01_Gestão de riscos, compliance e governança - GRC

Prévia do material em texto

Gestão de riscos e Compliance: quais são as diferenças e os benefícios? 
 
Artigo publicado em 21.05.2019 
 
 
 
Muitos gestores ainda não entendem bem como a integração entre gestão de riscos e 
Compliance, aliada às boas práticas de Governança Corporativa, podem beneficiar as 
instituições. 
Tanto o gerenciamento de riscos quanto o Compliance auxiliam na prevenção de 
ameaças à estrutura legal e aos ativos físicos da companhia. Por isso, preparamos este 
conteúdo especial para você conferir tudo sobre as duas metodologias e as vantagens 
que a implementação adequada confere aos negócios. Confira! 
O que é a gestão de riscos? 
Antes de mais nada, é importante conceituar o que são os riscos: efeitos internos e 
externos que causam incertezas e imprevisibilidade em qualquer processo de gestão de 
negócio. Quando essas incertezas se aliam a uma gestão inadequada, cresce a 
possibilidade de prejuízos, em muitos casos irreparáveis. 
A melhor forma de lidar com a questão é realizar um gerenciamento capaz de mensurar 
e combater diretamente os riscos, evitando, principalmente, que eles atinjam os lucros 
da companhia. 
A gestão de riscos constitui, portanto, uma série de processos e atividades específicas 
com o objetivo de corrigir deficiências e evitar falhas que comprometam a organização 
— além de gerar valor para a companhia. Esse gerenciamento ainda envolve a 
identificação de oportunidades que enriqueçam o valor de mercado e a infraestrutura 
do negócio como um todo. 
Gerir os riscos significa, também, estabelecer estratégias que proporcionem um 
equilíbrio entre as metas a serem cumpridas e os diversos perigos que as rodeiam. 
Os profissionais de gestão de riscos são responsáveis por identificar as incertezas nos 
processos, medir a probabilidade de danos e seus possíveis impactos. 
Operam, ainda, estabelecendo como as falhas serão tratadas e as formas para reduzir 
os efeitos delas. Essa equipe avalia qualquer inconformidade, externa ou interna, que 
possa ameaçar as metas e os objetivos traçados pela empresa. 
Independentemente do segmento e do porte da companhia, é a gestão de riscos que 
vai ajudar a definir o futuro e a capacidade de crescimento do negócio. 
Entre os múltiplos benefícios que a gestão de riscos proporciona para empresa, está a 
prevenção de perdas e ativos financeiros. 
Isso é feito por meio de testes e análises dos produtos mesmo antes do lançamento no 
mercado. Assim, a companhia realiza o mapeamento de todas as variáveis dos 
processos que envolvem aquele ativo. 
A modernização trazida pela metodologia de gestão de riscos ajuda as empresas a 
considerarem todos os fatores relacionados ao lançamento de novas soluções no 
mercado. 
Outro benefício significativo é a otimização geral dos processos e utilização adequada 
dos recursos operacionais. Ao verificar e gerenciar os riscos envolvidos, torna-se bem 
mais fácil alocar os recursos e insumos com agilidade e definir processos mais eficazes, 
otimizando a atuação da companhia. Desse modo, é possível elevar a produtividade da 
equipe e gerar mais eficiência na rotina empresarial. 
A margem de lucro da empresa também é diretamente beneficiada por uma 
implementação competente de gestão de riscos. Afinal, resolver todas as pendências 
que desagradaram aos consumidores depois do lançamento custa bem mais caro para 
a companhia. 
O que é Compliance? 
O nome vem do verbo em inglês "to comply", que designa a ação em conformidade com 
as regras. O Compliance é frequentemente traduzido como conformidade por diversos 
veículos de comunicação, evidenciando o seu significado — uma metodologia de 
cumprimento às legislações vigentes. 
