GRC (Governação, Risco e Conformidade):
O Guia Definitivo

O que é GRC?

A governação, o risco e a conformidade – popularmente conhecidos como GRC – são um conjunto de processos e procedimentos que ajudam as organizações a atingir objectivos empresariais, a lidar com a incerteza e a agir com integridade.

O objetivo básico do GRC é incutir boas práticas empresariais na vida quotidiana. Apesar de não ser um conceito novo, o GRC cresceu em estatura à medida que os riscos se tornaram mais numerosos, mais complexos e mais prejudiciais.

O acrónimo GRC foi criado há quase duas décadas pelo

OCEG

 como uma referência abreviada às capacidades críticas que integram a governação, a gestão e a garantia do desempenho, do risco e das actividades de conformidade.

Atualmente, o GRC abrange várias disciplinas, incluindo a gestão do risco empresarial, a conformidade, a gestão do risco de terceiros, a auditoria interna e muito mais. Embora cada disciplina tenha as suas próprias prioridades – e muitas vezes a sua própria maneira de fazer as coisas – os líderes GRC estão agora a reconhecer o poder da partilha de dados e informações para obter melhores resultados e construir uma organização mais forte e mais resistente.

O que está a impulsionar a necessidade de GRC

Atualmente, o cenário de risco é mais concorrido, incerto e interligado do que nunca. Um risco – por exemplo, um problema de saúde e segurança – pode afetar a cadeia de abastecimento, a continuidade da atividade, as relações comerciais, a segurança informática, a produtividade dos trabalhadores, etc. Ao mesmo tempo, várias forças estão a remodelar o terreno do risco, incluindo:

  • Aumento do ritmo e do âmbito da conformidade regulamentar
    Praticamente todas as organizações, em todos os sectores, enfrentam um número crescente e em constante mudança de regulamentos que têm de cumprir.
  • Acelerar a digitalização da gestão de riscos
    A Internet das coisas, terceiros, blockchain… cada novo ponto de acesso acrescenta vulnerabilidade e aumenta exponencialmente o risco.
  • A importância crescente da gestão do risco na estratégia empresarial
    A gestão do risco é cada vez mais encarada não apenas como uma função tática, mas como uma parte valiosa da estratégia empresarial.
  • Evolução da sofisticação da análise
    Uma melhor análise está a proporcionar novos níveis de conhecimento para decisões baseadas em dados.

A influência das redes sociais, as ameaças constantes de ciberataques e as exigências de maior transparência também estão a aumentar a pressão sobre os executivos e os conselhos de administração para que tomem decisões sensatas sobre os riscos a um ritmo acelerado e com pouca margem para erros. Os líderes seniores, por sua vez, estão a contar com um número crescente de intervenientes de todos os cantos da organização para identificar, gerir e reduzir os riscos.

Para orientar a organização para o sucesso, os líderes precisam de aceder rapidamente aos factos – e utilizar esses factos para informar a sua resposta. Uma estratégia GRC abrangente pode preparar o caminho, eliminando silos e criando colaboração para uma ação mais rápida, mais precisa e mais coordenada.

O que significa GRC – na teoria e na prática?

Existem três componentes principais do GRC:

  • Governação – Alinhar processos e acções com os objectivos comerciais da organização
  • Risco – Identificar e tratar todos os riscos da organização
  • Conformidade – Assegurar que todas as actividades cumprem os requisitos legais e regulamentares

No passado, as organizações abordavam frequentemente a governação, o risco e a conformidade como actividades separadas. Frequentemente, os processos ou sistemas foram criados em resposta a um evento específico – por exemplo, novas regulamentações, litígios, violação de dados ou descobertas de auditoria – com pouca reflexão sobre o seu funcionamento no conjunto. O resultado foi um emaranhado de ineficiências, redundâncias e imprecisões, incluindo:

  • Falta de visibilidade de todo o cenário de risco
  • Acções contraditórias
  • Complexidade desnecessária
  • Incapacidade de avaliar os efeitos em cascata do risco

A realidade é que existe uma grande sobreposição entre governação, risco e conformidade. Cada uma das três disciplinas cria informação de valor para as outras duas – e as três têm impacto nas mesmas tecnologias, pessoas, processos e informação. Uma organização, por exemplo, pode estar sujeita a um novo regulamento de privacidade de dados (uma atividade de conformidade), ao mesmo tempo que se obriga a determinados controlos internos de proteção de dados (uma atividade de governação), sendo que ambos ajudam a mitigar o risco cibernético (uma atividade de gestão do risco).

