O que é GRC, frameworks, como usar e implementar?

Governança, Risco e Conformidade (GRC) refere-se a um arcabouço estruturado corporativo que alinha áreas diversas da companhia às metas organizacionais comuns e estratégicas, promovendo a boa governança, o gerenciamento proporcional de riscos, assegurando o cumprimento das regulamentações de mercado de acordo com o porte, perfil e momento atual da companhia frente aos seus compromissos internos e externos.

GOVERNANÇA

Dogius Ignoramius

4/2/202513 min ler

GRC Governance Risk Compliance
GRC Governance Risk Compliance

Principais pilares do GRC

GOVERNANÇA
Governança refere-se ao conjunto de políticas, regras, diretrizes e frameworks que orientam uma organização na consecução de seus objetivos estratégicos, num conceito que abrange a distribuição de responsabilidades entre as partes interessadas, incluindo toda a diretoria e a alta administração - recomendamente top-down.
Governar é direcionar, prover transparência e ajudar com o controle do ecossistema, de forma fortemente alinhada com a governança corporativa da companhia, seus princípios garantidores e orientadores. Segundo IBGC, a Governança deve promover a integridade, a transparência, a equidade, responsabilização e sustentabilidade de um negócio, respeitando os controles relevantes deste eixo, seja qual for o framework em uso, em perfeita sinergia com as dimensões de Risco e do Compliance corporativo.

RISCOS
O gerenciamento de riscos tem como objetivo identificar, avaliar, comunicar, mitigar e responder as ameaças potenciais que possam comprometer a segurança e a operação da empresa, sejam estes riscos de natureza financeira, jurídica, estratégica, de imagem, de segurança cibernética, operacional ou qualquer outra categoria definida pela instituição.
Diz respeito a um processo de análise de riscos robusto (implementar, manter e gerenciar um modelo de Gerenciamento de Riscos), integrado, centralizado, unificado e que ofereça taxonomia, apetite e tolerância facilmente compreendidos, padeonizados e utilizados por toda a cia, pela alta direção e pelas áreas interessadas. Preferencialmente, uma estrutura que não se baseie num modelo de "risco empurrado e siliar", mas que ofereça uma proposta de "risco puxado e unificado", que promova a colaboração, seja integrativo com os times e contextos, seja enxuto e generalista o suficiente para que as demais áreas da companhia possam se beneficiar e consumir o padrão escolhido com o menor esforço e fricção possível.

COMPLIANCE
Diz respeito ao cumprimento de normativas, leis e regulamentações impostas por órgãos reguladores externos e combinados com as próprias diretrizes internas da empresa, onde implementar processos e controles que garantam a adesão a esses requisitos torna-se a pedra fundamental, visando evitar penalidades, promover a proteção e reputação corporativa frente as obrigações, as necessidades de mercado e que ajude as empresas seguirem cada vez mais aderentes as suas melhores-práticas.
Normalmente é o componente da tríade que mais acelera a implementação de Segurança, de Privacidade e colabora com o aumento de maturidade nas empresas - infelizmente, de forma errada, nada estimulante, reativa e mais cara. Gestionar Segurança da Informação baseado em rótulos, selos ou regulações (apenas por Compliance) é um dos erros mais comuns e ainda praticados por profissionais experientes e empresas de ponta. Atender SOx, PCI-DSS, ISO, BaCen, ANBIMA, CVM, HIPAA, ISA e outros selos deveria ser consequência de um ótimo trabalho de controle e governança frente ao SGSI/SGCN/SGPD e não seu objetivo primário.

E precisamos mesmo de GRC? Sim, preferencialmente um modelo que padronize os combinados, os objetivos conjuntos (individuais) e as relações dentro dentro da companhia como um todo. Entre os diversos modelos mais conhecidos dentro da área de Tecnologia e Segurança (listagem não exaustiva), podemos usar, consumir e considerar:

  • COBIT - Control Objectives for Information and Related Technologies

    Framework de governança e gestão que auxilia organizações a alinhar a TI aos objetivos de negócio, garantindo controle, conformidade e geração de valor. Sendo mais consumido e utilizado dentro da área de TI e por consultorias do ramo, o COBIT, em suas primeiras versões, nasceu como um framework que ajudava bastante na organização de auditoria, mas em pouco espaço de tempo incorporou seu viés governântico de alto nível e alcance promovendo ótima cobertura corporativa. Considerado um modelo personalizável, o COBIT permite facilidade de integração com outros frameworks (ITIL, BPMN, ITSM, COSO, ISO, Lean...), sendo um de seus principais pontos fortes a característica de ser flexível e adaptativo a ambientes altamente dinâmicos e tecnológicos.

