GRC (Governance, Risk, and Compliance):
O Guia Definitivo

O que é GRC?
Governação, risco, e conformidade - popularmente conhecido como GRC - é um conjunto de processos e procedimentos para ajudar as organizações a alcançar os objectivos empresariais, abordar a incerteza, e agir com integridade.
O objectivo básico da GRC é incutir boas práticas comerciais na vida quotidiana. Embora não seja um conceito novo, a GRC cresceu em estatura à medida que os riscos se tornaram mais numerosos, mais complexos, e mais prejudiciais.

O GRC abrange actualmente múltiplas disciplinas, incluindo gestão do risco empresarial, conformidade, gestão do risco de terceiros, auditoria interna, e muito mais. Embora cada disciplina tenha as suas próprias prioridades - e frequentemente a sua própria forma de fazer as coisas - os líderes do GRC estão agora a reconhecer o poder da partilha de dados e inteligência para conduzir a melhores resultados e construir uma organização mais forte e mais resistente.
O que é o Interesse Motorista na GRC
A paisagem de risco actual é mais cheia, incerta, e interligada do que nunca. Um risco - digamos uma questão de saúde e segurança - pode repercutir-se na cadeia de abastecimento, continuidade do negócio, relações comerciais, segurança informática, produtividade da força de trabalho, e muito mais. Ao mesmo tempo, múltiplas forças estão a remodelar o terreno de risco, incluindo:
- Ritmo crescente e âmbito do cumprimento da regulamentação
Praticamente todas as organizações em todas as indústrias enfrentam um número sempre crescente e em constante mudança de regulamentos com os quais devem cumprir.
- Acelerar a digitalização da gestão dos riscos
A Internet das coisas, terceiros, cadeia de bloqueio ... cada novo ponto de acesso acrescenta vulnerabilidade e aumenta exponencialmente o risco.
- Importância crescente da gestão do risco na estratégia empresarial
A gestão do risco é cada vez mais vista não só como uma função táctica, mas também como uma parte valiosa da estratégia empresarial.
- Sofisticação evolutiva da análise
Uma melhor análise está a proporcionar novos níveis de discernimento para as decisões orientadas pelos dados.
A influência das redes sociais, as constantes ameaças de ciberataques, e as exigências de maior transparência também estão a aumentar a pressão sobre os executivos e conselhos de administração para que tomem decisões sensatas sobre o risco a um ritmo acelerado com pouco espaço para erros. Os líderes seniores, por sua vez, confiam num número crescente de intervenientes de todos os cantos da organização para identificar, gerir e reduzir o risco.
Para orientar a organização para o sucesso, os líderes precisam de aceder rapidamente aos factos - e usar esses factos para informar a sua resposta. Uma estratégia GRC abrangente pode abrir o caminho, removendo silos e construindo colaboração para uma acção mais rápida, mais precisa e mais coordenada.
O que significa GRC - em Teoria e na Prática?
Há três componentes principais do GRC:
- ► Governação - Alinhar os processos e acções com os objectivos empresariais da organização
- ► Risco - Identificar e abordar todos os riscos da organização
- ► Conformidade - Assegurar que todas as actividades cumprem os requisitos legais e regulamentares
No passado, as organizações abordaram frequentemente a Governação, o Risco e o Cumprimento como actividades separadas. Processos ou sistemas eram frequentemente criados em resposta a um evento específico - por exemplo, novos regulamentos, litígio, violação de dados, ou descoberta de auditoria - com pouca reflexão sobre a forma como isso funcionava dentro do todo. O resultado foi um emaranhado de ineficiências, redundâncias, e imprecisões, incluindo:
- Falta de visibilidade em toda a paisagem de risco
- Acções contraditórias
- Complexidade desnecessária
- Incapacidade de avaliar os efeitos em cascata do risco
A realidade é que há muita sobreposição entre Governação, Risco, e Cumprimento. Cada uma das três disciplinas cria informação de valor para as outras duas - e todas elas têm impacto nas mesmas tecnologias, pessoas, processos, e informação. Uma organização, por exemplo, pode estar sujeita a um novo regulamento de privacidade de dados (uma actividade de conformidade), ao mesmo tempo que se mantém a certos controlos internos de protecção de dados (uma actividade de governação), ambos os quais ajudam a mitigar o risco cibernético (uma actividade de gestão de riscos).
