5 Tendências de GRC: Como a Governança, o Risco e a Conformidade Evoluem?

A taxa de mudança no mundo dos negócios é incompreensível.

Os riscos de negócios estão evoluindo diariamente, de fornecedores terceirizados a cadeias de suprimentos, questões regulatórias, preocupações com privacidade, desafios operacionais, ataques cibernéticos, preocupações financeiras, conformidade ambiental e muito mais.

Esses problemas não são isolados – são riscos interconectados que exigem soluções abrangentes. A necessidade de uma abordagem consciente e holística para governança, risco e conformidade (GRC) nunca foi tão crítica para as organizações.

À medida que o ambiente de negócios muda, as empresas precisam evoluir suas estratégias de GRC para manter uma visão abrangente dos riscos interconectados, entender as implicações financeiras desses riscos e tomar decisões mais informadas em todos os níveis.

Aqui estão algumas tendências de GRC para ajudar sua organização a adotar uma abordagem proativa para transformar o risco em uma vantagem estratégica.

1. Uma cultura de resiliência e agilidade para enfrentar os desafios do GRC

Por mais que tente, você não pode evitar todos os riscos. As empresas devem desenvolver uma cultura de resiliência à medida que consideram e se preparam para as ameaças mais urgentes.

A agilidade no gerenciamento de riscos refere-se à capacidade de uma organização de evitar um acidente. Por outro lado, a resiliência é como uma organização se recupera dela.

À medida que sua empresa se prepara para a inflação, a incerteza econômica e o risco global de estagflação – uma forte desaceleração no crescimento – você deve construir resiliência para se recuperar de obstáculos com impacto mínimo nos negócios.

A resiliência ganhou importância nos últimos anos. Ele se integra ao gerenciamento de riscos de toda a empresa e funciona em toda a organização, fornecendo uma visão abrangente do que está em jogo. Agilidade e resiliência se complementam.

A agilidade oferece uma visão estratégica da incerteza, enquanto a resiliência oferece medidas táticas para envolver todos os departamentos. A resiliência também é uma cultura, pois requer ação de todos os stakeholders organizacionais.

O especialista em GRC Michael Rasmussen compara essa cultura ao corpo humano:

Embora 75% das organizações reconheçam que os sistemas de tecnologia em silos representam um desafio de gerenciamento de risco, apenas 35% tomam medidas em nível empresarial para resolver o problema.

Quando as empresas alavancaram a tecnologia inteligente e uma visão "panorâmica" do risco, a PwC descobriu que seus conselhos e executivos eram cinco vezes mais propensos a ter alta confiança na capacidade da organização de entregar confiança às partes interessadas, maior resiliência e melhores resultados de negócios .

2. O papel do CIO está evoluindo

Líderes de tecnologia, como CIOs, superaram suas funções “secundárias” ou “back-end” de implementação de software e gerenciamento de projetos. Eles estão agora no centro das decisões corporativas, tornando-se tomadores de decisão críticos em funções de negócios essenciais, como marketing, vendas, desenvolvimento de produtos e finanças.

O relatório State of the CIO de 2022 conclui que os CIOs veem seu papel como equilibrar a inovação nos negócios com a excelência operacional. Três quartos dos líderes de TI esperam que seu papel mantenha sua importância recém-descoberta, impulsionada por esforços acelerados de transformação digital, independentemente do foco cíclico das organizações em questões de TI.

E mais de 80% dos CIOs disseram que são vistos como agentes de mudança, focados em inovação.

Essa mudança dramática da entrega tradicional de serviços de TI para uma função mais estratégica libera os CIOs para se concentrarem nas metas de negócios. À medida que seus líderes de tecnologia apresentam cada vez mais casos de negócios para executivos, eles se beneficiam de uma abordagem de quantificação de risco para atingir metas estratégicas e fornecer insights valiosos para o restante do C-suite.

Escalas de medição de risco mais antigas, como baixo, médio, alto, vermelho, amarelo e verde, eram muito subjetivas e deixavam as partes interessadas incertas sobre como as decisões de risco se alinhavam às necessidades de negócios. Ao quantificar o risco em termos monetários, sua organização pode ter uma linguagem de risco comum que mostra seu impacto na geração de receita.

