trabajo remoto formación
Publicado em por Marcelo Horacio Fortino

Qual a importância do GRC? Governança, Riscos e Conformidade nas organizações

Resumo: Introdução aos conceitos de GRC (Governança, Riscos e Conformidade).

Palavras chaves: GRC. Governança corporativa. Gestão de riscos. Gestão. Conformidade. Compliance.

A complexidade das relações negociais das organizações têm crescido exponencialmente nas últimas décadas. Por outro lado, casos de fraude de alcance mundial como aqueles ocorridos com as empresas Enron e Worldcom nos Estados Unidos da América (EUA) em 2002, e de crísis financeira - quebra de diversas instituições financeiras no ano 2008; motivaram uma série de leis e normativas por parte dos governos e modelos de boas práticas e frameworks de Governança, Gestão de riscos e Conformidade (GRC - Governance, Risk management, Compliance em inglês) por parte das organizações, que visam regular o mercado a fim de evitar riscos que possam comprometer o andamento normal dos negócios.

A OCEG®, organização com mais de dez mil profissionais de governança, gestão de riscos, compliance, ética, controle interno, consultoria e varias outras disciplinas, define o GRC como:

"a coleção integrada de recursos que permitem a uma organização atingir objetivos de forma confiável, abordar a incerteza e agir com integridade." (1)

Frameworks GRC. Fonte propio autor.

Através do seu GRC Capability Model (OCEG Red Book) aquela organização desenvolveu o modelo Principled Performance®, que:

"é o estado saudável do ser que impulsiona o sucesso em qualquer organização. Significa ser capaz de atingir objetivos de forma confiável ao abordar a incerteza e atuar com integridade. Tomar uma abordagem integrada de como você governa e gerencia desempenho, risco e conformidade é a chave para ganhar o Principled Performance®". (2)

Governança corporativa

A governança corporativa tem como objetivo a criação de valor mediante a otimização dos recursos (alinhamento da Tecnologia da Informação - TI ao negócio), a eficiência (continuidade do negócio e gestão de riscos) e a obtenção de benefícios para os stakeholders das organizações. Também promove a conformidade (compliance, em inglês) com os marcos reguladores e outras normas.

Segundo a Norma Brasileira (NBR) ISO/IEC 38500:2009 - Governança corporativa de TI (3), a governança corporativa é:

"O sistema pelo qual as organizações são dirigidas e controladas. (adaptado do Cadbury 1992 e OECD 1999)";

sendo que a governança corporativa de TI (Tecnologia da Informação) é: "O sistema pelo qual o uso atual e futuro da TI é dirigido e controlado."

O Instituto Brasileiro de Governança Corporativa (IBGC), em seu Código das Melhores Práticas de Governança Corporativa (4), define governança corporativa como:

“o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas”.

Aquele Código estabelece quatro princípios de boa governança, a saber:

  1. transparência (disclosure);
  2. equidade (fairness);
  3. prestação de contas (accountability); e,
  4. responsabilidade corporativa (compliance).

Por último o Tribunal de Contas da União (TCU), com visão focada no estrutura governamental, estabelece que a:

"Governança no setor público compreende essencialmente os mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade.” (5)

Na parte prática, o framework COBIT® 5 da ISACA® assiste às organizações na governança e gestão da TI e, alinhado com outros frameworks e boas práticas da indústria, oferta gerenciamento holístico empresarial.

Gerenciamento de riscos

O gerenciamento de riscos ou ERM (Enterprise Risk Management, em inglês), trata da identificação, avaliação e administração de riscos de forma compatível com o apetite ao risco da organização.

A NBR ISO/IEC 31000:2009 define o processo de gestão de riscos como a:

"aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos." (6)

Por outro lado, o COSO (Committee of Sponsoring Organizations of the Treadway Commission) na obra Gerenciamento de Riscos Corporativos - Estrutura Integrada (7), assevera:

"A premissa inerente ao gerenciamento de riscos corporativos é que toda organização existe para gerar valor às partes interessadas. Todas as organizações enfrentam incertezas, e o desafio de seus administradores é determinar até que ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir no esforço para gerar valor às partes interessadas. Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor. O gerenciamento de riscos corporativos possibilita aos administradores tratar com eficácia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor."

