Enfrentar a governança, o risco e a conformidade em organizações de caridade

As organizações de caridade têm a responsabilidade de utilizar os seus recursos da forma mais eficaz possível e cumprir regulamentos complexos, razão pela qual a gestão eficaz da governança, do risco e da conformidade é fundamental. Neste blogue, exploramos alguns dos principais desafios de risco e conformidade que o setor das ONG e sem fins lucrativos enfrenta e explicamos como a digitalização e a simplificação dos processos podem ajudá-los a manter a conformidade, a criar confiança junto dos doadores e investidores, e a implementar iniciativas valiosas que os ajudem a cumprir os seus principais objetivos.

Com 2023 previsto como um ano de incerteza económica face à ameaça de uma recessão iminente, as organizações de caridade e sem fins lucrativos estão a passar por um período de mudança implacável impulsionado por fatores como a crescente procura de impacto demonstrável das suas atividades, visibilidade das suas despesas e posição ética, e pedidos de prova de conformidade num ambiente regulatório cada vez mais complexo.

Desde a ajuda humanitária e o desenvolvimento internacional, até aos cuidados de saúde, grupos de crianças e jovens, e instituições de caridade que apoiam uma variedade de deficiências, as organizações de caridade, independentemente da dimensão e do perfil, têm de lidar com desafios onerosos em termos de inflação, aumento dos custos, ameaças cibernéticas, hesitação dos doadores e reduções no financiamento governamental.

Tendo em conta os acontecimentos globais atuais e um panorama regulatório e operacional cada vez mais rigoroso para o setor sem fins lucrativos, as instituições de caridade precisam agora, mais do que nunca, de se concentrar na implementação de práticas robustas de governança, risco e conformidade para proporcionar visibilidade das suas operações e criar confiança.

Muitas instituições de caridade e ONG dependem de folhas de cálculo e processos manuais ou sistemas legados desatualizados para gerir o risco e a conformidade. Os processos manuais de risco e conformidade resultam em muito tempo gasto em administração e relatórios, impedindo as organizações de obter uma visão consolidada do risco e dificultando a tomada de decisões eficaz e a mitigação do risco.

Aqui exploramos algumas das principais preocupações de risco e conformidade para as ONG e organizações sem fins lucrativos e partilhamos algumas das formas como o software de GRC adequado pode ajudar as organizações deste setor a reduzir a burocracia para obter a supervisão de que necessitam.

Gestão de risco robusta

O risco é uma parte quotidiana da atividade de caridade, e gerir o risco de forma eficaz é fundamental para que os administradores das instituições de caridade atinjam os seus principais objetivos e salvaguardem os fundos e ativos duramente conquistados pela instituição.

A estrutura das organizações de caridade e as suas atividades, bases de financiamento e reservas expõem estas organizações a diferentes áreas de risco e níveis de exposição. Devido à natureza do seu trabalho, devem considerar os riscos relacionados com a falta de financiamento, a gestão não ética de fundos, suborno e corrupção, e conflitos de interesses. Existem também riscos operacionais para os projetos humanitários de grande escala e eventos de caridade organizados por estas associações que devem ser cuidadosamente geridos para garantir que os mais vulneráveis não são afetados. Estas organizações devem também considerar o risco de não conformidade com várias leis, regulamentos e políticas, e os riscos ESG relacionados com o impacto ambiental e a sua posição ética.

Os riscos que uma instituição de caridade enfrenta dependem da natureza, dimensão e complexidade das atividades que empreende e das suas finanças. O setor da caridade é, por natureza, diversificado e enfrenta diferentes exposições ao risco decorrentes das suas várias atividades e projetos, e cada organização terá diferentes capacidades para tolerar ou absorver o risco. Por exemplo, uma organização sem fins lucrativos com reservas sólidas poderia embarcar num novo projeto com um perfil de risco mais elevado do que uma instituição de caridade que tenha de lidar com dificuldades financeiras. Como regra geral, quanto mais complexas, diversificadas ou maiores forem as atividades de caridade, mais riscos enfrentarão, tornando as avaliações regulares de risco e a monitorização contínua uma prioridade elevada.

Uma organização de caridade inteligente irá rever e avaliar regularmente os riscos que enfrenta em todas as áreas. É por isso que a implementação de um programa eficaz de gestão de risco é crucial para garantir que uma instituição de caridade está apta para o fim a que se destina. Devem manter um registo de risco atualizado para categorizar e classificar o risco e monitorizá-lo de forma contínua. Devem realizar avaliações de risco, verificações, questionários e inquéritos regulares para garantir que o risco não atinge um nível intolerável. Naturalmente, como todas as organizações, terão de absorver um certo grau de risco para permanecerem operacionais e atingirem os seus objetivos estratégicos, pelo que o mapeamento do risco com parâmetros claramente definidos e o seu alinhamento com os objetivos estratégicos será benéfico para qualquer programa de gestão de risco. Os riscos podem ser elevados quando se trabalha em países devastados pela guerra e devem ser implementados controlos suficientes para proteger o pessoal e os voluntários envolvidos.