Essa linguagem compartilhada leva a uma visão compartilhada do risco – fundamental para a tomada de decisões de negócios – elevando ainda mais o papel do CIO.

A linguagem compartilhada da quantificação de risco também facilita o planejamento e a análise de cenários, pois as condições econômicas obrigam as empresas a revisar seus orçamentos. As estratégias de mitigação de risco diferem significativamente em custo e reduzem o risco em valores diferentes. A quantificação de risco permite que os CIOs comparem as implementações de controle, avaliem as mitigações apropriadas e forneçam feedback ao conselho.

3. Os riscos de terceiros tornam-se mais críticos e passam por mais escrutínio

As organizações dependem cada vez mais de terceiros, desde gerenciamento de instalações e segurança física até serviços jurídicos e suporte técnico.

A incorporação de serviços de terceiros pode tornar sua empresa mais competitiva, permitindo que você aproveite as habilidades especializadas e o conhecimento especializado sem se sobrecarregar com o desenvolvimento de programas internos. Mas à medida que os relacionamentos com terceiros e fornecedores que tocam todos os aspectos de uma organização se expandem, o potencial de vulnerabilidades de sua organização cresce.

Quando você trabalha com fornecedores, os riscos deles se tornam seus riscos. O que mais? Terceiros estão cada vez mais trabalhando com terceiros. Qualquer violação ou falha experimentada por seus terceiros (e seus terceiros) coloca seus negócios em risco. Além das perdas financeiras que você enfrenta devido a vulnerabilidades de terceiros, sua organização corre o risco de resiliência operacional e danos à reputação.

Setenta e três por cento das empresas expressaram preocupação com o fato de terceiros exercerem muito controle sobre os dados dos clientes com privilégios e autorizações desnecessariamente extensos. E quase metade das organizações relatou uma violação de dados no ano passado, com três quartos atribuindo a violação a um terceiro com muitos direitos de acesso privilegiado.

Além das ameaças comerciais imediatas que resultam de uma violação, a perda potencial de confiança do cliente pode ter um impacto comercial mais imediato e quantitativo do que multas regulatórias ou risco de reputação. De acordo com a IBM, 38% do custo de uma violação de dados vem de negócios perdidos. Isso soma uma média de US$ 1,52 milhão.

Para construir e manter a confiança do cliente em fornecedores terceirizados, você precisa de uma abordagem proativa ao gerenciamento de riscos de terceiros. Em meio à crescente incerteza econômica, você precisa observar atentamente as empresas terceirizadas como negócios – quais fornecedores são de missão crítica e quais você pode eliminar com um impacto negativo mínimo.

À medida que as organizações apertam os parafusos de avaliação dos fornecedores atuais e aprovam novos relacionamentos, o gerenciamento de riscos de terceiros desempenha um papel fundamental. Parte de um software GRC holístico, os programas de risco de terceiros centralizam todas as informações essenciais sobre os fornecedores de sua empresa, facilitando o gerenciamento de desempenho, custos e riscos.

O gerenciamento eficaz de riscos de terceiros consiste em três componentes: um processo consistente de triagem de fornecedores, priorização significativa de fornecedores e monitoramento contínuo.

Processos de revisão

Como os terceiros alcançam todos os cantos da sua organização, todos precisam desempenhar um papel no gerenciamento de riscos para garantir que nada seja esquecido. Como empresa, você deve concordar com os critérios de avaliação e a estrutura para avaliar terceiros. Você também precisa decidir sobre as principais métricas de desempenho.

Você pode revisar contratos para identificar fornecedores que não cumprem seus compromissos e aplicar e gerenciar acordos de nível de serviço (SLAs) com mais rigor. Com o software GRC holístico certo, cada membro da equipe pode acessar os dados, ferramentas e linguagem comum necessários para realizar essas avaliações.

Priorização

A maioria das empresas trabalha com dezenas de fornecedores. A melhor maneira de garantir o sucesso do gerenciamento de riscos de terceiros é priorizar seus fornecedores críticos. Usando essas classificações, você pode desenvolver um processo de pontuação e cadência que reflita a importância do fornecedor.