Finalmente, a NBR ISO/IEC 27005:2011 - Tecnologia da informação — Técnicas de segurança — Gestão de Riscos de segurança da Informação (8), trata da descrição do processo de Gestão de Riscos de Segurança da Informação (GRSI) e das suas atividades, estando em conformidade com a NBR ISO/IEC 27001:2013, NBR ISO/IEC 27002:2013, NBR ISO/IEC 31000:2009 e as terminologias apresentadas na NBR ISO Guia 73, Gestão de Riscos – Vocabulário.

De forma similar à NBR ISO/IEC 31000:2009, as atividades do processo tem início com a definição do contexto, seguidas da Avaliação de Riscos, que trata da Análise (processos de Identificação de Riscos e Estimativa de Riscos) e Valoração dos Riscos, além do Tratamento do Risco, da Aceitação do Risco, da Comunicação do Risco e do Monitoramento e da Análise Crítica de Riscos.

Conformidade ou compliance

A conformidade ou compliance visa garantir que a organização esteja de acordo com as normas, legislações e boas práticas de seu segmento.

A Controladoria-Geral da União (CGU) (9), além de focar somente na conformidade, sugeriu a instituição de um programa de integridade com a elaboração de códigos de conduta, implantação de política de comunicação permanente, criação do comitê de ética, sistema de recrutamento centrado em ética e instituição de sistemas de controle interno e auditoria.

A implementação na TI de processos para atender às regras e normas legais (compliance) como, por exemplo, a SOX (Sarbanes-Oxley Act, em inglês) nas empresas de capital aberto ou o Acordo de Basileia III nas instituições financeiras, é possível tendo como referências o COBIT® 5, o modelo COSO – Controle Interno – Estrutura Integrada, e o OCEG Red Book.

Links

(1) OCEG (2004), GRC CAPABILITY MODEL. Scott L. Mitchell. Disponível em: <https://go.oceg.org/grc-capability-model-red-book >. Acesso em: 22 Dez. 2017.

(2) MITCHELL, S.L. GRC360: A framework to help organisations drive principled performance. Disponível em: <https://go.oceg.org/grc-capability-model-red-book > Mitchell. Acesso em: 22 Dez. 2017.

(3) ABNT: ABNT. NBR ISO/IEC 38500:2009. Disponível em: <https://www.abntcatalogo.com.br/ >. Acesso em: 21 Mar. 2017.

(4) IBGC. Gerenciamento de riscos corporativos: evolução em governança e estratégia / Instituto Brasileiro de Governança Corporativa. São Paulo, SP: IBGC, 2017. (Série Cadernos de Governança Corporativa, 19).

(5) TCU. Dez passos para a boa governança / Tribunal de Contas da União. Brasília: TCU, Secretaria de Planejamento, Governança e Gestão, 2014.

(6) ABNT. NBR ISO/IEC 31000:2009. Disponível em: <http://www.abntcatalogo.com.br/norma.aspx?ID=57311 >. Acesso em 21 maio 2017.

(7) COSO. Gerenciamento de Riscos Corporativos – Estrutura Integrada. Disponível em: <https://www.coso.org/Documents/COSO-ERM-Executive-Summary-Portuguese.pdf >. Acesso em: 22 de setembro de 2017.

(8) ABNT. NBR ISO/IEC 27005:2011. Disponível em:<https://www.abntcatalogo.com.br/norma.aspx?id=89327/ >. Acesso em: 03 Out. 2017.

(9) CGU - INSTITUTO ETHOS. A responsabilidade social das empresas no combate à corrupção. Disponível em: <http://www.cgu.gov.br/Publicacoes/etica-e-integridade/arquivos/manualrespsocialempresas_baixa.pdf >. Acesso em: 22 Dez. 2016.

Image from Pixabay, released under Creative Commons CC0.