  • COSO - Committee of Sponsoring Organizations of the Treadway Commission

    É um framework que comporta gerenciamento de riscos, controles internos e governança corporativa, usado para melhorar a confiabilidade financeira e a conformidade regulatória das organizações. Sua abordagem e papel são muito similares ao COBIT, porém, dado seu DNA e origem no mercado financeiro, seus processos e controles melhor se adequam a este setor. Integrar COSO onde existe COBIT (neste sentido e ordem) não é uma atividade das mais triviais, sendo recomendado então que, antes de se aventurar em um dos dois mundos, que se pesquise dentro da sua empresa se há alguma iniciativa existente que contemple (ou ajude) o propósito final que está sendo almejado da forma mais imparcial e flexível possível, preferencialmente optando por um único modelo ao invés de múltiplos.

  • ISO/IEC-27014 - Diretrizes e orientações para a Governança de Segurança da Informação

    Utilizado especificamente para a Governança em Segurança da Informação. Pelo seu sumário, fica evidente que a estrutura versa sobre uma abordagem contínua de melhoria do SGSI orientado aos pilares de GRC, respectivamente cobertos no normativo pelos itens 7.2.1, 7.2.2 e 7.2.4. Abstraído seu viés para SI, pode ser utilizado de forma mais generalista, embora seja considerado um modelo com uma proposta de menor alcance. Sua vantagem está no fato de melhor se conectar (e beneficiar) de outras ISOs e seus respectivos processos existentes na cia.

  • ISO/IEC-38500 - Governança Corporativa de Tecnologia da Informação

    Publicada pela Organização Internacional de Normalização (ISO) e a Comissão Eletrotécnica Internacional (IEC), o framework se propõe a nortear as lideranças estratégicas de mais alto nível das organizações a compreender e cumprir suas obrigações regulatórias, legais e éticas no contexto da utilização de TI dentro e fora de suas companhias, fornecendo os princípios basilares e orientadores para o uso eficaz, eficiente e uníssono da TI junto com as demandas de negócio. Aplicável em organizações de todos os tamanhos, incluindo órgãos públicos e empresas privadas, governos, organizações sem fins lucrativos ou não-governamentais, é orientada a partir dos pilares Responsabilidade, Estratégia, Aquisição, Desempenho, Conformidade e Comportamento Humano.

  • OCEG - Open Compliance and Ethical Group - GRC Capability Model

    Embora um dos mais desconhecidos frameworks, OCEG alcançou nos últimos anos um patamar de maturidade, desenvolvimento, participação da sociedade, de empresas, especialistas e suporte muito bem produzidos e fundamentados praticamente na metade do tempo dos seus concorrentes. Abordando GRC desse 2002 de forma muito bem estruturada, sua proposta de eGRC (Enterprise GRC) começa a se tornar mais distribuída e real, utilizada por grandes consultorias e empresas globais e começando a se tornar padrão "de facto". OCEG permite excelente sinergia com ESG sem deixar nada a desejar ao seu companheiro mais famoso e estrelado tendo inclusive, maior cobertura e maturidade em diversos controles que o seu concorrente - itens estes previstos e existentes, apenas como referência temporal, desde a Rio/ECO92 ou reapresentados em 2012 via ONU-ODS.

Mas, qual a importância do GRC

Uma abordagem de eGRC (Enterprise GRC), de iGRC (Intelligence GRC) ou hGRC (Holistic GRC) permite maior sinergia entre a cultura, o negócio, o ambiente, as pessoas, os processos e as tecnologias, a partir de indicadores padronizados e cascateados top-down entre times, áreas e atividades que, mesmo que indiretamente, irão contribuir sinergicamente com os objetivos e propósitos fim da corporação. E quais as principais vantagens dessa abordagem estruturada?

