Quando se trata de GRC (Governança, Risco e Conformidade), entender as responsabilidades da gestão de riscos integrados de cada parte interessada, interna e externa, não só é uma boa prática. É também um componente essencial para se preparar e se defender contra ameaças que podem causar sérios danos à sua organização.
Inscreva-se no webinar: Como envolver sua linha de negócios em iniciativas de cibersegurança
Estruturas e processos podem ajudar a iluminar o caminho para um programa saudável de gestão de riscos. Entretanto, pode ser desafiador traduzir e reforçar essas práticas para os envolvidos que as realizam diariamente.
Cada um dos profissionais da linha de negócios, risco e conformidade e auditores desempenha um papel nas responsabilidades da gestão de riscos integrados. O IIA (Instituto de Auditores Internos ou Institute of Internal Auditors, em inglês) define essas funções específicas como as três linhas de defesa, Cada uma é responsável por diferentes tarefas na organização e pela colaboração do programa de GRC. Apesar de terem diversas funções, cada parte interessada do risco, enquadrada em sua respectiva área, deve manter uma colaboração clara e fluida, além de uma comunicação de governança eficaz.
Responsabilidades da gestão de riscos: As três linhas de defesa
Apesar de já ter sido definido por diversas organizações, o modelo das três linhas de defesa foi originalmente desenvolvido pelo Instituto de Auditores Internos para ajudar as organizações a criar uma hierarquia de atribuições para que suas equipes possam alinhar, colaborar e auditar os riscos – tudo para se proteger e responder a isso.
A primeira linha de defesa
Quando se trata das responsabilidades da gestão de riscos integrados, a primeira linha de defesa recai sobre as unidades de negócios da sua organização. Também chamadas de linhas de negócios, essas unidades representam os aspectos funcionais da sua empresa. Segurança, marketing, atendimento ao cliente, vendas, finanças, produção e recursos humanos são as unidades de negócios mais comumente definidas e reconhecidas por todos os setores do mercado.
Todos os dias, essas partes interessadas interagem e influenciam os fatores de risco. Por serem o primeiro ponto de contato, elas formam a “primeira linha de defesa”, “linha de frente”” ou ainda, de forma mais ampla, a chamada “linha de negócios”. Em um cenário ideal, esses departamentos participam e assumem responsabilidades na identificação e gestão de riscos, além de também colaborarem com o programa de GRC na redução proativa dos riscos que surgem. As organizações devem incluir esses membros da equipe em qualquer planejamento e desenvolvimento de novas políticas organizacionais, pois eles lidam com riscos regularmente.
A segunda linha de defesa
Suas equipes de conformidade e gestão de riscos representam a segunda linha de defesa das responsabilidades de gestão de riscos integrados. Organizações sem recursos para designar uma equipe com membros dedicados em uma ou em ambas as áreas devem criar um comitê para gerenciar as obrigações da segunda linha de defesa. Essas partes interessadas ajudam a definir o risco para a empresa, reforçam as estratégias da gestão de riscos e verificam proativamente as lacunas, adicionando uma camada de proteção de risco.
A segunda linha de defesa é responsável por supervisionar o risco e monitorar os controles de forma consistente. Além disso, ela também mede o risco de conformidade geral para garantir que sua organização esteja em dia com as leis, normas, estruturas e políticas gerais de governança aplicáveis. Historicamente, a segunda linha de defesa dava ênfase nos riscos financeiros e nos erros de relatórios. No entanto, ela evoluiu para abranger muitos outros domínios dos riscos, incluindo gestão de riscos de TI, gestão de riscos de terceiros, risco operacional, risco corporativo, conformidade com a privacidade e muito mais.
A terceira linha de defesa
A terceira linha de defesa é sua salvaguarda para garantir, avaliar e confirmar a boa execução e planejamento das práticas, bem como para aplicar medidas corretivas. Suas partes interessadas são seus auditores internos, cuja responsabilidade é fornecer garantia de risco independente para seus controles. Devido a diversas obrigações de conformidade, as equipes de auditoria externa validam ainda mais os esforços da auditoria interna.
A orientação para as equipes de auditoria e a separação de tarefas evoluíram significativamente desde que o “modelo de três linhas de defesa” original foi descrito. Embora a independência e a objetividade ainda sejam essenciais para cumprir seu papel, a orientação para envolver a auditoria com antecedência aos acontecimentos se tornou frequentemente encorajada desde o início, para destacar medidas corretivas e oportunidades de otimização. Uma parte significativa de sua função atual e tradicional é medir a eficácia do controle; “como essa prática está sendo executada?” e medir o projeto de controle; “essa prática mitiga o risco como pretendido?” Muitas vezes, eles medem seus controles em relação a padrões internos reconhecidos (políticas e orientações corporativas), bem como estruturas e regulamentos publicados (ISO, GDPR, OSHA etc.) para auditoria interna. Os resultados da auditoria e os relatórios são apresentados à liderança para informar como a empresa está operando no momento e como ela pode melhorar as operações.
