A cada dia mais ouvimos falar de Governança, Gestão de Riscos e Compliance dentro das empresas. Nada disso é novidade na área de TI, que sempre lidou com riscos e cumprimento de normas. De uma forma geral, antes, era possível até mesmo uma grande empresa manter riscos, controles e processos em arquivos simples. Hoje, com o volume de trabalho sistemático, não mais.
A quantidade de dados em apenas um setor já torna esse controle complexo. Se pensamos em auditoria então, é necessário armazenar e disponibilizar todos esses dados de uma forma organizada. Manter arquivos com todos os processos, riscos, controles, incidências, responsáveis, contatos, questionários, conversas, atas de reuniões… É fácil entender por que a TI está cada vez mais envolvida nessas áreas.
Começa a surgir a necessidade de transformar o que é sistemático em sistêmico. E quando pensamos nos requisitos necessários para esses processos, o desenvolvimento de uma solução “tailored-in” não é algo trivial. Talvez por isso tenham aparecido diversas ferramentas que dizem se ajustar a essas necessidades, mesmo que a função original não tenha sido especificamente para essa finalidade. Mas é aí que precisamos ter cuidado. Muitas vezes, ser possível não significa, necessariamente, adequado. Muito menos correto.
Neste sentido, um caso marcou minha jornada profissional e cabe trazê-lo aqui para exemplificar quando o possível é inimigo do adequado. Um dia, o departamento de recursos humanos de uma empresa em que eu trabalhava resolveu montar um pequeno questionário para entender a satisfação interna e como estavam as relações de trabalho. Era um empresa pequena, com não mais de 50 funcionários. Nada mais comum que montar uma planilha, enviar por e-mail, esperar as respostas e depois consolidar os dados, correto? Pois é, não foi tão simples assim.
Metade dos funcionários nem tinha acesso ao e-mail corporativo, muitos trabalhavam com entrega de mercadorias fora do ambiente do escritório. Do restante, uma parte não lia e-mails com frequência ou não tinha acesso a ferramentas para abrir a planilha (algo comum há uns anos). Resultado, foi preciso imprimir o tal questionário e consolidar manualmente. E deu tanto trabalho e tomou tanto tempo, que nunca foi possível ver o resultado do questionário.
Isso só aconteceu porque por mais que uma planilha possa ser usada para montar um questionário e permitir a consolidação dos dados, não é própria para isso. O mesmo acontece com softwares diversos adaptados para cuidar de GRC. Talvez uma solução já conhecida sirva, ou até uma planilha, mas, no final, não é o mais adequado.
Ferramentas de GRC são especialmente benéficas ao permitir que as organizações consigam aproveitar as informações da empresa em sua totalidade, de maneira a ser possível supervisionar políticas, gerenciar riscos e garantir a conformidade, com estratégias efetivas e que permeiem comumente as várias unidades de negócios. Algo que planilhas isoladas ou sistemas “possíveis” não conseguiriam entregar.
Uma pesquisa conduzida pela OCEG, com 253 organizações de diferentes tamanhos e indústrias e participação global, revelou que 91% acreditam que ferramentas isoladas e sistemas fragmentados são uma restrição significativa no desenvolvimento eficiente de relatórios GRC. Outro dado relevante é que 83% dos entrevistados que utilizam uma tecnologia para gestão de GRC unificada concordam que possuem processos de governança de dados claramente definidos para coletar e analisar dados GRC contra apenas 20% daqueles que não contam com uma tecnologia adequada para isso. O relatório conclui que a integração traz eficiência, eficácia e resiliência com insights significativos.
Eu sei, buscar uma solução adequada será mais complicado do que tentar adequar esses novos processos a uma solução já conhecida. Treinar, ajustar a usabilidade e expectativas do usuário, configurar uma ferramenta própria e específica de um assunto relativamente novo irá tomar bem mais tempo do que simplesmente disponibilizar um espaço de armazenamento. Porém, a longo prazo, o benefício com certeza será sentido. E o retorno, no final, serão processos mais adequados às necessidades da empresa e dos funcionários.
*Por Mário Neto, advogado, data engineer e especialista em robotização de processos na MarketTrends, distribuidora da solução GlobalSuite no Brasil.