Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


FALSIDADE DOCUMENTAL NOS PROCESSOS ELETRÔNICOS

Veja aqui a programação deste inédito treinamento programado para o dia 20/12 em São Paulo

Acompanhe nosso Twitter

30/05/2011 - administradores.com.br Escrever Comentário Enviar Notícia por e-mail Feed RSS

Controles Internos, Segurança, Continuidade? êta confusão!

Por: Jeferson D'Addario


Ainda me surpreende a confusão de algumas administrações, mesmo depois de tanto se falar no tema Governança, Riscos e Conformidade. Esta confusão vem criando transtorno ao invés de soluções, e principalmente custos e burocratização desnecessária.

Primeiramente, vamos alinhar os conceitos para:

Governança: Segundo o IBGC (www.ibgc.org.br), "Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, conselho de administração, diretoria e órgãos de controle. As boas práticas de governança corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso ao capital e contribuindo para a sua longevidade."

Gestão de Riscos: Segundo a ABNT NBR ISO/IEC 27001:2006, "atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. Nota: A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT ISO/IEC guia 73:2005]"

Conformidade: Segundo a CNI (Confederação Nacional da Indústria), qualquer atividade com o objetivo de determinar, direta ou indiretamente, que os requisitos aplicáveis são atendidos. Estes requisitos podem estar estabelecidos numa norma ou em outro documento equivalente, como um regulamento técnico ou uma especificação. Assim sendo, avaliar e testar que um produto, serviço, sistema ou pessoal atende aos requisitos de uma norma é um instrumento poderoso para o desenvolvimento empresarial e para a proteção do consumidor. As organizações que adotam a avaliação da conformidade beneficiam-se pelo aumento de sua competitividade.

Tenho visto muitas empresas passando dificuldades em relação a GRC, e principalmente profissionais assumindo processos que jamais serão capazes tocar ou apresentar bons resultados.

Um exemplo:

Lecionando nestas últimas semanas, tive em sala de aula uma Gerente de Compliance, fazendo curso de Gestão de Continuidade de Negócios. Quando a questionei: Por que estava fazendo o curso? Ela respondeu: – Estou fazendo, pois, preciso atualizar e manter o PCN da empresa que trabalho.

Ops! Questionei novamente: – De qual área você é, e quais suas atribuições? Ela respondeu com mais detalhes: – Sou gerente de compliance e sob minha responsabilidade estão o PCN, processos, risco operacional, segurança da informação e política e normas.

Ops2! Então indaguei: – Ué! Por que tudo isso? Ela respondeu: Sei lá, acho que tudo que tem nome diferente ou a Diretoria não entende direito mandam pra minha área. E o pior é que não querem investir nem em capacitação. E a equipe é somente duas pessoas seniores e uma estagiária.

Entenda a problemática:

Trata-se de uma instituição média do setor financeiro. Ela possui muitos regulamentos e leis a seguir, e um amplo campo para fraudes e interrupções de serviços.

Gestão de Riscos, Segurança da Informação e Continuidade de Negócios, são assuntos (domínios) de riscos estratégicos, e o ideal é que sejam mantidos por equipes diferentes. Porém, sabemos que devido a equipes reduzidas e custos, muitas vezes quem assume isto tudo é o CSO – Chief Security Officer ou o CISO – Chief Information and Security Officer. Na falta destes, o mais lógico seria colocar isto sob responsabilidade de um executivo ou estabelecer um cargo de Risk and Security Officer. Deixar nas mãos de TI, sem capacitação e foco, poderia apresentar muitos problemas também.

Governança, Riscos e Conformidade, deveriam ser encarados pelas instituições como 3 grandes fases da gestão, e endereçadas nas 3 camadas da Gestão Corporativa, entenda a seguir:

Governança – trata-se de assunto estratégico, e resumindo é definir para onde se vai, definir as marcas e prestar contas sobre a evolução.

Riscos – trata-se de um conjunto de assuntos/domínios, entre eles segurança e continuidade que identificarão, contabilizarão e tratarão os riscos de forma preventiva e corretiva, definindo controles que precisarão ser monitorados e acompanhados.

Conformidade – trata-se do GRANDE PARCEIRO, que deve ajudar os dois acima a definirem bem seus controles, a traduzir as metas estratégicas em documentos formais das intenções da Alta Administração (políticas e normas) para que sejam introduzidos no dia-a-dia da organização, e como ferramenta verificar se os controles definidos pelos acima estão fazendo a coisa certa, no lugar certo e a CULTURA ORGANIZACIONAL está se adaptando. Ele poderá ajudar muito nas definições das métricas e indicadores.

Note que, se a 1a. FASE de GOVERNANÇA não entende bem as outras duas, provavelmente teremos estes equívocos da gestão, usando um nome menos agressivo. Se a 2a. FASE de RISCOS não entende o NEGÓCIO e SEUS OBJETIVOS ESTRATÉGICOS (definidos pela 1a. FASE) creio que não saberá exatamente o que proteger e por que proteger (estamos falando de proteção de alto nível). Se a 3a. FASE de CONFORMIDADE não entende o que a GOVERNANÇA quer e o que está sendo implementado por RISCOS, e não há um TRIANGULO DE GRC estabelecido em parceria, acho que tudo está comprometido, e talvez sua empresa goste mesmo de PERDER TEMPO E DINHEIRO!

Para aquele empresário do tempo das cavernas que acha que estas áreas só são necessárias por causa das regulamentações existentes e para aguentar os chatos dos auditores, acho que é melhor ir pensando na aposentadoria! Você já é ultrapassado e gosta de gastar dinheiro. Espero que seus sócios e acionistas não saibam destas barbeiragens.

Dicas:

1. Crie uma área de Gestão de Riscos, preferencialmente alinhada à Diretoria Geral.
2. Atribua responsabilidades para a Alta Administração e tenha seu apoio formalizado
3. Crie um Comitê de Gestão de Riscos multidisciplinar (10 pessoas no máximo)
4. Defina profissionais e capacite-os para Governança Corporativa, Riscos e Conformidade. Um Diretor para alinhar com a Alta Administração e traduzir as diretrizes e objetivos estratégicos para os outros dois, que são: Um Gerente de Riscos (que pode ter em sua equipe um Security Officer (em empresas menores, poderá ficar com segurança de TI, segurança da informação e continuidade de negócios. Já nas maiores, recomendo cada assunto ter um profissional cuidando)), e por último o Gerente de Conformidade, que poderá, além de verificar os controles estabelecidos e implantados por Riscos, cuidar e validar as políticas e normas.
5. Existe ainda um 4o. e muito importante parceiro, a área de Processos (mapeamento e modelagem), que é muito importante e deveria ser independente, porém, parceira subsidiando Riscos e Conformidade com uma documentação rica em detalhes de cada processo até o nível das atividades realizadas, e juntos apresentariam ótimos resultados.

Parece o melhor dos mundos? Acredite é o mais fácil e correto caminho.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 238 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2017 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal