A análise de risco e o compliance, instrumentos fundamentais da governança corporativa
A análise de risco e o compliance, instrumentos fundamentais da governança corporativa, começam a se beneficiar das novas tecnologias, que dão mais visibilidade ao que acontece com a empresa
A greve dos caminhoneiros, em maio, colocou o Brasil de joelhos em termos de abastecimento. O governo federal se viu obrigado a adotar novas regras para os setores de logística e de combustíveis. As medidas se estenderam a diversas cadeias produtivas, dando mais uma prova da volatilidade e do risco que toda empresa corre. O episódio foi um lembrete também da importância de as empresas se resguardarem. Não à toa, um número crescente de organizações vem buscando ferramentas para aumentar a capacidade de prever eventos externos que podem impactá-las. São tecnologias que podem ser atreladas a seus processos internos, à legislação vigente e aos níveis de governança – ou seja, ao GRC.
Acrônimo de governança, risco e compliance, o GRC é um método que otimiza os processos de avaliação de riscos e o alinhamento das empresas a políticas corporativas, leis e regulamentações setoriais. Surgiu na década passada, para possibilitar um funcionamento seguro às organizações e oferecer a seus gestores subsídios para a tomada de decisão, mas agora está entrando em uma nova fase, em sintonia com a assim chamada quarta revolução industrial. O GRC 4.0 opera impulsionado por big data, inteligência artificial (IA) e machine learning, e assim ganha em abrangência, velocidade e integração. Já não se restringe à análise de riscos e de marcos regulatórios; quer promover a unificação sistêmica das corporações.
“Nós entendemos o GRC como um framework amplo, não limitado a suas três letras. É um processo inteligente e integrado de captura e gerenciamento de informações e execução de tarefas”, explica Claudinei Elias, managing director para a América Latina da Nasdaq Bwise, empresa que é líder mundial em soluções de GRC, ligada à famosa bolsa de valores de empresas tech Nasdaq.
SEGURANÇA PARA INOVAR
O uso de tecnologia não é novidade no GRC – muitas plataformas são baseadas em softwares de gestão semelhantes ao Enterprise Resource Planning (ERP). As empresas, entretanto, costumam aplicar os preceitos de modo fragmentado. Cada setor se encarrega de fazer os próprios levantamentos. A detecção de riscos e o compliance ficam reservados a áreas jurídicas estanques e pouco se conectam com a parte estratégica do negócio, por exemplo. E o problema é claro: a criação de silos de avaliação impede um fluxo contínuo de informações, gerando trabalhos duplicados, conflitos entre setores e perda de tempo. Os entraves afetam o valor das empresas, abalam sua competitividade e podem resultar, acredite, em riscos ainda maiores.
De acordo com uma pesquisa deste ano da consultoria Accenture, realizada em 82 países, 63% das empresas com faturamento acima de US$ 100 milhões passam por um momento de “alta disrupção”. Nesse cenário de mudança, é preciso primar pela celeridade e por uma postura resiliente – e é para isso que o GRC 4.0 entra em campo. Incorporando várias aplicações, ele contribui para a unificação de todos os processos, evitando redundâncias e morosidade na tomada de decisão. “O benefício mais importante é a estruturação de um único sistema de registro, desde que você possua todas as fontes de informação corretas”, confirma Khushbu Pratap, analista de pesquisa do Gartner Group.
As aplicações de big data combinam armazenamento massivo de informações e alta velocidade de acesso. Isso permite que as empresas agrupem grandes quantidades de dados estruturados – fornecidos por processos internos e auditorias, por exemplo – e conteúdos não estruturados, como feedbacks da ouvidoria ou das redes sociais.
A busca de padrões e a elaboração de modelos preditivos com base nessas informações heterogêneas é, então, feita por soluções de data analytics. Plataformas como Hana, da SAP, e Exalytics, da Oracle, são capazes de combinar indicadores oriundos de múltiplas fontes e estabelecer padrões de erros e ameaças. Essas ferramentas otimizam a definição dos principais dados de risco, levando em conta seus elementos motivadores – sejam comportamentos do consumidor, tendências econômicas ou questões ambientais, entre outras forças.
