**GOVERNANÇA ATUALIZADA**
A greve dos caminhoneiros, em maio, colocou o Brasil de joelhos em termos de abastecimento. O governo federal se viu obrigado a adotar novas regras para os setores de logística e de combustíveis. As medidas se estenderam a diversas cadeias produtivas, dando mais uma prova da volatilidade e do risco que toda empresa corre.
O episódio foi um lembrete também da importância de as empresas se resguardarem. Não à toa, um número crescente de organizações vem buscando ferramentas para aumentar a capacidade de prever eventos externos que podem impactá-las. São tecnologias que podem ser atreladas a seus processos internos, à legislação vigente e aos níveis de governança – ou seja, ao GRC.
Acrônimo de governança, risco e compliance, o GRC é um método que otimiza os processos de avaliação de riscos e o alinhamento das empresas a políticas corporativas, leis e regulamentações setoriais. Surgiu na década passada, para possibilitar um funcionamento seguro às organizações e oferecer a seus gestores subsídios para a tomada de decisão, mas agora está entrando em uma nova fase, em sintonia com a assim chamada quarta revolução industrial. O GRC 4.0 opera impulsionado por big data, inteligência artificial (IA) e machine learning, e assim ganha em abrangência, velocidade e integração. Já não se restringe à análise de riscos e de marcos regulatórios; quer promover a unificação sistêmica das corporações.
“Nós entendemos o GRC como um framework amplo, não limitado a suas três letras. É um processo inteligente e integrado de captura e gerenciamento de informações e execução de tarefas”, explica Claudinei Elias, managing director para a América Latina da Nasdaq Bwise, empresa que é líder mundial em soluções de GRC, ligada à famosa bolsa de valores de empresas tech Nasdaq.
**SEGURANÇA PARA INOVAR**
O uso de tecnologia não é novidade no GRC – muitas plataformas são baseadas em softwares de gestão semelhantes ao Enterprise Resource Planning (ERP). As empresas, entretanto, costumam aplicar os preceitos de modo fragmentado. Cada setor se encarrega de fazer os próprios levantamentos. A detecção de riscos e o compliance ficam reservados a áreas jurídicas estanques e pouco se conectam com a parte estratégica do negócio, por exemplo. E o problema é claro: a criação de silos de avaliação impede um fluxo contínuo de informações, gerando trabalhos duplicados, conflitos entre setores e perda de tempo. Os entraves afetam o valor das empresas, abalam sua competitividade e podem resultar, acredite, em riscos ainda maiores.
“A estrutura de risco e governança precisa estar alinhada com com a estratégia do negócio. Isso ainda não acontece nas empresas.” Claudinei Elias, managing director da Nasdaq Bwise da América Latina, líder mundial em soluções de GRC
De acordo com uma pesquisa deste ano da consultoria Accenture, realizada em 82 países, 63% das empresas com faturamento acima de US$ 100 milhões passam por um momento de “alta disrupção”. Nesse cenário de mudança, é preciso primar pela celeridade e por uma postura resiliente – e é para isso que o GRC 4.0 entra em campo. Incorporando várias aplicações, ele contribui para a unificação de todos os processos, evitando redundâncias e morosidade na tomada de decisão. “O benefício mais importante é a estruturação de um único sistema de registro, desde que você possua todas as fontes de informação corretas”, confirma Khushbu Pratap, analista de pesquisa do Gartner Group.
As aplicações de big data combinam armazenamento massivo de informações e alta velocidade de acesso. Isso permite que as empresas agrupem grandes quantidades de dados estruturados – fornecidos por processos internos e auditorias, por exemplo – e conteúdos não estruturados, como feedbacks da ouvidoria ou das redes sociais.
A busca de padrões e a elaboração de modelos preditivos com base nessas informações heterogêneas é, então, feita por soluções de data analytics. Plataformas como Hana, da SAP, e Exalytics, da Oracle, são capazes de combinar indicadores oriundos de múltiplas fontes e estabelecer padrões de erros e ameaças. Essas ferramentas otimizam a definição dos principais dados de risco, levando em conta seus elementos motivadores – sejam comportamentos do consumidor, tendências econômicas ou questões ambientais, entre outras forças.
Com tais padrões e o auxílio da inteligência artificial e do machine learning, os sistemas de um banco, por exemplo, conseguem detectar e até prever fraudes quando as transações de cartão de crédito ainda estão acontecendo, em tempo real. É como se fosse uma auditoria contínua. “A estrutura ajuda a entender tendências e a fazer previsões de potenciais perdas e impactos, aprimorando a mensuração do risco”, diz Elias, da Nasdaq Bwise.