Quando as três disciplinas do GRC são geridas separadamente, existe uma duplicação substancial de tarefas. Várias equipas acabam por passar horas a recolher os mesmos dados – e mais horas a desembaraçar as linhas de correio eletrónico e as folhas de cálculo só para começar a análise.

Mais prejudicial ainda, os processos desconexos e a falta de transparência deixam a organização cega para as percepções e inter-relações entre riscos, minando todo o sistema ao permitir que as lacunas e redundâncias dos controlos passem despercebidas. As equipas isoladas também não compreendem a forma como o seu domínio específico influencia a posição de risco da empresa como um todo ou o seu sucesso global.

Em suma, gerir o GRC em silos separados é um grande esforço extra – e esse esforço produz muito pouca recompensa. Sem uma visão integrada de todas as actividades relacionadas com o GRC, é quase impossível identificar problemas e inconsistências. Um risco prejudicial pode facilmente passar despercebido e não ser tratado porque não conseguiste avaliar o impacto total até ser demasiado tarde.

Sabe mais sobre como transformar a conformidade de “Check-the-Box” em “Champion” aqui.

Como avaliar a maturidade do teu GRC

Praticamente todas as organizações estão envolvidas na gestão do risco de alguma forma, mesmo que o “sistema” de gestão do risco seja incipiente. Não existe uma única forma correcta de gerir o risco e a conformidade – mas se o teu sistema atual não consegue acompanhar a evolução das necessidades da empresa, talvez seja altura de reavaliar a tua abordagem. Mesmo um sistema de gestão de risco de classe mundial pode ter espaço para melhorias, dado o ambiente de risco em constante mudança.

A utilização de um modelo de maturidade do risco que avalia a sua posição GRC é uma excelente forma de identificar a sua situação atual. Depois, podes comparar o teu estado atual com o estado em que queres estar – e avaliar isso em relação ao valor e ao custo de um maior investimento na gestão do risco. Quanto mais maduro for o teu programa GRC, mais eficaz serás na tomada de decisões, assumindo os riscos certos e alcançando melhores resultados para a organização.

Onde é que a tua organização se situa na continuidade?

Nível de maturidade Descrição Principais atributos
Um Ad hoc A gestão do risco não está documentada, está em evolução e depende de actos de heroísmo individuais.
Dois Preliminares O risco é definido de diferentes formas e gerido em silos. É pouco provável que a disciplina do processo seja rigorosa.
Três Definido Existe um quadro comum de avaliação/resposta aos riscos. Uma visão do risco em toda a organização é fornecida à direção executiva e ao conselho de administração sob a forma de uma lista dos “principais” riscos. Os planos de ação são implementados em resposta a riscos de elevada prioridade.
Quatro Integrado As actividades GRC são coordenadas entre as áreas de negócio. Sempre que necessário, são utilizados instrumentos e processos comuns de gestão do risco, com monitorização, medição e comunicação do risco a nível de toda a empresa. As respostas alternativas são analisadas através do planeamento de cenários e de outras técnicas, como a simulação de Monte Carlo. Dispõe de métricas de processo. Mas a tónica continua a ser colocada na gestão de uma lista de riscos. A discussão do risco ao nível da comissão executiva e do conselho de administração é separada da discussão da estratégia e do desempenho.
Cinco Optimizado A tónica passa da gestão de uma lista de riscos fora do contexto dos objectivos da empresa para a gestão da realização bem sucedida dos objectivos. A consideração do que pode acontecer está integrada no planeamento estratégico, na afetação de capital e noutros processos, bem como na tomada diária de decisões estratégicas e tácticas. Existe um nível razoável de garantia de que os decisores estão a assumir o nível certo dos riscos necessários para o sucesso e não apenas para evitar o fracasso. Existem sistemas de alerta precoce para notificar o conselho de administração e a direção sobre riscos específicos que ultrapassam os limiares estabelecidos de apetência pelo risco ou de capacidade de risco – e em que a probabilidade de atingir os objectivos da empresa é inferior ao aceitável. A apresentação de relatórios à administração e ao conselho de administração integra relatórios de desempenho (onde estamos agora) e de risco (o que pode acontecer) para projetar a probabilidade de alcançar cada objetivo empresarial. A discussão do risco ao nível da gestão de topo e do conselho de administração (o que pode acontecer) não está separada da discussão da estratégia e do desempenho.