O Compliance se relaciona a uma série de mecanismos de controle com a função de 
garantir que os processos da instituição estejam sendo realizados de acordo com os 
requisitos jurídicos e sem deixar de lado os valores éticos imbuídos na missão e nos 
valores da empresa. Ele envolve um bom relacionamento com investidores, clientes e 
fornecedores, ou seja, toda a cadeia de relações da companhia. 
O objetivo do Compliance é assegurar, em conjunto com os determinados setores de 
uma companhia, a adequação e o fortalecimento do sistema de diretrizes da instituição 
às leis e aos regulamentos. 
Ele pode ser entendido, também, como um conjunto de procedimentos destinados ao 
cumprimento das normas legais e ao combate de desvios éticos nas corporações. 
O Compliance apresenta um viés óbvio de conformidade às normas legislativas, 
relacionado ao cumprimento e à adequação às leis, às diretrizes e aos regulamentos, 
mas não é só isso. 
A implementação do programa em uma organização vai assegurar a existência de um 
controle maior nos processos, que serão capazes de mitigar riscos e atuar na verificação 
de práticas mais transparentes de atuação. 
Podemos fazer uma distinção importante entre Compliance e Governança Corporativa, 
embora os conceitos se relacionem. Essa última constitui o grupo de estratégias 
utilizadas por uma companhia para demonstrar o seu valor e comprometimento para os 
acionistas e clientes. 
O objetivo da Governança Corporativa, portanto, é garantir a gestão responsável e ética 
da empresa, seguindo as obrigações estabelecidas pelas agências reguladoras. 
Já o Compliance se relaciona às ações efetivas de combate a fraudes e a um esforço 
contínuo de adequação às leis. Dessa forma, se destina a enfrentar diretamente fatores 
que levam ao descumprimento das normas, como: 
• falta de monitoramento contínuo; 
• falhas na supervisão adequada dos processos; 
• controle interno de riscos. 
Insatisfação dos consumidores com casos de corrupção pública motiva a adoção do 
Compliance 
Principalmente em períodos em que uma grande ocorrência de escândalos de 
corrupção assola as páginas de jornais e influenciam a opinião pública, a 
implementação do Compliance se torna uma necessidade — seja nas instituições 
públicas, seja nas privadas que desejam manter sua reputação e boa imagem. 
A implantação da prática garante uma solidez institucional que beneficia a instituição 
em diferentes níveis. Stakeholders, parceiros de negócios e colaboradores qualificados 
serão naturalmente atraídos para empresas que mantêm práticas regulares de 
combate a desvios e inconformidades em geral. 
Investir em programas de Compliance e boas práticas corporativas em geral garante, 
assim, o alinhamento a um compromisso ético que gera até um aumento da 
produtividade na empresa. 
Fraudes e irregularidades internas causam, além de problemas com a Receita Federal e 
as leis anticorrupção, danos significativos ao faturamento da companhia. 
Um cenário aparentemente desfavorável do ponto de vista legal pode ser 
efetivamente revertido com a adoção do Compliance, que vai estabelecer normas e 
políticas claras em prol da integridade. 
Como é uma prática que abarca toda a organização, facilita a integração entre os 
setores e, assim, tanto os colaboradores quanto os gestores terão em mente o que 
deve ser feito para se adequar às leis. 
Com a evolução da internet de alta velocidade e o acesso otimizado por meio de 
dispositivos móveis, se tornou bem mais fácil para os consumidores encontrar 
prestadores de serviço para as suas necessidades. Não é mais aceitável para essas 
pessoas, portanto, contar com empresas que não invistam na implantação de uma 
cultura de ética na organização. 
O Compliance atua diretamente nesse ponto, buscando a sintonia com a lei e livrando 
as empresas de práticas fraudulentas. Com a adoção dessas regras, há um incremento 
na credibilidade e a consolidação da confiança dos clientes na companhia. 
Como afirma o autor Edmo Colnaghi Neves, em sua obra "Compliance empresarial: o 
tom da liderança", três ações são reiteradas em palestras, artigos e argumentações 
favoráveis ao Compliance: prevenir, detectar e responder. 
