As capacidades de gestão do risco empresarial de muitas organizações não estão tão integradas como deveriam estar, deixando-as vulneráveis a riscos legais, financeiros, regulamentares e de reputação.
Esta é apenas uma das muitas conclusões principais de um novo relatório de referência sobre governação, risco e conformidade, realizado pela Compliance Week em parceria com a Riskonnect. O inquérito também revelou que:
- 44% dos inquiridos normalizaram alguns processos e tecnologias, mas não em toda a empresa.
- 35% dos inquiridos afirmaram que os seus processos e tecnologias permanecem em grande parte isolados.
- 20% dos inquiridos afirmaram que os seus processos e tecnologias estão bem integrados em toda a organização.
Saber vs Fazer
Embora os profissionais do risco saibam que é melhor gerir o risco de forma holística – e utilizar a tecnologia para o fazer – saber não é o mesmo que fazer. “Na minha experiência, a maioria das organizações depende de soluções localizadas e manuais para todos os tipos de necessidades de gestão de riscos”, diz Quin Rodriguez, vice-presidente de estratégia e inovação da Riskonnect. “Isto resulta em teias complexas, confusas e emaranhadas de sistemas de TI e fontes de dados que não podem suportar uma gestão eficaz dos riscos empresariais.”
Menos de um terço dos inquiridos (28%) estão “muito confiantes” de que são capazes de identificar ameaças que dão origem a riscos e necessidades de conformidade. Aproximadamente 8% não estão confiantes de todo e os restantes estão “um pouco confiantes”.
Visando a integração
“Se a gestão integrada de riscos é o objetivo da empresa, uma estratégia fundamental para que a gestão de riscos funcione de forma eficaz e eficiente em toda a empresa é adotar uma estrutura unificada e criar um vernáculo comum de riscos”, acrescenta.
De acordo com o inquérito, os cinco principais indicadores de desempenho seguidos pelos inquiridos são
- Número de alegações fundamentadas de má conduta (50,44%)
- Cobertura de riscos (46,02%)
- Número de violações de controlo (42,28%)
- Número de falhas nos ensaios de controlo (37,17%)
- Custo total das actividades de risco, conformidade e controlo (30,09%)
No entanto, apenas 21% dos inquiridos afirmam estar “muito confiantes” na capacidade da sua organização para associar cada controlo a um determinado risco ou requisito. Cerca de 14% não estão de todo confiantes e os restantes situam-se algures no meio.
A responsabilidade de liderar a estratégia de integração dos processos GRC recai mais frequentemente sobre o diretor de conformidade (29%), seguido do diretor de riscos (21%). Cerca de 1 em cada 5 inquiridos afirmou não ter essa função.
Independentemente de quem lidera a tarefa, é essencial poder atribuir a responsabilidade por cada risco, requisito e controlo a uma pessoa ou função específica. No entanto, apenas 24% dos inquiridos estão “muito confiantes” de que a propriedade é atribuída a uma pessoa específica. Outros 61% estão apenas um pouco confiantes e 15% não estão de todo confiantes.
“Isto é preocupante porque se não designas um proprietário para um risco, como é que o geres? Quem é que responsabilizas?”, diz Rodriguez.
A maioria dos inquiridos (64%) também afirmou estar apenas moderadamente confiante na capacidade da sua organização para mapear os riscos para os factores de risco em todas as funções e 18% não estão de todo confiantes.
“Ter a capacidade de integrar mais pontos do negócio permite às organizações automatizar realmente o processo de controlo de riscos”, explica Rodriguez. “Permite que as pessoas vejam o cenário de risco muito melhor do que antes e compreendam o impacto que tem na sua organização.”
O inquérito foi realizado pela Compliance Week, em parceria com a Riskonnect. Um total de 113 executivos de conformidade, risco e auditoria de todo o mundo foram inquiridos para obterem uma leitura das capacidades de gestão de risco das suas organizações, da sua eficácia no mapeamento de riscos, das métricas que seguem e muito mais.
Descarrega o inquérito
Para obter mais informações sobre os resultados do inquérito, bem como uma visão realista dos programas de conformidade empresarial, participa no nosso webinar, Keeping Up with the Speed of Risk in the Digital Age, no dia 5 de setembro, às 13 horas. EDT. Quin Rodriguez e Jason Mefford discutirão a revolução digital, o seu impacto no risco e na conformidade e a forma como as organizações estão a reagir.
Regista-te agora