Governação, risco e conformidade como vantagem estratégica

EM RESUMO:

• Governança, risco e conformidade (GRC) está a passar de controle de risco para uma função estratégica que antecipa riscos, protege valor e orienta decisões executivas num mundo volátil.

• Programas GRC maduros apresentam liderança forte, informação rápida e confiável, propriedade clara pela primeira linha, e líderes de GRC que desafiam decisões do conselho e da gestão.

• Embora a IA e as novas tecnologias melhorem a deteção de riscos, a vantagem real vem da integração de conhecimentos de risco em toda a organização para permitir uma governança oportuna e prática para conselhos e gestão.

Em novembro, membros do conselho, executivos sénior, diretores de auditoria, responsáveis de conformidade, diretores de risco e outros profissionais reuniram-se no SGV Knowledge Institute e no fórum SGV Consulting, "Navigating Enterprise Resilience through the Synergy of Governance, Risk, and Compliance". Examinou como a governança, risco e conformidade (GRC) está a ser reformulada por realidades empresariais mais rápidas, mais voláteis e menos tolerantes do que nunca.

A primeira sessão do painel, "GRC Integration: Aligning Governance, Risk, and Compliance with Business Strategy", centrou-se em como o GRC pode evoluir de uma função de controle de risco defensiva para uma fonte de clareza estratégica.

REDEFINIR O RISCO
Um tema dominou a discussão: a definição tradicional de risco tornou-se inadequada. O risco de conformidade, outrora o ponto focal dos programas GRC, é agora apenas uma parte de um universo de risco mais amplo que inclui exposições de liquidez, mercado e operacionais. Acima destes situam-se os riscos estratégicos e reputacionais, que os painelistas descrevem como uma das ameaças mais consequentes ao valor de longo prazo.

O risco hoje, argumentaram, é melhor descrito como NAVI: não linear, acelerado, volátil e interligado. Uma única perturbação pode propagar-se rapidamente através de funções, geografias e partes interessadas. Uma violação cibernética torna-se uma questão operacional e regulamentar; uma questão operacional ou regulamentar torna-se uma crise reputacional; uma crise reputacional corrói a confiança dos acionistas.

"GRCs maduros garantem a colaboração e são capazes de abordar eventos que desencadeiam múltiplos riscos", disse Vicky Lee Salas, Vice-Presidente Sénior para Projetos Especiais e Diretora de Risco e Conformidade da SM Investments Corp. A implicação para os executivos é clara: gerir riscos isoladamente não é apenas ineficiente, é também perigoso.

VELOCIDADE COMO ATIVO ESTRATÉGICO
Num ambiente de risco NAVI, a velocidade da informação é importante. O painel retornou repetidamente à ideia de que os programas GRC eficazes são aqueles que movem conhecimentos relevantes aos decisores antes que as escolhas sejam limitadas.

Narlette Manacap, Responsável Nacional de Risco de Conformidade do Citibank Filipinas, enquadrou a mudança da seguinte forma: "Se tiver um GRC maduro, o fluxo de informação é mais rápido, chegando às partes interessadas a tempo de fazer escolhas mais inteligentes", disse ela. "O GRC passou de defensivo para proativo: identificamos pontos de dor precocemente e planeamos adequadamente para situações. Em alguns casos, os controlos existem para prevenir, não mitigar, crises. Um GRC saudável ajuda a gerir crises e controlar perturbações."

Apesar da abundância de estruturas, os painelistas convergiram numa visão simples do que constitui maturidade GRC, que assenta em três pilares identificados.

Primeiro, a liderança deve ser forte, visível e inequívoca. O GRC não pode operar eficazmente quando o seu mandato não é claro ou é apoiado de forma inconsistente no topo. Segundo, a informação deve fluir rápida e credenciadamente para aqueles capacitados para agir. Conhecimentos de risco que chegam tarde, ou são filtrados para evitar desconforto, servem pouco propósito. Terceiro, a organização deve ser proativa, ou seja, capaz de identificar riscos emergentes suficientemente cedo para prevenir uma crise em vez de apenas responder a uma. Sem todos os três, até estruturas GRC bem concebidas lutam para entregar valor.

LIDERANÇA E PRESTAÇÃO DE CONTAS
Para além da estrutura, o painel enfatizou a mentalidade. Os líderes de risco eficazes devem operar com uma "mentalidade de intenção positiva", definida como uma capacidade de apreciar perspetivas diferentes, permanecer abertos durante o debate e envolver-se construtivamente com líderes empresariais cujas intenções podem nem sempre alinhar com considerações de risco.

