Como a boa gestão e governança de informações ajudam nossos colegas de governança, risco e conformidade (GRC)

Por:
Jed cawthorne
Julho 27, 2021

GRC é um acrônimo popular e muitas grandes entidades corporativas têm várias equipes de governança, risco e conformidade espalhadas por diferentes divisões e linhas de negócios, mas o que é GRC mesmo?

Governança, Risco e Conformidade é um conjunto de recursos que permitem a uma organização atingir objetivos de maneira confiável, ao mesmo tempo em que aborda a incerteza e age com integridade. Inclui políticas, procedimentos e tecnologias de habilitação para boa governança corporativa, garantia e gerenciamento de desempenho, risco e conformidade. Para dividir ainda mais:

  • Governança é o ato de dirigir, controlar e avaliar externamente uma entidade, processo ou recurso para atingir objetivos de maneira confiável.
  • O Gerenciamento de Risco descreve as ações tomadas para gerenciar processos e recursos para abordar e mitigar riscos enquanto busca recompensa, abordando assim as incertezas no ambiente operacional de negócios.
  • Conformidade é o estado de ser capaz de cumprir requisitos específicos, incluindo aqueles impostos por órgãos reguladores externos, associações de padrões e governos, agindo com integridade.

A forma e a forma das atividades de GRC dependem da organização e do ambiente de negócios em que opera. Existem setores fortemente regulamentados, como o setor de Serviços Financeiros ou o setor Farmacêutico, de Saúde e de Biotecnologia, o que pode levar à necessidade de grupos especializados de Conformidade na organização. Em outros setores, as funções de Risco Corporativo ou Risco de TI realizam atividades de GRC específicas.

As atividades de GRC podem ocorrer em todos os níveis de uma organização. O modelo de “três linhas de defesa” é amplamente utilizado:

  • Primeira linha - proprietários e gerentes de risco, principalmente na linha de negócios
  • Segunda Linha - controle de risco e conformidade, equipes de back-office
  • Terceira linha - garantia de risco, equipes de conformidade empresarial, funções de auditoria interna

Em todas as 3 linhas de defesa, existem muitas tarefas específicas e especializadas que precisam ser realizadas:

  • Gestão de conformidade regulatória requer manter-se atualizado com todos os regulamentos mais recentes (e alterações nos existentes). Freqüentemente, ferramentas regulatórias baseadas em nuvem são usadas para gerenciar os detalhes da regulação, fornecer alertas e gerenciar obrigações.
  • Mapeamento de controle ocorre quando você sabe quais regulamentações afetam seus negócios. Uma vez conhecidos, eles devem ser mapeados para controles. Os controles da biblioteca estão disponíveis por meio de software GRC especializado.
  • Gestão de Políticas e Procedimentos é o desenvolvimento, gerenciamento, atualização e disseminação de políticas e procedimentos para todas as partes interessadas envolvidas em toda a organização.
  • Monitoramento e Teste inclui monitorar os controles que foram colocados em prática e testar os procedimentos para garantir que estão fornecendo os níveis apropriados de gestão e mitigação de risco.
  • Avaliações de riscos e controles é a avaliação contínua do risco e dos controles projetados para gerenciá-lo e mitigá-lo.
  • Treinamento e Educação depende dos requisitos da indústria e requer treinamento anual e atestado de que foi realizado.
  • Gerenciamento de problemas - ou 'gerenciamento de caso adaptável' específico de conformidade - é a política, procedimento, ferramentas e processos de negócios para gerenciar problemas que surgem dos processos de GRC. Os problemas podem ser identificados em qualquer uma das 3 linhas de defesa.
  • Gerenciamento de reclamacoes é necessário para alguns setores e determina que políticas, procedimentos e processos devem estar em vigor para gerenciar reclamações recebidas de clientes e clientes.

Como pode ser visto acima, GRC é um espaço amplo e potencialmente complexo e há muitas ferramentas especializadas disponíveis, com algumas das principais plataformas de GRC corporativas sendo IBM OpenPages, MetricStream GRC, SAP GRC e Thomson Reuters Accelus.

Essas ferramentas especializadas tendem a se concentrar nos regulamentos, mapeamento de controle, avaliação de risco e elementos de controle do GRC e podem estender significativamente as habilidades do GRC. Infelizmente, o que essas ferramentas não fazem bem - ou não fazem - é gerenciar o grande volume de documentos e e-mails que podem ser gerados por avaliações, testes, gerenciamento de problemas e gerenciamento de reclamações.

Como os profissionais de gerenciamento de informações podem ajudar

Como membros da AIIM e profissionais de gerenciamento de informações (trabalhando em grupos de gerenciamento de informações ou funções de governança, como equipes de gerenciamento de registros), podemos ajudar nossos colegas GRC com a experiência, processos e tecnologia para melhorar seus esforços para gerenciar a massa de informações não estruturadas que geram e trabalhar com.

Ao alavancar os conceitos de gerenciamento inteligente de informações, os profissionais de GRC podem fornecer estrutura para processos e repositórios de conteúdo a fim de melhorar a eficiência e, em última análise, ajudar nossos colegas a trabalhar de forma mais inteligente, não mais difícil. Nossos colegas de GRC são especialistas no assunto em seus próprios campos e podem não ter um bom entendimento do que são metadados e como eles podem ajudá-los a pesquisar informações. Além disso, eles podem não ter uma boa compreensão de como usar serviços de conteúdo, plataformas de gerenciamento de conteúdo empresarial ou outras tecnologias para armazenar, organizar e recuperar um grande número de documentos, e-mails e outros artefatos gerados por sua governança, risco e processos de conformidade.

Por exemplo, em um grande banco canadense, minha equipe de Gestão de Conhecimento ajudou uma equipe de Conformidade que tinha que revisar um grande número de relatórios diariamente. Infelizmente, isso significava imprimir milhares de páginas de papel, marcá-lo fisicamente para mostrar o trabalho, assiná-lo e digitalizá-lo para retornar à linha de negócios. Mudamos isso para um processo baseado em PDF, com destaque e comentários no PDF, e obtivemos a aprovação de que o processo de salvar o documento no sistema de gerenciamento de documentos (DMS) com seus metadados de "última modificação por" e "data da última modificação" fornecidos uma trilha de auditoria melhor do que uma data e assinatura em uma cópia digitalizada. Este conjunto muito simples de melhorias economizou centenas de horas ao longo de um ano, tornou muito mais fácil para os especialistas em conformidade e seus colegas de linha de negcios colaborarem em um relatório quando uma discrepância foi identificada e economizou uma quantidade considerável de dinheiro na impressão e armazenamento de papel - que também atendeu às metas de impacto ambiental do banco.

Ao longo de sua carreira, você pode fazer com que os colegas do GRC sejam proativos ao procurar ajuda; ou, você pode simplesmente ter oportunidades de educá-los e ajudá-los conforme a necessidade. Como sempre, devemos buscar entender seus problemas de negócios e pontos fracos, a fim de trazer nossa experiência em gerenciamento inteligente de informações para ajudá-los a melhorar sua situação.

Como sua equipe está trabalhando atualmente com os colegas de GRC sem sua organização? Adoraríamos ouvir seus comentários! E-mail Brit Nowacki para compartilhar seus pensamentos.

Want a Demo? Request one today!

Postagens recentes