Governance, Risk and Compliance: O que é? E o que pode fazer por nós?

0
741

Muitos de nós já se questionaram sobre o significado de GRC. Esta sigla usada em diferentes empresas e presente em muitos dos organogramas que conhecemos. Mesmo já sabendo o seu significado, ainda nos questionamos sobre as suas mais-valias, ou até mesmo, quais as melhorias que a sua correta implementação poderá trazer às nossas organizações.
Por definição Governance, Risk and Compliance (GRC) refere-se à estratégia levada a cabo pela organização para lidar com as interdependências entre três componentes:

-Governance ou Modelo de Governo, traduzindo-se no alinhamento de regras, políticas e processos corporativos visando o apoio e cumprimento dos objetivos de negócio;

-Risk ou Programas de Gestão de Risco, traduzindo-se no processo de uma organização para identificar, categorizar, avaliar e implementar estratégias por forma a minimizar os riscos que prejudicariam as suas
operações e para controlar os riscos em melhoria das mesmas;

-Compliance ou Conformidade Legal, referindo-se ao nível de aderência que uma organização tem às normas, regulamentos e melhores práticas exigidas a uma empresa quer pelos órgãos governamentais ou leis relevantes.

E que esquematicamente poderá ser representado pelo seguinte modelo holístico de GRC integrado na organização (Elhasnaoui et all [IT4OD], 2016):

O GRC surge, assim, como uma disciplina no início do século XXI, quando as empresas reconheceram que a coordenação da estratégia, pessoas, processos e tecnologias usadas para gerir o modelo de governo, risco e conformidade as poderia beneficiar duplamente. Se por um lado uma abordagem sistematizada as ajudaria a garantir e agir eticamente, por outro, ajudá-las-ia a atingir os seus objetivos, reduzindo as ineficiências, falhas de comunicação e outros perigos de uma abordagem isolada do modelo de governo, gestão do risco e da
conformidade. E este benefício não é exclusivo. Qualquer organização, independentemente do seu tamanho pode tirar partido do GRC.

Mas porque é que, estas três atividades, que funcionavam tradicionalmente de forma mais ou menos separada, têm agora um valor reconhecido na sua sinergia, na qual é na interseção dos três onde os benefícios se tornam aparentes? Porque os mesmos surgem em complemento de mais uma das palavras que passaram a fazer parte
dos nossos vocábulos diários: “a cibersegurança”. Palavra esta que é indissociável deste mundo cada mais interligado, dependente e digital, onde mesmo as organizações que se dizem sem tecnologia ou em processo de transformação digital têm algo do seu negócio que depende do on-line.

Quando pensamos em cibersegurança, uma das nossas primeiras áreas de interesse, deve de ser a de tentar perceber o quão bem protegida a nossa organização está face a hipótese de um potencial ciberataque. Perguntas como “Quão seguros estamos?”, “Estamos a fazer as coisas certas?” ou “Estamos a fazer o suficiente?” são as mais frequentes e típicas (Parenty, et all, 2020). Perguntas estas que recebem respostas profícuas quando efetuamos avaliações de risco orientadas para os negócios. E as complementamos com a conformidade a padrões de segurança e nível de proteção por forma a priorizar investimentos futuros, não descurando cumprimento de
normas, regulamentos, requisitos legais e requisitos mínimos de segurança das redes e sistemas de informação poderá permitir às organizações reduzir o risco associado às ciberameaças. (QNRCS, 2020). Tudo isto sustentado e consolidado por um correto modelo de governo tirando total partido do trinómio pessoas, processos e
tecnologias (NIST 2.0, 2023).

Em resposta às questões inicialmente colocadas, podemos assim dizer que a correta definição do nosso ecossistema nos pode ajudar a identificar as fraquezas e vulnerabilidades, otimizar os nossos recursos, gerir os nossos investimentos, tornarmo-nos mais resilientes. Porque a segurança não depende só de um, depende de todos e a segurança é feita por pessoas, que usam tecnologia, suportada por processos e regulada por um modelo de governo.

Uma estrutura de GRC ajuda as organizações a estabelecer políticas e práticas para minimizar o risco de conformidade. E, além disso, ajuda a melhorar a eficiência, reduzir os riscos e aumentar o desempenho e o
retorno sobre o investimento (ROI), porque a sua correta implementação permite correlacionar informações no contexto de processos, políticas e controles de negócios, bem como atividades realizadas pelas múltiplas equipas envolvidas no negócio e operação.

É com isto em mente, tirando partindo de uma equipa multidisciplinar, sénior e experiente, e alinhados com as boas práticas e normas de referência que na RedShift, através de projetos estruturantes, o GRC ajuda os nossos clientes a ficarem mais resilientes. E como é que fazemos isto, priorizamos o trinómio e implementamos em conformidade, isto é:

Compliance, seguindo o sector de mercado ou área de atividade do nosso cliente, avaliamos o seu ecossistema interno tendo por base os referenciais que melhor se adequam, e identificamos por meio de uma auditoria a sua maturidade, fraquezas e vulnerabilidades (NIST[1], QNRCS[2], DORA[3], DL65/2021[4], ISO/IEC27001[5], ISO/IEC22301[6], PCI DSS[7], entre outros);

Risk, identificadas as principais fraquezas e vulnerabilidades, priorizam-se riscos e define-se o plano de mitigação, tendo por base pessoas, processos e tecnologias;

Governance, identificado o plano de ação alinha-se e coloca-se em produtivos as iniciativas que serão acompanhadas e apadrinhadas pelo correto modelo de governo.

Temos assim reunidas as componentes que em conjunto se traduzem na chave que abre a porta para o sucesso.

[1] NIST, National Institute of Standards and Technology: https://www.nist.gov/cyberframework
[2] QNRCS, Quadro Nacional de Referência para a Cibersegurança: https://www.cncs.gov.pt/pt/quadro-nacional/
[3] DORA, Digital Operational Resilience Act (DORA) – Regulation (EU) 2022/2554: https://www.digital-operational-resilience-act.com/
[4] DL65/2021, Decreto-Lei 65/2021 (30 de julho) define o Regime Jurídico da Segurança do Ciberespaço em Portugal, elencando as obrigações das entidades abrangidas no âmbito da certificação da cibersegurança e
transpondo para a lei nacional o Regulamento (EU) 2019/881 do Parlamento Europeu (17 de abril 2019): https://www.cncs.gov.pt/docs/decreto-lei-65-2021.pdf
[5] ISO/IEC 27001, Information Security Management Systems: https://www.iso.org/standard/27001
[6] ISO/IEC 22301, Security, and Resilience — Business Continuity Management Systems — Requirements: https://www.iso.org/standard/75106.html
[7] PCI DSS, Payment Card Industry Compliance refers to the technical and operational standards that businesses follow to secure and protect credit card data provided by cardholders and transmitted through card
processing transactions. https://www.pcisecuritystandards.org/document_library/

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here