O GRC, governança, risco e conformidade, permite que uma organização ou empresa atinja metas de forma confiável, bem como lide com incertezas e riscos. Além disso, visa garantir a integridade em todas as ações.
Como disciplina, o GRC sincroniza as atividades de governança, gerenciamento de risco e conformidade para garantir eficiência no trabalho e compartilhamento de informações entre as unidades de negócios. Isso ajuda a evitar silos que operam de forma independente e sem coordenação.
Particularmente nas grandes organizações, o intercâmbio interdisciplinar é essencial para evitar a demora na realização de tarefas de GRC. Essas tarefas são exigidas pelas unidades de negócios para economizar custos, minimizar riscos e gerar relatórios de GRC sob demanda.
Como governança, risco e conformidade devem abranger todas as áreas da empresa, a TI é cada vez mais requisitada no decorrer da transformação digital e deve ser incluída em todas as considerações.
O GRC deve ser aplicado em toda a empresa, porém as seguintes áreas são particularmente dignas de nota:
Conselho Administrativo
Gestão Corporativa
Auditoria
Conformidade
Gerenciamento de riscos
Jurídico
Finanças
Recursos Humanos
TI
A estrutura de Governança, Gestão de Riscos e Conformidade
Para a implementação do GRC, é necessária uma estrutura que permita à empresa perseguir os seus objetivos, mas também gerir os riscos e cumprir os requisitos legais. Para que esse framework seja aplicado em todas as áreas de uma empresa, é necessária uma solução integrada que evite silos ou soluções individuais dentro de uma empresa. Somente o gerenciamento centralizado garante a implementação e o controle de políticas e objetivos em toda a empresa.
As funcionalidades de uma solução integrada de GRC devem permitir que a administração da empresa planeje, implemente e garanta o cumprimento das políticas de governança, risco e conformidade de acordo com princípios éticos.
Isso inclui:
Gerenciamento, análise e avaliação de riscos
Gerenciamento de problemas, políticas e processos
Gestão de continuidade de negócios e gestão da informação
Funções de avaliação, auditoria e relatórios
Funções de documentação e comunicação
O que se entende por governança?
Governança é a combinação de processos definidos que são executados pela administração da empresa (ou conselho de administração). A governança decide como uma empresa se configura estrutural e administrativamente para atingir as metas estabelecidas.
A transformação digital nas empresas hoje torna imprescindível que a governança também seja praticada em TI. A governança de TI garante que os objetivos de uma empresa também sejam suportados estruturalmente. Processos, segurança e compliance devem ser levados em consideração e implementados. Assim como nas outras áreas de governança, a responsabilidade é do conselho e da administração.
O que se entende por gestão de risco?
A gestão de riscos é a previsão e gerenciamento de riscos que podem impedir a organização de atingir seus objetivos de forma confiável ou até mesmo colocar em risco a organização/empresa.
O gerenciamento de riscos de TI monitora, avalia e identifica riscos e ameaças que comprometem o alcance dos objetivos corporativos em um estágio inicial. O gerenciamento de incidentes de segurança usa processos e regras de conduta para determinar como reagir adequadamente no caso de um incidente. O software de gerenciamento de incidentes ajuda a reagir o mais rápido possível e de maneira à prova de auditoria com processos e responsabilidades predefinidos.
O que se entende por conformidade?
A conformidade supervisiona a observância de limites prescritos (leis e regulamentos, por exemplo, LGPD para conformidade de TI), e limites voluntários nas organizações (diretrizes internas e regras de conduta). A conformidade representa um conjunto claramente definido de regras que abrange todas as áreas de uma organização de negócios e devem ser observados adequadamente em toda a empresa.
A conformidade de TI supervisiona a observância dos regulamentos legais, organizacionais internos e contratuais na área de TI. Os requisitos atribuídos à conformidade de TI incluem as seguintes áreas: segurança de TI, disponibilidade, retenção de dados e proteção de dados.
Como sistemas de GRC podem ajudar?
As empresas estão expostas a uma variedade de riscos e incertezas. A falta de interface entre as unidades de negócios e o trabalho com e-mails, documentos ou planilhas dificultam o gerenciamento coordenado e eficiente para evitar riscos e identificar oportunidades.
Sistemas GRC (Governance Risk Compliance Software) ajudam a tornar o fluxo de trabalho eficiente ao automatizar os processos de negócios. As responsabilidades e os fluxos de trabalho são especificados pelos processos. As informações são registradas uniformemente com a ajuda de formulários.
A informação não é mais descentralizada em departamentos individuais, mas é processada centralmente. Isso cria transparência na empresa e evita a duplicação de trabalho. A coleta padronizada e centralizada de dados de governança, risco e conformidade simplifica a avaliação e o controle e evita erros. Isso permite que a administração tome decisões com base em dados atualizados.
GRC e ISMS
O ISMS (Sistema de Gerenciamento de Segurança da Informação) está integrado ao conceito GRC. Um sistema de gestão de segurança da informação é um componente essencial para avaliar riscos com base em dados atuais na gestão orientada por GRC, permitindo a tomada de decisões e fornecendo informações conforme necessário. Uma poderosa solução de software ISMS de acordo com a ISO/IEC 27001 ajuda você a organizar e controlar o gerenciamento de risco e conformidade.
Em segurança de TI, proteção de dados, retenção de dados e segurança da informação, entre outras coisas, são definidas e exigidas por regulamentos. No entanto, a implementação bem-sucedida requer medidas que garantam o cumprimento e o controle dos regulamentos. E as soluções de segurança de TI ajudam a atender a essa necessidade.
Os riscos de TI têm um impacto direto no risco do negócio. Não é incomum que uma falha da infraestrutura de TI também signifique uma interrupção completa ou pelo menos uma atividade comercial restrita com perda de receita. O não cumprimento das diretrizes de proteção de dados pode resultar em uma multa pesada e, pior ainda, em danos à reputação da empresa. Os riscos mencionados acima, portanto, mostram muito claramente a importância do gerenciamento de riscos e da conformidade em TI hoje. Estabelecer soluções adequadas é uma necessidade absoluta.
Luciano Alves de Oliveira, diretor geral Brasil e Portugal do OTRS Group.
