Um guia para implementação de Governança de TI, Risco e Compliance

/ April 6, 2016
http://www.freepik.com

http://www.freepik.com

Empresas que não possuem tecnologia como fim, não possuem o entendimento correto e nem a dimensão do que a área de TI deve realmente fazer. Possuem ainda a visão do CPD, onde a tecnologia existe somente para apoiar a digitação e digitalização de documentos, impressão e dezenas de sistemas ilhados.

Esse cenário ainda é bastante comum nos dias atuais, infelizmente. O profissional responsável pela área de TI tem como obrigação conhecer e divulgar para a diretoria que a área deve estar alinhada com a estratégia da empresa. De nada adianta dar um suporte tecnológico sem um objetivo a alcançar.

Os diversos sistemas que não se comunicam entre si, que não são auditáveis, são desenvolvidos em linguagens antigas, sem suporte, o que encarece muito a manutenção dos mesmos.

Para saber o que a área pode entregar é necessário ter controle dos serviços existentes e para ter controle é necessário gerência e para gerenciar, são necessários índices, métricas e acompanhamento para saber se os objetivos estão sendo alcançados.

 

 

Um passo de cada vez

Antes de começar é necessário que a diretoria entenda a importância e os ganhos que a governança vai gerar quando estiver implementada e plenamente utilizada. É necessário que entendam que embora os conceitos são relacionados, os mesmos são distintos e que o conjunto das partes é muito maior que a soma de cada partes, ou seja, que é imprescindível a implementação de todas as partes e não uma de cada vez.

O primeiro passo no planejamento da Governança, Risco e Compliance (GRC) é alinhar todos os envolvidos. Não é somente informar o que vai acontecer, é buscar o apoio dos stakeholders, é fazer com que os stakeholders comprem a mudança, que a desejem. Envolva-os, pergunte suas opiniões em como melhorar seus processos, em como eles poderiam definir como mensurar o sucesso de suas atividades. Esse apoio é crucial no planejamento e na implantação do GRC, pois são os stakeholders que sofrerão o maior impacto nas mudanças dos processos. Eles tem que concordar com os objetivos, visão e o planejamento para a implementação.

Durante as discussões iniciais, você deverá estabelecer um padrão de comunicação e definição dos riscos, garantindo que todos estejam alinhados falando uma língua comum, e que todos os stakeholders possam avaliar e apoiar os termos utilizados. Esse passo realmente pode demorar muito mais que o imaginado, mas após o alinhamento dessas definições utilizadas no GRC o risco de má interpretação será drasticamente reduzido.

O próximo passo é atualizar, ou definir, suas políticas, procedimentos e controles – até porque, os resultados serão tão bons quanto os dados que os compõem. Isso pode ser tão simples quanto confirmar se a documentação atual é revisada e atualizada regularmente, mas pode ser mais trabalhosa se a documentação não tiver sido atualizada. Estes dados serão os insumos da sua solução GRC e definirá seu apetite pelos riscos. Outro motivo para que os dados sejam precisos: é a informação que você será auditado.

Você precisa estabelecer requerimentos e desenvolver processos para identificação de problemas, gerenciamento de problemas, remediação e comunicação. Durante este processo você essencialmente desenha a fundação para os requisitos do negócio da organização. Esses requerimentos serão automatizados na sua solução GRC.

Quando estiver decidindo os requerimentos, você tem que pesá-las baseando-se no tamanho de sua organização, o número de grupos dentro da empresa que alavancará  a solução e o número de regulamentações que a organização está submetida. Não se esqueça de levar em consideração os problemas que o levaram a considerar a solução do GRC, por exemplo, a falta de visualização em tempo real das vendas da empresa e os riscos envolvidos.

Neste ponto, você estará pronto para selecionar a solução GRC correta para sua empresa.

Depois, você determinará como e onde você iniciará a implementação. Para a maioria das empresas, uma aproximação gradual (em vez de empurrar de goela abaixo) é mais efetiva porque permite que você diminua o escopo e foque na implementação a um número reduzido dos usuários do negócio. Esta aproximação permite que você crie processos protótipos que você poderá repeti-los em implementações futuras. É necessário também desenhar o “lições aprendidas” da implementação inicial para que você refine o processo para fazer com que as próximas soluções saiam mas rápido e facilmente.

Finalmente você descreverá como as unidades de negócio usarão a nova solução de GRC, observando e encorajando  a gerenciar ativamente seus próprios riscos. Depois disso, tudo o que resta é treinar os usuários. A utilização pelos usuários necessita de monitoramento contínuo para aferir e garantir o cumprimento das metas estabelecidas. Uma ótima solução com um número reduzido de usuários não permitirá que sua empresa atinja todo o benefício que poderá ser obtida.

 

 

Os resultados

Seguindo esses passos permitirá que você gerencie as políticas e processos a partir de um repositório centralizado. As divisões que utilizarão os processos definidos garantirão o nível de auditoria e compliance desejados. A consolidação dessas práticas podem resultar na redução do número de controles, de custo e de complexidade. É possível reduzir ainda o custo com auditorias externas e testes de controles de TI. Com o processo de governança trabalhando efetivamente, é possível também:

  • Aumentar a agilidade do negócio
  • Liberação de recursos internos
  • Reagir rapidamente às mudanças de legislação

 

 

Se houver alguma dúvida, sugestão ou percebeu algum erro de digitação, não hesite em entrar em contato que responderei tão rápido quanto puder e atribuirei o crédito pela ajuda.

Até mais!
André Fellows

Related posts

Leave a Reply Cancel reply