Siga estas etapas para começar:

• Classifique cada relacionamento de terceiros com base em quão essencial é para suas operações.
• Liste os dados de cada fornecedor ou o acesso à rede: os sistemas e os níveis de autorização.
• Para cada fornecedor, detalhe as operações e funções potencialmente impactadas por um incidente.
• Use essas informações para decidir quais detalhes você precisa para avaliar as vulnerabilidades de cada fornecedor.

Monitoramento contínuo

A maioria das empresas realiza alguma diligência, mas muitas não monitoram os riscos de terceiros além de uma lista de verificação anual. Até então, as informações podem estar desatualizadas, fornecedores incompatíveis e seus negócios em risco.

Ao monitorar continuamente o risco de terceiros, você fica a par das superfícies de risco em evolução para mitigar vulnerabilidades e criar planos de contingência conforme necessário, com base em dados em tempo real em vez de informações coletadas no início do relacionamento.

TPRM é um esporte de equipe

O gerenciamento de riscos de terceiros afeta a todos, desde líderes de negócios e equipes de auditoria interna até departamentos jurídicos, de conformidade e de TI. Com as ferramentas certas e uma comunicação clara, sua empresa pode gerenciar os riscos do fornecedor para proteger você e seus clientes.

4. Aumento das regulamentações ESG

A conversa sobre meio ambiente, social e governança (ESG) como parte de um GRC holístico aumentou recentemente, com os esforços de ESG impulsionando decisões de emprego, comportamento do consumidor, deliberações do conselho e estratégias de investimento.

Embora no início de 2022, empresas como a BlackRock tenham falado sobre tornar o investimento sustentável uma prioridade, as contradições entre as reivindicações sobre os fundos ESG e seus relatórios reais despertaram o interesse dos reguladores.

A Securities and Exchange Commission apresentou dois projetos de regras para fornecer diretrizes para fundos ESG. Essas diretrizes exigiriam que as empresas de investimento e as empresas incluídas em seus fundos demonstrassem suas alegações de sustentabilidade antes de usar nomes relacionados à sustentabilidade.

Mais de 80% dos consumidores acreditam que as empresas devem moldar ativamente as diretrizes ESG, e quase todos (91%) os líderes empresariais acreditam que sua organização é responsável por agir em questões ESG. Além disso, 86% dos funcionários querem trabalhar para empresas que compartilham seus valores.

Desde reprimir a corrupção até manter a responsabilidade pelas metas de diversidade, equidade e inclusão (DEI) e reduzir as emissões, as empresas devem levar a sério o monitoramento e os relatórios ESG, ou correm o risco de ficar para trás.

Várias estruturas orientam quais fatores ESG são mais importantes para indústrias específicas, mas os EUA não têm um padrão estabelecido para ESG. Embora as estruturas forneçam metas gerais de relatórios, elas não fornecem informações sobre as práticas de gerenciamento ESG em andamento.

Para facilitar o monitoramento e a geração de relatórios, sua organização deve abordar o ESG como parte de seu programa holístico de GRC. Ao integrar suas iniciativas, dados e metas existentes em um software GRC robusto, você obtém mais informações sobre seu progresso e risco ESG.

Esses esforços serão recompensados ​​à medida que as empresas fornecerem cada vez mais relatórios demonstrando que suas promessas ESG estão alinhadas com suas ações.

5. O trabalho híbrido apresenta riscos para as pessoas, riscos cibernéticos

Uma organização resiliente requer estruturas flexíveis e adaptáveis ​​em todas as áreas operacionais. Embora o trabalho híbrido ofereça flexibilidade aos funcionários, também aumenta o risco operacional.

As organizações que trabalham para estabelecer seu “novo normal” em modelos híbridos devem adotar mudanças e agilidade para proteger dados, gerenciar funcionários de maneira justa e cumprir as metas da DEI.

Desafios da gestão de talentos

Os modelos de trabalho híbridos introduzem um novo risco à força de trabalho à medida que os gerentes enfrentam os desafios de uma força de trabalho dupla: estabelecer e manter relacionamentos iguais com funcionários locais e remotos. Um perigo dos modelos de trabalho híbridos é que eles dependem de um estilo de "gerenciamento andando por aí", o que pode ser desvantajoso para trabalhadores remotos.