. VISÃO INTEGRADA
Uma abordagem GRC fornece uma visão integrada e abrangente das atividades e processos da empresa. Permite que a empresa entenda como as decisões de governança afetam os riscos e a conformidade e vice-versa de forma triangulada, do mais alto nível as necessidades mais operacionais.

. EFICIÊNCIA OPERACIONAL
Ao integrar as práticas de governança, gestão de riscos e conformidade, a empresa pode eliminar redundâncias, unificar e otimizar processos, resultando em maior eficiência operacional, sinergia de indicadores, menor retrabalho entre áreas e redução de custos.

. GESTÃO PROATIVA DE RISCOS
Permite que a empresa identifique e gerencie proativamente os riscos em todas as áreas de negócio, não especificamente em Segurança, atividade esta crucial para evitar surpresas desagradáveis, reduzir a superfície de exposição e manter a resiliência dos negócios.

. CONFORMIDADE REGULATÓRIA
Ao integrar a conformidade às práticas de governança e gestão de riscos, as empresas podem melhor garantir que estão em conformidade com as regulamentações aplicáveis, reduzindo por consequência o risco de multas, sanções, penalidades, desconhecimento legal e exposição em mercados regulados.

. REPUTAÇÃO DA MARCA
A abordagem GRC ajuda a proteger a reputação da marca, cumprir normas éticas, legais e regulatórias contribuindo para a construção de uma imagem positiva perante clientes, parceiros, a sociedade e todas as partes interessadas melhorando, inclusive, a qualidade e coerência de seus controles e, consequentemente, dos relatórios de/para o mercado e suas partes interessadas.

. TOMADA DE DECISÕES
As informações sobre governança, riscos e conformidade são integradas e disponíveis para os tomadores de decisão, permitindo decisões melhor enriquecidas, com maior agrupamento de contextos (premissa da ISO-31000), ótimas correlações com necessidades setoriais, com o ESG e alinhamento aos objetivos estratégicos da empresa.

. RESILIÊNCIA OPERACIONAL
Ao governar por padrões "de-facto" e ao gerenciar riscos de maneira proativa e integrada, é natural que a empresa se torne mais resiliente, aderente e consciente. A corporação estará mais preparada para lidar com mudanças nos ambientes de negócios, situações de crises, anormalidades e eventos inesperados.

. CRIAÇÃO DE VALOR
GRC bem implementado contribui para a criação de valor, principalmente no médio/longo prazos. Isso é alcançado através da gestão eficaz dos indicadores de norte estratégico, dos riscos, da garantia de conformidade ancoradas em sólidas práticas de governança corporativa, que se fundem de forma muito mais natural, simples e com menor fricção a outros frameworks e arcabouços globalmente consumidos e utilizados pela indústria - independentemente do tipo da sua empresa, porte, setor regulado, processos em curso ou ferramentas em uso.


Essa tríade, amplifica o valor reduzindo sobreposições, atritos com outros modelos, com perfeita sinergia entre todos os níveis/camadas corporativas, independente se sua startup ou empresa centenária consumir BPMN, Lean, PmBok, DAMA, DSG, Kanban, BaBok, ITIL, BaCen, COBIT, ESG ou mesmo nenhum modelo estruturado.

Como implementar GRC

A efetivação de um modelo de GRC requer planejamento estratégico e a colaboração entre diferentes departamentos da organização, principalmente da alta gestão. Algumas etapas fundamentais, não necessariamente em ordem, incluem:

  • Definir objetivos claros – identificar as estratégias atuais, as diretrizes, os valores, a missão/visão, os riscos e os requisitos regulatórios iniciais e prioritários, sem se esquecer do médio/longo prazo e projetos estruturantes em curso ou desejados.

  • Avaliar processos existentes – identificar lacunas no modelo de governança atual, na estrutura de riscos, em desvios de aderência (internos ou externos), lições aprendidas e nas necessidades de conformidade - comece pequeno e com o que tem disponível.

  • Adotar e adaptar frameworks – selecionar frameworks apropriados e reconhecidos que promovam GRC, principalmente modelos que integrem com outros frameworks preexistentes na sua companhia com facilidade (como COSO, OCEG, ESG, ISO, BPMN ou COBIT).

  • Capacitar a alta administração – garantir que a liderança compreenda a relevância do GRC, conheça suas responsabilidades, se engaje com indicadores, replique e colabore com o processo de aculturamento e conscientização.

