Do novo papel da Gestão de Riscos à Governança de IA

Boa tarde, pessoal. Sejam muito bem-vindos a mais um evento promovido pela ACO. E hoje a gente vai direto ao ponto com um tema que para quem vive de riscos no dia a dia não dá mais para tratar como tendência distante. Então o tema do nosso webinar é gestão de riscos, o que não pode faltar no seu plano 2026. E vale a gente refletir porque que esse assunto virou inegociável. Agora quando A gente olha para trás em 2025, ele foi um ano marcado para muita mudança, porque a gente saiu do eu acho que e virou muito

o que eu preciso realmente provar. Então, a gestão de risco, ela foi testada por diversas crises que o RC tradicional ele não enxergou a tempo. Por exemplo, dependência de terceiros virou um risco real de operação, resiliência operacional deixou de ser discurso, inteligência artificial parou de ser só inovação e virou um tema de Governança, evidência e principalmente responsabilidade. Ou seja, política no papel não tá protegendo ninguém. Que que protege realmente evidência viva, cadência, responsabilidade e capacidade de responder quando o cenário muda e a gente sabe que muda rápido. Então, para quem ainda não me conhece, eu

sou Luiz Pontes, sou product manager aqui na ACT. Eu trabalho com produtos digitais e iniciativas focadas Em gestão de riscos e auditoria. Então, hoje eu vou estar conduzindo esse bate-papo com vocês. A gente vai trazer perguntas, provocações e também conectando os pontos com o que a gente tem visto na prática. empresas que tão elevando seu nível de maturidade na gestão de risco. Queria deixar também combinado já no começo, eh, pra gente não esquecer que lá no finalzinho do nosso webinar a gente vai liberar também um formulário de feedback. E respondendo Esse formulário, gente, vocês vão

garantir um certificado de participação, tá? Tá? Então ele é bem automático, você preenche formulário de feedback e e já recebe o certificado. Aproveitando também queria deixar um convite, como vocês viram já no comecinho da nosso webinar, a gente tem a comunidade de riscos, tá? Ele é um espaço pra gente trocar experiência, boas práticas, trocar os cases que a gente já passou como profissional de Risco, compli auditoria. Então, se você quiser continuar a nossa conversa depois do webinar, recomendo muito que vocês se inscrevam, participem da comunidade. O formato doinar de hoje, ele vai ser um bate-papo

com o nosso convidado especialista. Ele vai ser bem leve, vai ser super prático e ao longo do webinar a gente vai soltar algumas enquetes também pra gente sentir eh como é que tá a maturidade dos participantes. E é importante que essa conversa não Seje uma via de mão única. Então eu convido vocês a participarem. Então mandem suas perguntas aqui no chat, façam os comentários, comentem o cenário que vocês estão passando atualmente. Eu vou est olhando aqui o tempo todo no chat para acompanhar a movimentação, puxar os pontos que vocês trouxerem pra gente dentro da discussão,

OK? Então fiquem atentos aqui no chat e com muita alegria eu vou receber agora o nosso convidado de hoje, o Rafael Navarro. Ele É gerente de cyber na KMG. Ele tem uma trajetória muito forte em tecnologia, gestão de risco, privacidade, segurança informação, enfim, ele lidera diversos projetos estratégicos. E, Rafa, seja muito bem-vindo, tá? Então, eu queria te convidar se apresentar um pouquinho, contar pra gente eh um pouquinho da sua trajetória. >> Maravilha. Bom, primeiro queria agradecer a oportunidade de estar aqui mais uma vez com vocês. Eh, bom, eu sou O Rafael Navarro, trabalho na KPMG,

já tem quase 8 anos. Eh, eu fico dentro da área de cyber, mas sou um gerente sênor da prática e hoje os projetos que envolvem GRC de uma forma mais ampla e orientados ali paraa tecnologia ficam comigo e com a minha equipe. Então, por isso já em diversos momentos eu tive aqui interações com a Elô, com todo o time da ACT, até pra gente entender soluções, modelos, arquiteturas. E eu acho que como Elô colocou, o Objetivo aqui hoje é um bate-papo. A gente não vai fazer apresentação de material, não é nada nesse sentido. A ideia

é a gente conversar um pouco, explorar um pouco perspectivas, o que que a gente viu em 2025, o que que a gente imagina para 2026 e o que vocês tiverem aí de considerações, dúvidas, a gente fica à total disposição para explorando ao longo. É isso, pessoal. Obrigado. >> Vamos começando o nosso webinar e eu Queria dar um passo para trás, olhar para 2025 e fazer uma pergunta que todo mundo evita, mas que eu vejo que é muito importante. O que que 2025 cobrou caro e deixou que era sinal? Mas a gente olhando paraa área de

riscos, a gente não conseguiu tratar como prioridade, até porque se a gente não nomear isso, a tendência é que nem história. Se a gente desconhece a história, se a gente não estuda, a gente vai voltar a repetir os mesmos erros do Passado. >> Vamos lá. Eh, eu vou dar um passo antes até, eu acho que se a gente tivesse que resumir 2025, e aí que nem eu brinquei, né? trabalho muito com GRC, mas eu tenho essa fundação em cyber, então eu sempre olho para uma perspectiva aí de risco cibernético e como isso conecta com negócio.

Então em 25 foi evidente que cyber segurança como um todo deixa de ser um tema restrito ao TI, ele passa a ser um tema muito mais conectado ao Negócio sob uma ótica de risco. Então, isso acontece porque a gente começa a ter uma série de incidentes, impacto direto em receita, reputação, toda a parte de continuidade de negócios que conecta também com um outro ponto que foi pauta aí ao longo do ano, que é a questão de resiliência operacional. Então, até então era um tema um pouco incipiente, ninguém falava muito sobre, só que quando a gente

tem na Europa regulação, principalmente orientada ali Para empresas do setor financeiro com Dora, eh isso começa a exigir uma nova rotina operacional e que nem você trouxe, um novo arcabolso de evidências, um novo arcabolso de teste de controle pra gente controlar de fato ambientes próprios e de terceiros. E aí não dá para falar de 2025 sem falar de inteligência artificial, né? Eu acho que foi algo que ficou muito em alta ao longo do ano. Então, principalmente no que tange a parte de Governança de a quando a gente olha para regulamentações, para mercado exterior também, a

