GRC (para governança, risco e conformidade) é uma estratégia organizacional para gerenciamento de governança, gerenciamento de riscos e conformidade com os regulamentos do setor e do governo. GRC também se refere a um conjunto integrado de recursos de software para implementar e gerenciar um programa GRC corporativo.
O conjunto de práticas e processos do GRC fornece uma abordagem estruturada para alinhar a TI com os objetivos de negócios. O GRC ajuda as empresas a gerenciar com eficiência os riscos de TI e segurança, reduzir custos e atender aos requisitos de conformidade. Também ajuda a melhorar a tomada de decisões e o desempenho por meio de uma visão integrada de como uma organização gerencia seus riscos.
IBM OpenPages with Watson
Em seu nível básico, a governança é o conjunto de regras, políticas e processos que garantem que as atividades corporativas estejam alinhadas para apoiar as metas de negócios. Abrange ética, gestão de recursos, responsabilidade e controles de gestão.
A governança também garante que a alta administração possa direcionar e influenciar o que está acontecendo em todos os níveis da corporação e que as unidades de negócios estejam alinhadas com as necessidades dos clientes e as metas corporativas gerais.
A governança eficaz cria um ambiente onde os funcionários se sentem capacitados e os comportamentos e recursos são controlados e bem coordenados. Um dos objetivos da governança é equilibrar os interesses das muitas partes interessadas corporativas, incluindo a alta administração, funcionários, fornecedores e investidores.
Para manter esse equilíbrio, a governança pode ajudar a garantir, por exemplo, que os contratos entre as partes interessadas internas e externas da empresa sejam estabelecidos para a distribuição justa de responsabilidades, direitos e recompensas. Isso também inclui procedimentos para reconciliar interesses conflitantes entre as partes interessadas e processos que garantem que a supervisão, o controle e os fluxos de dados funcionem como um sistema de freios e contrapesos.
A governança fornece controle sobre instalações e infraestruturas, como data centers, bem como supervisão de aplicativos no nível do portfólio.
Acima de tudo, a governança é implementada para prestar contas de conduta e resultados. A conduta pode ser gerenciada por meio da aplicação de práticas comerciais éticas e regras de cidadania corporativa. A boa governança define os cargos com base nas linhas de negócios e avalia os funcionários com base nos resultados alcançados, e não com base nas responsabilidades.
O gerenciamento de riscos é o processo de identificação, avaliação e controle de riscos financeiros, legais, estratégicos e de segurança para uma organização. Para reduzir o risco, uma organização precisa aplicar recursos para minimizar, monitorar e controlar o impacto de eventos negativos enquanto maximiza eventos positivos.
No nível mais amplo, o gerenciamento de riscos é um sistema de pessoas, processos e tecnologia que permite que uma organização estabeleça objetivos alinhados com valores e riscos.
O objetivo de um programa de gerenciamento de riscos corporativos é atingir os objetivos corporativos, otimizando o perfil de risco e garantindo valor. Parte dessa tarefa é priorizar as expectativas das partes interessadas e fornecer informações confiáveis a essas partes interessadas.
Um programa de gerenciamento de riscos também se aplica à identificação de ameaças e riscos de segurança cibernética e de segurança da informação, como vulnerabilidades de software e práticas inadequadas de senha de funcionários, além de implementação de planos para reduzi-los.
O programa deve avaliar o desempenho e a eficácia do sistema, avaliar a tecnologia legada, identificar falhas operacionais e tecnológicas que possam afetar o negócio principal e monitorar o risco de infraestrutura e possíveis falhas de redes e recursos de computação.
Um programa de avaliação de risco deve atender aos objetivos legais, contratuais, internos, sociais e éticos, bem como monitorar os novos regulamentos relacionados à tecnologia. Ao focar a atenção no risco e comprometer os recursos necessários para controlar e mitigar o risco, uma empresa se protegerá da incerteza, reduzirá custos e aumentará a probabilidade de continuidade e sucesso do negócio.
A conformidade envolve a adesão a regras, políticas, padrões e leis estabelecidas por indústrias e/ou agências governamentais. Deixar de fazer isso pode custar a uma organização baixo desempenho, erros dispendiosos, multas, penalidades e ações judiciais.
Regulamentar a conformidade abrange leis externas, regulamentações e padrões do setor que se aplicam à empresa. A conformidade corporativa ou interna lida com regras, regulamentações e controles internos definidos por uma empresa individual. É importante que o programa de gerenciamento de conformidade interno seja integrado aos requisitos de conformidade externos. O programa integrado de conformidade deve ser baseado em um processo de criação, atualização, distribuição e rastreamento de políticas de conformidade e treinamento de funcionários sobre essas políticas.
Para criar um programa de conformidade eficaz, as organizações precisam entender quais áreas representam o maior risco e concentrar recursos nessas áreas. Em seguida, as políticas devem ser desenvolvidas, implementadas e comunicadas aos funcionários para abordar essas áreas de risco. A orientação deve ser desenvolvida para tornar mais fácil para os funcionários e fornecedores seguirem as políticas de conformidade.
