+55 (11) 2500-1646 vendas@trustsis.com

Governança SAP: RAM substitui o GRC tradicional?

por João Caetano | jul 10, 2025 | Blog, GRC Access Control, GRC Process Control

Governança SAP: RAM substitui o GRC tradicional?
Comparativo – SAP Risk and Assurance Management (RAM) vs. SAP GRC Process Control (PC) e Risk Management (RM) no contexto das Três Linhas de Defesa 

Introdução ao Contexto e às Soluções 

As soluções de Governança, Risco e Conformidade (GRC) da SAP tradicionalmente incluem módulos como o SAP Process Control (para controles internos e compliance) e o SAP Risk Management (para gestão de riscos corporativos). Essas ferramentas, lançadas há mais de uma década, foram amplamente adotadas por grandes empresas para fortalecer suas práticas de controle e risco, alinhadas ao modelo das Três Linhas de Defesa (3LoD) – onde a 1ª linha é a gestão operacional, a 2ª linha são as funções de controle/risco/compliance, e a 3ª linha é a auditoria interna independente. O SAP Process Control (PC) ocupa um papel de suporte principalmente às primeiras duas linhas, garantindo que os controles nas operações sejam executados e monitorados, enquanto o SAP Risk Management (RM) dá ferramental à segunda linha para avaliar e acompanhar riscos de negócio de forma estruturada. Para fechar o ciclo, a SAP também oferece o SAP Audit Management, direcionado à terceira linha (auditoria interna) na condução de planos de auditoria baseados em risco. 

Nos últimos anos, a SAP introduziu o SAP Risk and Assurance Management (RAM) como uma solução cloud unificada, com o objetivo de modernizar e integrar as funcionalidades de Process Control e Risk Management numa única plataforma SaaS. Essa evolução levanta a pergunta: como o SAP RAM se compara às soluções GRC tradicionais (PC e RM)? Quais são as diferenças em termos de funcionalidades, alinhamento ao modelo 3LoD, vantagens e desvantagens de cada abordagem? 

A seguir, faremos uma comparação detalhada entre o SAP RAM e o SAP GRC PC/RM, destacando pontos-chave especialmente sob a ótica das Três Linhas de Defesa e da efetividade em cada uma delas. Incluímos uma tabela comparativa de prós e contras para facilitar a visualização das diferenças e ajudar na decisão sobre qual solução atende melhor a determinados cenários. 

Comparação de Funcionalidades e Abordagem 

  1. Arquitetura e Implantação (On-Premise vs Cloud) 

SAP GRC PC/RM 

São soluções tradicionalmente on-premise, integradas ao SAP ECC ou S/4HANA via add-on. A versão atual (12.0) pode ser executada on-premise ou em private cloud (por exemplo, dentro do RISE with SAP). Isso dá às empresas controle sobre upgrades e customizações, mas implica em maior esforço de infraestrutura e manutenção. As atualizações de funcionalidades ocorrem via pacotes de suporte (SPs) ou feature packs, com ciclos mais espaçados (tipicamente anuais). 

SAP RAM 

É oferecido exclusivamente como serviço em nuvem pública (SaaS) na SAP BTP. Não requer instalação local – a SAP cuida do ambiente e das atualizações automáticas (trimestrais). Isso significa implantação mais rápida e nenhuma carga de infraestrutura para o cliente. Em contrapartida, a empresa fica limitada ao roadmap padrão da SAP, com menos liberdade para customizações profundas (a customização existe, mas dentro dos recursos configuráveis do SaaS). Para clientes que evitam cloud por compliance, o RAM pode ser um desafio; já para quem busca inovação contínua, é um ponto positivo. 

  1. Escopo Funcional (Controles vs Riscos vs Auditoria) 

SAP GRC PC/RM 

O Process Control e o Risk Management são módulos separados, embora integráveis. O SAP PC foca em controle interno e compliance – documentação de controles, testes (manuais/automáticos) de efetividade, surveys de certificação, gerenciamento de deficiências e monitoramento contínuo de controles chave. Já o SAP RM concentra-se em Enterprise Risk Management, permitindo identificar e avaliar riscos (em nível estratégico, operacional, financeiro, etc.), definir planos de resposta/mitigação e acompanhar indicadores de risco (KRIs). Há sobreposição (por exemplo, ambos podem lidar com riscos e controles), mas em geral eles se complementam – o RM registra o risco e aponta controles mitigadores, enquanto o PC testa se esses controles estão funcionando. Importante: nenhum dos dois módulos realiza gestão de auditorias internas; para isso existe o SAP Audit Management, que se integra ao PC/RM para aproveitar dados de riscos e controles, mas é uma aplicação à parte. 

