Compliance, Governança, Riscos e a Lei Geral de Proteção de Dados. A jornada! (Parte II)

7 de maio de 2019

Compliance, Governança, Riscos e a Lei Geral de Proteção de Dados. A jornada! (Parte II)

Escrito por

No primeiro artigo desta série, demonstrei a forte relação existente entre a Governança, a Gestão de Riscos e o Compliance – afirmei, inclusive, que os três são uma coisa só; anunciei a morte (não trágica) da GRC e sua substituição pela IRM e afirmei que a LGPD veio para ficar!

Aprofundemos agora na morte da GRC e sua substituição pela IRM, mas antes contarei uma história… Embarque comigo. Imagine-se em um navio de cruzeiro partindo do Brasil para os Estados Unidos.

Ao entrar no navio você passa pelo detector de metais, seu passaporte e visto são checados, sua bagagem identificada e submetida aos raios-x. A seguir, você é encaminhado a uma área comum para explicações sobre segurança a bordo, sobre o que fazer e por onde sair em casos de emergência.

Pronto, a partir daí é só diversão, finalmente pode ir ao seu quarto, arrumar suas coisas e aproveitar o passeio, as instalações e as conveniências do navio.

No caminho para o quarto, você observa a tripulação trabalhando discretamente: a limpeza impecável, funcionários distribuindo álcool em gel para os passageiros higienizarem as mãos, a alimentação servida nos locais e horários adequados, as opções de entretenimento realmente divertindo as pessoas.

Tudo perfeito, exceto por um detalhe… Seu navio aportou. As pessoas desceram e tiveram uma surpresa. Esperavam desembarcar na Flórida, afinal foi este o cruzeiro que compraram, mas desembarcaram em Lüderitz, litoral da Namíbia!!!!

Ok, o passeio foi maravilhoso, Lüderitz é linda, o navio retornou ao Brasil, os passageiros foram ressarcidos e nós vamos desembarcar de volta a este artigo.

Detector de metais, checagem de documentos, identificação de bagagem, raios-x, explicações sobre segurança a bordo e sobre procedimentos de emergências são tratamentos para riscos relacionados à segurança, são riscos operacionais.

Cuidados como a limpeza, o álcool gel, a alimentação em hora e local adequados são tratamentos para os riscos relacionados à saúde dos tripulantes e passageiros, também são riscos operacionais.

Ótimo! Os riscos operacionais foram adequadamente gerenciados, contudo o navio pegou a rota errada e foi parar na África, não nos EUA. A conclusão é: pouco adianta gerenciar adequadamente os riscos operacionais se o rumo (a estratégia) está errado. É aqui que entra a IRM.

Nas organizações, em geral, inicia-se a gestão dos riscos pelos riscos operacionais e raramente chega-se à gestão dos riscos estratégicos. A principal proposta da Gestão Integrada de Riscos (ou Integrated Risk Management – IRM) é extinguir as categorias de riscos (estratégicos, operacionais, de conformidade e de comunicação) e iniciar a gestão de riscos junto com o planejamento da estratégia da organização, desta forma, a chance de a estratégia estar inadequada, equivocada ou errada é menor. Ou seja, busca-se garantir que o rumo está correto.

Este movimento pode ser percebido tanto no COSO II ERM (Enterprise Risk Management), versão 2017, quanto na ISO 31000:2018. O COSO perdeu as categorias de objetivos e a ISO as categorias de riscos. O COSO II ERM ganhou até um sobrenome pomposo: “Integrado com Estratégia e Performance”.

Gerenciando-se os riscos estratégicos, fatalmente chegam-se aos riscos operacionais, pois são os processos operacionais que suportam os objetivos e metas estratégicos. Desta forma, além de procurar garantir que o rumo do navio está correto, busca-se assegurar que as operações adequadas também estejam. Se o capitão do nosso navio hipotético houvesse aplicado a IRM ele teria chegado aos EUA conforme previsto e, também, mantido a qualidade das atividades operacionais!

É o prenúncio da morte da GRC, pois já vem dando lugar à IRM. Não se preocupe, as principais atividades da governança, dos riscos e do compliance não irão mudar, mas a perspectiva a partir de agora é a dos riscos. Sempre deveria ter sido, mas a execução inapropriada por grande parte das organizações fez o mercado mudar para demonstrar a importância dos riscos estratégicos.

Concluímos esta viagem, digo, este artigo. No próximo veremos a relação da LGPD com o Compliance, com a Governança e com os Riscos. Até lá!