Quando as três disciplinas do GRC são geridas separadamente, há uma duplicação substancial de tarefas. Várias equipas acabam por gastar horas a recolher os mesmos dados - e horas mais a desembaraçar os fios de correio electrónico e as folhas de cálculo apenas para começar a análise.
Processos mais prejudiciais e desconexos e falta de transparência deixam a organização cega a percepções e inter-relações entre os riscos, minando todo o sistema ao permitir que lacunas e redundâncias de controlos passem despercebidas. As equipas em silos também não compreendem como o seu domínio particular influencia a posição de risco da empresa como um todo ou o seu sucesso global.
Em suma, gerir o GRC em silos separados é muito esforço extra - e esse esforço produz muito pouca recompensa. Sem uma visão integrada de todas as actividades relacionadas com o GRC, é quase impossível identificar questões e inconsistências. Um risco prejudicial pode facilmente escapar por não ser detectado e não tratado, porque não se podia medir o impacto total até ser demasiado tarde.
Como Avaliar a Maturidade do seu GRC
Praticamente todas as organizações estão de alguma forma envolvidas na gestão de risco, mesmo que o "sistema" de gestão de risco seja incipiente. Não existe uma única forma correcta de gerir o risco e a conformidade - mas se o seu sistema actual não conseguir acompanhar a evolução das necessidades empresariais, poderá ser o momento de reavaliar a sua abordagem. Mesmo um sistema de gestão de risco de classe mundial pode ter espaço para melhorias, dado o ambiente de risco em constante mudança.
A utilização de um modelo de maturidade de risco que avalia a sua posição GRC é uma excelente forma de identificar onde se encontra agora. Poderá então comparar o seu estado actual com o local onde pretende estar - e avaliá-lo em relação ao valor e custo de um maior investimento na gestão do risco. Quanto mais maduro for o seu programa GRC, mais eficaz será na tomada de decisões, na tomada dos riscos certos, e na obtenção de melhores resultados para a organização.
Onde cai a sua organização no continuum?
Nível de Maturidade | Descrição | Atributos chave |
---|---|---|
Um | Ad hoc | A gestão do risco é indocumentada, em fluxo, e depende do heroísmo individual. |
Dois | Preliminar | O risco é definido de formas diferentes e gerido em silos. É pouco provável que a disciplina do processo seja rigorosa. |
Três | Definido | Está em vigor um quadro comum de avaliação de risco/resposta. É fornecida uma visão do risco a nível da organização à liderança executiva e ao conselho sob a forma de uma lista de riscos "de topo". Os planos de acção são implementados em resposta aos riscos de alta prioridade. |
Quatro | Integrado | As actividades do GRC são coordenadas entre áreas de negócio. São utilizados instrumentos e processos comuns de gestão de risco, quando apropriado, com monitorização, medição e comunicação de riscos ao nível de toda a empresa. As respostas alternativas são analisadas com planeamento de cenários e outras técnicas, tais como Simulação de Monte Carlo. As métricas do processo estão em vigor. Mas a ênfase mantém-se na gestão de uma lista de riscos. A discussão dos riscos a nível do comité executivo e do conselho de administração é separada da discussão da estratégia e do desempenho. |
Cinco | Optimizado | O foco passa da gestão de uma lista de riscos fora do contexto dos objectivos da empresa para a gestão para a realização bem sucedida dos objectivos. A consideração do que pode acontecer está embutida no planeamento estratégico, alocação de capital, e outros processos, bem como na tomada de decisões estratégicas e tácticas diárias. Existe um nível razoável de garantia de que os decisores estão a tomar o nível certo dos riscos necessários para o sucesso e não apenas para evitar o fracasso. Existem sistemas de alerta precoce para notificar o conselho e a direcção tanto de riscos específicos acima dos apetite de risco estabelecidos ou dos limiares de capacidade de risco - e quando a probabilidade de atingir os objectivos da empresa é inferior ao aceitável. A notificação à direcção e ao conselho de administração integra a notificação de desempenho (onde estamos agora) e o risco (o que pode acontecer) para projectar a probabilidade de alcançar cada objectivo da empresa. A discussão do risco a nível da gestão de topo e do conselho (o que pode acontecer) não está separada da discussão da estratégia e do desempenho. |
Como fazer o GRC da maneira correcta
A GRC eficaz estabelece os processos e sistemas que permitem decisões conscientes do risco a todos os níveis. Trata-se de dar a todos os interessados acesso aos mesmos dados de alta qualidade e em tempo real para que possam partilhar conhecimentos e colaborar em acções. Uma abordagem de GRC eficaz:
- Define um vocabulário comum para todas as disciplinas.
