Quando falamos de GRC a primeira ideia que nos surge é que estamos a falar de Governance, Risco e Compliance, e na verdade está correcta, mas esta sigla pode ter várias interpretações dependendo de quem a refere, bem como da forma como a interpreta e lhe dá corpo.
Mas afinal o que significa GRC?
Este acrónimo é uma referência abreviada para o conjunto de recursos críticos que devem cooperar juntos para atingir um desempenho baseado em princípios. Ele denota governança, gestão de riscos e conformidade, mas significa muito mais do que esses três termos simplesmente reunidos.
É importante lembrar que as organizações têm sido governadas e o risco e a conformidade geridos por muito tempo — portanto não é uma novidade.
No entanto, muitos não abordam essas actividades de maneira madura, nem o esforço despendido significa o aumento da probabilidade de se atingir os objectivos organizacionais, o que torna o GRC, actualmente como o entendemos hoje, algo novo e revolucionário.
Numa organização com visão de futuro, com uma estratégia bem definida e uma missão, o GRC é visto como uma colecção bem estruturada e integrada de todos os recursos necessários para dar suporte ao desempenho. Isto é baseado em princípios e processos em todos os níveis da organização. Assim podemos afirmar que o GRC não sobrecarrega o negócio, ele o apoia e melhora.
Para obter sucesso, devemos considerar os limites das leis, costumes sociais e incertezas que surgem com relação a riscos e recompensas potenciais. A gestão de desempenho, risco, conformidade e conduta ética também não pode ser separada da actividade de atingir objectivos. Tudo deve ser alinhado e operar por meio de recursos totalmente integrados de governança, gestão de riscos e conformidade.
As pessoas falam sobre o desempenho dos negócios e a necessidade de cumprir os objectivos, mas isso não é suficiente. A obtenção bem-sucedida do desempenho baseado em princípios requer capacidades coordenadas que abordam o desempenho em relação aos objectivos, risco decorrente de incertezas e conformidade com requisitos obrigatórios e voluntários, cada um com a consideração do outro. Esses recursos devem incluir um plano integrado de governança, gestão e garantia.
Os benefícios dos recursos integrados de GRC
Integrar os recursos desta sigla não significa criar um mega departamento e acabar com abordagens descentralizadas ou programáticas para gestão de riscos e compliance. Também não exige necessariamente o uso de apenas um sistema de tecnologia GRC.
Trata-se sim de estabelecer uma abordagem que garanta que as pessoas certas obtenham as informações apropriadas e correctas nos momentos certos, que os objectivos certos sejam estabelecidos, assim como que as acções e controlos exactos necessários para lidar com a incerteza e agir com integridade sejam implementados.
Ter um vocabulário unificado e taxonomias para a informação, estabelecer repositórios comuns para dados, documentos e informações, criar procedimentos padronizados e modelos para itens como políticas e formação, garantir uma comunicação regular e consistente entre todas as funções relevantes, incluindo tomadores de decisões estratégicas. Todos estes são aspectos de recursos de GRC integrados, eficazes e estabelecidos para objectivos de toda a empresa ou para departamentos ou projectos específicos.
Os benefícios da integração de recursos de GRC e os impactos negativos de uma abordagem isolada são dois lados da mesma moeda. Numa pesquisa realizada em 2012 e 2015, a maioria dos entrevistados forneceu informações sobre os resultados positivos que obtiveram por estar “na jornada GRC” e os restantes ofereceram uma imagem clara da falha de uma estrutura isolada.
Em particular, a diferença entre esses dois grupos foi marcante nos níveis de confiança que eles têm, ou não, no que sabem sobre as ameaças à organização e na sua capacidade de gerir estas ameaças com eficiência.
Aqueles que integraram pelo menos parcialmente recursos de GRC, em comparação com aqueles que permanecem isolados, têm três vezes mais chances de se sentirem confiantes de que podem avaliar o seu desempenho em relação aos objectivos estabelecidos, e que seleccionaram e estão a implementar os controlos de risco e conformidade correctos para proteger a organização.
Alguns resultados tangíveis:
- Melhor alinhamento dos objectivos com a missão, visão e valores da organização;
- Maior agilidade e confiança na tomada de decisões;
- Desempenho sustentado e confiável e entrega de valor;
- Alocação de capital para as iniciativas certas no momento certo;
- Responsabilidade de cima para baixo para os principais objectivos, riscos, requisitos e iniciativas relacionadas;
- Economia significativa de custos dentro dos recursos integrados;
Esses resultados aprimoram os atributos críticos de que uma organização precisa para ser confiante e competitiva. A confiança vem de estar ciente do que está a acontecer interna e externamente, para que as organizações possam avaliar as informações antes de agir e responder adequadamente. Significa ser ágil; movendo-se não apenas rapidamente, mas com a capacidade de mudar de direcção quando necessário para evitar ameaças ou agarrar oportunidades.