Por uma jornada de GRC com resultados sustentáveis

A escolha do parceiro e da metodologia é fundamental para que o projeto de GRC forneça resultados estratégicos aos negócios

João Libanori

30 de Outubro

Artigo Por uma jornada de GRC com resultados sustentáveis

Investir em tecnologias de governança, gestão de riscos e compliance (GRC) é um marco para a organização das empresas. Esse aporte significa que as organizações atingiram nível de maturidade e entrega de valor que demandam a digitalização de processos, a automação da cadeia de valor e a criação de integrações entre sistemas para sustentar novas evoluções e mais resultados.

O conceito de jornada de GRC traduz esse espírito de expansão e melhoria contínua. A partir do momento que se utilizam tecnologias e sistemas, um mundo de possibilidades é aberto à organização.

Como exemplo disso está a implementação de APIs entre o sistema GRC e outros sistemas legados, com o objetivo de fornecer indicadores que permitam o monitoramento – em tempo real – da performance de processos e controles-chave, bem como de exposição a riscos. Nesse cenário encontra-se a integração de dados sobre ameaças e vulnerabilidades, provenientes da área de segurança da informação, à visão de gestão de riscos.

Outra possibilidade é a integração com IoT, que permite a interpretação dos dados gerados pelos dispositivos para fins de gestão de riscos e compliance. É um processo no qual a base de dados será enriquecida ao longo do tempo, possibilitando a implementação de data analytics, machine learning e inteligência artificial para obtenção de insights e análises aprofundadas. O projeto GRC, portanto, é um passo fundamental para o alcance de uma transformação digital sustentável.

A escolha do parceiro e da metodologia

A transformação digital de GRC inicia-se com a escolha da ferramenta e do parceiro responsável pela implementação. A arte dos projetos de tecnologia para GRC está na definição da melhor metodologia para o cliente e em sua implementação com foco na execução de processos e nos resultados a serem entregues.

Para isso, o parceiro que fará a implementação e a ferramenta a ser utilizada são os grandes diferenciais do projeto. O processo decisório precisa ser realizado de forma assertiva e sempre guiado pelos objetivos que se deseja alcançar. Hoje, no entanto, há uma variedade de ofertas disponíveis. Normalmente, a primeira interação mais aprofundada com parceiros e ferramentas acontece durante apresentações comerciais, em que apenas os pontos fortes são destacados e os fracos, suprimidos.

Para saber o real impacto de ambos, é necessário conversar com clientes desses parceiros, solicitar ambientes demo para testes e realizar benchmark com outras empresas para colher observações práticas. Outra dica é acompanhar as publicações de casas de research especializadas em GRC, detentoras de insights advindos de diferentes perspectivas.

Caso o parceiro, que normalmente trabalha com clientes de diversas indústrias, apenas entregar o que foi solicitado, sem incorporar aos projetos sua rica experiência, há o risco de a plataforma rodar aquém de seu potencial. Implementações de GRC precisam estar focadas em fatores como simplicidade, objetividade, integração e produtos desejados, portanto, os processos das áreas precisam ser repensados sob essas premissas.

Se o projeto tem como objetivo apenas a transposição de processos analógicos em fluxos sistêmicos, o cliente pode não alcançar o resultado esperado – e é dever do parceiro apresentar todas as possibilidades à empresa.

Outro ponto diz respeito a prioridades na hora da contratação. Caso o time entenda que é possível chegar nos mesmos resultados, sem importar qual a ferramenta ou o parceiro, o processo decisório tenderá a priorizar o projeto de menor preço. Os líderes responsáveis pela contratação, portanto, devem elencar suas prioridades, pois as expectativas precisam estar razoavelmente alinhadas ao orçamento.

Hoje, se uma organização deseja iniciar a transformação digital de GRC de forma simples, adotando fluxos de deficiências e planos de ação, há ferramentas que atendem a esse objetivo. Porém, caso a empresa decida iniciar ciclos de risk assessment ou colocar em prática outras evoluções, a reflexão sobre a escolha do parceiro e da ferramenta faz diferença no longo prazo.

Como exemplo dessa lógica, imagine o seguinte cenário: por restrições de orçamento, um cidadão compra um carro popular. Pouco tempo depois, constitui família e, tempos depois, deseja frequentar um sítio no interior, cuja estrada local é irregular. A rodovia é extensa, o que exige uma motorização mais potente para ultrapassagens. Assim, provavelmente o cidadão terá trocado de automóvel algumas vezes. No final, poderá ter um SUV mais potente – e o baixo custo de transação permite que troquemos de automóvel periodicamente, conforme as necessidades do momento.

Agora, imagine uma situação similar com um sistema GRC. Será que toda vez que for preciso usufruir de novas capacidades, a empresa trocará de sistema ou investirá na sua evolução? As implementações de GRC demandam um significativo esforço operacional na organização, portanto, diferentemente de automóveis, que são trocados com relativa facilidade, os sistemas GRC não são.

A filosofia da jornada de GRC está na busca por expansões, melhorias e inovações ao longo do tempo, por isso, a escolha da ferramenta e do parceiro são determinantes para o projeto. O primeiro garantirá que os objetivos finais da jornada serão atendidos, enquanto o segundo auxiliará a alcançá-los com sucesso.

Tecnologias em GRC: inovação, competitividade ou ambos?

A jornada de GRC começa com a criação das áreas da segunda e terceira linhas de defesa. Os processos são iniciados de forma manual, normalmente por meio do Microsoft Office; com o passar do tempo, mais investimentos são feitos, principalmente em pessoas, possibilitando a entrega de resultados ainda melhores. Quando se é atingido um nível de maturidade, os próximos dados dependem da transformação digital do GRC.

A implementação de tecnologias e sistemas de GRC abre a organização a novas oportunidades, antes inacessíveis, além de aumentar a percepção de retorno sobre o investimento em compliance, tanto do ponto de vista competitivo quanto de proteção da marca. A jornada de GRC de uma organização necessita de tempo e de evoluções periódicas, após o projeto inicial, para seguir avançando.

O GRC inteligente está conectado a diversas bases de dados e a sistemas legados, que trazem indicadores, avaliações e testes automáticos. Os dados são apresentados em dashboards em tempo real e em relatórios extraídos em segundos. Esse estado de maturidade não é simplesmente implementado, é alcançado. Enquanto há organizações que iniciaram sua jornada e hoje se encontram em níveis elevados de maturidade, muitas ainda planejam ou estão iniciando a transformação digital em GRC. Quanto antes a jornada for iniciada, melhor, pois os benefícios de uma estrutura robusta de GRC são conquistados ao longo da jornada.

Quanto mais integrada e aprofundada for a análise de dados, melhor será o diagnóstico de eventuais problemas. Quanto mais sistêmico for o processamento de dados, mais tempestiva será a comunicação à administração. A tomada de decisão torna-se melhor, mais assertiva e rápida. Essa maior capacidade de resposta da organização aos riscos inerentes se traduz em vantagem competitiva, trazendo resiliência, conformidade, dinamismo e eficiência ao negócio.

Confira outros textos sobre GRC no Fórum Governança 4.0.