“O GRC tem de ser um processo de evolução contínua. Sempre estamos buscando formas de melhorá-lo e implementando novas funcionalidades.” Vinicius Alencar Oliveira, especialista de validação de modelos do Banco Votorantim
**NOVA ORDEM NO VELHO MUNDO**
Desde maio, há novas exigências legais para lidar com dados na Europa, o que impõe adequações de compliance às empresas em escala global
Se depender da Europa, o GRC vai ficar ainda mais importante. É que o Regulamento Geral de Proteção de Dados da União Europeia (GDPR, na sigla em inglês), que entrou em vigor no último dia 25 de maio, aumenta a proteção aos dados dos cidadãos europeus – o que joga a responsabilidade pela segurança dessas informações sobre as organizações públicas e privadas. Isso tem reflexos diretos não apenas sobre as instituições daquele continente, mas sobre todas as corporações que mantêm relacionamentos com a União Europeia.
As exigências são grandes. A normativa estipula, por exemplo, três diferentes níveis de proteção de dados: físico, organizacional e técnico. O primeiro se refere ao controle dos data centers das empresas. O segundo diz respeito ao estabelecimento de políticas corporativas para os dados, e o último tem relação com ferramentas de codificação e criptografia. Qualquer vazamento de dados deve ser informado às instâncias reguladoras e às próprias pessoas afetadas em até 72 horas.
E as demandas do GDPR não param por aí. Entre outras coisas, as empresas são obrigadas a ter um Comitê de Segurança da Informação e um setor específico para proteção de dados (DPO, na sigla em inglês). O DPO será o responsável por avaliar quais medidas precisam ser tomadas pela organização a fim de adequá-la à regulamentação.
Empresas de outros continentes terão de constituir um representante legal na UE para responder pelos dados trocados com o mercado local. Quem terceiriza o processamento de dados não está livre do problema, pois a responsabilidade dos titulares se estende a problemas ocorridos com terceiros.
A SAS, multinacional de análise de dados, fez um levantamento com pequenas, médias e grandes empresas do mundo sobre o tema. Cerca de 55% delas afirmaram não possuir processos estruturados para cumprir o GDPR ainda. As multas por violações à lei europeia podem chegar a 20 milhões de euros ou até 4% das receitas anuais da empresa.
**BENCHMARK**
As instituições bancárias começam a despontar como os benchmarks da nova fase do GRC. Afinal, o segmento financeiro nacional tem de lidar todos os meses com cerca de 3 mil publicações relacionadas a normas das esferas públicas municipais, estaduais e federais – sem contar as regulações endógenas, impetradas por entidades como a Federação Brasileira dos Bancos (Febraban). Ao todo, o volume pode chegar a 15 mil normas por mês, contando a interação com as atualizações dos demais setores. Além da legislação, os bancos estão entre os segmentos mais dependentes das estratégias de risco para vislumbrar margens de lucro e prejuízo.
“O grande benefício do GRC para nós foi a linha de informação aos gestores. A plataforma trouxe um maior conforto na gestão de risco de modelo à alta administração e aos acionistas.” Vinicius Alencar Oliveira, especialista do Banco Votorantim
Em 2012, o Banco Votorantim decidiu modernizar seu GRC e adotou uma plataforma da Nasdaq Bwise. Entre outros recursos, a solução oferece tecnologias de data analytics para automatizar as metodologias de riscos operacionais. O cruzamento de informações melhorou o entendimento sobre as raízes dos problemas operacionais do banco, possibilitando a criação de novos tipos de procedimentos.
Um deles foi a gestão de risco de modelos. O método é voltado à validação e ao aprimoramento dos algoritmos, estatísticas e funções econométricas aplicadas no arcabouço de previsibilidade do banco. “Hoje podemos ver as vantagens. O planejamento tornou-se mais assertivo, pois os gestores têm acesso aos respectivos modelos de forma independente e podem alterá-los se for necessário”, conta Vinicius Oliveira, especialista de validação de modelos do Banco Votorantim.
A modificação processual aplicada na instituição demonstra o impacto do novo método de GRC na chamada “segunda linha de defesa” das organizações. A saber, as estruturas de resguardo normalmente possuem quatro linhas de defesa: governança, áreas de controle, auditoria interna e auditoria externa. A otimização do trabalho no controle não apenas facilita o trâmite das auditorias, mas também fornece subsídios à governança. “Ao levar informações precisas à ponta do negócio, a tecnologia melhora a tomada de decisão e a busca pela minoração do risco”, afirma o executivo da Bwise.
O modelo aplicado no Votorantim é considerado a pedra de toque da Nasdaq Bwise. Atualmente, a empresa reúne 30 soluções na plataforma de GRC 4.0 que criou sob medida para o banco.
