Entenda como e por que implementar um programa de GRC de maneira integrada para usufruir dos benefícios de uma boa gestão
Em busca de fomentar a consciência nos negócios para um presente e um futuro sustentável, a B3 divulgou os resultados da 17ª carteira do Índice de Sustentabilidade Empresarial no início de 2022. Embora ainda haja muito a ser feito, os dados mostram um crescimento do engajamento das empresas nacionais com a agenda ESG. De 40 companhias em 2021, a quantidade saltou para 46 neste ano. Entre os setores que aderem ao ESG, o número pulou de 15 para 27.
No total, essas corporações somam R$ 1,74 trilhão em valor de mercado, mas incorporar a agenda ESG ainda é um processo em evolução que, especialmente, precisa ter grande foco no pilar “G”, o de governança, que ainda parece gravitar em uma área cinzenta no País. Governança não está relacionada apenas a boas práticas ou processos, ações e responsabilidades estruturadas. Uma boa governança precisa andar de mãos dadas com outras iniciativas que, às vezes, ficam isoladas, como transparência e compliance, por exemplo – isto é, precisa estar presente em todas as discussões, tomadas de decisões e planejamento.
Contudo, enquanto muitas companhias pelo mundo ainda “investem” em políticas de governança, gestão de riscos e compliance – o já conhecido GRC de que tanto falamos por aqui em MIT Sloan Management Review Brasil – apenas como uma tática para fugir de problemas maiores ou para atender requisitos regulatórios, sejam eles de reputação, parcerias ou atuação indevida, uma estratégia completa de GRC, que seja incorporada por todos os setores e atores da empresa pode (e deve) garantir alta performance e resultados positivos ao mundo corporativo.
Em resumo, o objetivo máximo de uma estratégia GRC é entregar performance e resultado com integridade, permitindo que o negócio esteja à frente de riscos e minimize desvios potenciais. Além disso, claro, o alinhamento entre os pilares GRC significa estar em conformidade com leis e regulamentos e integrar modelos de maneira inteligente, essencial para que os objetivos do negócio sejam alcançados de forma confiável. Porém, é importante reforçar que essa estratégia deve ser compreendida e idealizada de maneira transversal, transformando em uma cultura GRC.
A governança se define pela maneira como as decisões são tomadas, incluindo políticas, processos, autoridades e tecnologias usadas na definição e alcance de objetivos. É ela que garante o máximo de transparência durante as tomadas de decisão, além de igualdade entre os envolvidos, indo de acionistas a governo e passando por clientes, entre outras partes interessadas.
Entre essas iniciativas, há a gestão de riscos, iniciativas de controles internos, compliance e gestão de continuidade de negócios, entre outras. A governança bem articulada possui três linhas de defesa que dão suporte estrutural ao negócio. A primeira linha de defesa é o próprio negócio; a segunda, as áreas de controle, ou seja, riscos, compliance, gestão de continuidade de negócios, cibersegurança, entre outras, em que há o processo de orquestração das metodologias e tecnologias para que a primeira linha de defesa consiga efetivar uma boa governança e executar adequadamente a estratégia determinada pela companhia.
Finalmente, a terceira linha é a auditoria interna, que tem o objetivo de observar de que forma a segunda linha está sendo executada e performando, e hoje tem atuado com grande enfoque na geração de resultados. As áreas de auditorias mais avançadas trazem visões de riscos emergentes, fazendo com que haja um trabalho sinérgico e de retroalimentação das três linhas. Podemos falar ainda de uma quarta linha de defesa, que seria o auditor externo ou regulador.
Dessa maneira, é simples visualizar como a estratégia de governança, gestão de risco e compliance deve ser entendida de forma semelhante ao da cultura corporativa. Na verdade, o GRC deve ser um dos elementos presentes na cultura das empresas, fazendo com que todos os colaboradores tenham conhecimento e saibam como agir diante de situações que exigem uma gestão mais detalhada, cuidadosa e dentro da lei e das normas da empresa – é o caso, por exemplo, de situações nas quais há uma crise a ser respondida.
No entanto, para que isso funcione, não há um programa sólido de GRC sem tecnologia, ainda que, no final, exista a figura central de um gestor, líder ou comitê responsável por tomar as decisões máximas. Contudo, não há uma tecnologia única que atenda a 100% das demandas. Por isso, há diversos níveis de tecnologias, como a da comunicação do conselho (board portal), gestão de riscos, de controles e auditoria, dentre outras. A Bravo GRC, por exemplo, realiza esse tipo de estratégia por meio da combinação de métodos, iniciativas, processos e tecnologias – que podem avançar para a utilização de algoritmo, inteligência artificial e machine learning. O importante é entender o momento da empresa e seu grau de maturidade para, então, adequar as iniciativas à realidade, possibilitando que a mesma dê início à jornada da governança.
Quando consideramos a gestão de riscos, que engloba a probabilidade de ocorrer eventos que possam impactar os objetivos do negócio, e o compliance, interno ou externo, que determina a adequação da empresa a leis, normas e boas práticas, sejam elas recomendações ou obrigações, um programa de GRC transversal auxilia a companhia a antecipar desafios, falhas, perdas, gerenciar crises (inclusive cibernéticas) e, em especial, potencializar oportunidades.