gente começa a ter ali uma série de datas, obrigações, penalidades, isso já sendo tratado num calendário regulatório um pouco mais concreto. Então, bom, dado esse panorama, eh, o que que a gente enxerga hoje que em 2025 custou caro para muitas empresas, embora a gente já tivesse um sinal de que esse problema poderia se materializar, né? Então, Eu vou citar aqui um, mas eu acho que tem dois pontos que a gente poderia explorar. Eh, o primeiro ponto é com relação à cadeia de fornecedores. Então, a gente começa a ter um cenário de exposição de riscos em

fornecedores, sobretudo em fornecedores de ambiente SAS, então provedores de software, etc. Eh, e por que que se dá isso, né? Então, a gente tem um contexto pós-pandemia e durante a pandemia de ultra digitalização de negócios, muita gente Indo para ambiente em cloud, muita empresa fazendo digitalização acelerada, sem necessariamente a gente andar eh na mesma velocidade com os guardios necessários. Então, a gente começa a ter um cenário de integrações de ambientes, credenciais de aplicativos que estão conectados. a gente começa a abrir então uma via de mão dupla para infiltração de dados de negócio e para interrupções

de serviços, né? Eh, e que nem eu comentei, o sinal ele sempre teve aí de forma Latente muito ou pouco, mas a gente sempre teve essa dependência crescente das plataformas de terceiros num contexto onde não necessariamente a gente tem uma visibilidade adequada para trabalhar do ponto de vista de controles, logs, permissões, o que que aquele sistema de terceiro de fato acessa ou possui de informação. E nesse sentido, 2025 cobrou a conta aí de forma extremamente cara, com alguns incidentes até emblemáticos que a gente Teve ao longo do ano, expondo essas fragilidades. Então toda a camada

de monitoramento de terceiros, de avaliação de risco de fornecedores, como isso conecta com resiliência, com a parte de segurança da informação e cyber, acabou ficando latente aí ao longo do ano. >> Perfeito. Então, até um ponto interessante, não só fazer a gestão de riscos interno, mas externo, né? Você comentou essa parte da integração contra os sistemas e eu Lembrei de muitos casos, né, que a gente eh acaba vendo com algumas empresas que eles não têm atenção sobre esse sistema, esse terceiro contratado, como é que ele faz a gestão de riscos dele? Será que ele tem

a maturidade suficiente? Então, >> e aqui a gente vê muita coisa em papel, né? E aí eu posso ter dois cenários quando eu falo de terceiros. Eu posso ter um primeiro cenário que nem a gente comentou de Ora, mas o que o terceiro tem acesso de informação minha e isso pode representar um instante cibernético >> e num outro ponto também eu consigo conectar isso com resiliência digital, que é o que existe no software desse terceiro que, por exemplo, utiliza um componente de outra biblioteca pública ou de um outro serviço que caso dê alguma interrupção, derrube

o meu serviço principal. A gente teve um incidente gigante ano passado com um Provedor de software de cyber nesse sentido, porque ele usava um componente terceiro que quando teve uma falha acabou respondo ali toda a cadeia dele, né? Então isso é algo muito latente e que custa caro pras empresas, principalmente num viés de interrupção de negócios e continuidade, né? Perfeito. Olhando agora paraa frente, olhando para 2026, a gente acompanha os relatórios, né, da KPMG, a gente vê que tem muitos Estudos que afirmam que a gente não vai mais olhar paraa intenção e agora a gente

vai ter um olhar mais paraa comprovação do que que realmente foi feito. Então a conversa ela vai mudar de melhorar maturidade para não ficar exposto. Então eu queria te puxar para essa visão de régua, que que muda do padrão de aceitável daqui pra frente? >> Vamos lá. Eu acho que só antes da gente entrar nesse aspecto, né, eu acho que tem algo muito latente que a gente Enxerga aqui para 2026, até nesse sentido, que é a comprovação de eficácia de controle, né? Então, hoje a gente trabalha muito num viés de avaliar o controle no momento

de uma contratação, no momento de uma avaliação anual. E em 2026 a gente imagina uma abordagem muito mais voltada para uma prática de monitoramento contínuo de controle, né? Então, o que que isso muda na prática? a gente vai começar a basear toda a estrutura de riscos, pensando ali desde O risco inerente ao residual, de um ponto de vista que seja suportado por dado e não necessariamente por uma única avaliação. Então aqui eu começo a ter uma uma evidência viva de fato e não apenas uma política que eu poderia avaliar se determinado controle foi desenhado de

forma adequada ou inadequada. E quando a gente fala de CCM, né, que seria monitoramento contínuo de controle, é basicamente a prática da gente fazer esse Monitoramento de forma automática, continuamente, avaliando a eficácia dos controles. E aí o que muda? eu começo a usar dados transacionais reais da minha operação em vez de teste anual ou teste semestral em cima da eficácia dos controles. Então, o controle ele não vai ser testado uma única vez ao ano, ele vai passar a ser testado inúmeras vezes ao ano. Eh, ora, mas faz sentido eu automatizar todo o meu monitoramento para

todo o meu ambiente de controles em Um país que nem o Brasil, com alta complexidade regulatória, uma série ali de questões específicas e setoriais. Obviamente que não. Então é muito importante que a gente consiga fazer essa distinção, entender qual conjunto ou qual framework de controle que eu preciso automatizar, o que traz um maior impacto pro meu negócio e como eu consigo convergir isso dentro de um ambiente que a gente consiga tratar esse ecossistema. E bom, se a gente for pensar agora, voltando um pouco mais paraa pergunta, né, o que que vai marcar 2026, né, de

um jeito que mude a régua, saindo daquela ideia de trabalhar num nível de risco bom ou suficiente, eh, eu acho que aqui a gente tem, principalmente, eh, pensando num cenário global, a aplicação faseada do AICT. Então, a gente começa a ter aqui um fortalecimento tanto das estruturas de governança de a quanto das estruturas de Resiliência operacional que acabam elevando um pouco o sarrafo quando a gente fala de gestão de risco integrado. Então, até em linha daquilo que você comentou, não vai mais bastar eu ter uma política de prateleira para mostrar para um cliente ou para