Com tais padrões e o auxílio da inteligência artificial e do machine learning, os sistemas de um banco, por exemplo, conseguem detectar e até prever fraudes quando as transações de cartão de crédito ainda estão acontecendo, em tempo real. É como se fosse uma auditoria contínua. “A estrutura ajuda a entender tendências e a fazer previsões de potenciais perdas e impactos, aprimorando a mensuração do risco”, diz Elias, da Nasdaq Bwise.
BENCHMARK
As instituições bancárias começam a despontar como os benchmarks da nova fase do GRC. Afinal, o segmento financeiro nacional tem de lidar todos os meses com cerca de 3 mil publicações relacionadas a normas das esferas públicas municipais, estaduais e federais – sem contar as regulações endógenas, impetradas por entidades como a Federação Brasileira dos Bancos (Febraban). Ao todo, o volume pode chegar a 15 mil normas por mês, contando a interação com as atualizações dos demais setores. Além da legislação, os bancos estão entre os segmentos mais dependentes das estratégias de risco para vislumbrar margens de lucro e prejuízo.
Em 2012, o Banco Votorantim decidiu modernizar seu GRC e adotou uma plataforma da Nasdaq Bwise. Entre outros recursos, a solução oferece tecnologias de data analytics para automatizar as metodologias de riscos operacionais. O cruzamento de informações melhorou o entendimento sobre as raízes dos problemas operacionais do banco, possibilitando a criação de novos tipos de procedimentos.
Um deles foi a gestão de risco de modelos. O método é voltado à validação e ao aprimoramento dos algoritmos, estatísticas e funções econométricas aplicadas no arcabouço de previsibilidade do banco. “Hoje podemos ver as vantagens. O planejamento tornou-se mais assertivo, pois os gestores têm acesso aos respectivos modelos de forma independente e podem alterá-los se for necessário”, conta Vinicius Oliveira, especialista de validação de modelos do Banco Votorantim.
A modificação processual aplicada na instituição demonstra o impacto do novo método de GRC na chamada “segunda linha de defesa” das organizações. A saber, as estruturas de resguardo normalmente possuem quatro linhas de defesa: governança, áreas de controle, auditoria interna e auditoria externa. A otimização do trabalho no controle não apenas facilita o trâmite das auditorias, mas também fornece subsídios à governança. “Ao levar informações precisas à ponta do negócio, a tecnologia melhora a tomada de decisão e a busca pela minoração do risco”, afirma o executivo da Bwise.
FLEXIBILIDADE GARANTIDA
A diversidade de recursos confere maleabilidade ao GRC 4.0. O caráter flexível é importante porque a aplicação do framework deve respeitar tanto as particularidades do segmento em que a empresa atua quanto seu grau de maturidade gerencial. “A definição das tecnologias depende do modelo de governança corporativa, do ambiente de inovação e da qualidade dos dados para gerar a eficácia nos instrumentos de controle”, ressalta
A implementação de um GRC robusto e com espectro de funcionalidades abrangente adiciona complexidade à adequação das empresas. Motivo: o alinhamento ao GRC é uma jornada que demanda esforço e tempo, já que a empresa precisa melhorar seus mecanismos de auditoria e regulação interna para calibrar a tecnologia. Apesar da complexidade, no entanto, quanto maior o escopo do GRC, mais completas e assertivas tendem a ser as informações repassadas aos tomadores de decisão.
A Nasdaq Bwise dá o nome de “organização estendida” a essa expansão do escopo do GRC. O propósito da abordagem é alinhar toda a cadeia de valor aos princípios estratégicos da companhia, incluindo joint ventures e terceirizados. Faz sentido. No Brasil, cerca de 74% dos gestores acreditam que os terceiros terão papel cada vez mais importante nos negócios, segundo uma pesquisa divulgada em maio pela Deloitte. O risco em relação a essa modalidade tornou-se maior a partir de 2014, com a promulgação da Lei Anticorrupção, que imputa responsabilidade ao contratante por atos ilícitos cometidos pelo terceiro. Desde então, o monitoramento a possíveis danos financeiros e de reputação tornou-se mais vigoroso.
Fonte: HSM Management