Desafios tecnológicos das equipes de Gerenciamento de Risco Empresarial

As equipes de Gerenciamento de Risco Empresarial (ERM) estão satisfeitas com as ferramentas de Governança, Risco e Conformidade (GRC) para casos de uso básicos, mas encontram desafios significativos ao tentar selecionar uma ferramenta que atenda às necessidades de um conjunto diversificado de partes interessadas, de acordo com o Gartner.

“Os departamentos de ERM consideram que selecionar e implementar ferramentas GRC é um desafio, com o processo de avaliação de fornecedores sozinho levando mais de seis meses na maioria das organizações”, disse Zachary Ginsburg, diretor de Pesquisa do Gartner Legal Risk & Compliance Practice. “Então, para um departamento típico, pode levar pelo menos nove meses adicionais para atingir a funcionalidade completa de uma ferramenta GRC”, observou.

Encontrar uma única ferramenta para atender a todas as necessidades é desafiador — e muitas vezes leva a resultados piores

O longo processo de seleção de fornecedores reflete uma ampla gama de requisitos e partes interessadas que geralmente estão envolvidos na seleção de ferramentas GRC. Por exemplo, aproximadamente cinco funções ou subfunções de risco – como gestão de risco de crédito, segurança cibernética, TI, conformidade corporativa e gestão de risco operacional – normalmente usam a solução GRC primária da ERM 20% do tempo ou mais, com números semelhantes consultados na decisão de compra .

No entanto, muitos compradores de ferramentas GRC em ERM estão aumentando o tempo de implementação, enfrentando custos mais elevados ou criando desafios de dados ou de usabilidade com base em suposições erradas. Particularmente, muitos compradores acreditam (e muitos fornecedores afirmam) que ferramentas com módulos para diferentes fluxos de trabalho (por exemplo, conformidade, auditoria) superarão as combinações de ferramentas GRC e soluções pontuais que abrangem esses fluxos de trabalho.

“Como as ferramentas GRC e soluções pontuais de terceiros podem ser integradas por meio de conectores de dados ou APIs criados especificamente, o ERM e outras funções podem muitas vezes escolher as ferramentas mais bem projetadas para atender às suas necessidades e ainda ter integração de dados”, disse Ginsburg. “Portanto, os chefes de ERM devem considerar priorizar as suas próprias necessidades funcionais ao adquirir uma ferramenta GRC. Ao fazer isso, eles podem contornar ineficiências ou custos que estariam envolvidos na acomodação de uma ferramenta que não é ideal para seus próprios fluxos de trabalho”, aconselhou.

Integrando dados e processos de risco e gerenciando as partes interessadas 

Os departamentos de ERM podem usar ferramentas GRC para realizar pesquisas de avaliação de risco ou um número limitado de outros usos antes da implementação completa. No entanto, a maioria dos casos de uso primários de GRC, como a agregação de informações de risco em silos organizacionais, exigem implementação completa.

Os desafios mais comuns de implementação da ferramenta GRC tendem a ser a introdução de um registo/universo de riscos útil e a formação de pessoal. Garantir a interoperabilidade entre sistemas e processos de ERM, conformidade e outras funções de gestão de risco é crucial para a utilização de ferramentas GRC para agregar informações de risco.

“Sem selecionar uma ferramenta GRC com capacidades de interoperabilidade suficientes com outros sistemas contendo informações de risco, os chefes de ERM podem não perceber os benefícios do GRC sem personalização adicional ou soluções pontuais ou, na verdade, podem nunca perceber plenamente todos os benefícios potenciais”, disse Ginsburg. “Dado que estes desafios de implementação geralmente causam longos atrasos na obtenção do valor total esperado das ferramentas GRC, os chefes de ERM devem considerar priorizar as ferramentas GRC sobre o quão bem elas funcionarão ‘prontas para uso’ no processo de seleção.”

Além disso, para construir suporte para as melhores soluções, os chefes de ERM devem envolver outras partes interessadas organizacionais para determinar quais ferramentas de GRC podem apoiar mais facilmente a agregação de informações de risco de outras equipes e sistemas e gerenciar ativamente as expectativas das partes interessadas ao longo do processo de implementação.

Finalmente, os chefes de ERM devem determinar como a organização pode obter valor da ferramenta GRC durante a fase de implementação. Muito poucas organizações parecem capazes de utilizar a sua nova ferramenta para concluir algumas atividades que realizam no prazo de um a três meses, com este número a aumentar mais ou menos exponencialmente de trimestre para trimestre.

Serviço
www.gartner.com