Resumo: Introdução aos conceitos de GRC (Governança, Riscos e Conformidade).
Palavras chaves: GRC. Governança corporativa. Gestão de riscos. Gestão. Conformidade. Compliance.
A complexidade das relações negociais das organizações têm crescido exponencialmente nas últimas décadas. Por outro lado, casos de fraude de alcance mundial como aqueles ocorridos com as empresas Enron e Worldcom nos Estados Unidos da América (EUA) em 2002, e de crísis financeira – quebra de diversas instituições financeiras no ano 2008; motivaram uma série de leis e normativas por parte dos governos e modelos de boas práticas e frameworks de Governança, Gestão de riscos e Conformidade (GRC – Governance, Risk management, Compliance em inglês) por parte das organizações, que visam regular o mercado a fim de evitar riscos que possam comprometer o andamento normal dos negócios.
A OCEG®, organização com mais de dez mil profissionais de governança, gestão de riscos, compliance, ética, controle interno, consultoria e varias outras disciplinas, define o GRC como:
“a coleção integrada de recursos que permitem a uma organização atingir objetivos de forma confiável, abordar a incerteza e agir com integridade.” (1)
Através do seu GRC Capability Model (OCEG Red Book) aquela organização desenvolveu o modelo Principled Performance®, que:
“é o estado saudável do ser que impulsiona o sucesso em qualquer organização. Significa ser capaz de atingir objetivos de forma confiável ao abordar a incerteza e atuar com integridade. Tomar uma abordagem integrada de como você governa e gerencia desempenho, risco e conformidade é a chave para ganhar o Principled Performance®”. (2)
Governança corporativa
A governança corporativa tem como objetivo a criação de valor mediante a otimização dos recursos (alinhamento da Tecnologia da Informação – TI ao negócio), a eficiência (continuidade do negócio e gestão de riscos) e a obtenção de benefícios para os stakeholders das organizações. Também promove a conformidade (compliance, em inglês) com os marcos reguladores e outras normas.
Segundo a Norma Brasileira (NBR) ISO/IEC 38500:2009 – Governança corporativa de TI (3), a governança corporativa é:
“O sistema pelo qual as organizações são dirigidas e controladas. (adaptado do Cadbury 1992 e OECD 1999)”;
sendo que a governança corporativa de TI (Tecnologia da Informação) é: “O sistema pelo qual o uso atual e futuro da TI é dirigido e controlado.”
O Instituto Brasileiro de Governança Corporativa (IBGC), em seu Código das Melhores Práticas de Governança Corporativa (4), define governança corporativa como:
“o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas”.
Aquele Código estabelece quatro princípios de boa governança, a saber:
- transparência (disclosure);
- equidade (fairness);
- prestação de contas (accountability); e,
- responsabilidade corporativa (compliance).
Por último o Tribunal de Contas da União (TCU), com visão focada no estrutura governamental, estabelece que a:
“Governança no setor público compreende essencialmente os mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade.” (5)
Na parte prática, o framework COBIT® 5 da ISACA® assiste às organizações na governança e gestão da TI e, alinhado com outros frameworks e boas práticas da indústria, oferta gerenciamento holístico empresarial.
Gerenciamento de riscos
O gerenciamento de riscos ou ERM (Enterprise Risk Management, em inglês), trata da identificação, avaliação e administração de riscos de forma compatível com o apetite ao risco da organização.
A NBR ISO/IEC 31000:2009 define o processo de gestão de riscos como a:
“aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos.” (6)
Por outro lado, o COSO (Committee of Sponsoring Organizations of the Treadway Commission) na obra Gerenciamento de Riscos Corporativos – Estrutura Integrada (7), assevera:
“A premissa inerente ao gerenciamento de riscos corporativos é que toda organização existe para gerar valor às partes interessadas. Todas as organizações enfrentam incertezas, e o desafio de seus administradores é determinar até que ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir no esforço para gerar valor às partes interessadas. Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor. O gerenciamento de riscos corporativos possibilita aos administradores tratar com eficácia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor.”
