GRC (Governança, Risco e Compliance), mais uma sigla para dar dor de cabeça para o cara da TI. Será que é isso mesmo?

Vamos entender do que se trata GRC!

Este assunto é chato, mas necessário, são conceitos vitais para uma efetiva Governança de TI dentro do negócio.

Com certeza, se você está lendo este artigo e entende um pouco de TI, já sabe a importância da Governança de TI, senão leia mais aqui.

Risco também você sabe o que é e como ele afeta a TI e consequentemente seu negócio.

Mas você sabe o que é Compliance? (Coloque no tradutor do Google para saber a pronúncia)

Agora que você aprendeu a pronúncia, descobriu também que compliance quer dizer conformidade.

Nos âmbitos institucional e corporativo, Compliance é o conjunto de disciplinas para fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa, bem como evitar, detectar e tratar qualquer desvio ou inconformidade que possa ocorrer.

Wikipedia

Mas o que regulamentação e compliance tem a ver com TI?

Dependendo do negócio existe uma regulamentação, norma ou leis a serem seguidas. Por exemplo, empresas de telecomunicações no Brasil são obrigadas a seguir a regulamentação da Anatel.

Os bancos seguem normas do Banco Central e empresas com ações na Bovespa seguem regulamento da CMV – Comissão de Valores Imobiliários. Temos também normativas do Governo Federal, normas ISO, PCI DSS, Código Civil, Código de Defesa do Consumidor, entre outras.

Sendo assim, administrar risco e compliance está cada vez mais presente nas empresas de todos os segmentos para prevenir e administrar riscos de seus negócios.

Para a Superintendente de Compliance e Risco Operacional do Grupo Bonsucesso, Patricia Borba, compliance é muito mais do que seguir regras. Além disso, pode trazer muitos ganhos, como credibilidade diante das partes relacionadas e novas oportunidades no mercado.

“No início, as empresas eram muito de fazer compliance por compliance. Ainda existe uma visão de que ele dificulta o trabalho, mas não é verdade: se você não tiver compliance, terá muito mais problemas no futuro, pois serve para que a segurança flua melhor dentro da instituição.

É uma sustentação para ter uma empresa forte e segura. As médias e pequenas empresas estão começando a ver isso agora”, diz.

Pronto! Acabou o assunto!

Não, você já entendeu a relação e integração Governança, Risco e Compliance – GRC, agora consegue explicar para o diretor do que se trata esta e entender do que se trata quando alguém quiser lhe vender uma ótima solução de GRC.

Mas se quiser entender um pouco mais e quem sabe criar sua própria solução, continue lendo…

Controles internos e gestão de riscos

A Governança Corporativa tem princípios, que de acordo com IBGC (2009) são:

  • Transparência: obrigação e desejo de informar resultados e ações.
  • Equidade: tratamento igual para todos os acionistas.
  • Prestação de contas: os agentes da governança corporativa prestam contas e são responsáveis pelos seus atos e omissões.
  • Responsabilidade corporativa: os agentes de governança devem zelar pela sustentabilidade das organizações, visando a sua longevidade, incorporando considerações de ordem social e ambiental na definição dos negócios e operações.

Para garantir estes princípios são necessários controles internos e Gestão de Riscos.

De acordo com o COSO – The Committee of Sponsoring Organizations of the Treadway Commission (Comitê das Organizações Patrocinadoras), o controle interno é um processo efetuado pelo conselho, executivos ou qualquer outro funcionário de uma organização, com a finalidade de possibilitar o máximo de garantia nas seguintes categorias de objetivos:

  • Eficiência e eficácia das operações: salvaguarda de seus ativos e prevenção e detecção de fraudes e erros.
  • Confiabilidade das demonstrações financeiras: exatidão, integridade e confiabilidade dos registros financeiros e contábeis.
  • Conformidade com as leis e regulamentos vigentes: aderência às normas administrativas, às políticas da empresa e à legislação à qual está subordinada.

Existem vários regulamentos nas áreas de “controle interno” das organizações, os principais e mais conhecidos são: o Sarbanes-Oxley Act e o Acordo da Basileia. O primeiro atinge empresas de capital aberto e que têm ações nas bolsas de valores norte-americanas. No Brasil, atinge algumas empresas de capital majoritariamente nacional e as subsidiárias de empresas transnacionais.

A segunda atinge instituições financeiras de uma forma geral. É uma regulamentação patrocinada pelo Bank for International Settlements ou BIS, que seria o “Banco Central dos Bancos Centrais”, com sede na cidade de Basileia, na Suíça. A partir dela, as autoridades bancárias principais de vários países criaram modelos derivados (no caso do Banco Central do Brasil, temos a Resolução 3380).

Ambas as regulamentações têm forte impacto na área de TI e fazem parte do nosso modelo de Governança de TI, pois, dependendo da organização, devem ser contempladas pelo alinhamento estratégico. Seu atendimento se reveste de vários projetos constantes do portfólio de TI, que vão criar restrições às operações de serviços de TI.

Aqui entendemos quais as vantagens do GRC. Não entendeu? Vou explicar melhor:

Vantagens de Governança, Risco e Compliance – GRC

Reduzir custos, aumentar produtividade e eficiência operacional de acordo com as políticas e regulamentações do mercado, aumentar a credibilidade diante das partes relacionadas e criar novas oportunidades no mercado. É uma sustentação para ter uma empresa forte e segura.

“Uma das grandes motivadores para adotar as ferramentas de GRC é que a empresa não precisa contratar auditores. Uma economia enorme em momento de redução de custos soa bastante interessante”, responde José Antunes, gerente de engenharia de sistemas da McAfee Brasil.

GRC - Risco e Compliance

Imagem: Safe Way Consultoria

Analise a figura e você vai ter um bom resumo da função do GRC e como ela auxilia na otimização do negócio.

Agora vamos falar sobre algumas regulamentações financeiras, pois foram elas que motivaram tantas outras regulamentações e o surgimento do termo GRC.

Sarbanes-Oxley Act – SOX

A Lei Sarbanes-Oxley (Sarbanes-Oxley Act, normalmente abreviada em SOx) é uma lei dos Estados Unidos criada em 30 de julho de 2002 por iniciativa do senador Paul Sarbanes (Democrata) e do deputado Michael Oxley (Republicano).

A criação desta lei foi uma conseqüência das fraudes e escândalos contábeis que, na época, atingiram grandes corporações nos Estados Unidos (Enron, Arthur Andersen, WorldCom, Xerox etc…), e teve como intuito tentar evitar a fuga dos investidores causada pela insegurança e perda de confiança em relação as escriturações contábeis e aos princípios de governança nas empresas.

Para você entender melhor: a Enron falsificou os resultados financeiros para manter e aumentar o seu valor de mercado, sendo assim  as pessoas continuaram aplicando seu dinheirinho suado na Enron, porém ela estava quebrada e os espertos embolsando a grana. A Arthur Andersen era quem deveria auditar estas contas, porém participou da fraude. Sendo assim quando estourou o escândalo, muitas pessoas perderam dinheiro, algumas até faliram. Por isso a necessidade de uma lei para regulamentar.

Segundo Aguinaldo Aragon Fernandes e ‎Vladimir Ferraz de Abreu a SOX afeta a TI de forma bastante significativa. Lembramos que as informações financeiras e de resultados são oriundas de todos os processos de negócio que geram fatos contábeis e financeiros para a empresa e que podem estar automatizados ou não.

Portanto, praticamente todos os sistemas transacionais de uma empresa, relativos a pagamento de pessoal, pagamento de benefícios a pessoal, transações com fornecedores (compras, aplicação de recursos financeiros) e clientes (vendas, captação de recursos financeiros), com acionistas, com o governo, gestão de recursos financeiros, etc., devem ser considerados quando pensamos no SOX.

No contexto de um sistema de controle interno, os riscos são identificados e mitigados, os controles são estabelecidos e executados, os registros e sistemas de controle são desenvolvidos e mantidos e toda a sistemática é monitorada. A TI, como sabemos, é um elemento crítico como fonte de risco para a continuidade do negócio e para o atendimento ao SOX.

