Governança corporativa e os desafios reais da gestão de riscos | Futuro do Compliance

Sejam muito bem-vindos ao futuro do compliance. O podcast dá OK. Eu sou Bruno Rodrigues CEOE, cofundador da OK. AOK hoje é o maior portal de conteúdo sobre compliance em língua portuguesa. A gente reúne dezenas de especialistas que produzem cursos, artigos. E vídeos para ajudar profissionais e empresas a entender e antecipar as normas que mudam o jogo. E com a nossa plataforma, OK, compliance, a gente transforma aquele mar de exigências regulatórias. Em sites acionáveis por meio de inteligência artificial que a gente treinou especificamente para esse ambiente brasileiro. A gente está vivendo um momento decisivo para o compliance, né? Com inteligência artificial, criptomoedas, open finance, ESG, cibersegurança e regulações cada vez mais dinâmicas, né? Que vão remodelando? O mercado a uma velocidade inédita. Então, aqui, a cada episódio eu trago convidados de peso para ajudar a gente a decodificar essas tendências. E mostrar caminhos concretos para tornar o compliance mais estratégico, mais ágil, mais acessível para todo mundo. No episódio de hoje, o papo é governança e riscos, né? Como é que a gente vai alinhar a estratégia, cultura e controles nessa era de mudanças constantes que a gente vive? E trago 2 convidados aqui pra isso. Primeiro é a Danielle rosa, que é fundadora da intento compliance, conselheiro em mercado segurados e professora nalec e no Ibmec. A Daniele traz 2 décadas transformando o desafio regulatórios em valor por seus clientes, né? De fundos de investim. Então, até futebol profissional? Ela também é autora convidada da plataforma dá OK? Seja muito bem-vinda, Daniele. Obrigada, obrigada pessoal, um prazer estar aqui com vocês. Valeu Daniele. Também trazemos o Thiago Ferreira que comanda a essencial GRC, Thiago atu em comissões da BNT que escrevem as normas brasileiras de ESGE gestão de riscos e já liderou controles internos em bancos ingestoras em várias empresas. Também é professor de alguns cursos da OKE, autor de artigos técnicos da nossa comunidade. Muito bem-vindo, Tiago. Obrigado Bruno. Agradecer a você, EAOK pela oportunidade principalmente de estar aqui com a Daniele hoje e vai ser um prazer conversar com todos vocês. Maravilha, eu que agradeço vocês. Vai ser um prazer. Então vamos começar nosso episódio. Ajuste volume. Pegue seu café e vamos lá. Então queria começar falando com vocês, pessoal. A Mackenzie, ela mede trimestre a trimestre. Esse risk Heat, né? Das agendas de conselho, então, 2011 cibersegurança aparecia em oitavo lugar, 2024 saltou pro segundo. E, ao mesmo tempo, a Deloitte mostra que 57% dos consumidores brasileiros ainda não têm Comité específico de tecnologia. Ou seja, né? O tom no topo está mudando, mas estrutura e competência nem sempre acompanham como a gente gostaria. O conselho virou mais técnico, né? Virou comitê de crise permanente ou continua devendo quando o assunto é risco emergente? Então começar perguntando para Daniele, como você enxerga a Daniele essa evolução do conselho cerimonial para o conselho mais hydzon em risco, em integridade? Né, onde que ainda emperra que que não está funcionando legal? É bom, acho que a transição tem de ser o início, quando o conselho para de enxergar o risco e a integridade como temas de. Conformidade obrigatória, né? E passa a tratar isso de fato como uma questão estratégica é, sai desse movimento do a é para não ser multado? É e enxerga que faz parte da sustentabilidade é de longo prazo, né? Perenidade do negócio? Então. Acho que essa foi a saída dessa questão do conselho cerimonial, né? A coisa é formada como era. Parece até muito velho, né? É? Espero que assim seja. É parte um pouco de uma questão de formação de repertório mesmo, né? De a gente passar a ter conselheiros que saem, só que tenham só aquele olhar, seja financeiro, seja o jurídico clássico e tragam. Um pouco de conhecimento sobre esse de cibersegurança. Essa cultura organizacional, integridade, o impacto real disso tudo no dia a dia é, além de os materiais também chegarem desse conselheiros de uma forma mais traduzida, né? E não é uma coisa tão técnica ou pulverizada demais, é de chegar a 1 o volume que você não consegue ler num tempo adequado e que nem que você consiga fazer a conexão com o que está acontecendo com a empresa, né? Que é diferente de você estar ali como executivo no dia a dia? E você aconselhar, trazer um pouco mais de contextualização para que o board consiga entender o impacto, né? O cenário do que está acontecendo ali, internamente e possíveis caminhos. E acho que o mais importante é o que eu deixei pro último de conselho, ter coragem para criar tensão, né? Para questionar e provocar, de fato a diretiva e novos caminhos, principalmente no mundo químico do tempo inteiro, né? Com iaco, novas tecnologias, com possíveis supressão de negócios. É e cobrar um plano b, né? É uma maturidade maior para a empresa, trazendo isso como um item de pauta de verdade, né? É criar atenção que movimenta. Perfeito, perfeito, donnelly? E aí, emendando os pontos da Daniele, Tiago, queria te perguntar, quais riscos operacionais, na tua visão? Mas pegam o bourji de surpresa ali, porque não estavam no radar estratégico. É muitas vezes para para desviar. Sempre pegam de surpresa. A gente está falando de riscos que é. Acredita-se que já tem a solução. E aí eles são menosprezados. Como, por exemplo, riscos de terceiros, principalmente os cascateados. Então é, Ah, eu conheço