SAP RAM 

O Risk and Assurance Management traz uma abordagem unificada, cobrindo tanto o domínio de controles internos/compliance quanto elementos de gestão de riscos dentro do mesmo sistema. Em essência, o RAM herdou e ampliou funcionalidades do PC (como a documentação e teste de controles, automação, issues) e adicionou a capacidade de realizar avaliações de risco associadas – isto é, ele integra o risco no contexto do controle e vice-versa. Assim, em vez de dois módulos distintos, o RAM oferece uma experiência integrada: você consegue mapear um risco, vincular controles, automatizar a checagem desses controles e avaliar a exposição residual, tudo em um fluxo único. No entanto, o RAM não substitui uma ferramenta de auditoria – para auditorias internas formais (planejamento de auditoria anual, documentação de papéis de trabalho, achados de auditoria etc.) ainda seria utilizado o SAP Audit Management ou outra ferramenta especializada. O RAM pode alimentar a auditoria com informações (ex.: relatórios de controles e riscos para apoiar o plano de auditoria baseado em risco), mas não gerencia o ciclo de auditoria completo. Em termos de alinhamento às 3 linhas: o RAM foi concebido para servir simultaneamente à 1ª e 2º linhas, e suportar a 3ª linha indiretamente via transparência e integração de dados. Já a combinação PC+RM serve às 1ª/2º linhas separadamente, exigindo integração extra para fornecer insumos à 3ª linha (via Audit Management). 

  1. Conteúdo Embutido e Aceleradores 

SAP GRC PC/RM 

Essas soluções on-premise atuam mais como “plataformas em branco” onde a organização configura seus próprios riscos e controles. Conteúdo pré-entregue é limitado: no PC há algumas regras de exemplo e estrutura genérica (a SAP disponibilizou notas com cerca de 170 regras de controle automatizado como referência, mas demandando implementação técnica adicional pelo cliente).. Em geral, as empresas precisam desenhar ou carregar seu catálogo de controles e criar os scripts de controle automático conforme suas necessidades específicas (embora existam bibliotecas de parceiros e aceleradores de consultorias nesse sentido). No RM, igualmente, bibliotecas de riscos, causas ou controles não vêm preenchidas – cabe à organização povoar conforme metodologias como COSO ERM ou ISO 31000. A SAP oferece alguns starter kits (planilhas modelos, guias) e a possibilidade de importar dados, mas o valor out-of-the-box é mais estrutural do que conteudístico. Em suma, PC/RM fornecem o framework para GRC, mas pouco conteúdo pronto, o que implica projetos de implementação mais longos para configurar tudo. 

SAP RAM 

Por ser uma solução mais moderna, o RAM adotou a estratégia de entregar “conteúdo base” pronto para uso e acelerar resultados. Conforme discutido no Artigo 1 (Adicionar o link do artigo 1), o RAM já inclui diversas regras de controle automáticas cobrindo processos financeiros, controles de TI, compliance fiscal etc., sem necessidade de desenvolvimento pelo cliente. Traz também templates de controles e riscos alinhados a boas práticas, que podem ser ativados conforme aplicáveis. Além disso, o RAM pode receber atualizações de conteúdo periodicamente via cloud – por exemplo, novos controles para atender a uma legislação emergente podem ser adicionados pela SAP e disponibilizados aos clientes rapidamente. Essa abordagem conteudística torna o RAM mais próximo de uma solução “out-of-the-box” em GRC, onde a empresa adere ao conteúdo padrão e faz ajustes menores. O benefício é agilidade; a contrapartida é menor flexibilidade para metodologias totalmente custom. 