Finalmente, a NBR ISO/IEC 27005:2011 – Tecnologia da informação — Técnicas de segurança — Gestão de Riscos de segurança da Informação (8), trata da descrição do processo de Gestão de Riscos de Segurança da Informação (GRSI) e das suas atividades, estando em conformidade com a NBR ISO/IEC 27001:2013, NBR ISO/IEC 27002:2013, NBR ISO/IEC 31000:2009 e as terminologias apresentadas na NBR ISO Guia 73, Gestão de Riscos – Vocabulário.
De forma similar à NBR ISO/IEC 31000:2009, as atividades do processo tem início com a definição do contexto, seguidas da Avaliação de Riscos, que trata da Análise (processos de Identificação de Riscos e Estimativa de Riscos) e Valoração dos Riscos, além do Tratamento do Risco, da Aceitação do Risco, da Comunicação do Risco e do Monitoramento e da Análise Crítica de Riscos.
Conformidade ou compliance
A conformidade ou compliance visa garantir que a organização esteja de acordo com as normas, legislações e boas práticas de seu segmento.
A Controladoria-Geral da União (CGU) (9), além de focar somente na conformidade, sugeriu a instituição de um programa de integridade com a elaboração de códigos de conduta, implantação de política de comunicação permanente, criação do comitê de ética, sistema de recrutamento centrado em ética e instituição de sistemas de controle interno e auditoria.
A implementação na TI de processos para atender às regras e normas legais (compliance) como, por exemplo, a SOX (Sarbanes-Oxley Act, em inglês) nas empresas de capital aberto ou o Acordo de Basileia III nas instituições financeiras, é possível tendo como referências o COBIT® 5, o modelo COSO – Controle Interno – Estrutura Integrada, e o OCEG Red Book.
Links
(1) OCEG (2004), GRC CAPABILITY MODEL. Scott L. Mitchell. Disponível em: <https://go.oceg.org/grc-capability-model-red-book >. Acesso em: 22 Dez. 2017.
(2) MITCHELL, S.L. GRC360: A framework to help organisations drive principled performance. Disponível em: <https://go.oceg.org/grc-capability-model-red-book > Mitchell. Acesso em: 22 Dez. 2017.
(3) ABNT: ABNT. NBR ISO/IEC 38500:2009. Disponível em: <https://www.abntcatalogo.com.br/ >. Acesso em: 21 Mar. 2017.
(4) IBGC. Gerenciamento de riscos corporativos: evolução em governança e estratégia / Instituto Brasileiro de Governança Corporativa. São Paulo, SP: IBGC, 2017. (Série Cadernos de Governança Corporativa, 19).
(5) TCU. Dez passos para a boa governança / Tribunal de Contas da União. Brasília: TCU, Secretaria de Planejamento, Governança e Gestão, 2014.
(6) ABNT. NBR ISO/IEC 31000:2009. Disponível em: <http://www.abntcatalogo.com.br/norma.aspx?ID=57311 >. Acesso em 21 maio 2017.
(7) COSO. Gerenciamento de Riscos Corporativos – Estrutura Integrada. Disponível em: <https://www.coso.org/Documents/COSO-ERM-Executive-Summary-Portuguese.pdf >. Acesso em: 22 de setembro de 2017.
(8) ABNT. NBR ISO/IEC 27005:2011. Disponível em:<https://www.abntcatalogo.com.br/norma.aspx?id=89327/ >. Acesso em: 03 Out. 2017.
(9) CGU – INSTITUTO ETHOS. A responsabilidade social das empresas no combate à corrupção. Disponível em: <http://www.cgu.gov.br/Publicacoes/etica-e-integridade/arquivos/manualrespsocialempresas_baixa.pdf >. Acesso em: 22 Dez. 2016.
Image from Pixabay, released under Creative Commons CC0.