Artigo
29/06/2023
Atualizado em 10/04/2026

Avaliação de Maturidade na Gestão de Riscos (GRC): Governança, Riscos, Controles Internos, Compliance e Auditoria Interna

Avaliação detalhada dos níveis de maturidade em Governança, Riscos, Controles Internos, Compliance e Auditoria Interna para aprimorar a gestão e a tomada de decisões estratégicas nas empresas.

Imagem de capa do artigo

Compreender o estágio de maturidade em relação à gestão de riscos de sua empresa é fundamental para o sucesso a longo prazo, afinal identificar as lacunas organizacionais possibilita a implementação de ações estratégicas específicas que impulsionam o crescimento. Precisa conhecer os pontos fortes, a empresa pode capitalizar essas vantagens para obtenção de uma posição competitiva sustentável, e entender os fracos para que possa atuar e melhorá-los.

Neste sentido, é importante fazer sempre um diagnóstico preciso do nível de maturidade da gestão de seus riscos, pois isto deveria influenciar todas as escolhas estratégicas.

Queria usar como base disto e referência um trabalho da KPMG Brasil que faz este diagnóstico usando 26 perguntas que ajudam a avaliar a maturidade dos processos de Governança, Riscos e Compliance (GRC) dentro de uma empresa. A metodologia também permite classificar as empresas em cinco níveis de maturidade: Inexistente, Fraco, Sustentável, Maduro e Avançado.

Queria então comentar sobre os principais pontos que deveriam ser observados em cada uma destas verticais da gestão de riscos:

A) Governança Corporativa:

  • Autoavaliação inicial: Avaliar sua própria percepção sobre a maturidade em GRC. Esta percepção será contrastada com os resultados reais após a conclusão do questionário.
  • Estrutura de Governança: Analisar se a estrutura de Governança Corporativa da empresa (Conselho e Comitês) segue boas práticas de mercado. Uma governança sólida garante que os interesses de todas as partes envolvidas estejam alinhados e que a organização seja administrada de forma eficaz.

Um desafio comum é garantir que os membros do conselho e comitês tenham a experiência e conhecimento necessário para tomar decisões informadas. Além disso, erros comuns incluem falta de diversidade no conselho e falta de avaliações regulares de desempenho para os membros.

  • Divulgação das Atribuições: Verificar se a empresa divulga as atribuições do Conselho de Administração e comitês de assessoramento, o que promove transparência e confiabilidade.

Um dos desafios é manter a transparência sobre as atribuições do conselho e comitês sem divulgar informações sensíveis. Muitas vezes, as empresas não atualizam regularmente estas informações, o que pode levar à desconfiança dos acionistas e stakeholders.

  • Registros de Reuniões: Assegurar que as reuniões e deliberações dos Conselhos e Comitês sejam registradas, o que contribui para a responsabilização e a melhoria da tomada de decisões.

A manutenção de registros precisos é desafiadora, especialmente quando as discussões são complexas. Um erro comum é não manter registros detalhados, o que pode criar ambiguidade em relação às decisões tomadas e potencialmente resultar em problemas legais.

  • Cumprimento do Calendário de Reuniões: Verificar se as reuniões ocorrem conforme programado, o que demonstra comprometimento e profissionalismo.

É comum que as reuniões sejam adiadas ou canceladas devido a conflitos de agenda. Este tipo de inconsistência pode resultar em atrasos na tomada de decisões críticas.

  • Diretrizes para Aprimoramento Contínuo: Analisar se a estrutura de Governança fornece diretrizes que auxiliam o aprimoramento contínuo da empresa e supervisão das funções GRC, o que é essencial para adaptar-se às mudanças no ambiente de negócios.

É comum que as reuniões sejam adiadas ou canceladas devido a conflitos de agenda. Este tipo de inconsistência pode resultar em atrasos na tomada de decisões críticas.

B) Gestão de Riscos:

  • Discussão de Riscos: Certificar que a Gestão de Riscos é discutida regularmente nos escalões mais altos da empresa, garantindo que os riscos sejam considerados em todas as decisões estratégicas.

É comum que as reuniões sejam adiadas ou canceladas devido a conflitos de agenda. Este tipo de inconsistência pode resultar em atrasos na tomada de decisões críticas.

  • Reporte pelos Donos dos Riscos: É crucial que aqueles responsáveis pelos riscos informem regularmente sobre os riscos sob sua responsabilidade.

Assegurar que os donos dos riscos reportem adequadamente é desafiador devido à falta de responsabilização e falta de compreensão dos riscos. Um erro comum é a falta de padronização nos relatórios.

  • Identificação e Tratamento de Riscos: Avaliar se os riscos são identificados, classificados e tratados conforme boas práticas de mercado.

Um desafio significativo é manter-se atualizado com as melhores práticas e regulamentos. Além disso, as empresas às vezes focam demais em riscos de curto prazo e negligenciam aqueles de longo prazo.

  • Riscos na Tomada de Decisões: Averiguar se os riscos são considerados ao tomar decisões-chave.

Incorporar a avaliação de riscos na tomada de decisões é desafiador devido à falta de uma cultura de gestão de riscos. Erros comuns incluem tomar decisões com base em informações incompletas ou desatualizadas.

  • Riscos e Planejamento Estratégico: Analisar se os riscos são identificados e considerados na elaboração e execução do planejamento estratégico.

Frequentemente, as empresas se concentram em metas financeiras no planejamento estratégico e negligenciam a importância de considerar riscos. Este erro pode levar a planos não sustentáveis.

