GRC (Governança, Risco e Compliance) não é apenas outra tentativa do marketing das empresas de TI de vender ferramentas antigas sob uma nova roupagem.
Após atuar alguns anos em TI, qualquer profissional sabe instintivamente o que é risco. Acostumado com as tentativas de implementação de melhores práticas, ele também já teve que ouvir o pessoal de governança para se adequar. E, com toda a certeza, ele sabe que precisa atender as regulamentações governamentais – em outras palavras, estar compliance com as normas.
A combinação dessas três vertentes está criando um novo nicho de mercado em tecnologia, o GRC. Você, leitor, pode estar cansado das siglas que povoam a tecnologia. Mas esta não é só necessária, ela tem por objetivo poupar o tempo do profissional do setor e recursos da empresa.
A proposta do GRC é simples, pelo menos em teoria. Unificar as áreas que, apesar de ter objetivos bastante próximos, estavam atuando distantes uma das outras. Enquanto faz isso, introduz ferramentas comuns com foco em automatização e em controles.
Assim, em vez de três áreas isoladas, a organização ganha um grande guarda-chuva que congrega as iniciativas e a infra-estrutura ao mesmo tempo em que dá mais profundidade. Em uma metáfora visual, em vez de tentar se equilibrar em três pilares distintos, a empresa pode sentar confortavelmente em um banco com três pernas.
A responsabilidade deste “banquinho” é dar sustentabilidade, consistência, eficiência e transparência para todos os processos do GRC na empresa. Este trabalho é simplificado com a colaboração entre as unidades de negócios dentro da empresa que são responsáveis em algum momento pela governança, riscos ou compliance. Com uma mesma estrutura conceitual e de tecnologia, o trabalho fica muito mais simples.
Vantagens da crise
Por mais incrível que possa parecer, a crise financeira nos Estados Unidos pode ajudar a adoção dessas ferramentas. Especialmente no Brasil, apesar da falta de dados concretos sobre a adoção, a opinião de especialistas ouvidos pelo COMPUTERWORLD é que esse mercado ainda engatinha no País. Será esse o motivo que faltava?
“Uma das grandes motivadores para adotar as ferramentas de GRC é que a empresa não precisa contratar auditores. Uma economia enorme em momento de redução de custos soa bastante interessante”, responde José Antunes, gerente de engenharia de sistemas da McAfee Brasil.
E esta crise tem outro fator que pode incentivar o GRC. A conclusão de especialistas e economistas é que ela só aconteceu por conta do grande nível de desregulamentação do mercado financeiro, especialmente nos Estados Unidos. Ato contínuo, novas regulamentações vão nascer.
“As empresas estão revendo seus sistemas de governança corporativa. Muitas tiveram prejuízos enormes com essa crise por falha em governança”, relata Jorge Cordenonsi, líder de gerenciamento de TI e automação de negócios da IBM Brasil. O executivo referia-se aos casos de prejuízos milionários de empresas que apostam em derivativos e em um dólar estável. “Agora, o objetivo está em criar mecanismo para auditar sem aumentar os custos”, completou.
Por conta disso, a consultoria IDS Scheer aponta uma tendência de adesão das empresas às ferramentas que permitem identificar mais rapidamente os riscos e controlá-los de forma mais eficiente. A idéia é melhorar o gerenciamento através de metodologias estruturadas para contribuem para que perdas sejam reduzidas ou até evitadas. “As empresas brasileiras gastam muito dinheiro para tentar diminuir o potencial de riscos na organização, mas apertam os controles nos lugares errados”, disse Caio Robert, consultor da IDS Scheer.
O controle envolve não apenas a área de tecnologia, mas todo o ambiente organizacional e, portanto, deve fazer parte da estratégia corporativa. “A razão principal é a falta de alinhamento e o risco de descontinuidade, porém, para que esta gestão faça parte das corporações é necessário criar uma cultura mais sólida sobre este tema”, comenta Nicolau Reinhard, professor do Proinfo (Programa Nacional de Informática na Educação).
Na prática
O professor Reinhard conta que no setor financeiro, por exemplo, o Banco Central tomou a iniciativa de induzir as instituições a criar estruturas de controle na TI, seja por meio de parceiros externos ou por parte dos acionistas controladores. A intenção é evitar ocorrências como as do Speedy, que em julho passado ficou fora do ar por mais de 24 horas e afetou usuários corporativos, órgãos públicos e consumidores em diversas regiões da cidade de São Paulo.
“Com planejamento para manter a TI estruturada é possível criar um ambiente de contingência para suportar situações de risco”, afirma o professor. Ele relembra que dois dias após o atentado de 11 de setembro de 2001, nos Estados Unidos havia empresas que estavam em seu funcionamento normal por prevenirem-se de uma descontinuidade de seus sistemas.
Fernanda Bonsucesso de Carvalho Rodrigues, coordenadora geral de suporte a usuários do Banco BMG, concorda. Com certificado ITIL e autora de uma recente implementação da metodologia na organização, ela conta que apesar de possuir medidas de governança dentro da companhia, elas acontecem por exigência externa. “A TI aqui ainda é vista como suporte.”, completa a executiva.
Para Reinhard as consultorias do setor, assim como as universidades, deveriam bolar estratégias com o objetivo de conscientizar o mercado sobre o papel da governança de TI. “A adoção deve ser feita não apenas em processos formais, mas sim, na sua filosofia”, disse.
Cuidado com os “fabricantes” de GRC
Como em qualquer outra onda de tecnologia, não são poucas as empresas que querem aproveitar as discussões em torno do tema para “colar” a sua marca ao conceito. A verdade é que GRC está atraindo uma gama de aproveitadores.
Para Marc Othersen, analista da Forrester especialista em GRC, este é um problema grave que os clientes precisam analisar antes de adquirir ferramentas para isso. “A maior parte dos fabricantes de GRC para TI não é fabricante de GRC para TI”, escreveu em post para o seu blog. Segundo ele, estas empresas automatizam controles de TI, o que está longe de cuidar do ciclo de vida da governança, risco e compliance dentro do departamento de tecnologia.
Othersen afirma que, para ser fornecedor de GRC, uma empresa precisa: “automatizar a gestão de políticas (processo de governança), o teste de controles de TI (processo de compliance) e análise dos riscos de TI (processo de risco)”.
