GRC FAQ v1.0
ATIVE O PROGRAMA DE GRC
DA SUA ORGANIZAÇÃO !
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 1
GRC FAQ v1.0
APRESENTAÇÃO
O GRC FAQ é resultante de uma série de estudos, publicações, palestras, grupos
de discussão, cursos e projetos que a ELO Group vem conduzindo ao longo do
Brasil com o apoio de diversas instituições como UFRJ, ISO, ABNT, OCEG, SCC,
AMCHAM, ABERJ, FUNENSEG, SUCESU, INSADI, ABPMP, IQPC e IBC.
Este FAQ consolida experiências, insights, sugestões, boas práticas, preocupações,
dúvidas e idéias de usuários, acadêmicos, autores e consultores dos mais diversos
tipos de indústrias, regiões e áreas que de alguma forma estão pensando e gerando
contribuições para a temática de GRC.
Desta forma, o GRC FAQ tem o objetivo de:
•
Disseminar e desenvolver conceitos e boas práticas da GRC
•
Integrar a gestão de riscos e controles a agenda estratégica de executivos
•
Melhoria significativa a forma como uma organização gere suas pessoas,
processos e resultados
Em caso de dúvidas, críticas, reflexões e desenvolvimento das idéias contidas neste
FAQ, por favor, acessem o GRC Blog (www.grcblog.com.br) para postar suas
contribuições. Estaremos usando o GRC Blog para permitir uma discussão muito
mais dinâmica e participativa das idéias contidas neste documento. Ao longo do
tempo, iremos consolidar as contribuições e discussões realizadas no GRC Blog em
novas versões do GRC FAQ, de forma a documentar e disseminar todo o
conhecimento gerado pelos interessados em GRC.
Finalmente, gostaríamos de divulgar que muitas das idéias apresentadas ao longo
deste documento estão detalhadas em vídeos, apresentações e outros artigos no
site da ELO www.elogroup.com.br na seção Conhecimento&Insights.
André Rego Macieira
Sócio-Diretor ELO Group
[email protected]
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 2
GRC FAQ v1.0
O GRC Blog – www.grcblog.com.br
O mundo de hoje é certamente distinto do mundo de dez anos atrás. E desta forma
gerir negócios no mundo de hoje é significativamente mais complexo do que gerir
negócios no mundo de dez anos atrás.
Conceitos como “O Mundo é plano”, “A Era das Turbulências” e “Wikinomics” são
apenas evidências claras de que muitas coisas mudaram com a revolução da
tecnologia da informação, fortalecimento do mercado de capitais, outsourcing,
crescimento da classe média, expansão da China, aumento da pressão regulatória e
por responsabilidade sócio-ambiental, necessidade de inovação e customização de
produtos e serviços para o cliente, globalização, onda de aquisições, etc..
Neste contexto, muitos autores vêm afirmando que as organizações ainda não
conseguiram reinventar suas práticas e ferramentas de gestão para aproveitar as
oportunidades criadas em um ambiente de negócios tão complexo, dinâmico e
incerto. Alguns chegam a supor que as organizações ainda estão em um estágio
inicial de adaptação para competir neste novo ambiente de negócio que surge a sua
volta:
“Some challenges simply can't be met without reinventing our 100-year-old
management model” (Gary Hamel – The Future of Management).
“Nós observamos que empresas estavam tendo dificuldades para tirar vantagem
das oportunidades criadas pela digitalização e pela globalização por que suas
organizações não foram desenvolvidas para o novo mundo” (Bryan & Joyce;
Mobilizing Minds; McKinsey; 2007)
Neste contexto, a GRC (Governança, Riscos e Compliance) emerge como uma
importante teoria moderna de gestão focada em gerir ativamente as incertezas que
afetam os resultados de uma organização evitando eventos indesejáveis e
viabilizando eventos incertos desejáveis. Não é por acaso que esta temática vem
atraindo atenção crescente dos mais diversos tipos de profissionais e indústrias.
O GRC Blog foi desenvolvido com o objetiva de reunir os diversos profissionais
relacionados a gestão de riscos, controles e auditoria que estejam interessados em
discutir a temática de GRC incluindo tendências, conceitos, ferramentas, desafios,
aplicações práticas, inovações, etc..
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 3
GRC FAQ v1.0
Este fórum é direcionado para todos aqueles que entendem a GRC como uma
forma de melhorar significativamente os sistemas de gestão da organização
tornando-o altamente sensitivo a qualquer tipo de operação que saia do padrão e
que possa indicar aos gestores uma ameaça a ser tratada ou uma oportunidade a
ser explorada.
The data that can be used to avoid surprises, to capitalize on opportunities, and to
make midcourse corrections already exist.
They can anticipate events and changes so they can adjust tactics and strategies to
ensure that goals are met, opportunities are maximized, and disasters are avoided –
what we call real-time opportunity detection (McGree, Gartnet)
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 4
GRC FAQ v1.0
SUMÁRIO
PARTE I - Conceitos Iniciais sobre GRC .............................................................. 7
1. O que são as siglas G, R e C? ..................................................................... 7
2. Minha organização tem dificuldades em entender o conceito de
GOVERNANÇA. Como melhor comunicar o que é governança para uma
organização segundo a visão de GRC? ............................................................. 8
3. Minha organização tem dificuldades em entender o conceito de RISCOS.
Como melhor comunicar o que é risco para uma organização segundo a visão
de GRC?........................................................................................................... 9
4. Minha organização tem dificuldades em entender o conceito de
COMPLIANCE. Como melhor comunicar o que é compliance para uma
organização segundo visão a GRC? ................................................................ 10
5. Então GRC = G + R + C, ou seja, Governança + Riscos + Compliance? ..... 11
6. O que é GRC na teoria? ............................................................................ 12
7. O que é GRC na prática?........................................................................... 14
8. Por que a GRC é diferente dos tradicionais sistemas de indicadores de
desempenho? ................................................................................................. 16
9. Uma organização possui quantas GRCs? .................................................. 18
10. Qual deve ser o modelo de implantação da GRC em uma organização:
Centralização, Descentralização ou Federação? .............................................. 19
PARTE II - Motivações para Implementação de Programas de GRC ................. 20
11. Qual o problema que a GRC objetiva resolver? .......................................... 20
12. Por que este problema se tornou mais importante agora? O que mudou? ... 22
13. Quais são as características humanas que aumentam a criticidade deste
problema?....................................................................................................... 24
14. Por que acreditar que GRC resolve este problema? ................................... 27
15. Quais as dificuldades culturais esperadas para que isto realmente
aconteça? ....................................................................................................... 29
PARTE III - A GRC e as demais Iniciativas de Gestão de Riscos ....................... 30
16. A GRC é uma melhoria incremental, uma evolução significativa ou algo
completamente distinto da Gestão de Riscos? ................................................. 30
17. A visão de ERM está incorporada na visão de GRC, ou, a visão de ERM
deve ser adicionada à visão de GRC? ............................................................. 31
18. Qual a relação entre programas de GRC e projetos SOX?.......................... 34
19. O que é IT-GRC? Por que é tão comum se falar em IT-GRC, e pouco se
houve falar em RH-GRC?................................................................................ 34
20. Qual a relação entre GRC e COSO? A GRC seria uma evolução do
COSO ou um opção ao COSO? Está sendo previsto algum COSO GRC? ....... 35
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 5
GRC FAQ v1.0
21. Qual a relação entre GRC e a ISO 31000? Como implantar programas de
GRC que estejam alinhados a referência normativa da ISO 31000? ................. 36
22. Como a GRC se refere à idéia de que riscos podem ser tanto negativos
(ameaças) quanto positivos (oportunidades)? .................................................. 36
PARTE IV - Implementação de Programas de GRC ............................................ 38
23. Como evoluir os sistemas de gestão de riscos tradicionais para um
programa de GRC? ......................................................................................... 38
24. Como evoluir um dicionário de riscos para uma linguagem uniformizada
de análise de GRC ? ....................................................................................... 39
25. Como construir um apetite / tolerância a riscos para um programa de GRC
? 42
26. Como gerar uma inteligência de GRC a partir da coleta de informações
não estruturadas? ........................................................................................... 46
27. Como expandir a coleta de informações não estruturadas para além da
empresa?........................................................................................................ 48
28. Como evoluir a aplicação dos indicadores de riscos e performance (KRIs
e KPIs) para um programa de GRC ? .............................................................. 48
29. Como construir um Repositório de Inteligência de GRC que consolide o
conhecimento de GRC gerado nos silos funcionais de uma organização ? ....... 51
30. Como evoluir o uso de bases de perdas no contexto de um programa de
GRC? ............................................................................................................. 56
31. Como construir uma estratégia dinâmica de GRC que retrate ações
passadas e oriente ações futuras? .................................................................. 58
32. Como evoluir a aplicação das matrizes de riscos no contexto de um
programa de GRC? ......................................................................................... 60
33. Como implantar a visão de ERM alinhando a um programa de GRC? ......... 65
34. Como promover gradativamente a convergência das iniciativas
organizacionais com a taxonomia e apetite de riscos otimizando
continuamente o Repositório de Inteligência de GRC? ..................................... 68
35. Como evoluir a aplicação de testes de controles e rotinas de auditoria no
contexto de um programa de GRC?................................................................. 73
36. Como evoluir a gestão de planos no contexto de um programa de GRC ? .. 75
37. Como evoluir um Reports ou Dashboard para Reports e Dashboards de
GRC? ............................................................................................................. 77
PARTE V - Considerações Finais sobre GRC..................................................... 80
38. Como quantificar e justificar o valor de um programa de GRC?................... 80
39. Por que a GRC não é apenas mais um modismo?...................................... 81
40. Como saber se você está fazendo um bom trabalho de GRC ?................... 84
41. Quais informações estão disponíveis sobre GRC? ..................................... 84
QUEM SOMOS ..................................................................................................... 87
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 6
GRC FAQ v1.0
PARTE I - Conceitos Iniciais sobre GRC
1.
O que são as siglas G, R e C?
O acrônimo GRC se refere respectivamente aos termos governança, riscos e
compliance, ou em inglês, governance, risk and compliance. Especificamente,
alguns autores se referem à letra C como controles (ou controls) ao invés de
compliance, contudo, esta diferença de entendimento não implica em uma visão
significativamente distinta do que seria um programa de GRC.
Iniciando pela letra “G – Governança”, sua definição mais abrangente se refere à
construção e implantação de políticas, procedimentos, responsabilidades e
autoridades (direitos de decisão) pelos quais uma organização: 1) define suas
diretrizes e objetivos e 2) coordena pessoas, processos e sistemas para alcançálos. Algumas definições mais específicas de governança podem focar em
discussões de: delegação de autoridade e poder, definição de questões
estratégicas, projeto de sistemas de controles, dentre outros.
Passando para letra “R – Riscos”, também se pode observar certa divergência em
definições como “efeito da incerteza no objetivo”, “possibilidade de que um evento
ocorra e impacte nos objetivos do negócio, “possibilidade de ocorrência de perdas
resultantes de falha, deficiência ou inadequação de processos internos, pessoas e
sistemas, ou de eventos externos”, dentre outros. Algumas abordagens de GRC,
ainda se referem a letra “R” como a ação de gestão de riscos, ou até mesmo ERM
(Enterprise Risk Management), ao invés de simplesmente “riscos”
Finalmente, a letra “C – Compliance” se refere à forma como uma organização
mitiga seus riscos e implanta sua estrutura de governança. A visão de compliance que inclui compliance interna a procedimentos/política e compliance externa a
resoluções - caracteriza a capacidade de uma organização em analisar e comprovar
que está aderente ou em conformidade com uma série de requisitos e regras do
negócio.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 7
GRC FAQ v1.0
2.
Minha
organização
GOVERNANÇA. Como
tem
melhor
dificuldades
comunicar
em
o
entender
o
conceito
de
que é governança para uma
organização segundo a visão de GRC?
Uma vez que o termo Governança é recorrentemente utilizado com distintos
propósitos e sentidos é muito comum que seu entendimento não seja uniforme para
os membros de uma organização.
De forma prática entendemos que o termo governança se refere basicamente à
forma como uma organização se estrutura para definir e atingir seus objetivos
incluindo desde decisões mais estratégicas, tomadas por um conselho de
administração, até decisões mais táticas e operacionais.
Em suma, um modelo de governança responde a simples pergunta “quem decide
sobre o quê” , ou “quem é responsável por decidir sobre o quê” devendo ser
formalizado nas diversas políticas, procedimentos e processos que constituem o
aparato normativo de uma organização.
Por exemplo, pode-se pensar que: o presidente decide quanto um diretor pode
aprovar na contratação de um fornecedor; um diretor decide qual empresa contratar
dentro de sua alçada; um gerente decide qual empresa esta qualificada para prestar
os serviços; e um coordenador decide qual a avaliação dos serviços prestados.
Outro exemplo, em que a definição de responsabilidades e direitos de decisão deve
ser definido inequivocamente é representado na figura a seguir:
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 8
GRC FAQ v1.0
3.
Minha organização tem dificuldades em entender o conceito de RISCOS.
Como melhor comunicar o que é risco para uma organização segundo a visão de
GRC?
Assim como o termo governança, o termo riscos tende a causar grande polêmica no
momento de sua aplicação prática. A heterogeneidade semântica associada a sua
utilização é tamanha que por muitas vezes a palavra riscos é utilizada como um
sinônimo para problema, falha, erro ou até mesmo preocupação ou angústia.
Alguns autores focam nesta dificuldade semântica inerente ao uso do termo riscos
propondo que sua aplicação seja restrita e moderada por áreas de riscos, controles
e auditoria. Uma vez que muitas organizações possuem milhares de problemas,
angústias, preocupações e incertezas estas áreas deveriam moderar o que deveria
efetivamente ser classificadas e, portanto, gerida como um risco.
Desta forma, classificar um problema enquanto um risco significaria legitimar que tal
problema apresenta grande complexidade e impacto nos resultados de uma
organização, demandando, portanto, uma análise mais estruturada e uma
monitoração sistemática. É como se a palavra riscos fosse uma etiqueta para
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 9
GRC FAQ v1.0
“marcar” quais são as grandes preocupações e incertezas, assegurando sua
presença na agenda dos executivos da corporação.
“Operational risk is therefore no simple or self-evident category; it is a label for a
diverse range of practices, a vision of control and regulation in an elusive field and
an imperative to manage a newly visible range of problems and interests”
“It’s both a name for a set of problems and interests, and a promise of a new way of
intervening in the structure of financial organisations” (Michael Power)
“A definição do que é um risco depende de relações sociais complexa muitas vezes
dissociadas da lucratividade da empresa”
“Definir o que é um risco é um exercício complexo que demanda inteligência e
objetividade”
Por outro lado, deve-se evitar que um problema simples seja elevado ao nível de
risco e demande tempo da escassa agenda dos gestores e decisores da
organização.
Desenvolver
estruturas
de riscos que monitorem
mil
riscos
simultaneamente significa afirmar que existem mil grandes preocupações que
devem ser gerenciadas de forma estruturada. A grande maioria das organizações
não deveria ter este tipo de necessidade.
Finalmente, observa-se que definir o que é um risco (assim como o que não é um
risco) é um passo fundamental para legitimar e filtrar o que é insumo do framework
de GRC da organização. Alternativamente, pode-se pensar numa diferenciação
entre - riscos ativos e inativos - ou - riscos e riscos fantasmas - para distinguir as
riscos de baixa probabilidade e severidades que deveriam ser sistematicamente
monitorados
4.
Minha
organização
COMPLIANCE.
Como
tem
melhor
dificuldades
comunicar
o
em
que
entender
é
o
conceito
compliance
para
de
uma
organização segundo visão a GRC?
O entendimento prático do que é compliance reside na necessidade pragmática de
qualquer executivo em materializar e dar concretude a forma como uma
organização entende e comprova que está aderente aos requisitos de seus
stakeholders, sejam eles internos ou externos.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 10
GRC FAQ v1.0
Desta forma, o conceito prático de compliance e controles deve ser compreendido
como uma linguagem universal para a modelagem dos requisitos demandados por
diversos stakeholders como acionistas, funcionários, clientes e órgãos reguladores,
assim como para a mensuração dos seus graus de atendimento.
Modelar e documentar as diversas práticas e ações de uma organização a partir da
linguagem de controles assegura que: (1) executivos tenham visibilidade do grau de
aderência a requisitos internos e externos e que (2) funcionários possam re-afirmar
sua accountability sobre suas principais atribuições e responsabilidades.
5.
Então GRC = G + R + C, ou seja, Governança + Riscos + Compliance?
Embora possa fazer sentido, o acrônimo GRC ≠ G + R + C, e, portanto, a GRC não
se limita a consolidar os conceitos de governança, riscos e compliance
apresentados ao longo das últimas quatro perguntas. O somatório inteligente destes
três conceitos acaba sendo muito mairo do que o uso destes três conceitos
isolados.
Neste contexto, observa-se que diversas outras iniciativas como segurança física,
segurança da informação, satisfação do cliente, ouvidoria, gestão de recursos
humanos, satisfação de RH, gestão de tecnologia da informação, helpdesk,
continuidade do negócio, conselhos de administração e fiscal, comitês de ética,
segurança e saúde do trabalho, relação com investidor, tesouraria, gestão
(escritórios)
de
projetos,
gestão
(escritórios)
de
terceiros,
orçamento,
desenvolvimento de produtos, gestão de imagem etc., também são iniciativas que
devem estar integradas em um programa de GRC.
A idéia de que GRC = G + R + C é um erro recorrente que deve ser evitado e
rapidamente corrigido. Na prática, o que ocorre é que não seria cognitivo definir uma
sigla que incorporasse simultaneamente todos os tipos de discussões presentes
dentro de GRC.
In the complex and constantly changing sea of acronyms, abbreviations and other
abstractions, there is one that is simultaneously met with affirmation and apathy,
confirmation and confusion, and recognition and rejection. I am of course writing
about GRC. […] Demystifying GRC is not really about precisely defining the term
GRC, per se, and it is not about dissecting the “G,” the “R,” and the “C.” It is about
understanding the underlying business issues that gave rise to the widespread use
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 11
GRC FAQ v1.0
of the term and that are discussed by most commentators on the topic.
Dittmar)
(Lee
Em suma, deve-se resistir à tentação de simplificar o conceito de GRC para o
entendimento de sua sigla, evitando a realização de debates conceituais extensos
sobre o significado dos termos governança, riscos e compliance. Contudo, observase, que muitas referências ainda acabam fazendo uso da sigla GRC para apresentar
os conceitos tradicionais de gestão de riscos, controles e auditoria.
6.
O que é GRC na teoria?
Primeiramente, deve-se ressaltar que um programa de GRC não é uma simples
melhoria de métodos de gestão de riscos e ERM. O conceito de GRC abrange uma
mudança relevante na abordagem prescrita por métodos tradicionais de gestão de
riscos e controles, ampliando, significativamente, seu papel e importância no
sistema de gestão de uma organização.
Para muitos, a GRC é uma nova filosofia (ou um novo paradigma) de gestão
centrada no aumento contínuo da maturidade da colaboração entre áreas para que
decisores (vide o modelo de governança definido) tenham sempre a melhor
informação possível no momento da tomada de decisão.
GRC is more than a catchy acronym used by technology providers and consultants
to market their solutions – it is a philosophy of business. This philosophy
permeates the organization - its oversight, its processes, and its culture. It is about
individual GRC roles across the organization working in harmony to create a
collaborative environment for governance, risk, and compliance. It is about
collaboration and sharing of information, assessments, metrics, risks,
investigations, and losses across these professional roles. It is also about reducing
uncertainty in business and producing predictable results. (Michael Rassmussen)
A GRC é o próximo estágio no desenvolvimento da gestão riscos visando conectar
os processos de análise e monitoração sistemática de riscos aos circuitos de
tomada de decisão. A visão de GRC evolui, desta forma, de um modelo de reports
de riscos baseados em Control Self Assessment (CSA), Key Risk Indicator (KRI) e
Bases de Perdas se colocando o importante desafio de:
•
Como coletar continuamente as principais informações que uma organização gera
em seus silos funcionais, e disponibilizá-las em tempo real (ou quase real) nos
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 12
GRC FAQ v1.0
relatórios e painéis de riscos e indicadores para que decisores possam
complementar sua intuição com uma visão holística, tempestiva e baseada em fatos
do que está ocorrendo?
•
Como conectar em tempo real (ou quase real) a oferta de informação gerada por
áreas de negócio e suporte com a demanda de executivos por informações para
suportar suas decisões?
The big issue is how you get all of the data—from all of the multiple places in which
it resides—to the decision maker within a timeframe that best enables that decision
maker to do his or her job (Philip Howared)
Neste contexto, a idéia da criação de uma linguagem universal de análise e
monitoração que promova a consolidação inteligente de informações dos mais
diversos tipos (qualitativa, quantitativa / não estruturada, semi-estrutura e
estruturado), formatos (documentos, relatórios, planilhas, atas, formulários, e-mail,
sistemas e sites) e áreas se constitui em um diferencial competitivo fundamental
para este século. Esta linguagem universal de GRC abrange, portanto:
•
Uma linguagem de governança para modelagem dos decisores e decisões da
organização;
•
Uma linguagem de riscos para representação, análise e tratamento de grandes
preocupações ou problemas;
•
Uma linguagem de compliance para identificação e comprovação de atendimento
aos requisitos de stakeholders
Os profissionais de GRC devem ser entendidos como “arquitetos de colaboração”
que constroem esta linguagem convergente de GRC para tradução e consolidação
da informação gerada por diversas iniciativas (como segurança da informação,
satisfação do cliente, ouvidoria, gestão de recursos humanos, gestão de tecnologia
da informação, helpdesk, continuidade do negócio, conselhos de administração e
fiscal, comitês de ética, segurança e saúde do trabalho, relação com investidor,
tesouraria, gestão de orçamento, desenvolvimento de produtos, gestão de imagem,
etc.) assegurando que os conhecimentos gerados nos silos funcionais extrapolem
estes limites e sejam disponibilizados de forma tempestiva e estruturada para os
decisores.
Organizations are approaching GRC to get an enterprise view of risk and
compliance with a specific need to identify interrelationships in today’s complex
and distributed business environment. This requires that GRC initiatives involve a
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 13
GRC FAQ v1.0
federation of professional roles – the corporate secretary, legal, risk, audit,
compliance, IT, ethics, corporate social responsibility, finance, quality,
environmental, health and safety, line of business, and others – working together in
a common framework, collaboration, and architecture (Michael Rasmussen)
A “GRC activity” is any process or activity that contributes to or is part of the
system above. Examples include processes and departments such as: Governance
(the board and the corporate secretary); Strategy (executive suite and senior
management); Risk Management (either enterprise-wide or functional); Compliance;
Internal Control; Corporate Security; Legal (office of the general counsel);
Information Technology (information security and privacy); Ethics ; Corporate
Social Responsibility; Quality Management; Human Capital & Culture; Audit &
Assurance; Finance; (OCEG)
Em ambientes dinâmicos em que decisões devem ser tomadas de forma
tempestiva, as organizações necessitam de uma linguagem e modelo convergente
de análise e monitoração que conecte contínua e pró-ativamente as informações
geradas por áreas de negócio com os
7.
decisores interessados nesta informação.