Como fazer GRC da forma correcta

Um GRC eficaz estabelece os processos e sistemas que permitem decisões conscientes dos riscos a todos os níveis. Trata-se de dar a todas as partes interessadas acesso aos mesmos dados de alta qualidade e em tempo real, para que possam partilhar conhecimentos e colaborar em acções. Uma abordagem GRC que se destaca:

  • Define um vocabulário comum a todas as disciplinas.
  • Estabelece uma fonte de verdade.
  • Normaliza processos, práticas e políticas.
  • Facilita a comunicação e a colaboração.

Embora os sectores fortemente regulamentados, como o financeiro, o energético ou o da saúde, sejam os que mais necessitam de uma solução GRC integrada, qualquer organização – grande ou pequena, pública ou privada – pode beneficiar.

Quando o GRC é bem feito, todas as partes da organização estão alinhadas em torno dos objectivos, acções e controlos correctos para impulsionar o sucesso organizacional. O risco já não é algo que deva ser temido, evitado ou minimizado. O risco torna-se uma ferramenta para criar valor estratégico e elevar o desempenho.

Saiba mais sobre Como traçar um rumo para o Gerenciamento de Riscos Corporativos.

Integrar a IA no GRC

A inteligência artificial tem o poder de transformar quase todos os aspectos do negócio – incluindo o GRC. A aprendizagem automática há muito que ajuda a analisar dados e a prever resultados. Mas a introdução da IA generativa – como o ChatGPT – leva esse poder a um novo nível.

Para o GRC, a IA apresenta novas oportunidades para automatizar, aumentar e acelerar os processos de trabalho. Pode expandir as tuas capacidades e o teu alcance ao reimaginar a forma como o trabalho é feito.

O ChatGPT e outras ferramentas de IA generativa baseiam-se em modelos linguísticos de grande dimensão treinados em grandes quantidades de texto extraído da Internet para aprender os padrões da linguagem humana. Os dados aumentam as suas capacidades, permitindo-lhe analisar dados, encontrar padrões e conceber soluções mais rapidamente do que qualquer ser humano poderia fazer.

Os impactos potenciais na GRC são vastos. A IA já está a ajudar a testar os controlos, a analisar as provas e a documentar as conclusões. As empresas estão a perguntar como é que a IA pode tornar os relatórios da administração mais rápidos, mais fáceis e melhores.

A IA pode alargar o alcance do GRC, tornando as tarefas associadas mais fáceis e mais rápidas. A IA pode mesmo reduzir as etapas necessárias num fluxo de trabalho. Com mais automação, tens menos interacções manuais e essas acções combinam-se num fluxo de trabalho mais forte.

A IA generativa é melhor a gerar conteúdos. Com apenas algumas instruções, o ChatGPT pode fazer um rascunho numa questão de segundos. Esse rascunho inicial pode não ser perfeito, mas pode provavelmente levar-te a cerca de 50% – 70% do caminho. Depois, podes aperfeiçoá-lo com substância, tom e voz para se adequar à tua organização.

Pensa na IA como um acelerador. Pode simplificar dados complexos, traduzir informações longas e técnicas (como regulamentos) para um inglês claro e eliminar o trabalho manual entediante. No entanto, ainda tens de rever a resposta, ajustá-la e levá-la por diante.