O software de GRC pode ajudar as organizações sem fins lucrativos a implementar processos de gestão de risco de acordo com as melhores práticas para obter uma visão consolidada do risco. Estas ferramentas permitem às organizações:

• Criar um registo de risco online, para identificar, acompanhar e monitorizar o risco.
• Realizar avaliações de risco, questionários e inquéritos online com todos os dados a serem introduzidos diretamente na ferramenta.
• Definir KRI e estabelecer controlos para detetar potenciais indicadores de risco em dados transacionais e operacionais que são introduzidos na ferramenta através de integrações API com outros conjuntos de dados e sistemas.
• Utilizar fluxos de trabalho e alertas automatizados para enviar notificações quando o risco atinge um nível intolerável.
• Visualizar painéis e relatórios incorporados para obter uma supervisão completa do seu perfil de risco, permitindo que o orçamento e os recursos sejam gastos nas áreas mais críticas para reduzir o risco.

Algumas plataformas de software GRC permitem que as organizações sem fins lucrativos liguem os processos de gestão de risco aos seus objetivos estratégicos. Este mapeamento essencial permite-lhes assumir um certo grau de risco na prossecução dos seus objetivos e metas estratégicas, ao mesmo tempo que mitigam os riscos críticos que poderiam ter um impacto prejudicial na sua estratégia.

Ao ter uma visibilidade clara das suas visões, metas e objetivos e compreender como se relacionam com o risco, as ONG podem alinhar os seus quadros de planeamento e comunicação, obter poupanças em tempo real, maximizar a adesão ao processo de gestão de risco, apoiar os administradores na tomada de decisões baseadas em dados e apoiar os líderes na execução da estratégia.

Risco cibernético e de TI

As instituições de caridade detêm uma enorme quantidade de dados pessoais sobre beneficiários, doadores, funcionários e voluntários. Cada um destes grupos tem o seu próprio conjunto de preocupações em matéria de privacidade, que devem ser abordadas com procedimentos rigorosos de tratamento de dados e medidas de segurança.

As instituições de caridade e as ONG devem garantir a conformidade com as políticas e regulamentos de privacidade de dados, como o RGPD, o NIST e o PCI DSS. O incumprimento pode resultar em danos à reputação e escrutínio regulamentar.

À medida que a tecnologia se torna cada vez mais omnipresente nos modelos operacionais das instituições de caridade, a necessidade de se concentrar na cibersegurança dos sistemas e infraestruturas de TI, dos quais dependem para salvaguardar a informação e manter a continuidade, está a aumentar. A necessidade de monitorização contínua dos riscos, ameaças e vulnerabilidades de TI é fundamental, tal como a necessidade de garantir que o pessoal e os terceiros relevantes aderem às principais políticas de TI.

Uma abordagem integrada utilizando software de GRC pode simplificar o processo de risco e conformidade de TI, permitindo às organizações monitorizar facilmente o risco de TI, realizar verificações de dados e testes de controlo, e identificar e resolver rapidamente quaisquer lacunas nas atividades de processamento de dados. A adoção de software orientado para objetivos estabelece uma estrutura central da hierarquia global de TI e cibernética, simplificando a monitorização e fornecendo um quadro para várias atividades de gestão de risco e conformidade relacionadas com TI.

Conformidade

A conformidade é uma preocupação fundamental para as organizações de caridade. Não só têm de cumprir uma série de regulamentos para manter o seu estatuto de caridade, como também devem ter políticas robustas para abordar questões-chave relacionadas com suborno e corrupção, branqueamento de capitais e conflitos de interesses, garantindo ao mesmo tempo que têm um código de conduta abrangente para o pessoal seguir.

As instituições de caridade são construídas com base numa boa ética, é desta forma que estas organizações demonstram o seu compromisso com a responsabilização e a transparência e mostram ao público que são dignas da sua confiança. Sem isso, o público simplesmente não daria às instituições de caridade e os programas e serviços do setor nunca poderiam ser fornecidos. A responsabilização e a transparência são fatores importantes no estabelecimento da governança sem fins lucrativos. Os conflitos de interesses e a má gestão financeira nas instituições de caridade podem causar problemas reais se não forem abordados.