  • Implementar soluções tecnológicas – utilizar softwares de GRC para monitoramento e gestão eficiente, não de forma aleatória (não necessariamente as ferramentas de GRC mais utilizadas ou que tenham algum apelo de Inteligência Artificial), mas que tenham sinergia com o capital humano (pessoas da sua companhia) e contribua com os processos relevantes, efetivos e que promovam automação.

  • Realizar testes e auditorias – validar a efetividade das políticas, das normas, processos, procedimentos, evidências e controles implementados. Utilize algum modelo baseado em "linhas de defesa" que permita autonomia, expertises diferentes, avalições cruzadas e vislumbre melhoria continua em toda a cadeia, inclusive na própria área de auditoria.

Considerações finais

A adoção de um programa de GRC estruturado contribui significativamente para a sustentabilidade e organização organizacional, permitindo melhor gestão de riscos, conformidade com normativas e aprimoramento da governança corporativa como um todo. No entanto, sua implementação exige um planejamento cuidadoso, supervisão inicial por experts no assunto, integração entre setores e sinergia no uso de tecnologias apropriadas ao momento e particularidades de cada empresa. É fato que GRC é um grande diferencial competitivo do presente e que será cada vez mais importante no futuro, porém é importante frisar aos gestores e entusiastas do modelo que, estruturar e manter um programa formal, relevante e contínuo de GRC, com todos os ritos, processos e indicadores continua sendo uma tarefa que exige conhecimento considerável na disciplina, não somente nos domínios isolados, mas principalmente com experiência prática e real com sua abordagem unificada. E você, quais foram seus desafios e fatores de sucesso com o tema? Conte-nos.

Em caso de dúvidas com o artigo, necessidade pontuais com o assunto, com os modelos de governança, ferramentas de uso, modelos de integração ou indicadores, contacte a OmniSec.

Erros mais comuns durante a definição da estrutura de GRC

Apesar dos benefícios, a implementação de um programa de GRC pode enfrentar desafios e, quanto mais preparado sua instituição estiver para sobreviver a estas oscilações, maiores são as taxas de sucesso e percepção de valor em todo o modelo.

  • Confusão de papéis – Governança não é gerida, mas definida, monitorada e analisada, sendo a gestão quem deve executa as diretrizes estabelecidas e reportar sobre, principalmente quando indicadores não estejam dentro do alvo esperado.

  • Falta de adaptação Aplicar frameworks sem considerar fatores organizacionais, momento e cultura pode comprometer sua efetividade. Adotar é o primeiro passo e, em seguida, adapte seu framework as suas necessidades e competências.

  • Excesso de personalização – Modificar frameworks a ponto de descaracterizá-lo reduz sua eficácia. A adaptação deve manter sua essência e não mudar nunca os contextos dos objetivos de controle. Prefira manter desativado (N/A - Não se Aplica) controles do que removê-los em definitivo da sua personalização o que dificultaria revisitas/releituras futuras em caso de novos contextos.

    Foco excessivo em uma área – Priorizar apenas uma área pode criar pontos de desinteresse em outras áreas. Tente iniciar suas atividades com áreas mais maduras que facilitem uma primeira atividade, mas nunca deixe de considerar áreas com maior dificuldade de participação e compreensão no arranjo.

  • Dependência de normatização – Esperar por normas para agir prejudica o timing, reduz a agilidade e restringe a inovação. Agilize, comece pequeno com o que há de disponível e expanda gradualmente. Se não há diretrizes especificas, prefira criar as suas a ficar aguardando lançamentos futuros.

  • GRC fragmentado – Estruturas isoladas e em silos levam a duplicação de esforços, a não sinergia de indicadores, a falta de clareza estratégica e normalmente ao retrabalho e burocracia excessiva, criando processos desconectados da realidade operacional. Persiga a unificação, centralização, aproveitamento e sinergia de processos similares com indicadores durante a sua jornada.

Desafios da estrutura de GRC

Os desafios do GRC envolvem a complexidade de integrar governança, risco e conformidade na esfera corporativa, ainda mais em setores dinâmicos e não-regulamentados. Dificuldades como a fragmentação de processos, falta de cultura organizacional voltada para riscos, e a necessidade de adaptação constante às mudanças regulatórias e novas ameaças, especialmente no campo da segurança cibernética e privacidade, são constantes e devem ser tratados com disciplina e persistência. Ademais, temos:

  • Resistência à mudança: colaboradores podem encontrar dificuldades na transição para novos processos, políticas e modelos.