eu mostrar para um stakeholder quando solicitado. Aqui eu tenho um viés ter que começar a comprovar de fato a conformidade e a eficácia desse meu ambiente de controle. Eh, bom, como que eu vou fazer isso? Com Medidas de transparência, com governança em cima dos modelos, com governança em cima das estruturas, documentando as evidências de fato e também observando as possíveis penalidades que eu posso estar sujeito num horizonte aí temporal. Queria aproveitar e já soltar a primeira enquete, porque eu queria entrar num tema de inteligência artificial. Por exemplo, a gente vê que teve muitas Mudanças, principalmente

a assim que a gente teve o bom da Iá, mas como é que ele impactou a a gestão de risco? Não, a gente tem que levar em consideração que não houve mudança só com a parte de governança de a, mas também como a gente combinou, a gente conversou aqui no ambiente regulatório, por exemplo. Então, pela sua visão, Rafa, qual que realmente poderia pegar a organização de forma mais desprevenida? Desprevenida? >> Essa aqui é complexa, hein? O, eu acho que se a gente for para um cenário global, talvez ambiente regulatório pegue mais do que pro nosso

contexto aqui, Brasil. Eh, por quê? Ah, o Brasil é mais simples, tem menos regulação, não tem tanta mudança regulatória, não. Exatamente o contrário. Então, acho que o brasileiro e as estruturas jurídicas legais, compliance já estão mais acostumadas com essa alta volatilidade e essa alta Tendência de mudança regulatória para cá. E então isso é algo que hoje a gente consegue lidar muito bem, às vezes até melhor do que outros países. Eh, para mim, eu acho que o que tende a pegar mais empresas desprevenidas são as abordagens de governança de A e resiliência. Por quê? Tá? Eh,

se a gente for olhar para um contexto, por exemplo, de governança de a, a gente passa a cruzar Uma série de departamentos que vão precisar trabalhar em conjunto. Então, a gente não tá mais falando só de um contexto de uma área de TI toma conta de um programa ou de um modelo de inteligência artificial. a gente começa a olhar para uma perspectiva onde o jurídico precisa apoiar, a gente precisa ter o time de TI também dando suporte, as equipes de produtos, times de dados, equipes de compliance. E aí a gente começa a trazer uma série

de requisitos E obrigações de cada uma dessas equipes e precisa criar um modelo de uso geral que garanta transparência pro usuário. Eh, falando assim, parece extremamente fácil, como se fosse uma receita de bolo. A gente vai misturar aqui e já sai pronto. Mas aterrizar essa mudança é muito difícil, principalmente porque acho que a chave aqui é mudança. Isso aqui demanda a gestão da mudança dentro das organizações. É, de modo que se a gente construir Essas estruturas, mas não tiver um responsável claro quais são as responsabilidades para cada um dos envolvidos, os inventários de sistema, os

inventários de modelos, os planos de evidência que a gente precisa armazenar, as empresas vão começar a andar um pouco de lado. E numa linha parecida, eh, as estruturas de resiliência vão passar por isso de certa forma. Não acho que vai ser um algo tão complexo quanto seria para Iá, mas as estruturas de Resiliência também tem um cenário parecido, onde elas dependem de uma série de áreas atuando em conjunto para pensar na resiliência pro negócio. E a chave aqui é o negócio. Porque não adianta eu pegar a receita de uma estrutura de resiliência de um banco

e tentar aplicar pra estrutura de resiliência de uma indústria ou eu pegar a estrutura de resiliência de uma empresa que tá sediada num país que tem uma série de contextos ambientais e Trazer para uma região onde eu não tenho nenhum cenário de risco ambiental. Então isso aqui vai ser um pouco desafiador. >> Queria trazer aqui o comentário do Gabriel que ele colocou aqui no chat que o pessoal curtiu bastante. Eh, falando de riscos e auditoria, um dos principais problemas é você explicar pra área a importância do monitoramento e controle dos riscos. as áreas apresentam resistência

e acham que é mais burocracia ao processo deles. É, >> eu acho que todo mundo que trabalha com riscos, controles, compliance, sofre isso um pouco. E mas eu acho que é um papel importante da segunda linha, traduzir pra primeira linha a importância disso pro negócio, porque senão realmente eu enquanto área de negócio só vou enxergar isso como uma burocracia ou algo que não traz valor. E e aí a gente vai começar a atribuir um monte de coisa pra primeira linha que já Tá sobrecarregada. Ela vai enxergar aquilo como uma obrigação, vai no máximo dar ali

um self assessment, responder qualquer coisa, te mandar uma evidência qualquer. Então aqui é uma questão cultural, é difícil, demora, mas demanda que a segunda linha consiga traduzir para ele o impacto pro negócio. Então, poxa, qual é o impacto de eu subavaliar um risco? ou até qual que é o impacto de eu superestimar um risco, né? O que que isso na prática vai respaldar na minha Organização, seja em perda de receita, seja em um impacto operacional. Então, é muito difícil e isso demora tempo. É uma sementinha que a gente planta agora para colher daqui a 4,

5, 6 anos. Então, mas >> muito verdade, eu vejo tem muita necessidade também na área de riscos de automatizar muito o processo, porque eu vejo grandes organizações globais e quando a gente vai conversar com a área de riscos é uma das menores Que tem. Então eles precisam contar muito com o apoio das áreas, porque se eles pegarem todas as responsabilidades para si, para sobrecarregar, é muito fácil. E infelizmente é o que a gente vê acontecendo. >> Isso é muito comum, né? A gente, inclusive, eu tava atendendo um cliente alguns meses atrás e a área de

risco acabou sobrecarregando por isso, porque ela jogava as avaliações paraa primeira linha. A primeira linha via como Burocracia não executava. Na prática, a solução mais rápida que eles encontraram foi: "Poxa, então a gente executa". E só que aí você tem uma área que via de regra já é inxuta, cuidando de risco de uma forma corporativa operacional, tentando tratar tudo e aí acaba sobrecarregando. E aí risco começa a ser visto como que uma questão puramente operacional e não estratégica, que é como deveria ser visto. Então essa mudança Demora, demanda tempo, demanda ali uma questão muito cultural

de gestão da mudança da organização, mas risco precisa passar a ser visto como um aspecto estratégico ligado ao negócio e não como uma questão operacional de uma área que faz avaliação uma vez por ano. >> Só trazendo aqui a resposta do nossa primeira enquete, tá? A pergunta foi: "Sua organização já tem uma política de governança de IA definida?" A maioria disse que não. Tá. Em segundo Lugar veio sim e a terceira estamos construindo. Ficam um pouco preocupada com essa resposta. >> Ficamos, mas pelo menos o pessoal aqui é honesto, né? O, eu acho que é