O que é GRC na prática?
A visão prática de GRC possui os seguintes objetivos:
1. Coleta contínua e estruturada de informações corporativas dos mais diversos
tipos (não estruturada, semi-estrutura e estruturada), formatos (documentos,
relatórios, planilhas e sistemas, sites) e áreas;
2. Consolidação inteligente e consiste, a partir da linguagem convergente de
GRC, das principais informações geradas, extrapolando os limites e barreiras
funcionais referentes ao local onde o conhecimento é gerado;
3. Parametrização da inteligência do negócio, a partir dos conceitos de apetite e
rating de riscos para criação de um “sistema nervoso” que dispare alertas e
tarefas quando os processos e resultados não transcorrem como esperado;
4. Entrega de dashboards e reports de riscos e oportunidades que permitam
aos decisores acessar em tempo real (ou quase real) a melhor informação
disponível na organização que seja necessária para o gerenciamento de seus
processos e resultados.
A figura a seguir ilustra esta visão prática de GRC:
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 14
GRC FAQ v1.0
PESSOAS
Entrevistas, avaliações de
desempenho, checklists,
REUNIÕES
pesquisas, formulários, atas
DOCUMENTOS Relatório de auditorias e
consultorias, planilha de
indicadores/multas, controle
PLANILHAS
de ouvidoria e helpdesk
BANCO DE Coleta automática de
DADOS
informações através de
SISTEMAS EPIs, ETLs, web Services,
FONTE
EXTERNA
Sites, clientes, concorrentes
benchmarks, reportagens
O grande paradigma é, portanto, que decisores possam gerir seus riscos e
oportunidades tendo acesso a tudo o que a organização já sabe sobre aquela
determinada questão, independente das metodologias, linguagens, culturas, termos
técnicos e experimentos desenvolvidos localmente nos diversos silos funcionais. A
tradução das principais informações geradas para a linguagem convergente de GRC
promove um aumento significativo da visibilidade e entendimento de organização
para seus executivos.
“When comparing the state of real-time monitoring weather patterns with real-time
monitoring in business, the business world has roughly the same capability as
hurricane forecasting had in 1900. Managers may hope for a sign in the sky to allow
them to know the current situation (…) they are unaware of changes in the
environmental around them until is to late to take action.
“Its about improving every manager’s ability to meet goals by ending surprises and
detecting opportunities. (…) far most of the business uncertainty we line with today
is unnecessary; that the primarily negative suprises we have to come to live with
should in now way be surprises” (Mcgee, Gartner)
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 15
GRC FAQ v1.0
Finalmente, de forma a encerrar este item e legitimar o papel da GRC deve-se
pensar no exemplo de um náufrago preso numa pequena ilha deserta cercada de
água por todos os lados que começa a passar sede. Toda a água que ele precisa
existe e está acessível, contudo, falta a atividade essencial de se tratar esta água
para torná-la potável, e, portanto usável.
Once you classify the possible information to be tracked by its priority, materiality,
and other factors, you will find that no more than 5 percent of the available data is
necessary to the end business surprises as we know them. (Mcgee, Gartner)
8.
Por que a GRC é diferente dos tradicionais sistemas de indicadores de
desempenho?
Uma das principais ferramentas de gestão de uma organização são os painéis de
indicadores que disponibilizam informações, muitas vezes online, de vendas, custo
operacional, nível de qualidade da produção, reclamações ocorridas, tempo de
espera, etc.. Desta forma, é comum que surjam algumas dúvidas referente a qual a
diferença entre um dashboard de GRC e os tradicionais painéis de indicadores?
Primeiramente, deve-se observar que o conceito de monitoração de indicadores
está associado a construir uma fórmula, extrair um valor objetivo de algum
parâmetro a ser mensurado e disponibilizá-lo para decisores e interessados neste
indicador.
Contudo, e quanto a todo o conhecimento que está disponível nos diversos
documentos, relatórios, formulários, planilhas, atas, emails, avaliações, análises,
telas de sistemas pareceres de uma organização que não são representáveis na
forma de um número objetivo? Como fazer para coletar estas informações,
atribuindo um maior grau de estruturação e permitir que eles possam dar uma maior
visibilidade aos gestores do negócio do que está ocorrendo em cada instante? A
figura a seguir ilustra esta idéia:
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 16
GRC FAQ v1.0
De forma a pragmatizar esta discussão pode-se pensar, por exemplo, em uma
Unidade de Negócio que ao final de um semestre realiza uma quantidade de vendas
abaixo da média da empresa. Esta informação está disponibilizada no painel de
indicadores dos executivos sendo hoje sua principal fonte de informação para
tomada de decisão. Como a GRC pode contribuir com este quadro? Que tipo de
informação poderia ser disponibilizado num ambiente de GRC que complementaria
este entendimento do que está ocorrendo?
Managers make critical business decisions with outdated and practically useless
information leading to the surprises of missed opportunities at best or disastrous
failures at worst for business, for manager, for employees, for the economy.
(McGee, Gartner)
A partir da implantação de um programa de GRC, o tomador de decisão poderia ter
as seguintes informações, por exemplo: 1) notícias extraídas da área de clipping
que influenciam na imagem local da empresa e certamente no consumo de produtos
da região; 2) registros de problemas nas avaliações individuais de desempenho dos
vendedores atuantes na região; 3) documentação de preocupações coletadas nas
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 17
GRC FAQ v1.0
atas de reuniões regionais que indicavam incompatibilidades daquela região com
um novo produto da empresa; 4) notificações de empresa de consultoria atuante na
filial da região sugerindo a melhoria dos sistemas de informação instalados; 5)
crescimento drástico do número de reclamações registrados na ouvidoria da região
sobre a demora para recebimento dos produtos comprados; etc..
Não há dúvidas, que este tomador de decisão poderia fazer contato com todas as
áreas apontadas e coletar as informações propostas para tomar a melhor decisão
possível. Contudo, este é justamente o paradigma que a GRC deseja quebrar.
We are using humans as the middleware because the IT architectural isn’t in a
situation where you push the button and get the information you need.
A proposta de GRC é, justamente, se conectar às diversas fontes de informação
existente em uma organização, coletando continuamente as principais informações
geradas nos silos funcionais e disponibilizá-las, em tempo real (ou quase real), nos
painéis de indicadores e de monitoração de riscos. Busca-se, portanto, construir um
ambiente de gestão com um grau de visibilidade e dinamicidade nunca antes visto
para aqueles que estão tomando decisão.
The data that can be used to avoid surprises, to capitalize on opportunities, and to
make midcourse corrections already exist. (McGree, Gartner)
9.
Uma organização possui quantas GRCs?
Embora a visão de múltiplas GRCs não seja largamente difundida na literatura atual,
alguns autores afirmam que cada silo funcional de uma organização pode ser
entendido como um tipo de GRC que está conectado a um GRC amplo corporativo.
Desta forma, pode-se pensar, por exemplo, em um “mini” GRC de RH que coleta
informação de satisfação de funcionários, avaliação de desempenho, entrevistas de
contratação e saída de funcionários, treinamentos e consolida informações para
riscos como perda de talentos. Este GRC de RH claramente delimita um conjunto de
iniciativas organizacionais, taxonomia, critérios de priorização, riscos, etc..
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 18
GRC FAQ v1.0
Um outro exemplo de GRC, seria um GRC de Gestão de Projetos que considere a
aplicação do PMBOK, os cronogramas de controles dos projetos, ações de
quantificação do impacto dos projetos, e consolide informações para riscos de
atraso na entrega de um projeto e descumprimento de regulação.
Nesta visão, uma organização seria composta de uma GRC corporativa e uma série
de GRCs funcionais (alguns autores chegam a contabilizar 15 GRCs) como
segurança da informação, cadeia de suprimentos, comercial, infra-estrutura,
eficiência operacional, etc..
“ Many organizations operate between three and 15 GRC silos divided among
various business segments” (Scott Mitchell, The Open Compliance And Ethics
Group)
Finalmente, ressalta-se o desafio entre balancear a possibilidade de se customizar e
especificar cada “mini” GRC considerando seu contexto e particularidades, e
conectá-los a um único GRC corporativo que habilite uma colaboração ampla de
informações para gestão e monitoração de riscos.
De forma a facilitar o entendimento deste FAQ, o termo GRC está sendo aplicado
apenas para referenciar a idéia do GRC corporativo.
10. Qual deve ser o modelo de implantação da GRC em uma organização:
Centralização, Descentralização ou Federação?
No que tange a implantação da GRC em uma organização, a visão de Federação
vem ganhando bastante força e exposição nas primeiras aplicações ao redor do
mundo.
A visão de federação, conforme descrita pela GRC,está fortemente associada ao
modelo de governo norte americano em que a esfera federal define uma série de
regras de decisão e normativos, enquanto que seus estados possuem grande
autonomia para deliberar sobre ocorrências em sua área de jurisdição.
Por exemplo, observa-se que em alguns estados existe pena de morte, e, em
outros, não. Outro exemplo é a percepção da distinção no nível de tolerância e
regras de jurisprudência na aplicação de penas em cada estado para crimes da
mesma natureza.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 19
GRC FAQ v1.0
Desta forma, pode-se pensar que existe uma padronização central da GRC
referente à taxonomia para categorização de riscos e controles e apetite para
avaliação das diversas questões analisadas. Por outro lado, os silos funcionais
devem possuir grande autonomia para definir parâmetros próprios como atributos,
categorias, regras de priorização, desde que este modelo seja conectável ao GRC
e, principalmente, que as informações geradas possam ser acumuladas e
consolidadas de forma consistente e útil para os decisores.
Ressalta-se, portanto, que a GRC preza em larga escala pela manutenção das
especificidades e peculiaridades de cada silo funcional, manifestadas em
vocabulários próprios, modelos mentais particulares e formas de comunicação
diferenciadas. A GRC deve entender a necessidade desta diferenciação técnica e
cultural dos silos funcionais, e reforçar que seu papel é justamente viabilizar e
amadurecer a colaboração entre estas áreas somando de forma consistente as
informações e output geradas.
Mais importante do que fazer com que todos falem da mesma forma, é fazer com
que a fala de todos possa ser traduzida para uma linguagem convergente que todos
entendam.
PARTE II - Motivações para Implementação de Programas de GRC
11. Qual o problema que a GRC objetiva resolver?
Será que as
organizações
atualmente possuem um nível adequado de
entendimento de quais são as principais ameaças e oportunidades que estão
incubadas nas diversas áreas de negócio? Até que ponto, por exemplo, uma
organização poderia ter tido acesso à informação que evitaria que os últimos
incidentes ou surpresas tivessem ocorrido? Até que ponto esta informação
simplesmente não flui de forma adequada e tempestiva até aqueles que poderiam
tomar as decisões mais adequadas?
“When comparing the state of real-time monitoring weather patterns with real-time
monitoring in business, the business world has roughly the same capability as
hurricane forecasting had in 1900. Managers may hope for a sign in the sky to allow
them to know the current situation (…) they are unaware of changes in the
environmental around them until is to late to take action. (McGree, Gartner)
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 20
GRC FAQ v1.0
Os sistemas de gestão das organizações atualmente vivem um contexto único em
que gestores e tomadores de decisão têm um entendimento limitado das diversas
forças e stakeholders atuantes em sua realidade. Pode-se, inclusive, pensar na
idéia que as organizações adquiriram tamanha complexidade, incerteza e
dinamicidade que seus gestores passaram a tomar decisões baseados em uma
“previsão” do que está ocorrendo no presente. A figura a seguir ilustra de forma
esquemática esta situação atual dos sistemas de gestão das organizações:
Compliance Week, December, 2006
Vive-se, portanto, um contexto paradoxal em que muitas informações estão sendo
geradas sem ser utilizadas e ao mesmo tempo muitas decisões são tomadas sem
as informações necessárias.
The Managing work is reaching never seen levels of complexity
O grande ponto a ser entendido é que hoje o conhecimento gerado pelos silos
funcionais não é coletado e disposto de forma acessível para os tomadores de
decisão. Como estas informações estão disponíveis em múltiplas fontes de
informação com diferentes níveis de detalhamento, formatos, métodos e estruturas
de dados, cabe ao decisor confiar na sua intuição e nos seus assessores ou investir
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 21
GRC FAQ v1.0
muitas horas de seu
tempo para localizar, analisar e consolidar todas as
informações existentes que podem suportar a decisão a ser tomada.
Finalmente, deve-se retomar a analogia do náufrago preso numa pequena ilha
deserta cercada de água por todos os lados que começa a passar sede. Toda a
água que ele precisa existe e está acessível, contudo, falta a atividade essencial de
se tratar esta água para torná-la potável, e, portanto aproveitável
Pela primeira vez, pessoas de negócio têm a habilidade de detectar oportunidades e
evitar desastres de maneira consistente, de forma a acabar com as surpresas no
negócio.
Business surprises should not be surprises. The information that would allows
managers to turn these currently unexpected events in opportunities is available
(Kenneth G. McGee, Gartnet)
12. Por que este problema se tornou mais importante agora? O que mudou?
Primeiramente, não há dúvidas que as diversas mudanças ocorridas no ambiente de
negócios
aumentaram
significativamente
a
complexidade,
dinamicidade
e
importância das decisões de planejamento e otimização da alocação de recursos
(pessoas, processos, sistemas e infra-estrutura) de uma organização. A figura
abaixo ilustra alguma destas mudanças:
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 22
GRC FAQ v1.0
“Eu entendo que, há não muito tempo atrás, quando o mundo andava em um ritmo
mais lento, pessoas de negócios realmente espertas conseguiam juntar eventos de
negócios discretos e dizer “Ah há!” e, então, fazer as decisões de negócio
necessárias. No entanto a aceleração do ritmo e complexidade do negócio tornaram
conseguir esses momentos “Ah ha!” extremamente difíceis.” (Vivek Ranadivé;
Power to Predict; 2006) “Trinta anos atrás, um gestor tinha a opção de ir devagar,
esperando pela informação quando decisões estratégicas importantes eram
necessárias. O gestor de hoje não tem esse luxo, o ritmo dos negócios acelerou e
as decisões são requeridas imediatamente mesmo quando a informação usada está
desatualizada.” (Kenneth G. McGee; Heads Up; Gartner; 2004)
Em segundo lugar, observa-se que toda a base das teorias de gestão e
administração foi inicialmente desenvolvida em um contexto em que a meta da
empresa era maximizar a eficiência produtiva e aumentar a confiabilidade da linha
de produção. No atual contexto, as componentes da incerteza e da dinamicidade
existentes em toda tomada de decisão ganharam tal magnitude que passaram a
pressionar a demanda por inovações nas práticas de gestão tradicionais baseadas
em rotinas, hierarquia rígida, etc..
“Nós observamos que empresas estavam tendo dificuldades para tirar vantagem
das oportunidades criadas pela digitalização e pela globalização por que suas
organizações não foram desenvolvidas para o novo mundo” / “Pesquisas mostram
que a maioria dos trabalhadores em empregos intensivos em inteligência de
grandes empresas sentem que desperdiçam entre meio dia e dois dias toda semana
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 23
GRC FAQ v1.0
em e-mails, mensagens de voz e reuniões improdutivos.” (Bryan & Joyce;
Mobilizing Minds; McKinsey; 2007)
"management was designed to solve a very especific problem – how to do things
with perfectly replicability, at ever increasing scale and steadily efficiency”/ “Some
challenges simply can't be met without reinventing our 100-year-old management
model” (Gary Hammel; The Future of Management; Harvard Business School; 2007)
13. Quais são as características humanas que aumentam a criticidade deste
problema?
Inicialmente, observa-se que a resposta a esta pergunta é fortemente baseada na
visão defendida por Nassin Taleb. O trabalho deste autor é muito expressivo no
entendimento das limitações existentes na mente humana ao longo de um processo
de tomada de decisão que envolve indisponibilidade de informação, e, portanto,
riscos.
Em termos gerais, Taleb apresenta alguns vícios da mente humana que tendem a
gerar distorções relevantes na análise de um resultado esperado, afetando
significativamente o sucesso de um processo de tomada de decisão.
O grande problema existente é que um gestor ou tomador de decisão acaba
incorrendo nestes vícios de forma inconsciente, perdendo a sensibilidade do grau de
distorção que está sendo incorporado ao resultado esperado. Tais distorções são
especialmente relevantes em um ambiente de negócios dinâmico e complexo em
que a previsão de resultados esperados possui uma parcela cada vez maior de
incerteza.
A primeira limitação ilustrada por Taleb é o que se pode chamar de “arrogância do
conhecimento”: A maioria dos indivíduos tende a imaginar que entende muito mais
do seu objeto de análise do que realmente entende. Neste contexto, o que se
observa é que a mente humana tende a supor que possui todo o conhecimento
necessário para realizar uma análise, uma vez que é praticamente impossível
mensurar qual a parcela de conhecimento desconhecida, mas relevante para uma
decisão.
Uma pesquisa conduzida na Suécia, por exemplo, constatou que 86% dos
motoristas suecos acham que possuem habilidade para direção acima da média.
Teoricamente, 36% destes entrevistados dirige abaixo da média, contudo tem a
impressão de serem muito melhores motoristas do que realmente são. (Taleb)
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 24
GRC FAQ v1.0
Reforçando a idéia da distorção provocada pela “arrogância do conhecimento”,
também observa-se que muitas vezes nossa mente, ao analisar um determinado
objeto, tende a superestimar as questões que tem maior conhecimento e
experiência prática, independente da relevância destes elementos para resultado
final desejado. Da mesma forma, a mente humana inconscientemente subestima
questões menos experimentas ou estudadas deixando a sensação de que se trata
de algo simples e com impacto desprezível no resultado final.
Isto é, um economista, um sociólogo, um psicólogo e um historiador poderão
explicar um mesmo fenômeno de quatro formas diferentes. Provavelmente, cada
um deles terá uma explicação focada em sua área de conhecimento.
Provavelmente, todas terão algum grau de pertinência, porém possivelmente
nenhuma delas apresentará uma abrangência suficiente para gerar uma
compreensão completa dos fatos.
Um segundo vício da mente humana, apresentado por Taleb, reside nas distorções
criadas ao se tentar explicar fatos passados ocorridos. É muito comum vermos
pessoas falando que determinado evento (ocorrido) estava fadado a acontecer e
tecer uma explicação causal convincente para tanto. No entanto, raramente estas
mesmas pessoas são vistas alertando (e acertando com freqüência) a ocorrência de
eventos antes que eles aconteçam.
O que ocorre é que é natural para o ser humano criar relações causais (simples)
que expliquem os fenômenos que na verdade possuem uma explicação muito mais
aleatória do que gostaríamos de acreditar. Aparentemente, a mente humana
apresenta certa relutância para reconhecer a parcela de incertezas que afeta o
resultado de suas decisões. optando por ignorar o efeito desta parcela de
aleatoriedade.
De fato, algumas organizações têm uma cultura de supressão da incerteza.
Os psicólogos mostraram que a maior parte dos gerentes tende a confiar mais em
suas previsões sobre os resultados futuros e acha que tem mais controle do que
realmente tem. (Jeremy Hope)
Embora pareça óbvio e simples explicar fatos do passado, a verdade é que explicar
o passado pode ser muito mais difícil que prever o futuro. Da mesma forma que um
evento pode abrir uma árvore de opções futuras que sucedem este evento, a
precessão de um evento também possui um leque enorme de possibilidade. Para
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 25
GRC FAQ v1.0
tentar dar materialidade a esse conceito, usemos o exemplo dado por Taleb em
relação a um cubo de gelo deixado sobre uma mesa.
Prever o formato da poça d’água que se formará pode parecer razoavelmente fácil.
No entanto, dada uma poça d’água sobre a mesa, não é tão fácil saber como era o
pedaço de gelo que deu origem a ela, se é que ela foi originada por um cubo de
gelo.
Em terceiro lugar, ao se olhar para o futuro, o homem também possui uma grande
limitação que cria distorções significativas em suas previsões. O homem
naturalmente consolida um entendimento inicial “ex-ante” da situação ou do
contexto e tende a buscar apenas evidências ou sinais que confirma sua teoria
inicial. O grande vício, neste sentido, é estar inconscientemente fechado para sinais
de que a “planejamento” não está andando como previsto sendo necessário fazer
mudanças.
Neste sentido, o investidor George Sores costumava comentar que acordava todo o
dia pensando que no dia anterior havia feito tudo errado de forma a estar aberto
para sinais de que a realidade não está seguindo o planejado ou esperado. Desta
forma, a mente humana tende a ignorar inconscientemente fatos concretos que
indiquem o sucesso de suas intenções e expectativas. Inclusive, uitas organizações
acabaram incorrendo em grandes prejuízos por causa desta distorção.
Você acaba acreditando tanto que as coisas vão acontecer de uma certa forma, que
já não consegue mais perceber os sinais de que novos fatos e informações
apareceram.
Desta forma, é neste contexto que muitos autores afimam que o cérebro humano
não foi pensado para ser um gestor de riscos. O instituto humano na busca pela
sobrevivência e sua tendência a se comportar “bandos” (vide a idéia de “animal
spirit”.espírito animal de Keynes) fazem da mente humana uma máquina perigosa
de distorção da realidade em busca de “verdades alternativas” que aumentem seu
sentimento de conforto e tranquilidade.
“olhamos para um projeto com 5% de chance de sucessos e achamos que as
chances são de 30%”; (Kahneman e Lovallo)
“Em tempos prósperos, é facil esquecer os riscso. Mas esse é o período em que
provavelmente mais decisões ruins são tomadas e riscos excessivos são aceito.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 26
GRC FAQ v1.0
Esse também é o período em que os mensageiros com notícias ruins são mais
facilmente silenciados.” (Robert Simons, Harvard)
Finalmente, reforça-se, neste sentido a necessidade da construção de programas
de GRC que apóiem gestores e executivos a reduzir esta a parcela de distorção
construída inconscientemente e que só aumenta em tempo de grande incerteza e
dinamicidade.
14. Quais os benefícios gerados por um programa de GRC ?
A literatura disponível e aplicação prática de GRC tende a concentrar os benefícios
deste tipo de programa em três grandes frentes:
Primeiramente, espera-se, fortemente, que um projeto de GRC reduza custos
relacionados à gestão da informação e aumente significativamente a eficiência das
diversas iniciativas organizacionais executadas. Diversos estudos demonstram que
a maioria das organizações possui: 1) iniciativas de gestão e compliance, que por
não serem planejadas conjuntamente, possuem grande sobreposição de atividades
realizadas e redundância de informações geradas; 2) diversos relatórios com uma
grande quantidade de informações que simplesmente não são mais utilizadas, ou
poderiam ser fortemente reduzidas, sendo apenas resquícios de mudanças e
evoluções passadas pela organização.
