Você já deve ter feito alguma viagem, não é mesmo? Agora imagine sair de sua casa sem um destino certo, sem levar nenhuma roupa ou acessório. Quais são as chances de insucesso nessa jornada logo nos primeiros passos? Essa é uma analogia para uma empresa que não tem GRC.
Pode ser que você chegue longe, como pode ser que sua viagem seja interrompida logo na primeira esquina por algum obstáculo para o qual não estava devidamente preparado.
Para que não sejamos prejudicados por qualquer obstáculo que se apresente em nosso caminho durante uma viagem, é preciso ter planejamento, e é nesse ponto que entra GRC. Confira este guia completo sobre o assunto que preparamos especialmente para você. Boa leitura!
O que é GRC?
GRC é uma sigla para Governança, Risco e Compliance. Esse conjunto de conceitos diz respeito a um esforço por parte da empresa para a unificação e transparência de seus processos.
O objetivo é assegurar que todas as políticas e controle estejam funcionando de forma integrada entre as três áreas, garantindo, assim, uma diminuição de ameaças e potencialização de oportunidades.
Os profissionais responsáveis pela GRC devem trabalhar em apoio à gestão da empresa na busca por um alinhamento dos objetivos estratégicos e metas do negócio junto aos melhores requisitos, práticas e normas internacionais de governança, risco e compliance.
Com um mercado cada vez mais competitivo, que sofre interferências diretas da globalização, clientes mais exigentes e o surgimento de diferentes normas regulatórias, vem se tornando necessário para as empresas criar e manter um departamento de GRC dentro de sua estrutura.
O que é governança?
O primeiro item dentro de uma estratégia de GRC é a governança. Podemos conceituar esse termo como uma estratégia conduzida pelas empresas para buscar um alinhamento entre seus objetivos de mercado e suas políticas de implantação e manutenção de ativos de TI e segurança da informação.
Na busca para alinhar esses dois departamentos, os profissionais de tecnologia da informação adotam rotinas focadas totalmente na qualidade operacional, visando auxiliar todos os colaboradores a utilizar sistemas com maior performance.
Outro ponto a ser buscado é a diminuição de vulnerabilidades nas tecnologias escolhidas para implantação na empresa, evitando, assim, a possibilidade do surgimento de ameaças.
O objetivo da governança é transformar o setor de TI não apenas em um departamento de apoio, mas no provedor de ferramentas estratégicas para o alcance das metas traçadas para a empresa.
Com isso, o gestor da área deve alinhar suas políticas junto ao restante dos gestores de outros departamentos e, com isso, melhorar sua visão acerca das demandas apresentadas por eles. Assim, os ativos digitais da empresa poderão contribuir diretamente para a melhora dos resultados do negócio, aumentando a competitividade.
Quais as vantagens para a minha empresa?
Adotar uma política de governança de TI pode trazer uma série de benefícios para a sua companhia, além de uma melhor organização e visão de todos os seus ativos de tecnologia. Vamos listar as principais vantagens da adoção da governança.
- alinhamento estratégico — o setor de TI entra em sintonia com as demandas e estratégias do negócio;
- valor — a governança permite que o setor de TI seja visto de forma estratégica, agregando valor ao departamento;
- transparência — por meio da governança, pode-se criar um inventário completo das tecnologias em uso na empresa;
- gerenciamento de ativos — é possível realizar um controle muito mais eficaz acerca de todos os itens de TI e seu correto funcionamento;
- criação e acompanhamento de índices de performance — é possível criar e monitorar uma série de indicadores para garantir o desempenho das tecnologias adotadas.
Como aplicar?
A governança, antes de um método, é uma nova visão sobre o gerenciamento dos ativos de TI, e, como tal, precisa que seja aceita por toda a empresa e colaboradores antes mesmo de ser implantada para garantir o sucesso de sua utilização.
O primeiro passo é apresentar o novo modelo de pensar e gerenciar a TI para a empresa e buscar demonstrar todos os benefícios dessa prática e sua potencialidade para auxiliar no crescimento do negócio.
A governança é formada por uma série de normas e métodos, que se diferenciam de acordo com o framework escolhido. Cada um desses “manuais” tem um foco diferente, por conta disso, é preciso analisar suas demandas para escolher o que melhor atende suas necessidades.
Depois disso, vem a implantação, na qual todos os seus processos de TI serão revistos para se adequar aos métodos e normas impostas pelo framework escolhido, mantendo um monitoramento constante.
Quais são os principais frameworks?
São vários os frameworks existentes para se realizar uma governança de TI eficiente em sua empresa. A escolha por um deles fica por conta de suas demandas. Vamos listar os dois principais e algumas de suas características.
1. COBIT
O COBIT é um framework focado muito mais no nível estratégico da TI do que no operacional. É tido como um método de controle com o objetivo de mensurar o desempenho do departamento.
