GRC ou IRM? Ou a questão é sua plataforma?
Vivemos em um mundo onde jargões e expressões inundam as nossas organizações. Um desses termos tem sido o GRC (Governança, Risco e Compliance), expressão usada pelas empresas de software para se adequar ao que o mercado fala, comercializa e vende (produtos e serviços).
Do outro lado, a comunidade de analistas de tendências e avaliações de soluções de software, que criam jargões (a exemplo do GRC ou IRM), comercializam e vendem serviços de análise de softwares.
O termo GRC reinou por vários anos, mas em 2018 vimos uma mudança.
O Gartner, empresa global de pesquisa e consultoria, lançou uma nova abordagem: o Integrated Risk Management (IRM). Seu conceito vai além das soluções tradicionais de tecnologia de GRC voltadas para a conformidade, fornecendo insights acionáveis que estão alinhados com as estratégias de negócios, não apenas com os mandatos regulatórios.
Tal visão desencadeou uma série de discussões com os profissionais da área, com opiniões contraditórias que devem perdurar por um bom tempo.
O que tudo isso significa?
Para muitos, significa aprender um “novo idioma” e transformar os termos antigos em legado. Para outros, significa ficar em “cima do muro” e adotar o conceito, dependendo com quem você está falando. Para outros, não significa muito. Mas há mais a ser visto que a simples discussão se o software é de GRC ou IRM.
GRC e o IRM tratam do gerenciamento de riscos
Apesar dessa sobreposição, GRC e IRM têm pequenas diferenças que podem impactar como o campo é visto e abordado. Algumas das principais diferenças incluem:
Foco
GRC inclui a governança de uma organização e estratégias de gerenciamento de conformidade juntamente com o gerenciamento de riscos. O IRM, por outro lado, está focado no gerenciamento de riscos de segurança para a organização, que podem incluir governança e riscos regulatórios.
Escopo da responsabilidade
Tradicionalmente a responsabilidade pelo gerenciamento de riscos de segurança recai principalmente sobre a equipe de GRC da organização. Com a abordagem integrada do IRM para gerenciamento de risco, a responsabilidade é compartilhada por toda a organização.
Modelos mentais
O modelo IRM considera que o risco está mais bem alinhado com o conceito das três linhas de defesa. A primeira linha de defesa inclui funções que controlam e gerenciam riscos, a segunda incorpora supervisão ou especialização em gestão de risco e compliance, e a terceira envolve funções que fornecem verificação independente (como auditorias internas).
Embora não seja certo “se” e “como” o novo termo IRM será adotado em todo o setor de segurança, ele pode ter impactos significativos sobre o funcionamento da área.
Um novo conceito ou apenas uma evolução?
Na prática, com que você deve se preocupar?
Um dos aspectos que sua empresa precisa estar atenta é como ela se estruturou e se organizou para tratar o assunto. Como seu processo de GRC ou IRM funciona?
As diversas áreas colaboram entre si? Os objetivos corporativos com o processo são claros a todos? As equipes falam o mesmo “idioma” ou é uma verdadeira torre de babel? Os processos são padronizados?
Ficam aqui 8 dicas iniciais para que sua organização faça uma reflexão a respeito do assunto:
1. Avalie se foram definidos os objetivos gerais e específicos de sua estrutura de riscos – definição dos critérios, quem (áreas), o que, quando, o como e o porquê das ações (CONTEXTO).
2. Formalize os papeis e obrigações (RESPONSABILIZE) e a necessidade de colaboração (DIRETRIZ) de todas as áreas envolvidas para com o processo de controle dos riscos. Não será um software que irá mudar os SILOS e CULTURA de sua organização.
3. Mantenha alguns paradigmas inalterados:
• Quem faz não audita (ISENÇÃO).
• Não precisa saber detalhes do acidente ou dor para usar a cura (SOMENTE O NECESSÁRIO).
• Acesso a quem de DIREITO e NECESSIDADE (CARGO NÃO É CREDENCIAL).
4. Equalize os vocabulários, procedimentos e ferramentas, o máximo que puder, mas entenda que abordagens especificas precisam de ferramentas especificas (PADRÃO).
5. Implemente um processo de monitoramento e análise crítica de todo processo (MELHORIA CONTÍNUA).
6. Riscos devem ser compartilhados e consolidados (INTEGRAÇÃO), não pode haver silos ou retrabalhos, mas não desmereça a dica 7!
7. Defina o que comunicar e a quem. O mesmo vale para permitir consultas (NEM TUDO É PÚBLICO, GERAL E IRRESTRITO).
8. Processos, tecnologias e ferramentas são criados, calibrados e operados por PESSOAS. Trabalhe a cultura, TRABALHE PESSOAS (PESSOAS SÃO O ELO MAIS FRACO).
Em relação aos processos
Vamos considerar os meios tecnológicos para apoiar o seu PROCESSO:
PRIMEIRO: que a plataforma seja capaz de se adequar, com baixíssima intervenção em seu código-fonte. Ela deve ser maleável e altamente parametrizável (ADAPTABILIDADE, INDEPENDÊNCIA, VELOCIDADE).
SEGUNDO: que possua capacidade de se integrar ao seu legado de dados e informações (OTIMIZAÇÃO E SINERGIA).
Com isso não haverá, no futuro, empecilhos para que seu processo entre novamente em discussão como, por exemplo, de que soluções de software não representem a totalidade das necessidades de seu processo, seja ele GRC ou IRM. Leve este RISCO em consideração ao implementar seu processo de CONTROLE DOS RISCOS.