Organizations require that multiple roles in the organization start working together
in an integrated framework. Business roles of governance, risk, and compliance
need to understand how their roles fit into the big picture. GRC is getting everyone
to play their different positions (roles within the enterprise) out of the same
playbook. […]
The line-of-business is fighting back because redundant assessment and audit
processes looking for similar information for different purposes is preventing the
business from getting business done. GRC aims to ease the burden on business by
leveraging common processes, assessments, and information. (Michael Ramussen,
OCEG)
“We are using humans as the middleware because the IT architectural isn’t in a
situation where you push the button and get the information you need”
Em segundo lugar, programas de GRC pretendem prover ao tomador de decisão
um aumento dramático do grau de visibilidade e entendimento sistêmico do
ambiente. A GRC deve complementar a intuição do gestor com um fluxo contínuo
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 27
GRC FAQ v1.0
da informação que está sendo gerada de forma fragmentada nos silos funcionais,
evitando que ações sejam tomadas causando impactos sistêmicos indesejáveis não
previstos em outras áreas e processos. Neste sentido, espera-se que ameaças
sejam tratadas de forma muito mais assertiva e econômica e que oportunidades
sejam exploradas maximizando os resultados gerados.
I would add a holistic view of risk. What we don’t see enough of is true risk models
where you understand the relationships between the different risks, which can be
both subtle and complex. If one thing in the organization changes, that can
dramatically impact something somewhere else. To have those models and build
them into these “alert systems” or “dashboards” would be a very powerful
addition.( Steve Taylor, CEO, Resolver)
Finalmente, espera-se que a GRC modernize significativamente o sistema de
gestão de uma organização, tornando-o altamente sensitivo a qualquer tipo de
operação que saia do padrão esperado e que possa indicar uma ameaça ou
oportunidade a ser tratada.
The data that can be used to avoid surprises, to capitalize on opportunities, and to
make midcourse corrections already exist.
They can anticipate events and changes so they can adjust tactics and strategies to
ensure that goals are met, opportunities are maximized, and disasters are avoided –
what we call real-time opportunity detection (McGree, Gartnet)
Analogamente, pode-se pensar que a GRC é a teoria organizacional proposta para
se tentar acertar uma flecha em um alvo, quando este alvo se move diariamente de
acordo com fatos e eventos ocorridos.
In the Utopian world of GRC, we’d also like to deliver predictive transparency to our
customers. Based upon historical data or various what-if scenarios, we can provide
a minority report capability that helps people prevent the risksbefore they occur.
That is the ultimate Utopia – not only do people have a 360 degree perspective of
the GRC status in the organization and collaborate more effectively, but they can
actually prevent problems before they happen. (Holly Roland, Senior Director, SAP)
Neste sentido, a aplicação da GRC é uma fonte fundamental de vantagem
competitiva para que as organizações possam desenvolver sua capacidade de
antecipar, interpretar e reagir rapidamente a mudanças e oportunidades, neste
ambiente dinâmico e incerto, em que decisões devem ser tomadas de forma cada
vez mais ágil.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 28
GRC FAQ v1.0
“Companies will increasingly go toward Predictive Business as they begin to look at
business events in greater and greater detail aid in tighter and tighter time frames.
Using historical knowledge, you will create a set of standard pattern in which
behavior-of events, customers and transactions will be identified. The next time you
see this sequence of behavior aligning in the same or similar fashion, you will know
the likelihood that it will result in the same kind of out come”
15. Quais
as
dificuldades
culturais
esperadas
para
que
isto
realmente
aconteça?
Embora as idéias apresentadas até o presente momento possam parecer
interessantes e motivadoras, não se pode esquecer que diversas outras teorias
também
prometiam
resultados
que
acabaram
não
sendo
comprovados.
Especificamente, pode-se pensar na experiência de diversas organizações com
programas de ERM que acabaram não tendo seu retorno financeiro esperado.
“Think about all the billion of dollars that have been burned on the altar of
enterprise-wide risk management (ERM)” (OpRisk & Compliance)
Trazer uma abordagem teórica para a prática é sempre um grande desafio. Não se
pode esquecer que os provedores de informações e gestores de riscos e
oportunidades são seres humanos com vícios, traumas, experiências, afinidades e
relacionamentos pessoais dentro e fora da organização.
Desta forma, um grande desafio da GRC se refere a como motivar pessoas para
colaborar e compartilhar informações, seja por meio de incentivo, controles ou
punições.
Atualmente, a informação é vista como moeda de troca nas organizações e até
mesmo um seguro para a manutenção de posições e condicionar o formato de
estruturas organizacionais. Em outros casos, observa-se que a colaboração de
informações é fortemente condicionada pelo grau de amizade entre as pessoas
envolvidas e pelos interesses particulares de que algo seja ou não divulgado.
Quando trabalhamos juntos em uma organizações, a tendência a uma visão tacanha
do futuro é geralmente amplificada por várias pressões sociais e sistemas
gerenciais."Matthew Leitch
O desafio de um programa de GRC é em grande parte o desafio de resolver (ou
melhor contribuir para a resolução) do histórico problema de silos funcionais. Este
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 29
GRC FAQ v1.0
problema há décadas já foi identificado e diversas foram as abordagens que
tentaram solucioná-lo. ao longo do tempo
Em suma, as diversas organizações que iniciarem seus programas devem estar
atentas aos desafios culturais de um programa de GRC e reforçar sua comunicação
para tal. O sucesso do ambiente de GRC é fortemente condicionado pela sua
capacidade de motivar e mobilizar as pessoas a participarem efetivamente de um
ambiente colaborativo como provedores e usuários de informação.
As pessoas costumam trocar informação com quem gostam do com quem você
precisa.
Em especial, deve-se reforçar o princípio de que a GRC atua primordialmente para
criar conectividade e habilitar a colaboração entre silos funcionais. Deve-se,
portanto, valorizar e respeitar as especificidade e especializações de cada silo,
criando mecanismos para traduzir os conhecimentos gerados para uma linguagem
única de GRC que seja acessível por todos e independente de métodos,
ferramentas e terminologias locais.
Mudar alguma coisa implica não apenas aprender algo novo, mas desaprender algo
que já existe, e, possivelmente, está atrapalhando. O que a maioria das teorias e
dos modelos sobre aprendizado negligencia é a dinâmica do desaprendizado, da
superação da resistência à mudança. Eles supõem que, se você conseguir ter uma
visão bastante clara de um futuro positivo, essa motivação será suficiente para
começar o novo aprendizado. (Edgar Schein)
Mais importante do que fazer com que todos falem da mesma forma, é fazer com
que a fala de todos possa ser traduzida para uma linguagem convergente que todos
entendam.
PARTE III - A GRC e as demais Iniciativas de Gestão de Riscos
16. A GRC é uma melhoria incremental, uma evolução significativa ou algo
completamente distinto da Gestão de Riscos?
Primeiramente, entendemos que a GRC é um pouco mais do que uma simples
melhoria da Gestão de Riscos, uma vez que as premissas e desafios
significativamente distintos foram definidos.
O desafio de difundir uma nova filosofia de gestão centrada no aumento contínuo
da maturidade da colaboração entre áreas para que um decisor (vide o modelo de
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 30
GRC FAQ v1.0
governança definido) tenha sempre a melhor informação possível é algo
efetivamente novo que não havia sido proposto pela gestão de riscos e controles.
Por outro lado, as tradicionais matrizes de riscos, bases de perdas e KRIs devem
continuar sendo executados como pilares centrais do sistema de GRC. A grande
diferença é que estas atividades devem possuir um caráter muito mais pró ativo e
dinâmico além de serem suportadas pelas informações coletadas pela estrutura de
GRC.
Em suma, pode-se pensar que as bases de perdas estariam associadas à apuração
financeira das informações captadas pelo sistema de GRC, a partir de fontes como
rubricas contábeis específicos, relatório de compensação ao cliente, controle de
multas e passivo, etc.. Atualmente, muitas organizações já conseguem fazer este
tracking de informações para sua base de perdas.
No que tange as matrizes de riscos, sua atualização deverá possui um caráter muito
mais dinâmico e pró-ativo. Desta forma, o ambiente de GRC deverá ser sensitivo a
ponto de entender as mudanças ocorridas no ambiente e antecipar a necessidade
da revisão de um assessment de riscos na matriz.
Esta visão dinâmica é muito próxima à abordagem de riscos de mercado em que
qualquer evento ocorrido rapidamente se reflete na atualização dos riscos dos
papéis das empresas relacionadas.
Finalmente, os sistemas de reports de riscos e painés tendem a ser muito mais
completos e sofisticados abarcando praticamente todo o conhecimento gerado nas
diversas fontes de informação de uma organização. Conforme observado, espera-se
construir um ambiente de gestão com um grau de visibilidade nunca antes visto,
possibilitando que a tomada de decisão possa ser feita com uma dinamicidade
também sem precedentes
17. A visão de ERM está incorporada na visão de GRC, ou, a visão de ERM deve
ser adicionada à visão de GRC?
No que tange a discussão entre GRC e ERM, novamente nos deparamos com
diferenças de opiniões entre os principais especialistas e referências neste assunto.
A visão de ERM sugere que a gestão do risco em uma organização deve partir de
um entendimento holístico que efetivamente avalie qual a contribuição de cada área,
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 31
GRC FAQ v1.0
processo, sistema, independente dos limites funcionais da empresa prescritos em
seu organograma. Muitas abordagens de gestão de riscos falharam em não
conseguir modelar toda a complexidade de um risco propondo tratamentos
inefetivos que não atuavam na causa raiz do problema e, portanto, em seu ponto de
maior alavancagem. Neste sentido, até a interação entre riscos deve ser
considerada e modelada para priorização das vulnerabilidades críticas a serem
tratadas. A figura a seguir ilustra esta visão sistêmica proposta por ERM:
Vendas
Satisfação
Estratégia
Dos Clientes
De Vendas
Campanhas
Realização
Entrega
De Marketing
De Vendas
De Produtos
A incerteza sobre os resultados do processo se propaga através de suas atividades
A analogia ideal para esta idéia é a situação em que a colocação da última carta de
baralho em uma pirâmide de cartas, provoca a queda de todas as cartas da
pirâmide. Certamente, a razão para queda da pirâmide é bem mais complexa do
que a última carta colocada, a qual pode ter simplesmente disparado a queda de
todas as outras cartas. Por outro lado, analisar a estrutura das cartas montadas,
identificando os potenciais pontos de vulnerabilidade na ligação entre as cartas é
tarefa analítica de grande dificuldade devido à infinidade de possibilidades de
combinações de causas interconectadas que justifiquem o evento ocorrido
The other gap is the lack of ability to model risks and understand the relationships
between them. Risk assessment is often still conducted on a ‘per risk’ basis with
different risk owners making a determination as to likelihood, impact, or control
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 32
GRC FAQ v1.0
level in a vacuum. In reality, there are groups of risks that affect each other. If the
status of one risk changes, the status of all others in the system can also change;
often a simple change outside of the business can lead to a chain reaction inside
the business. Most companies don’t seek to understand these systems, leaving
themselves exposed.
A visão de ERM também agrega à disciplina de gestão de riscos o importante
entendimento de riscos como situações ou eventos em que os objetivos da empresa
não estão sendo atingidos. Desta forma, com a ERM uma organização pode
facilmente relacionar:
os objetivos que não estão sendo atingidos,
as vulnerabilidades existentes nos processos/sistemas e
os controles internos que devem ser implantados.
A atividade de gestão de riscos é, portanto, construída como um desdobramento
natural do planejamento estratégico mobilizando esforços e prioridades em torno do
atingimento das metas e resultados esperados.
Uma primeira corrente de especialistas considera que ERM está inteiramente
incorporada no conceito de GRC e que o R de GRC nada mais é do que o próprio
ERM.
Uma segunda linha prefere enfatizar que o conceito de ERM não estaria inserido
dentro de GRC e que programas de GRC e ERM deveriam ocorrer de forma
integrada: a GRC teria um foco no conceito de coleta de informação estruturada e
entrega de reports consolidados; já o foco de ERM reside na visão de apetite a
riscos (desdobrado da estratégia) e no entendimento de como os diversos riscos se
inter-relacionam e são desdobrados para os processos.
Não há dúvidas que independente da posição escolhida, um framework de gestão
de riscos deva contemplar ambos conceitos, insight e ferramentas. A questão de
quem engloba o que é pequena diante do desafio de se construir um apetite ao risco
que seja compreendido e efetivamente utilizado no mundo real, contribuindo para
orientar decisões de priorização desdobradas da estratégia.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 33
GRC FAQ v1.0
18. Qual a relação entre programas de GRC e projetos SOX?
Embora esta pergunta não seja muito recorrente no Brasil, algumas vezes observase certa confusão entre um programa de GRC e uma iniciativa de otimizar a
eficiência de um programa de SOX.
Neste contexto, organizações que vêm realizando projetos de SOX apresentam uma
grande motivação para redução de custo de compliance devido à extensa
quantidade de práticas que devem ser realizadas para comprovar credibilidade
frente aos acionistas da NYSE. Para estas organizações, otimizar drasticamente as
iniciativas de compliance é uma ação imperativa com impactos relevantes em seu
resultado financeiro.
Contudo, ressalta-se que as aplicações de GRC relacionadas à SOX são apenas
um case preliminar do uso da filosofia de colaboração e convergência de
informações para o contexto específico da confiabilidade de reports financeiros.
Estas abordagens, portanto, vêm apresentando um foco ainda superficial na
proposição de painéis e reports dinâmicos de riscos que consolidem de forma
inteligência e em tempo real (ou quase real) as diversas fontes de informação
disponíveis na organização.
19. O que é IT-GRC? Por que é tão comum se falar em IT-GRC, e pouco se
houve falar em RH-GRC?
Uma segunda aplicação dos conceitos de GRC que vem ganhando forte adesão
está centrada a áreas de Tecnologia da Informação das organizações. Devido à
grande quantidade de legislações, modelos de referência e procedimentos
aplicáveis a este setor, existe uma forte demanda por uma abordagem integrada
feita pela alta administração.
Neste sentido, se a aplicação de GRC para SOX é focado num aumento drástico de
eficiência para comprovação da confiabilidade de reports financeiros, a aplicação de
GRC focada em TI é um aumento drástico de eficiência para assegurar a
disponibilidade e qualidade de todo o suporte tecnológico necessário ao bom
funcionamento de uma empresa.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 34
GRC FAQ v1.0
Finalmente, ressalta-se novamente que este tipo de aplicação é apenas um case
preliminar do uso da filosofia de colaboração e convergência de informações com
foco em aumento de eficiência. A visão da construção de painéis e reports
dinâmicos de riscos que consolidem dinamicamente e tempestivamente as diversas
fontes de informação disponíveis na organização, ainda está sendo aplicada de
forma bem preliminar.
20. Qual a relação entre GRC e COSO? A GRC seria uma evolução do COSO ou
um opção ao COSO? Está sendo previsto algum COSO GRC?
Uma vez que a história da gestão de risco é fortemente atrelada à história do
COSO, e posteriormente a do COSO ERM, é importante refletir como o conceito de
GRC se conecta a este tradicional framework.
Inicialmente, deve-se entender que a proposta de GRC vai para além dos conceitos
e desafios estabelecidos no COSO e COSO ERM. Por conseguinte, o desafio da
coleta contínua de informações de iniciativas como ouvidoria, helpdesk, comitê de
desenvolvimento de produtos, avaliação de satisfação de funcionários, ata da
reunião de clientes, sistemas de vendas, etc. e consolidação dinâmica deste
conhecimento em dashboards de riscos não está descrito no COSO.
Por outro lado, a linguagem de controles construída pelo COSO é um elemento
fundamental para erguer um ambiente de GRC. Através da descrição do COSO é
possível modelar todo o funcionamento de uma organização em controles
organizados em categorias e subcategorias como ambiente de controle (filosofia de
gestão de riscos, comprometimento com indicadores), atividades de controle
(controles manuais, controles automáticos), monitoração (indicadores) etc..
Neste sentido, constrói-se uma linguagem universal que habilite a colaboração e
comparação da forma como cada área mitiga e trata seus de riscos. Desta forma,
pode-se interpretar facilmente que riscos de um determinado tipo ( por exemplo
cobrança indedevida) são mitigados por controles de naturezas distintas ( por
exemplo, sistemas, duplas checkagem, checklist, supervisão gerencia, etc.) entre as
diferentes filiais. Um segundo exemplo passa por compreender se a grande maioria
das áreas trata riscos financeiros com o mesmo tipo de prática.
Observa-se, ainda, que o surgimento da GRC de forma alguma é uma crítica ou
algo que substitui o framework COSO. A GRC deve ser pensada como estágio
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 35
GRC FAQ v1.0
superior de implantação do COSO rumo a uma visão mais dinâmica, pró-ativa e
capilarizada na organização.
Finalmente, observa-se que até o presente momento não houve nenhum indício da
elaboração de algum COSO GRC.
21. Qual a relação entre GRC e a ISO 31000? Como implantar programas de
GRC que estejam alinhados a referência normativa da ISO 31000?
A resposta a esta pergunta está muito associada à resposta da pergunta anterior.
A GRC se caracteriza hoje como um estágio mais evoluído da gestão de riscos que
conecta os diversos fluxos de informação de toda a organização, consolidando e
organizando este conhecimento em painéis de riscos baseados na linguagem de
GRC. Estes painéis, ou dashboards, proporcionam uma monitoração dinâmica (em
tempo real ou quase real) e pró-ativa das ameaças e oportunidades que extrapola
os limites funcionais de uma organização.
Por outro lado, a ISO 31000 ainda está atrelada a uma abordagem mais estática da
gestão de riscos em que o gestor de riscos tem que ir atrás da informação no
momento da reavaliação (semestral ou anual) de riscos e testes de controles.
Esta mudança de paradigma em que provedores e usuários de informações de
gestão de riscos estão conectados em um ambiente de GRC com grande
acessibilidade e reusabilidade do conhecimento gerado pelos indivíduos não está
incorporada a visão da ISO 31000.
Neste sentido, a GRC não é concorrente da ISO 31000, mas um estágio mais
evoluído e sofisticado de gestão. Desta forma, sugere-se, fortemente, que toda a
estrutura de GRC seja construída a partir dos termos e conceitos propostos pela
ISO 31000, alinhando às terminologias que estão sendo uniformizadas mundo afora.
22. Como a GRC se refere à idéia de que riscos podem ser tanto negativos
(ameaças) quanto positivos (oportunidades)?
Existe, aparentemente, um grande desequilíbrio entre a atenção e esforços
investidos em gestão de riscos para prevenção de ameaças em detrimento à gestão
de riscos para exploração de oportunidades. Na prática, pouco vem sendo debatido
sobre como as mesmas fontes de incertezas, causadoras de ameaças e
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 36
GRC FAQ v1.0
destruidoras de valor para acionistas, são também geradoras de uma vasta gama
de oportunidades e opções de inovação para as organizações.
Contudo, pensar em uma gestão de riscos positivos não consiste em distribuir
liberdade e autonomia para identificação de todo e qualquer tipo de oportunidade
por todo e qualquer funcionário da organização. A implantação de controles de risco
positivo é um ato consciente e deliberado em que uma organização se compromete
intencionalmente com uma determinada prática visando aumentar a probabilidade e
magnitude de ganhos com oportunidades potenciais referentes a ações estratégicas
de alta incerteza.
Esta visão de riscos positivos, embora não seja abordada de forma exaustiva, é
recorrentemente citada nas principais referências de GRC. Em outras palavras, é
muito mais freqüente a idéia de oportunidades enquanto eventos incertos a serem
explorados em artigos de GRC em comparação com artigos de Gestão de Riscos
tradicional.
Desta forma, implementar a gestão de riscos positivos parece ser algo natural no
contexto da criação de um ambiente de GRC que uniformiza a linguagem e
dissemina o conhecimento armazenado nos silos funcionais para todos os
interessados. Inclusive, observa-se que muitos autores afirmam que as principais
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 37
GRC FAQ v1.0
oportunidades de uma organização residem justamente nos espaços em branco
existentes nos organogramas.
PARTE IV - Implementação de Programas de GRC
23. Como evoluir os sistemas de gestão de riscos tradicionais para um
programa de GRC?
A partir de um amplo benchmarking nacional e internacional, e da realização de
diversos projetos de GRC, a ELO vem desenvolvendo um framework para condução
de programas de GRC que reforce a visão sistêmica de ERM e seja baseado nas
terminologias e conceitos da norma ISO 31.000. Este framework é denominado
GRC Intelligence® e pode ser visualizado na figura:
Geração de dashboard e reports customizados em tempo real
Monitoração de
Indicadores de
Riscos e
Performance
Coleta
inteligente de
informações não
estruturadas
Amadurecimento
das iniciativas e
cultura de GRC
Consolidação do
Repositório de
Inteligência de
GRC
Definição da
Estratégia de
GRC
Atualização da
Base de Perdas
e Quase Perdas
Modelagem e
Avaliação de
Riscos e
Controles
Consolidação e
Monitoração de
Planos de Ação
Realização de
Testes de
Controle /
Compliance
Disseminação de Linguagem Uniformizada de Análise (Taxonomia e Apetite)
1
De forma a detalhar esta figura a tabela a seguir detalha a descrição de cada um
dos componentes do framework GRC Intelligence ® :
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 38
GRC FAQ v1.0
Ge raç ão d e d ash b oard e re po rts cu stom zi a do s e m temp o re al
11
24. Como evoluir um dicionário de riscos para uma linguagem
Ri sco s e
Pe rforma nc e
3
uniformizada de análise de GRC ?
Amad u e
r ci me nto
da s n
i ci a
i ti va s e
cu l tu ra de GRC
8
Mo ni tora ção d e
Ind i cad o res d e
Co e
l ta
n
i tel i ge nte d e
i nfo rmaç õe s nã o
e stru tura das
2
Con so il da çã o d o
Re po si tó ri o de
Inte il g ên ci a de
GRC
6
Con tro l es
Con so l d
i aç ão e
Mo ni tora çã o de
Pla no s d e Aç ão
7
5
T e stes d e
Con tro l e /
Co mp il an ce
9
Diss em in a çã o d e L in gu a ge m Un ifo rmiz ad a d e An ális e (Ta x on o mia e Ap etite )
1
de processos, riscos e controles, é muito comum que esta visão esteja sendo
subutilizada como uma mera categorização burocrática. Em muitos casos, observase um alto grau de investimento na construção de categorias (inventários de
processos, tipologias de riscos, etc..) que acabam restritas a poucos especialistas,
não gerando, portanto, o retorno esperado.
