GRC não pode ser um departamento, por Jônatas Souza*
Quais são as suas expectativas para o futuro? Essa foi uma das perguntas feitas pela ONU ao elaborar o The Global Risk Report de 2022. E sabe o que ela descobriu? Que 84% se sentem preocupados ou muito preocupados. A maioria dos entrevistados, segundo o relatório, espera que os próximos três anos sejam caracterizados por volatilidade consistente e múltiplas surpresas ou trajetórias fragmentadas que separarão vencedores e perdedores relativos. Agora, de novo, de acordo com as suas expectativas, de que lado você deverá estar? E com base em que você responde a estas perguntas? Talvez em algum software que te convenceram a comprar e que até hoje você não entendeu muito bem para que serve.
O foco em áreas de risco e as ameaças à continuidade dos negócios passaram a ocupar o centro das atenções nos últimos anos, ao mesmo tempo o ambiente regulatório se tornou mais rígido, complexo, entraram em cena questões como privacidade, responsabilidade social e ambiental, colocando ainda mais pressão sobre a Governança. Para lidar com assuntos tão diversos e essenciais, as empresas vêm se instrumentalizando. ESG, LGPD, Cybersecurity…tem software para toda a sorte de siglas e assuntos.
Pesquisa recente do IDC descobriu que quase dois terços das organizações usam várias soluções de GRC, até cinco ou mais. E justamente as que contam com um número maior de soluções GRC tendem a ter uma taxa menor de integração entre as soluções. O IDC concluiu que as empresas com os maiores gastos em GRC podem não estar implementando o GRC de maneira eficiente e aproveitando esse investimento em toda a organização. E é justamente aqui que eu quero chegar!
Por que isso acontece? Porque Governança, Risco e Compliance não se resumem a um software ou departamento. A tecnologia é ótima aliada para a gestão eficiente e eficaz das questões de Compliance e Risco. Softwares ajudam a automatizar frameworks de GRC, supervisionar políticas, gerenciar riscos, garantir conformidade. Mas tecnologia é apenas o meio. Escutei esses dias em um webinar e foi como um clique! Da mesma forma que segurança da informação não se traduz em instalar firewall, sustentabilidade não é só separar o lixo reciclável, doar para ongs ou comprar créditos de carbono, assim como governança, risco e compliance não se garantem apenas com ajuste de políticas. É necessária uma transformação da empresa, uma mudança de mentalidade dos gestores. E esse aculturamento tem que ser top down.
Em artigo, Eduardo Person Pardini, diretor executivo do Internal Control Institute – Chapter Brasil, explica que um processo de gerenciamento de riscos olha para o futuro, conhece os eventos que possam impactar sua operação, identificam riscos e causas, avalia a magnitude e define o tratamento adequado para manter os riscos em níveis aceitáveis. Esse processo integra de forma organizada e estruturada todos os níveis de uma organização, do contrário e sem um sistema (não um software) de controle interno não é possível um programa de compliance e integridade efetivo.
Muitas vezes, em conversas com clientes, escuto a seguinte frase: “se o seu software não impede invasões de hackers ou se ele não identifica e barra os riscos automaticamente, para que ele serve?” Ora, muitas questões de cybersegurança, por exemplo, têm a ver com riscos operacionais. E quem vai dizer se os processos são executados como foram pensados só pode ser a sua própria organização, CEOs, diretores! Se você desconhece seus processos, se você não entende aquilo que representa um risco à continuidade do seu negócio, de nada serve uma ferramenta.
Hoje existem plataformas para levar a governança para as pessoas certas no tempo certo. A GlobalSUITE, software all-in-one para gestão de GRC, por exemplo, traz frameworks adaptáveis e automatizados, com catálogos de normas atualizados, fornece rastreabilidade de todas as ações, proporciona o monitoramento contínuo, gestão centralizada de documentos, relatórios e métricas relevantes. Mas no final, o componente humano vem sempre antes!
*Jônatas Souza atua como pré-vendas e consultor em Privacidade de Dados, Gestão de Riscos e Compliance na MarketTrends