Ouvimos constantemente o termo “GRC integrado”. Mas como podem as empresas efetivamente integrar os diferentes aspetos da governança, risco e conformidade e quais são os benefícios?
Neste blogue exploramos todos os diferentes aspetos de um programa GRC, desde riscos, controlos e gestão de incidentes até conformidade, auditorias e até planeamento estratégico, e explicamos como estas funções podem ser integradas para fornecer insights mais profundos sobre o desempenho operacional e exposição ao risco.
Como parte do seu programa GRC, a maioria das empresas tem tipicamente as seguintes funções:
Gestão de risco: A maioria das organizações provavelmente terá um programa de gestão de risco. Terão um registo de riscos e trabalharão para manter esses níveis de risco dentro de um apetite de risco, estabelecendo controlos para reduzir e controlar o risco em áreas de alto risco. Conduzirão avaliações de risco regulares e acompanharão dados transacionais e operacionais para monitorizar os níveis de risco. A maioria das empresas maiores terá múltiplos registos de risco para gerir diferentes áreas de risco como risco operacional, risco estratégico, risco de conformidade, risco cibernético e de TI, e risco de terceiros, e executarão relatórios regulares sobre exposição ao risco.
Controlos: Como parte do seu programa de gestão de risco, a maioria das empresas terá uma série de controlos para mitigar o risco ou manter o risco dentro de um nível tolerável. Os controlos assumem muitas formas, podem ser uma política ou procedimento, podem ser uma verificação de segurança regular, podem ser a implementação de equipamento de segurança, proteção ou TI. As empresas devem manter um registo de controlos ativo e realizar verificações de controlos regulares e testes de controlos para garantir que os seus controlos estão a ter o efeito desejado.
Gestão de incidentes: A maioria das organizações provavelmente tem um processo de relatório de incidentes para funcionários de todos os níveis registarem diferentes tipos de acidentes, incidentes, problemas e eventos. Algumas empresas terão diferentes ferramentas ou processos para registar diferentes tipos de incidentes dependendo da sua categoria e rota de escalamento. Por exemplo, acidentes e incidentes de saúde e segurança podem ser reportados usando um processo, incidentes de RH como divulgações, denúncias e violações de políticas podem ser reportados de forma diferente, e incidentes de segurança de TI e tempo de inatividade operacional podem ter um terceiro processo. A maioria das organizações tem um processo claro para o pessoal registar cada tipo de incidente, que são então normalmente categorizados e escalados em conformidade. O processo de resolução deve ser totalmente documentado até cada caso de incidente ser resolvido.
Gestão de conformidade: A maioria das organizações tem uma lista de diferentes obrigações com as quais deve cumprir. Isto inclui regulamentos, normas, legislação, políticas e documentos de procedimentos operacionais que devem ser monitorizados para conformidade. As empresas tipicamente constroem um “registo de obrigações” de todos os seus requisitos e implementam diferentes procedimentos, processos e políticas para garantir conformidade. As operações devem ser monitorizadas regularmente, e verificações frequentes devem ser realizadas para garantir conformidade. A conformidade estende-se além de uma lista de obrigações, as empresas devem também estabelecer processos claros para conflitos de interesse, presentes e hospitalidade, suborno e corrupção, anti-branqueamento de capitais, verificações de sanções, e o manuseamento de mercadorias perigosas e químicos perigosos.
Gestão de políticas: A maioria das empresas terá uma biblioteca de todas as suas políticas atuais armazenadas num repositório central onde o pessoal pode ler e atestar a política. Também terão processos para acompanhar revisões de políticas e datas de expiração. Deve também haver processos claramente definidos para criar uma política e obter aprovações e assinaturas e alterar políticas, incluindo controlo de versão e documentação de alterações para garantir que todas as políticas estão atuais e atendem às necessidades em evolução da organização.
Auditorias e inspeções: A maioria das empresas realiza auditorias regulares, estas podem ser auditorias externas para alcançar certificação para certas normas ou cumprir regulamentos, ou podem ser auditorias internas ou inspeções para garantir que processos e políticas estão a ser seguidos. Isto pode também incluir verificações de segurança regulares ou verificações de equipamento que precisam de ser inspecionadas e totalmente documentadas. As auditorias precisam de ser planeadas e agendadas antecipadamente, e os resultados e resultados da auditoria precisam de ser capturados consistentemente para fornecer garantia aos auditores e reguladores. Fluxos de trabalho e rotas de escalamento devem ser claramente definidos para abordar não-conformidades e falhas de auditoria para garantir que a empresa permanece conforme.
