Como a boa gestão e governança de informações ajudam nossos colegas de governança, risco e conformidade (GRC)

GRC is a popular acronym, and many large corporate entities have multiple Governance, Risk, and Compliance teams spread across different divisions and lines of business, but what is GRC really?

Governança, Risco e Conformidade é um conjunto de recursos que permitem a uma organization atingir objetivos de maneira confiável, ao mesmo tempo em que aborda a incerteza e age com integridade. Inclui políticas, procedimentos e tecnologias de habilitação para boa governança corporativa, garantia e gerenciamento de desempenho, risco e conformidade. Para dividir ainda mais:

• Governança é o ato de dirigir, controlar e avaliar externamente uma entidade, processo ou recurso para atingir objetivos de maneira confiável.
• O Gerenciamento de Risco descreve as ações tomadas para gerenciar processos e recursos para abordar e mitigar riscos enquanto busca recompensa, abordando assim as incertezas no ambiente operacional de negócios.
• Conformidade é o estado de ser capaz de cumprir requisitos específicos, incluindo aqueles impostos por órgãos reguladores externos, associações de padrões e governos, agindo com integridade.

A forma e a forma das atividades de GRC dependem da organization e do ambiente de negócios em que opera. Existem setores fortemente regulamentados, como o setor de Serviços Financeiros ou o setor Farmacêutico, de Saúde e de Biotecnologia, o que pode levar à necessidade de grupos especializados de Conformidade na organização. Em outros setores, as funções de Risco Corporativo ou Risco de TI realizam atividades de GRC específicas.

As atividades de GRC podem ocorrer em todos os níveis de uma organization. O modelo de “três linhas de defesa” é amplamente utilizado:

• Primeira linha - proprietários e gerentes de risco, principalmente na linha de negócios
• Segunda Linha - controle de risco e conformidade, equipes de back-office
• Terceira linha - garantia de risco, equipes de conformidade empresarial, funções de auditoria interna

Em todas as 3 linhas de defesa, existem muitas tarefas específicas e especializadas que precisam ser realizadas:

• Regulatory Compliance Management requires keeping up with all of the latest regulations (and changes to existing ones). Often, cloud-based Regulatory tools are used to manage the regulation details, provide alerts, and manage obligations.
• Control Mapping occurs once you know what regulations impact your business. Once known, these must be mapped to controls. Library controls are available via specialist GRC software.
• Policy & Procedure Management is the development, management, updating, and dissemination of policy and procedure to all involved stakeholders across the organization.
• Monitoring & Testing includes monitoring the controls that have been put in place and testing the procedures to ensure they are providing the appropriate levels of risk management and mitigation.
• Risk & Controls Assessments is the continuous assessment of risk and the controls designed to manage and mitigate it.
• Training & Education is dependent upon industry requirements and requires annual training and attestation that it has been undertaken.
• Issue Management – or compliance specific ‘adaptive case management’ – is the policy, procedure, tools, and business processes to manage issues that arise from the GRC processes. Issues might be identified at any of the 3 lines of defense.
• Complaint Management is required for some industries and dictates that policy, procedure, and processes must be in place to manage complaints received from customers and clients.

Como pode ser visto acima, GRC é um espaço amplo e potencialmente complexo e há muitas ferramentas especializadas disponíveis, com algumas das principais plataformas de GRC corporativas sendo IBM OpenPages, MetricStream GRC, SAP GRC e Thomson Reuters Accelus.

Essas ferramentas especializadas tendem a se concentrar nos regulamentos, mapeamento de controle, avaliação de risco e elementos de controle do GRC e podem estender significativamente as habilidades do GRC. Infelizmente, o que essas ferramentas não fazem bem - ou não fazem - é gerenciar o grande volume de documentos e e-mails que podem ser gerados por avaliações, testes, gerenciamento de problemas e gerenciamento de reclamações.

Como os profissionais de gerenciamento de informações podem ajudar

Como membros da AIIM e profissionais de gerenciamento de informações (trabalhando em grupos de gerenciamento de informações ou funções de governança, como equipes de gerenciamento de registros), podemos ajudar nossos colegas GRC com a experiência, processos e tecnologia para melhorar seus esforços para gerenciar a massa de informações não estruturadas que geram e trabalhar com.

Ao alavancar os conceitos de gerenciamento inteligente de informações, os profissionais de GRC podem fornecer estrutura para processos e repositórios de conteúdo a fim de melhorar a eficiência e, em última análise, ajudar nossos colegas a trabalhar de forma mais inteligente, não mais difícil. Nossos colegas de GRC são especialistas no assunto em seus próprios campos e podem não ter um bom entendimento do que são metadados e como eles podem ajudá-los a pesquisar informações. Além disso, eles podem não ter uma boa compreensão de como usar serviços de conteúdo, plataformas de gerenciamento de conteúdo empresarial ou outras tecnologias para armazenar, organize e recuperar um grande número de documentos, e-mails e outros artefatos gerados por sua governança, risco e processos de conformidade.

As an example, in a major Canadian bank, my Knowledge Management team helped a Compliance team that had to review very large numbers of reports on a daily basis. Unfortunately, this meant printing thousands of pages of paper, physically marking up that paper to show their work, signing it, and scanning it in for return to the line of business. We changed this to a PDF based process, with highlighting and comments in the PDF, and gained approval that the process of saving the document into the document management system (DMS) with its “last modified by” and “last modified date” metadata provided a better audit trail than a date and signature on a scanned copy. This very simple set of improvements saved hundreds of hours across a year, made it far easier for Compliance specialists and their line of business colleagues to collaborate on a report when a discrepancy was identified, and saved a considerable amount of money in printing and storage of paper—which also worked towards the bank’s environmental impact goals.

Ao longo de sua carreira, você pode fazer com que os colegas do GRC sejam proativos ao procurar ajuda; ou, você pode simplesmente ter oportunidades de educá-los e ajudá-los conforme a necessidade. Como sempre, devemos buscar entender seus problemas de negócios e pontos fracos, a fim de trazer nossa experiência em gerenciamento inteligente de informações para ajudá-los a melhorar sua situação.

How is your team currently working with the GRC colleagues without your organization? We’d love to hear your feedback! Email Brit Nowacki to share your thoughts.