Dessa forma, fica fácil observar quais são as forças e fraquezas do setor de TI e trabalhar para potencializar ou corrigir qualquer uma delas. É possível, por meio de seus métodos, criar objetivos de controle, garantindo, assim, a conformidade do desempenho.
Esse framework foi criado em 1994 por um instituto internacional mantido por empresas de TI chamado ISACA. A principal motivação para a sua criação foi a falta de métodos voltados para o alinhamento estratégico entre a TI e o negócio. O COBIT é dividido em quatro domínios:
- planejamento e organização;
- aquisição e implementação;
- entrega e suporte;
- monitoramento e avaliação.
A vantagem do uso do COBIT é a melhora na gestão dos investimentos em ativos de TI, maximizando o ROI, as oportunidades e vantagens competitivas da empresa no mercado.
Sua abordagem é genérica e não contempla processos, focando em objetivos, e não em como alcançá-los, o que acaba por limitar sua utilização. É recomendável que se utilize esse framework de forma estratégica.
2. ITIL
O ITIL foi desenvolvido pelo governo britânico na década de 80 para realizar a governança de seu órgão de computação e telecomunicações. Esse framework é voltado para o gerenciamento de serviços de TI.
Todos os seus processos e métodos são divididos em uma série de publicações, focadas em desenvolver as melhores práticas na gestão dos serviços de tecnologia da informação dentro da empresa. São cinco livros:
- estratégia de serviço;
- desenho de serviço;
- transição de serviço;
- operação de serviço;
- melhoria continuada de serviço.
O framework ITIL é utilizado, principalmente, para fomentar a melhoria da prestação de serviços por parte do departamento de TI da empresa aos seus clientes externos e internos.
O ITIL não traz em suas publicações processos prontos, apenas a metodologia para a criação de métodos próprios, que deve ser realizada pela própria empresa de acordo com suas necessidades. Ou seja, são boas práticas para a criação, desenvolvimento e manutenção de serviços de TI.
Quais softwares usar para aplicar governança?
Hoje, existe uma série de sistemas automatizados para realizar a governança de seus ativos de TI com a máxima segurança possível. Entre as funcionalidades comuns, estão o inventário de hardware e software, o monitoramento remoto, abertura de chamados, entre outros.
Contudo, é preciso analisar muito bem antes de contratar um software como esse. O ideal é buscar auxílio de uma empresa de consultoria especializada, que pode analisar todas as suas demandas e buscar, dentre as opções do mercado, qual a que mais se alinha à sua realidade.
O que são riscos?
Utilizando novamente a analogia da viagem descrita no início do texto, podemos tratar como riscos todos os imprevistos que vão surgindo no caminho. Por exemplo, pode começar a chover, faltar gasolina antes de um posto, entre outras situações que mudarão os rumos da jornada.
Contudo, os riscos não são apenas ameaças aos seus objetivos, eles também podem se apresentar como oportunidades, que, quando aproveitadas, podem se transformar em vantagens competitivas ou outros benefícios para o seu negócio.
Mesmo que seja realizado um planejamento prévio de todas as ações e construída uma estratégia, toda empresa está sujeita a imprevistos, que podem surgir externa ou internamente.
Por conta disso, é tão importante realizar a gestão de riscos, para minimizar todas as ameaças que possam prejudicar os resultados da empresa ou o alcance de seus objetivos e aproveitar as oportunidades que também possam surgir.
Como identificar riscos na empresa?
Identificar riscos é algo complicado, porque, geralmente, não se pode visualizar aquilo que ainda não existe, como é o caso dos imprevistos. Contudo, pode-se focar naquilo que tem a possibilidade de acontecer.
Por exemplo, caso sua empresa utilize um software legado, com uma série de informações sensíveis armazenadas ao longo dos anos, é alta a possibilidade de que o fornecedor deixe de realizar a manutenção desse sistema e seus dados se percam. É o chamado risco crítico e deve-se encontrar uma solução urgente.
Quais os principais riscos de TI?
São diversos os riscos que podem trazer ameaças para a sua empresa. Todos eles, quando identificados, devem ser analisados e classificados usando o método qualitativo ou quantitativo. Após esta classificação define-se quais os riscos serão tratados, baseando-se no apetite a risco a organização tem. Alguns deles são eles:
- software legado — sistemas antigos que não contam mais com manutenção, podendo ser descontinuados a qualquer momento e sendo porta de entrada para invasões;
- hardware obsoleto — máquinas sem atualização e sujeitas a falhas e lentidão, prejudicando as atividades do negócio;
- colaboradores — funcionários sem treinamento ou desmotivados também podem pôr em risco suas operações;
- desastres naturais — enchentes, incêndios e outras situações podem incorrer na interrupção dos serviços pela falta de planejamento e rotinas de backup.