  1. Automação e Integração Tecnológica 

SAP GRC PC/RM 

O Process Control possui um mecanismo de Continuous Control Monitoring (CCM) robusto, porém que depende de conectores ABAP, web services ou views HANA para realizar testes automatizados. Ele pode se integrar a sistemas SAP (ex.: executar programas ABAP no ERP para checar configurações ou transações) e até não-SAP via conectores customizados, mas a configuração dessas automações é técnica. Há suporte nativo a integração com SAP Access Control (por exemplo, monitorar violações de segregação de funções) e com a própria SAP Risk Management (compartilhar estruturas de riscos, harmonizar dados). Para uso pleno, muitas empresas desenvolvem ABAP reports ou lógicas específicas no PC para seus controles automáticos – ou seja, o PC é flexível para automatizar, mas não entrega todas as automações prontas. Já o Risk Management possui integração opcional com PC (chamada de “risk harmonization”) para conectar riscos a controles do PC e consolidar relatórios. Em termos de integração com auditoria, conforme visto, o PC e RM podem se conectar ao SAP Audit Management: riscos do RM podem ser importados para o repositório de riscos da auditoria interna, e controles/testes do PC podem ser importados como referências em auditorias. Essa integração, porém, requer configuração (uso de classes de connector e jobs para sincronizar periodicamente). 

SAP RAM 

Sendo uma solução cloud recente, o RAM veio já preparado para integrar-se facilmente ao ecossistema SAP moderno. Ele conecta-se diretamente ao SAP S/4HANA (cloud ou on-premise) para extrair dados de controle sem necessidade de programação ABAP pelo cliente – a SAP fornece as APIs e artefatos necessários out-of-the-box. A integração com SAP Signavio é um diferencial importante, permitindo sincronizar estruturas de processos de negócio com os controles do RAM. Isso viabiliza um alinhamento dinâmico entre gestão de processos e controles (por exemplo, mudanças num processo no Signavio podem atualizar a matriz de controle no RAM automaticamente). Conforme citado, o roadmap do RAM inclui integrações com outras soluções cloud da SAP (Document Compliance, Sustainability Control Tower), reforçando a visão de um GRC conectado de ponta a ponta. Sobre automação inteligente, o RAM já incorpora tecnologias de IA e analytics na detecção de anomalias e em sugestões para melhoria de controles. Atualizações frequentes garantem que novos recursos (como detecção automatizada de padrões de fraude) cheguem rápido aos usuários. Quanto à auditoria: até o momento, o RAM não possui um conector nativo publicado para o SAP Audit Management, mas dado que ambos fazem parte do portfólio “Three Lines of Defense” da SAP (sob mesma gestão de produto), espera-se que no futuro haja uma integração mais fluida. Atualmente, a forma de um auditor consumir dados do RAM seria via relatórios/exportações ou APIs BTP, já que o Audit Management (ainda on-premise) não possui visibilidade direta na nuvem do RAM. Em síntese, o RAM está tecnologicamente mais alinhado à conectividade e automação plug-and-play, enquanto o PC/RM têm capacidades similares, mas exigem maior esforço de configuração técnica por parte dos clientes. 

  1. Interface do Usuário e Experiência 

SAP GRC PC/RM 

Até a versão 10.1, essas ferramentas tinham interface Web Dynpro (SAP NW), não muito amigável. Na versão 12.0 houve um avanço com disponibilização de telas Fiori para principais funções, melhorando a usabilidade e uniformizando com o visual do S/4HANA. Ainda assim, alguns feedbacks indicam que a UX do PC/RM pode ser complexa para usuários ocasionais, dadas as muitas opções e passos nos workflows. Também não são soluções mobile-friendly por padrão (exceto algumas partes do Audit Management que têm app). 

SAP RAM 

Por ser nativo cloud, o RAM já nasceu com uma interface moderna, web responsiva, seguindo a linguagem SAP Fiori mais recente. A experiência do usuário é mais simplificada – por exemplo, dashboards gráficos, notificações e tarefas integradas etc. O foco foi em tornar fácil para um dono de controle na primeira linha interagir com o sistema (receber um alerta, clicar e ver o dado do problema, registrar uma ação corretiva) sem precisar de muito treinamento. A usabilidade aprimorada tende a engajar mais as áreas de negócio, tornando a gestão de controle/riscos menos silo de um departamento e mais parte da rotina operacional. Além disso, por ser web, o RAM pode ser acessado de qualquer lugar com conexão, possivelmente até via tablet se necessário. A interface unificada para riscos e controles também elimina a necessidade de navegar entre módulos diferentes, como ocorria no PC vs RM. 

