Conclusões e Agenda de Pesquisa


Da revisão da literatura e das entrevistas, é claro que a gestão de riscos, o compliance e os controles internos estão ficando mais integrados sob uma variedade de contextos de negócios.

Combinando e sintetizando a revisão da literatura e as entrevistas, nós introduzimos uma lista geral de perguntas que parecem relevantes para pesquisas mais aprofundadas na integração entre gestão de riscos e gestão de controles. As perguntas abaixo estão em um nível geral e precisariam ser especificadas sob as configurações de novas pesquisas em potencial.

1 Gestão de Riscos de Processos de Negócio

Existe uma necessidade de pesquisa dentro da área de modelagem de processos de risco relacionados a processos de negócios, pesquisando a padronização de gestão de riscos de processos de negócio e explorando o impacto de vários fatores de contingência em gestão de riscos de processos de negócio. Alguns questionamentos da pesquisa que precisam ser relacionadas são:

1. Como as companhias definem e conceituam riscos de processos de negócio e como eles selecionam controles para mitigarem esses riscos?

2. Como é um entendimento compartilhado dos riscos estratégicos, financeiros e de regulamentação principais para a organização?

3. Como os modelos de processos de negócio podem ser integrados com modelos de processos de controle?

4. Como um risco pode ser modelado para ele ser integrado a modelos de gestão de processos de negócio?

5. Como a eficiência e a efetividade de um sistema de gestão de riscos de processos de negócio são mensuradas?

6. Como o portfólio de riscos de uma empresa muda com a presença de controles automatizados?

7. Como os sistemas ERP incluídos em gestão de riscos em processos de negócio e quais controles são adotados?

8. Quais práticas de gestão de riscos estão estabelecidas considerando ameaças de danos à reputação e quais são os controles existentes?

2 Gestão de Riscos de Processos de Compliance

Existe uma necessidade de pesquisa em relação ao compliance a um nível mais agregado e não apenas com relação a cada função organizacional. Isso poderia implicar um foco geral nos processos gerais envolvendo compliance, em como esses processos atravessam fronteiras organizacionais e geográficas, assim como em exploraro as influências do contexto em compliance e performance de compliance. Perguntas da pesquisa incluem:

1. Quais tipos de processos de compliance existem e como eles podem ser modelados?

2. Como a responsabilidade organizacional por compliance local, regional e global está evoluindo?

3. Como os problemas de compliance global estão sendo geridos nas empresas?

4. Quem são os vários interessados em performance de compliance e como as empresas lidam com isso?

5. Quais papéis e responsabilidades por requisitos de compliance existem nas companhias e quais práticas estão evoluindo?

6. Como um modelo de referência de processos de compliance seria?

7. Como podem as companhias desenvolver sistemas de alerta prévio para compliance?

8. Como podem os custos com não cumprimentos de legislações serem medidos?

9. O compliance liquida as altas cotações das ações da empresa?

10. Como as companhias usam TI para apoiar e consolidar o compliance e como a TI pode apoiar compliance mais efetivamente?

11. O compliance é mais efetivo em empresas com sistemas ERP do que em companhias sem sistemas ERP?

3 Desenvolvimento de Controles Internos

Existe uma longa tradição para a pesquisa em controles internos , especificamente no contexto de gestão de riscos e processos de negócio. Algumas perguntas que poderiam ser feitas:

1. Como os sistemas de controles internos estão evoluindo normalmente e quais estágios de maturidade de ciclos de vida eles atravessam?

2. Como as companhias interpretam o framework de controles da COSO no contexto da SOX? Existe um entendimento comum dos requisitos ou existem diferenças?

3. Como diferentes frameworks de controle se comparam, incluindo COSO, COBIT, WebTrust, SysTrust etc.?

4. Como as empresas estudam e desenvolvem controles internos na companhia como um todo?

5. Quais controles preventivos estão disponíveis para as companhias e como eles se diferem, considerando variáveis de contingente como tamanho, tecnologia, indústria e estrutura?

6. Como a eficiência e efetividade de um sistema de controle interno podem ser estudadas e comparadas, por exemplo, entre diferentes unidades de negócio?

7. Qual é o custo de eficiência de implementação de controles definidos pelo COBIT, comparado com os estudos de risco e efetividade de controles?

8. Os sistemas ERP significam práticas mais eficazes e eficientes de controles internos?

De uma forma geral, pode-se concluir que a intersecção entre gestão de riscos, BPM e compliance se dá muito mais pela necessidade de investigação e de pesquisa acadêmica (isto é, para o bem do entendimento de práticas organizacionais e institucionais), assim como uma pequisa prática para contribuir com o desenvolvimento de soluções melhores, guias e frameworks para companhias.