Artigos

Governance, Risk e Software Compliance (GRC)

Por 21 de junho de 2018 Sem comentários

Governance, Risk e Software Compliance (GRC) – Necessidades atuais e Tendências de negócio

*Por Umberto Rosti

O GRC é a composição dos termos Governance, Risk & Compliance. Uma integração das áreas de conhecimento de Gestão de Riscos, Governança Corporativa, práticas de auditoria e aplicação de controles para assegurar a conformidade com leis, regulamentações e imposições de padrões, de forma centralizada na organização.

Ter uma visão holística do risco e da conformidade são problemas reais e a dificuldade em alcançá-lo é frequentemente reconhecido como um ponto de fraqueza para muitas organizações.

À medida que uma organização avança no desenvolvimento da gestão de risco, auditoria interna e práticas de conformidade busca-se uma nova questão:

Investimos em uma solução automatizada de GRC para melhorar ainda mais os controles?

É real a necessidade de apresentar maior transparência ao board e acionistas, e o não investimento em uma solução automatizada leva a uma abordagem realizada de forma “espalhada” pela organização. Práticas distintas de governança, gestão de riscos e controle, trazem muitas vezes redundância a abordagem realizada em outras áreas, o que pode acarretar uma perda de performance, produtividade e até uma má gestão de recursos financeiros.

A necessidade de uma maior eficiência surgirá mais cedo ou mais tarde.

Ferramentas para funções de governança, risco e conformidade

O principal objetivo de se ter um software GRC é o de automatizar grande parte do trabalho associado a documentação, relatórios da gestão de risco e atividades de conformidade que estão mais associadas com governança corporativa e objetivos de negócios.

Os principais usuários finais incluem auditores internos e os comitês de auditoria, os gerentes de risco e conformidade, e executivos responsáveis.

 As principais funções de um software GRC:

  • Funções de gerenciamento de auditoria que suportam auditores na gestão de documentos de trabalho e agendamento tarefas relacionadas à auditoria, gerenciamento de tempo e relatórios;
  • Recursos de gerenciamento de políticas que incluem uma forma de gerenciamento de documentos que permitem um ciclo de vida das políticas desde a criação até a revisão, mudança e arquivamento de políticas; mapeamento de políticas para mandatos e objetivos de negócios em uma direção, e riscos e controles em outro, bem como a distribuição e atestado de funcionários e parceiros de negócios.
  • Funções de gerenciamento de conformidade que suportam profissionais de conformidade com a documentação, fluxo de trabalho, relatórios e visualização de controle objetivos, controles e riscos associados, pesquisas e auto avaliações, testes e remediação. Em um mínimo, as gestões da conformidade não só incluem conformidade com relatórios financeiros (por exemplo, SOX), mas também pode suportar outros tipos de conformidade, como a regulamentação específica do setor (por exemplo, ISO 9000) e conformidade com políticas internas.
  • Funções de gerenciamento de risco que suportam o risco de profissionais de gestão com a documentação e avaliação de fluxo de trabalho e relatórios de análise, visualização e remediação de riscos (conforme definido na ISO31000). Este componente foca-se geralmente em riscos e acompanhamento de incidentes, mas também pode coletar dados de ferramentas de análise de risco (risco de crédito, risco de mercado, etc.) e fornece uma visão consolidada dos riscos.

O mercado de software GRC: a necessidade do negócio

A maioria das organizações tem ciência da necessidade de uma melhoria significativa na forma como eles gerenciam seu risco, auditoria interna e funções de conformidade através de uma melhor automação de dados e informações.

A necessidade de uma solução tecnológica GRC é evidente, mas a questão permanece: qual ferramenta tecnológica é capaz de fornecer a solução apropriada?

Entre as principais preocupações abordadas, talvez a principal é a capacidade das organizações para atualizar ou revisar facilmente seus sistemas tecnológicos de risco, tendo a capacidade de se adaptar e alterar os requisitos regulamentares, bem como a falta de flexibilidade para estender os sistemas atuais. Relacionado a esta questão, a falta de integração entre os sistemas e problemas com a incapacidade de integrar análise de risco de sistemas de risco múltiplo, ou seja, muitas organizações mantêm diferentes sistemas de informação para produtos específicos ou geografias, às vezes devido a aquisições passadas, e pode ser difícil e caro combinar ou então substituí-los por um novo sistema.