comum, até porque é algo que ainda tá em discussão em agenda regulatória pro Brasil, ainda não tá 100% definido como que vai seguir, mas eu acho que hoje a gente tá num momento de governança de a que a gente viveu com LGPD ali em torno de 2019, 2020, começa a deixar de ser uma questão regulatória e passa a ser um contexto para fechar negócio. Então, daqui a pouco a gente vai começar a ver isso nos formulários de avaliação, até nos formulários de habilitação para uma RFP, as empresas precisando e terem um compliance mínimo com governança

de A. Eu acho que neste momento aí a tendência é que as coisas aumentem, comecem a acelerar um pouco. >> E trazendo mais um comentário agora da Lídia Galvão, as organizações presam entender que temos como gestão de riscos, processos, tecnologia, digital, inovação, entre outros temas, Cross não são temas únicos de uma área específica, não é? Ah, isso é da área de risco ou isso é da área de gestão? E sim, são assuntos que percorrem, são responsabilidades da organização como um todo. Exatamente. Exatamente. Mas infelizmente ainda é visto como um tema isolado, né? Então, a área

de negócio não entende que ela é parte do risco ou parte do controle e aí acaba gerando esse conflito mesmo. >> Perfeito. Você tava comentando, Rafa, justamente da área de risco tá muito preocupada com o operacional e não subir para decisões estratégicas. Então, você teria algum exemplo, algum caso no qual uma análise da gestão de Risco realmente conseguiu eh trazer essa eh essa mudança, trazer um uma decisão diferente do que iria ser definido caso não tivesse essa visão da área de gestão de risco? Cara, eu acho que um um caso prático, obviamente eu não vou

abrir o cliente, mas isso acontece com vários clientes, então não acho que é algo de uma única empresa, é quando a gente toma decisão, por exemplo, sobre seguir ou não seguir Com o lançamento de um novo serviço digital que seja crítico. Então, num contexto onde eu não tenho uma área de gestão de risco integrada atuando fortemente, a decisão tende a ser por seguir com base ali em necessidade de mercado, prazo, prontidão técnica. Então, coloca o serviço para rodar, coloca o produto para rodar, depois a gente vê o que faz. Eh, quando a gente começa a

ter uma atuação das estruturas de risco junto Das estruturas de produto, das estruturas de inovação e traz isso com um viés mais estratégico e menos operacional, a atuação muda um pouco o processo decisório. Então, em que sentido? a gente começa a quantificar exposição financeira, exposição regulatória. A gente compara questões de nível de risco residual com aptite de risco aprovado pelo board. A gente consegue evidenciar dependência crítica entre o meu serviço Com terceiros que estão em um ambiente SAS, por exemplo, sem um nível de controle adequado. E no final de toda essa análise, toda essa quantificação,

eh, eu ainda assim não preciso dar o parecer como não seguir, né? Mas o que muda é que a gente começa a ter um gol com uma série de ressalvas. Então, a decisão ela deixa de ser binária, um sim ou não, e ela passa a ter uma análise condicional falando: "Beleza, você pode seguir com esse produto, você pode Seguir com esse serviço desde que pro lançamento você tem implementado determinados controles." Eh, isso aconteceu muito quando a gente começa a ter, por exemplo, as abordagens de privacidade e eu começo a ter uma esteira de privacy by

design, privacy by default, alinhada as esteiras de produtos, inovação. Então, a ideia não é impactar, não é deixar de executar novos produtos, novos serviços ou impedir que a empresa gere receita. Muito pelo Contrário, a gente quer resguardar essa receita, então segue, mas você vai precisar, por exemplo, habilitar um múltiplo fator de autenticação. Você vai ter que aplicar, por exemplo, criptografia nos dados que estão em trânsito. Você vai precisar manter logs que a gente consiga checar ali por pelo menos n período de tempo. Então, isso começa a virar um pouco dos requisitos que a gente traz.

Eh, e aí o que faz a decisão, né, sobre seguir ou não seguir Com o produto, não é mais um relatório de risco por si só, mas sim a narrativa que a gente constrói entre o tradeoff de executar o produto ou mitigar os riscos e como a gente chega no meio do caminho entre esses dois. você comentou do privacy by design e isso é muito importante porque já mapeando desde o começo, levando em consideração esses riscos e eles existem, né? muito risco, são riscos inerentes ao negócio. No futuro, quando a gente já tem o produto

pronto, você evita muitos impactos, muitos, muitas materializações que poderiam ocorrer, porque justamente você conseguiu prever lá no início, já conseguiu ter essas ações. >> É, e eu acho que ainda mais, né, eu acho que se a gente falar em impacto, a gente vira muito pessoal de riscos. Eu acho que às vezes a gente tem que falar em receita. Eh, o custo de você corrigir um problema num carro que tá parado é menor Do que num carro que tá andando. Então, se eu já sei que eu vou ter um risco e eu garanto que desde o

começo ele saia com os guardios, com os controles necessários para operar num nível de confiança adequado, vai me custar X. Agora, se eu já gastei todo o meu dinheiro de desenvolvimento, coloquei o produto para rodar, apresenta um problema, uma falha e aí eu preciso corrigir, isso vai me custar um pouco mais caro. Então é é isso que as Estruturas de produto, inovação precisam começar a entender. E aí é nosso papel, enquanto gestor de risco, tá aliado a essas áreas e demonstrar isso de forma prática. falando em eh a como que apresenta, como é que faz

de forma prática. Se você tivesse um período, vamos dizer uns 3 meses, 90 dias, para provar o valor da gestão de riscos para um board, para um comitê, que evidências seriam importantes pra Gente colocar na mesa? >> Você só faz pergunta difícil, hein? O Não, vamos lá. Eu acho que se eu tivesse vai 90 dias para poder demonstrar valor pros executivos sobre uma estrutura de riscos, né, pensando num cenário que a gente chegou e não tem nada ou onde a gente chegou e tá tudo uma bagunça. Eh, eu acho que tem três pontos que a