Os casos de utilização GRC claros para o ChatGPT incluem:

  • Declarações e classificações de risco
  • Procura de produtos informáticos
  • Projectos de políticas
  • Controlar o conteúdo
  • Interpretação de leis e regulamentos
  • Potenciais controlos
  • Tradução de línguas

Esta lista é apenas um começo. A IA pode ser facilmente utilizada para elaborar planos de continuidade da atividade ou para começar a lidar com o risco de terceiros. O potencial é quase infinito. É tudo uma questão de compreender o que estás a tentar alcançar e onde a IA pode dar um impulso.
É certo que a IA generativa não está isenta de preocupações. Todos – desde os reguladores até aos próprios inventores – estão a tentar descobrir as salvaguardas adequadas. Entretanto, eis alguns riscos a que deves estar atento:

Alucinações – O ChatGPT está programado para dar uma resposta, especificamente a melhor palavra seguinte numa frase. Nesse processo, pode inventar uma resposta sem qualquer base factual. Revê e valida sempre a resposta antes de passares a informação.

Preconceito – O ChatGPT utiliza informações históricas para criar novos conteúdos. O problema é que o que era aceitável, por exemplo, em 1970, pode não corresponder aos padrões actuais. E vice-versa. Certifica-te de que o conteúdo gerado pelo ChatGPT é relevante e apropriado para a tua pergunta e para as políticas e cultura da tua organização.

Privacidade e segurança dos dados – O ChatGPT capta tudo o que escreves no prompt e incorpora-o no modelo. Tem consciência da informação que estás a partilhar fora da tua organização. Protege-te definindo casos de utilização adequados e os teus parâmetros para os utilizares com segurança. O ChatGPT também não cita fontes, o que torna difícil verificar a exatidão e a fiabilidade das informações fornecidas.

O valor do software GRC

A tecnologia GRC integrada une processos e funções em toda a organização para uma colaboração perfeita e informações inteligentes que suportam decisões orientadas por dados. Derruba barreiras e proporciona transparência entre as partes interessadas para que possas compreender as ligações entre os riscos individuais, bem como a forma como tudo se conjuga como um todo. E obtém enormes ganhos de eficiência e precisão, ao mesmo tempo que reduz os custos.

Com o software GRC, podes:

Faz mais coisas. A tecnologia GRC integrada automatiza as tarefas de rotina, os fluxos de trabalho e o acompanhamento, reduzindo drasticamente o número de horas humanas necessárias. E porque todos os dados estão alojados num único local para todos utilizarem, elimina a duplicação de trabalho, para que possas duplicar a análise.

Lida com a mudança sem fim. Na última contagem,
mais de 61.000 alertas regulamentares de 1.374 organismos regulamentares.
O software GRC integrado foi concebido não só para acompanhar eficazmente os novos regulamentos e leis, mas também para se manter um passo à frente do risco de conformidade e do impacto na organização.

Vê quem fez o quê e quando. Ter todos os dados de risco e de conformidade num único repositório com capacidades de rastreio robustas proporciona uma pista de auditoria clara que documenta todas as modificações.

Colabora sem problemas. O software GRC integrado reúne todas as políticas, procedimentos e riscos empresariais e legais num único local, facilmente acessível a todos os intervenientes. Acaba com os silos, estabelecendo processos e controlos consistentes em toda a organização. Promove também uma cultura consciente dos riscos e cria um sentido de propriedade em que todos desempenham um papel na minimização das surpresas.

Vê o panorama geral. O software GRC integrado permite-lhe ligar iniciativas e dados para descobrir informações reais sobre a forma como uma parte do programa afecta outra e compreender o impacto total na organização. Com um melhor conhecimento do seu programa como um todo, pode identificar, priorizar e resolver melhor as questões antes que se transformem em problemas de pleno direito.

Responde a perguntas difíceis. Com processos simplificados, dados em tempo real e análises incorporadas, o software GRC integrado torna rápido e fácil criar relatórios significativos que inspiram decisões baseadas em dados. Os painéis de controlo dão-te uma visão contínua da eficácia dos teus programas. E a análise avançada aumenta a inteligência humana, extraindo informações novas e mais detalhadas dos dados. Ter este nível de conhecimento também permite que as equipas de risco e conformidade ofereçam conselhos estratégicos e previsões à liderança.

