GRC: a onda que irá movimentar as empresas

por Alberto Bastos*

Responsável por uma movimentação de US$ 30 bilhões em 2007, nova filosofia alia práticas de Governança, Riscos e Compliance

Empresas de todo o mundo investiram US$ 30 bilhões em GRC ¯ união das iniciais de Governança, Risco e Compliance ¯ durante 2007, um aumento de cerca de 8,5% em relação ao ano anterior. Essa sigla, novidade para alguns, já faz parte do vocabulário de Chief Security Officers (CSOs) e outros profissionais da área de segurança da informação. Trata-se de um modelo de novas práticas que vai alterar significativamente a estrutura de funcionamento das corporações.
O GRC promete redesenhar também o perfil do departamento de segurança da informação, que passará a ter atribuições ainda mais importantes. Se, no passado, cada setor era quase independente, com suas respectivas atribuições, hoje a palavra-chave é integração. E caberá aos CSOs conduzir essa empreitada.
Essa é, sem dúvida, uma mudança positiva. Como precisa se antecipar aos mais diversos riscos e, dessa forma, garantir a continuidade dos negócios, o profissional de segurança da informação deve ter uma visão mais ampla da corporação, não ficando restrito apenas à área de TI. Em uma cultura integrada, as principais vantagens são eficiência e transparência para os processos da empresa, sejam eles quais forem. E, por meio de uma infra-estrutura de tecnologia comum, é possível obter mais colaboração entre áreas como auditoria, financeira, gestão de riscos, jurídica, TI e negócios.
O primeiro desafio dos profissionais hoje é perceber os benefícios dessa mudança. O segundo, implementar a nova cultura. Afinal, trata-se de uma tendência que, cedo ou tarde, chegará às empresas. Segundo aponta um estudo do Gartner Group, mais de 75% dos negócios têm governança de TI ineficiente. Sendo assim, a maioria das empresas será obrigada a rever seus modelos. Em 2008, ainda segundo o instituto de pesquisa, 80% dos serviços de TI irão apresentar alguma falha. Entre as justificativas para esse cenário está justamente a falta de integração entre TI e o restante da organização.
No contexto da Segurança da Informação, o CSO deve adquirir uma visão holística, ou seja, compreender a empresa não como partes isoladas e incomunicáveis, mas como um único conjunto que apresenta interatividade entre os setores. Essa mudança de percepção é um tanto mais complexa porque advém da própria formação acadêmica do profissional, geralmente focada na parte técnica. O desenvolvimento de novas competências, como a habilidade no trato humano, será também bastante exigido.
É importante destacar que as práticas de GRC não se resumem à área de TI. O conceito envolve, por exemplo, riscos financeiros, estratégicos e operacionais, aderência a leis aplicadas a empresas ou relativas à privacidade. Governança, gestão de riscos e compliance certamente são imprescindíveis e, trabalhando em conjunto, as chances de sucesso para a organização aumentam muito. Para isso, cabe às empresas brasileiras implantar ferramentas inteligentes, que possibilitem a convergência entre as áreas e funções envolvidas com GRC, ultrapassando as barreiras do controle puramente tecnológico e englobando os riscos ligados a fatores do negócio.

*Alberto Bastos é sócio-fundador e CTO da Módulo