- Estabelece uma fonte de verdade.
- Padroniza processos, práticas, e políticas.
- Facilita a comunicação e a colaboração.
Embora as indústrias fortemente regulamentadas como finanças, energia, ou cuidados de saúde sejam as que mais necessitam de uma solução GRC integrada, qualquer organização - grande ou pequena, pública ou privada - pode beneficiar.
Quando o GRC é feito correctamente, cada parte da organização está alinhada em torno dos objectivos, acções e controlos certos para conduzir ao sucesso organizacional. O risco já não é algo a temer, a evitar ou a minimizar. O risco torna-se uma ferramenta para criar valor estratégico e elevar o desempenho.
O Valor do Software GRC
A tecnologia GRC integrada une processos e papéis em toda a organização para uma colaboração sem descontinuidades e conhecimentos inteligentes que apoiam as decisões orientadas pelos dados. Quebra muros e proporciona transparência entre as partes interessadas para que se possa compreender as ligações entre os riscos individuais, bem como a forma como tudo se reúne como um todo. E obtém enormes ganhos em eficiência e precisão, ao mesmo tempo que reduz os custos.
Com o software GRC, pode:
- Faça mais. A tecnologia GRC integrada automatiza tarefas de rotina, fluxos de trabalho e acompanhamento, reduzindo drasticamente o número de horas humanas necessárias. E porque todos os dados estão alojados num único local para todos utilizarem, elimina o trabalho duplo, pelo que se pode duplicar na análise.
- Lidar com mudanças intermináveis. Finalmente, contar, mais de 56.000 alertas regulamentares de 900 entidades reguladoras de todo o mundo foram enviados num único ano. O software GRC integrado é concebido não só para acompanhar eficazmente os novos regulamentos e leis, mas também para se manter um passo à frente do seu risco de conformidade e do impacto na organização.
- Ver quem fez o quê quando. Ter todos os dados de risco e conformidade num único repositório com capacidades robustas de rastreio fornece-lhe uma pista de auditoria clara documentando cada modificação.
- Colaborar sem problemas. O software GRC integrado traz todas as políticas empresariais e legais, procedimentos e riscos empresariais para um único local facilmente acessível a todos os interessados. Destrói silos ao estabelecer processos e controlos consistentes em toda a organização. Também fomenta uma cultura consciente do risco e cria um sentido de propriedade onde todos desempenham um papel na minimização de surpresas.
- Ver o quadro geral. O software GRC integrado permite-lhe ligar iniciativas e dados para descobrir conhecimentos reais sobre como uma parte do programa afecta outra e compreender o impacto total na organização. Com uma melhor percepção do seu programa como um todo, pode identificar melhor, estabelecer prioridades e abordar questões antes que estas se transformem em problemas de pleno direito.