O que perguntar ao considerar um novo software GRC

Os programas GRC sólidos e com tecnologia podem ser um verdadeiro diferenciador competitivo para as organizações, pelo que é essencial fazer a escolha certa. Com múltiplas opções de tecnologia e sem definições comuns, não é fácil saber quando precisas de uma solução GRC – ou qual delas precisas.

Aqui estão quatro perguntas para ajudar a definir o seu foco ao iniciar o processo de compra de software GRC:

  1. Que problemas estás a tentar resolver?

    Quais são as tuas maiores preocupações? Risco cibernético? Cumprir a legislação comercial? Impacto na tua reputação? Riscos emergentes?

    O primeiro passo no seu percurso de aquisição de software GRC é compreender as suas necessidades específicas. É fácil ficar preso a encontrar e comprar o “melhor” produto e o mais rico em funcionalidades do mercado. Mas se estas soluções não fornecerem a informação útil de que necessitas para atingir os teus objectivos, então não trarão o valor de que precisas.

  2. Que características e funcionalidades são mais importantes atualmente?

    Precisas de uma solução ERM e de uma ferramenta de auditoria? Ou software ERM com capacidades adicionais de conformidade? E quanto às capacidades analíticas e de elaboração de relatórios? Deves optar por uma plataforma única com várias ferramentas para uma melhor colaboração – ou procurar soluções pontuais separadas para cada função?

    Com tantas soluções no mercado, é inevitável que surjam questões sobre a combinação correcta de ferramentas, características e funções. O melhor plano de ataque é separar o que é preciso ter do que é bom ter. Vê o que precisas hoje e o que provavelmente precisarás no futuro. Adquire a combinação de ferramentas que te proporcionará a funcionalidade de que necessitas neste momento e a escalabilidade necessária para o futuro – dentro de um orçamento razoável.

  3. Quem deve estar diretamente envolvido no processo de compra?

    Reúne uma equipa de compras com base em três factores:

    • Quem precisa do software?
    • Quem mantém o software?
    • Quem controla os fundos?

    .
    O envolvimento de demasiados intervenientes pode levar à compra de ferramentas de que não precisas ou ao desperdício de dinheiro em várias soluções pontuais com características que se sobrepõem. Não podes agradar a toda a gente, por isso concentra-te em abordar os aspectos práticos daqueles que têm pele no jogo.

    Normalmente, faz sentido que seja a gestão de riscos a liderar o processo. Normalmente, a equipa de gestão do risco é a que tem mais visibilidade sobre as características e funções que irão concretizar as prioridades da organização. Esta equipa também tem a melhor visão de como o risco afecta toda a organização e tem o poder de ajudar todos a ver e a pensar no risco de forma mais uniforme.

  4. Quem deve aconselhar-te?
    Outros departamentos e partes interessadas têm voz, mas não a mesma voz. A auditoria interna, por exemplo, é um consultor valioso no processo de compra de software GRC. Este departamento pode verificar se a solução em questão tem bons controlos, para que as pessoas certas avaliem os riscos certos e a informação seja fiável. Do mesmo modo, as TI podem oferecer conhecimentos importantes em matéria de implementação, formação e integrações.

A melhor solução GRC permite que as organizações compreendam o que pode acontecer e o que pode ser feito, para que a liderança possa tomar decisões rápidas e inteligentes para proteger a organização.

Implementação do GRCEstás pronto para elaborar um pedido de proposta GRC? Começa aqui.

A seleção de uma solução de software GRC pode ser uma tarefa difícil. Procuras uma série de soluções pontuais? Ou procura uma solução abrangente com uma vasta funcionalidade para facilitar a partilha de dados e a colaboração em toda a organização? De qualquer forma, um RFP é fundamental para encontrar o parceiro certo.


Transfere este modelo
 para obter uma lista das perguntas mais críticas relacionadas com GRC para ajudar a orientar o seu processo de compra. As perguntas são apresentadas numa folha de cálculo descarregável, que pode ser facilmente modificada para se adequar às tuas necessidades.

