GRC: Guia completo sobre governança, riscos e compliance
A tríade governança, riscos e compliance (GRC) é, além de um símbolo de consistência administrativa, uma prova de confiança. Se fosse diferente, a maioria das empresas não conduziria, pelo menos, uma auditoria de conformidade por ano, como aponta um estudo da Ponemon Institute.
Embora o conceito esteja muito relacionado a dados, na verdade, ele trata de um espectro bastante amplo de atividades. Desde os processos de tomada de decisão à gestão orçamentária, não há setor ou área de um negócio que não seja alvo da GRC.
Então, se na sua empresa esse conjunto de medidas ainda não está em pauta, avance na leitura. Saiba como começar uma nova fase em seus negócios com muito mais credibilidade!
O que é governança, riscos e compliance?
Empresas não são ilhas. Para que sua formação tenha sentido, elas se relacionam com clientes, colaboradores, parceiros, fornecedores, órgãos governamentais, entre outras entidades. Além disso, ao longo da sua existência, uma organização atrai pessoas de variadas origens, visões de mundo e aspirações. Então, como fazer para conciliá-las com os interesses coletivos e manter o negócio sempre na linha, jogando conforme as regras?
A resposta para isso está no conjunto de medidas de controle com base em GRC. Nele, busca-se alinhar a conduta dos chamados “principais” com a dos “agentes”. Os primeiros são os donos da empresa, enquanto os segundos são todas as pessoas que se associam a eles ou criam vínculos com o negócio.
Qual a importância de GRC?
Se o compliance empresarial não fosse importante, não teria atingido o patamar mais alto de investimento mesmo em plena pandemia de coronavírus, como diz a Gartner. Isso porque as empresas de ponta sabem muito bem que, se não transparecem ao mercado o que fazem, como fazem e para onde pretendem ir, se arriscam a manchar sua reputação.
No Brasil, um bom exemplo disso é o que fez a Petrobras. Depois de uma grave crise institucional, que a levou a perder 85% do seu valor de mercado, hoje ela se encontra recuperada, graças principalmente a uma nova política de GRC.
O que é governança?
O “G”, da GRC, diz respeito à governança corporativa. Nesse caso, o que está em jogo são mecanismos de controle, leis, normas, instituições e tudo que se refere à maneira como uma empresa é administrada.
Uma empresa sem uma governança eficaz está fadada ao fracasso, já que não terá meios nem dispositivos para apoiar decisões, tampouco para se recuperar de crises. Em contrapartida, empresas que contam com uma governança sólida sabem exatamente o que fazer nos momentos difíceis e como agir para que continuem a crescer.
Como a governança se estrutura?
Governança, riscos e compliance se apoiam em um tripé de elementos indispensáveis para a sua aplicação. Veja quais são a seguir.
Regras
No jargão empresarial, costuma-se dizer que uma empresa é um “player”. Sendo assim, subentende-se que todas estão dentro de um grande jogo e, por isso, sujeitas a obedecer regras, que valem tanto dentro quanto fora de uma organização.
Portanto, todo negócio precisa de regras para disciplinar suas atividades e, ao mesmo tempo, coibir decisões arbitrárias e comportamentos de risco. É como dizem nossos avós “educação começa em casa”. Ou seja, é a partir do respeito às regras internas que uma empresa se habilita a passar uma imagem positiva para clientes, governo, parceiros e concorrentes.
Auditorias
Embora a autogestão seja algo desejável, nem sempre é possível chegar a esse nível de controle, no qual prevalece a disciplina consciente. Por isso, as empresas podem e devem aplicar auditorias regulares em suas rotinas. Uma prova disso é o próprio crescimento do “Big 4”, grupo composto pelas 4 gigantes da auditoria mundial em 2020, cujo valor de mercado, no último ano, ultrapassou US$157 bilhões.
Controle de autonomia
Impor regras significa dizer o que pode e o que não pode ser feito, certo? Isso nos leva a outro conceito básico de GRC, o controle da autonomia. Por ele, a empresa impõe às pessoas nos cargos mais altos quais são os limites de suas funções, expondo claramente por meio de normas internas o que elas estão autorizadas previamente a fazer.
