Um programa de governação, risco e conformidade pode ajudar uma organização a lidar com a incerteza, evitar surpresas e atingir os objectivos empresariais. Todas as organizações têm alguma forma de GRC, mesmo que não tenham esse nome. Afinal, quem não se preocupa com regras e normas para gerir a organização, identificar e gerir potenciais perigos e cumprir os requisitos regulamentares para evitar multas e penalizações? No entanto, com demasiada frequência, cada departamento – risco segurável, finanças, controlos internos, saúde e segurança e conformidade empresarial – faz o seu próprio trabalho. Alguns utilizam software, outros utilizam folhas de cálculo e outros utilizam o correio eletrónico. Nada é consistente ou está ligado. A organização atual tem de ser capaz de ver o quadro completo do GRC. Tem de compreender cada risco, como os seus riscos se interligam e como se alinham com os seus objectivos. Se ainda estiveres a operar em silos, podes estar a precisar de uma atualização. Aqui está como construir o teu caso de negócio para um melhor programa GRC.

Como é que geres atualmente o GRC?

Antes de definir melhorias e construir o seu caso de negócio, é necessário ter uma compreensão clara de como os componentes do GRC são atualmente geridos na sua organização. Começa com uma análise minuciosa dos teus processos, pessoas e sistemas actuais em torno do risco empresarial, conformidade, relações com terceiros e políticas. Considera:

  • Que processos e tecnologias tens em vigor? A quem pertencem esses processos? O que é que eles realmente fazem?
  • Como é que a informação relacionada com o GRC é partilhada na tua organização? Estás a olhar para a mesma informação ou ela está isolada em diferentes departamentos? As tarefas estão a ser repetidas porque a informação não é facilmente partilhada? Por exemplo, pode verificar que as TI gerem o risco e a conformidade em folhas de cálculo, a conformidade gere os requisitos regulamentares com uma base de dados antiga e o risco segurável utiliza software.
  • O que está a funcionar e o que não está? Se alguns departamentos estão a fazer as coisas bem, alarga essa informação a outros que possam estar a ter dificuldades em gerir os riscos que lhes pertencem.
  • Como é que os teus processos estão a servir as tuas necessidades empresariais? Tens informação suficiente sobre o risco para tomares decisões sobre o futuro da empresa? Tens a informação necessária para tomar medidas atempadas para evitar ou mitigar perdas? Conheces a tua exposição ao risco ao nível da empresa, dos processos e da tecnologia?

De que melhorias GRC precisas?

Mesmo os programas GRC mais maduros geralmente têm espaço para melhorias. Encontra os pontos críticos em que seu programa não é eficaz, não é eficiente ou não é ágil. Michael Rasmussen, especialista em GRC e colaborador do webinar Risk@Work, chama isso de Inferno de Dante do GRC. “Há uma complexidade desnecessária, informação desperdiçada, recursos desperdiçados, custos elevados, duplicação, redundância, fragmentação e coisas que escapam porque todos estão a ir em direcções diferentes.” Onde podes desenvolver a tua arquitetura para apoiar as necessidades de governação, risco e conformidade da organização – e onde podes aproveitar a tecnologia para simplificar os processos manuais? A gestão do risco depende da governação para definir o contexto e da conformidade para garantir que os controlos estão implementados e a funcionar. Tens de ser capaz de reunir as três partes do GRC para atingir os objectivos de forma fiável, lidar com a incerteza e agir com integridade. Qual é o teu roteiro para conseguir este painel único de vidro? Considera:

  • Quais são os teus processos comuns de identificação e avaliação de riscos, conformidade, monitorização de controlos, gestão de políticas e gestão de fornecedores?
  • Como é que esses processos devem funcionar em cada departamento, bem como entre departamentos?
  • Que tecnologia é necessária para apoiar esses processos?

Como é que vais lá chegar?