O software de GRC pode apoiar as ONG a abordar as suas preocupações de conformidade de várias formas:

• Biblioteca de obrigações de conformidade: Utilizando a mais recente tecnologia de GRC, as organizações de caridade podem criar uma biblioteca online de obrigações de regulamentos, políticas e procedimentos aplicáveis, permitindo-lhes monitorizar a conformidade.
• Gestão de políticas: Com tantas políticas e regulamentos em vigor, manter o controlo dos proprietários das políticas, alterações, aprovações e datas de expiração pode ser um desafio. As capacidades de gestão de políticas disponíveis com o software de GRC garantirão que as políticas permanecem atualizadas, automatizarão os processos de aprovação e permitirão atestações de políticas online.
• Gestão de alterações regulamentares: As ONG e as instituições de caridade estão sujeitas a muitos regulamentos. A implementação de um programa de alterações regulamentares que mapeie os regulamentos relevantes para os processos e procedimentos pode ajudar as organizações a acompanhar as alterações regulamentares através de aprovações e alertas automatizados, fornecendo um registo de auditoria completo de quando as alterações foram implementadas.
• Denúncia anónima e denúncia de irregularidades: Muitas ferramentas de GRC oferecem portais online onde o pessoal pode denunciar incidentes e problemas de conformidade de forma discreta e facilitar a denúncia anónima de irregularidades para garantir que os problemas são destacados e abordados.

Relatórios ESG

Até muito recentemente, os relatórios ambientais, sociais e de governança (ESG) têm sido, em grande parte, do domínio e foco das entidades empresariais cotadas em bolsa. Hoje, no entanto, há uma pressão crescente por parte dos investidores e doadores para que as organizações sem fins lucrativos e de caridade adotem esta prática.

Um relatório recente da RSM, intitulado “O que significa ESG para o setor da caridade” analisou mais de 114 contas anuais de instituições de caridade e concluiu que as organizações sem fins lucrativos têm uma vantagem inicial no que diz respeito ao ESG, uma vez que o objetivo da caridade é proporcionar benefícios públicos e não causar danos ao ambiente, tornando bastante claro que o objetivo do ESG se alinha perfeitamente com os objetivos das organizações de caridade.

A elaboração de relatórios ESG deve ser encarada como uma oportunidade para integrar princípios-chave de sustentabilidade ambiental e social no ciclo de vida de organizações de beneficência, de modo a garantir o sucesso programático e a retenção de doadores nos anos vindouros. Mas como podem as organizações de beneficência comprovar as suas credenciais ESG?

A tecnologia GRC com capacidades ESG pode ajudar as organizações a monitorizar o progresso das suas iniciativas ESG. As ferramentas oferecem estruturas de melhores práticas para ajudar as organizações a:

• Definir uma estratégia ESG com uma série de metas e objetivos.
• Estabelecer indicadores-chave de desempenho (KPI) para visualizar o progresso.
• Monitorizar a conformidade com as obrigações relacionadas com ESG.
• Registar incidentes relacionados com ESG.
• Acompanhar e monitorizar o risco relacionado com ESG.

Quando tudo isto é gerido numa única plataforma, cria-se uma fonte única de verdade para toda a atividade relacionada com ESG.

A utilização de uma ferramenta GRC integrada com fortes capacidades ESG pode ajudar as organizações de beneficência a demonstrar os seus valores, cultura e ética. Ao desenvolver uma estratégia e estrutura ESG, podem acompanhar o progresso e comunicar iniciativas-chave, centralizar todos os dados ESG através de integrações API, gerir o risco ESG e a conformidade ESG de terceiros, e cumprir os regulamentos ESG.

O setor da beneficência faz uma diferença notável na esfera social, razão pela qual as credenciais ESG não só podem ajudar estas organizações a protegerem-se contra possíveis práticas antiéticas e insustentáveis, mas também a destacar as numerosas contribuições que o setor faz para a sociedade em geral, de modo a otimizar futuros investimentos de doadores.

Gestão de projetos e risco de projetos

As organizações de beneficência correm constantemente o risco de não receber doações e têm de lidar com uma grande variedade de “riscos de projeto” ao procurar implementar grandes projetos de capital, galas e eventos para angariar fundos e ajudar as pessoas vulneráveis que procuram apoiar.

Quando se trata de implementar alguns dos seus maiores projetos globais, o software GRC com capacidades de gestão de projetos pode equipá-las com as ferramentas necessárias para entregar projetos atempadamente e construir a confiança das partes interessadas, facilitando o planeamento de projetos como eventos de angariação de fundos, entregas de pacotes de ajuda e alimentos, e até mesmo projetos humanitários de grande escala, como a construção de infraestruturas em áreas subdesenvolvidas.

