A Creetion ajuda os clientes SAP a melhorar a sua eficácia GRC utilizando o modelo das três linhas de defesa:
O GRC é mais do que um acrónimo cativante utilizado por fornecedores de tecnologia e consultores para comercializar as suas soluções – é uma filosofia empresarial. Esta filosofia permeia a organização: a sua supervisão, os seus processos, a sua cultura. Em última análise, o GRC tem a ver com a integridade da organização:
O desafio do GRC é que cada termo individual – governação, risco e conformidade – tem significados diferentes dentro da organização. Existe governação empresarial, governação de TI, risco financeiro, risco estratégico, risco operacional, risco de TI, conformidade empresarial, conformidade com Sarbanes-Oxley (SOX), conformidade laboral, conformidade com a privacidade… a lista de mandatos e iniciativas não pára.
É mais fácil definir o que o GRC NÃO é. O GRC não tem a ver com silos de risco e conformidade que funcionam de forma independente. GRC não é apenas tecnologia – embora a tecnologia desempenhe um papel fundamental. O GRC não é apenas um rótulo de serviços que os consultores fornecem. O GRC não se refere apenas à conformidade com a Sarbanes-Oxley. O GRC não é apenas um rótulo de gestão de riscos empresariais (ERM), embora o GRC inclua ERM. Além disso, o GRC não se refere a uma pessoa que determina todos os aspectos da governação, do risco e da conformidade.
O GRC é uma filosofia empresarial. Estas são funções individuais de GRC em toda a organização que trabalham em harmonia para fornecer uma imagem completa da governação, risco e conformidade. Envolve a colaboração e a partilha de informações, avaliações, estatísticas, riscos, investigações e perdas nestas funções profissionais. O objetivo é fornecer uma imagem completa dos riscos e da conformidade e identificar relações no complexo ambiente empresarial atual. O GRC é uma federação de funções profissionais – o secretário da empresa, o perito jurídico, a equipa de gestão de riscos, a auditoria, a conformidade, as TI, a ética, as finanças e outras – que trabalham em conjunto para criar e manter a sustentabilidade, a consistência, a eficiência e a transparência em toda a organização.
As definições que se seguem destinam-se a definir as componentes do GRC:
A governação é a cultura, a política, os processos, as leis e as instituições que determinam a estrutura através da qual as empresas são geridas e administradas.
O risco é o efeito da incerteza nos objectivos empresariais.
A gestão do risco consiste em actividades coordenadas para dirigir e controlar uma organização. O objetivo é melhorar as operações comerciais e gerir os acontecimentos negativos.
A conformidade é o cumprimento e a demonstração de leis e regulamentos externos, bem como de políticas e procedimentos empresariais.
O GRC é composto por três componentes: governação, risco e conformidade, todos necessários para gerir e gerir eficazmente a organização. Em suma, uma boa governação só pode ser alcançada através de uma gestão cuidadosa do risco e da conformidade. No ambiente empresarial atual, ignorar o GRC resulta numa falta de visão geral e de controlo dos processos empresariais, das relações com os parceiros, das acções dos empregados, dos sistemas e processos de TI, etc. O GRC alinha-os de modo a serem mais eficientes e geríveis enquanto organização. As ineficiências, os erros e os riscos potenciais podem ser identificados, evitados ou atenuados, reduzindo a exposição da organização e, em última análise, criando um melhor desempenho empresarial.
Saber mais?
Entre em contacto connosco
