A velocidade das transformações na economia, na política e no próprio comportamento das pessoas têm afetado o ambiente de negócios e as próprias organizações, quer pelo desenvolvimento das relações éticas, quer pela burocracia governamental. Para atender às exigências desse novo cenário, com um significativo acréscimo no arcabouço legal e a exigência de maior transparência, a necessidade de uma estrutura efetiva e robusta de Governança, Risco e Compliance (GRC) tem crescido significativamente nas organizações.

GRC é um modelo de trabalho que integra várias áreas de uma organização com o objetivo de execução das estratégias de negócio de acordo com as políticas de governança, gestão de riscos, conformidade legal e controles internos. “Dessa forma, evita-se gastos com controles redundantes, perda do foco do que é relevante e prioritário e conflitos na tomada de decisão”, explica o practice leader de GRC Solutions Latam na Nasdaq BWise, Wagner Pugliese.

A Nasdaq BWise, líder mundial na produção de soluções de GRC, acompanha de perto essas transformações do mercado e identificou as seis principais tendências em 2018. Segundo Pugliese, um dos destaques é a auditoria da cultura organizacional baseada no conceito “extended organization”, em que todos os envolvidos com a organização devem estar cientes da sua missão, visão e valores.

Outra tendência é a atenção necessária aos riscos existentes nas parcerias, como ocorre nas Joint Ventures. “A complexidade da estrutura de governança empresarial e do posicionamento da auditoria interna nesse contexto é determinante para uma atuação plena para entender e atuar sobre os riscos”, sustenta Pugliese. O executivo aconselha, entre outras ações, uma avaliação periódica das transações entre as partes relacionadas, o acesso irrestrito e tempestivo aos relatórios gerenciais e da alta administração, além das comunicações sobre os alertas e os incidentes operacionais.

Para Pugliese, uma estrutura de GRC efetiva é aquela em que a organização consegue definir, medir e gerir, de maneira uniforme e centralizada, a sua performance e gestão de riscos. “Essa estrutura precisa ter um processo de governança pelo qual as áreas da primeira, segunda e terceira linhas de defesa, de forma colaborativa, conheçam a estratégia da organização, qual o apetite definido para o risco operacional, de crédito, de mercado e que estabeleçam os melhores indicadores de performance e de risco para monitorar as atividades”, indica o também contador com especialização em gestão empresarial.

Considerando que os controles são os sensores de vulnerabilidade dos riscos, esse processo detectará possíveis deficiências que devem ser corrigidas segundo sua prioridade e impacto na atividade empresarial. “Por fim, com base nessas informações, um colegiado, por exemplo um Comitê de Riscos, faz a gestão através de reuniões periódicas pedindo a prestação de contas às áreas envolvidas”.

As estruturas de controle não devem funcionar, necessariamente, em separado dentro das organizações, com equipes próprias. Conforme o especialista, “existem várias formas de implantar uma estrutura de GRC, porém a mais efetiva é aquela que integra as equipes próprias e de forma colaborativa em torno da execução da sua estratégica e gestão de riscos”.

Algumas atividades podem ser terceirizadas, como auditoria interna, e até parte dos processos operacionais podem ser realizados por terceiros, tais como fornecedores, parceiros e prestadores de serviços. No entanto, a responsabilidade pela gestão do risco não pode ser delegada e uma estrutura efetiva de GRC requer a definição de um responsável pelo risco do controle de uma determinada atividade ou área. Esse é o conceito de accountability, explica Pugliese. “No caso de um processo ser realizado por terceiros, o proprietário do risco tem a obrigação de, periodicamente, avaliar a situação daquele risco em função do apetite definido. Se houver algo fora do padrão definido, planos de ação deverão ser propostos ainda que sobre processos executados por terceiros”, exemplifica.

No ano passado, houveram mudanças na gestão estratégica de riscos em função das características do novo COSO ERM (Enterprise Risk Management), que funciona como um dos sistemas de gerenciamento de riscos mais aplicados no mundo. A ferramenta é elaborada pela organização COSO (Committee of Sponsoring Organizations of the Treadway Commission).

As principais alterações miram o alinhamento da gestão de riscos com a estratégia da empresa e a performance, sua ligação com o processo decisório, a gestão do apetite ao risco e a variação aceitável em termos de performance. “É uma importante evolução do COSO ERM porque trata amplamente a gestão dos riscos corporativos e se complementa com o COSO 2013, que é o modelo de avaliação do sistema de controles internos”, destaca o managing director da Nasdaq BWise no Brasil, Claudinei Elias.