**FLEXIBILIDADE GARANTIDA**
A diversidade de recursos confere maleabilidade ao GRC 4.0. O caráter flexível é importante porque a aplicação do framework deve respeitar tanto as particularidades do segmento em que a empresa atua quanto seu grau de maturidade gerencial. “A definição das tecnologias depende do modelo de governança corporativa, do ambiente de inovação e da qualidade dos dados para gerar a eficácia nos instrumentos de controle”, ressalta Alex Borges, sócio-líder do Risk Advisory Brasil da consultoria Deloitte.
“Os executivos responsáveis em gerir os riscos empresariais têm cada vez mais acesso a instrumentos de análises preditivas. Esse processo está evoluindo com o auxílio da tecnologia.” Alex Borges, sócio-líder do Risk Advisory Brasil da Deloitte
Nesse sentido, o case da M. Dias Branco pode ser considerado emblemático. Como fabricante de massas e biscoitos de 18 marcas como Adria, Isabela e Basilar, a companhia tem de respeitar regulamentações impostas por diversos órgãos – desde a Agência Nacional de Vigilância Sanitária (Anvisa) até a Comissão de Valores Mobiliários (CVM). Antes de aplicar o GRC, a M. Dias Branco realizava o compliance individual em cada uma de suas 14 unidades – espalhadas em oito estados brasileiros. “Nosso grande desafio era a dispersão das informações. Isso acarretava uma excessiva repetição de testes”, lembra Júlio de Carvalho, diretor de auditoria, gestão de riscos e compliance da empresa.
A situação começou a mudar em 2015, quando a M. Dias Branco adotou uma plataforma integrada de GRC. O framework deu celeridade aos processos e interligou a análise de risco e o compliance de todas as unidades. A base de dados fica centralizada na matriz da companhia, em Fortaleza (CE), mas as demais plantas têm acesso à ferramenta. “Todas as áreas passam a ter conhecimento da fonte das informações. Mesmo que cada setor possua independência de análise, a ferramenta deixa a empresa mais alinhada”, destaca Carvalho.
Em 2017, a M. Dias Branco concluiu o segundo ciclo de implantação do software GRC, incluindo matrizes de riscos, controles internos, rotinas de testes de auditoria interna e monitoramento dos planos de ações corretivas.
A implementação de um GRC robusto e com espectro de funcionalidades abrangente adiciona complexidade à adequação das empresas. Motivo: o alinhamento ao GRC é uma jornada que demanda esforço e tempo, já que a empresa precisa melhorar seus mecanismos de auditoria e regulação interna para calibrar a tecnologia. Apesar da complexidade, no entanto, quanto maior o escopo do GRC, mais completas e assertivas tendem a ser as informações repassadas aos tomadores de decisão.
A Nasdaq Bwise dá o nome de “organização estendida” a essa expansão do escopo do GRC. O propósito da abordagem é alinhar toda a cadeia de valor aos princípios estratégicos da companhia, incluindo joint ventures e terceirizados. Faz sentido. No Brasil, cerca de 74% dos gestores acreditam que os terceiros terão papel cada vez mais importante nos negócios, segundo uma pesquisa divulgada em maio pela Deloitte. O risco em relação a essa modalidade tornou-se maior a partir de 2014, com a promulgação da Lei Anticorrupção, que imputa responsabilidade ao contratante por atos ilícitos cometidos pelo terceiro. Desde então, o monitoramento a possíveis danos financeiros e de reputação tornou-se mais vigoroso.
O pensamento sistêmico sobre os riscos é conhecido por um nome específico: Enterprise Risk Intelligence (inteligência de risco organizacional, em livre
**IRM, UMA ALTERNATIVA**
Proposto pelo Gartner Group, o Integrated Risk Management é similar ao GRC, mas não tão focado em compliance
Em 2015, a consultoria de tecnologia Gartner Group realizou uma pesquisa com seus clientes e descobriu que 40% deles não usavam softwares de GRC. Entre estes, 65% sequer conheciam o termo. Ao mesmo tempo, cerca de 65% dos CEOs entrevistados pela consultoria em outro levantamento demonstraram interesse em investir em ferramentas de gerenciamento de risco. Isso levou o Gartner a propor uma nova abordagem do GRC: o Integrated Risk Management (IRM), gerenciamento integrado de risco, em português.
Em linhas gerais, o conceito é semelhante ao do GRC 4.0 e tem o mesmo objetivo de suporte para a tomada de decisão dos gestores. Segundo o Gartner, sua abordagem se diferencia por não ficar tão vinculada ao compliance, buscando a integração holística de todos os processos de mitigação de riscos com a combinação de softwares e tecnologias capacitadoras. A diferença também estaria em uma definição mais clara dos eixos de atuação:
**• Gerenciamento de risco digital:** associado a componentes de negócios digitais, como nuvem, redes sociais e Internet das Coisas (IoT).
**• Gerenciamento de risco do fornecedor:** direcionado ao gerenciamento de riscos de terceiros. • Gerenciamento de continuidade de negócios: busca identificar riscos críticos que possam levar à interrupções de negócios, como desastres.