Como avaliar o software GRC

Para acompanhar a constante mudança de riscos, regulamentos e políticas, é necessária uma solução tecnológica GRC que seja flexível, escalável e integrada. O software GRC correto irá aumentar a eficiência, provar a eficácia e elevar o valor da função de gestão de riscos para a organização. Enquanto avalias as soluções possíveis, pensa em perguntar:

  • Qual é a facilidade de utilização da tecnologia? Mesmo o melhor software GRC é praticamente inútil se for demasiado difícil de utilizar. E quanto mais fácil for a sua utilização, mais pessoas se envolverão – e maior será o nível de envolvimento.
  • Quão acessível é a tecnologia? Já ninguém quer estar acorrentado a uma secretária. O software deve estar acessível a qualquer momento, em qualquer lugar, a partir de qualquer dispositivo – portátil, computador de secretária, tablet ou telemóvel.
  • Qual é o grau de segurança do sistema? Certifica-te de que os teus dados estão protegidos com a mais elevada segurança de ponta a ponta, certificada de forma independente.
  • Onde são armazenadas as informações sobre risco e conformidade? As soluções baseadas na nuvem são geralmente consideradas mais seguras do que os sistemas alojados localmente. Oferecem também a vantagem de actualizações automáticas com um mínimo de interrupções.
  • Qual é a fiabilidade do sistema? Para manter os utilizadores satisfeitos, pretende um sistema consistentemente fiável que lhe dê as respostas de que necessita sem praticamente nenhum tempo de espera para consultas, pesquisas ou análises.
  • É fácil fazer alterações e actualizações? Deves ser capaz de adicionar facilmente campos, personalizar layouts de página e modificar a configuração para acomodar regulamentos em mudança, novos requisitos ou prioridades em evolução – sem a ajuda das TI ou do fornecedor de software.
  • Tudo o que precisas está num só lugar? Pretende poder aceder a toda a documentação relevante, ver o estado atual e comunicar entre departamentos, áreas funcionais e localizações sem nunca sair da plataforma. E todas as actividades têm de ser registadas automaticamente para uma pista de auditoria clara.
  • O que pode ser automatizado? Uma solução eficiente automatiza os fluxos de trabalho, as avaliações, os atestados, os alertas e os planos de ação para que a equipa de risco e conformidade se possa concentrar nas tarefas que requerem inteligência humana. A solução integra-se com a IA generativa como o ChatGPT?
  • A tecnologia integra-se com outras funções? O valor do software GRC dispara quando integra perfeitamente o risco empresarial, a conformidade, a gestão de riscos de terceiros, a auditoria interna e outras funções de gestão de riscos para te dar uma imagem precisa do risco total. Com uma tecnologia verdadeiramente integrada, pode ver como um evento de risco flui através de toda a organização – e avaliar o impacto cumulativo desde a conformidade até ao risco empresarial e mais além.
  • Consegues extrair a história completa dos teus dados? Procura uma solução de GRC que forneça análise de dados, visualização e perceção dos seus riscos e tendências – e que mostre como estes afectam outros riscos e a organização em geral.
  • Os painéis de controlo estão disponíveis – e são personalizáveis? Os painéis que podem ser personalizados permitem que todos – desde os membros da equipa de risco e conformidade até à direção – se mantenham informados sobre as métricas que mais lhes interessam.
  • Com que facilidade podes criar relatórios? Nada é mais frustrante do que ter dados excelentes e não ter uma forma fácil de os compreender. As soluções mais úteis oferecem relatórios do tipo “apontar e clicar” para as apresentações regulamentares necessárias, uma visão geral abrangente para os executivos e capacidades de pesquisa para os técnicos.

Imagina o poder da integração.

A eliminação dos silos entre risco empresarial, conformidade, gestão de risco de terceiros e auditoria interna permite uma resposta mais ágil e coordenada aos riscos que frequentemente se sobrepõem. E isso é poderoso.

Agora imagina se pudesses seguir isso até ao lado seguro da casa. A tecnologia verdadeiramente integrada não só mostra o impacto dos riscos da empresa, da conformidade, da gestão de riscos de terceiros e dos riscos de auditoria interna, como também mostra se esses riscos podem dar origem a quaisquer reclamações, por exemplo, e o custo previsto para resolver essas reclamações. Finalmente, poderás compreender o impacto total de qualquer risco na organização.