A idéia da criação de uma linguagem universal a partir da criação de categorias foi
um marco muito importante na biologia com o surgimento da classificação de reino,
filo, classe, ordem, família, gênero e espécie. Desta forma, para toda nova espécie
identificada, era possível estimar suas características rapidamente baseado nos
seres vivos já estudados que pertencessem ao seu mesmo grupo.
© Setembro 2008. ELO Group
www.elogroup.com.br
10
Rea il za ção de
Atu al zi açã o d e
Base de Pe rda s
e Qu ase Pe rd as
Embora muitas organizações já tenham avançado com taxonomias
M od el ag em e
Av al a
i ção d e
Ri sc os e
De fin çi ão d a
Es tratég a
i de
GRC
4
Página 39
GRC FAQ v1.0
Neste sentido, a criação da classificação universal de seres vivos, longe de ser um
fardo burocrático, efetivamente habilitou que diversos cientistas no mundo
pudessem colaborar na realização de suas pesquisas, compartilhando o
conhecimento gerado e avançando significativamente no entendimento das
características e comportamentos dos seres vivos.
Reino Filo Classe Ordem Família Gênero Espécie
Vírus
Bactéria
Fungo
Protozoário
Também é possível observar, que a uniformização do entendimento dos elementos
constituintes do corpo humano (esqueleto/ossos, sistemas/órgãos, etc.) e o
inventário contínuo das patologias existentes foi de fundamental importância para o
avanço da medicina. Desta forma, um profissional poderia avançar em uma
determinada especialidade (como pediatria, dermatologia, geriatria, cirurgia,
oncologia, etc.), minimizando, o impacto dos silos funcionais que estavam sendo
erguidos.
Otorrinolaringologista
Epidemiologista
Endocrinologista
Hematologista
Oncologista
Infectologista
Cardiologista
Pneumologista
Dermatologista
Hepatologista
Desta forma, quando um paciente vai para um clínico geral, cardiologista ou um
endocrinologista, todos estes profissionais vão diferenciar da mesma forma a febre
da febre amarela, o sarampo da caxumba, a gripe da pneumonia, etc.. Contudo, se
você perguntar o que é um problema de processos ou de satisfação de clientes para
profissionais de diversas áreas, certamente receberá respostas significativamente
distintas.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 40
GRC FAQ v1.0
“It’s amazing how much risk exists because of different people speaking in different
languages”
A criação da linguagem de riscos, controles e processos é, portanto, um habilitador
fundamental para que as áreas consigam construir um ambiente de colaboração de
informações que extrapole os silos funcionais. Para fins deste documento sugerimos
que a GRC esteja fundamentada nos cinco tipos de categorias apresentados na
figura a seguir:
Fontes de Riscos
Riscos
Impactos
• Design (Visão f uncional)
• Design (Visão de processos)
• Segurança da informação
• Estrutura de gestão
• Segurança e saúde do
funcionário
• Estratégia
• Propriedade intelectual
• Competências
• Recompensas e Motivação
• Infra-estrutura tecnológica
• Fornecedores e Terceiros
• Clientes
• Controles, Compliance e
Continuidade
•Governança Corporativa
• Disputas trabalhistas
• Redução de competências
• Imagem no mercado
• Relacionamento com cliente
• Conf ormidade legal
• Eficiência operacional
• Fusões e aquisições
• Dif erencial competitivo
• Complexidade em gestão
• Clima organizacional
• Outsourcing
• Gestão de projetos
Adaptado
Norton&
Kaplan (2008)
• Falha tecnológica
Processos
Controles
•Auditoria Interna e Externa
COSO
• Ambiente interno
• Resposta a risco
• Definição de objetivo
• Atividades de controle
• Identif icação de evento
• Inf ormação e comunicação
• Avaliação de risco
• Monitoração
• Infra-estrutura
• Aquisição
• Gerência de Recursos Humanos
• Logística Interna
• Desenvolvimento de Tecnologia
• Operações
• Logística Externa
Cadeia de Valor
de Porter
• Marketing de Vendas
• Serviço
Para cada categoria, sugerimos que seja desenvolvido: um segundo nível de
detalhamento; uma descrição detalhada; palavras-chaves associadas; palavraschaves que não estão associadas; exemplos; e, até mesmo, perguntas objetivas
para validar uma determinada classificação.
Neste momento, o uso de conceitos de ontologia é fortemente sugerido de forma a
otimizar o enquadramento de palavras em domínios e dar usabilidade a estes
termos “classificados”. Este tipo de prática já é fortemente utilizado para organizar
portais de compras como, por exemplo, no caso da Amazon.com, em que livros são
categorizados em temas, e, desta forma, quando um usuário compra um livro de um
determinado domínio a Amazon sugere a venda de outros livros pertencentes ao
mesmo domínios que estejam bem ranqueados.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 41
GRC FAQ v1.0
Finalmente, observa-se que as diversas iniciativas de RH, TI, Comercial, Operação,
Marketing, Financeiro, etc. não são obrigadas a implantar o conjunto de categorias
definidos pela GRC. O essencial é que a informação provida por estas áreas possa
ser traduzível na linguagem de GRC, e desta forma, seja consolidável no
Repositório de Inteligência de GRC.
Por exemplo, uma área de RH poderia definir o nível 3 de categorias ligadas a
funcionários, enquanto uma área jurídica poderia detalhar categorias relacionadas a
passivo trabalhista.
Mais importante do que fazer com que todos falem da mesma forma, é fazer com
que a fala de todos possa ser traduzida para uma linguagem convergente que todos
entendam.
25. Como construir um apetite / tolerância a riscos para um
Gera çã o de da shb o ard e rep orts cu sto mi zad os em te mpo re al
11
Ama du rec ime n o
t
d as in i ci ativ as e
programa de GRC ?
c ul tura d e GRC
Mo ni toraç ão d e
8
Ind i cad ore s d e
Ri sco s e
Pe rforma nc e
3
Co le ta
in tel i ge nte d e
A temática de apetite ou tolerância ao risco é um dos assuntos que
i nfo rmaç õe s nã o
e stru tu rad as
2
Co n sol i da ção do
Rep os it ó rio d e
Intel i gê nc ia d e
GRC
Mod e la ge me
Aval i açã o d e
Defi ni çã o da
Estraté gi a d e
GRC
4
6
Ris co se
Con trol es
Co ns ol d
i aç ão e
Mo n ti o raçã o de
Pla no s d e Ação
7
10
Re al iza çã o d e
Te ste s de
Atua li za ção d e
Ba se d e Perd as
e Q ua se Pe rda s
5
Con trol e /
Comp li an ce
9
Dis se min aç ã o d e L in g u ag em Un ifo rmiza da de An á lis e (T ax o no mia e Ap e tite )
1
vem causando maior polêmica em apresentações, fóruns e grupos
de discussão de gestão de riscos. Observa-se que apesar deste tema possuir uma
base conceitual consistente, a maioria das organizações vem tendo grandes
dificuldades em efetivamente construir um referencial desdobrado da estratégia que
oriente a execução dos processos e a priorização de decisões.
Primeiramente, observa-se que as principais referências em GRC possuem
entendimentos distintos sobre os termos apetite e tolerância. Uma primeira corrente
aplica o termo apetite para questões mais estratégicas (por exemplo, a satisfação
dos funcionários da corporação) e tolerância para questões táticas, operacionais
(por exemplo, a satisfação dos funcionários de uma determinada área). Uma
segunda corrente afirma que os conceitos de apetite e tolerância são sinônimos,
devendo ser evitado o uso do termo apetite. Esta segunda corrente afirma que este
termo pode soar de forma estranha quando se trata, por exemplo, da definição de
um limite mínimo de valor de multas por ano.
Teoricamente, a visão de apetite/tolerância a riscos objetiva calibrar a sensibilidade
e a subjetividade dos vários indivíduos que compõem uma organização de acordo
com os tipos de incertezas que afetam seu resultado. Cria-se, portanto, uma “régua”
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 42
GRC FAQ v1.0
padrão de análise que proporciona a comparabilidade necessária para priorizar
decisões concorrentes como: comprar um sistema, iniciar um projeto, contratar
novos recursos, modificar um processo, etc..
Contudo, é no uso prático do conceito de tolerância/apetite que as organizações
vêm obtendo maior dificuldade e resistência. Muitas aplicações associam a visão de
apetite/tolerância a uma expectativa financeira de perda a ser calibrada em faixas
de severidade (por exemplo, severidade média de R$100.000,00 a R$1.000.000).
Esta visão pode ser observado na figura abaixo retirada do Risk Management
Toolkit da Lloyds.
Uma segunda aplicação deste conceito se refere à definição de limites (inferiores ou
superiores) por indicadores que podem acionar (triggers) níveis de alertas e tarefas
pré-configuradas. Esta visão também pode ser observado na figura abaixo retirada
do Risk Management Toolkit da Lloyds.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 43
GRC FAQ v1.0
No primeiro caso, observa-se a existência de um grande desconforto na realização
um processo analítico como uma escala unicamente financeira, emergindo diversos
tipos de dúvidas: Como considerar aspectos intangíveis como perda de
competências e clima organizacional? Como quantificar perdas relacionadas à
insatisfação de funcionários? Como lidar com eventos de baixa perda porém com
impacto significativo na imagem, etc.?
Já no segundo caso, existe uma grande preocupação em evitar a definição de
tolerâncias locais por indicador, descoladas de um referencial corporativo único que
assegure um mínimo de rigor e comparabilidade para avaliação dos resultados e
alertas obtidos. Ou seja, até que ponto dois indicadores que chegaram a um nível
“intolerável” são igualmente importantes?
Neste âmbito, propomos que o conceito de tolerância/apetite ao risco seja
desenvolvido a partir de uma matriz de categorias de impacto com escalas de
severidade sendo definidas a partir de parâmetros objetivos de análise e
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 44
GRC FAQ v1.0
mensuração. Por mais que o tipo de impacto seja subjetivo (por exemplo, imagem),
o parâmetro de mensuração (por exemplo, amplitude da divulgação: municipal,
estadual ou federal) deve ser objetivo, reduzindo margens para julgamentos
individuais carregados de vícios e subjetividades.
A especificação das categorias de impacto listadas na figura a seguir é apenas um
exemplo inicial que deve ser customizado de acordo com o tipo de empresa e tipo
de posicionamento competitivo adotado.
DICIONÁRIO DE IMPACTOS
Categoria
#
Impacto
imagem no
mercado
clima
organizacional
conformidade
legal
relacionamento
com o cliente
diferencial
competitivo
eficiência
operacional
ESCALAS DE SEVERIDADE
Parâmetros
Relevância
1
Abrangência geográfica da
repercussão
Relevante
2
Quantidade de
funcinonários impactos
Muito Relevante
2
Valor da multa
Muito Relevante
1
1
1
Impacto em satisfação do
cliente
variação percentual de
market share
Redução dos custos totais
anuais
Relevante
Relevante
Relevante
Baixo
Médio
Alto
Impacto em imagem Impacto em imagem Impacto em imagem
em escala municipal em escala estadual em escala nacional
Menos de 5
funcionários
Entre 5 e 50
Mais de 50
funcionários
funcionários
Entre R$ 10 e R$ 50
Até R$ 10
Acima de R$ 50 mil
mil
Impacto pontual
Impacto com
Perda de cliente
sem repercussões
repercussões
Entre 3% e 7% do
Acima de 7% do
Até 3% do mercado
mercado
mercado
Redução entre 1% e Redução acima de
Redução de até 1%
5% dos custos
5% dos custos
dos custos anuais
anuais
anuais
Não se pode esquecer que o apetite/tolerância de riscos é um componente
fundamental para que os sistemas de rating de riscos efetivamente gerem
resultados que complementem a realidade do gestor e, portanto, tenham
credibilidade. Desta forma, a materialização do apetite/tolerância de uma
organização em dimensões de impacto é de fundamental importância para
construção de um referencial único para ponderação qualitativa de uma análise,
minimizando o efeito de opiniões e preferências individuais em relação ao que é
crítico, relevante, aceitável, etc..
Finalmente deve-se ressaltar, que este movimento de ampliação de uma visão
puramente financeira e inclusão de outras dimensões como clientes, funcionários,
eficiência, etc. é um movimento muito parecido com a emergência dos Balanced
ScoreCards na década de 90. Idealmente, tudo deveria ser normatizado na escala
financeira que efetivamente é a linguagem de toda corporação. Contudo, como nem
tudo pode ser monetizado de forma confiável, deve-se pensar em outras formas
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 45
GRC FAQ v1.0
para modelar o conjunto de variáveis que o cérebro de um gestor considera quando
interpreta o que é ou não prioridade.
Enhanced management competency in dealing with risk, most discernibly through
the creation of a common language and common definitions os risk that led to
common and comparable standards and measurement (CRO, Prudential) –
comentando sobre os benefícios da gestão de riscos
Gera çã o de da shb o ard e rep orts cu sto mi zad os em te mpo re al
11
26. Como gerar uma inteligência de GRC a partir da coleta de
Pe rforma nc e
3
informações não estruturadas?
Ama du rec m
i eno
t
d as n
i i ci ativ as e
c ul tura d e GRC
8
Mo ni toraç ão d e
Ind i cad ore s d e
Ri sco s e
Co le ta
in tel i ge nte d e
i nfo rmaç õe s nã o
Co n sol i da ção do
Rep os it ó rio d e
Intel i gê nc ia d e
GRC
6
e stru tu rad as
2
Mod e a
l ge me
Aval i açã o d e
Defi ni çã o da
Estraté gi a d e
GRC
4
Atua li za ção d e
Ba se d e Perd as
e Q ua se Pe rda s
Ris co se
Con trol es
Co ns ol d
i aç ão e
Mo n ti o raçã o de
Pla no s d e Ação
7
10
Re al zi a çã o d e
Te ste s de
Con trol e /
Comp il an ce
5
9
Dis se min aç ão de Li ng ua ge m Uni fo rmiz ad a d e An ál i se T
( a xo no mia e Ape tit e )
Esta certamente é uma das perguntas mais difíceis de serem
1
respondidas, e, possivelmente é o componente do framework de GRC que possui o
maior gap existente entre as idéias propostas e as aplicações práticas implantadas
com sucesso.
O grande desafio reside em permitir que as principais informações disponíveis nas
fontes de informação não estruturadas sejam traduzidas para a linguagem de GRC
e armazenadas como conhecimento no Repositório de Inteligência de GRC. A partir
daí, o conhecimento que estava “abandonado” e “escondido” em um documento, por
exemplo, está acessível para toda a organização, independente de métodos
utilizados, linguagens e demais barreiras funcionais.
Também é importante reforçar que por fonte de informação não estruturada
entendemos: relatórios diversos, emails, formulários, questionários, checklist, atas
de reunião, pareceres de especialistas, avaliações, planilhas locais (principalmente)
entrevistas, chats, portais de internet, etc..
Primeiramente, deve-se inventariar todas as fontes de informação geradas e
utilizadas por cada área detalhando: qual o tipo de informação existente; qual o grau
de convergência com a linguagem de GRC; qual o grau de convergência com o
apetite de GRC; qual o grau de confiabilidade presente na informação disponível;
qual a periodicidade de atualização da informação existente; qual o formato em que
a informação está armazenada, dentre outros.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 46
GRC FAQ v1.0
Em segundo lugar, deve-se definir as regras para coleta de informação, com foco no
entendimento da demanda de informações para suporte a decisão de gestores e
executivos. A coleta de informações também deve estar alinhada com a estratégia
da organização e o entendimento prévio de quais são as principais incertezas
existentes e que tipo de informação é necessário para gerenciá-las ativamente.
FONTES DE INFORMAÇÃO
Nome
Área
Responsável
O que coletar
Status
Relatório de entrevista de desligamento
RH
Desligamento de cargos estratégicos
Ativo
Saídas ou demoras para preenchimento de
Em
vagas acima do padrão
ativação
Pesquisa de satisfação interna
RH
Reduções de níveis de satisfação
Ativo
Controle automático de sistema
Operacional
Paradas inesperadas
Ativo
Fatos inusitados que possam ter influência
Ata reunião comitê de logística
Operacional
Inativo
no resultado
Alertas sobre questões referentes aos
Relatório de auditoria externa
Operacional
Ativo
resultados
Variações expressivas no nível de satisfação
Em
Pesquisa de satisfação externa
Comercial
de clientes importantes
ativação
Fatos inesperados em oportunidades
Planilha de pipeline de vendas
Comercial
Ativo
importantes
Relatório de atendimento ao cliente
Comercial
Problemas ou atritos relatados
Ativo
Questões relevantes às preocupações
Reunião de comitê financeiro
Financeiro
Ativo
registradas
Notícias que alteram o contexto do mercado
Relatório de investimentos corporativos Financeiro
Inativo
significativamente
Alertas sobre questões que influenciem no
Diagnóstico de mercado de consultoria Financeiro
Ativo
mercado significativamente
Planilha de gestão de pessoal
RH
A calibragem do grau de “sensibilidade” ou “filtro” para que uma informação seja
capturada para o Repositório de Inteligência de GRC deve materializar o
entendimento sobre o contexto estratégico vivido pela organização com foco nas
grandes preocupações manifestadas por executivos e decisores. Não se pode
esquecer que existe um custo significativo para capturar e consolidar de forma
consistente este repositório de conhecimentos.
Ainda, espera-se que, ao longo dos meses, a organização ajuste periodicamente
(semestralmente ou anualmente) seus coletores de informação e atualize as regras
de coletas propostas. Esta recalibragem na coleta de informação é justamente um
reflexo da forma dinâmica como uma organização entende e se posiciona no
ambiente de negócios atual.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 47
GRC FAQ v1.0
Finalmente, deve-se discutir as diferentes formas com que estas informações
podem ser coletadas:
•
Mecanismos de importação e exportação de informações em distintos formatos;
•
Integração direta com formulários, checklist, pesquisas, questionários e planilhas
eletrônicos para coleta de informações localizadas em campos específicos;
•
Varredura de informações de documentos, planilhas, relatórios, emails; análises,
portais e domínios de internet baseada em palavras chave (KeyWord)
•
Uso de conectores (Webservices) para coleta de informações de ESBs (Enterprise
Service Bus) ou diretamente de bancos de dados e aplicações;
Gera çã o de da shb o ard e rep orts cu sto mi zad os em te mpo re al
11
27. Como expandir a coleta de informações não estruturadas
Ri sco s e
Pe rforma nc e
3
para além da empresa?
Ama du rec ime n o
t
d as in i ci ativ as e
c ul tura d e GRC
8
Mo ni toraç ão d e
Ind i cad ore s d e
Co le ta
in tel i ge nte d e
i nfo rmaç õe s nã o
Co n sol i da ção do
Rep os it ó rio d e
Intel i gê nc ia d e
GRC
2
Mod e la ge me
Aval i açã o d e
Ris co se
Defi ni çã o da
Estraté gi a d e
GRC
4
6
e stru tu rad as
Con trol es
Atua li za ção d e
Te ste s de
Con trol e /
Comp li an ce
Ba se d e Perd as
e Q ua se Pe rda s
5
Apesar das discussões acima serem focados em fontes de
Co ns ol d
i aç ão e
Mo n ti o raçã o de
Pla no s d e Ação
7
10
Re al iza çã o d e
9
Dis se min aç ão de Li ng ua ge m Uni fo rmiz ad a d e An ál i se T
( a xo no mia e Ape tit e )
1
informação internas a empresa, deve-se ressaltar que a coleta de informação
também pode e deve ser expandida para fontes de informação externas a
organização.
Desta forma, por que não pensar em coletar informações diretamente de
fornecedores, parceiros, clientes, concorrentes, notícias e até fornecedores de
novas tecnologias? Por que não pensar, em buscas constantes a portais de internet,
depoimentos de entrevistas, documentação amplamente publicada, documentação
confidencial (tendo grande atenção a este ponto) entre as partes, etc.?
Finalmente, observa-se que o termo Extended Enterprise é comumente associado a
programas de GRC que definem fontes de informação a serem monitorados tanto
interna quanto externamente.
Ge ra ção d e d ash b oa rd e re po rts cu sto mi za do s e m te mp o re al
11
28. Como evoluir a aplicação dos indicadores de riscos e
Per form an ce
3
performance (KRIs e KPIs) para um programa de GRC ?
Am ad ure c im en to
d as i n ic ia tiv as e
cu lt u ra d e GRC
8
M on i tora çã o d e
Ind ic ad o res d e
Ri sc os e
Co l eta
in tel i ge n e
t de
in fo rmaç õ es n ão
Co n so li d aç ão d o
Rep o si tóri o d e
Inte li g ên ci a d e
GRC
2
Mo d el ag e m e
Av al ia çã o d e
De fin i ção da
Es rt a tég i a d e
GRC
4
6
e stru tura da s
Atu al iz aç ão d e
Ba se de Perd as
e Qu ase Perd a s
Ri sc os e
Co n trol es
C on so l d
i aç ão e
M o ni tora çã o d e
Pl an o s d e Açã o
7
10
Re a li za çã o d e
Te ste s de
Co n rt o l e /
Co mp li an ce
5
9
Dis se mi n açã o de Li n gu ag e m Un if o rmi za da d e Aná li s e (Ta xo no mi a e Ape ti e
t )
1
A visão de indicadores de desempenho não é novidade para a
grande maioria das organizações. O que a gestão de riscos trouxe de novo é a idéia
da criação de indicadores chaves de riscos que deveriam funcionar como alarmes,
avisando que alguma coisa não está ocorrendo como esperado. Ou seja, enquanto
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 48
GRC FAQ v1.0
um indicador de desempenho (KPI) deveria suportar uma avaliação do desempenho
do negócio (como por exemplo, se a quantidade de vendas está próximo da meta
estabelecida), um indicador de risco (KRI) deveria orientar a antecipação de riscos
que estivessem na iminência de ocorrer (por exemplo, se estaria ocorrendo um
declínio acentuado nas vendas realizadas). A figura a seguir ilustra alguns KRIs
comumente utilizados segundo a Risk Management Associations:
Contudo, recentemente, pode-se observar que alguns autores e até mesmo alguns
fornecedores de aplicações de GRC já não fomentam mais esta diferenciação entre
KRIs e KPIs, considerando todos como indicadores com seus níveis de alertas
(triggers) e metas.
A visão moderna de KRIs também reforça a premissa de que esta ferramenta é
fortemente um “chamariz de atenção” dos executivos, com capacidade limitada de
“explicar” o que está efetivamente ocorrendo na organização. Gestores não devem
se esquecer de que a interpretação de uma métrica é fortemente enviesada pelo
parâmetro que está sendo mensurado devendo ser ponderado por outras fontes de
informações.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 49
GRC FAQ v1.0
Retomando a temática dos programas de GRC, observa-se que a implantação de
KRIs/KPIs deve ser orientada para aumentar a capacidade de uma organização na
antecipação de ameaças potenciais e oportunidades emergentes, a partir de fontes
de informação estruturadas.