Gestão de risco cibernético e de TI: A maioria das empresas tem um processo designado para gerir risco cibernético e de TI. Tipicamente terão um registo de risco cibernético e terão uma série de controlos para reduzir o risco cibernético. Terão uma biblioteca de políticas de TI e formação para orientar funcionários sobre uso seguro de equipamento e proteção de dados. Frequentemente terão um processo separado de relatório de incidentes de TI ou sistema de tickets para resolver e escalar incidentes relacionados com TI. A equipa de TI também terá um processo para gestão de ativos de TI e acompanhamento de licenças para monitorizar equipamento envelhecido e expiração de licenças, garantindo que equipamento e sistemas são adequados ao propósito e operam de forma segura.
Saúde e segurança: Muitas empresas gerem saúde e segurança como parte do seu programa GRC. O aspeto de saúde e segurança normalmente envolve capturar e resolver acidentes e incidentes de pessoal, gerir riscos de saúde e segurança com controlos relevantes, e manter uma biblioteca atual de políticas de saúde e segurança. Pode também envolver documentar verificações e inspeções de segurança regulares, gestão de empreiteiros, e manter bibliotecas de ativos para garantir que o equipamento é seguro.
Planeamento estratégico: A maioria dos programas GRC são construídos em torno dos objetivos e metas das organizações, portanto o planeamento estratégico é frequentemente considerado parte do programa GRC geral de uma organização. As empresas devem definir os seus objetivos e mapear a sua estratégia para alcançar os seus objetivos. A estratégia deve ser dividida em projetos, tarefas e ações menores e alocada através do negócio para diferentes partes interessadas para conclusão. Cada tarefa deve ter cronogramas, orçamentos e propriedade claros e à medida que as tarefas são concluídas, isto indica que a estratégia está a progredir e pode avançar para a próxima fase. O sucesso da estratégia deve também ser medido mapeando a estratégia para o desempenho operacional, fornecendo métricas claras sobre se a estratégia está a funcionar e o que pode precisar de mudar. Os riscos estratégicos devem também ser geridos, e os dados de risco devem ser usados para permitir tomada de risco calculada para alcançar a estratégia.
Gestão de risco de terceiros: As empresas frequentemente trabalham com toda uma rede de fornecedores, empreiteiros e prestadores de serviços para simplificar as suas operações e fornecer bens e matérias-primas, portanto os riscos associados com fornecedores e terceiros devem ser cuidadosamente geridos. A maioria das empresas terá um registo de fornecedores, realizará avaliações de risco de fornecedores regulares, acompanhará o desempenho contra SLAs e KPIs, e definirá processos claros para gerir contratos e integração. Muitas também usam fornecedores de inteligência de risco de terceiros para compreender o risco do fornecedor em termos de estabilidade financeira, violações de conformidade, segurança de dados, fiabilidade e processos recentes.
A maioria das organizações provavelmente terá processos para todas estas coisas, algumas podem ser geridas na mesma plataforma, mas muitas empresas provavelmente estarão a usar uma série de aplicações ou sistemas diferentes e uma mistura de ferramentas internas, ou até folhas de cálculo e processos manuais para gerir estas funções importantes. Quando estes processos são geridos em silos usando processos diferentes, tornam-se difíceis devido à falta de integração, governança de dados e relatórios coesos. Mas quando todos estes processos são geridos juntos de forma integrada usando uma plataforma de software GRC holística, os benefícios são substanciais.
Risco e Estratégia: Integrar planeamento estratégico e gestão de risco é vital para gerir um negócio bem-sucedido. Se não sabe quais são a sua estratégia e objetivos, como pode gerir os riscos que poderiam descarrilar a sua estratégia ou tomar riscos calculados em busca dos seus objetivos estratégicos? Um programa de gestão de risco deve começar com a análise da estratégia da organização e gerir os riscos em conformidade. Os riscos devem ser mapeados para cada objetivo estratégico e os projetos e tarefas associados, e quando os níveis de risco são altos, o impacto na estratégia deve ser avaliado e gerido para manter as coisas no caminho certo. Ao centralizar dados, os decisores podem melhor avaliar riscos no contexto de planos estratégicos e os riscos associados, levando a decisões mais informadas e proativas. Ao integrar gestão de risco com planeamento estratégico e desempenho empresarial, as empresas podem alocar orçamento e recursos nas áreas certas para reduzir risco estratégico e garantir sucesso.
