Embora seja discutível se o processo de gerenciamento de riscos é sustentado por necessidade devido ao ambiente regulatório, ninguém discordaria de que um processo efetivo de gerenciamento de riscos tem benefícios. Um programa de GRC bem gerenciado não só aumentará a capacidade da administração de prevenir e detectar fraudes ou irregularidades, mas também controlará falhas que possam resultar em descumprimento regulatório ou violação de regras e regulamentos.
Para utilizar um software de GRC, as empresas precisam de suporte de alto nível, monitoramento e supervisão adequados de riscos, funcionários qualificados e atividades de controle que sejam relevantes e equilibradas. Em geral, a eficácia do processo de gerenciamento de risco e do software de GRC de uma empresa depende das qualidades desses quatro fatores:
- Governança de risco;
- Avaliação de risco;
- Mitigação de Risco;
- Relatório de risco.
No centro do processo de gerenciamento de riscos está o software de GRC, cuja eficácia é diretamente afetada pela cultura antifraude e compliance da empresa; isto é, sua tolerância ao risco e atitude para fazer as coisas certas na primeira vez e fazer a coisa certa. Isso é evidenciado pelas ações de seu conselho – definidas aqui como “governança de risco” – e pela integridade dos processos supervisionados pela administração.
O objetivo da avaliação de risco é identificar os riscos mais críticos ou relevantes (incluindo, mas não se limitando a riscos financeiros, operacionais e de compliance); classificá-los com base em sua probabilidade de ocorrência e impacto potencial financeiro, operacional e de reputação para a empresa; e identificar as áreas onde a empresa é mais vulnerável a falhas na detecção ou prevenção desses riscos em tempo hábil (ou seja, falhas de controle).
A mitigação de riscos concentra-se na correção oportuna de lacunas de controle e no teste dessas atividades de controle específicas para sua eficácia na prevenção ou detecção dos riscos identificados. O monitoramento de riscos concentra-se no rastreamento de fraquezas de controle e deficiências identificadas, na implementação de ações corretivas e no relato periódico dos desafios encontrados e do progresso alcançado.
Dada a extensão da orientação disponível para referência, a construção de um programa abrangente de GRC com os conceitos corretos não deve ser difícil para a maioria das entidades. Dito isto, a fim de utilizar o software de GRC eficaz que seja de natureza sustentável, as empresas são incentivadas a incorporar os seguintes atributos em seu processo de gerenciamento de risco:
- Governança de risco apropriada, caracterizada pela participação ativa do conselho;
- Existência de um software de GRC bem definido e bem gerenciado;
- Avaliação de risco periódica que é completa e focada no que realmente importa;
- Identificação oportuna e remediação de lacunas de controle e deficiências;
- Existência de verificações e balanços adequados, em que as políticas e procedimentos de controle atualizados são equilibrados, razoáveis e bem compreendidos;
- Mitigação adequada dos riscos de pessoas; ou seja, os funcionários são bem treinados e há treinamento em conscientização antifraude em curso;
- Testes periódicos das principais atividades de controle para o seu design e eficácia operacional;
- Monitoramento de risco apropriado evidenciado por uma supervisão adequada da gerência;
- Relato oportuno de problemas encontrados e objetivos alcançados.