Pragmatizando esta visão, espera-se que a definição de limites inferiores e
superiores (um aumento significativo de receita também pode ser entendido como
um alerta, por exemplo) esteja alinhada ao apetite/tolerância de riscos definidos,
assegurando a comparabilidade entre os níveis de alerta definidos para KPIs e
KRIs. Além disto, o disparo de todo alerta, ou seja, o atingimento destes limites
definidos, deve gerar uma ocorrência no Repositório de Inteligência de GRC,
registrando todas as vezes que os processos se comportaram de forma diferente do
esperado. A figura abaixo ilustra esta idéia:
INDICADORES
Indicador
Objetivos
Relacionados
Metas Trigger Alerta Médio Trigger Alerta Alto Última Medição
Oportunidades
Sustentabilidade R$150M
em Pipeline
Aumento de
Vendas
R$30M
Market Share
Faturamento
Receita
R$27M
Margem
Lucratividade
30%
Custos variáveis
Turnover
Satisfação
interna
Satisfação
externa
Tempo de
entrega
Índice de
conformidade
Lucratividade
Retenção de
talentos
Retenção de
talentos
Fidelização de
cliente
Fidelização de
cliente
Qualidade
R$120M
R$110M
R$170M
R$25M
R$22M
R$28M
R$26M
29%
R$25M
28%
R$23M
32%
R$7M
R$7,5M
R$7,8M
R$8,2M
1,0%
2,0%
2,8%
3,1%
90%
85%
80%
82%
95%
93%
90%
88%
3 dias
3,2 dias
3,5 dias
3 dias
98%
97%
96%
96%
Desta forma, objetiva-se consolidar e disseminar o conhecimento referente a
desvios ocorridos. Esta informação é de grande valia para as áreas que estejam
distante funcionalmente, e, portanto, analisando a organização sobre uma ótica
diferente do responsável direto pela monitoração do indicador.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 50
GRC FAQ v1.0
Além disto, o próprio ambiente de GRC deve localizar e correlacionar outras
ocorrências coletadas no mesmo período de tempo do desvio gerado, construindo
uma visão sistêmica (e até mesmo fora dela) que apóie no entendimento de como
os executivos devem lidar com esta situação.
Por exemplo, sempre que houver um desvio do indicador de produtividade, o
ambiente de GRC pode sugerir explicações a partir variações de índices
macroeconômicos, quedas de sistemas registradas no helpdesk, não conformidades
identificadas em relatórios de qualidade, etc..
Um segundo exemplo, consiste na subida excessiva de um indicador de vendas que
gera uma ocorrência no Repositório de Inteligência de GRC. Depois de seis meses
esta mesma ocorrência pode ser acessada por um gerente de manutenção para
entender e explicar por que o tempo médio de manutenção de um determinado
produto aumentou significativamente.
G era çã o d e d a sh b oa rd e re po rts cu s o
t mi z ad os em tem po re al
29. Como construir um Repositório de Inteligência de GRC
que consolide o conhecimento de GRC gerado nos silos
funcionais de uma organização ?
11
Ama d ure ci me n to
d as i ni c a
i tiv as e
c ul tu ra de GRC
8
Mo n ti o raç ão de
In di ca d ore s d e
Ri sc o s e
Co n so l d
i aç ão d o
Pe rfo rma nc e
3
Col e ta
n
i te il g en te d e
i nfo rma çõ e s n ão
e s rt utu rad as
2
GR C
M o de l ag e m e
De fin i çã o d a
Es rt a tég i a d e
GRC
Re po si tó rio de
Inte il g ên c a
i de
4
Co ns o il da çã o e
Mo n ti o raç ão de
Pla n os de Ação
Ava il a ção d e
Ri sc os e
6
Co n rt o l es
7
10
Re al i zaç ão d e
Tes tes d e
Atua il za çã o de
Bas e d e Pe rd as
e Qu a se Pe rd as
Co ntro l e /
Co mp il an ce
5
9
Dis se mi n aç ão d e L i ng u ag em Uni fo rmi za d a d e An ál si e (Tax on o mi a e Ape tit e )
1
A idéia da construção de um repositório (ou inventário) de ocorrências, incidentes,
eventos, problemas, demandas ou sugestões, é uma prática que já vem sendo
disseminada em diversas iniciativas como backlogs, helpdesk, call centers,
ouvidorias, etc.. Em todos estes casos, objetiva-se manter um registro de questões
(issues ou concerns) a serem solucionadas de forma estruturada, reutilizadas
quando da recorrência de algo de natureza semelhante e gerenciadas com
estatísticas e indicadores.
O Repositório de Inteligência GRC tem o desafio de se tornar algo corporativo, e,
portanto, mais amplo se tornando o elemento de convergência entre estes
inventários específicos de natureza funcional com as demais fontes de informação
estruturas (indicadores de desempenho, por exemplo) e não estruturadas
(documentos, relatórios, formulários, planilhas, e-mails, atas, sistemas, sites).
Exemplos da natureza das informações registradas neste repositório são:
Investigações, incidentes, questões, eventos, fatos, reclamações, recomendações,
preocupações, perdas, etc...
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 51
GRC FAQ v1.0
G er ação de da shboa rd e r epo r ts cust omizad os em tempo r eal
11
Quebra de
SLA gerando
desconto de
pagamento
Indisponibilidade
de caminhões
Anúncio do
governo sobre
reformulações
tributárias
A ma dur eci me nt o
das n
i i cia ti vas e
cul t ur ade G RC
8
Mo nit or ação de
In dica dor es de
Ri scos e
Per f or mance
3
Co let a
i nt eli gen te de
in fo rm açõ es não
est r utu r adas
2
C onsol id ação do
R eposi t ór io de
I nt eli gên cia de
G RC
4
Mode a
l ge m e
A vali ação d e
D ef i nição da
Est r at égi ad e
G RC
6
At ual ização de
B ase de Per das
e Qu ase Per d as
R i scos e
Co nt o
r e
ls
Rea z
il ação de
Test es de
Co nt o
r e
l /
Co mp il ance
5
Con soli daçã oe
Mo nit or ação de
Pa
l nos de Ação
7
D iss eminaç ão de Li nguag em U ni fo r mi zada de An áli se ( Taxo nomia e A pet ti e)
1
Problemas com
Receita Federal
Pedido de
demissão de
diretor
Insatisfação de
clientes
Queda de
vendas
Parada de
máquina
inesperada
Demora no
preenchimento
de vaga técnica
para projeto
Uma vez que as áreas tenham sido mobilizadas para criação deste repositório, o
grande desafio consiste em avançar de uma simples listagem de registros de
problemas para a criação de conhecimento organizacional que extrapole as
barreiras dos silos funcionais. Tal atividade é de grande complexidade uma vez que
as informações recebidas são provenientes de praticamente toda a organização
sendo, portanto, inter-relacionadas, heterogêneas, com diferentes formatos, níveis
de detalhamento, periodicidade de atualização, etc..
“The big issue is how you get all of the data—from all of the multiple places in
which it resides—to the decision maker within a timeframe that best enables that
decision maker to do his or her job” (Philip Howard)
Although many businesspeople are concerned about “infoflood”, the amount of
data that is material is relatively small and can be determined (McGree, Gartner)
A figura e a tabela a seguir ilustram esta visão de estruturação da coleta de
informação para o Repositório de Inteligência de GRC
© Setembro 2008. ELO Group
www.elogroup.com.br
10
9
Página 52
GRC FAQ v1.0
Taxonomia
OCORRÊNCIAS
Ocorrência
Data
Pedido de demissão de diretor de área técnica
jun/07
Pedido de demissão de três analistas
segundo semestre
de 2007
Demora no preenchimento de vaga técnica
Feb-08
Pequena redução de nível de satisfação interna detectada na pesquisa de satisfação
Parada de máquina inesperada causando redução da produção
Falta de caminhões para despacho de mercadoria
Greve da receita federal causando impossibilidade de importação de matéria-prima
Redução de margem em virtude de aumento de custos de por conta de aumento de refugos
primeiro semestre
de 2008
abr/08
mar/08
Perda de prazo de licitação por documentação de habilitação
Quebra de SLA gerando desconto no pagamento feito pelo serviço
Reclamações sobre atraso de entrega de um determinado produto
Feb-08
Mar-08
primeiro semestre
de 2008
May-08
Dec-07
Jan-08
Reforma trabalhista gerando aumento da complexidade em folha de pagamento
May-08
Anúncio do governo sobre reformulação de políticas tributárias
Jan-08
Brasil recebendo ‘Investment Grade’
Compra de empresa do setor por multinacional
Apr-08
Mar-08
Cliente insatisfeito detectado na pesquisa de satisfação externa
Processo
Retenção de
recursos
Retenção de
recursos
Recrutamento e
seleção
Retenção de
recursos
Produção
Logística
Logística
PCP
Marketing
Vendas
Contas a receber
Marketing
Fechamento
contábil
Fechamento
contábil
Marketing
Marketing
Uma visão mais detalhada do Repositório de Inteligência de GRC pode ser visto na
figura a seguir:
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 53
GRC FAQ v1.0
INVENTÁRIO DE OCORRÊNCIAS
Ocorrência
Alerta
Pedido de demissão de diretor de área
técnica
Baixo
Pedido de demissão de três analistas
Alto
Causas
Recompensas e Motivação
Estratégia
Recompensas e Motivação
Impactos
imagem no mercado
clima organizacional
relacionamento com o cliente
clima organizacional
diferencial competitivo
Rating
Médio
Médio
Baixo
Médio
Baixo
Processo
relacionamento com o cliente
diferencial competitivo
Baixo
Médio
clima organizacional
Médio
relacionamento com o cliente
eficiência operacional
Baixo
Médio
4
12
10
7
Pequena redução de nível de satisfação
interna detectada na pesquisa de satisfação
Baixo
Parada de máquina inesperada causando
redução da produção
Baixo
Design (Visão funcional)
Recompensas e Motivação
Competências
Competências
Recompensas e Motivação
Infra-estrutura tecnológica
Competências
Infra-estrutura tecnológica
Falta de caminhões para despacho de
mercadoria
Baixo
Design (Visão de processos)
Infra-estrutura tecnológica
relacionamento com o cliente
eficiência operacional
Alto
Médio
Greve da receita federal causando
impossibilidade de importação de matériaprima
Baixo
Controles, Compliance e Continuidade
Fornecedores e Terceiros
relacionamento com o cliente
diferencial competitivo
eficiência operacional
Médio
Baixo
Baixo
Redução de margem em virtude de
aumento de custos de por conta de
aumento de refugos
Médio
Competências
Infra-estrutura tecnológica
diferencial competitivo
eficiência operacional
Alto
Baixo
10
Cliente insatisfeito detectado na pesquisa
de satisfação externa
Médio
Clientes
Estrutura de gestão
imagem no mercado
relacionamento com o cliente
Médio
Médio
6
Demora no preenchimento de vaga técnica Médio
4
6
5
Neste sentido, uma linguagem de GRC (taxonomia e apetite) é de fundamental
importância para assegurar que estas informações possam ser agregadas e
acessadas de forma rápida e consistente. Por outro lado, também é importante que
os coletores de fontes de informação sejam calibrados adequadamente de forma
que este repositório efetivamente filtre as principais informações geradas nos silos
funcionais, não se constituindo em redundâncias das fontes originais.
Funcionalmente, deve-se definir uma área para ser gestora desta base, realizando
as seguintes tarefas: validação das informações cadastradas, assim como de suas
classificações; limpeza de ocorrências que tenham sido cadastradas de forma
redundante; identificação da relação entre ocorrências; análise das informações e
sugestão de encaminhamento; aprendizado com os padrões de surgimento de
ocorrências; avaliação do uso das informações geradas por decisores, dentre
outros.
A GRC aponta para um cenário de sistemas de informação com baixa latência e
tempo de resposta reduzido em relação a novos eventos, possibilitando o
monitoramento contínuo de eventos indesejados. Desta forma, uma das aplicações
mais avançadas de GRC consiste na implantação de sistemas de gestão orientados
a evento, aonde eventos fora do apetite de risco da empresa ou que possam
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 54
GRC FAQ v1.0
sinalizar tendências de alterações significativas na lógica do negócio pode ser
detectados e resolvidos imediatamente.
Observa-se também, uma tendência à interligação entre este Repositório de GRC
com aplicações de CEP (Complex Event Processing). Neste tipo de aplicação
diversos algoritmos são definidos (como Redes Neurais, Sistemas Bayesianos, etc.)
para analisar as fontes de informação e identificar padrões de repetição de
seqüência de eventos (ou ocorrências).
Desta forma, automatiza-se a inteligência para interpretação deste Repositório de
Inteligência assegurando que aprendizado esteja sendo gerado em relação ao
padrão de coleta de ocorrências e o tipo de resultado obtido.
A figura a seguir, apresentada por Tim Bass em CEP and SOA: An Open EventDriven Architecture for Risk Management ilustra esta idéia:
The Utopian world of GRC, we’d also like to deliver predictive transparency to our
customers. Based upon historical data or various what-if scenarios, we can provide
a minority report capability that helps people prevent the risksbefore they occur.
That is the ultimate Utopia – not only do people have a 360 degree perspective of
the GRC status in the organization and collaborate more effectively, but they can
actually prevent problems before they happen. (Holly Roland, Senior Director, SAP)
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 55
GRC FAQ v1.0
Finalmente, observa-se que um Repositório de Inteligência de GRC que conecte, de
forma consistente a oferta de informações dos silos funcionais com a demanda de
informações de decisores é um diferencial competitivo imprescindível para
empresas que esperam obter sucesso neste ambiente empresarial tão dinâmico e
complexo.
“We are using humans as the middleware because the IT architectural isn’t in a
situation where you push the button and get the information you need”
“Companies will increasingly go toward Predictive Business as they begin to look at
business events in greater and greater detail aid in tighter and tighter time frames.
Using historical knowledge, you will create a set of standard pattern in which
behavior-of events, customers and transactions will be identified. The next time you
see this sequence of behavior aligning in the same or similar fashion, you will know
the likelihood that it will result in the same kind of out come”
30. Como evoluir o uso de bases de perdas no contexto de um
Ge ra çã o d e d as hb o ard e re p or st c u sto mi zad o s e m te mp o re al
11
Am ad u rec m
i en to
programa de GRC?
d as i n ci a
i tiv as e
cu tl u ra d e GRC
8
Mo ni to raç ão d e
Ind i ca do re s d e
Ri sc o s e
Pe rfo rman c e
3
C ol e a
t
Co ns o il d açã o do
R ep o si tóri o d e
In te il gê n ci a d e
GRC
n
i te il g en te d e
i nfo rma çõ e s nã o
e s rt u tu rad as
2
Atualmente, a utilização de base de perdas em organizações no
Mo d el ag e m e
Av al a
i çã o de
Ri sc o s e
De fi n çi ão d a
Estraté g a
i de
GR C
4
6
Co n trol e s
Atu al i za ção d e
Ba se d e Per da s
Re a il za çã o de
Te ste s de
Co n trol e /
e Qu as e Pe rda s
Co mp il a nc e
5
Co ns o il d açã o e
Mo n ti o ra ção d e
Pla n os de Açã o
7
10
9
Dis se mi n açã o de L n
i g ua ge m Un i form zi ad a de An á il se (Ta xo no mi a e Ap eti te)
1
Brasil ainda é bem restrita a instituições financeiras por força das resoluções
BACEN 3380 e BACEN 3490. Contudo, observa-se que nestes casos, esta
ferramenta vem sendo utilizada com o objetivo de estimar e provisionar um
patrimônio de reserva (capital econômico), em detrimentos a cristalizar novas
ferramentas de gestão.
Algumas correntes em gestão de riscos, são fortemente favoráveis a esta
abordagem afirmando que com o avanço das técnicas de modelagem matemática e
aumento do histórico de informações acumuladas, será possível realizar a grande
maioria das decisões de alocação de recursos baseadas em seu impacto no
aumento ou redução deste valor de provisionamento (capital econômico).
Uma segunda corrente vai de frente a este entendimento afirmando que o uso de
modelagem matemática para gestão de riscos empresariais deve ser realizado de
forma cautelosa, uma vez que o melhor grau de confiabilidade possível ainda é
muito limitado. Por exemplo, pode-se pensar em estimar como seria modificada uma
série histórica de perdas a partir do momento em que a organização decide
implantar um novo software de compras. Até que ponto as perdas ocorridas teriam
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 56
GRC FAQ v1.0
sido evitadas devido ao software? Será que outras perdas não poderiam emergir a
partir do momento em que o software existisse?
No que concerne a um programa de GRC, uma base de perdas desempenha o
importante papel de difusão da cultura e uniformização das práticas para
quantificação de erros ocorridos, sejam eles ameaças concretizadas ou
oportunidades não exploradas.
Dentre questões que um programa de GRC deve atentar, observa-se: regras para
documentação e validação do valor de perdas (ou quase perdas) identificadas;
classificação de perdas enquanto perdas esperadas e não esperadas (ou não
previsíveis); realização de benchmarking com os pares no que tange o histórico de
perdas; quantificação de quase perdas (near misses) que apontem para a existência
de riscos incubados ainda invisíveis; segmentação das perdas em perdas diretas,
perdas indiretas e perdas intangíveis e recuperações (uso de seguros, por
exemplo), etc..
O aumento da sinergia entre a gestão de riscos e a gestão financeira é uma
importante fronteira da GRC, em busca da tradução das incertezas da estratégia em
expectativa de variações nos fluxos de caixa esperado (por exemplo, via métodos
como o cash flow at risk). Esta tradução de incertezas do ambiente operacional
para o “mundo” financeiro é materializada a partir da quantificação financeira das
diversas ocorrências armazenadas no Repositório de Inteligência de GRC e
associada a itens de fluxos de caixa / DRE e rubricas de planos de contas.
Ressalta-se ainda, que existe um grande desafio para convencer os funcionários de
uma organização a reportar suas próprias perdas, que muitas vezes refletem falhas
e erros deste mesmo funcionário. Neste sentido, deve-se pensar em eventos e
mídias para comunicação desta iniciativa, e, principalmente, orientar a alta
administração a lidar com cautela e atenção no uso deste tipo de informação.
Em síntese, um programa de GRC deve evoluir o uso de bases de perdas para
estimar, com grande rigor analítico, os valores financeiros envolvidos nas diversas
ocorrências capturadas, sejam elas perdas ou quase perdas. Neste sentido, buscar
gerar uma representação,”imagem” financeira do conhecimento acumulado no
Repositório de Inteligência de GRC, explicitando todas as nuances existentes no
que tange à confiabilidade destas informações.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 57
GRC FAQ v1.0
31. Como construir uma estratégia dinâmica de GRC que
G era çã o d e d a sh b oa rd e re po rts cu s o
t mi z ad os em tem po re al
11
retrate ações passadas e oriente ações futuras?
Ama d ure ci me n to
d as i ni c a
i tiv as e
c ul tu ra de GRC
8
Mo n ti o raç ão de
In di ca d ore s d e
Ri sc o s e
Pe rfo rma nc e
3
Col e ta
n
i te il g en te d e
i nfo rma çõ e s n ão
A idéia da criação de uma estratégia de GRC já é algo pensado,
e s rt utu rad as
2
Co n so l d
i aç ão d o
Re po si tó rio de
Inte il g ên c a
i de
GR C
M o de l ag e m e
Ava il a ção d e
Ri sc os e
De fin i çã o d a
Es rt a tég i a d e
GRC
4
Co n rt o l es
6
Co ns o il da çã o e
Mo n ti o raç ão de
Pla n os de Ação
7
10
Re al i zaç ão d e
Atua il za çã o de
Tes tes d e
Co ntro l e /
Co mp il an ce
Bas e d e Pe rd as
e Qu a se Pe rd as
5
9
Dis se mi n aç ão d e L i ng u ag em Uni fo rmi za d a d e An ál si e (Tax on o mi a e Ape tit e )
1
ou pelo menos demandado, deste as primeiras abordagens de
gestão de controles e riscos. Muitos profissionais destas áreas criticam o fato do
esforço dedicado às matrizes de riscos e teste de controle ser desconectado da
relevância dos processos e riscos potenciais.
Desta forma, se uma organização monitora mil riscos, estes mil riscos serão
igualmente avaliados e re-avaliados independente de seu potencial impacto para o
resultado da organização. Contudo, por que não planejar a estratégia de gestão de
riscos e compliance definindo que riscos críticos sejam revisados a cada dois meses
enquanto riscos não críticos a cada dois anos? Uma vez que recursos são limitados,
não se pode dar o mesmo tratamento a todos os tipos de riscos, desconsiderando
suas particularidades.
Freqüência de análise
Número de riscos analisados
Semestral
1000
Estratégia
de Gestão
de Riscos
Bimestral
X
Control
Self Asessment
Tradicional
Control Self
Assessment
(Programa GRC)
100
5 minutos/risco
2 hora / risco
Tempo de análise / risco
A idéia de uma estratégia de GRC é descrita por alguns autores como um high level
assessment, ou seja, uma análise rápida e agregada para construção de uma visão
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 58
GRC FAQ v1.0
geral, para que, posteriormente, realize-se os CSAs apenas em pontos de alta
relevância. Desta forma, a aplicação de um CSA em um determinado processo ou
área deve sempre possuir um foco específico, seja ele, uma problema apontado
pelos funcionários ou uma preocupação percebida pelos executivos.
