A indústria do risco gosta muito, muito de TLA’s, ainda mais do que a tecnologia (um ‘TLA’ é um acrónimo de três letras, mais um para adicionares ao teu arsenal).
Nós andamos por aí a dar voltas ao GRC. Muito. Mas o que é que significa realmente?
Eu vejo-o da seguinte forma:
- Governação
O G em GRC pode ser qualquer coisa, desde regulamentos governamentais, passando por obrigações contratuais e exigências da sociedade, até às políticas organizacionais. Compreender as obrigações impostas e o potencial impacto na organização é fundamental para a sua sobrevivência. Existem muitos exemplos de falhas de governação, tais como requisitos legislativos anti-suborno mal implementados ou práticas comerciais simplesmente ineptas. Talvez o pior infrator seja a linguagem contratual não específica (“Eu não sabia disso” não é uma resposta útil). - Risco
Aqui é fundamental considerar o risco e a recompensa – na sua forma mais simples, é “não arrisques muito por pouco”. É realmente um equilíbrio entre o que é risco suficiente e risco insuficiente. Quando o risco potencial ultrapassa a recompensa potencial, é melhor teres um controlo realmente eficaz sobre os riscos ou estares preparado para perder tudo. Os exemplos mais simples podem ser encontrados nos muitos eventos mediáticos em que as pessoas fazem as coisas mais estúpidas na esperança de obterem alguma recompensa, como algum dinheiro ou uma fama fugaz. Do ponto de vista das empresas, as coisas são um pouco mais dolorosas: desde notícias nos meios de comunicação social sobre subornos para obtenção de contratos até cortes de custos sem sentido que terminam em indemnizações por danos maciços. - Conformidade
Simplesmente, certifica-te de que as coisas certas estão a ser feitas da forma certa e no momento certo. O truque é não despender tanto esforço que a organização fique paralisada.
Extrair o retorno sobre o investimento (ROI) do GRC é um pouco como encontrar a cidade perdida de Atlântida, o Santo Graal ou até mesmo uma maneira fácil de preencher uma declaração de impostos. É importante, pelo menos, estabelecer alguns parâmetros defensáveis em torno do valor para a organização antes mesmo de se preocupar com toda esta governação, risco e conformidade. Isto pode parecer um pouco negativo, mas estamos num ponto de viragem na forma como tudo isto pode ser reunido de uma forma racional e rentável. A tecnologia mudou todo o sector, mesmo nos últimos 5-10 anos. A criação de uma visão única da governação, do risco e da conformidade em toda a organização faz com que as sobreposições e as lacunas saltem à vista. Com a conetividade atual disponível a custos e tempo muito mais baixos, os gestores podem agora ver todas as partes em movimento e tomar medidas para gerir a governação da sua organização, compreender e responder adequadamente aos riscos que esta governação acarreta e atingir o nível ótimo de conformidade. No entanto, embora o ROI seja difícil de definir com exatidão, o custo principal da tecnologia que alimenta os sistemas integrados de gestão do risco pode ser distribuído à medida que se estende a toda a empresa. A capacidade de trabalhar com outras partes da organização para obter essa visão integrada aumenta o valor da função de Risco para a organização. Longe de ser um centro de custos, o Risco pode tornar-se parte integrante da estratégia da organização e funcionar como esperado. Nada disso substitui a dependência da gerência para gerenciar – mas tornará essa função mais gerenciável.
