Autor: Eduardo Poggi

Riscos de TI têm de ser monitorados junto com riscos corporativos

Em que pese o aumento da percepção nas empresas sobre a importância da abordagem GRC (Governance, Risk and Compliance) para assegurar a saúde e a continuidade dos negócios, a verdade é que as áreas de gestão e de supervisão internas ainda trabalham sem a necessária integração entre elas, atuando como se estivessem em “silos” isolados.

No entendimento da Módulo, houve avanços neste terreno, mas ainda prevalecem sérias insuficiências nos projetos em geral. Analisando primeiramente os ganhos registrados, Eduardo Poggi, especialista em GRC da consultoria, nota que “as organizações brasileiras estão cada vez mais conscientes da necessidade crítica de vincular a gestão de riscos à do desempenho corporativo, meta que o GRC defende”.

Nesse quadro, detalha ele, em termos de atribuições, a governança fica mais afeita ao processo de definição e distribuição de regras e políticas; os riscos são o procedimento de Gestão de Riscos Corporativos (ou ERM – Enterprise Risk Management); e o “compliance”, ou conformidade, pode ser descrito como o processo contínuo de verificação de atendimento aos requisitos e controles definidos, normalmente executado por uma auditoria.

Apesar de estes conceitos estarem mais claros, observa Poggi, há um problema que persiste, qual seja, o tratamento do tema em “silos”: “Em outras palavras, as empresas percebem a importância do GRC, mas o maior desafio ainda é fazer com que as diversas áreas corporativas evitem trabalhar de forma não integrada”.

Um exemplo do que seria necessário fazer, menciona o consultor, é a integração do IT-GRC (GRC de TI) com o E-GRC (GRC da companhia como um todo), de maneira que o risco do setor de tecnologia seja monitorado junto com os outros riscos corporativos, permitindo a tomada de decisão a partir de uma concepção holística, a qual possa reduzir as exposições da empresa.

Eduardo Poggi cita, a propósito, o especialista Michael Rasmussem, um dos criadores do termo GRC, segundo quem a falta de uma visão integrada da área resulta em processos de negócios, parceiros, funcionários e sistemas que se comportam como “folhas ao vento”. A organização moderna exigiria, pelo contrário, um novo paradigma para a abordagem de questões de risco e conformidade em âmbito geral.

Fonte: Portal Executivos Financeiros