Essa visão faz ainda mais sentido quando a relacionamos, por exemplo, com iniciativas ESG, um tema tão prioritário para empresas que visam sobreviver e triunfar no século 21 e além. No caso de uma empresa que decide implementar uma iniciativa do pilar “E”, do pilar ecoambiental, uma das preocupações primárias deveria ser uma avaliação de riscos climáticos. Com isso, o negócio tem mais informações e define que, para ter um impacto menor, é necessário mudar a estratégia relacionada à geração ou questão de energia.
A depender das exposições a riscos ambientais e da mudança da estrutura de valor, será preciso ainda focar em iniciativas de economia circular, por exemplo. Então, o single plastic ou o tratamento de resíduos serão necessários. Concorda que, para a empresa fazer isso, precisa ter governança? Se não tiver governança, vai ficar muito difícil conseguir articular. Como isso está evoluindo? Como está entrando de fato nos indicadores, na companhia, evitando, inclusive, um greenwashing? Isso tudo é governança e está ligado à questão da gestão de riscos.
Mas para que todo esse pensamento sistêmico funcione na prática, a integração se torna essencial. Entretanto, ainda existe uma enormidade de companhias que trabalham sobre estruturas separadas, os reconhecidos silos, em que há distância e pouca ou nenhuma união entre os departamentos. Há áreas dedicadas à gestão de riscos, outras que olham apenas a governança, e o compliance fica sob responsabilidade, muitas vezes, do departamento jurídico… Essa não é a forma mais orgânica e interessante para que o GRC transversal aconteça de fato.
O ideal é que as companhias olhem para isso de uma forma integrada, para que, de fato, tirem real valor dessa cultura que tem força no pilar GRC. Devem integrá-la aos seus objetivos, articular na sua estratégia e fazer essas áreas conversarem. A área de controles tem que estar conectada a riscos, auditoria tem que estar conectada a controles… Caso não, imagine a situação: você tem uma área de controles internos que faz as suas avaliações, uma área de risco que faz outras avaliações, além da auditoria que deveria validar todas essas avaliações e está apenas fazendo as suas próprias avaliações de risco – ou seja, ficamos com o caos, pois cada uma das áreas vai ter uma visão diferente. Ou ainda um mesmo setor responderá várias vezes a mesma coisa, porque não há integração. Por que não usar a área de governança, risco, compliance para fazer a avaliação dos indicadores que estão espalhados?
No fim das contas, ter essa microcélula atuando com força e comprometimento na empresa como um todo e passando pelos gestores de cada setor só traz benefícios. Além de reduzir os custos para controles e processos internos, melhora a integração das áreas e aumenta a eficiência das mesmas, a transparência e diminui riscos.
O processo é uma jornada que vai sendo cultivada a longo prazo, para que a organização como um todo use esse núcleo a seu favor e os gestores não se sintam perdidos no momento de resolver questões relacionadas.
Companhias de todos os setores e portes se beneficiam de um programa de GRC transversal, afinal, a integridade é para todos. Nesse sentido, para além das grandes e tradicionais empresas, os pequenos e médios negócios também precisam ter uma visão clara sobre a importância do GRC transversal. Pequenas empresas, por exemplo, que ainda não conseguem investir tanto em tecnologia ou ferramentas, podem começar pela formatação do contrato social sólido por acordos concretos de acionistas, que devem conter princípios de governança.
A formatação do acordo de acionistas, por exemplo, deve prever situações das mais simples até as mais complexas, como a morte de um sócio e a entrada de familiares seus na estrutura, embora não entendam do negócio. Porém, não há seguro para a compra de sua parte, não há acordo de acionistas para determinar o que é correto ou o que é possível. Tudo, em suma, precisa ser previsto.
O CEO também sugere pensar tópicos como um canal de denúncias externo, um programa de integridade, princípios de cibersegurança, adoção da Lei Geral de Proteção de Dados Pessoais (LGPD), um setor jurídico mais acessível, separação de contas jurídica e física, regimes de contratação, inclusão e diversidade, gestão de crise e outros.
Se estou usando a natureza, a sociedade ou o que quer que seja para gerar 1 milhão de reais de lucro, mas estou dando um prejuízo para o planeta e para a sociedade maior do que esse valor, meu negócio não é bom. O GRC transversal acaba, de uma forma ou de outra, também lidando com a questão do ESG e do propósito, duas forças que alavancam os negócios de hoje e do futuro.
1. Crie uma cultura organizacional de governança corporativa.2. Deixe muito claro quais são as responsabilidades e funções.3. No início da empresa, você pode formar um conselho consultivo, que ajuda a lidar com os grandes desafios do começo. Em seguida, ele pode ser substituído por um conselho administrativo que vai ter um papel nas tomadas de decisão.4. Estruture os processos internos, padrões e controles. Isso vai reforçar códigos de ética e conduta, incentivar programas de auditoria e políticas relacionadas aos direitos dos colaboradores, entre outros.5. Monitore: faça o acompanhamento do programa e realize reuniões sobre o andamento dos mesmos.6. Compartilhe a cultura de gestão de riscos entre todos os stakeholders.7. Prepare e avance para uma governança multistakeholder – é o caminho a ser seguido.”