Pretendo escrever uma série de artigos sobre as temáticas presentes no título deste: Compliance, Governança, Riscos e a Lei Geral de Proteção de Dados (LGPD). Quantos e quais serão os próximos? Não sei! Depende do momento, de pedidos e dúvidas dos leitores, das dificuldades que surgirem na implantação da LGPD. Enfim, não sei!
Os componentes da tríade conhecida como GRC (Governança, Riscos, Compliance) não andam sós. Na prática, os três são um. Como assim? Explicarei. Ainda que resumidamente. Só que também já adianto que a tal GRC tem seus dias contados… Já vem sendo substituído aos poucos pela IRM (Integrated Risk Management) ou, em português, GIR (Gestão Integrada de Riscos).
Não se preocupe, nem com a quantidade de informações, nem com a sopa de letrinhas e muito menos com a morte anunciada da GRC. Mas preocupe-se com a LGPD, essa veio para ficar! E que bom que veio.
Vamos lá… compliance, apesar de terminologicamente definido no padrão ABNT NBR ISO 19600:2014 (Sistema de Gestão de Compliance – Diretrizes), não tem uma definição lá muito clara (neste padrão). É possível, contudo, depreender compliance como o atendimento a todos os requisitos[1] aos quais uma organização escolhe ou tem a obrigação de cumprir.
Consta também da ISO 19600, na parte que relaciona o sistema de gestão de compliance com os princípios da boa governança que o “sistema de gestão de compliance deve refletir os valores, objetivos, estratégia e riscos de compliance”.
Sob a perspectiva da gestão de riscos, as versões anteriores do COSO II ERM (2013) e da ABNT ISO NBR 31000:2009 traziam, cada uma a seu modo, quatro objetivos/categorias de riscos: estratégicos, operacionais, informacionais e de compliance. Ou seja, são os quatro grandes grupos pelos quais os riscos de uma organização se distribuem.
Percebeu como governança, riscos e compliance estão intimamente ligados? Princípios de governança devem ser observados no compliance que por sua vez era uma categoria na gestão de riscos!
Bem, e por que sempre vemos governança, riscos e compliance de forma estanque? Por varias razões! Por finalidades didáticas, facilitando o entendimento; para que sejam priorizadas as necessidades da organização, começando a implantação de uma destas boas práticas baseando-se nos pontos de dor; para propiciar a especialização de pessoas e unidades organizacionais nessas temáticas; entre outras. Enfim, o importante é saber que não basta começar pelo compliance e parar por aí, há que se perceber que ele faz parte de algo maior: do quase finado GRC.
Entendi! Mas e quanto à Gestão Integrada de Riscos e à Lei Geral de Proteção de Dados? Calma, estamos apenas no início da jornada e tais questões serão tratadas nos próximos artigos. Até breve e obrigado pela leitura!
[1] Dentro do contexto de compliance, entenda requisitos como sendo o conjunto de leis, regulações, permissões, licenças, portarias, instruções, acórdãos ou sentenças, tratados, convenções, protocolos, padrões industriais ou organizacionais, melhores práticas, normativos internos, políticas e procedimentos internos, códigos de ética e expectativas da comunidade.