- Responder a perguntas difíceis. Com processos simplificados, dados em tempo real, e análises integradas, o software GRC integrado torna rápida e fácil a criação de relatórios significativos que inspiram decisões orientadas por dados. Os painéis de controlo dão-lhe uma visão contínua sobre a eficácia dos seus programas. E a análise avançada aumenta a inteligência humana, retirando dos dados informações novas e mais detalhadas. Ter este nível de discernimento também permite às equipas de risco e conformidade oferecer aconselhamento estratégico e percepções preditivas à liderança.
O que perguntar ao considerar o novo software GRC
Programas de GRC fortes e tecnologicamente capazes podem ser um verdadeiro diferenciador competitivo para as organizações, pelo que é essencial fazer a escolha certa. Com múltiplas opções tecnológicas e sem definições comuns, saber quando se precisa de uma solução GRC - ou qual delas é necessária - não é fácil.
Aqui estão quatro perguntas para ajudar a definir o seu foco quando iniciar o processo de compra de software GRC:
- Que problemas está a tentar resolver?
Quais são as suas maiores preocupações? O risco cibernético? Conformidade comercial? Impactos de reputação? Riscos emergentes?
O primeiro passo na sua viagem de compra de software GRC é compreender as suas necessidades distintivas. É fácil ficar pendurado na procura e compra do "melhor" e mais rico em funcionalidades do mercado. Mas se estas soluções não lhe proporcionarem a inteligência accionável de que necessita para atingir os seus objectivos, então não lhe trarão o valor de que necessita.
- Que características e funcionalidades são hoje mais importantes?
Precisa de uma solução ERM, mais uma ferramenta de auditoria? Ou software ERM com capacidades adicionais de conformidade? E quanto às capacidades analíticas e de elaboração de relatórios? Deverá optar por uma plataforma única com múltiplas ferramentas para uma melhor colaboração - ou procurar soluções pontuais separadas para cada função?
Com tantas soluções no mercado, surgem inevitavelmente questões em torno da combinação certa de ferramentas, características e funções. O melhor plano de ataque é separar os musthaves dos nice-a-haves. Veja o que precisa hoje e o que provavelmente irá precisar no futuro. Compre a combinação de ferramentas que lhe proporcionará tanto a funcionalidade de que necessita neste momento como a escalabilidade para o levar para a frente - dentro de um orçamento razoável.
- Quem deve estar directamente envolvido no processo de compra?
Montar uma equipa de compras com base em três factores:
- Quem precisa do software?
- Quem mantém o software?
- Quem controla os fundos?
O envolvimento de demasiados interessados pode levar à compra de ferramentas de que não precisa ou ao desperdício de dinheiro em soluções de múltiplos pontos com características sobrepostas. Não se pode agradar a todos, por isso concentre-se em abordar os aspectos práticos daqueles que têm pele no jogo.
Normalmente faz sentido que a gestão do risco lidere a carga. A equipa de gestão do risco tem normalmente a maior visibilidade sobre quais as características e funções que irão cumprir as prioridades da organização. Esta equipa também tem a melhor visão de como o risco afecta toda a organização e tem o poder de ajudar todos a ver e pensar o risco de forma mais uniforme.
- Quem deve aconselhar?
Outros departamentos e partes interessadas ganham voz, mas não são iguais a dizer. A auditoria interna, por exemplo, é um conselheiro valioso no processo de compra de software do GRC. Este departamento pode verificar que a solução em consideração tem bons controlos, pelo que as pessoas certas avaliam os riscos certos, e a informação é fiável. Da mesma forma, as TI podem oferecer conhecimentos importantes em torno da implantação, formação e integrações.
A melhor solução GRC permite às organizações compreender o que pode acontecer e o que pode ser feito a esse respeito, para que a liderança possa tomar decisões rápidas e inteligentes para proteger a organização.
Pronto para redigir um Pedido de Proposta do GRC? Comece aqui.