  • Complexidade na gestão: a unificação de informações departamentais pode gerar redundância de dados num primeiro momento.

  • Integração de sistemas: a falta de um framework de GRC corporativo pode comprometer a eficácia da implementação e gerar silos independentes que mais atrapalham do que ajudam.

  • Cultura organizacional: requer compromisso da alta administração, comunicação transparente e visão de médio/longo prazo, uma vez que é uma das principais variáveis - e uma com o maior tempo de convergência.

Visão sobre Governança Corporativa

Nos anos 1970 e 1980, escândalos financeiros (como o caso da Penn Central nos EUA), impulsionaram discussões sobre melhores práticas de governança, fazendo com que no início de 1990, Relatório Cadbury, um material produzido no Reino Unido e que vislumbrava a separação da responsabilidade conselho-direção, torna-se um marco ao definir princípios fundamentais de governança corporativa como a transparência, a responsabilidade e prestação de contas associados a cenários de incertezas (riscos) e, naturalmente, a modelos de mediação/referência que pudessem ser comparáveis, atestado e repetíveis.

Num período onde a governança corporativa passava por momentos delicados de incerteza, dependência, carecendo da necessidade de melhorias e por momentos de manifestações visando equilibrar interesses de acionistas, da sociedade, do ambiente, dos executivos e demais partes interessadas, acrescido do crescimento exponencial das grandes corporações (principalmente a partir do século XIX) e o desejo de separação entre propriedade e gestão, torna-se evidente a necessidade da criação de um mecanismo para supervisionar os administradores, provisionar riscos e garantir a transparência a partir de algum modelo de mediação/referência minimamente definido e fortemente interdependente entre seus macro-eixos.

Assim, a governança corporativa tradicional evoluiu para o modelo mais abrangente de GRC - Governança, de Risco e de Conformidade, à medida que as organizações passaram a enfrentar ambientes regulatórios bem mais complexos, riscos diversos crescentes e maior exigência por transparência em suas decisões. A ilustração seguinte, demonstra os principais marcos e acontecimentos que promoveram a Governança Corporativa a um patamar mais elaborado e holista.

Governança Corporativa Linha do Tempo
Governança Corporativa Linha do Tempo

Modelo GRC

O conceito de GRC surgiu a partir da identificação da necessidade do agrupamento de três disciplinas isoladas corporativas ditas de altíssima importância que quando estudas e avaliadas de maneira holista, fica comprovado e claro que juntas, ofereciam muito mais valor agregado e reforçariam não somente seus domínios primários de interesse como fortaleceriam o novo agrupamento. Um caso clássico de 1+1+1=5.

O conceito de GRC começou a ganhar força de forma mais unificada e clara nos anos 2000, impulsionado por escândalos como os da Enron, Parmalat, Arthur Andersen e WorldCom que, resultaram na criação da Lei Sarbanes-Oxley em 2002 (Paul Sarbanes e Michael Oxley - SOx, com um viés claro voltado ao Compliance), exigindo maior controle financeiro e auditoria independente nas empresas, esta, com reflexos e impactos diretos em áreas cruzadas da companhia, inclusive em Tecnologia, a partir das seções 302 que "determina que Diretores Executivos e Diretores Financeiros declarem pessoalmente que são responsáveis pelos controles e procedimentos de divulgação" e 404 que "exige que a gerência conduza uma avaliação da eficácia operacional dos controles internos da empresa (da empresa e não de rótulo/ótica única) sobre relatórios financeiros e seus respectivos riscos".

Ao longo do tempo, as empresas perceberam que governança, gestão corporativa de riscos e conformidade regulatória não poderiam ser tratadas de forma isolada e, em 2002, o OCEG - Open Compliance & Ethics Group, formalizou o conceito de GRC como uma abordagem integrada e interdependente, que promoveria a eficiência e sinergia entre esses três pilares como elemento essencial para que as empresas pudessem, enfrentar os novos desafios de um mundo hiperconectado, exigente e cada vez mais complexo.

GRC ecosystem graphic
GRC ecosystem graphic