  1. Cobertura de Casos de Uso e Indústrias 

SAP GRC PC/RM 

São soluções amplamente testadas em vários setores. Historicamente, indústrias altamente reguladas ou com forte foco em controles financeiros foram as primeiras a adotar o PC – por exemplo, serviços financeiros (bancos, seguradoras) para requisitos de Basileia/SOX, indústrias manufatureiras e de energia para SOX e compliance ambiental, saúde/farmacêutica para compliance FDA e controles de qualidade, setor público para accountability e controles orçamentários etc. O PC e RM oferecem muita flexibilidade para se adaptar a qualquer contexto de controles ou riscos; prova disso é que clientes os utilizam para finalidades diversas: gerenciamento de controles contábeis, controles operacionais de processos de produção, riscos de projetos, riscos de TI/cibersegurança etc. Entretanto, essa versatilidade vem da personalização – a SAP não entrega configurações específicas de setor prontas. Assim, a aplicação por setor dependia do know-how de implementação (geralmente contando com consultorias especializadas ou aceleradores). Já a alinhamento ao modelo 3LoD era claro: o PC suportando 1ª linha (ex.: gerentes de processo executando autoavaliações) e 2ª linha (departamento de compliance monitorando resultados e definindo políticas de controle); o RM apoiando a 2ª linha (gestor de riscos corporativos consolidando a visão de risco) e eventualmente 1ª linha (donos de risco fornecendo inputs); e a 3ª linha recebendo insumos, mas operando em seu próprio sistema de auditoria. 

SAP RAM 

Por seu conteúdo embarcado, o RAM mirou inicialmente nas áreas de Finanças e TI – ou seja, controles sobre processos financeiros (record-to-report, procure-to-pay, etc.) e alguns controles de TI (acessos, segregação básica, dados mestres). Isso o torna imediatamente relevante para empresas com obrigações de reporte financeiro e compliance fiscal, independente do setor. Com a expansão de conteúdo para ESG, fraude e direitos humanos, o RAM ampliou seu alcance para questões de sustentabilidade e compliance social, o que interessa a setores como mineração, manufatura, varejo global (que lidam com cadeias de suprimento complexas). Os pacotes de indústria desenvolvidos por parceiros para o RAM cobrem 23 segmentos, incluindo provavelmente bancos, seguros, óleo e gás, utilidades, produtos de consumo, setor público, etc., trazendo controles e riscos típicos de cada um. Isso indica que o RAM pode ser rapidamente aplicado em qualquer setor usando esses packs, embora valha verificar se esses pacotes são fornecidos gratuitamente ou como serviço adicional de consultoria. No que tange ao modelo 3LoD, o RAM foi arquitetado explicitamente em torno dele: suporta atividades de primeira linha (ex.: um gerente de contas a pagar usando o RAM para checar anomalias em pagamentos diariamente, como um controle operacional); dá instrumentos à segunda linha (compliance/risco) para configurar controles, consolidar riscos e monitorar todos os processos; e provê visibilidade e confiança para a terceira linha (auditoria) – embora não realize auditorias, ele deixa tudo “audit-ready”, com trilhas e transparência completas. Em suma, tanto RAM quanto PC/RM cobrem amplamente diversos setores, mas o RAM chega com conteúdo focado e adaptável, enquanto o PC/RM exige ajuste fino caso a caso. 

Tabela Comparativa – Prós e Contras (SAP RAM vs SAP PC/RM) 

Para resumir os principais pontos de comparação, a tabela a seguir destaca vantagens e desvantagens do SAP Risk and Assurance Management em comparação ao conjunto SAP GRC Process Control/Risk Management: 

 

Aspecto  SAP Risk and Assurance Management (RAM)  SAP GRC Process Control & Risk Management 
Arquitetura  SaaS na nuvem (BTP) – Sem instalação local, atualizações contínuas pela SAP:

Pró: zero infraestrutura e acesso web;

Contra: requer aderência ao modelo cloud da SAP. 

 On-premise/Private Cloud – Implantação tradicional no cliente ou em nuvem privada:

Pró: controle total da instância, customizações avançadas;

Contra: necessidade de manutenção de hardware/upgrade pelo cliente. 
Escopo Funcional  Unifica controles e riscos em um só produto:

Pró: visão integrada risco-controle, um único repositório e interface;

Contra: não cobre auditoria interna (necessário produto separado). 

 Módulos separados (PC e RM):

Pró: funcionalidades dedicadas e maduras em cada área (controles vs riscos)

Contra: requer integração entre módulos e redundância de dados (controles x riscos separados). 
Três Linhas de Defesa  1ª e 2ª linhas cobertas no RAM; 3ª linha suportada indiretamente:

Pró: primeira linha pode executar controles e ver riscos no dia a dia, segunda linha orquestra tudo em tempo real, informações disponíveis para auditoria com transparência;

Contra: não executa processos de auditoria (apenas fornece evidências, sem planejamento/relatórios de auditoria integrados). 