Ao optar por adotar uma plataforma GRC com fortes capacidades de gestão de projetos, os projetos de todas as dimensões podem ser mapeados com prazos-chave, resultados e orçamentos. Os fluxos de trabalho automatizados permitem o trabalho colaborativo, e quaisquer riscos do projeto podem ser adicionados ao registo de riscos e monitorizados. O progresso pode ser facilmente visualizado, e podem ser definidos controlos para sinalizar problemas como prazos não cumpridos e gastos excessivos. Os projetos podem ser facilmente priorizados para garantir que o orçamento e os recursos são alocados às iniciativas mais críticas. As ferramentas de gestão de projetos facilitam a colaboração em grandes projetos e fornecem aos líderes informações críticas sobre o estado dos projetos, reduzindo a necessidade de longas reuniões de progresso e atualizações.

Para garantir a entrega bem-sucedida de projetos humanitários de grande escala e eventos de angariação de fundos, as instituições de caridade e as ONG devem gerir cuidadosamente os riscos associados. As organizações devem identificar potenciais “riscos de projeto” e estabelecer indicadores-chave de risco (KRI), devem também criar um registo de riscos e uma estrutura para categorizar e priorizar os riscos. Devem realizar avaliações e verificações regulares de risco para monitorizar os níveis de risco e implementar fluxos de trabalho para garantir que os problemas são abordados e resolvidos rapidamente. A gestão do risco de projetos utilizando uma plataforma GRC permite às organizações automatizar o processo de gestão de riscos utilizando monitorização de controlos e fluxos de trabalho e alertas automatizados, permitindo também às organizações integrar o risco de projetos no seu programa mais amplo de gestão de riscos.

Ao antecipar potenciais riscos de projeto e ter um plano para os mitigar ou evitar, os gestores de projeto podem tomar decisões informadas, alocar recursos de forma eficaz e garantir que o projeto é concluído dentro do prazo, do orçamento e dos padrões de qualidade desejados.

Embarcar na automação GRC

Como as organizações de beneficência gozam de privilégios financeiros vantajosos, como isenções fiscais e acesso a financiamento público, as organizações sem fins lucrativos são rotineiramente sujeitas a um elevado padrão tanto pelo público como pelos órgãos reguladores para garantir que estes privilégios não são abusados e são bem utilizados.

Hoje em dia, os três pilares da governança, risco e conformidade são críticos para o sucesso a longo prazo das organizações sem fins lucrativos e de beneficência. Uma governança forte depende de capacidades robustas de gestão de riscos para manter a estabilidade à medida que traça um rumo para um futuro incerto, enquanto uma boa conformidade ajuda a manter as suas posições financeiras vantajosas.

A utilização da tecnologia GRC é essencial para que as organizações sem fins lucrativos desenvolvam uma estrutura de relatórios eficiente, ágil e colaborativa. Ao centralizar os processos GRC numa única plataforma unificada, as ONG podem beneficiar grandemente da visibilidade e mapeamento resultantes de vários processos de risco e conformidade, destacando as relações entre eles, reduzindo o esforço manual e proporcionando uma maior consciência geral do risco.

Uma instituição de caridade que consolida os seus processos GRC numa plataforma integrada cria uma única fonte de verdade, rastreabilidade total e acompanhamento de auditoria para todos os processos GRC, melhoria da informação e análises para impulsionar uma melhor tomada de decisões, e uma redução massiva do tempo gasto em atividades administrativas.

Esta abordagem integrada e flexível produz uma visibilidade aumentada das relações de risco através de uma série de painéis e relatórios perspicazes, apoiando a tomada de decisões baseada no risco.

A implementação de uma plataforma GRC como a Riskonnect apoiará as ONG e instituições de caridade na implementação de processos de melhores práticas em gestão de risco, conformidade, comunicação de incidentes, ESG, gestão de projetos e planeamento estratégico.

A tecnologia pode ajudar as instituições de caridade a reduzir o esforço manual e a poupar o tempo gasto em atividades administrativas. Isto, juntamente com o repositório centralizado de riscos, pode melhorar a integridade dos dados, capacitando as equipas para aproveitarem ferramentas analíticas para obter informações acionáveis e tomar decisões empresariais informadas.

A Riskonnect está empenhada em ajudar as organizações a avançar na jornada de maturidade GRC com processos e estruturas padronizados, fluxos de trabalho automatizados e partilha de informações melhorada. Para saber mais, solicite uma demonstração hoje mesmo.