C) Controles Internos:

  • Assistência em Controles Internos: Verificar se há apoio aos gestores na implementação de controles de monitoramento.

Um desafio é proporcionar apoio adequado sem criar dependência. Os erros comuns incluem falta de treinamento contínuo e falta de clareza sobre os papéis e responsabilidades dos gestores em relação aos controles internos.

  • Revisão e Melhoria dos Controles Internos: Certificar que os gestores estão comprometidos com a revisão e a implementação de melhorias nos controles internos.

A resistência à mudança é um desafio significativo. Muitas vezes, os gestores podem ser relutantes em mudar processos estabelecidos, mesmo que ineficientes.

  • Monitoramento Contínuo: Verificar se há monitoramento contínuo de processos com indicadores frequentes.

O desafio é estabelecer métricas de desempenho significativas e manter o monitoramento eficaz. Um erro comum é depender excessivamente de indicadores quantitativos, ignorando aspectos qualitativos.

  • Riscos e Controles Internos: Avaliar se os riscos são identificados e tratados através de controles internos alinhados às melhores práticas.

A falta de entendimento das melhores práticas e de como aplicá-las é um desafio. Muitas empresas implementam controles sem entender completamente sua finalidade ou eficácia.

  • Mapeamento de Processos: Certificar que os processos internos são mapeados e documentados em políticas e procedimentos.

Um desafio é manter a documentação atualizada e relevante. Muitas empresas não revisam ou atualizam suas políticas e procedimentos regularmente, tornando-os obsoletos.

D) Compliance:

  • Documentação e Monitoramento Regulatório: Verificar se a empresa possui documentação adequada e realiza monitoramento regulatório.

Manter-se atualizado com mudanças regulatórias é um desafio. Além disso, muitas empresas têm dificuldade em manter uma documentação adequada que esteja em conformidade com os regulamentos.

Discussão do Programa de Compliance

Certificar que o programa de Compliance é regularmente discutido nos escalões mais altos da empresa.

As empresas enfrentam desafios em estabelecer um diálogo aberto e transparente sobre compliance. Um erro comum é tratar compliance como uma verificação de caixa, em vez de uma parte integrada da cultura corporativa.

Canal de Denúncias

Verificar a existência de um canal de denúncias confiável.

Estabelecer um canal de denúncias confiável é desafiador devido a preocupações com anonimato e represálias. Muitas empresas falham em comunicar adequadamente a importância e a confidencialidade do canal de denúncias.

Conformidade com Código de Conduta

Avaliar se os colaboradores seguem as diretrizes do código de conduta.

Fomentar uma cultura de conformidade é desafiador e requer educação e comunicação contínua. Erros comuns incluem falta de treinamento e orientação para os funcionários sobre a importância do código de conduta.

Divulgação de Compliance

Certificar que a empresa divulga o código de conduta e programa de Compliance.

Um desafio é equilibrar a transparência com a proteção de informações sensíveis. Muitas empresas hesitam em divulgar programas de compliance por medo de expor vulnerabilidades.

E) Auditoria Interna:

Monitoramento de Pontos de Auditoria:

Certificar que os pontos de auditoria e planos de ação são monitorados e reportados aos escalões superiores.

Manter um monitoramento eficaz de pontos de auditoria é desafiador devido à falta de recursos e expertise. Erros comuns incluem a falta de acompanhamento em questões identificadas em auditorias.

Indicadores após Auditoria Interna:

Verificar se são criados indicadores de monitoramento após os trabalhos de Auditoria Interna.

O desafio é desenvolver indicadores relevantes que forneçam insights acionáveis. Muitas empresas criam muitos indicadores que acabam não sendo usados efetivamente.

Discussão dos Resultados de Auditoria Interna:

Certificar que os resultados são discutidos e geram planos de ação.

Um desafio é garantir que os resultados sejam discutidos de forma construtiva e que conduzam a ações corretivas eficazes. Erros comuns incluem defensividade e resistência à mudança.

Independência da Auditoria Interna:

Verificar se a Auditoria Interna é realizada de forma independente.

Garantir a independência da auditoria interna é desafiador, especialmente em empresas menores. Muitas vezes, a auditoria interna pode ser vista como um adversário em vez de um parceiro para melhorar os processos.

Riscos Corporativos na Auditoria Interna:

Avaliar se os riscos corporativos são utilizados como base para elaboração do plano de Auditoria Interna.

Integrar os riscos corporativos no planejamento de auditoria interna é desafiador devido à natureza dinâmica dos riscos. Um erro comum é não revisar ou atualizar o plano de auditoria para refletir mudanças no ambiente de risco.

Como podemos ver pelos pontos acima, realizar este diagnóstico de maturidade em Governança, Gestão de Riscos e Compliance é fundamental para assegurar que a empresa está alinhada com as melhores práticas e preparada para enfrentar os desafios do mercado. Ao entender os pontos acima e identificar áreas de melhoria, a empresa pode elaborar um plano estratégico eficaz para alcançar níveis mais elevados de maturidade.

Por fim para ter acesso a um teste de diagnóstico de maturidade de GRC basta acessar o link abaixo:

https://beyond.kpmg.com.br/assessments?utm_campaign=nw__lead_traking__email_2_importancia_de_uma_visao_clara_dos_estagios_da_empresa&utm_medium=email&utm_source=RD+Station#/1

E para terminar queria comentar sobre um livro sobre o tema editado pelo TCU que pode ser baixado em:

https://portal.tcu.gov.br/data/files/0F/A3/1D/0E/64A1F6107AD96FE6F18818A8/Gestao_riscos_avaliacao_maturidade.pdf

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante