Governance Risk and Compliance

O Governance Risk and Compliance é o SMF indicado para quem tem a responsabilidade de decidir como os recursos devam ser usados para cumprir as metas e acrescentar valor ao negócio, também para aqueles que tenham a responsabilidade de gerir o risco proveniente de várias fontes, e ainda para aqueles que tenham a responsabilidade de assegurar que as actividades cumprem as regulamentações e directivas. As acções a decorrerem aqui são:

• Estabelecer a governação TI;

• Examinar, monitorizar e controlar o risco; • Cumprir com as directivas.

Cada uma das acções anteriormente descritas vai dar origem a um processo com uma série de actividades, questões chave, inputs, outputs e boas práticas.

Esta é uma actividade de grande alcance e entrelaçamento que requer a participação de todos numa organização, pois ter um entendimento de um tópico tão alargado por vezes é um desfio. Para uma clarificação deste assunto devemos ter um entendimento do seu alcance e saber o porquê das seguintes questões:

• O que é que define GRC num serviço TI? • Porquê a junção destas três actividades?

• Quais são os diferentes papéis das TI e as suas perspectivas dentro do GRC? • Como encaixa o GRC no ciclo de vida de um serviço TI?

Respondendo à primeira pergunta, a governação dos serviços TI é tarefa da gestão sénior que quando bem desempenhada clarifica a autoridade para a tomada de decisões, determina responsabilidades para acções e resultados, e diz como vai ser avaliado a desempenho. A maioria das organizações atinge a governação criando comités directores que juntam as pessoas certas para tomarem decisões. A governação acontece, quer seja planeada ou não; mas apenas a não planeada pode chegar a metas e decisões arbitrárias, disputa de territórios, e recursos desperdiçados na confusão e conflitos de esforços. O GRC planeado leva a:

• Políticas consistentes que trabalham efectivamente em conjunto;

• Tomada de decisões claras e responsáveis de acordo com um plano de compromissos;

• Boa comunicação dos objectivos de gestão;

• Expectativas de performances estabelecidas e avaliação da conformidade;

• Expectativas claras sobre comportamentos aceitáveis na procura das metas de gestão.

Um bom processo de governação procura o risco, promove uma discussão aberta e propõe uma aproximação ao risco. Se na organização existe cultura da gestão do risco, elimina-se a ignorância propositada ao risco, ocultação intencional do risco e redução de um número desconhecido de riscos que resultem em consequências negativas.

Factores externos à organização como regulamentações, normas e boas práticas da indústria têm impacto em como o trabalho é feito, sendo efectivamente avaliados e implementados quando o GRC adequado é aplicado. As regulamentações visam proteger a segurança e confiança dos dados, como Securities and Exchange Commission (SEC) da União Europeia, Health Insurance Portability and Accountability Act (HIPAA), Data

Protection Act, Sarbanes Oxley (SOX), etc. As actividades GRC ajudam a ser melhores

na custódia de dados, mais alinhados com as regulamentações, melhor equipados para atingir objectivos da gestão e menos susceptíveis a actos fraudulentos.

Respondendo à segunda pergunta, as três actividades combinadas neste SMF estão agrupadas porque possuem áreas comuns de responsabilidade e tarefas interrelacionadas, sendo por essa razão mais efectiva a sua combinação. Isso vai diminuir ilhas de dados e silos de actividades que em última instância vão abrandar a capacidade de resposta organizacional e contribuir para aumentar os riscos tapando a identificação de potenciais riscos e produzindo avaliações inadequadas de impacto dos riscos. Combinados podem agilizar processos, proporcionar transparência e responsabilização dentro da organização. Estes pressupostos atingem-se:

• Juntando as pessoas certas (governação) para clarificar o que tem que ser feito e avaliar o que pode acontecer (gestão de risco);

• Ajudando a organização a determinar a atribuição de recursos (governação) precisos para garantir o cumprimento das metas (gestão do risco);

• Clarificando (governação e conformidade) que processos e actividades devam ou não acontecer (gestão de risco e conformidade);

• Capturando e documentando processos e os seus resultados como prova (conformidade).

Quando se tenta estabelecer actividades do GRC num serviço TI há várias questões que se levantam e a sua resposta provavelmente irá requerer a intervenção de grupos externos, auditorias internas, questões legais, conformidade e HR (Human Resources). As questões são:

• Qual é o nosso plano de governação? Quem decide o quê e como decidir? • Qual é a tolerância ao risco da nossa organização?

• Onde podemos tolerar maior risco e em que áreas temos de ser mais cautelosos? • Há regulamentação específica e temas de conformidade que se aplicam à nossa

indústria?

• Qual a nossa cultura de conformidade, ou seja, como determinar se estamos a fazer aquilo que prometemos fazer?

Respondendo a estas questões, o alinhamento entre os serviços TI e os objectivos do negócio melhora porque as pessoas adequadas estão a tomar as medidas certas em tempo certo.

Respondendo à terceira pergunta, dir-se-ia que o GRC é responsabilidade de todos, mas para ser efectivo existem três grupos principais: Executivos, Gestores TI e Profissionais TI com diferentes papéis com preocupações e envolvimento diversos. Os profissionais TI preocupam-se com os aspectos de conformidade, os gestores TI têm a tarefa de traduzir os objectivos estratégicos, estabelecidos a nível superior, em directivas

tácticas, tangíveis e políticas que resultem em serviços. No nível executivo, a responsabilidade é para com todo o processo, incluindo assegurar as funções de auditoria, que avaliem objectivos, controlo interno, o seu desenho e sua operacionalidade. As auditorias proporcionam resultados e recomendações à gestão de topo para que a organização beneficie de gestão inteligente e intencional. Garantias semelhantes ajudam os accionistas e outras partes interessadas a terem uma visão sobre como funciona a organização. A consciência por parte do executivo dos resultados garante que a aproximação da organização ao GRC está estabelecida ao mais alto nível, sendo as suas actividades compreendidas e usadas a todos os níveis.

Respondendo à quarta pergunta, cada fase tem um conjunto de metas, actividades e grupos de pessoas que variam, inputs e outputs diversos; a importância de haver clareza sobre a tomada de decisões, gestão de risco e conformidade não mudam.

Na fase Plan a meta é oferecer um serviço válido, previsível, fiável, economicamente viável e que responda às mudanças constantes das necessidades. Na fase Deliver a meta é garantir que os serviços acordados entre o negócio e os serviços TI são desenvolvidos efectivamente, instalados com sucesso e prontos para operar. Na fase

Operate a meta é assegurar que os serviços instalados são operados, mantidos e

recebem o suporte em conformidade com os SLA definidos entre negócio e TI.

O GRC cria fluxos de processos organizados em todas as fases do ciclo de vida, pela tomada de decisões, balanceando os compromissos, assentando estratégias pela gestão do risco e assegurando que essa gestão é adequada às actividades em causa. Com essas actividades GRC os serviços TI estão melhor habilitados a contribuir para a viabilidade a longo prazo e melhoria da organização.

Os papéis a desempenhar neste SMF são da responsabilidade da gestão como gestor executivo TI, gestor TI, gestor de política TI, gestor de risco e conformidade TI, fiabilidade e relatórios, gestor de mudança e administrador de configuração; da responsabilidade em relação à conformidade são gestor executivo TI, gestor TI, gestor de risco e conformidade, gestor de política TI e por fim fiabilidade e relatórios.

Os resultados a atingir neste ponto são a governação, gestão de risco efectiva e por fim conformidade com regulamentações, leis e políticas.