gente precisaria atuar. Primeiro deles é conseguir mensurar quais são os principais riscos da minha organização. E aí quando eu falo os principais não adianta, eu tinha um gestor que ele brincava comigo. A gente entrega às vezes algumas matrizes que tem lá o mapa de calor com 200 bolinhas, parece uma mesa de bilhar e nada diz nada. Mas se a gente conseguir trabalhar em cima de 10 riscos principais, eh, com a tendência, exposição agregada, qual que é o apetite que esse risco representa e traduz paraa minha organização, de forma visual, que O comitê consiga bater o

olho e entender e falar: "Bom, beleza, isso aqui é onde eu preciso focar, esses aqui eu tô disposto a seguir um pouco mais, já é um baita de um avanço." Então, para quem não tem nada a conseguir mensurar esses 10 principais já é muita coisa. Depois disso, é 90 dias é muito pouco pra gente trabalhar em cima de riscos, mas o que eu faria seria estabelecer um plano para 30, 60, 90 dias. Então, quais são os meus Kis que eu quero atingir ao Longo desses três períodos? Aonde eu tô? Para onde eu quero ir? Quais

são as datas de queda de risco, como que isso comporta se eu olho numa visão de cronograma, numa série histórica, porque aí eu consigo demonstrar que de fato eh eu tive uma mudança no meu nível de risco, ou seja, eu tive uma ação, isso resultou em alguma coisa pra companhia. E eu acho que a última, ela vai ser muito decorrente das duas primeiras, mas é conseguir trabalhar num registro de Forma estruturado de pelo menos uma, mas assim, o ideal seria conseguir trabalhar em pelo menos três decisões de negócio que a gente conseguiu apoiar a tomada

de decisão. Ou seja, seja num aspecto sobre priorizar investimento de um investimento A para um investimento B, seja no ajuste de um limite operacional que a gente precise mudar, seja ali no go, no go de uma contratação de um fornecedor ou na habilitação de um novo produto e serviço. E isso tem que ser Muito simples. A gente tem que assumir que os executivos eles não são do dia a dia de risco. Então, para eles tem que ser algo extremamente visual, >> do jeito que eu tenho aqui o risco, a minha análise e a minha decisão

de forma estritamente visual e direta. Isso tudo começa aí. E aí, por que esses três, né? Eu poderia explorar n outros entregáveis dentro de um ambiente de risco controle, porque isso tudo vai começar a conversar com uma demanda por Ação rápida e vai começar a demonstrar que os proprietários, os owners dos riscos tão atuando de forma mais eficaz. E aí a gente consegue após esse período de 3 meses estruturar outros aspectos. Então aí sim começar a trabalhar num camada de ambiente controle, teste, fazer a definição de frameworks, que aí é algo que toma mais tempo,

mas pelo menos a gente já entrega algum valor no curto prazo. >> Já teria esse essa diferença do antes e O depois. Eu achei legal quando você trouxe a estrutura também da matriz. tem uma matriz que não mostre muita coisa, porque o executivo ele vai se perder naquela análise, ele só vai ter 10, 20 segundos para tirar uma interpretação daquilo. Então, >> e às vezes a gente acha que poluir a matriz, né, de forma não negativa, mas a gente acredita que às vezes colocando muita coisa na matriz a gente faz Sensibilizar os executivos. Eh, eu

tava com um cliente recentemente, deve ser coisa de um mês atrás, acho que até comentei contigo, e a gente acessou lá a matriz dele, ele tinha 300 problemas registrados na matriz. O executivo olhou e falou: "Bom, se eu tenho 300 problemas, eu fecho a porta da empresa amanhã. Eu não preciso nem vir trabalhar porque é um milagre a gente tá conseguindo operar". Então é muito importante a gente fazer Essa distinção olhando pro ambiente e entender o que de fato é um problema, o que que impacta a minha organização, o que que pode de fato me

trazer um problema, uma paralisação. E aí sim a gente entendendo esse esse cenário, a gente trabalhar ali no máximo 10 riscos que de fato respaldem isso que a gente entendeu, >> mais estratégicos >> sempre. E aproveitando, a gente vê muito, a Gente fala de prática, mas quais seriam as métricas que hoje em dia a gente entende, pode entender que são maduras, mas às vezes acaba dando mais trabalho do que resultado no dia a dia? >> Eu eu sempre brinco, né? Eu acho que métrica boa conta história de impacto, não de esforço. Então é essa mudança

de mentalidade que a liderança espera dos gestores, né? Porque é muito fácil eu ter uma métrica De vaidade querendo demonstrar esforço e falar, por exemplo, em percentual de políticas publicadas, número de treinamentos, volumes de riscos por registro. Beleza? Mas o que que isso significa pro meu negócio na prática? como que ela prova valor se ela não tá conectada com uma tomada de decisão, com a perda evitada, com a exposição que eu reduzi. Então, todo indicador que olha para um cenário De impacto, exposição, ele diz mais sobre simplesmente volumetria de percentual de colaboradores treinados em determinado

assunto, sabe? Então, essa é a mudança. E aí é algo que eu comentei no mesmo cenário da resiliência, né? Não existe uma receita de bolo. É muito importante a gente entender contexto de negócio de cada organização, porque o que para uma organização vai ser crítico, para outra às vezes é superficial, não faz sentido. Ou mesmo Que faça sentido, não adianta se aprofundar. Então isso precisa ser calibrado eh a cada um dos cenários que a gente avalia. >> Perfeito. Pessoal tá mandando aqui mais alguns comentários. Eh, a Lídia trouxe como assegurar que a área de negócio

compreenda plenamente o framework e disponha de subsídios adequados para elaborar a matriz de papéis e responsabilidades. Além disso, qual área deve ser responsável pela condução e coordenação dessa atividade? >> É pergunta de 1 milhão de dólares, né? Eu acho que eu vou responder a primeira parte primeiro. Eu acho que como a gente garante que a área de negócio ela vai ter condições de compreender o framework. Então aqui a conscientização, gente, acho que não tem muito segredo, é cultura, é de fato uma gestão da mudança. >> Sempre sobre esse viés de como que eu demonstro a

importância dos ambientes e das estruturas de risco paraa área de negócio. E e aí nesse caso, é importante que a gente fale a língua deles, porque nós do mundo de riscos, controles, como um todo, a gente tá acostumado com esse linguajar, a gente entende o que é um risco, o que é um fator, o que é um problema, o que é um eixo. Quando a gente cai pra área de negócio, para eles é tudo a mesma coisa. Então, a gente Precisa entender, conectar, amarrar. E isso é uma questão de treinamento, é uma questão de alinhamento.