**• Gerenciamento de auditoria:** voltado a soluções de automação do planejamento das auditorias.
**• Conformidade e supervisão corporativa:** foco em dinamizar o alinhamento de compliance.
**• Gerenciamento jurídico empresarial:** presta suporte tecnológico em questões financeiras e de documentação.
Os gestores costumam acessar uma parte das soluções de IRM. Só com a maturidade organizacional é que buscam o conjunto integrado das soluções, segundo Khushbu Pratap, do Gartner.
tradução). A concepção tem a ver com a aplicação integrada de soluções de risco e com a maturidade da organização sobre o tema. Colocar em prática uma abordagem sistêmica às ameaças, como essa, faz as empresas ganharem confiança para assumir ou até propor novos riscos, e é o que GRC 4.0 quer proporcionar. “Os boards querem ter instrumentos efetivos para antecipação decisória e minimização de impactos. As tecnologias podem levar as informações certas no momento certo”, frisa Alex Borges, da Deloitte.
Para colocar isso em prática, o Banco Votorantim criou uma agenda periódica de feedbacks. A plataforma dispara relatórios mensais por e-mail para todos os gestores de risco, sempre no mesmo dia. “O formato é padronizado, mas existem filtros que direcionam conteúdos específicos para os responsáveis pelas análises de cada área”, explica Oliveira, do Votorantim.
Júlio Borges, da M. Dias Branco, também valoriza a questão de prática. “Seria inócuo conseguir identificar todos os riscos, mas só escrevê-los num relatório. É preciso trazê-los para a aplicação prática – e a ferramenta nos ajuda nisso”, pondera.
**MAIS VELOCIDADE**
Cada vez mais, as entregas do GRC serão otimizadas pelas tecnologias de informação e comunica ção (TICs). Essa, inclusive, é uma das tendências do setor para os próximos anos. A instantaneidade será a tônica tanto na coleta quanto na interpretação de informações. As soluções de data analytics estão entre as ferramentas com maior grau de maturidade. IA e machine learning, por sua vez, devem crescer. “Essas técnicas ainda não foram completamente identificadas no GRC, embora os fornecedores a utilizem para setores específicos, como finanças, seguros e varejo”, avalia Khushbu Pratap, do Gartner.
O compliance deve se beneficiar com a atuação combinada de IA e machine learning, já que os procedimentos de atualização legal ainda são feitos de forma manual. Em breve, os bots poderão estar conectados diretamente aos órgãos legislativos. Com a mineração de texto, eles terão condições de avaliar mudanças normativas e interferir de modo automático nos modelos de risco e de conformidade. O feedback, por sua vez, também ganhará velocidade.
“Os benefícios da plataforma se convertem em vantagens financeiras, pois melhores controles mitigam o risco e as exposições de imagem e reputação.” Júlio Carvalho, diretor de auditoria, gestão de riscos.
A era dos relatórios anuais com milhares de páginas parece estar chegando ao fi m. A ideia é fazer entregas instantâneas, seja de informações operacionais ou voltadas ao escalão deliberativo. Porém, o caminho para maior penetração do GRC 4.0 depende da aderência dos gestores à tecnologia. “Alguns dos nossos clientes já iniciaram essa trilha, mas outros ainda estão perdidos e precisam ser orientados”, afirma Claudinei Elias, da Nasdaq Bwise.
**PERSONAGEM-CHAVE**
O personagem do “trusted advisor” (conselheiro de confiança) ganha importância nesse processo. O termo se refere ao profissional de GRC que atua como guia da organização na implantação do framework, ajudando os gestores a usufruir os benefícios proporcionados pelo sistema.
“De fato, não basta implementar modelos de gestão de informação. É necessário ter a definição clara sobre que resposta a empresa busca”, reforça Borges, da Deloitte. É onde o trusted advisor ajuda.
**TIMING**
O auxílio ganha relevância em face de transformações recentes, como a chegada das criptomoedas – pivô de polêmicas no setor financeiro e que ainda não têm regulamentações claras. A própria questão da cibersegurança ganha muito mais evidência. Com a multiplicação dos dados corporativos em nuvem, a governança de TI e a proteção aos sistemas tornam- -se parte da rotina das organizações. A plataforma SAP Hana, que pode integrar o GRC 4.0, por exemplo, possui recursos de machine learning que monitoram violações em redes sociais e conseguem rastrear o compartilhamento dos dados até na deep web – a região da internet na qual estão os sites não indexados pelos mecanismos de busca, como o Google.
Outro fato importante a acelerar o interesse por soluções de GRC 4.0 é a mudança no marco regulatório de dados instituído pela União Europeia [veja quadro “Nova ordem no velho mundo”], cujos efeitos se estendem a todos os mercados do planeta.