Assim, ela cria mecanismos protetivos para evitar, por exemplo, que um diretor-geral manipule o orçamento em benefício próprio. Também, é uma forma de evitar que o poder de decisão se concentre em uma ou poucas pessoas, como compete ao conselho de administração, cujas funções conheceremos mais à frente.
Quais os princípios básicos?
Fica bastante claro que GRC é, além de um conjunto de medidas práticas, um conceito voltado ao desenvolvimento da ética. É por essa razão que ela é orientada por quatro princípios elementares, todos eles aplicáveis em âmbito interno e externo.
Um aspecto importante a se destacar é que esses princípios não só sustentam os padrões éticos como ajudam a empresa a ter melhores resultados. Afinal, uma instituição sem princípios não pode gerar valor, nem para si muito menos para a sociedade.
Dito isso, na sequência, veja quais os princípios que norteiam a governança no contexto da GRC.
Transparência
O pilar da transparência está intimamente ligado à gestão de dados. Nesse caso, o que está em jogo é a forma como a empresa trata as informações de interesse estratégico e como elas são repassadas e atualizadas.
Dados de performance financeira, por exemplo, dizem ao mercado, os investidores e aos parceiros que a empresa gera os resultados esperados. Isso se aplica também aos processos decisórios, especialmente nas companhias de capital aberto com ações ordinárias (ON), nas quais o acionista participa das votações em assembleias.
Equidade
“Dê a César o que é de César”, já diz a frase bíblica que se popularizou como sinônimo de justiça. Pois, esse é um dos princípios em GRC, pelo qual cada pessoa envolvida nas atividades de uma empresa será tratada com o mesmo respeito e consideração, não importa sua origem ou cargo ocupado.
Isso vale principalmente nos casos nas quais eventuais desvios de conduta tenham que ser submetidos a julgamento ou apreciação. Sob o princípio da equidade, todos serão tratados conforme as normas, independentemente de posição ou status na empresa.
Prestação de contas
De pouca utilidade seria a implementação de mecanismos como o beyond budgeting, se a empresa é incapaz de prestar contas a seus acionistas, empregados e parceiros. Inclusive, esse é um compromisso obrigatório para as empresas de capital aberto, que por lei são obrigadas a divulgar seus balanços contábeis.
Isso sem contar que a prestação de contas é uma maneira de se realizar o acompanhamento orçamentário e, assim, manter o controle sobre as finanças. Não menos importante, também é um meio de detectar discrepâncias e de atribuir responsabilidades por eventuais desvios.
Responsabilidade corporativa
Já o princípio da responsabilidade corporativa diz respeito à maneira como a empresa toma para si o dever de zelar pelo ambiente onde está inserida. Um exemplo disso é o que fazem empresas cujas atividades tenham impacto ambiental, ao fazerem tratamento de resíduos e efluentes.
Esse princípio também não deixa de ser uma maneira de se posicionar no contexto da indústria 4.0. Nesse movimento, junto à tecnologia, conceitos como responsabilidade ambiental e preocupação com o bem-estar das pessoas também ganham força.
O que é compliance?
Embora estejam separados pelo “R” de riscos, governança e compliance têm tudo a ver. Isso porque empresas que adotam o compliance em suas atividades se comprometem a atuar no mercado conforme as regras, fiscalizando a si próprias para assegurar esse compromisso.
O compliance (do inglês to comply, dar cumprimento), ainda é uma forma de blindar a empresa de fraudes e corrupção. É o que sugere o Report to the Nations, da Association of Certified Fraud Examiners (ACFE). De acordo com o estudo, os esquemas de corrupção são mais frequentes quando faltam mecanismos de controle interno (29,3%) ou quando os controles internos existentes falham (20,3%).
Quais as consequências da não conformidade?
A não conformidade e a falta de governança trazem consigo uma série de riscos iminentes, tangíveis ou não. Entre os riscos que não podem ser mensurados, certamente o mais grave deles é o abalo na imagem da empresa perante seu público. Dessa forma, é esperado que ela venha a perder valor de mercado, clientes e, com isso, uma espiral de problemas tende a se formar.
Ainda que seja difícil manter o foco na solução em momentos de crise, o compliance ajuda nesse sentido porque dá à empresa a capacidade de agir de forma planejada. Em outras palavras: quem tem um setor de compliance bem estruturado sempre terá um “plano B” para orientar nas fases mais turbulentas.