Para evitar essa discrepância, sua organização deve investir em líderes. Forneça treinamento e desenvolvimento para promover habilidades de liderança virtual e ajudá-los a construir melhores conexões e relacionamentos com trabalhadores remotos.

Sua abordagem à avaliação de desempenho também precisa mudar. Não se concentre no tempo de um funcionário "no escritório". Baseie as avaliações sobre se os funcionários cumprem suas obrigações de trabalho, independentemente de onde trabalham.

Obstáculos às iniciativas do DEI

Os gerentes que navegam em ambientes de trabalho híbridos podem criar inadvertidamente duas "classes" de funcionários: funcionários de escritório com uma conexão sólida com a cultura da empresa e funcionários remotos com menos apego à empresa.

Mulheres e pessoas de cor encontram mais satisfação trabalhando em casa e são mais propensas a trabalhar remotamente do que seus colegas homens brancos. Essa preferência pode impedir a mobilidade interna de alguns funcionários sub-representados e comprometer o progresso das metas de DEI em toda a empresa.

Para combater esse risco, use dados para determinar se a mobilidade interna, a avaliação de desempenho e os benefícios dos funcionários são justos.

Depois de analisar os dados, identifique problemas e adapte as estratégias do local de trabalho a abordagens mais justas. Revise essas perguntas regularmente para ver se suas equipes estão no caminho certo ou se surgem novas preocupações.

Ameaças de segurança cibernética e conformidade

Violações de dados, grandes interrupções de TI e ataques de ransomware foram classificados como os principais problemas de risco para empresas em todo o mundo em 2022. O trabalho remoto, que contribui para o aumento dos riscos de segurança cibernética, não está indo a lugar nenhum. Mais de três quartos dos funcionários remotos disseram à Gallup que planejam trabalhar remotamente ou em capacidade híbrida pelo menos até 2022.

O Relatório de Comportamentos de Segurança da Tessian descobriu que mais da metade dos líderes de TI acredita que seus funcionários adotaram hábitos de segurança cibernética arriscados desde que se tornaram remotos – e mais de um terço dos funcionários concorda. Quando seus funcionários trabalham em casa, eles deixam a relativa segurança das conexões seguras do escritório.

Funcionários remotos são mais tentados a acessar materiais de trabalho em dispositivos pessoais. Adicione funcionários que trabalham em cafeterias e outros locais públicos e você terá uma receita para um desastre cibernético.

Um estudo da HP Wolf Security descobriu que cerca de um terço dos funcionários consideram as políticas de segurança um impedimento, e muitos até trabalham para contornar as medidas de segurança. De acordo com a empresa de segurança, quase todas as equipes de TI (91%) foram pressionadas a comprometer a segurança para manter a continuidade dos negócios, e 8 em cada 10 equipes identificaram o trabalho remoto como uma "bomba-relógio" de uma possível violação.

A proteção contra violações de dados e ataques de ransomware começa com a atualização das práticas e políticas de segurança cibernética da sua organização.

• Adote a autenticação multifator.
• Garanta que o treinamento dos funcionários reflita os mais recentes avanços na proteção de segurança cibernética.
• Por fim, equipe a equipe de TI para apoiar os funcionários a relatar comunicações suspeitas e seus próprios erros sem medo de represálias.

Priorize a gestão de riscos

A gestão de riscos é responsabilidade de todos. Cultivar uma cultura de resiliência e assumir o controle de relacionamentos com terceiros melhorará sua atitude de risco. O risco se torna uma vantagem estratégica quando você capacita seu CIO como um agente de mudanças e se compromete com práticas robustas de monitoramento e relatórios ESG.

Ao prestar a devida atenção ao seu pessoal – o maior ativo e risco de qualquer organização – você protege o progresso da DEI, combate ameaças cibernéticas em constante evolução e garante que suas equipes permaneçam eficientes em ambientes híbridos complicados.

Melhorar as práticas de segurança cibernética da sua organização deve ser sua prioridade. Escolha o logon único para tornar a autenticação mais segura e fácil para sua empresa.