A selecção de uma solução de software GRC pode ser esmagadora. Olham para uma jangada de soluções pontuais? Ou procura uma solução abrangente com ampla funcionalidade para facilitar a partilha de dados e a colaboração em toda a organização? Seja como for, um RFP é fundamental para encontrar o parceiro certo.
Descarregar este modelo para uma lista das questões mais críticas relacionadas com o GRC para ajudar a orientar o seu processo de compra. As perguntas são apresentadas numa folha de cálculo descarregável, que pode ser facilmente modificada para se adaptar às suas próprias necessidades.
Como Avaliar o Software GRC
Acompanhar os riscos, regulamentos e políticas em constante mudança requer uma solução tecnológica GRC que seja flexível, escalável e integrada. O software GRC correcto irá acrescentar eficiência, provar eficácia, e elevar o valor da função de gestão de riscos para a organização. Ao avaliar possíveis soluções, considere perguntar:
Como Implementar com Sucesso o Software GRC
O sucesso ou fracasso da implementação do software GRC assenta em grande parte na força da sua parceria com o fornecedor escolhido e na forma como está preparado antes da implementação. Com isso em mente, aqui estão oito dicas para o colocar no caminho para uma implementação bem sucedida do software:
- Definir a linha de chegada antes de começar. Começaria uma corrida sem saber onde fica a meta? Claro que não, uma vez que poderia perder tempo e energia preciosos indo na direcção errada. Da mesma forma, iniciar um projecto de implementação de software GRC sem definir claramente uma linha de chegada - ou seja, critérios de sucesso - pode levar a atrasos, confusão, e a um arrepio de alcance. Comece com requisitos comerciais bem definidos que estejam totalmente alinhados com a sua organização. Esses requisitos conduzirão às especificações funcionais/técnicas e aos critérios de teste de aceitação pelo utilizador - e, em última análise, medirão o sucesso do seu projecto.
- Não automatize um processo quebrado. Confortável como pode ser com os seus actuais fluxos de trabalho, desenhar o novo sistema GRC em torno das formas antigas é um erro dispendioso - mas comum - mas comum. A personalização pesada de novos fluxos de trabalho GRC para imitar os seus antigos pode ter graves implicações, incluindo prazos de implementação alargados, maior alcance, questões de suporte futuro, e incapacidade de utilizar outras funcionalidades padrão centrais (ou futuras). Os fornecedores investem inúmeras horas e dólares para desenvolver normas configuráveis baseadas nas melhores práticas, por isso esteja aberto à aprendizagem de como estas normas podem satisfazer os requisitos do seu negócio.
- Comunicar, comunicar, comunicar. Não assuma que o vendedor saberá automaticamente o que quer dizer sem que você o soletra. Quando se trata de uma implementação bem sucedida, não existe comunicação em demasia. Discuta todas as questões possíveis nas fases iniciais de uma implementação - e não seja tímido em fazer perguntas ou expressar preocupações. Mesmo as questões aparentemente pequenas podem ter um grande impacto no sucesso da implementação se não forem abordadas até às fases posteriores, ou pior, se não forem abordadas de todo.
- As implementações bem sucedidas são como um casamento. Tal como um casamento, a sua empresa e o vendedor precisam ambos de contribuir para que a união seja bem sucedida. A comunicação e a confiança são essenciais, ambas as partes precisam de ser responsabilizadas, e vai ser necessário muito trabalho para que a relação prospere. Se um dos lados se mantiver à margem, as suas necessidades podem não ser devidamente atendidas, o que pode comprometer a implementação. E se a relação ficar demasiado desequilibrada, pode acabar por ter um divórcio desagradável.
- Sim, é necessário um gestor de projecto designado. Embora uma implementação possa ser bem sucedida sem o papel de PM, as suas probabilidades de sucesso aumentam exponencialmente quando um gestor de projecto está envolvido. A coordenação de todos os recursos e tarefas durante uma grande implementação pode ser uma tarefa árdua. Algo tão simples como agendar uma reunião para múltiplas pessoas em organizações separadas pode revelar-se difícil se a função PM for dividida entre vários membros da equipa de implementação. Ter um único ponto de contacto centraliza as comunicações, racionaliza todas as actividades de implementação, e mantém todos no bom caminho.