Geração de da shboa d
r e repo rts customizad os em tempo real
11
Mo nti oração de
n
I dci a dores de
Riscos e
Performance
3
Co e
l ta
i nteil gen e
t de
n
i o
fm
r açõ es não
estruu
t radas
2
Ama dureci me nto
das n
i i cia ti vas e
cul turade GRC
8
Consol d
i ação do
Reposi tório de
Inteil gên cia de
GRC 4
Defi nçi ão da
Estratégi ad e
GRC
6
Atual zi ação de
Base de Perdas
e Qu ase Perd as
5
Mode a
l ge me
Avail ação d e
Ri scos e
Co ntro e
ls
Rea zil ação de
Testes de
Co ntro e
l /
Co mp il ance
7
Con soil daçã oe
Mo nti oração de
Pa
l nos de Ação
10
9
Diss eminaç ão de Li nguag emUni o
f rmizada de An áil se (Taxo nomia e Apetit e)
1
Pragramatizando a idéia de uma estratégia de GRC, sugerimos a construção de
uma matriz em que os processos, ou as áreas da organização sejam cruzados
contra categorias de impacto, estimando qual a percepção inicial do risco que
aquele processo oferece para a organização. O preenchimento desta matriz deve
levar em consideração dois importantes inputs: 1) O conhecimento acumulado
através de ocorrências e problemas armazenados no Repositório de Inteligência de
GRC; e, 2) as preocupações estratégicas e táticas manifestadas pelos executivos.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 59
GRC FAQ v1.0
relacionamento
com o cliente
diferencial
competitivo
eficiência
operacional
Contas a pagar
Fechamento contábil
Contas a receber
Produção
Operacional Logística
PCP
Recrutamento e seleção
RH
Retenção de recursos
Cargos e salários
Vendas
Comercial Prospecção
Marketing
Financeiro
conformidade
legal
Processos
clima
organizacional
Área
imagem no
mercado
MATRIZ HIGH LEVEL
Rating
Médio
Baixo
Médio
Médio
Médio
Baixo
Alto
Médio
Médio
Alto
Médio
Alto
Baixo
Baixo
Médio
Médio
Médio
Baixo
Médio
Alto
Baixo
Médio
Baixo
Baixo
Médio
Alto
Baixo
Baixo
Baixo
Baixo
Baixo
Baixo
Baixo
Baixo
Baixo
Baixo
Baixo
Baixo
Baixo
Alto
Médio
Médio
Médio
Médio
Baixo
Baixo
Baixo
Baixo
Baixo
Baixo
Baixo
Alto
Alto
Médio
Alto
Alto
Médio
Médio
Baixo
Alto
Baixo
Baixo
Baixo
Baixo
Baixo
Baixo
Médio
Alto
Alto
Baixo
Baixo
Baixo
14
24
14
30
24
12
32
44
20
22
10
24
Ranking
9
4
10
3
5
11
2
1
8
7
12
6
A estratégia de GRC deve, portanto, aumentar a eficiência da aplicação de matrizes
de riscos, orientando o foco de atuação destas iniciativas para escopos em que
exista uma percepção (concreta ou apenas inferida) de problemas, vulnerabilidades
e oportunidades de melhorias.
Finalmente, ressalta-se que uma vez que os coletores de fontes de informação de
um programa de GRC estejam implantados de forma capilarizada, a própria
monitoração contínua dos eventos registrados no Repositório de Inteligência de
GRC será um instrumento efetivo para construir uma sensibilidade das incertezas
existentes em uma organização que demandam aplicações de matrizes de riscos e
testes de controle.
Ge raç ão d e d ash b oard e re po rts cu stom zi a do s e m temp o re al
11
32. Como evoluir a aplicação das matrizes de riscos no contexto
Amad u er ci me nto
da s ni ci ai ti va s e
cu l tu ra de GRC
Mo ni tora ção d e
Ind i cad o res d e
Ri sco s e
8
Con so il da çã o d o
Pe rforma nc e
de um programa de GRC?
3
GRC
i nfo rmaç õe s nã o
e stru tura das
2
M od el ag em e
De fin çi ão d a
Es tratég ai de
GRC
Re po si tó ri o de
Inte il g ên ci a de
Co el ta
ni tel i ge nte d e
4
Con tro l es
Atu al zi açã o d e
Rea il za ção de
T e stes d e
Base de Pe rda s
e Qu ase Pe rd as
Con tro l e /
Co mp il an ce
5
A aplicação de matrizes de riscos já é uma prática razoavelmente e
Con so l di aç ão e
Mo ni tora çã o de
Pla no s d e Aç ão
Av al ai ção d e
Ri sc os e
6
7
9
Di sse mi na çã o d e L ni gu ag em Un i formi za da de An ál si e (T ax on om ai e Ape tit e )
1
discutida em organizações nacionais. Contudo, não é incomum que áreas de
negócios e executivos façam críticas quanto ao esforço necessário para o uso desta
ferramenta, em detrimento aos resultados percebidos. Em alguns casos, percebe-se
a criação de ganhos e melhorias significativas para o negócio nos primeiros anos de
implantação da matriz de riscos. Contudo, ao longo do tempo, esta abordagem
acaba ficando restrita à proposição de melhorias marginais para o negócio.
© Setembro 2008. ELO Group
www.elogroup.com.br
10
Página 60
GRC FAQ v1.0
No que tange a visão de GRC, a aplicação de matrizes de riscos deve evoluir de
uma avaliação “estática” e periódica para um modelo dinâmico e pró-ativo baseado
em “insights” ou “eventos”. O grande paradigma a ser quebrado é a construção de
um painel em que os rating de riscos estejam permanentemente atualizados, sem
que isto implique em na contratação de equipes extensiva de profissionais de riscos
e controles.
Analogamente, pode-se pensar que os ratings de riscos empresariais devem se
aproximar da visão de riscos de mercado no que tange a dinamicidade existente e o
grau de integração com a tomada de decisão. Um evento ocorrido em qualquer
lugar do mundo, rapidamente se reflete na atualização quase que online dos riscos
de mercado dos papéis de todas as empresas envolvidas e na disponibilização de
uma série de informações e fatos para analistas e operadores financeiros. Da
mesma forma, a mudança de preço de uma determinada commodity rapidamente é
refletida na atualização do valor das ações de fornecedores e consumidores
relacionados a esta commodity.
Contudo, nos sistemas de riscos corporativos, a saída de um executivo importante
aparentemente não representa impacto para revisão do rating dos riscos
operacionais associados. Deve-se esperar que os riscos sejam atualizados
anualmente, para, posteriormente entender qual foi impacto da saída deste
executivo para o sistema de rating dos riscos inventariados.
Na prática, é como se existissem duas iniciativas separadas: 1) a gestão do negócio
em que decisões são tomadas rapidamente para lidar com problemas e
oportunidades, mesmo quando nem toda informação necessária está disponível e,
2) a aplicação de matrizes de riscos que inventaria, analisa e documenta riscos e
controles para demonstração de credibilidade junto a investidores e órgãos
reguladores.
Desta forma, uma vez que o Repositório de Inteligência de GRC tenha sido ativado,
áreas de gestão de riscos, controles e auditoria devem continuamente monitorar as
informações geradas e construir uma visão ampla e sistêmica da organização que
direcione seus esforços de atuação. Deve-se atuar pró-ativamente na atualização
do rating dos riscos da organização, disparando programas de CSA, revisão de
planos de ação, redirecionamento testes de auditoria, conforme as informações vão
sendo acumuladas e a Estratégia de GRC vai sendo deliberada,
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 61
GRC FAQ v1.0
A análise de um risco ou teste de controle não é disparada pelo tempo decorrido
desde a última análise, mas, principalmente, pela estratégia de GRC e pelo conjunto
de ocorrências, eventos e fatos que vão sendo capturados. Voltando ao exemplo da
saída de um executivo importante, uma área de riscos e auditoria poderia
rapidamente revisar o rating dos riscos que dependam da competência tácita deste
funcionário, e, encaminhar testes para verificar se os controles definidos
anteriormente continuam sendo realizados.
I would add a holistic view of risk. What we don’t see enough of is true risk models
where you understand the relationships between the different risks, which can be
both subtle and complex. If one thing in the organization changes, that can
dramatically impact something somewhere else. To have those models and build
them into these “alert systems” or “dashboards” would be a very powerful
addition.( Steve Taylor, CEO, Resolver)
Neste contexto, sugere-se a criação de um índice de alerta por risco que seja
automaticamente alimentado de acordo com a gravidade (ou qualquer outro
parâmetro) das ocorrências registradas no Repositório de GRC que estejam
relacionadas a este risco.
Por exemplo, pode-se pensar em um risco de falha de um equipamento que possui
um indicador de alerta baseado em: 1) tempo decorrido desde a última manutenção,
2) falhas apontadas pela inspeção visual de um supervisor, 3) desvios do esperado
apontados por algum instrumento preditivo instalado no equipamento. A figura
abaixo ilustra esta visão com foco na convergência de base de perdas, KRIs e
testes de controles para construção de índice de alerta.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 62
GRC FAQ v1.0
Base de Perdas
KRIs
Testes de Controles
Nível de
Control Self Assessment
Ris cos
S olicit ação de compr a d e u m
p ro dut o o u se rviço
desn ecessár io
Esp ecifica çã o t écn ica
inad equ ad a d o mat er ial/serv iço
solicit ado
En ten diment o in cor re to por
Compr as da especif icação
d et alha da pela ár ea Solicit an te
Realiza ção d e co mp ra s de
for ne cedor es que nã o o fer eçam
ser viços/pr od ut os p elo melh or
p re ço d ada a especif icação de
qu alida de.
Aval iação Ri sc o
I nerente
B
M
B
A
Es tr utura de Controles Internos
Tipo de c ontrol e
A solicit ação de compr a é an alisad a e ap ro vada pe lo
pr op rie tár io do Ce nt ro de Cu sto ap oiad o p elo sist ema
Compr as, de acor do com a div isão d e
r espo nsab ilidad es d a e mp re sa
Dete ctivo
A elab or ação do or çamen to da ár ea solicita nte de fine
em lin has ger ais qua is be ns d evem o u n ão ser
ad qu irid os.
Em ca so d e so licitaçã o d e u m ativ o f ixo p ar a a
empr esa , e sta é an alisad a e ap ro vad a p ela Á r ea de
ge stão de at ivos, de aco rd o co m a P olítica de
Compr as
Pr even tivo
Des ign
Performance
S
S
R
I
S
R
S
S
Plano de Aç ão
Dete ctivo
A solicit ação de compr a é an alisad a e ap ro vada pe lo
pr op rie tár io do Ce nt ro de Cu sto ap oiad o p elo sist ema
Compr as, de acor do com a div isão d e
r espo nsab ilidad es d a e mp re sa
Dete ctivo
A solicit ação de compr a é r evisad a p ela ár ea d e
compr as qu e bu sca in te rag ir com o solicita nt e a fim
de compr ee nde r o q ue r ea lme nte de ve se r adq uir ido.
Em ca so d e d úvid as p or pa rt e d o f or neced or ,
escla recimen to s po r par te do solicit ant e se rã o
ne cessár ios.
Dete ctivo
A solicit ação de compr a é r evisad a p ela ár ea d e
compr as qu e bu sca in te rag ir com o solicita nt e a fim
de compr ee nde r o q ue r ea lme nte de ve se r adq uir ido.
Em ca so d e d úvid as p or pa rt e d o f or neced or ,
escla recimen to s po r par te do solicit ant e se rã o
ne cessár ios.
Dete ctivo
A Po lítica de Co mp ra s fo i est abele cida par a
de ter minar o cor r eto pr oce diment o d as co taçõ es d e
pr od ut os a ser em ad qu irid os p ela e mp re sa.
Pr even tivo
O p ré -ca dast ro de fo rn eced ore s é mo nito ra do pela
ár ea de Co mp r as, no sistema de Comp ras, p ar a
ga ra nt ir o con he cimen to do compo rt ament o histó rico
de um d et ermin ado for n ecedo r par a com seus
compr omissos no qu e t ang e o pr azo e a qu alida de
do s pr od ut os.
Pr even tivo
For ma lização da s espe cificaçõ es
t écnicas idea is na Po lítica de
Co mp ra s
alerta
Plano de A ção
!
!
!
For malização da s esp ecificaçõ es
t écnica s idea is na Po lítica de
Co mp ra s
Um paradigma adicional a ser tratado consiste no aumento da confiabilidade e
precisão do preenchimento dos parâmetros de probabilidade (ou possibilidade, ou
freqüência)
e severidade (ou
impacto,
ou
magnitude,
ou
conseqüência).
Historicamente, muitos usuários de matrizes de riscos relatam as dificuldades
existentes em enquadrar uma ameaça ou oportunidades nestas faixas de valores
financeiros, questionando como quantificar as perdas intangíveis de clima
organizacional, reputação, etc..
Neste sentido, sugerimos que a o conceito de tolerância (vide pergunta 24) seja
utilizada para analisar cada risco identificado, de forma, que cada ameaça ou
oportunidade seja avaliada em cada uma das dimensões de impacto definidas
anteriormente. As figuras a seguir ilustram esta visão:
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 63
GRC FAQ v1.0
Severidade
Categoria
Risco
Impacto
Categoria
Impacto
Baixo
Médio
Alto
Impacto em
Impacto em
Impacto em
imagem no
imagem em
imagem em
imagem em
mercado
escala municipal escala estadual escala nacional
clima
Menos de 5
Entre 5 e 50
Mais de 50
Risco
organizacional
funcionários
funcionários
funcionários
conformidade
Entre R$ 10 e R$ Acima de R$ 50
Até R$ 10
legal
50 mil
mil
Risco 1
relacionamento Impacto pontual
com o cliente sem repercussões
diferencial
competitivo
Impacto com
repercussões
Severidade
SEVERIDADE
Perda de cliente
Até 3% do
Entre 3% e 7% do Acima de 7% do
mercado
mercado
mercado
Redução de até Redução entre 1% Redução acima de
1% dos custos e 5% dos custos 5% dos custos
anuais
anuais
anuais
eficiência
operacional
RATING FINAL
Probabilidade
Probabilidade
PROBABILIDADE
Severidade
Probabilidade
imagem no
mercado
clima
organizacional
conformidade
legal
Sev.
relacionamento
com o cliente
diferencial
competitivo
eficiência
operacional
RISCOS
Risco
Perda de conhecimento
técnico para concorrentes
Aumento de custos por
elevação de preço de
matéria-prima
Revisão de processos
visando a otimização
Entrada de concorrentes
estrangeiros
Rating
Status
Processos
Sev.
Prob.
Sev.
Prob.
75
Em
monitoração
Prob.
Gestão de RH
Alta
Média
Média
Média
74
Em
tratamento
Produção;
Gestão de
Recursos
Média
Média
Alta
Média
Baixa
Baixa
216
Em análise
Produção
Alta
Baixa
Alta
Média
Alta
Média
12
Inativo
Comercial
Baixa
Baixa
Sev.
Prob.
Sev.
Prob.
Baixa
Média
Alta
Média
Média
Média
Alta
Média
Alta
Alta
Sev.
Prob.
Baixa
Média
Média
Média
Baixa
Baixa
Não há dúvidas que uma abordagem deste tipo aumenta a complexidade e o tempo
de execução das análises de riscos realizadas. Contudo, um sistema de rating
construído desta forma permite a áreas de gestão de riscos e controles sofisticar
seu método de análise aumentando a aderência com a forma como a percepção de
importância é efetivamente construída na mente de gestores e executivos.
Adicionalmente, reforçamos que é melhor investir em 100 análises de riscos de
grande qualidade em questões relevantes (vide Estratégia de GRC) do que mil
análises de riscos superficiais que acabam sendo utilizadas de forma limitada pela
organização.
Finalmente, observa-se que alguns autores julgam que o grande desafio das
organizações não é definir uma estratégia, mas implantá-la de forma efetiva
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 64
GRC FAQ v1.0
realizando as devidas adaptações no momento em que novas informações são
adquiridas. Neste sentido, entendemos que o uso de matrizes de riscos, e,
conseqüentemente, um sistema de ratings de dinâmico e aderente, é um
instrumento de gestão imprescindível para refletir se a estratégia está sendo
implantada da melhor forma possível e, até mesmo, se as decisões estratégicas
devem ser modificadas com o surgimento de novas informações.
Ge raç ão d e d ash b oard e re po rts cu stom zi a do s e m temp o re al
11
33. Como implantar a visão de ERM alinhando a um programa
Mo ni tora ção d e
8
Ind i cad o res d e
Ri sco s e
Pe rforma nc e
3
Con so il da çã o d o
Re po si tó ri o de
Inte il g ên ci a de
GRC
Co e
l ta
n
i tel i ge nte d e
i nfo rmaç õe s nã o
de GRC?
Amad u re ci me nto
da s n
i ci a
i ti va s e
cu l tu ra de GRC
Con so l d
i aç ão e
Mo ni tora çã o de
Pla no s d e Aç ão
Ri sc os e
Con tro l es
6
e stru tura das
2
M od el ag em e
Av al a
i ção d e
De fin çi ão d a
Es tratég a
i de
GRC
4
7
10
Rea il za ção de
Atu al zi açã o d e
Base de Pe rda s
e Qu ase Pe rd as
T e stes d e
Con tro l e /
Co mp il an ce
5
9
Di sse mi na çã o d e L n
i gu ag em Un i formi za da de An ál si e (T ax on om a
i e Ape tit e )
1
No que tange a implantação de programas de ERM, não temos a pretensão de
detalhar um passo a passo para construir uma visão sistêmica de riscos e como
eles se comportam nas estruturas organizacionais, processos e sistemas de uma
organização. A literatura sobre esta temática é extensa e nosso foco é apenas em
compartilhar alguns insights para aqueles que vêm tendo problemas desta natureza.
O principal paradigma a ser vencido consiste em sair da visão de muitos riscos “com
alto grau de detalhamento” pendurados nos últimos níveis dos processos
mapeados. Ressaltamos ainda, a dificuldade cultural em se realizar uma
modelagem mais sintética, uma vez que aparentemente, exista uma idéia de quanto
maior for o número de riscos inventariados mais completa foi a análise.
Nossa proposição,consiste em modelar:
•
um risco (por exemplo, o risco 34) como um objeto mais amplo de forma
alinhada a visão de ERM
•
Detalhar suas várias manifestações ou reflexos nos processos como
“componentes do risco” (por exemplo, o risco 34.1) na visão tradicional e
funcional de riscos e controles
A figura a seguir ilustra esta proposta:
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 65
GRC FAQ v1.0
Cenário Atual
Cenário Proposto
R 34
R 34.1
R 34.2
R 34.3
R 34.4
R 34.5
R 34.6
Poucos Riscos para Gerenciar
Muitos Riscos para gerenciar
Dados Organizados
O grande desafio para implantação de um programa de ERM é, portanto,:combinar
os benefícios da visão estratégica de ERM (que favorece o entendimento sistêmico
de como os processos se relacionam entre si) com a formalização da accountability
funcional proposta na visão original de riscos e controles e documentada nos
componentes de risco mapeados.
A figura a seguir ilustra esta diferença entre abordagens tracionais de riscos e
programas que efetivamente implantam a visão de ERM:
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 66
GRC FAQ v1.0
R2
R6
Situação
atual
R4
R5
R3
R7
R1
R1
R2
Risco 1
Risco 2
R2.1
Implantação
Efetiva
do ERM
R1.4
R2.2
R1.3
R1.2
R2.3
R1.1
Finalmente, observa-se que este tipo de abordagem para implantação de
programas ERM deve apoiar uma organização a entender o inter- relacionamento
entre dois ou mais riscos. Uma vez que os riscos estão modelados de forma
sintética (devido a construção dos componentes de riscos) fica mais fácil perceber,
por exemplo, que: o rating de um risco de falta de estoque (1) é diretamente
relacionado ao de insatisfação do cliente e (2) inversamente relacionado ao custo
excessivo de armazenamento.
The other gap is the lack of ability to model risks and understand the relationships
between them. Risk assessment is often still conducted on a ‘per risk’ basis with
different risk owners making a determination as to likelihood, impact, or control
level in a vacuum. In reality, there are groups of risks that affect each other. If the
status of one risk changes, the status of all others in the system can also change;
often a simple change outside of the business can lead to a chain reaction inside
the business. Most companies don’t seek to understand these systems, leaving
themselves exposed.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 67
GRC FAQ v1.0
34. Como
promover
gradativamente
a
convergência
das
G era çã o d e d a sh b oa rd e re po rts cu s to mi z ad os em tem po re al
11
Ama d ure ci me n to
d as i ni c a
i tiv as e
iniciativas organizacionais com a taxonomia e apetite de
Mo n ti o raç ão de
In di ca d ore s d e
Ri sc o s e
8
Co n so l d
i aç ão d o
Pe rfo rma nc e
3
Col e ta
n
i te il g en te d e
riscos otimizando continuamente o Repositório de Inteligência
c ul tu ra de GRC
i nfo rma çõ e s n ão
e s tr utu rad as
2
GR C
M o de l ag e m e
De fin i çã o d a
Es tra tég i a d e
GRC
Re po si tó rio de
Inte il g ên c a
i de
4
Co n tro l es
Atua il za çã o de
Re al i zaç ão d e
T es tes d e
Bas e d e Pe rd as
e Qu a se Pe rd as
Co ntro l e /
Co mp il an ce
5
de GRC?
Co ns o il da çã o e
Mo n ti o raç ão de
Pla n os de Ação
Ava il a ção d e
Ri sc os e
6
7
9
Dis se mi n aç ão d e L i ng u ag em Uni fo rmi za d a d e An ál si e (T ax on o mi a e Ape tit e )
1
De todos os componentes apresentados no framework, a idéia de convergência das
iniciativas organizacionais a taxonomia e apetite de riscos é certamente a que exige
maior grau de comunicação e capacidade de inter-relacionamento entre áreas.
“Op risk executives are, in some places, becoming the organization's
psychologies… Sometimes they are peacemakers.
Other times they are
communicators” (Ellen Davis)
Embora a visão de GRC não objetive modificar a forma como as iniciativas de
análise e report são realizadas nos silos funcionais, certamente, algum grau de
mudança é necessário para viabilizar esta convergência para um repositório único,
e, posteriormente, reusabilidade do conhecimento gerado nestas áreas. Desta
forma, deve-se assegurar que as principais informações geradas nas áreas e
registradas em algum tipo de fonte de informação, sejam traduzidas na linguagem
de GRC e armazenadas como conhecimento estruturado no Repositório de
Inteligência.
Mais importante do que fazer com que todos falem da mesma forma, é fazer com
que a fala de todos possa ser traduzida para uma linguagem convergente que todos
entendam.
Por outro lado, deve-se entender as necessidades de informação dos gestores, e
verificar sua disponibilidade e facilidade de acesso no Repositório de GRC. Muitas
vezes, será necessário atualizar as parametrizações para coleta de informação,
como conseqüência dos próprios executivos modificarem suas preocupações e
prioridades na medida em que novas informações e fatos emergem.
“The big issue is how you get all of the data—from all of the multiple places in
which it resides—to the decision maker within a timeframe that best enables that
decision maker to do his or her job” (Philip Howard)
“We are using humans as the middleware because the IT architectural isn’t in a
situation where you push the button and get the information you need”
© Setembro 2008. ELO Group
10
www.elogroup.com.br
Página 68
GRC FAQ v1.0
A figura abaixo ilustra um modelo de maturidade adaptado da OCEG para
materializar como funciona esta evolução da convergência das iniciativas de uma
organização no contexto de um programa de GRC:
Maturidade GRC
1
Aventureiro
2
Fragmentado
3
Integrado
4
Alinhado
5
Otimizado
•Atuação caso a caso
•Informações em silos
•Abordagem única de GRC
•Abordagem estratégica de GRC
•GRC otimizado
•Informação indisponível
•Iniciativas isoladas
•Informações coletas são
compartilhadas
•Informações são coletadas de
forma alinhada da estratégia
•Eliminação de ineficiências
?
?
?