Caso algumas práticas fora da conformidade ainda sejam cometidas, o Compliance vai 
detectá-las e corrigi-las a tempo, mitigando a perda de receitacom pagamentos de 
indenizações e evitando sanções legais. 
Qual é a diferença entre gestão de riscos e Compliance? 
Distinguir de modo eficaz a gestão de riscos do Compliance pode ser um pouco 
complicado, já que ambas as ferramentas têm como objetivo o combate aos danos 
estruturais e o cumprimento da legislação. 
Mas é possível traçar comparações, baseadas principalmente em uma outra forma de 
encarar, respectivamente, os dois processos: a necessidade de evitar riscos e assegurar 
a implementação efetiva das ferramentas de combate. 
O que realmente importa é que unir as duas ferramentas vai gerar vantagem 
competitiva e agregar valor ao seu negócio. O cumprimento das regras e regulamentos 
estabelecidos (Compliance), afinal, se alinha diretamente à proteção das empresas 
contra riscos que poderiam levar ao desrespeito às regras vigentes. 
Desse modo, podemos dizer que a gestão de riscos alivia o trabalho do Compliance e 
facilita a sua implementação sem causar grandes rupturas em todo as atividades da 
companhia. Uma organização não pode realmente ter um programa robusto de 
gerenciamento de riscos sem Compliance — e vice-versa. 
Nesse sentido, o Compliance é a satisfação de todos os requisitos relacionados à 
gestão de riscos para o negócio e o cumprimento exemplar das normas e regras de 
modo que a empresa não seja comprometida. 
A sustentabilidade da companhia também é garantida, assegurando os interesses dos 
stakeholders, colaboradores e clientes. 
No entanto, suas diferenças são dignas de nota porque as características relacionadas 
ao Compliance e as atividades relacionadas à gestão de riscos merecem abordagens e 
táticas de execução exclusivas. 
Enquanto a gestão de riscos se relaciona a um procedimento mais estratégico, o 
Compliance é mais incisivo. A gestão de risco depende da análise para contornar os 
riscos ou, no mínimo, mitigar as falhas nos processos. 
Já o Compliance vai trabalhar decisivamente com possíveis multas e penalidades, por 
exemplo, assim como remediar os danos à reputação relacionados a falhas no 
gerenciamento. 
Assim, a gestão de riscos é mais preditiva e menos reativa. Essa metodologia deve ser 
capaz de prever o impacto que possíveis falhas podem causar à empresa e ainda 
estimula novos procedimentos para minimizar situações de risco e estabelecer ações de 
combate e buscar melhorias. Já o Compliance é mais prescritivo, já que as organizações 
devem aderir às regras e normas já em vigor. 
Como a integração dessas áreas beneficia as empresas? 
A integração entre gestão de risco, governança corporativa e Compliance se relaciona à 
sigla GRC. Esse conjunto de conceitos se relaciona aos esforços da companhia para 
facilitar a unificação e a transparência de seus processos, com o objetivo de garantir que 
as políticas e os valores da empresa se alinhem satisfatoriamente. 
Em um mercado tão acirrado, pontuado por clientes cada vez mais exigentes e normas 
regulatórias diversas, integrar os setores é a solução para que as empresas aumentem 
sua produtividade. Para isso, o GRC é fundamental. 
Uma abordagem integrada desses processos em toda a empresa promove o diálogo 
contínuo entre todos os setores envolvidos com o gerenciamento de deficiências e 
riscos. 
A integração promove uma cultura de suporte às regras em todos os níveis da 
organização, permitindo a identificação mais apurada dos custos e das exigências das 
ações que serão efetivadas pela implementação do Compliance. 
A utilização de uma abordagem integrada melhora o nível geral de transparência da 
companhia, além de ajudar a reduzir a utilização de recursos financeiros. Porém, esses 
esforços devem incluir uma padronização nos processos, podendo incluir o uso de 
automação para otimizar as atividades. 