- Seja realista com os seus outros compromissos de tempo. Fazer parte de uma equipa de implementação pode ser apenas uma das muitas tarefas na sua placa. Seja realista quanto ao tempo que tem disponível para dedicar ao processo de implementação, e informe o fornecedor - e os membros da equipa - sobre outros compromissos ou conflitos que tenha, assim que a linha de base do calendário do projecto for produzida.
- Não curto-mudar o processo de teste. Por mais tentador que seja acelerar os testes para cumprir o seu prazo, este não é o local ideal para cortar os cantos. Os testes de aceitação do utilizador integral de bypass ou de condensação podem prepará-lo para montanhas de problemas pós-vida, trabalho extra, e atrasos nos seus processos empresariais. O UAT adequado leva tempo a fazer correctamente - mas o esforço extra poupá-lo-á de muitas dores de cabeça ao longo do caminho.
- Preparar para o inesperado. Por mais diligente que seja, é virtualmente impossível identificar e preparar-se para todas as questões possíveis. Algo inesperado está destinado a acontecer, mas o impacto depende muitas vezes mais de como se reage do que da própria questão. Quando uma questão inesperada ameaça descarrilar a implementação, trabalhe construtivamente com a sua equipa para a enfrentar de frente e avançar. E se escolherem o fornecedor certo, juntos podem gerir habilmente quaisquer surpresas que surjam no vosso caminho.
Como construir um caso de negócios para o software GRC
As placas e a suite C podem reconhecer que a tecnologia GRC proporcionará uma melhor supervisão e melhorará o risco e o cumprimento em geral - mas ainda assim relutam em atribuir orçamento. O desafio é definir e medir o valor - custo, flexibilidade, eficiência, eficácia - de uma forma que seja suficientemente significativa para influenciar aqueles que seguram os cordões da bolsa.
O software GRC integrado normaliza processos, simplifica a recolha de dados e reforça a segurança. A automatização das tarefas de rotina permite à equipa de risco e conformidade passar da recolha de dados para um trabalho de maior valor, como a investigação e a remediação de questões. A análise integrada e os dados centralizados fornecem novos conhecimentos, orientados por dados, identificam interdependências que de outra forma passariam despercebidas, e dão uma visão antecipada dos indicadores de risco que podem ser utilizados para conduzir uma visão estratégica.
Acrescente a esse relatório em tempo real que extrai a história dentro dos seus dados para melhores e mais rápidas decisões. Os painéis de controlo também permitem a monitorização contínua de indicadores-chave e métricas. Em suma, o software GRC integrado dá-lhe dados concretos sobre o estado actual do seu programa de risco e conformidade, onde se encontram os seus pontos fracos, e o que precisa de ser feito. Mesmo na ponta dos seus dedos.
Mas o que falará mais alto à liderança? Sem surpresas, por exemplo. Não há nada que a direcção e o fato de C odeia mais do que estar cego por algo que deveria - poderia - ter conhecimento.
Uma plataforma GRC integrada coloca todos os riscos no seu radar, o que minimiza as surpresas. E depois há visibilidade. Com o software GRC integrado, cada risco é documentado e apresentado no contexto de outros riscos - assim como os objectivos da organização.
Os principais líderes estão bem cientes de que a própria sobrevivência da organização pode depender da sua capacidade de obter acesso instantâneo a dados de risco em tempo real para informar escolhas estratégicas difíceis que conduzirão ao sucesso organizacional. E com uma estratégia GRC bem planeada - apoiada por tecnologia GRC integrada - tem finalmente tanto a visibilidade para ver os seus riscos como a agilidade para se esquivar aos bloqueios na estrada, pode manter o seu destino encaminhado directamente para o sucesso.