Como fazer a gestão de riscos?
A gestão de riscos passa por uma série de etapas, e implantar esse gerenciamento pode ser uma atividade complexa, devido ao número de processos presentes em sua empresa. O ideal é buscar o auxílio de profissionais capacitados, como uma consultoria. Entre as etapas, estão:
- identificação de processos — o primeiro passo é criar um inventário com todas as atividades realizadas na empresa;
- verificação de riscos — em cada processo, deve ser realizado um levantamento para identificar os principais riscos, ou seja, aquilo que pode vir a acontecer e prejudicar seu andamento;
- análise de risco em TI — é o momento em que se verifica quais as chances de o evento ocorrer e qual o impacto dele nas atividades, ou seja classifica-se os risco;
- avaliação dos riscos — de acordo com o apetite a risco, a organização define quais riscos irá tratar e quais irá aceitar;
- tratamento de riscos — nessa etapa, se realizam a correção e a prevenção contra os riscos de acordo com a sua classificação, dando prioridade aos mais urgentes ou mais simples de se tratar;
- monitoramento — a última etapa trata do acompanhamento do processo para verificar se as alterações obtiveram sucesso em exterminar ou minimizar os riscos.
Quais as vantagens de fazer a gestão de riscos?
Realizar uma gestão de riscos eficiente é fundamental para uma empresa proteger-se de eventos que possam prejudicá-la e aproveitar todas as oportunidades surgidas no mercado. Entre as principais vantagens, estão:
- identificação de riscos — é possível tratar de forma preventiva qualquer problema, evitando prejuízos;
- rápida resposta — mesmo que um risco não seja identificado antes de seu surgimento, a resposta pode ser dada muito mais rapidamente;
- continuidade dos negócios — ao evitar paradas repentinas por conta de situações de ameaça, o departamento de TI garante a disponibilidade dos serviços;
- redução de custos — evitar riscos melhora a produtividade de toda a empresa e minimiza os gastos decorrentes da indisponibilidade.
O que é compliance em TI?
A conformidade foi um tema constante em nosso país nos últimos tempos. Isso porque foram noticiados diversos escândalos de corrupção envolvendo grandes empresas, que utilizaram de suborno e irregularidades para crescer.
Compliance é um termo em inglês derivado da palavra comply, que, em uma tradução livre, pode ser entendida como estar de acordo ou seguir as regras, estar em conformidade com as normas.
É exatamente disto que se trata a compliance: seguir todas as regulamentações, normas e legislação interna, criada pela própria empresa, e externa, imposta pelo governo e seus órgão regulatórios.
Entre esses itens, podemos citar a conformidade com as leis trabalhistas, exigências fiscais, imposições contábeis, financeiras, jurídicas, ambientais, entre outras que podem ser específicas de sua área de atuação.
Quais são os benefícios da conformidade de TI?
São diversos os ganhos que uma empresa pode ter ao focar seus esforços em compliance. Alguns deles são:
- aumenta a credibilidade — companhias que cumprem com suas obrigações são mais bem-vistas por investidores, parceiros de negócios, fornecedores e clientes;
- fornece acesso a mercados estrangeiros — países mais desenvolvidos dão muito valor para empresas que mantêm um alto nível de compliance, sendo uma oportunidade de fazer negócios com parceiros externos;
- melhora a eficiência — manter uma conformidade com normas e boas práticas incide em uma maior qualidade de seus produtos e serviços;
- promove a governança — adequar-se às metodologias e aos frameworks é mais simples por meio de um setor de compliance;
- garante a proteção contra sanções — estar em conformidade com leis e exigências governamentais evita multas e punições.
Quais são as consequências da não conformidade?
A falta de conformidade pode ser muito prejudicial para a empresa. Primeiro, vamos falar sobre a não existência de compliance internamente. Isso prejudica a adoção de métodos e boas práticas, o que pode se traduzir em resultados ruins e uma maior incidência de riscos.
A falta de controle e padrões para conduzir o processo também incide diretamente sobre a qualidade de produtos e serviços de sua empresa, que serão muito inferiores.
Já a falta de conformidade com relação a regulamentações e normas impostas pelo governo e seus diversos órgãos pode implicar em diversos tipos de sanções, a multa sendo a mais comum e prejudicial.
Contudo, ser multado não é o único problema, pois, ao estar em desconformidade com algum tipo de regulamentação, essa informação pode vir a público, prejudicando a imagem de sua empresa no mercado.
Isso implica em prejuízos, com o abandono por parte de clientes e a perda de negócios e investidores. Sendo assim, podemos destacar que não manter o compliance em sua empresa pode ser extremamente prejudicial para os negócios.
