”, de Carlos Alberto Júlio: “Pense grande, comece pequeno e cresça rápido”.

Deixe um comentário

Certifique-se de preencher os campos indicados com (*). Não é permitido código HTML.

voltar ao topo

Finanças

TI

Canais

Executivos Financeiros

EF nas Redes