Imagina o que poderias fazer com esse tipo de poder.

Aprende a conquistar o novo mundo do risco com a gestão integrada do risco aqui.

Como implementar com sucesso o software GRC

Implementação do GRCO êxito ou o fracasso da implementação do software GRC depende em grande medida da força da parceria com o fornecedor escolhido e da sua preparação antes da implementação. Com isto em mente, aqui estão oito dicas para te colocar no caminho para uma implementação de software bem sucedida:

  1. Define a linha de chegada antes de começares. Começarias uma corrida sem saber onde está a meta? Claro que não, pois podes perder tempo e energia preciosos a ir na direção errada. Da mesma forma, iniciar um projeto de implementação de software GRC sem definir claramente uma linha de chegada – ou seja, critérios de sucesso – pode levar a atrasos, confusão e desvios de âmbito. Começa com requisitos comerciais bem definidos que estejam totalmente alinhados com a tua organização. Esses requisitos orientarão as especificações funcionais/técnicas e os critérios de teste de aceitação do utilizador – e, em última análise, medirão o sucesso do seu projeto.
  2. Não automatizes um processo que não funciona. Por muito confortável que esteja com os seus fluxos de trabalho actuais, conceber o novo sistema GRC com base nos métodos antigos é um erro dispendioso – mas comum. Personalizar fortemente os novos fluxos de trabalho GRC para imitar os antigos pode ter implicações graves, incluindo prazos de implementação alargados, aumento do âmbito, problemas de suporte futuros e incapacidade de utilizar outras funcionalidades padrão essenciais (ou futuras). Os fornecedores investem inúmeras horas e dólares para desenvolver normas configuráveis baseadas nas melhores práticas, por isso, está aberto a aprender como estas normas podem satisfazer os teus requisitos empresariais.
  3. Comunica, comunica, comunica. Não assumas que o vendedor saberá automaticamente o que queres dizer sem que o expliques. Quando se trata de uma implementação bem sucedida, não existe comunicação a mais. Discute todas as questões possíveis nas fases iniciais de uma implementação – e não tenhas vergonha de fazer perguntas ou manifestar preocupações. Mesmo questões aparentemente pequenas podem ter um grande impacto no sucesso da implementação se não forem tratadas até às fases posteriores ou, pior ainda, se não forem tratadas de todo.
  4. As implementações bem sucedidas são como um casamento. Tal como num casamento, a tua empresa e o fornecedor têm de contribuir para que a união seja bem sucedida. A comunicação e a confiança são essenciais, ambas as partes têm de ser responsabilizadas e é necessário trabalho árduo para que a relação prospere. Se uma das partes se mantiver à margem, as suas necessidades podem não ser devidamente atendidas, o que pode comprometer a implementação. E se a relação se desequilibrar demasiado, podes acabar num divórcio desagradável.
  5. Sim, precisas de um gestor de projeto designado. Embora uma implementação possa ser bem sucedida sem o papel de PM, as tuas probabilidades de sucesso aumentam exponencialmente quando um gestor de projeto está envolvido. A coordenação de todos os recursos e tarefas durante uma implementação de grande dimensão pode ser uma tarefa árdua. Algo tão simples como agendar uma reunião para várias pessoas em organizações diferentes pode ser difícil se a função de PM estiver dividida entre vários membros da equipa de implementação. Ter um único ponto de contacto centraliza as comunicações, agiliza todas as actividades de implementação e mantém todos no caminho certo.
  6. Sê realista com os teus outros compromissos de tempo. Fazer parte de uma equipa de implementação pode ser apenas uma das muitas tarefas que tens pela frente. Sê realista quanto ao tempo que tens disponível para dedicar ao processo de implementação e informa o fornecedor – e os membros da equipa – de outros compromissos ou conflitos que tenhas, assim que a linha de base do calendário do projeto for produzida.
  7. Não menosprezes o processo de teste. Por muito tentador que seja acelerar os testes para cumprir o teu prazo, este não é o lugar para cortar nos custos. Contornar ou condensar os testes integrais de aceitação do utilizador pode levar a montanhas de problemas pós-entrada em funcionamento, trabalho extra e atrasos nos seus processos empresariais. Uma UAT adequada leva tempo a ser feita corretamente – mas o esforço extra irá poupar-te a muitas dores de cabeça no futuro.
  8. Prepara-te para o inesperado. Por muito diligente que sejas, é praticamente impossível identificar e preparar-te para todos os problemas possíveis. É natural que aconteça algo inesperado, mas o impacto depende muitas vezes mais da forma como reages do que do problema em si. Quando um problema inesperado ameaça fazer descarrilar a implementação, trabalha de forma construtiva com a tua equipa para o resolver e avançar. E se escolheres o fornecedor certo, juntos podem gerir habilmente quaisquer surpresas que surjam.