Adaptado de OCEG
No estágio inicial, a organização simplesmente não tem visibilidade de quais são as
iniciativas organizacionais que geram informações relevantes e devem ser alinhadas
ao programa de GRC:
Treinamento
e Coaching
Compliance
Políticas e
?
Procedimentos
?
Indicadores
de Desempenho
?
?
?
Segurança da
Informação
?
?
?
Desenvolvimento de
Produto
Pesquisa de
Satisfação
Ouvidoria
Helpdesk
do Cliente
Posteriormente, a organização deve construir o inventário (vide pergunta 26) de
todas as fontes de informação existentes na organização que devem gerar
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 69
GRC FAQ v1.0
informações relevantes para serem consolidadas no Repositório de Inteligência de
GRC:
Gestão (Escritório) de
Contratos Terceiros
Treinamento
Gestão da
e Coaching
Mudança
Código da
Auditoria
conduta ética
Externa
Políticas e
Arquitetura
Gestão Escritório
Procedimentos
de Pro cessos
de Projetos
Relação
Compliance
com Investidor
Questionários
E Patrimonial
Indicadores
de Desempenho
ISO 9001
Governança
Plano de
Gestão da
Imagem
Segurança Física
Linhas de Negócio
PNQ
Análise de
Cenários
Corporativa
Testes de
Continuidade
Com Negócio
Segurança da
aprendidas
e Fiscal
Informação
Gestão de
Portfólio de
Relacionamento
Clientes
Com Investidor
Base de lições
Audito ria
Conselhos de
Administração
Multas
Pesquisa de
Rotinas de
Satisfação dos
Tratamento de
Funcionários
Ocorrências
Saúde e
Comitês de
Segurança
Tecnologia
Desenvo lvimento de
Produto
Relatórios
Externos
Internos
Canal de
Denúncias
A companhamento
Base de
Perdas Externas
Do Orçamento
Six Sigma
Pesquisa de
Sindicância
Ouvidoria
Relatórios
Gestão de TI
Helpdesk
Satisfação
do Cliente
Posteriormente, deve-se entender a linguagem adotada por cada área e verificar o
melhor modo para conectar os dicionários e categorias/termos consagrados com a
linguagem de GRC. Algumas soluções possíveis para esta etapa são: conectar
categorias utilizadas localmente nos silos funcionais; padronizar linguagem de
convergência de termos (por exemplo, funcionários = empregados <> terceiros =
colaboradores); modificar as categorias utilizadas pela área ou até mesmo ajustar
as categorias adotadas na GRC.
Em paralelo a isto, deve-se ajustar a sensibilidade de cada área e cada iniciativa
organizacional em definir o que é ou não relevante. Teoricamente, a formalização e
desdobramento de uma estratégia deveriam cumprir o papel de alinhar a tomada de
decisão ao atingimento dos objetivos estratégicos e metas definidas.
Contudo, na prática, observa-se que as diversas iniciativas de análises de uma
organização são fortemente baseadas em percepções individuais com alta
subjetividade e baixo grau de direcionamento corporativo. A visão de apetite a riscos
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 70
GRC FAQ v1.0
(vide 25) deve, portanto, suprir este gap se constituindo em uma importante “régua”
para que cada funcionário possa calibrar suas análises com base em prioridades
desdobradas da estratégia.
Pragmatizando esta visão, deve-se pensar que toda informação coletada nas fontes
de informação e registrada como ocorrência (ou evento) no Repositório de
Inteligência de GRC, deve possuir algum tipo de nível de gravidade ou relevância
(variando de acordo com a referência), que seja consistente independente da
origem da informação.
Adicionalmente, pode-se pensar no relacionamento da coleta de informação e
registro de ocorrências diretamente com os riscos já inventariados. Desta forma, os
responsáveis pelo monitoramento destes riscos serão rapidamente avisados
quando do surgimento de novas informações no Repositório de Inteligência de
GRC.
Gestão (Escritó rio) de
Co ntratos Terceiro s
Treinamento
Gestão da
e Coaching
Mudança
Có digo da
Audito ria
conduta ética
Externa
Arquitetura
Gestão Escritó rio
Procedimentos
de Pro cessos
de Projetos
Fontes de Riscos
E Patrimo nial
Co ntinuidade
Co m Negó cio
Governança
Contr oles
Informação
e Fiscal
Processos
Segurança da
Co nselhos de
Administração
Gestão de
Po rtfó lio de
Relacionamento
Clientes
Com Investidor
Multas
Pesquisa de
Rotinas de
Satisfação do s
Tratamento de
Funcio nários
Riscos
Oco rrências
Indicado res
• Seg urança d a inf orma çã o
• Estrutu ra de gestão
• Seg urança e sa úde do
• Estraté gia
fu ncionár io
• Imagem no m ercado
• Co mpetên ci as
• Prop rieda de inte lectual
• Rel acionam ento com clie nte
• Re co mpensas e M otiva çã o
• Disputas tr abalh istas
• Con for midad e lega l
• Infr a-e str utur a tecnoló gica
• Red ução de co mpetên ci as
• Eficiê ncia o pera ci onal
• For necedor es e Tercei ros
• Fusões e aquisiçõe s
• Difer encial co mpetiti vo
• Cl ientes
• Com plexid ade em g estão
• Cli ma o rgan izacional
• Co ntrol es, Compli ance e
• Prob lemas com ou tso urcing
Contin uidad e
• Gestão de pr ojetos
•Gov erna nça Co rpor ativa
• Falha te cn ológi ca
Questionários
ISO 9001
• Re spo sta a risco
• Defi nição de objetiv o
• Ati vidade s de co ntrol e
• Identi ficação de ev ento
• Infor mação e comu nicação
Audito ria
• Ger ência de Recur so s Hu manos
• Logística Inter na
• Desenv olvim ento de Te cn ologi a
• Oper ações
Base de liçõ es
aprendidas
• Lo gística Exter na
• Aq uisição
• Mar keting de Venda s
• Ser viço
Saúde e
Co mitês de
Segurança
Tecno logia
Relatório s
Relató rios
Externo s
Internos
Canal de
Denúncias
Aco mpanhamento
Base de
Perdas Externas
Do Orçamento
Six Sigma
Pesquisa de
Sindicância
Ouvido ria
Análise de
Testes de
• Moni toração
• Inf ra- estrutur a
Desenvo lvimento de
Pro duto
de Desempenho
Cenários
• Am biente inte rno
• Av aliação de r isco
Compliance
Impactos
• Design (Visão de pr ocesso s)
•Audito ria Inter na e Exter na
Corporativa
Linhas de Negó cio
Relação
co m Investido r
• Design (Visão funcio nal)
Segurança Física
Gestão da
Imagem
Po líticas e
Plano de
PNQ
Helpdesk
Gestão de TI
Satisfação
do Cliente
Um terceiro paradigma a ser tratado consiste na difusão para áreas de negócio e de
suporte do uso do Repositório de Inteligência de GRC para planejamento de suas
ações e avaliação de resultados obtidos. Este tipo de uso do Repositório de GRC
pode ser pensado para ações de avaliação de desempenho de funcionários, na
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 71
GRC FAQ v1.0
realização pesquisa de satisfação, no controle de qualidade, nos relatório de
desvios de indicadores, dentre diversas outras.
A conexão das áreas de negócio e suporte de uma organização em um ambiente de
GRC (indexado por sistemas de rating de riscos) deve considerar tanto as fontes de
informação disponíveis quanto as demandas por melhores informações destas
áreas. Todos devem ser entendidos tanto como provedores quanto usuários de
informação que se comunicam a partir da linguagem de GRC.
Neste sentido, espera-se que gradativamente a organização consiga maximizar a
sinergia entre suas áreas operacionais e de suporte, 1) evitando redundâncias na
geração de informação que já estejam disponíveis e 2) demora no acesso a estas
informações.
Questionários
Arquitetura
de Processo s
Políticas e procedimentos
Gestão (Escritório) de
Co ntrato s Terceiros
Segurança Física
Relatórios
E Patrimo nial
Externos
Código da co nduta ética
Co mitês de Tecno lo gia
Gestão Escritó rio
Audito ria
Testes de
Relação
de Projetos
Externa
Auditoria
com
Investidor
Fontes de Riscos
Riscos
Impactos
• Design ( Visão funcional)
Linhas de Negócio
• Design ( Visão de processo s)
• Segur ança da info rmação
• Estrutur a de gestão
• Segur ança e sa úde do
f unci onário
• Imagem no me rcado
• Competências
• Propr iedade intel ectua l
• Rela cio namento com clie nte
• R eco mpensas e Mo tivação
• Disp utas trabalhi stas
• Conf ormidad e legal
• Estratégi a
PNQ
• Inf ra-estrutur a tecn ológica
• Fusões e aqui sições
• Difere nci al co mpetitivo
• Clientes
• Compl exidade em gestão
• Cli ma orga nizacio nal
• Controles, Complian ce e
Contin uidade
•Go vernança Corpora tiva
Corporativa
Com Negócio
Segurança da
Conselhos de
Administração
Inform ação
e Fiscal
Portfó lio de
Relacionamento
Clientes
Com Investido r
Pesquisa de
Rotinas de
Satisfação do s
Tratamento de
Funcio nários
Ocorrências
• Proble mas com outsourcing
Gestão da
Imagem
Gestão da
Indicadores
Mudança
de Desempenho
Saúde e
Análise de
Segurança
Cenários
• Gestão d e projetos
• Falha tecnológi ca
•Auditor ia Inter na e Exter na
Controle s
Continuidade
Governança
e Coaching
• Eficiência operacional
• For necedores e T erceiros
Proce ssos
Plano de
• Redução de competências
Treinamento
• Ambi ente inter no
• R esposta a r isco
• Definição de o bjetivo
• A tividades de controle
• Identifi cação de evento
• Inf ormação e comu nicação
• Aval iação de r isco
• M onitoração
• Infr a-estrutur a
• A quisição
• Gerência de Recursos Humanos
• Logística In te rna
• Desenvolvim ento d e Tecn ologia
• Oper açõe s
Gestão de
Base de lições
Multas
aprendidas
• Log ísti ca Exter na
• Marke ti ng de V endas
• Ser viço
Canal de
Relatórios
Denúncias
Internos
Aco mpanhamento
ISO 9001
Sindicância
Desenvolvimento de
Pro duto
Base de
Do Orçamento
Perdas Externas
Pesquisa de
Gestão de TI
Ouvidoria
Helpdesk
Compliance
Six Sigma
Satisfação
do Cliente
Finalmente, deve-se ressaltar novamente a importância de se avançar na forma
como a informação migra das fontes de informação nos silos funcionais e chega ao
Repositório de Inteligência de GRC. Atualmente, pode-se pensar em várias formas
para realizar esta migração como:
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 72
GRC FAQ v1.0
•
Mecanismos de importação e exportação de informações em distintos
formatos;
•
Integração direta com formulários, checklist, pesquisas, questionários e
planilhas eletrônicos para coleta de informações localizadas em campos
específicos;
•
Varredura de informações de documentos, planilhas, relatórios, emails;
análises, portais e domínios de internet baseada em palavras chave
(KeyWord)
•
Uso de conectores (Webservices) para coleta de informações de ESBs
(Enterprise Service Bus) ou diretamente de bancos de dados e aplicações;
A figura abaixo ilustra este planejamento e acompanhamento do amadurecimento
do programa de GRC:
Convergência de
linguagem à
Taxonomia GRC
Convergência de
Convergência de forma de
planejamento e resultados
priorização ao Apetite GRC
de iniciativas com GRC
Planejamento e avaliação de
Linguagem divergente Forma de priorização não
resultados divergentes da
à taxonomia GRC
estruturada
inteligência de GRC
Forma de priorização
Não há estruturação
Planejamento convergentes
divergente do apetite de
de linguagem
à inteligência de GRC
GRC
Linguagem
Planejamento e avaliação de
convergente à
Utilização de apetite de GRC resultados divergentes da
taxonomia GRC
inteligência de GRC
Iniciativa
Periodicidade
Matutidade
Tecnológica
Índice geral de
convergência a GRC
Plano de
Treinamento
Díario
Apresentação
0,166666667
Six Sigma
Mensal
Formulário
0,291666667
ISO 9001
Quinzenal
Relatório
0,5
Compliance
Díario
Conhecimento Tácito
0,5
Gestão da
Mudança
Semestral
Outros
0,458333333
Não há estruturação
de linguagem
Ouvidoria
Decenal
Site
0,375
Linguagem divergente
à taxonomia GRC
Helpdesk
Quinzenal
Planilha
0,333333333
Não há estruturação
de linguagem
Total
0,375
Linguagem divergente Forma de priorização não
à taxonomia GRC
estruturada
Planejamento e avaliação de
resultados convergentes à
inteligência de GRC
Forma de priorização
Avaliação de resultados
divergente do apetite de convergentes à inteligência
GRC
Forma de priorização
Planejamento e avaliação de
divergente do apetite de
resultados divergentes da
GRC
inteligência de GRC
Forma de priorização não
estruturada
Planejamento e avaliação de
resultados convergentes à
inteligência de GRC
Geração de dashboard e repor st customi zados em tempo real
11
35. Como evoluir a aplicação de testes de controles e rotinas
Am adureci mento
das in i ci ati vas e
cult ura de G RC
8
Moni o
t ração de
Indic adores de
Ris c os e
Cons ol i dação do
Perform ance
3
de auditoria no contexto de um programa de GRC?
Cole ta
i nte l ig ente de
GRC
Consol d
i ação e
Av al i aç ão de
Ri s cos e
Es tratégia de
GR C
4
6
estruturadas
2
C ontrole s
M oni tor aç ão de
Pl anos de Aç ão
7
5
C ontrole /
Compl ia nce
9
Di ss emi nação de Li nguagem Uni form iz ada de Anál is e (Tax onomi a e Apetit e)
1
testar se os controles que estão sendo executados conforme os procedimentos
definidos é certamente uma das práticas mais antigas. Contudo, assim como no
caso das matrizes de riscos existe um grande desafio em sair de uma lógica
© Setembro 2008. ELO Group
www.elogroup.com.br
10
Reali z aç ão de
Testes de
Atu ali zaç ão de
Bas e de Perdas
e Quas e Perdas
Dentre as ferramentas e conceitos já apresentados a idéia de se
Modela gem e
Defi ni ç ão da
Repos i tóri o de
Intel i gênci a de
i nfor maç ões não
Página 73
GRC FAQ v1.0
burocrática, para uma abordagem mais sofisticada e eficiente que consiga identificar
e tratar agilmente as principais vulnerabilidades existentes no sistema de controle.
Neste sentido, as principais referências em GRC vêm apresentando algumas
tendências para sofisticação deste tipo de ferramenta.
A primeira tendência está associada ao conceito de auditoria baseada em riscos.
Esta visão objetiva equilibrar o esforço de realização de testes de controle com base
no rating dos riscos que este controle mitiga. Esta idéia está fortemente associada à
visão da estratégia de GRC (vide pergunta 31) em que primeiramente deve-se
realizar uma análise agregada e, posteriormente, concentrar esforços em área de
interesse. Adicionalmente, sugere-se que o preenchimento das matrizes de riscos
também gere sugestões do tipo, periodicidade e esforço de testes de controles a
serem adotados.
Neste sentido, novamente, ressalta-se que uma vez que os coletores de fontes de
informação de um programa de GRC estejam implantados de forma capilarizada, a
própria monitoração contínua dos eventos registrados no Repositório de
Inteligência de GRC será um instrumento efetivo para construir uma sensibilidade
das incertezas existentes em uma organização que demandam aplicações de testes
de controle.
Uma segunda tendência a ser ressaltada, está centrada na automatização ampla da
grande maioria dos controles. Neste sentido, tecnologias de BPM (Business Process
Management), ECM (Enterprise Content Management) e ERPs vêm sendo
aprimorados para permitir que os usuários possam automatizar seus controles,
(parametrizados por Motores de Regras – Rules Engine) com grande flexibilidade
para criação, alteração e exclusão de controles e sem a necessidade de
programação do código da aplicação.
Uma vez automatizados os controles, fica muito mais fácil para a organização definir
algoritmos automáticos de testes para verificar se estes controles vêm sendo
realizados de forma adequada. Alguns autores chegam a sugerir que para todo
novo serviço/componente de sistemas desenvolvido, também sejam automatizadas
as rotinas de testes que validam a conformidade de seu uso, enviando, quando
necessário, informações para o módulo de auditoria de uma plataforma GRC.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 74
GRC FAQ v1.0
Finalmente, observa-se que o acrônimo CCM - Continuous Control Monitoring vem
ganhando atenção para representar esta visão de automação ampla de controles, e,
conseqüentemente, automação ampla de testes de controles que passam a ser
executados em pequenos intervalos de tempo.
36. Como evoluir a gestão de planos de ação no contexto de um programa de
GRC ?
No que tange a questão dos planos de ação, a primeira discussão emergente se
refere à distinção entre termos como: Tarefas pontuais , Plano de ação, projetos,
grandes empreendimentos, iniciativas de curto prazo, etc.. Até que ponto, um plano
de ação é na verdade um projeto complexo a ser delegado para um escritório de
projetos, ou um plano de ação é algo tão simples e rápido que nem deveria ser
documentado ?
Entendemos que as organizações devem definir claramente quando cada um destes
termos deve ser aplicado e, principalmente, uniformizar o tipo de informação a ser
documentada e ferramentas a serem utilizadas (cronogramas, WBS, Checklists,
Eventos de Gestão da Mudança, etc.) em cada caso.
Do ponto de vista de um programa da GRC, uma importante forma de organizar esta
questão é vincular a idéia de tarefa, plano de ação ou projeto de acordo com o
rating de riscos que se propõe a mitigar.
Desta forma, ações pontuais que não influenciem significativamente o rating dos
riscos envolvidos tendem a ser consideradas tarefas em que apenas deve ser
documentado algo do tipo responsável, data e realizado/não realizado. Já ações
com maior duração e que impactem razoavelmente no portfólio de riscos deveriam
ser denominadas planos de ação atrelados à definição de sub-atividades,
responsáveis, prazos, metas, etc.. Finalmente, ações mais complexas que
impactam significativamente nos ratings de riscos deveriam ser denominadas
projetos a serem geridos de forma significativamente estruturada com rotinas de
validação, WBS, checklists, controle de alocação de recursos, etc..
Observa-se que a essência é a mesma defendida ao longo de todo este documento.
Assegurar a convergência de todos estes tipos de atividades que uma organização
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 75
GRC FAQ v1.0
realiza pró-ativamente e que possuam início, meio e fim bem definidos (ou seja, não
são processos) e objetivos específicos que impactem no portfólio atual de rating de
riscos da organização. Ainda reforça-se a importante preocupação de orientar o
nível de documentação gerada e de controles sugeridos de acordo com o tipo de
ação que está sendo realizado: tarefa pontual, plano de ação ou um projeto.
Neste sentido, sempre que alguém for propor e aprovar um novo plano de ação (ou
uma tarefa pontual ou um projeto), o importante é que se saiba quais são as demais
ações em andamento na organização para evitar a criação de atividades
redundantes ou ações contraproducente. Num próximo estágio de maturidade de
GRC pode-se pensar ainda em criar sinergia entre ações, aparentemente,
desconexas fortalecendo a integração entre tarefas, planos de ação e projetos.
Além disto, observa-se que a visão de rating de riscos mitigados deve ser utilizada
como uma importante escala para priorizar planos de ação a serem realizados. É
comum, por exemplo, que muitas tarefas sejam direcionadas para uma área de TI
gerando certo desentendimento em relação à ordem com que estas demandas
devem ser atendidas.
Finalmente, ressalta-se a tendência de se pré-definir de forma planejada uma série
de planos de ação a serem sugeridas de acordo com as informações coletadas no
repositório de GRC ou nos ratings de riscos definidos. Este tipo de filosofia já é
muito comum no desenvolvimento de planos de contingência para situações de
crise ou até mesmo na definição de opções estratégicos que proporcionem maior
flexibilidade num planejamento a ser percorrido.
Alguns autores, inclusive, já propõem a ampliação da visão tradicional de
continuidade para uma visão de resiliência em que uma série de ações pré-definidas
são programadas para serem disparadas quando da ocorrência de problemas
recorrentes
e
previstos
(necessariamente
vinculados
a
uma
crise
ou
descontinuidade do negócio). Pode-se pensar, por exemplo, na sugestão e
preparação automática de um pedido de importação de matéria-prima sempre que o
preço do dólar baixar e o rating dos riscos de falta de matéria-prima estiver alto.
Uma vez que a GRC efetivamente consiga tornar uma organização altamente
sensitiva a qualquer tipo de operação que saia do padrão e que possa indicar aos
gestores uma ameaça a ser tratada ou uma oportunidade a ser explorada, por que
não pensar em sugestões de planos de ação para tratar questões recorrentes.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 76
GRC FAQ v1.0
Um segundo exemplo pode ser percebido na queda de vendas no final do mês: o
ambiente de GRC poderia analisar o perfil dos ratings de risco atuais e sugerir
planos de ação dentre 1) treinamento para vendedores específicos, 2) reforço da
publicidade de um determinado produto, ou até mesmo 3) modificação do custo de
produção.
37. Como evoluir um Reports ou Dashboard para Reports e Dashboards de
GRC?
No atual contexto de grande complexidade e dinamicidade, é muito comum que
gestores tomem decisões fortemente baseados em sua intuição, uma vez que a
maior parte da informação necessária, embora exista, está dissolvida nos silos
funcionais que compõem a organização. Desta forma, deve-se lembrar que a GRC
não é um projeto isolado da organização, mas uma importante ferramenta de gestão
na qual toda a organização se comporta como um usuário.
“A pesquisa de Kahneman confirma o que a maioria dos gerentes já sabe – as
decisões são mais subjetivas e irracionais do que gostaríamos de imaginar. Em
algumas organizações, essa irracionalidade é reforçada por incentivos e
comportamentos disfuncionais.” (Jeremy Hole)
A capacidade de identificar e se adaptar rapidamente às mudanças e incertezas do
ambiente é um importante diferencial competitivo para o século XXI. E, desta forma,
gestores devem fazer uso da gestão de riscos para complementar sua intuição com
uma visão holística, tempestiva e baseada em fatos do que está ocorrendo na
organização.
“When comparing the state of real-time monitoring weather patterns with real-time
monitoring in business, the business world has roughly the same capability as
hurricane forecasting had in 1900. Managers may hope for a sign in the sky to allow
them to know the current situation (…) they are unaware of changes in the
environmental around them until is to late to take action.
