[Perinity Week]
A nova visão executiva do GRC: como conectar riscos, controles e decisões
Durante muitos anos, Governança, Riscos e Compliance foram tratados pelas organizações quase exclusivamente sob uma ótica operacional, regulatória e defensiva.
Em muitas empresas, o GRC era percebido apenas como:
auditoria;
fiscalização;
burocracia;
prestação de contas;
obrigação regulatória.
Mas o cenário mudou.
Transformação digital, inteligência artificial, cybersegurança, ESG, riscos reputacionais, crises operacionais e pressão regulatória passaram a impactar diretamente:
estratégia;
competitividade;
continuidade;
crescimento;
sustentabilidade das empresas.
Nesse contexto, o GRC deixou de ser apenas um mecanismo de controle e passou a ocupar um papel estratégico na tomada de decisão executiva.
O grande problema: empresas ainda tratam GRC como “freio”
Um dos principais pontos debatidos no painel da Perinity Week 2026
foi a percepção equivocada que muitas organizações ainda possuem sobre GRC.
Segundo os especialistas, em diversas empresas o tema continua sendo acionado apenas:
“na dor”;
após incidentes;
por exigência regulatória;
durante auditorias;
quando existe risco de penalidade.
Essa abordagem cria um problema sério:
o GRC passa a ser visto como área que bloqueia decisões, desacelera projetos e cria burocracia.
Quando, na realidade, o objetivo deveria ser exatamente o contrário.
GRC não deveria atuar depois da estratégia pronta
Um dos pontos centrais do painel foi o alerta sobre um erro extremamente comum:
muitas empresas constroem toda a estratégia e só depois chamam riscos, compliance e governança para “validar” ou “aprovar” a decisão.
Segundo os painelistas, isso transforma o GRC em:
fiscal;
limitador;
anti-herói corporativo;
área do “não”.
O correto seria integrar governança e gestão de riscos desde o início da construção estratégica.
Ou seja:
antes da decisão;
antes do produto;
antes da mudança operacional;
antes da transformação digital.
O que realmente é risco?
Outro ponto importante levantado durante o debate foi uma visão muito mais prática sobre risco.
Os especialistas destacaram que risco não deve ser tratado como:
adivinhação;
futurologia;
exercício abstrato;
“caça ao problema”.
Risco, na prática, é tudo aquilo que impede a organização de alcançar seus objetivos.
E isso muda completamente a lógica da gestão.
Porque se a empresa:
não sabe para onde quer ir;
não possui objetivos claros;
não dissemina sua estratégia;
não conecta áreas;
ela não consegue fazer gestão de riscos de verdade.
O maior desafio das empresas: áreas trabalhando em silos
O painel trouxe uma crítica recorrente do mercado:
muitas organizações ainda operam com departamentos isolados.
Cada área:
cria seus próprios controles;
gera suas próprias métricas;
monta sua própria visão de risco;
utiliza metodologias diferentes;
não compartilha informações.
Isso gera:
retrabalho;
redundância;
conflitos;
perda de eficiência;
baixa maturidade de governança.
Os especialistas reforçaram que riscos corporativos não podem ser tratados isoladamente.
Governança só funciona quando existe integração
Um dos principais insights do painel foi que governança não depende apenas de frameworks, ferramentas ou políticas.
Ela depende de integração entre pessoas, áreas e processos.
Isso significa conectar:
operação;
financeiro;
RH;
jurídico;
tecnologia;
compras;
compliance;
auditoria;
segurança;
qualidade;
riscos corporativos.
Sem essa conexão, qualquer iniciativa de GRC se torna apenas documentação.
O perigo da “transformação digital desorganizada”
Outro alerta importante foi sobre empresas que tentam acelerar iniciativas digitais sem maturidade operacional.
Os painelistas comentaram sobre organizações que:
automatizam processos ruins;
digitalizam problemas antigos;
implementam IA sem processos estruturados;
compram ferramentas sem metodologia.
Segundo os especialistas:
tecnologia não resolve desorganização.
Ela apenas escala os problemas já existentes.
Inteligência artificial sem processo é risco escalável
O painel também abordou o crescimento acelerado da adoção de IA nas empresas.
Mas trouxe um ponto importante:
antes de implementar inteligência artificial, a empresa precisa possuir:
processos claros;
governança;
controles;
responsabilidades definidas;
qualidade de dados;
maturidade operacional.
Caso contrário, a IA apenas automatiza:
erros;
falhas;
retrabalhos;
decisões ruins;
inconsistências.
E em escala muito maior.
GRC precisa deixar de ser técnico e virar linguagem de negócio
Outro tema muito discutido foi comunicação.
Os especialistas defenderam que o mercado ainda possui dificuldade em explicar GRC de maneira simples e acessível.
E isso gera distanciamento entre:
áreas de negócio;
liderança;
operação;
conselho;
times técnicos.
A provocação foi clara:
se o executivo não entende o que o GRC faz, existe um problema de comunicação.
Por isso, um dos maiores desafios atuais é traduzir:
riscos;
governança;
compliance;
controles;
frameworks;
indicadores
em linguagem executiva.
O papel da cultura organizacional
Os painelistas reforçaram diversas vezes que governança não acontece apenas através de políticas.
Ela precisa virar cultura.
Isso significa:
engajamento;
comportamento;
comunicação;
rituais;
alinhamento;
tomada de decisão compartilhada.
Empresas maduras em GRC conseguem fazer riscos fazerem parte das conversas naturais da organização.
O erro das empresas que “dão lucro mesmo desorganizadas”
Outro ponto importante do painel foi a discussão sobre empresas que continuam crescendo mesmo sem maturidade de gestão.
Segundo os especialistas:
existem empresas desorganizadas que lucram;
empresas sem governança que crescem;
empresas com processos frágeis que sobrevivem anos.
Mas isso normalmente funciona apenas enquanto o mercado está favorável.
Quando surgem:
crises;
mudanças econômicas;
problemas regulatórios;
incidentes;
mudanças de mercado;
a fragilidade aparece rapidamente.
O verdadeiro objetivo do GRC
Um dos conceitos mais fortes debatidos no painel foi:
GRC não existe para impedir negócios.
Ele existe para permitir crescimento sustentável.
Os especialistas defenderam que o papel moderno do GRC é:
acelerar decisões;
apoiar estratégia;
aumentar previsibilidade;
reduzir vulnerabilidades;
gerar confiança;
sustentar crescimento.
O conselho precisa participar mais
Outro ponto debatido foi a distância entre conselho e operação.
Segundo os painelistas, muitos conselhos:
recebem informações fragmentadas;
não participam da construção dos controles;
não acompanham riscos operacionais;
enxergam governança apenas em nível regulatório.
E isso reduz a efetividade das decisões estratégicas.
Governança eficiente exige aproximação entre:
conselho;
operação;
riscos;
tecnologia;
estratégia.
Conclusão
O mercado vive uma transformação importante na forma como enxerga Governança, Riscos e Compliance.
O modelo antigo — baseado apenas em controle, auditoria e obrigação regulatória — já não atende às necessidades atuais das organizações.
Hoje, empresas precisam de um GRC:
conectado ao negócio;
integrado à estratégia;
orientado à decisão;
próximo da operação;
capaz de acelerar crescimento;
preparado para ambientes complexos.
A nova visão executiva do GRC não trata riscos apenas como problemas a serem evitados.
Ela trata riscos como elementos centrais da tomada de decisão corporativa.
E as organizações que conseguirem integrar governança, controles e estratégia terão muito mais capacidade de adaptação, crescimento e resiliência nos próximos anos.
