Existem várias organizações que comparam funcionalidades de software para GRC (Governança, Riscos e Conformidade). Dentre as mais conhecidas delas está o Gartner, que divulga regularmente o seu já conhecido quadrante mágico, e a OCEG (The Open Compliance and Ethics Group), que divulga um relatório sobre tecnologias na área de GRC.
Mas antes de falar sobre software, precisamos entender de fato o que é GRC.
O que de fato é GRC?
Claro que todos rapidamente conseguem desvendar o acrônimo GRC. Mas o simples entendimento dessas palavras não chega perto de explicar o seu conceito como um todo.
Embora o “inventor” desta sigla não seja reconhecido por unanimidade, uma definição que acho interessante é a da OCEG. Eles na verdade apresentam mais do que uma definição, mas sim toda uma página explicativa. Aqui deixo alguns trechos que ajudam no entendimento:
O GRC é a coleção integrada de recursos que permite que uma organização alcance objetivos de maneira confiável, resolva as incertezas e aja com integridade.
GRC como um acrônimo denota GOVERNANÇA, RISCO e CONFORMIDADE – mas a história completa do GRC é muito mais do que essas três palavras.
O acrônimo GRC foi inventado como uma referência abreviada para os recursos críticos que devem trabalhar juntos para alcançar o Desempenho com Princípios – os recursos que integram a governança, gerenciamento e garantia de desempenho, riscos e atividades de conformidade.
Isso inclui o trabalho feito por departamentos como auditoria interna, conformidade, riscos, jurídico, finanças, TI, RH, bem como as linhas de negócios, equipe executiva e o próprio conselho.
Tudo tem a ver com alcançar os objetivos que irão agregar valor ao negócio. A governança inclui o estabelecimento de objetivos e estratégias, o gerenciamento da organização por meio de tomadas de decisão informadas e inteligentes, a medição e o monitoramento do desempenho e muito mais. A jornada para o sucesso tem que incluir a antecipação e a gestão do que pode acontecer (Risco) enquanto se age com integridade (Conformidade). Cada parte da organização tem que trabalhar em conjunto, em harmonia e com objetivos compartilhados, para que o potencial da empresa seja realizado.
ARTIGO RELACIONADO O papel da gestão de riscos e auditorias internas na governança corporativa
A dificuldade na escolha de um software de GRC
Poucas soluções e plataformas de GRC apresentam alguma funcionalidade significativa em torno da definição e comunicação de objetivos e estratégias (isso sem falar na integração dos riscos e na medição do desempenho em relação a esses objetivos e estratégias). Em outras palavras, elas realmente não fornecem informações sobre o quão bem estamos indo em relação aos nossos objetivos, e o que estamos fazendo para garantir que eles sejam alcançados.
É muito mais do que adicionar riscos a um relatório com indicadores de desempenho. É sobre entender a probabilidade de alcançarmos nossos objetivos.
A maioria das soluções pensa no GRC como o atendimento de necessidades relacionadas a um subconjunto do GRC, como por exemplo a combinação de:
- Gestão de riscos
- Gestão de políticas e procedimentos
- Alguns aspectos de conformidade
- Auditoria interna
Mas em alguns casos, até mesmo a combinação desses elementos pode não fazer sentido. O que precisa estar claro é que o ponto de encontro precisa ser o desempenho global da organização. Quais elementos agregam valor para que o os objetivos estratégicos sejam alcançados.
Essa é uma análise que precisa ser feita de forma individual e honesta. E as conclusões podem ser (e na maioria dos casos serão) diferentes para cada organização. Em uma, a auditoria interna pode ter um papel importantíssimo, pois os controles precisam ser altamente precisos e eficazes. Em outra o cumprimento de políticas através de processos e procedimentos automatizados pode ser crucial para o desempenho.
Com isso em mente. E escolha de um software de GRC pode se tornar mais simples e trazer resultados melhores.
Recomendações para escolher um software de GRC
- Compre o software que atenda às necessidades de sua organização, não necessariamente o atribuído como GRC e com a classificação mais alta dos analistas. É improvável que as necessidades da sua organização sejam iguais aos critérios usados pelos analistas.
- Entenda como você deseja que os vários processos de negócios funcionem no curto e no longo prazo e, em seguida, como eles podem ser aprimorados pela tecnologia. Faça isso concentrando-se primeiro em funções individuais (como gerenciamento de riscos) ao invés de querer analisar várias funções ao mesmo tempo.
- Onde faz sentido comprar uma solução que atenda às necessidades de mais de uma organização, onde a integração tenha um valor claro, faça isso. Mas não busque a integração à custa da eficiência e eficácia das partes individuais.
- Não permita que as funcionalidades tenham influência indevida na aquisição de tecnologia. Os proprietários das partes da organização em que a tecnologia agregaria mais valor ao negócio como um todo devem ter a maior influência. (Isso para evitar que, por exemplo, a falta de funcionalidades para auditoria interna impeça a aquisição da melhor tecnologia para gerenciamento de riscos.)
- Envolva todas as áreas que terão responsabilidades no processo de GRC. o Alinhamento e consenso de expectativas pode ser uma tarefa difícil, mas ela precisa ser feita neste momento.
SoftExpert GRC
O SoftExpert GRC é uma solução web que oferece suporte aos processos de governança, gestão de riscos e conformidade na organização. Ela permite que as organizações integrem efetivamente a execução da estratégia de negócios com as práticas de conformidade e gestão de riscos. Como resultado, os gestores trabalham para o atingimento de suas metas tendo o suporte da gestão de riscos e garantindo conformidade com as políticas corporativas, leis e regulamentações, como SOX, COSO, COBIT, ISO 31000 entre outras.