Analisando de forma mais prática temos a seguinte tabela:

Implicações do SOX na TI

Impacto do SOX na Governança de TI

O SOX impacta a Governança de TI no que diz respeito aos seguintes aspectos:

  • ˆˆAs questões relativas ao SOX devem ser tratadas no Plano de Tecnologia da Informação.
  • ˆˆNovos controles (funcionalidades) em aplicações do legado devem ser implantados.
  • ˆˆNovas aplicações devem ser implantadas.
  • ˆˆProcessos de TI existentes devem ser ajustados e melhorados para mitigar riscos.
  • ˆˆNovos processos de TI devem ser projetados e implantados.
  • ˆˆOcorrência de prováveis mudanças na estrutura organizacional de TI em função dos processos ajustados e também dos novos.
  • ˆˆNovos indicadores de desempenho deverão ser definidos e implantados.
  • ˆˆOs riscos de TI devem ser monitorados constantemente.

Com isso temos uma visão clara de como regulamentações e normas pode impactar a TI.

Finalizando este tema, o CIO ou responsável pela TI, deve ser peça fundamental no esforço da empresa para se ajustar ao SOX, devendo participar ativamente do projeto de adequação.

Acordo da Basileia II

Estabelecido pelo Bank for International Settlements, BIS, sediado na cidade suíça da Basileia (que vem a ser o “Banco Central dos Bancos Centrais”), o Acordo
da Basileia II estipula requisitos de capital mínimo para as instituições financeiras, em função dos seus riscos de crédito e operacionais.

Implicações do Acordo da Basileia II sobre TI

Atualmente, o Banco Central do Brasil vem auditando as áreas de TI dos bancos através do instrumento denominado CobiT (Control Objectives for Information and related Technology), desenvolvido pela Information Systems Audit and Control Association – ISACA (falaremos sobre este framework em outro post).

Como os bancos no Brasil estão em estágio extremamente avançado no que diz respeito à integração, uso de tecnologias, diversidade de canais e diversidade de produtos, a questão “risco operacional” de TI é primordial. A TI é um dos principais elementos do risco operacional de um banco, juntamente com pessoas e processos de negócio.

No que tange ao risco operacional, o impacto do Acordo da Basileia abrange praticamente todo o espectro de processos de TI e respectivas áreas organizacionais.

Do ponto de vista do risco de crédito, o impacto recai sobre:

  • ˆˆCapacidade de armazenamento de dados em face da granularidade de informações requeridas de cada cliente, visando avaliar riscos de forma mais consistente.
  • ˆˆIntegridade das informações acerca das transações do banco.
  • ˆˆIntegridade das informações armazenadas sobre os clientes e operações de crédito.
  • ˆˆSegurança dessas informações.
  • ˆˆContingências na operação.
  • ˆˆPlanejamento de capacidade.
  • ˆˆPlanejamento de desastre e recuperação.

Resolução 3380 do Banco Central do Brasil

Em junho de 2006, foi publicada a Resolução 3380, do Banco Central do Brasil, que determina que as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central implementem sua própria estrutura de gerenciamento de risco.

Conforme definição na resolução, risco operacional é a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos. No que tange à Tecnologia da Informação, a resolução refere-se a falhas em sistemas como risco operacional. Alguns riscos apontados, tais como interrupção de atividades da instituição e danos a ativos, também podem ser originados pela tecnologia da informação.

De acordo com a resolução, deve-se identificar, avaliar, monitorar, controlar e mitigar os riscos da instituição:

  • Os riscos operacionais devem ser identificados, avaliados, monitorados, controlados e mitigados (essa gestão deve ser permanentemente executada).
  • ˆˆPlanos de continuidade de negócios devem ser elaborados, testados e atualizados.
  • Os riscos dos fornecedores de serviços devem ser gerenciados.

Como começar implantar Governança, Risco e Compliance – GRC

O ponto de partida utilizado pela maioria das instituições é a avaliação dos riscos de TI com base nos processos do CobiT.

Outra abordagem é a elaboração de mapas de riscos por negócio, onde os riscos que a TI oferece para o negócio são identificados, avaliados, monitorados, controlados e mitigados.

Por exemplo, em processos críticos de negócios, geralmente são elaborados Planos de Continuidade do Negócio, que irão resultar na elaboração de Planos de Desastre e Recuperação pela TI, visando recuperar serviços de TI que apoiam o processo de negócio.

O mais importante é que tanto o sistema de controle interno como o de risco são grandes aliados na implantação da Governança de TI na organização.

Um abraço e bons estudos!