A abordagem integrada de gestão de riscos ao Compliance ajuda as instituições a se 
fortalecerem contra riscos futuros ainda desconhecidos e antecipar o impacto das 
mudanças nas condições em relação às regulações que devem ser adotadas. 
Essa integração garante, desse modo, a redução de ameaças e ainda potencializa o 
número de oportunidades. Os profissionais envolvidos devem colaborar em prol da 
expansão da empresa, traçando estratégias comuns e seguindo as mesmas práticas, 
normas e regulações relativas ao gerenciamento de risco e ao Compliance. 
Gestão de riscos, governança corporativa e Compliance são três pilares fundamentais 
do gerenciamento de empresas. Cada vez mais, as instituições investem no 
mapeamento dos riscos, sejam eles operacionais, financeiros ou ambientais. 
Uma boa análise leva em consideração o possível impacto do problema, a frequência 
dessas anomalias nos processos, a magnitude e a probabilidade de que essa falha 
ocorra novamente. 
Matriz de impacto e probabilidade 
A matriz de impacto e probabilidade, por exemplo, envolvida diretamente na análise 
de riscos, fornece uma escala de acordo com cada risco em uma etapa inicial. Os 
fatores identificados servem de recurso para a delimitação de iniciativas de controle e 
monitoramento em tempo real que auxiliam no cumprimento de objetivos 
estratégicos, na segurança geral dos processos, na reputação e no valor geral de 
mercado da companhia. 
Isso aumenta as chances de prevenção a situações desfavoráveis e ainda auxilia na 
busca por novas oportunidades de negócio e conquista de clientes. 
O próprio processo de confecção dessa matriz gera uma melhora significativa na 
cultura de gestão de riscos e ativos, principalmente quando envolve diversos níveis da 
hierarquia interna da instituição na elaboração das decisões. 
Como assegurar a implementação acertada dos conceitos? 
Podemos traçar etapas similares para a correta implantação dos dois conceitos. 
Segundo os autores do livro "Compliance 360º — riscos, estratégias, conflitos e vaidades 
no mundo corporativo", Vinícius Trevisan, Ana Paula P. Candeloro e Maria Balbina 
Marins de Rizzo, as etapas de implantação do Compliance são as seguintes: 
• disseminar e educar os colaboradores da empresa sobre a cultura geral do 
Compliance; 
• iniciar a implementação pela demonstração dos benefícios e combate aos mitos 
sobre o assunto; 
• buscar as pessoas certas e os recursos mais adequados para iniciar o trabalho; 
• mapear e monitorar, estabelecendo as metas mais urgentes de redução de 
riscos; 
• iniciar os treinamentos e a comunicação mais eficiente, priorizando a 
transparência; 
• dar voz a todos os setores, garantindo um canal comum de colaborações e 
investigações; 
• incentivar e sancionar as propostas mais pertinentes, os mecanismos-chave; 
• estabelecer métricas e critérios para promover melhorias no programa; 
• estabelecer uma política interna que ofereça a defesa da companhia em caso de 
fiscalização. 
Uma das autoras, Ana Paula P. Candeloro, esclarece em artigo posterior que a trajetória 
para a busca de soluções em Compliance passa, necessariamente, por diversas etapas 
— e ela reafirma a importância de apostar no desenvolvimento de práticas corporativas 
para que a instituição alcance a maturidade profissional. 
Esse nível de maturidade vai garantir um diferencial competitivo no mercado e a 
sustentabilidade dos negócios. Segundo ela, "viver para a empresa" deve ser o ponto de 
partida do programa, em vez de "viver da empresa". 
Já segundo as etapas do processo de gestão de riscos proposto pela norma técnica ISO 
31000 e as recomendações do Roteiro de Auditoria do Tribunal de Contas da União 
(TCU), as etapas são as seguintes: 
• estabelecimento do contexto; 
• identificação dos riscos; 
• análise de risco; 
• avaliação de risco; 
• tratamento de risco; 
• monitoramento e análise crítica. 