Os auditores apresentam uma perspectiva independente – eles não precisam ser totalmente separados do processo. A orientação atualizada e a modernização das três linhas do modelo de defesa recomendam envolver a auditoria mais continuamente, inclusive na fase de projeto e implementação de iniciativas-chave, como a automação. A incorporação de sua equipe de auditoria antes que os processos sejam estabelecidos ajudará a fortalecer a colaboração do programa de GRC e a otimizar as operações.
Supervisão e liderança
Por fim, cada linha de defesa se reportará à gerência sênior: CFO, CIO, CISO. Embora não envolvida diretamente nas três linhas de defesa, nem diretamente com a colaboração do programa de GRC, a equipe de liderança desempenha um papel crucial na execução de seu programa de gestão de riscos integrados e é tarefa desse grupo tomar decisões estratégicas sobre os riscos. Além disso, é a alta administração que define o tom para estabelecer os objetivos de negócios e a cultura da empresa, além de ajudar a defender a adesão em toda a empresa para iniciativas de risco.
Primeira linha de defesa: Colaboração oportuna
As melhores práticas da gestão de riscos estão fazendo a transição para modernizar antigas abordagens. Tradicionalmente, a gestão era feita em um silo com profissionais secundários que preenchiam relatórios pontuais manualmente. Além disso, muitas vezes esses profissionais eram compelidos apenas por requisitos de conformidade, o que resultava em uma visão limitada da exposição a riscos e do impacto nos negócios.
Com a digitalização e a subsequente velocidade dos negócios de hoje, esses modelos se tornaram desatualizados e avaliações periódicas seriam completamente irrelevantes antes mesmo de chegarem aos destinatários pretendidos, levando sua organização a riscos imprevistos.
Inscreva-se no webinar: Como envolver sua linha de negócios em iniciativas de cibersegurança
A necessidade de velocidade e colaboração do programa de GRC nas três linhas de defesa
Como trabalhar com a transformação digital e IoT
O alinhamento, a comunicação e a colaboração são essenciais para coordenar as respostas necessárias e oportunas ao risco. Atualmente, os dados e as análises são mais abundantes do que nunca. O cenário orientado por dados no qual as empresas operam hoje fornece uma compreensão precisa e rápida de seus riscos. E para coletar esses dados em tempo real, as organizações precisarão se apoiar fortemente em sua primeira linha de defesa.
E à medida que as empresas continuam a crescer cada vez mais rápido, é necessária uma comunicação transparente e rápida com as partes interessadas em todas as três linhas de defesa. Caso contrário, as informações e insights coletados rapidamente se tornarão notícias velhas e perderão valor para a organização. Sem essas atualizações regulares, sua gestão de riscos terá uma série de lacunas para proteger sua organização.
Como os resultados podem ameaçar a existência da sua empresa, a gestão de riscos de hoje não se trata mais de uma revisão de táticas realizada uma vez por ano para garantir que você esteja cumprindo com os regulamentos, mas sim de uma prática consistente para garantir que a sua empresa sobreviva.
Use a tecnologia para promover a colaboração do programa de GRC e gerenciar suas linhas de defesa
Fazer as responsabilidades da gestão de riscos integrados funcionarem em sua organização significa envolver todos os departamentos. Você verá os benefícios. Todos entenderão a centralidade da gestão de riscos em sua estratégia de negócios e também verão como ela é essencial à medida que a aplicam no dia a dia.
Caso ainda não esteja usando as três linhas de defesa, há uma grande chance de que elas se tornem agentes de mudanças em sua organização. Não importa qual seja a sua responsabilidade como parte interessada no risco, inicie uma conversa sobre transformação. Tenha dados e análises como aliados para fornecer correlação, contexto e valor.
A plataforma OneTrust GRC é onde você poderá encontrar essas informações com rapidez. Trata-se de um conjunto de produtos de gestão de riscos integrados que você pode usar para identificar, medir, mitigar e relatar riscos em suas três linhas de defesa. A plataforma OneTrust GRC ajuda a deixar sua organização a par das melhores práticas de gestão de riscos e pode gerenciar todas as suas responsabilidades relacionadas.
Faça sua avaliação gratuita ou agende uma demonstração hoje mesmo.
Leituras complementares sobre colaboração do programa de GRC:
- Leia o artigo: Quais são os benefícios de uma ferramenta de gestão de GRC?
- Leia o artigo: Problemas comuns com o uso de planilhas para conformidade com GRC
- Faça o download do white paper: A nova era de GRC: Como evitar a personalização complexa
Próximas etapas da colaboração do programa de GRC:
- Inscreva-se no webinar: Como envolver sua linha de negócios em iniciativas de cibersegurança
- Assista ao webinar: Otimizando a GRC: O valor da privacidade e do contexto de risco
- Saiba mais: O que é OneTrust GRC
- Veja o vídeo: Demonstração da Solução OneTrust GRC
- Leia a ficha informativa: OneTrust GRC – Gestão integrada de riscos