 1ª linha via PC (controle interno descentralizado), 2ª linha via PC/RM, 3ª linha via Audit Management:

Pró: funções da 3LoD definidas em ferramentas especializadas (ex.: Auditoria com solução própria robusta);

Contra: separação pode gerar silos – ex.: auditoria precisa importar dados de risco/controle via integração para ter visibilidade. 
Automação de Controles  Automação nativa out-of-the-box:

Pró: dezenas de controles automáticos entregues (ex.: monitorar lançamentos em períodos fechados, fornecedores bloqueados com pendências) prontos para uso; usuários de negócio podem configurar parâmetros de regras sem TI. 

 Automação configurável (CCM):

Pró: altamente flexível – permite criar regras automatizadas personalizadas, integrar com qualquer sistema via conectores;

Contra: poucas regras entregues nativamente (necessário desenvolvimento ABAP ou uso de note de conteúdo), requer suporte de TI para configurar controles automáticos complexos. 
Gestão de Riscos  Integrada aos controles:

Pró: avaliação de risco residual vinculada à eficácia dos controles, com workflows unificados para tratar riscos e controles em conjunto;

Contra: abordagem de risco focada em complementação aos controles (pode não cobrir cenários de riscos estratégicos fora do escopo de processos e controles mapeados). 

 Módulo RM dedicado:

Pró: capacidade robusta de ERM – catalogar riscos em diversos níveis, análises qualitativas e quantitativas (simulações Monte Carlo, etc.), com independência de controles;

Contra: duplicidade de esforços se não integrado ao PC (risco e controle geridos separadamente), uso do RM isolado pode levar a desconexão entre riscos levantados e controles implementados. 
Conteúdo e Aceleradores  Rico conteúdo padrão:

Pró: bibliotecas de controles e checks automáticos prontos (financeiro, fiscal, TI, ESG, etc.) disponíveis logo no início; parceiros oferecem pacotes para 20+ indústrias, acelerando conformidade setorial.

Contra: menor liberdade para inventar frameworks diferentes – esperado aderir aos modelos fornecidos pela SAP (ex.: controles baseados em S/4). 

 Framework flexível, pouco conteúdo:

Pró: pode ser moldado a qualquer metodologia (COSO, ISO, COBIT) e quaisquer controles/riscos definidos pelo cliente;

Contra: praticamente nenhum controle ou risco predefinido – é preciso configurar tudo ou importar de fontes próprias, elevando tempo de implementação (a SAP apenas oferece guias e alguns exemplos mínimos). 
Integrações  Modernas e nativas:

Pró: integração pronta com S/4HANA (on-prem e cloud) e Signavio; roadmap de integração com ferramentas SAP de compliance e sustentabilidade; APIs abertas via BTP.

Contra: integrações com soluções on-prem legadas (ex.: SAP ECC antigo, ou SAP Audit Management on-prem) não são plug-and-play – podem exigir desenvolvimento de interfaces específicas. 

 Convencionais e consolidadas:

Pró: conectores para SAP ECC/S4 via RFC ou web services bem estabelecidos; integração padrão com SAP Access Control (controle de acessos) e opção de harmonização PC-RM; integração disponível com Audit Management para compartilhar dados.

Contra: integrações requerem configuração manual (classes, jobs) e estão restritas ao âmbito SAP (para não-SAP, depende de customização). 
Interface & UX  Fiori Cloud amigável:

Pró: interface web moderna, com dashboards intuitivos, formulários simplificados e uso possível em múltiplos dispositivos; experiência unificada para todas funções (riscos e controles juntos).

Contra: sendo nova, usuários legados de GRC podem precisar de pequena curva de aprendizado para o novo layout. 

 Fiori/WebDynpro on-premise:

Pró: melhorias na versão 12 com apps Fiori para principais tarefas, integrando com Launchpad do S/4;

Contra: ainda carrega algumas telas antigas menos amigáveis, UX fragmentada (módulo PC e RM separados), pouca adaptação mobile. 
Customização & Flexibilidade  Configurável, porém padrão:

Pró: permite ajustes de regras, criação de controles manuais, formulários de questionário customizáveis etc.;

Contra: não admite alterações no código-fonte ou extensões fora do que a plataforma cloud permite. Grande parte da lógica é padrão da SAP (boas práticas universais) – pode limitar atender requisitos muito específicos fora da curva. 

 Altamente extensível:

Pró: cliente pode criar relatórios ABAP, novas regras de monitoramento, campos customizados etc., adaptando completamente às necessidades particulares (sujeito às ferramentas de extensibilidade suportadas);

Contra: risco de customizações excessivas, tornando upgrades mais complicados e divergindo de padrões de mercado. 
Fontes: SAP (documentação oficial e product pages) e parceiros sap (Winterhawk, Turnkey).

Considerações Finais e Recomendações 

No contexto das Três Linhas de Defesa, tanto a combinação SAP Process Control + Risk Management quanto o novo SAP Risk and Assurance Management visam fortalecer as primeiras linhas e melhorar a colaboração com a auditoria (terceira linha). A diferença principal está na abordagem tecnológica e de conteúdo: 

SAP GRC PC/RM é uma solução madura, utilizada por grandes corporações. Oferece profundidade funcional (especialmente em Risk Management, com suporte a frameworks avançados de ERM) e flexibilidade para ser moldada conforme a estrutura de controles e riscos de cada empresa. É indicada para organizações que talvez queiram alto nível de customização ou que, por restrições, não podem ir para a nuvem no curto prazo. Contudo, exige maior esforço de implementação e manutenção, e as três linhas de defesa não estão tão unificadas na ferramenta – a integração com a auditoria, por exemplo, precisa ser construída à parte. Em suma, o PC/RM atende bem a 1ª e 2ª linhas, mas a conexão com a 3ª linha se dá via processos manuais (relatórios) ou por integração com o Audit Management. 

SAP RAM, por sua vez, reflete a evolução para um GRC totalmente em nuvem e orientado a conteúdo pronto. Ele simplifica e combina os recursos de controles e riscos, possibilitando que primeira e segunda linha trabalhe em uma plataforma comum, com linguagem acessível e automação pesada dos controles. A terceira linha se beneficia porque o RAM mantém tudo bem documentado, rastreável e “auditável” – os auditores podem confiar na qualidade dos dados de controles e até utilizar o resultado dos testes automatizados em suas análises. Porém, é importante notar: o RAM ainda não substitui um sistema de auditoria; para gerenciar programas de auditoria interna, seria necessário continuar usando o Audit Management (que futuramente poderá integrar-se melhor ao RAM, dada a estratégia unificada da SAP para 3LoD). Em termos de público, o RAM tende a ser atraente para empresas que queiram rápida obtenção de valor em compliance (via controles pré-configurados) e que estejam alinhadas com a jornada cloud da SAP. Empresas menores ou em crescimento veem no RAM uma forma de implementar controles de forma acessível, enquanto grandes empresas podem usar o RAM em áreas específicas (por exemplo, compliance financeiro) para comparar com seus processos GRC atuais. 

Recomendações 

Se a organização já possui uma implementação sólida de SAP PC e RM on-premise e consegue atender às demandas de negócio, não há urgência em migrar – essas ferramentas continuarão sendo suportadas e aprimoradas (a SAP tem roadmap de melhorias, por exemplo, para 2026 focando em UX e integração). Entretanto, para novas implementações ou para empresas buscando renovar sua estratégia de GRC, o SAP Risk and Assurance Management desponta como uma solução mais moderna e integrada, especialmente alinhada ao modelo 3 LoD na prática. Ele traz redução de custos de compliance, maior engajamento da primeira linha e agilidade que pode ser decisiva em ambientes regulatórios dinâmicos. 

Em última análise, a decisão deve considerar fatores como apetite por cloud, complexidade dos riscos a gerenciar, necessidade de conteúdo pronto vs customização, e integração com processos de auditoria existentes. Muitas organizações adotarão um modelo híbrido no curto prazo – por exemplo, mantendo SAP PC/RM para certos processos legados ou altamente customizados, e introduzindo o SAP RAM para novas frentes (como ESG, novas unidades de negócio no S/4HANA Cloud etc.). O importante é que a SAP está provendo caminhos para que todas as três linhas de defesa trabalhem de forma mais coordenada, seja via as soluções clássicas integradas, seja via a nova suíte em nuvem, contribuindo para uma governança mais eficaz e proativa nas empresas.