A Petrobras é um exemplo bem-sucedido de implantação de uma gestão integrada de 
Compliance e gestão de riscos. A adoção das duas ferramentas ajudou muito na 
recuperação da imagem da companhia e do seu valor de mercado. 
Ao adotar o tripé GRC (como vimos, Governança, Risco e Compliance), ficou mais fácil 
estabelecer ações continuadas de prevençãoe flagrante de fraudes e casos de 
corrupção. 
A implementação de um canal terceirizado de denúncias acessível aos colaboradores 
internos e ao público externo ajudou a garantir a transparência dos processos. O 
processo de Due Dilligence de Integridade também garantiu uma reforma em toda a 
estrutura gerencial da companhia. 
Como a tecnologia pode ajudar? 
O conceito de transformação digital se relaciona à crescente incorporação de 
tecnologias digitais, como armazenamento em nuvem e softwares de automação, a 
todos os setores das empresas, o que ocasiona uma grande mudança em toda a 
operação da companhia. 
http://www.abnt.org.br/imprensa/releases/5753-lancada-a-nova-versao-da-norma-iso-31000-gestao-de-riscos
http://www.abnt.org.br/imprensa/releases/5753-lancada-a-nova-versao-da-norma-iso-31000-gestao-de-riscos
http://www.abnt.org.br/imprensa/releases/5753-lancada-a-nova-versao-da-norma-iso-31000-gestao-de-riscos
http://www.abnt.org.br/imprensa/releases/5753-lancada-a-nova-versao-da-norma-iso-31000-gestao-de-riscos
https://portal.tcu.gov.br/biblioteca-digital/roteiro-de-auditoria-de-gestao-de-risco.htm
https://portal.tcu.gov.br/biblioteca-digital/roteiro-de-auditoria-de-gestao-de-risco.htm
https://epocanegocios.globo.com/Publicidade/Petrobras/noticia/2017/06/gestao-de-risco-e-compliance-fazem-diferenca.html
https://epocanegocios.globo.com/Publicidade/Petrobras/noticia/2017/06/gestao-de-risco-e-compliance-fazem-diferenca.html
Essa transformação tecnológica é uma mudança cultural de alta relevância, já que 
proporciona um meio de testar novas soluções e abandonar processos antigos que já 
não geram tanto valor para a empresa. Desse modo, a transformação digital oferece 
boas oportunidades de integração com a gestão de riscos. 
A busca por soluções robustas por meio de tecnologias de ponta, acessíveis aos 
diversos tipos de negócio, podia parecer até uma utopia há pouco tempo, mas se 
tornou realidade. 
As tendências de TI têm guiado inovações empresariais e influenciado o 
comportamento dos consumidores, que exigem cada vez mais praticidade e agilidade. 
A transformação digital auxilia os diversos processos de gerenciamento por meio de 
algumas ações bem definidas. Vamos conhecê-las. 
Possibilidade de se antecipar a fraudes por meio de análise de dados 
A tecnologia pode servir às empresas na busca de informações internas sobre os 
processos e os próprios colaboradores. Alguns tipos de informações relevantes para a 
companhia que podem ser mapeados por meio da análise aprofundada de dados são: 
• investigar colaboradores que possam estar envolvidos com casos públicos de 
corrupção; 
• checar as informações e a reputação de potenciais parceiros de negócio; 
• mapear o financiamento da empresa a outras causas e reduzir os custos, se 
necessário. 
Evitar conflitos de interesse na companhia 
 
Fonte: 
https://brasil.softlinegroup.com/sobre-a-empresa/blog/gestao-de-riscos-e-compliance 
 
https://brasil.softlinegroup.com/sobre-a-empresa/blog/gestao-de-riscos-e-compliance
https://brasil.softlinegroup.com/sobre-a-empresa/blog/gestao-de-riscos-e-compliance