Então, é muito importante que quando a gente defina o framework, entenda quem são os owners de controle, quem são os owners de risco, a gente sente com essas pessoas, explique e e sensibilize eles sobre isso, porque senão vira só uma burocracia que uma vez por ano eu vou e eu faço uma flag num assessment falando que nada mudou. Então esse é o primeiro ponto. Eu acho que o Segundo ponto, como que a gente garante quem que é o responsável por viabilizar isso tudo aqui? Vai depender muito do cenário de cada empresa, da maturidade de cada

empresa, como as empresas conseguem fazer isso internamente. Então pode ser um contexto que vai estar dentro de controles internos, dentro de compliance, dentro da equipe de treinamento, dentro do time de riscos. Às vezes eu posso ter algo específico vai que vai estar dentro de Privacidade, segurança da informação, mas aqui vai depender muito das estruturas e principalmente como as três linhas estão integradas e se elas estão integradas, tá? Perfeito. Aproveitando, queria já soltar a segunda enquete para entender um pouquinho da como é que vocês têm apresentado os resultados pro próprio BOD, pra diretoria. Então vocês podem

respondendo, gente. Então, ó, na prática, você sente que o GRC tem mostrado resultado claro paraa liderança? Enquanto vocês respondem à nossa enquete, queria trazer aqui o comentário da Germana. A gente estava trazendo, né, sobre como montar um plano estruturado em 90 dias. Adermana trouxe da visão dela que para entregar em três meses o valor, qual metodologia de identificação seria utilizada? Então, ela faria uma entrevista com alta Gestão lideranças. Contudo, tenho dúvidas se os riscos apareceriam sem entrevistar o operacional, o que levaria muito tempo. >> Concordo 100%. E aí aqui eu acho que a gente tem

duas abordagens, né? A gente pode fazer a avaliação boron app. Então eu bato minha operação e vou subindo até o meu nível operacional. E a tendência nesse caso, é que a gente identifique uma série de riscos, porque a gente vai sentir a dor de quem tá na Operação. >> Uhum. >> No final do dia, a gente pode fazer isso ao contrário, num primeiro momento e fazer stop down. Eu bato no meu nível executivo, entendo e depois eu desço. Por quê? Porque no final do dia, quando a gente fala sobre uma perspectiva de risco corporativo, por

mais que os executivos não falem o a língua de riscos, eles não estejam habituados com esse mundo que a gente tá Inserido e tudo mais, eles sabem o que pode impactar o negócio. Talvez ele não consiga traduzir isso para uma matriz, para um cenário de risco, controle, fatores, mas ele sabe o que pode impactar o negócio dele. Ele sabe quais são os temas que dão dor de cabeça e que fazem ele não dormir à noite. Então, talvez num primeiro momento a gente parte de cima para baixo, faz uma primeira matriz, começa a trabalhar nisso e

depois a gente faz a Complementação de baixo para cima. E aí quando a gente fizer de baixo para cima, é muito importante que a gente faça o quê? O link entre as duas. Porque não adianta eu simplesmente ouvir executivo, ouvir operação, criar aqui uma série de riscos para trabalhar, mas sim que a gente entenda quais são os riscos que os executivos enxergam e como as dores que estão na minha operação se conectam a esses riscos. >> Uhum. Perfeito. Eh, Rafael trouxe, ah, Augusto trouxe a segunda pergunta para você, Rafa, sobre a existência de uma matriz

robusta e completa com diversos riscos. O ideal não é focar na classificação desses riscos invés de enxugar os riscos existentes para os executivos? Sim e não. Eh, aí agora eu vou explicar o por não, tá? Eh, eu consigo trazer, por exemplo, o risco cibernético como um único risco na matriz, Mas se eu quiser, eu consigo trazer risco cibernético como 300 riscos na matriz. Eu posso falar de vazamento de dado, eu posso falar de comprometimento credencial, eu posso falar de uso de software de terceiro, eu posso falar, enfim, de n coisas. No final do dia, pro

executivo, o que importa é o risco, não os fatores. E via de regra, quando eu começo a quebrar muito, eu vou tá trazendo numa abordagemonde eu tô misturando risco e fator em uma única Coisa. Então, é muito importante que a gente faça uma sensibilização nesse sentido. O que que de fato é risco e quais são os fatores que compreendem esse risco? Porque os fatores eu vou tratar num nível mais baixo, eu não vou necessariamente subir pro executivo. Óbvio, se ele me questionar às vezes porque o meu risco cibernético é extremamente alto, eu até posso quebrar

o racional e falar: "Ó, porque você tem 12 fatores aqui, desses 12, oito não Estão controlados e quatro estão controlados. Por isso que o seu risco no final sobe. Mas se a gente apresenta os 12, a gente acaba poluindo a visão, sendo que no final do dia eu tenho um risco para 12 possibilidades de materialização diferentes. Então é importante que a gente faça essa distinção sempre. >> Um comentário da Lídia. Ela trouxe que as métricas devem ser voltadas para resultados e alinhados ao objetivo Estratégico da organização. Medir indicador meio sem olhar o fim é perda

de esforço. >> Exatamente. >> Perfeito. E trazendo o resultado da nossa enquete, vamos lá. Na prática, você sente que o GRC tem mostrado resultado claro paraa liderança? A maioria foi sim, às vezes 44% dos votos. Foi foi bem positivo. Muito bom. Trazendo aqui mais um comentário agora Da Karen. Gostaria de saber se alguém a se alguém do grupo tem atuado com análise de materialidade ASG direcionadas à gestão de carteira de investimento. Aqui, gente, é interessante a gente conversar na comunidade, né? Então, a gente pode trocar essas experiências, trocar os cases, trocar materiais. Então a gente

volta novamente com o link da comunidade aí, Karen, a gente mantém contato por lá. Beleza? Comentário agora do Gabriel. Complementando, tem coisa que são riscos assumidos. Alta gestão sabe do problema, entende que vai seguir mesmo assim? >> É, isso acontece mais do que a gente gostaria, né? Mas eu acho que em vários momentos é necessário assumir risco. O que que é importante? A gente sempre ter uma análise de apetite versus exposição. E se o comitê, se os executivos estão Dispostos a seguir esse risco, segue o jogo. É nosso papel avisar quais são os impactos, isso

