Estudando a doutrina de monitoramento contínuo e de GRC - Governança, Riscos e Compliance, e conversando com pessoas interessadas neste tema, fica a impressão que implementar monitoramento contínuo é um trabalho infinito, e realmente deve ser...
Uma coisa é certa quando se trata deste assunto: qualquer que seja a área, o resultado do processo costuma ser surpreendente. Coletar informações automaticamente e gerar indicadores de forma dinâmica incentiva e inspira outras áreas e aplicações.
Algumas dicas ajudam a organizar as ações nos desafios corporativos:
1. Gosto de uma frase manjada, mas muito eficiente e utilizada em projetos complexos e mudanças corporativas: "Pense grande, comece pequeno e cresça rapidamente". Pensar em monitorar tudo desde o início pode ser uma armadilha. Começar pequeno é importante, mas deve ser feito de maneira que permita o ganho de escala. Uma representação interessante deste modelo é a Sequência de Fibonacci, uma sucessão matemática na qual cada elemento é a soma dos dois anteriores (0, 1, 1, 2, 3, 5, 8, 13, 21, 34, ...); ela é encontrada em alguns fenômenos da natureza e utilizada em aplicações de negócios como no mercado de capitais e em otimização de geração de energia. Uma forma de representá-la graficamente é na espiral de Fibonacci, na qual os elementos da sequência são o raio de cada quarto de círculo, como mostra o desenho a seguir:
2. Outra recomendação é adotar uma metodologia cíclica e de fácil aplicação e comunicação. Na Módulo adotamos o Módulo GRC Metaframework, um modelo derivado do PDCA e da ISO 31000, implementado através do ciclo Inventariar, Analisar, Avaliar e Tratar. Preferimos um modelo cíclico a um modelo linear, pois ele é mais dinâmico e adequado a processos inovadores e com crescimento rápido. O modelo é representado na figura a seguir:
3. Para a organização da coleta de informações, o Framework Caesars (Continuous Asset Evaluation, Situational Awareness, and Risk Scoring), citado em posts anteriores, organiza a coleta de informações, seja de forma manual ou automática, em: pessoas (questionários, pesquisas, ...), processos (avaliação baseada em padrões), tecnologia (coletores automáticos) e ambientes (sensores). Estes modelos de coleta serão discutidos em um futuro post. O desenho a seguir mostra a base do Caesars, que começa nos ativos e na coleta de informações:
Implementar um projeto de monitoramento contínuo é uma tarefa estimulante e com ótimo valor para a organização. Caso deseje divulgar sua experiência procure-nos. Nos próximos posts vamos analisar algumas experiências.
Abraço,
FNery
O que significa CAESARS? Continuous Asset Evaluation, Security Awareness and Risk Scoring! Gostam de sigla! :-)
ResponderExcluir