Qual é a melhor solução para sua organização?
Neste blog falaremos sobre duas grandes abordagens ou metodologias na área de gestão de riscos, como ERM e GRC, mas você sabe a diferença? Neste artigo, vamos ajudá-lo a entender suas diferenças para encontrar a melhor solução possível para sua organização.
Começaremos sabendo o que significa sua sigla. GRC significa Governança, Risco e Conformidade. Por outro lado, ERM significa Enterprise Risk Management.
Ambos os termos referem-se à gestão e gestão de riscos dentro de uma organização, ou seja, perseguem os objetivos estratégicos da empresa tentando minimizar possíveis riscos ou, na sua falta, mitigando seu valor da maneira mais otimizada possível. No entanto, esse objetivo comum tem uma estratégia totalmente diferente em cada um deles, como veremos a seguir.
ERM
O objetivo principal é a gestão de riscos, mas esse é o foco exclusivo dessa metodologia: identificar e avaliar os riscos do negócio com base na atividade e nos achados de cada área ou atividade.
Este processo deve ser transversal em todos os departamentos ou áreas da organização, aprofundando-se na recolha de informação de cada um deles para a definição dos riscos existentes e tomada de decisão com base nos seus objetivos operacionais. Em outras palavras, é uma análise empírica do risco individual antes da aplicação dos controles necessários.
Em suma, é um processo focado no risco, que se baseia na recolha de dados operacionais e objetivos de cada área, embora com uma visão transversal que ajudará na tomada de decisão.
GRC
Sua sigla já antecipa a mudança de abordagem em relação à metodologia anterior, uma vez que o objetivo principal é interligar áreas sob esses três pilares: Governança, Risco e Compliance. Desta forma, são criadas sinergias operacionais que otimizam os processos e evitam a duplicação.
O valor do GRC é suportado pela alta administração, portanto, é um processo de cima para baixo do organograma. Graças a isso, os riscos da empresa devem estar alinhados com a conformidade regulatória, assimilando estratégias genéricas aplicáveis a qualquer área ou departamento.
Esta solução é uma filosofia de análise de risco em torno dos objetivos de governança e conformidade e aplicável a toda a organização de forma padronizada.
Qual escolher entre ERM ou GRC?
Não existe uma metodologia melhor do que outra. Cada abordagem é válida dependendo da solução a ser implementada, com uma diferença fundamental: a ideia conceitual de risco. Em um deles, mais quantificável em cada processo e seus resultados, como no ERM, e no outro, de forma mais conceitual de compliance baseada em operações gerais, como no GRC.
Se você está procurando uma solução específica para atingir os objetivos de negócios focados nos riscos de cada área ou departamento, com informações detalhadas sobre cada um deles e, com base neles, tomar decisões operacionais, a abordagem ERM certamente será a melhor para você.
Por outro lado, se houver um grande envolvimento da alta administração, envolvida na governança da organização, com uma visão de risco e compliance genérica e aplicável a qualquer área, ou seja, com uma definição de controles certificados aplicáveis a toda a empresa, uma solução de GRC será a abordagem mais eficiente no seu caso. Além disso, por ser um conceito mais amplo de riscos operacionais, que conecta todos os departamentos da empresa, oferece uma visão mais completa ao “nível C” ou nível gerencial, ajudando a otimizar a governança da organização.
Em nossa organização , temos o GlobalSUITE, ® um software que facilita a implementação do sistema de gerenciamento de riscos corporativos e fornece automação e rastreabilidade em todo o processo de análise e gerenciamento de riscos.
Além disso, temos uma área de consultoria que irá aconselhá-lo e ajudá-lo a implementar o sistema para conhecer o status de proteção que sua organização possui contra possíveis riscos que afetam seus processos de negócios com base em um ERM ou GRC.