Além disso, o ritmo das mudanças regulatórias colocou em ênfase a capacidade das organizações em responder rapidamente aos novos requisitos.

Mas a necessidade comercial mais rápida se relaciona com risco de qualidade e gerenciamento de dados. Criar padrões de dados consistentes é um desafio para organizações, que muitas vezes geram dados de múltiplas locais com formatos de dados incompatíveis. Mais distante, departamentos dentro de uma organização podem não perceber que ambos têm um relacionamento com a mesmo contraparte, pois cada um pode fazer negócios com uma unidade de negócios ou subsidiária.

O mercado de software GRC:  Uma visão geral do mercado

O mercado GRC, conforme definido pelo setor de tecnologia, tem cerca de 10 anos.

Até agora, de uma perspectiva técnica, organizações geralmente optaram por sistemas de gerenciamento de riscos instalado internamente, mas hoje algumas organizações preferem optar por aplicativos de fornecedores de terceiros instalado em casa ou mesmo em menor número aplicações de fornecedores de terceiros hospedado por um outro fornecedor.

Atualmente o mercado de software GRC é dominado por alguns fabricantes sendo os principais: IBM, RSA Archer, MetricStream, Thomson Reuters, SAP ou Oracle.

Principais tendências que afetam o mercado de software GRC:

As funções do software GRC estão evoluindo com base em várias tendências, que incluem:

  • Necessidade crescente de recursos de auditoria interna como as organizações enfrentam requisitos regulatórios crescentes, supervisão de GRC e demandas para mais negócios de auditorias de desempenho.
  • Necessidade crescente de serviços de conteúdo regulamentar e gerenciamento de mudanças para lidar com os regulamentos proliferação. No rescaldo do global de 2008 crise financeira, a GRC deve apoiar a transparência objetivos de reguladores e tomada de decisão por líderes de negócios. Atualmente, o foco regulatório da O software está em combate à corrupção e suborno.
  • O desenvolvimento de análises de risco para apoiar Integração de gerenciamento de risco e desempenho gestão.
  • O surgimento de gerenciamento de risco de terceiros para garantir que terceiros não sejam inaceitáveis conformidade e risco.
  • Um foco na tecnologia operacional e crítica proteção de infraestrutura, o que aumenta a variedade e volume de dados de risco e controle (“dados grandes” gestão).

Abordagem SAFEWAY: uma visão holística de um software GRC

A Safeway se posiciona com o principal objetivo em sermos um parceiro avançado, abrangente e confiável para soluções de GRC, tendo uma opinião imparcial e agnóstica sobre o atual mercado de tecnologia.

A principal missão é encontrar a melhor solução para seus clientes.

O processo de seleção e escolha da melhor solução abrange algumas fases, como uma análise profunda das necessidades e contextos do negócio do cliente, visão clara no ambiente atual de TI, negociações de preços com o fornecedor, etc

Todos os aspectos são avaliados em nossa abordagem, mas a integração é o principal aspecto que deve ser observado na situação atual e futura da implementação de um software GRC, basicamente porque existe a necessidade de integração do processo de decisão dentro das organizações, ou seja, a integração é a essência do GRC e a SAFEWAY através da sua metodologia faz a melhor indicação ao seu cliente.

*Umberto Rosti é CEO da Safeway.

Sobre a [SAFEWAY]

[SAFEWAY] é uma empresa amplamente reconhecida como provedora de soluções premium em Segurança da Informação e CyberSecurity. De seu extenso portfólio, destacam-se diversas soluções, entre elas as baseadas nas plataformas:

● Archer da RSA Security, considerada pelos institutos Gartner e Forrester e pelo próprio mercado, a mais completa solução de integração de processos de Governança, Gestão de Riscos, Compliance e Gestão de Continuidade de Negócios;

● [SAFEWAY] Security Tower, suportada pelo IBM Qradar (tecnologia Watson), sob medida para cada organização em suas necessidades de gestão de segurança e cyberdefesa.

● E outras, envolvendo tecnologias ImpervaThalesBeyondTrust WatchGuard Technologies.

Aguardamos seu contato: [email protected]

Deixe uma resposta