Governança, para o mundo corporativo, para facilitar para o meu lado, acho mais apropriado associar ao inglês governance, ato, fato ou maneira de governar; regra, controle (dicionário Oxford).

Para Riscos, tentarei elaborar um pouco mais.  Risco é o que se desdobra da probabilidade associada ao impacto causado por alguma ameaça.  Assim, como exemplo de risco, podemos considerar a ameaça de um corpo celeste de grandes proporções colidir com a terra.

Ainda sobre riscos, na ISO 31000 consta:

Risco: efeito da incerteza nos objetivos

NOTA 1 – Um efeito é um desvio em relação ao esperado – positivo e/ou negativo.

NOTA 2 – Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de saúde e segurança e ambientais) e podem aplicar–se em diferentes níveis (tais como estratégico, em toda a organização, de projeto, de produto e de processo).

NOTA 3 – O risco é muitas vezes caracterizado pela referência aos eventos potenciais e às consequências, ou uma combinação destes.

NOTA 4 – O risco é muitas vezes expresso em termos de uma combinação de consequências de um evento (incluindo mudanças nas circunstâncias) e a probabilidade de ocorrência associada.

NOTA 5 – A incerteza é o estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua compreensão, seu conhecimento, sua consequência ou sua probabilidade. 

Conformidade é simplesmente estar conforme, coerente, em harmonia, estar de acordo com alguma coisa, com um padrão, um modelo, uma referência. Por exemplo, estar em conformidade com um conjunto de regras ou de requisitos, sejam eles legais, regulatórios ou corporativos.

A combinação desses três componentes, Governança, Riscos e Conformidade, aplicada ao universo organizacional, ao mundo corporativo, está cada vez mais impregnada na execução estratégica.  Está presente nos cuidados com o meio ambiente, nos cuidados com os consumidores, nos cuidados com os produtos, de sua concepção, passando por sua produção e entrega, com os controles e relatórios financeiros, na gestão dos recursos humanos e no cuidado com os ativos de informação, estando esses últimos associados ou não a tecnologias (vale para pastas e documentos em gavetas e armários, tanto quanto para informações em formato digital, em bancos de dados e pastas em computadores).

Normalmente, em tempos recentes, a primeira pergunta a ser repondida pelo gestor diz respeito à governança.  Como sua organização é “governada”, quais são os parâmetros, quais os indicadores, como sabe que está entregando os resultados esperados, quem são seus stakeholders (ou ‘partes interessadas’, como alguns traduzem).

Como fundamento, uma organização deve ter um sistema robusto de governança, criando, implementando, assegurando que todos na organização estejam cientes (‘awareness‘) e treinados em um arcabouço contendo Políticas, Procedimentos, Instruções de Trabalho, Padrões, Guias e Linhas de Base.

Processos, entradas, saídas, parâmetros de produtividade e indicadores devem estar claramente definidos e embutidos nesses conjuntos de documentos.  Como referência, a norma ISO 9000 pode servir de guia ou de exemplo, quando não SER a própria guia de implementação (sistema de governança baseado em uma norma de qualidade).

Em Tecnologia da Informação, as referências podem ser encontradas no CObIT, ITIL, NIST, CIS, CMMI.  Comumente a sistemática de governança em TI envolve a combinação desses frameworks.

Para melhoria contínua, um ciclo de Avaliação de Controles, Constante Monitoramento e planos de ação de correção, prevenção e melhorias deve estar vigente.  A maturidade de uma organização pode ser medida pela verificação se um controle associado a um framework está ou não vigente, e em que nível (tomando como exemplo os níveis do CMMI: Incompleto, Inicial, Gerenciado, Definido, Gerenciado Quantitativamente, Otimizado).

Bancos e grandes corporações já têm GRC correndo nas veias há algum tempo, em particular movidas pelos escândalos que levaram à criação do Sarbanes & Oxley Act (SOA ou, mais popular, SOx) e correspondente pressão de entidades como SEC (EUA) ou mesmo nossa CVM. 

Na indústria farmacêutica, em 1941, cerca de 300 mortes e intoxicações resultaram do uso de comprimidos de sulfatiazol, um antibiótico, contaminado com o sedativo fenobarbital. Como resposta, a FDA mudou drasticamente os controles de manufatura e qualidade. Essas mudanças levaram ao desenvolvimento das Boas Práticas de Fabricação (em português abreviado como BPF, do inglês GMP – Good Manufacturing Practices). Assim, no Brasil, é uma exigência de toda indústria farmacêutica estar em conformidade com as BPF, o que é supervionado pela ANVISA.  São requisitos regulatórios com implicação legal (RDC 301, de 21/08/2019, Art. 377. “O descumprimento das disposições contidas nesta Resolução constitui infração sanitária, nos termos da Lei nº 6.437, de 20 de agosto de 1977, sem prejuízo das responsabilidades civil, administrativa e penal cabíveis.”).

(Publicado em 28/Jun/2020; correções ou sugestões de melhoria, favor utilizar a página de Contato do site)