Quais as vantagens do GRC na empresa?
O Report to the Nations também revela que a corrupção gera, em média, cerca de US$200 mil em prejuízos para as empresas, por ano. Assim sendo, ao implementar medidas de GRC, o primeiro benefício percebido é justamente a redução de potenciais danos causados por fraudes e desvios.
Contudo, as vantagens vão muito além de evitar desfalques. Afinal, empresas que adotam práticas consistentes de governança corporativa e compliance têm valor de mercado superior, como comprova a diferença entre os índices Ibovespa e o Índice de Governança Corporativa — Novo Mercado (IGC-NM), também da bolsa brasileira. No geral, as empresas listadas no IGC-NM têm cotação superior, o que se comprova ao comparar a evolução de ambos os índices ao longo dos últimos anos.
Como aplicar?
A implementação de uma política de GRC consiste em adotar uma série de medidas restritivas que podem, inclusive, forçar a empresa a mudar sua cultura. Trata-se de um processo relativamente complexo, que demanda muita análise, visão de mercado e uma postura atenta às mudanças, além de exigir a permanente gestão da performance. Considerando que não existe um manual, mas sim algumas diretrizes gerais para fazer isso, veja a seguir como aplicar a GRC em sua empresa em seus primeiros passos.
Determine responsabilidades
Nas empresas mais evoluídas, em suas políticas de compliance e governança, não restam dúvidas sobre quem deve fazer o quê. Assim, uma das primeiras medidas a serem adotadas é definir entre os sócios e os cargos de alto escalão quem deverá assumir a responsabilidade em caso de desvios e quem responde pela empresa perante o governo e a sociedade.
Nesse caso, vale até destacar a novíssima função de Chief Data Officer, ou Diretor de Dados. Sua função é justamente responder perante a Autoridade Nacional de Proteção de Dados (ANPD) brasileira sobre todos os assuntos relacionados a dados pessoais coletados online.
Institua políticas de gestão de riscos
Você já ouviu falar da matriz Impactos x Probabilidades? Basicamente, ela consiste em uma representação gráfica cujo objetivo é avaliar quanto uma empresa está sujeita a riscos e o grau de ameaça que eles representam. No caso, os riscos são categorizados em um eixo vertical, conforme seus impactos na empresa, enquanto as probabilidades ficam em um eixo horizontal.
Dependendo da posição que um certo fator ocupe, ele pode ser classificado como risco baixo, médio ou alto. Esse é um dos instrumentos que podem ser usados para materializar uma política de gestão de riscos, cujo objetivo deve ser blindar a empresa de ameaças externas e internas.
Implemente um Conselho Administrativo
Como vimos, o Conselho Administrativo (CA) serve para contrabalançar o poder de decisão. No entanto, ele tem uma função ainda mais nobre, que é a de servir como uma entidade protetora dos interesses da empresa. Não por acaso, ele é composto por membros, acionistas ou empregados, ficando a cargo dos sócios decidir por eleição quem deve fazer parte dele.
O que é gestão de risco?
Basicamente, gestão de risco é toda iniciativa ou medida de controle visando a antecipar ou eliminar riscos às atividades. Também, serve como uma referência para orientar líderes e gestores quanto ao que fazer quando a empresa já se encontra em uma situação considerada ameaçadora para suas pretensões.
Como fazer a gestão de riscos?
Na prática, a gestão de riscos deve compor o planejamento. Empresas que, por exemplo, atuam na cadeia de suprimentos, coexistem com ameaças como roubos, acidentes e desvios, e portanto precisam estar munidas de uma grande capacidade de contornar riscos antes que eles aconteçam.
Esse tipo de gestão pode ser implementada com a ajuda de especialistas, em cinco passos:
- identificação dos riscos;
- avaliação quantitativa;
- avaliação qualitativa;
- plano de ação (resposta);
- controle e monitoramento.
Como vimos ao longo deste guia, governança, riscos e compliance é um conceito que demanda muito empenho, organização e disciplina para ser implementado. Por outro lado, as recompensas que ele traz fazem todo o esforço valer a pena, não só pelo retorno material, mas principalmente pelos ganhos em imagem e credibilidade. Portanto, aposte nessa ideia!
Quer entender melhor sobre GRC? Participe do nosso Webinar gratuito e exclusivo com um especialista no assunto!