tá fora do apetite, tudo, etc., Mas em se decidindo seguir, seja para obter um objetivo de negócio, seja para obter algum ganho ali específico, tudo bem, a gente fez nosso papel. Eh, e aí é importante que a gente tente mitigar o máximo possível. Aproveitando comentar de tolerância, eh quando a liderança eh compra a ideia, né, entende qual o Risco, o próximo desafio seria transformar essa decisão em regra de operação. Falando um pouquinho de apetite, tolerância, a gente faz a apresentação no slide, tá bonita a matriz, só que no dia a dia a crise é que

manda no limite, é o gatilho, a alçada. Então, olhando um pouquinho mais pra parte da operação, eh, como é que você desenharia o apetite tolerância para virar regra de operação? Isso aqui é muito bom, porque acho que o Que a gente mais vê em projeto, em cliente, em tudo, você tem a matriz, seja 5 por5, 4x4, o que for, e aí você tem os níveis de impacto e probabilidade. E aí tem muito cliente que você vai discutir qual que é o seu nível de apetite, o seu nível de tolerância e ele pega literalmente uma outra

coluna na matriz e aí fala: "Ah, não". E aí ele usa as métricas de impacto e probabilidade para justificar aptite tolerância. Tá aqui, Probabilidade é três, impacto é quatro. Você vai, tá, mas o que que isso significa? E ele não consegue. Então, quando a gente vai fazer desenho pensando em tolerância de risco, primeiro a gente começa com uma definição executiva por objetivo. Então, eu quero avaliar e qual que vai ser meu objetivo? Vai tá baseado em Ebíta, vai est baseado em NPS? Vai tá baseado em UPT? Qual que é o nível executivo que eu quero

avaliar? Uma vez que eu faço essa Definição, eu parto paraa definição de limite, claro, com unidade de tempo. Então, supondo que seja UPTime, meu time tem que ser maior ou igual a 99.9% 9% por mês ou a tolerância de 30 minutos de indisponibilidade no período ou até 0,5% do EBIT projetado pros últimos 6 meses. Aqui eu começo a ter um pouco mais de lastro para poder trabalhar em tolerância de risco. Feito isso, aí sim a gente pode entrar para uma camada mais operacional pensando em gatilho. Então, Putz, é, se eu tiver dois incidentes de alta

gravidade nos últimos 15 dias, aí eu preciso abrir uma alçada de aprovação que vai envolver o CISO, por exemplo, para contratar um novo controle. Eh, ou até se eu tiver uma questão de residência de processo, mudança, lançamento, envolvimento de fornecedor, com evidência em plataforma. Então assim, a partir do momento que a gente começa a quebrar minimamente nesses três aspectos, definição clara de qual o Objetivo executivo que eu quero avaliar, quais são os limites e os as unidades temporais que eu vou avaliar e como que eu defino esses gatilhos do ponto de vista operacional, aí sim

a gente começa a operacionalizar todo esse questão de apetite, tolerância, conectando a tolerância com as métricas de governança estabelecidas. E aí é muito do que os frameworks mais modernos solicitam e tentam incentivar nos seus catálogos. Até conversam com o que a a Lídia Comentou, eh, de tá sempre aliando a as métricas, a gestão de risco em si com os objetivos estratégicos da organização. Esse foi um ponto. >> Exatamente. E aí o que a gente enxerga, né? Acho que até pensando no erro mais comum que a gente visualiza aí dentro das empresas e foi o que

eu comentei no começo, eh, é a definição de apetite genérico, sem conseguir traduzir para uma um gatilho mensurável, para um Objetivo estratégico da organização. E aí, na prática ninguém sabe quando estourou, o que estourou, se estourou. E a melhor forma da gente evitar isso é trabalhar numa camada de Kri objetivos, os limites estabelecidos com as unidades, com período temporal, criar um rito para cenário de exceção. Então, quem decide em quanto tempo, quais são as evidências que eu preciso coletar. E aí quando a gente olha isso aí de uma perspectiva de resiliência, Eh esses aspectos são

exatamente reforçados, né, com a ligação entre objetivo, impacto e resposta. Eu começo a trabalhar nessa tríade >> e se a gente tem um cenário no qual a gente tem muitos riscos que são críticos, tudo é importante, tudo parece crítico, até como no caso que o Augusto trouxe, como que a gente faz então para priorizar? Qual é o tem algum método pra gente fazer esse tradeoff? >> Eu acho que todo mundo passa ou já Passou por isso pelo menos uma vez, né? Mas quando a gente tem vários riscos que se encadeiam entre si, e tudo parece

prioridade, porque a realidade é essa, eh, é papel do IRM forçar esses tradeoffs e não simplesmente rankear esses riscos, né? Então, um método que funciona muito bem é a tomada de decisão baseada ali em três passos. Então, primeiro passo, mapear todo esse ecossistema, entender as interdependências críticas que eu tenho, Quais são os processos, quais são os terceiros, quais são as tecnologias que concentram entre si múltiplos riscos? Porque dessa forma eu identifico os nós, que são os pontos onde uma unica ação vai mitigar ou reduzir uma série de riscos simultaneamente, eh, trazendo nesse cenário um maior

retorno aí de mitigação. Feito isso, a gente pode partir para um segundo momento, que é comparar a exposição agregada desses riscos versus O apetite por objetivo de negócio. Então, ao invés da gente tratar esses riscos de forma isolada, eu vou medir quanto o conjunto de riscos que eu tenho mapeados nessa interdependência consome do meu apetite real, seja em termos de receita, em termos de continuidade, em termos de conformidade regulatória. E isso deixa claro aonde eu já extrapolei esse limite aceitável e onde eu ainda tenho espaço para aceitar risco. Então, em alguns momentos, nosso papel vai

ser Exatamente esse, escolher qual risco eu tô disposto a tomar e qual eu não posso me dar o luxo de tomar. E aí eu acho que em último cenário, e aqui é o literalmente o último, a gente nunca quer chegar nesse momento, mas é calcular o custo de atraso por período. Então beleza, para cada ação que eu tenho mapeado, para cada risco que eu tenho mapeado, eu estimo o impacto financeiro operacional de postergar a tomada de decisão. E aí a prioridade Passa a ser definida pelo impacto marginal que eu teria daquele atraso, né? Então, não

