A velocidade das transformações na economia, na política e no próprio comportamento das pessoas têm afetado o ambiente de negócios e as próprias organizações, quer pelo desenvolvimento das relações éticas, quer pela burocracia governamental. Para atender às exigências desse novo cenário, com um significativo acréscimo no arcabouço legal e a exigência de maior transparência, a necessidade de uma estrutura efetiva e robusta de Governança, Risco e Compliance (GRC) tem crescido significativamente nas organizações.

GRC é um modelo de trabalho que integra várias áreas de uma organização com o objetivo de execução das estratégias de negócio de acordo com as políticas de governança, gestão de riscos, conformidade legal e controles internos. “Dessa forma, evita-se gastos com controles redundantes, perda do foco do que é relevante e prioritário e conflitos na tomada de decisão”, explica o practice leader de GRC Solutions Latam na Nasdaq BWise, Wagner Pugliese.

A Nasdaq BWise, líder mundial na produção de soluções de GRC, acompanha de perto essas transformações do mercado e identificou as seis principais tendências em 2018. Segundo Pugliese, um dos destaques é a auditoria da cultura organizacional baseada no conceito “extended organization”, em que todos os envolvidos com a organização devem estar cientes da sua missão, visão e valores.

Outra tendência é a atenção necessária aos riscos existentes nas parcerias, como ocorre nas Joint Ventures. “A complexidade da estrutura de governança empresarial e do posicionamento da auditoria interna nesse contexto é determinante para uma atuação plena para entender e atuar sobre os riscos”, sustenta Pugliese. O executivo aconselha, entre outras ações, uma avaliação periódica das transações entre as partes relacionadas, o acesso irrestrito e tempestivo aos relatórios gerenciais e da alta administração, além das comunicações sobre os alertas e os incidentes operacionais.

Para Pugliese, uma estrutura de GRC efetiva é aquela em que a organização consegue definir, medir e gerir, de maneira uniforme e centralizada, a sua performance e gestão de riscos. “Essa estrutura precisa ter um processo de governança pelo qual as áreas da primeira, segunda e terceira linhas de defesa, de forma colaborativa, conheçam a estratégia da organização, qual o apetite definido para o risco operacional, de crédito, de mercado e que estabeleçam os melhores indicadores de performance e de risco para monitorar as atividades”, indica o também contador com especialização em gestão empresarial.

Considerando que os controles são os sensores de vulnerabilidade dos riscos, esse processo detectará possíveis deficiências que devem ser corrigidas segundo sua prioridade e impacto na atividade empresarial. “Por fim, com base nessas informações, um colegiado, por exemplo um Comitê de Riscos, faz a gestão através de reuniões periódicas pedindo a prestação de contas às áreas envolvidas”.

As estruturas de controle não devem funcionar, necessariamente, em separado dentro das organizações, com equipes próprias. Conforme o especialista, “existem várias formas de implantar uma estrutura de GRC, porém a mais efetiva é aquela que integra as equipes próprias e de forma colaborativa em torno da execução da sua estratégica e gestão de riscos”.

Algumas atividades podem ser terceirizadas, como auditoria interna, e até parte dos processos operacionais podem ser realizados por terceiros, tais como fornecedores, parceiros e prestadores de serviços. No entanto, a responsabilidade pela gestão do risco não pode ser delegada e uma estrutura efetiva de GRC requer a definição de um responsável pelo risco do controle de uma determinada atividade ou área. Esse é o conceito de accountability, explica Pugliese. “No caso de um processo ser realizado por terceiros, o proprietário do risco tem a obrigação de, periodicamente, avaliar a situação daquele risco em função do apetite definido. Se houver algo fora do padrão definido, planos de ação deverão ser propostos ainda que sobre processos executados por terceiros”, exemplifica.

No ano passado, houveram mudanças na gestão estratégica de riscos em função das características do novo COSO ERM (Enterprise Risk Management), que funciona como um dos sistemas de gerenciamento de riscos mais aplicados no mundo. A ferramenta é elaborada pela organização COSO (Committee of Sponsoring Organizations of the Treadway Commission).

As principais alterações miram o alinhamento da gestão de riscos com a estratégia da empresa e a performance, sua ligação com o processo decisório, a gestão do apetite ao risco e a variação aceitável em termos de performance. “É uma importante evolução do COSO ERM porque trata amplamente a gestão dos riscos corporativos e se complementa com o COSO 2013, que é o modelo de avaliação do sistema de controles internos”, destaca o managing director da Nasdaq BWise no Brasil, Claudinei Elias.

Metodologia Extended Organization é tendência

Uma das tendências apontadas pelo practice leader de GRC Solutions Latam na Nasdaq BWise, Wagner Pugliese, é o uso do método Extended Organization, conceito sobre o qual se espera que todos os envolvidos na cadeia de valor da companhia tenham o comportamento e as percepções alinhadas aos seus princípios organizacionais. "Como as empresas estão contratando mais serviços de terceiros, é imprescindível que esses parceiros tenham aderência ao ambiente cultural da corporação", alerta o especialista.

O método mais comumente usado é o da Due Diligence sobre os parceiros, terceiros e prestadores de serviços, que consiste na avaliação se os mesmos princípios e valores definidos para os colaboradores da empresa são praticados pelos contratados, além, "é claro, sobre a mitigação de riscos sobre os processos operacionais, que, no limite, podem gerar risco reputacional".