A prestação de contas clara é igualmente crítica. Uma grelha RACI bem definida — clarificando quem é responsável, prestador de contas, consultado e informado — torna-se indispensável durante momentos de stress, quando a ambiguidade pode paralisar a resposta. De facto, o comportamento humano permanece o obstáculo persistente. Diferentes interpretações do apetite pelo risco, consciência de risco desigual e política organizacional podem minar até os sistemas mais sofisticados. Em tais momentos, os líderes de risco devem estar dispostos a manter a sua posição. Saber quando dizer "não", e articular porquê, é uma competência de liderança definidora no GRC moderno.

DA DEFESA À CRIAÇÃO DE VALOR
O painel descreveu a evolução das três linhas de defesa para o modelo de três linhas, uma mudança subtil mas significativa na linguagem. A nova ênfase não é apenas na prevenção e controle de risco, mas na criação de valor. Para que as três linhas funcionem eficazmente, devem partilhar objetivos, operar dentro de uma estrutura comum e ser apoiadas por facilitadores eficazes: liderança, cultura e tecnologia.

Manacap sublinhou a importância de capacitar a primeira linha. Quando as unidades de negócio possuem riscos, a organização torna-se mais ágil e menos dependente da intervenção da segunda linha. O risco, neste modelo, é responsabilidade partilhada em vez de uma função de policiamento centralizada.

Essa mudança também tem implicações para como os líderes de risco são posicionados. Salas afirmou que a credibilidade começa com o reconhecimento. Os diretores de risco e líderes de risco sénior, disse ela, precisam de ser "bem pagos, credíveis o suficiente para significar negócio". Demasiadas vezes, o risco é visto como um centro de custos. Na realidade, as funções GRC fortes atuam como "protetores de receita", salvaguardando valor que de outra forma poderia ser perdido para perturbações, multas ou danos reputacionais.

O PAPEL EM EXPANSÃO E OS LIMITES DA TECNOLOGIA
A inteligência artificial e as tecnologias emergentes destacaram-se proeminentemente na discussão. Sing Hwee Neo, Parceiro Global de Serviço ao Cliente da EY para Governo e Setor Público, refletiu sobre a transformação que testemunhou ao longo da sua carreira. "O GRC percorreu um longo caminho desde que comecei", disse ele. "Quando olho para trás quando comecei a auditoria interna, as ferramentas eram muito rudimentares. Os profissionais experientes podem agora usar IA para detetar falhas de controle de risco em tempo real."

Ele apontou para agentes de gerenciamento de risco automatizado autónomos que monitorizam múltiplas fontes de dados, ajustam dinamicamente a pontuação de risco e ajudam as organizações a priorizar e responder a incidentes potenciais de forma mais eficaz.

No entanto, o painel teve o cuidado de temperar o entusiasmo com cautela. A integração é mais importante do que qualquer ferramenta individual, pois a tecnologia que reforça silos meramente acelera a confusão. Alinhar categorias de risco, consolidar atividades de garantia e permitir que a gestão sénior veja uma imagem abrangente e oportuna do risco empresarial permanecem os verdadeiros diferenciadores.

CONHECIMENTOS PARA CONSELHOS
As perguntas da audiência refletiram preocupações executivas comuns, incluindo a disponibilidade de ferramentas de garantia combinadas e como as organizações podem preservar a independência e força das funções de segunda e terceira linha. As respostas retornaram a temas familiares: capacitação da primeira linha, clareza de papéis e apoio visível do topo.

Uma mensagem clara foi dirigida aos conselhos. Os painelistas exortaram que a governança deve ser implementada consistentemente em todo o grupo, mas de forma proporcional e prática. Uma governança excessivamente engenheirada pode ser tão prejudicial quanto uma governança insuficiente, particularmente em organizações complexas.

SINERGIA NO GRC
A sessão encerrou com um conjunto de reflexões sucintas que capturaram a filosofia partilhada do painel. A governança define a direção, o risco fornece previsão e a conformidade garante alinhamento, disse Neo. Manacap descreveu o GRC como "um em ação, movendo-se em sincronia". Salas ofereceu uma frase que provavelmente ressoará com os executivos: "risco em ritmo".

O que, em última análise, distingue o GRC eficaz não é a sofisticação por si só, mas a sinergia. Trata-se de diálogo aberto, prestação de contas partilhada e liderança disposta a tratar o risco não como uma restrição, mas como um instrumento estratégico.

Este artigo é apenas para informação geral e não substitui aconselhamento profissional onde os factos e circunstâncias o justifiquem. As opiniões expressas acima são as dos autores e não representam necessariamente as opiniões da SGV & Co.

Joseph Ian M. Canlas e Christiane Joymiel C. Say-Mendoza são parceiros de consultoria de risco da SGV & Co.