Risco e Controlos: Quase nem é preciso dizer que todos os riscos devem ser mapeados para o “controlo” relevante que é posto em prática para mitigar o risco. Alguns riscos podem ter múltiplos controlos, e alguns controlos podem ser desenhados para reduzir múltiplos riscos, por isso é importante que este mapeamento possa ser feito para compreender o impacto do controlo nos níveis de risco associados.
Risco e Incidente: O seu registo de riscos deve estar ligado ao seu registo de incidentes. Isto significa que em áreas onde há muitos incidentes, estes podem ser adicionados ao registo de riscos e a probabilidade do incidente voltar a ocorrer pode ser reduzida com os controlos relevantes. Também significa que riscos que se tornam incidentes reais podem ser automatizados no registo de riscos. Este mapeamento através de incidentes, riscos e controlos permite uma riqueza de resultados de relatórios permitindo às empresas garantir que estão a alocar orçamento e recursos suficientes para reduzir os riscos e incidentes que estão a ter mais impacto e a causar mais problemas.
Conformidade e Auditoria: Conformidade e auditoria são duas áreas que estão intimamente ligadas, por exemplo pode realizar verificações de conformidade com certas normas e regulamentos numa base regular mas também ter uma auditoria externa anual nos mesmos critérios. Ao integrar estas duas áreas numa plataforma GRC, os seus dados de monitorização de conformidade regulares podem ser usados para substanciar a sua auditoria anual. Integrar processos de conformidade e auditoria numa plataforma GRC reduz duplicação de esforços, simplifica fluxos de trabalho e minimiza tarefas manuais, poupando tempo e recursos e melhorando visibilidade e transparência.
Conformidade e Risco: O risco de não-conformidade é um grande risco em si mesmo, é por isso que muitas empresas escolhem integrar as suas funções de gestão de risco e conformidade. Permite que o efeito da conformidade seja compreendido, em termos do impacto para o negócio, e permite que o risco de conformidade seja mitigado com os controlos e políticas relevantes. Isto garante que a organização está totalmente certificada para fazer negócios, fornecendo garantia de que processos e políticas estão a ser seguidos e minimizando risco como resultado.
Saúde e Segurança: Incidentes, Risco e Política: Os programas de saúde e segurança frequentemente envolvem; um processo de relatório de incidentes, gerir riscos relacionados com saúde e segurança com controlos, garantir conformidade com diretrizes de saúde e segurança, e conduzir várias verificações de segurança e auditorias de equipamento. Todas estas áreas devem ser integradas para fornecer uma visão holística do estado e problemas de saúde e segurança através da empresa.
Com todas estas diferentes dependências, correlações e oportunidades de relatórios, é difícil acreditar que tantas empresas ainda não integram todas estas áreas. Claro, para integrar estas funções de forma significativa, as empresas precisam de adotar uma plataforma GRC integrada. Estas soluções de software permitem às empresas centralizar todos os seus processos GRC numa solução holística que oferece uma estrutura de melhores práticas, e fluxos de trabalho prontos a usar, modelos, formulários e resultados de relatórios automatizados para mapear e integrar cada processo e impulsionar relatórios e insights valiosos para apoiar a tomada de decisões.
Pode soar assustador, mas estas plataformas são frequentemente mais fáceis de implementar do que pensa. As empresas podem começar pequeno com áreas como riscos, controlos e incidentes e adicionar mais funcionalidade no futuro à medida que expandem a solução ao longo do tempo. Esta abordagem faseada garante disrupção mínima para a organização durante a implementação. Estas plataformas foram especificamente desenhadas para mapear e alinhar funções GRC e produzir resultados de relatórios valiosos para apoiar tomada de decisões de negócio e alocação de recursos e orçamento. Os seus “dados GRC” existentes podem ser carregados na plataforma para lhe dar uma base para trabalhar, e a abordagem multiutilizador significa que pessoal de todos os níveis pode usar a plataforma para realizar tarefas de rotina como avaliações de risco e verificações de controlos com todos os dados alimentando diretamente na plataforma. Estas plataformas podem integrar com os seus outros sistemas e fontes de dados para usar dados transacionais e operacionais em tempo real para monitorizar níveis de risco e compreender o impacto de risco, conformidade e incidentes no desempenho do negócio.
Se está interessado em saber mais sobre como integrar e automatizar os seus processos GRC usando software GRC contacte a Riskonnect para uma demonstração hoje.