Uma estrutura de GRC ajuda as organizações a estabelecer políticas e práticas para minimizar o risco de conformidade. As soluções GRC de TI e segurança estão focadas em alavancar informações oportunas sobre dados, infraestruturas e aplicativos virtuais, móveis e em nuvem.
Além disso, o programa GRC de uma organização deve melhorar a eficiência, reduzir os riscos e aumentar o desempenho e o retorno sobre o investimento (ROI). As empresas desenvolverão e usarão uma estrutura de GRC para liderança, organização e operação de suas áreas de TI para garantir que suportem e permitam os objetivos estratégicos da organização. Isso inclui informações correlacionadas no contexto de processos de negócios, políticas e controles, bem como atividades realizadas por equipes de TI, finanças, RH e diretores executivos.
Avaliação de riscos, gerenciamento de conformidade, auditorias internas e outras atividades de GRC podem consumir muito tempo e consumir muitos recursos quando realizadas sem uma plataforma de software GRC. Uma plataforma GRC pode ajudar as empresas a quebrar silos em processos e dados, cumprir os regulamentos e monitorar, medir e prever perdas e eventos de risco.
Ela também pode ajudar as empresas a gerenciar o ciclo de vida de modelos financeiros e baseados em inteligência artificial (IA) e melhorar a conformidade e os controles de TI. As empresas podem até medir o impacto dos requisitos regulatórios e de negócios na estrutura de políticas e dar suporte à medição automatizada e aos controles de TI por meio da integração com produtos de terceiros.
O GRC permite que as empresas estabeleçam, automatizem e gerenciem avaliações de risco e redução de risco. E os dados de uma plataforma GRC permitem que as empresas tomem decisões mais informadas e aloquem recursos para minimizar os riscos.
Auditorias para regulamentações como a Lei Sarbanes Oxley são os marcos pelos quais o GRC opera, e os departamentos precisam manter e proteger detalhes confidenciais, incluindo faturas, registros de recursos humanos e relatórios financeiros, a serem preparados para essas auditorias.
Um programa GRC eficaz pode ser particularmente útil para empresas que passaram por um evento ou falha significativa de conformidade ou risco. Além disso, as empresas que não confiam em sua conformidade ou relatórios e visibilidade de riscos financeiros internos e externos podem recorrer a um modelo GRC para ajudar a corrigir e monitorar conjuntos de controle redundantes e estruturas ineficazes para evitar preocupações de risco repetíveis.
Às vezes, as empresas podem achar difícil alocar recursos, lidar com conflitos de interesse e medir o sucesso. Isso pode ser o resultado de lidar com os custos crescentes de lidar com riscos e requisitos, ao mesmo tempo em que enfrenta o desafio de gerenciar o crescimento exponencial de relacionamentos e riscos com terceiros.
No entanto, as empresas podem definir e monitorar objetivos claros com métricas geradas a partir de uma plataforma GRC. Isso ajudará a aumentar seu desempenho e melhorar seu ROI.
As ferramentas de GRC são uma forma de gerenciar as operações e garantir que uma empresa atenda aos padrões de conformidade e risco. As ferramentas também podem ajudar a determinar e minimizar os riscos associados ao uso, propriedade, operação, envolvimento, influência e adoção de TI dentro de uma empresa. As ferramentas de GRC devem abranger risco operacional, política e conformidade, governança de TI e auditoria interna.
A maioria das ferramentas GRC possui alguns dos recursos a a seguir:
Ferramentas eficazes de GRC criam e distribuem políticas e controles e os mapeiam para regulamentações e requisitos de conformidade. Elas ajudam a avaliar se os controles foram implementados, se estão funcionando corretamente e se estão melhorando a avaliação e mitigação de riscos.
O IBM OpenPages with Watson é uma plataforma de governança, risco e conformidade orientada por IA e desenvolvida para ajudar as empresas a gerenciar riscos e desafios de conformidade regulamentar.
O IBM Watson Assistant fornece aos clientes respostas rápidas, consistentes e precisas em qualquer aplicativo, dispositivo ou canal.
O IBM Cloud Pak for Data é uma plataforma de dados aberta e extensível que fornece uma malha de dados para disponibilizar todos os dados para IA e análise de dados, em qualquer cloud.
Fortalecendo a primeira linha de defesa com recursos cognitivos e experiência do usuário aprimorada (UXD).
A IBM explora como, nos mercados financeiros globais em rápida mudança, as soluções de governança, o risco e a conformidade de última geração estão capacitando um número crescente de organizações e usuários de negócios a tomar decisões conscientes do risco e aumentar a eficiência e eficácia do processo.
Os profissionais de GRC no setor de serviços financeiros estão enfrentando uma nova era de digitalização. A tecnologia avançada, como a IA, pode desempenhar um papel importante para ajudar a gerenciar os riscos emergentes nesse ambiente imprevisível.