Exigências de compliance
A depender da área de atuação da empresa que está buscando por conformidade, existem algumas exigências que devem ser cumpridas por parte da equipe de TI do negócio. Entre elas, podemos citar:
- PCI: é um padrão de proteção para dados de cartão de crédito, implementados em sites e empresas que abrigam essas informações de clientes;
- SOX: lei americana de proteção aos acionistas de uma empresa pública. Gera registros acerca de suas atividades financeiras;
- BACEN: a Resolução nº 4.595, emitida pelo Banco Central, realiza diversas exigências de conformidade das instituições que atuam no mercado financeiro brasileiro;
- GDPR: é uma regulamentação da União Europeia para garantir a proteção das informações de seus cidadãos em transações de dados.
Por que aplicar GRC na empresa?
Como você pôde observar, é praticamente impossível falar de uma das três áreas que compõem a GRC sem citar outra. Isso porque todas elas estão realmente interligadas, e por isso existe a importância de criar políticas de integração.
Como cada uma dessas três áreas está sempre “invadindo” a jurisdição da outra, o ideal é construir uma estratégia para integrar suas ações e evitar que determinadas atitudes e processos sejam duplicados.
Dessa forma, podemos garantir que todas as atividades realizadas por cada uma das áreas do GRC sejam únicas, eficazes e eficientes, mantendo uma sincronia entre cada ação realizada.
Como aplicar GRC?
A implantação de GRC passa por cinco etapas básicas. Porém, antes disso, é preciso identificar e cooptar os principais participantes dessa implementação. As etapas são:
Defina seus objetivos
Um erro comum e que leva ao fracasso muitas tentativas de implantação da GRC é a falta de uma definição sobre o que se espera com essa implementação. Afinal, caso não haja um ponto a se alcançar, como saber se você chegou lá ou não?
Essa compreensão de quais são as principais metas com a implantação da GRC pode ser construída de forma coletiva com todos os principais interessados, definindo as prioridades na visão de cada um.
Analise a situação atual
Após traçar objetivos básicos, é preciso verificar como estão atualmente as áreas de compliance, governança e gestão de riscos antes mesmo de buscar alterar qualquer coisa.
Um levantamento completo acerca das três áreas e seus processos atuais poderá trazer uma melhor compreensão de como a GRC poderá se encaixar nessa situação para atingir os objetivos traçados anteriormente.
Além disso, analisar todos os processos realizados atualmente em cada campo permite visualizar as inconsistências, atuações duplicadas e demais problemas existentes que não haviam entrado no escopo de implantação da GRC.
Escolha um ponto de entrada
Na maioria dos casos, é possível e também recomendado que se faça a implantação total da GRC em todos os processos da empresa, contudo, pode-se realizar essa implementação por partes, ajustando cada uma até um nível satisfatório antes de partir para a próxima.
Esses pontos de entrada podem servir, em um primeiro momento, para realizar testes de implantação. Além disso, realizar uma implementação gradual permite mais controle e a visualização de todos os itens que devem ser adaptados para um melhor aproveitamento.
Realize o monitoramento
Após a implantação, vem a fase de monitoramento, na qual será realizado o acompanhamento de todos os processos com o intuito de visualizar forças e fraquezas.
Nesse ponto, pode-se atuar de forma preventiva para verificar as necessidades de adaptação e também para maximizar todas as vantagens que a GRC pode trazer para a empresa.
Essa etapa é a ideal para demonstrar os benefícios alcançados com a implantação da GRC para os diretores da empresa e demais membros da equipe, aumentando o engajamento.
O ideal, durante todo o processo de implementação da GRC em sua empresa, é documentar detalhadamente todos os passos realizados. Isso permite avançar na melhoria da governança, gestão de riscos e compliance com base em conhecimento sólido.
Quais são as vantagens?
Ficou claro que implementar a GRC é algo muito complexo e que demanda de vários recursos humanos e de gestão. Então, quais os benefícios entregues por esse alinhamento entre as três áreas estratégicas?
- Reduzir custos em TI — essa vantagem é alcançada por meio do corte de gastos desnecessários, minimização de ameaças e melhor governança de ativos;
- aumentar a produtividade — a diminuição de atividades duplicadas entre as áreas garante maior rendimento das equipes;
- melhorar a qualidade — contar com um alinhamento entre governança e compliance melhora a qualidade de produtos e serviços;
- garantir a boa imagem da empresa — estar em conformidade com todas as exigências permite que a imagem da empresa seja reconhecida e respeitada no mercado.
A GRC é fundamental para que uma empresa possa se manter no mercado de forma ativa e desenvolvendo-se naturalmente, evitando riscos e estando em conformidade com tudo que é esperado dela. Esperamos que este guia tenha auxiliado em sua compreensão desse tema tão importante.
Quer saber mais sobre GRC? Entre em contato agora mesmo com nossos consultores! Estamos à disposição para ajudá-lo a compreender como implantar esse contexto em sua empresa!