Como criar um caso de negócio para o software GRC

Os conselhos de administração e os directores podem reconhecer que a tecnologia GRC proporcionará uma melhor supervisão e melhorará o risco e a conformidade em geral – mas continuam relutantes em atribuir um orçamento. O desafio é definir e medir o valor – custo, flexibilidade, eficiência, eficácia – de uma forma que seja suficientemente significativa para influenciar os detentores dos cordões à bolsa.

O software GRC integrado normaliza os processos, simplifica a recolha de dados e reforça a segurança. A automatização das tarefas de rotina permite que a equipa de risco e conformidade passe da recolha de dados para um trabalho de maior valor, como a investigação e a correção de problemas. A análise integrada e os dados centralizados fornecem informações novas e orientadas por dados, identificam interdependências que, de outra forma, teriam passado despercebidas e dão-te uma visão antecipada dos indicadores de risco que podem ser utilizados para impulsionar a visão estratégica.

Acrescenta a isso relatórios em tempo real que extraem a história dos seus dados para decisões melhores e mais rápidas. Os painéis de controlo também permitem a monitorização contínua dos principais indicadores e métricas. Em suma, o software GRC integrado fornece dados concretos sobre o estado atual do seu programa de risco e conformidade, onde estão os seus pontos fracos e o que precisa de ser feito. Mesmo na ponta dos teus dedos.

Dólares – e sentido

Embora seja difícil atribuir um valor exato ao ROI do software GRC integrado, existem formas de quantificar o valor.

Para começar, avalia os recursos humanos que seriam poupados com maiores eficiências e associa-os a um valor em dólares. Por exemplo, se a automatização te permite poupar 20 horas por semana, com um salário de, digamos, 50 dólares por hora, isso representa uma poupança de 1.000 dólares por semana para a empresa. Se multiplicarmos este valor pelo número de pessoas e horas poupadas, o impacto da automatização pode ser significativo. Essas horas extra podem então ser redireccionadas para tarefas que proporcionem um valor mais estratégico para a organização.

Por muito significativo que esse montante possa ser, o verdadeiro valor do software GRC reside na sua capacidade de melhorar a tomada de decisões. Tens uma imagem clara do que está a acontecer, pelo que podes decidir com confiança que riscos vale a pena correr – e quais não.

Mas o que é que fala mais alto aos líderes? Para começar, não há surpresas. Não há nada que a direção e os executivos detestem mais do que serem apanhados de surpresa por algo de que deviam – podiam – ter tido conhecimento.

Uma plataforma GRC integrada coloca todos os riscos no teu radar, o que minimiza as surpresas. E depois há a visibilidade. Com o software GRC integrado, cada risco é documentado e apresentado no contexto de outros riscos – bem como dos objectivos da organização.

Os líderes de topo estão bem cientes de que a própria sobrevivência da organização pode depender da sua capacidade de obter acesso instantâneo a dados de risco em tempo real para informar escolhas estratégicas difíceis que conduzirão ao sucesso organizacional. E com uma estratégia GRC bem planeada – apoiada por tecnologia GRC integrada – tem finalmente a visibilidade para ver os seus riscos e a agilidade para se desviar dos bloqueios de estrada, para que possa manter o seu destino direcionado para o sucesso.

Saiba mais sobre o software GRC da Riskonnect aqui.