“Muitas organizações estão a abordar o GRC com processos manuais e muitos documentos, folhas de cálculo e e-mails. É o que eu chamo de inevitabilidade do fracasso”, diz Rasmussen. Também adverte contra a compra da tecnologia em primeiro lugar e, em seguida, tenta descobrir os seus processos GRC. “Mas precisas de tecnologia e arquitetura de informação que possam recolher e distribuir pontos de dados GRC, fornecer contexto, analisar relações e criar itens de ação. A tecnologia é a cola que mantém tudo o resto junto.” A tecnologia GRC ajuda-te:

  • Define um vocabulário comum para o risco em todas as disciplinas.
  • Estabelece uma fonte de verdade.
  • Normaliza processos, práticas e políticas.
  • Esclarece as funções e responsabilidades das tarefas GRC.
  • Facilita a comunicação e a colaboração entre funções.
  • Proporciona transparência na tomada de decisões e na partilha de informações.

Cria o teu caso para um GRC de nível superior

Agora que sabes para onde queres ir e o que precisas para lá chegar, o passo seguinte é comunicar a tua estratégia, o valor e o que as partes interessadas podem esperar daqui para a frente. Começa pela eficiência. Este é um cálculo tradicional do ROI de tempo e dinheiro poupados. Pensa no custo difícil de gerir documentos, folhas de cálculo e e-mails e de andar atrás de coisas que estão preenchidas a meio ou não preenchidas, em vez de gerir o risco. Talvez um relatório que atualmente demora 200 horas a elaborar passe a demorar um minuto com os processos e a tecnologia adequados. Isso representa uma poupança significativa para a organização. Eficácia é maior precisão. Ganha eficácia quando menos coisas passam despercebidas, quando a exposição ao risco é reduzida e quando diminui a probabilidade de uma multa ou sanção de conformidade. Eficácia é uma maior integridade, exatidão e uma maior produtividade. E sabe quem são as partes interessadas e o que podem conseguir com um programa GRC atualizado. Tens de comunicar o valor a cada membro da tua comunidade de partes interessadas. O que é que eles realmente querem?

  • A governação quer dados e informações de qualidade no seu contexto.
  • O risco quer a capacidade de integrar a gestão do risco no planeamento estratégico, manter uma visão de 360 graus dos riscos organizacionais e afetar eficazmente os recursos para fazer face a esses riscos.
  • A ética e a conformidade pretendem uma cultura empresarial e práticas estabelecidas para prevenir a má conduta, inspirar a integridade, detetar problemas e melhorar os resultados.
  • As finanças pretendem reduzir os custos e otimizar a forma como o capital é atribuído aos processos de governação, risco e conformidade, de modo a que o GRC esteja mais bem alinhado com o negócio.
  • As funções de auditoria e de seguros pretendem ir além dos processos financeiros e avaliar a conceção e o funcionamento dos controlos de governação, risco e conformidade.
  • O departamento jurídico pretende estabelecer práticas sólidas para enfrentar os seus riscos jurídicos, melhorando simultaneamente a capacidade de defesa da organização.

A nível executivo, a maior parte dos ouvidos irão apertar-se com o ROI das eficiências obtidas com um programa GRC elevado. A eficácia, no entanto, pode ser subestimada, a menos que seja explicada em termos relacionáveis. Por exemplo, uma gestão de risco mais eficaz poderia reduzir o risco residual, o que teoricamente poderia permitir que a empresa assumisse um risco mais estratégico dentro do mesmo apetite de risco. Um risco mais estratégico pode levar a uma maior rentabilidade. Isto é algo em que a liderança executiva estará definitivamente interessada. Um argumento comercial bem sucedido para o GRC requer a participação da equipa certa, com a liderança certa, que pode fazer com que as pessoas trabalhem em conjunto para fornecer uma perspetiva empresarial, utilizando factos claros e convincentes sobre eficiência, eficácia e agilidade. Isso faz com que o teu caso de negócios para GRC.

Para saber mais sobre GRC, faz o download de Governance, Risk, and Compliance: O Guia Definitivo, e confere as soluções de software GRC da Riskonnect.