pelo volume de risco necessariamente ou pelo nível de ruído que isso vai gerar no mercado, mas sim por qual que é a exposição financeira regulatória que eu tenho atrasando um mês com esse risco. Eh, quando a gente consegue conectar esses três passos, a gente sai daquela lista infinita de riscos para serem trabalhados, priorizados ou tratados e a gente começa A fazer o quê? uma locação otimizada de capital e tempo. E aí, dessa forma, a gente prioriza quais são as iniciativas que reduzem mais riscos por unidade de esforço, consequentemente sustentando aí uma decisão mais executiva, >>

quase o Pareto, né? 8020. >> Exatamente. É exatamente isso. Cristina trouxe a segunda pergunta. Mais uma pergunta. Quais critérios podem ser considerados para a definição dos KIS Que de fato devem ser monitorados pela organização? Vai variar muito de negócio para negócio. Então é muito importante a gente entender contexto de negócio, onde a empresa tá inserida, qual que é a estratégia dela, o que que ela tá disposta a tomar de risco, o que que ela não tá. E mas eu acho que de forma resumida, critérios que olhem para impacto, que olhem para recuperação, que olhem paraa

Disponibilidade. Então, sempre olhar sobre esse viés. Eh, qual é o impacto de eu não executar determinado controle ou conjunto de controle ou qual que é a redução do nível de risco que me traz aplicando determinado framework? Isso é o que precisa ser avaliado no final do dia. Feito. Para fechar, nós temos já falta 5 minutinhos. Só tem mais uma perguntinha, Rafa. >> Manda lá quantas forem. >> É, pensando eh numa conclusão final. Se a gente fosse amarrar tudo que sustenta hoje a gestão de risco para 2026 já esse ano, praticamente já fevereiro, eh, como é

que a gente poderia ter essa, qual metodologia aplicar? Até porque qual o ritual, porque no final do dia a gente entende que o melhor framework é aquele que a gente consegue executar, >> né? O feito é melhor do que o perfeito. Mas trazendo a tua experiência, trazendo eh o se a as avaliações que você já fez, se você tivesse que desenhar um ritual mínimo que funcionasse já para 2000, para agora, que que não poderia faltar? >> Cara, eu acho que minimamente, tá? Então vamos considerar que a gente executou aquele plano de 90 dias que eu

comentei, a gente já tem pelo menos algo mapeado para começar a trabalhar. Eu acho que o ritual mínimo inclui aí uma cadência pelo menos quinzenal, talvez mensal, pra Gente tratar riscos críticos voltados operações, terceiros, cyber, a gente ter um ritual, uma cadência mensal bimensal para discutir o portfólio executivo. Então, tendo ali um respaldo, mostrando as movimentações, olhar pelo menos ali de forma trimestral, então quatro vezes no ano pelo menos um comitê pra gente discutir, revisar toda a questão de apetite, tolerância e como isso tá portando, porque a depender, a tendência é que se A gente

começar num ambiente muito imaturo, a tendência é que a gente precise calibrar isso na linha do tempo. E mas eu acho que o principal disso aqui, a gente estabelece o ritual, né? Então, como se fossem os ritos de uma metodologia ágil, o que que minimamente eu preciso fazer? Mas eu acho que o mais importante disso tudo é que cada risco e cada controle ele precisa de um dono. Então a gente precisa ter isso de forma proprietária, seja para um usuário da Área de negócio, seja para um sponsor executivo que vai apoiar nas medidas de mitigação

e de redução desse risco. Eh, feito isso, a gente precisa pautar quais são as evidências importantes que a gente precisa trabalhar, seja numa postura de CCM, né? Então, monitoramento contínuo de controle alimentados por Kis e controle chave de forma contínua, seja numa estrutura que não vai estar automatizado, mas para testes de controle, como que eu verifico eficácia, O que que isso sensibiliza no meu ambiente? Eh, e no final a gente precisa conseguir trabalhar um pouco em cima de métricas. Então, todos esses testes de controle, eficácia, entendeu? cenários de riscos precisam me trazer aqui métricas que

demonstrem tendência, exposição, apetite, como isso comporta, quais são os tempos de recuperação que eu tenho pros meus serviços críticos, como que isso conversa com a minha estratégia de Resiliência, como que isso conversa com a minha estratégia de continuidade e aí a gente começa a ter um pouquinho do do IRM se conectando em todas as pontas, tá? Enfim, >> mas acho que de forma resumida é isso, >> pessoal. Espero que vocês tenham anotado, tá, esse passo a passo. Muito bom, muito bom, Rafa. Gente, estamos chegando ao fim do nosso webinar, tá? Eu queria agradecer muito a

presença de Vocês, o tempo investido, a participação no chat, eh, nas enquetes e eu acho que isso que faz o webinar ter essa troca real, né? A gente não fez só um conteúdo de uma via única. Eu acho muito legal quando vocês participam. Rafa, obrigada, tá, pela sua participação, por trazer aqui a sua experiência, a sua visão prática e dá para sair daqui com várias eh ideias, planos de ação já pra gente iniciar 2026. >> É isso aí. Bom, eu que agradeço tá aqui Mais uma vez. É sempre um prazer discutir sobre riscos com vocês

e o que vocês precisarem quando precisarem. Se quiserem entender um pouquinho melhor como a KPMG e a Acto atuam em conjunto para trabalhar uma série desses pontos que a gente trouxe aqui. Eu e a Elô a gente segue à disposição e vai ser um prazer conversar mais com vocês. >> Muito obrigado, pessoal. >> Muito obrigado. Último recadinho, gente. A gente tá disponibilizando já, tá? o Formulário de feedback do evento, responder o formulário, já garante seu certificado de participação e vão ajudar para que a gente consiga construir e trazer temas cada vez mais úteis para vocês.

E como o Rafa trouxe, também queria deixar esse convite para quem quiser se aprofundar, né, colocar em prática tudo que a gente trouxe, que a gente comentou, gestão de risco, para vocês conhecerem a nossa solução de gestão de risco. Então, ela foi pensada, Desenvolvida exatamente para transformar o método em execução. Então, quem tiver interesse aqui no chat, pode falar, tem interesse, coloca o nome, enfim, que a gente vai est entrando em contato. Muito obrigada, gente, pela participação. >> Obrigado, pessoal. Até o próximo. >> Até. Ciao. Ciao.