Metodologia Extended Organization é tendência

Uma das tendências apontadas pelo practice leader de GRC Solutions Latam na Nasdaq BWise, Wagner Pugliese, é o uso do método Extended Organization, conceito sobre o qual se espera que todos os envolvidos na cadeia de valor da companhia tenham o comportamento e as percepções alinhadas aos seus princípios organizacionais. "Como as empresas estão contratando mais serviços de terceiros, é imprescindível que esses parceiros tenham aderência ao ambiente cultural da corporação", alerta o especialista.

O método mais comumente usado é o da Due Diligence sobre os parceiros, terceiros e prestadores de serviços, que consiste na avaliação se os mesmos princípios e valores definidos para os colaboradores da empresa são praticados pelos contratados, além, "é claro, sobre a mitigação de riscos sobre os processos operacionais, que, no limite, podem gerar risco reputacional".

Compliance é destaque no estudo

A área de compliance está entre as principais tendências não apenas para 2018 como também para os próximos anos, uma vez que as empresas têm de estar em conformidade com regras e normas específicas. Mais do que o atendimento a leis, a adoção de boas práticas deve fazer parte da cultura organizacional.

O grande gargalo nesse segmento é a captura das regulamentações, o tratamento do que é relevante e a implantação das alterações necessárias para atender a essas normativas. "A tendência é que mais setores tenham regulamentação específica. Assim, como recentemente tivemos a publicação da resolução do Banco Central nº 4.595/2017, que dispõe sobre compliance nas instituições financeiras, estão sendo estruturadas normas para a área de saúde", esclarece o practice leader de GRC Solutions Latam na Nasdaq BWise, Wagner Pugliese.

Ele explica que, no segmento financeiro, há cerca de 3 mil publicações mensais envolvendo normas das esferas públicas municipais, estaduais e federais, além das autorregulações de outras entidades, como Febraban (Federação Brasileira dos Bancos), por exemplo. Se considerados outros setores, são publicadas cerca de 15 mil normas ao mês. "Nossa ferramenta ajuda no monitoramento de todas essas normas, na definição do que afeta o negócio, no acompanhamento da implantação e na consolidação dos riscos por tipo e natureza."

Grande parte das empresas brasileiras já se deu conta de que as informações geradas por elas são ativos de extrema importância para o seu negócio. Com isso, há uma preocupação cada vez mais intensa em relação à proteção da base de dados da companhia, o que faz do Cybersecurity uma grande tendência para se manter na agenda dos executivos no próximo ano.

Garantir que sua implantação não seja apenas voltada ao cumprimento de leis, mas realmente faça parte da cultura organizacional, é o grande desafio dos profissionais de compliance e de controles internos no momento. "A visão de conformidade legal pode se sobrepor à da conformidade operacional, isto é, não basta saber que há uma lei que exige determinado requerimento se a empresa não cria processos para acompanhar sua implantação e mecanismos de verificação de sua efetividade", enfatiza Pugliese. Para que o cumprimento legal seja incorporado à cultura organizacional, as empresas precisam ter uma estrutura de gestão de riscos efetiva em um modelo de GRC. Somente com uma governança que defina responsabilidades e acompanhe a efetividade do controle que garanta a conformidade legal é que irá gerar valor para o compliance.

A última e não menos importante tendência apurada pela Nasdaq BWise é a política de relacionamento com os clientes. Em novembro de 2017, entrou em vigor a Resolução nº 4.539/16 do Banco Central, que trata sobre o assunto. A norma dispõe sobre como os bancos devem conduzir suas atividades com base nos princípios da ética, responsabilidade, transparência e diligência junto aos seus clientes e usuários de produtos e serviços.

Esforços nesse sentido já vêm sendo feitos para minimizar as diversas reclamações em órgãos como a Senacon (Secretaria Nacional de Defesa do Consumidor), o Banco Central e o Procon (Programa de Proteção e Defesa do Consumidor). Nesse novo cenário com mudanças constantes, a figura do Trusted Advisor também ganha mais importância, aponta a Nasdaq BWise. Profissionais preparados e atualizados contribuem para que a evolução do processo de GRC das empresas siga o mesmo ritmo das exigências do mercado.