Neste sentido, o ambiente de GRC deve ser acessado de forma simples e assertiva
por toda a organização, se aproveitando do uso de uma linguagem de GRC
uniformizada. Os diversos diretores, gerentes, supervisores e coordenadores devem
rapidamente acessar a informação que desejam e confiar nos sistemas de rating
para direcionar suas prioridades de esforços e ações.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 77
GRC FAQ v1.0
Creating consolidated reporting by having the whole company collecting data and
managing risk to the same standard. That makes it a lot easier to standardise
reporting to the board. (CFO Prudential, sobre os benefícios da gestão de riscos)
I would have instantaneous knowledge when individuals access data and affect key
controls across the company, and have assurance that those individuals accessing
thatinformation are properly authorized. Today, many firms manage that through
obscurity or through spread sheets. Tomorrow, those tools will enable us to have
real-time information about when people are accessing both controls and specific
data within databases, and enable us to take immediate action to prevent
unauthorized access. It’s all about watching the data flow through the network, and
being able to take immediate response when necessary.(Robert Warral)
Os Dashboard e Reports de GRC devem ainda ter flexibilidade para que um gestor
possa:
•
Analisar a organização sob diversas óticas, como por exemplo: atendimento
aos clientes, crise de energia, eficiência e produtividade, ambiência interna.
•
Definir argumentos de busca e rapidamente encontrar tudo o que a
organização vem documentando e analisando sobre este tema específico
independente de silos funcionais, linguagens, relacionamentos sociais, etc..;
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 78
GRC FAQ v1.0
•
Definir novas regras de rating para representar cenários específicos de
gestão como surgimento de um novo concorrente ou escassez de matériaprima;
•
Re-configurar facilmente sua interface e layout customizado de acordo com
as suas preferências individuais
•
“Plotar” as informações em fluxogramas (por exemplo, associados às
ocorrências capturadas nas atividades), procedimentos e políticas (por
exemplo, iluminando os parágrafos em que os controles não vêm sendo
desempenhados da mesma forma), fluxos de caixa (por exemplo,
representado setas para apontar as incertezas contidas em cada linha de
receita ou despesa)
•
Estar integrado com mecanismos de workflow para apoiar todo o conjunto de
criação de tarefas e avisos relacionados à governança das ações de GRC;
A tendência é que dashboards e report de GRC sejam percebidos como grandes
prestadores de serviços on-demad para gestores e executivos no que tange a
gestão de informação estruturada e consistente.
Once you classify the possible information to be tracked by its priority, materiality,
and other factors, you will find that no more than 5 percent of the available data is
necessary to the end business surprises as we know them.
Seja qual for a demanda por informação, ela deve ser facilmente solicitada através
da interface do dashboard ou report, passar pelo Repositório de Informação de
GRC, chegar até os coletores que conectam o ambiente de GRC às fontes de
informação, e, finalmente, retornar de forma tempestiva e assertiva para o gestor.
Contudo, este serviço não precisa ser prestado de forma pontual. Uma vez criada a
demanda, o Dashboard de GRC poderia passar a disponibilizar semanalmente, por
exemplo, um report que traga a melhor informação disponível dado um determinado
assunto.
Mais que isto, cada gestor pode ter este report semanal parametrizado de acordo
com suas preocupações e metas estratégicas. Por outro lado, por que não pensar
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 79
GRC FAQ v1.0
no envio de emails ou até mesmo mensagens de celular para questões mais críticas
que efetivamente são atualizadas em tempo real.
Finalmente, devemos ressaltar a importância de que o Dashboard ou Report de
GRC tenha funcionalidades de controle de permissão altamente sofisticadas que
garantam que um usuário só possa ter acesso a informações compatíveis com seu
nível hierárquico e posição funcional.
PARTE V - Considerações Finais sobre GRC
38. Como quantificar o retorno financeiro de um programa de GRC?
A mensuração do valor criado por um programa de gestão de riscos, controles, ERM
sempre foi um grande desafio para diversos profissionais de gestão de riscos,
controles e auditoria interessados em materializar para seus diretores qual o retorno
financeiro gerado pela área. No que tange a programas de GRC este desafio é
certamente igual ou até mesmo maior.
Uma primeira parcela do retorno gerado pela GRC pode ser calculada pela redução
do histórico de perdas ocorridas. Esta visão está fortemente associada à visão de
apuração de perdas (pergunta 29), sendo composta de itens como: multas,
compensações ou restituições a cliente, indenização de funcionários, homens hora
de retrabalho, ativos físicos danificados, perdas de receitas programadas, perda de
transação, indenização de fornecedores, desperdício de matéria-prima, etc..
A segunda parcela deste retorno se refere ao aumento da eficiência ou
produtividade de uma organização percebida como uma menor necessidade de
recursos (ou inputs) para gerar os mesmos resultados (ou outputs). Devido ao
aumento da sinergia entre as diversas áreas organizacionais espera-se: (1) uma
minimização de redundâncias na geração de informação entre diferentes áreas e (2)
uma redução na necessidade de tempo para se localizar as informações
necessárias.
Entre itens financeiros de aumento de eficiência pode-se pensar em: homem-hora
de funcionários, horas de contratos com terceiros, quantidade de matéria-prima
utilizados, etc..
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 80
GRC FAQ v1.0
A terceira parcela que compõe a quantificação do retorno financeiro se refere aos
ganhos gerados pelo fato da tomada de decisão se torna mais rápida e assertiva.
Contudo, esta parcela acaba sendo a mais difícil de ser calculada... Como
quantificar quanto deixou de ser perdido, devido a um novo tipo de ameaça evitada
por gestores que rapidamente a detectaram no ambiente de GRC? Como quantificar
o ganho extra gerada por uma oportunidade ter sido identificado com grande
antecedência ou ter sido explorada de forma mais efetiva?
O grande desafio, é que para programas bem sucedidos de GRC, esta terceira
parcela é justamente a maior responsável pelo retorno auferido para o negócio.
Para entender a complexidade deste desafio, pode-se pensar em alguma pessoa
que sugerisse um controle que viesse a evitar ou minimizar o atentado de 11 de
Setembro. O mérito desta decisão não teria sido valorizado, como deveria, uma vez
que o atentado terrorista não teria ocorrido.
Quantas decisões assertivas que implicaram em grandes ganhos, ou evitaram
grandes perdas, que não tiveram seu retorno quantificado, simplesmente, por que
não conseguimos pensar e estimar como os fatos poderiam ter transcorrido de
forma distinta? Como provar que estas decisões não teriam sido tomadas sem as
informações de um determinado dashboard?
Finalmente, gostaríamos de observar que se os programas de GRC efetivamente
aumentarem drasticamente o nível de visibilidade, entendimento e capacidade de
reação dos executivos em relação a sua organização - certamente ninguém
questionará o valor da manutenção de uma estrutura de GRC. Todo este conjunto
de práticas será incorporado sinergicamente na tomada de decisão da organização,
como se fosse uma evolução natural, e até mesmo, óbvia dos sistemas de gestão.
“ If HP knew what HP knows, it would be three times more profitable” (Lew Plat,
CEO of HP)
O custo da atividade de coletar traduzir as principais informações geradas para a
linguagem de GRC, e armazená-las para serem reutilizadas no ambiente de GRC é
marginal frente ao custo de geração da própria informação.
39. Por que a GRC não é apenas mais um modismo?
Um grande desafio associado à gestão de riscos é provar aos demais que
efetivamente é uma solução para uma dor latente nas organizações, em detrimento
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 81
GRC FAQ v1.0
a mais uma moda disseminada por pesquisadores, consultorias, fornecedores de
tecnologias e mídias especializadas.
Primeiramente, observa-se que o reconhecimento da GRC como um conceito
interessante não significa que ele será incorporado à rotina dos executivos. Antes
de se pensar em qualquer solução, deve-se entender claramente qual a demanda
ou qual a “dor” a ser solucionada. Ressalta-se ainda que algumas organizações
acabam apresentando equivocadamente que a inexistência ou insuficiência de um
programa de GRC é o próprio problema a ser resolvido.
Neste caso, entendemos que existe efetivamente uma demanda, ou uma “dor” a ser
tratada (vide perguntas 15, 16 e 17): A complexidade do ambiente de gestão
efetivamente evoluiu de forma muito mais acelerada e dinâmica do que a
modernização dos sistemas e ferramentas de gestão. Desta forma, gerir uma área
se tornou algo mais complicado, tomar uma decisão se tornou mais desconfortável,
responder o que está ocorrendo na organização passa a gerar um maior grau de
insegurança, etc..
The Managing work is reaching never seen levels of complexity
Managers make critical business decisions with outdated and practically useless
information leading to the surprises of missed opportunities at best or disastrous
failures at worst for business, for manager, for employees, for the economy.
(Gartner)
Ressalta-se ainda que diversas referências em management chamam atenção para
este fato independente de julgar qual a solução a ser adotada. Ou seja, a demanda
por melhorias nos sistemas de gestão é concreta não se tratando de uma motivação
adicional criado pela corrente de GRC.
“Some challenges simply can't be met without reinventing our 100-year-old
management model” (Gary Hamel – The Future of Management)
Nós observamos que empresas estavam tendo dificuldades para tirar vantagem das
oportunidades criadas pela digitalização e pela globalização por que suas
organizações não foram desenvolvidas para o novo mundo (Bryan & Joyce,
McKinsey)
“Trinta anos atrás, um gestor tinha a opção de ir devagar, esperando pela
informação quando decisões estratégicas importantes eram necessárias. O gestor
de hoje não tem esse luxo, o ritmo dos negócios acelerou e as decisões são
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 82
GRC FAQ v1.0
requeridas imediatamente mesmo quando a informação usada está desatualizada.”
(Kenneth G. McGee; Heads Up; Gartner; 2004)
Um programa de GRC em suma é uma coletânea de boas práticas gerenciais
incorporadas de diversas outras disciplinas como gestão de projetos, gestão de
processos, gestão da qualidade, projeto organizacional, etc. que tem como
diferencial a idéia de ser uma linguagem e metodologia universal de análise para
criação de convergência e reusabilidade para informação gerada pelas diversas
áreas de negócio e suporte.
“We are using humans as the middleware because the IT architectural isn’t in a
situation where you push the button and get the information you need”
“As unexpected events begin to materialize, someone somewhere sees early
warning signs. But the first to know tend to be lower in rank, invisible, reluctant to
speak up, and may not even realize that what they are seeing is important.”
(Gartner)
Entendemos que faz algum tempo que o problema não é a falta de informação.
Diversos estudos apontam que o conhecimento necessário para que um executivo
tome uma decisão de fato existe, mas está “jogada em algum canto da sala.” Desta
forma, a filosofia de GRC se foca justamente em dar re-usabilidade e organização
as informações já existentes, conectando fontes e demandas de informação em
uma linguagem única baseada em taxonomia e rating.
Pela primeira vez, pessoas de negócio têm a habilidade de detectar oportunidades e
evitar desastres de maneira consistente, de forma a acabar com as surpresas no
negócio.
“Its about improving every manager’s ability to meet goals by ending surprises and
detecting opportunities. (…) far most of the business uncertainty we line with today
is unnecessary; that the primarily negative suprises we have to come to live with
should in now way be surprises”
Business surprises should not be surprises. The information that would allows
managers to turn these currently unexpected events in opportunities is available.
(Kenneth G. McGee)
Entre 70% e 80% das informações do negócio estão disponíveis na própria
empresa, mas ninguém utiliza com eficiência. (Robson Alberoni)
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 83
GRC FAQ v1.0
40. Como saber se você está fazendo um bom trabalho de GRC ?
Para responder a esta pergunta primeiramente gostaríamos de ressaltar que quem
gere os riscos são os gestores e não áreas de negócio e suporte. Desta forma, o
sucesso de uma área deste tipo é assegurar que não existam surpresas para quem
toma decisão.
O que uma organização sabe e está disperso em alguma pessoa, documento ou
sistema, tem que chegar no momento certo, com a classificação certa (taxonomia) e
prioridade certa (rating) para quem precisa desta informação.
A partir daí se o decisor toma a melhor ou pior decisão não é mais uma questão da
GRC. A GRC conecta a oferta à demanda de informação dentro da organização. O
uso que é feito destas informações é responsabilidade do decisor que é quem
efetivamente executa a gestão de seus riscos e oportunidades.
“When CFOs and CIOs know each other’s areas as well as their own, it is an
indication that they are on the right GRC path” Lee Dittmar
“You know you’re doing a good job when there are no surprises and you know
immediately about anything unusual…” (CRO, Global Banking Group)
41. Quais são as referências existentes sobre GRC?
Sites:
•
•
•
•
•
•
•
•
•
•
•
http://www.oceg.org/
http://sox.mashnetworks.com/
http://www.ibgc.org.br/Home.aspx
http://corp-integrity.blogspot.com/
http://www.forrester.com/rb/research
http://www.cfo.com
http://www.complianceweek.com
http://www.thecro.com/
http://www.grcroundtable.org/
http://mgt.ncsu.edu/erm/
http://www.opriskandcompliance.com/
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 84
GRC FAQ v1.0
Modelos de Referência
Modelo de Referência
Ano
Descrição Geral
COSO Internal Control
– Integrated Framewok
1992
Principal framework existente até hoje para implantação de uma estrutura de
controles internos a partir de cinco componentes centrais: ambiente de controle;
risk assessment; atividades de controle; informação e comunicação; monitoração.
COSO – Committee of
Sponsoring Organizations of
the Treadway Commission
FSA Handbook
2001
Handbook online completo com orientações e boas práticas bem detalhadas para
instituições financeiras. O site da FSA permite ainda a construção de handbooks
com conteúdos personalizados de acordo com a organização.
FSA - Financial Services
Authority. Órgão regulador de
instituições financeiras no
Reino Unido
FERMA
2002
Cartilha para difusão da disciplina de gestão de riscos na Europa a partir de uma
visão objetiva do processo de gestão de riscos. Este manual também apresenta
um conjunto de templates para descrição e análise de riscos.
FERMA – Federation of
European Risk Managers
Association
AS/NZS 4360
(1a versão )
Uma das principais referências utilizadas para processos de gestão de riscos no
mundo. Este modelo apresenta um conjunto interessante de templates e práticas
que se propõe ser aplicáveis para gerir riscos no contexto de um processo, de
uma empresa, ou até mesmo no projeto de vida de um indivíduo.
Standards Australia e
Standards New Zealand
1995
2004
(última revisão)
COSO Enterprise Risk
Management –
Integrated Framewok
2004
Orange Book
2004
Best practicies in
qualitative operational
risk management
Red Book
BS 31100
ISO 31000
2006
Este Framework se propõe a ampliar o conceito de COSO Internal Control, de
forma a maximizar o valor gerado pela gestão de riscos alinhando-o a estratégia
da organização. Este manual introduz os conceitos de apetite de riscos e visão
integrado de riscos (ERM).
Visão inicial da abordagem de gestão de riscos e como esta disciplina se desdobra
nos vários níveis de uma organização, desde o planejamento estratégico, até suas
operações específicas.
Handbook prático para a gestão de riscos operacionais baseado em experiências
reais em instituições financeiras e na estrutura do COSO Enterprise Risk
Management – Integrated Framewok. Este manual apresenta diversos insights
práticos sobre o uso gestão de riscos operacionais.
Apresenta um Framework constituído de 9 componentes para a implantação de
um programa que integre as diversas iniciativas organizacionais de Governança,
2007
riscos e Compliance (GRC). Cada componente é dividido em sub-componentes e
em diretrizes, tratando-se provavelmente do manual mais completo e amplo em
termos de Gestão de Riscos
Manual desenvolvida pela BSI para orientar a gestão de riscos. Apresenta 10
Em
princípios-chave para gestão de riscos, um modelo de gestão de riscos, um
desenvolvim
framework de gestão de riscos, um processo de gestão de riscos e um capítulo
ento
dedicado à implantação da gestão de riscos.
Manual a ser finalizada em 2009 que possivelmente deve se tornar a principal
Em
norma de gestão de riscos do mundo. Apresenta os 11 princípios da gestão de
desenvolvim
riscos, uma orientação sobre como construir e monitorar um Framework para
ento
gestão de riscos e um processo genérico de gestão de riscos
© Setembro 2008. ELO Group
Autor
www.elogroup.com.br
COSO – Committee of
Sponsoring Organizations of
the Treadway Commission
Her Majesty's Treasury Ministério econômico e
financeiro do Reino Unido
TransConstelation - Uma
associação de empresas da
área de processamento de
transações financeiras
OCEG – Open Compliance and
Ethics Group
BSI – British Standard
Institution
ISO – International organization
for standardization
Página 85
GRC FAQ v1.0
Regulações:
Legislação
Ano
Descrição Geral
Autor
2004
Publicação desenvolvida por diversas empresas e instituições do setor financeiro
com a intenção de se criar um padrão internacional para a formulação de leis e
regulamentações relacionadas à gestão de riscos em bancos. O documento é
dividido em três pilares: Requerimento mínimo de capital, processo de revisão
para supervisão e disciplina de mercado. Trata-se de um conteúdo bastante
detalhado que propõe o uso de ferramentas matemáticas não triviais.
Sarbanes-Oxley Act
2002
Lei federal que determina práticas de controles internos sobre relatórios
financeiros para todas as empresas com ações negociadas na bolsa de Nova
York. Além disso, a lei responsabiliza, civil e criminalmente os principais executivos
destas empresas pela confiabilidade das informações financeiros e contábeis
publicada. Esta lei também exige que as organizações realizem avaliações dos
seus sistemas de controle e que tais avaliações sejam objeto de uma auditoria
independente.
(Financial Instruments
and Exchange Act) JSox
2006
Considerada a versão japonesa da SOX.
Basiléia II
Combined Code of
Corporate Governance
(Turnbull Cadbury
Report)
1992
(1a versão )
2003
(última revisão)
1970
BSA (Bank Secrecy
Act)
(publicação
versão d o BSA)
2001
(Patriot Act)
Basel Committee on Banking
Supervision
Parlamento Japonês
Código de práticas de Governança corporativa e controles internos sobre relatórios
FRC - Financial Reporting
financeiros com o qual todas as empresas com ações negociadas na bolsa de
Council. Órgão regulador
Londres devem estar em conformidade e demonstrá-las através da publicação de independente do Reino Unido
responsável pela promoção da
relatórios públicos. O código consiste da combinação de dois documentos: o
confiança nos relatórios e da
Cadbury Report, que trata de governança corporativa e o Turnbull Report que
governança corporativa.
aborda controles internos sobre relatórios financeiros.
Determina a colaboração de todas as instituições financeiras norte americanas
com o Governo objetivando a prevenção da lavagem de dinheiro. Para tanto, as
instituições financeiras devem submeter ao governo relatórios específicos sobre
determinadas transações financeiras. Outros atos foram promulgados atualizando
o Banks Secrecy Act, o último dos quais foi o Patriot Act.
Governo Federal dos Estados
Unidos
Determina a implementação de práticas de gestão de risco por parte de
2554 - 1998;
Resoluções do Banco
instituições financeiras no Brasil, dente algumas: : 2554 – implementação de um
3056 - 2001;
Central No 2554, 3056,
sistema de controles internos; 3056 – Dispõe sobre a auditoria interna; 3380 –
3380 - 2006;
3380 e 3490
Implementação de uma área de riscos operacionais; 3490 – Trata da apuração do
3490 -2007
Patrimônio de Referência Exigido (capital econômico)
Circular SUSEP 249,
280, 327
249 - 2004
280 - 2004
327 - 2006
© Setembro 2008. ELO Group
SEC - Security Exchange
Comission
Banco Central do Brasil
Determina a implementação de práticas de controles internos em seguradoras.
Alguns exemplos destas circulares são: circular 249 que dispões sobre a criação
de uma estrutura de controle internos em uma seguradora; circular 280 que
SUSEP - Superintendência de
estabelece os procedimentos mínimos associados aos controles internos e sobre o
Seguros Privados
descumprimento de dispositivos legais e regulamentares; circular 327 que dispõe
sobre os controles internos específicos para o tratamento de situações
relacionadas a crimes como lavagem de dinheiro, etc
www.elogroup.com.br
Página 86
GRC FAQ v1.0
QUEM SOMOS
A ELO Group é uma empresa de consultoria com foco em Gestão de Processos de
Negócios (BPM – Business Process Management) e Governança, Riscos e
Compliance (GRC) que tem o objetivo de trazer para o mercado soluções de gestão
customizadas com alto grau de conhecimento embarcado e aderência integral a
suas reais necessidades.
“De forma a reforçar este posicionamento, a ELO Group foi fundada no Parque
Tecnológico da COPPE/UFRJ, um dos mais avançados Centros de Pesquisa e
Desenvolvimento da América Latina, assegurando sua proximidade com a academia
e com a pesquisa e surgimento de inovações em práticas e ferramentas de gestão
empresarial.”
A ELO Group possui um quadro de profissionais com sólida formação acadêmica e
passagem por renomadas universidades no Brasil, EUA (Carnegie Mellon University
e North Caroline State University) e Europa (L’Ècole Central de Paris, Politécnico di
Turino e Universidad de Valencia). Estes profissionais atuam como professores em
diversos cursos de curta e longa duração (MBA) junto a UERJ, UFRJ, PUC,
INSADE, Funenseg dentre outras instituições de ensino de grande renome.
A ELO Group é membro ativo de diversos grupos de discussão junto a ABNT,
SUCESU, SCOR, ISO, AMCHAM, ABPMP, liderando a construção de diversos
modelos de referências e disseminação de melhores práticas de gestão empresarial
no Brasil e no mundo.
A própria ELO Group foi formada a partir de um Spin-off do Grupo de Produção
Integrada da UFRJ, uma das principais referências nacionais em pesquisa e
desenvolvimento em a Gestão Empresarial e Gestão de Processos, mantendo
projetos e ações de pesquisa com este grupo.
A ELO Group vem apoiando diversas organizações a inovar e otimizar suas práticas
e ferramentas de gestão para aproveitar as oportunidades criadas por um ambiente
de negócios tão complexo, dinâmico e incerto. O contato singular mantido com
universidades e grupos de discussão no Brasil, EUA e Europa, permite à ELO trazer
o Estado da Arte e da Técnica de Gestão de Processos (BPM) e Governança,
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 87
GRC FAQ v1.0
Riscos e Compliance (GRC) para a realidade prática das organizações com
bastante simplicidade e efetividade.
Ao longo de sua trajetória, a ELO Group já desenvolveu soluções flexíveis e com
alto grau de conhecimento embarcado para tratar com inteligência e objetividade
toda a complexidade e incerteza existente em segmentos como seguros;
telecomunicações; finanças; mineração; petróleo e gás; construção; manufatura;
varejo; petroquímica; biofármacos; propaganda e mídia; governo.
A ELO Group desenvolve cada um de seus projetos com uma solução única,
entendendo o equilíbrio entre preço-desempenho-diferenciação e customizando a
solução que melhor se encaixa às necessidades e especificidades de cada cliente.
Desta forma, a ELO combina com inteligência e eficiência o uso de soluções
tradicionais para problemas já conhecidos com a criação de inovações e diferenciais
competitivos em gestão.
© Setembro 2008. ELO Group
www.elogroup.com.br
Página 88