esse terceiro. Eu já fiz uma ado diligência há muito tempo atrás por não estudar como é a sua dependência com aquele terceiro, às vezes um terceiro que tem 11, abrangência muito grande, você tem uma dependência muito grande dele. Então é aquela história de que eu conheço, eu já tenho, e aí eu não preciso me preocupar muito com ele, então não está sendo monitorado. É obsolescência também de processos EE de sistemas legados. Então, quando a gente vai trabalhar, às vezes na nossa atividade de especialista, de GRCA gente ouviu, já tem um sistema para isso. Eu já tenho um processo para isso. Mas é de quando em em gerenciamento de risco e até no próprio PDCA gente de fala sobre. Monitorar, revisar, então é continuar. A própria Daniele falou aqui que as coisas mudam toda hora, então as mudanças são contínuas. Então o seu sistema legado, ele está atualizado. Ele ainda serve para o processo que você queria? Seu processo está atualizado para a realidade do tempo. E depois, quando chega no board e aí já chega aquele processo que a gente achou que tinha ele, ele deu problema, mas a gente já tinha a gente, a gente já já tinha sistema, como que deu problema? Mas por causa disso é uma coisa que você achava que estava tranquila. Mas que você não revisou e não monitorou? É por último um que, por incrível que pareça, as as empresas não dão atenção. E eu não estou falando só de empresas de menor porte, apesar que esse é bem crítico, empresas de menor porte. É a perda de conhecimento técnico. Então, muitas vezes isso está dentro de uma pessoa que já está muito tempo ou na cultura da empresa, mas não está bem formalizado neste políticas nem dos manuais. Há esse sistema? Funciona assim, mas tem esse jeitinho. E aí quando tem uma mudança, uma troca de pessoas, a pessoa sai ou alguma mudança, aí você às vezes perde conhecimento técnico. E era essencial. E aí você tem essa rutura, esse incidente operacional é porque você acreditava naquele profissional, principalmente quando ele cresce, né? Na Na escala. Então é um gerente, é um diretor, e quando ele sai, ele sai com toda a bagagem e ninguém sabia o que ele fazia, como fazia. E aí você tem essa rutura que é um incidente, mais uma vez, de um item que você achava que estava tranquilo. Não tal o diretor nunca vai sair, fulano tá aqui com a gente há muito tempo. Ele sabe como as coisas funcionam. Eu acho que esses são 3 assim que pega de surpresa quando a gente fala de de incidentes que não estavam nem mapeados porque a gente achava que estava tranquilo. Perfeito, perfeito, Tiago, é. E aí, aproveitando esse ponto também, pessoal, é, a gente sabe que relatórios existem em abundância, né? É, e aí a gente trouxe aqui um dado interessante, né, Oo Institute of internal auditors calculou que apenas 38% das diretrizes de governança viram, de fato KPIs mensais que OCFO, por exemplo, acompanha. Mas demais manual acaba engavetado ali. E em bancos, é tem cosifi que exige que o board ateste à eficácia de controles, né? E, na prática, a assinatura vale menos se a cadeia de processo não tiver dono prazo e evidência que é boa parte aí. Do que você falava também, né? Tiago, então já retorno para você também, quais controles assim é principais você adota para garantir que AA governança saia do slide, vire rotina e ainda tem essa, né? Um dos pontos que você trouxe, continue fresca, continue sendo revalidada. É isso, ó. O primeiro é a comunicação e o treinamento. Principalmente quando a gente fala de algumas políticas, mais é de suporte. Então, o dia a dia, a pessoa, como eu falei anteriormente, ela acaba sabendo porque ela faz. Agora, políticas mais de suporte, como as de conformidade, uma legislação mais de ética, de anticorrupção. Ó, às às vezes é feito um trabalho, é criado uma boa política, é publicada. O board às vezes tem ciência, mas será que todo mundo teve ciência? Foi bem treinado, foi explicado o que precisa ser feito. Então esse essa comunicação e esse aculturamento, esse esse, esse treinamento contínuo é essencial. É, e aí você até citou o processo de responsabilidade de delegações novamente, às vezes. Você criou, mas é, espera-se uma proatividade que não é, que não aparece, mas muitas vezes existe a dúvida de quem implementa. Quais são os limites? Até onde você chega, quando você entra? Então, ter 11 política bem definida, de aprovação de de responsabilidades dentro daquela política que está sendo implementada. É importante para que todo mundo isso estar junto ali com nosso treinamento. Então já vou ser treinado dentro do que eu preciso saber e aí eu já já tenho. O caminho direcionado é auxiliar, direcionar. Né, e o monitoramento contínuo e os relatórios, né? Assim como o sistema que eu falei como prestador de serviço, o terceiro, políticas também. Então, como ela está sendo implementada? Quais são os números de treinamento, quais são os números de adesão? Eu precisei revisar alguma coisa. Muitas vezes é feito 11 normativo, 11 nova regra, mas ele não se adequa à realidade e a esse feedback durante o treinamento. Que quem vai exercer a atividade, ele vai dar esse feedback e vai falar nossa, mas deveria ser assim. Isso aí já é monitoramento, né? Periódico, revisão e relatórios pra gente saber como está andando? Não, muitas vezes não, mas eu já publiquei a política que precisava sobre tal assunto. Ela tá lá há 3 anos, dentro de 1/01/1 de uma ferramenta online e ninguém sabe se precisou revisar, se o pessoal gostou, se o pessoal entendeu e se está aplicando. Loguns capis aí dentro desse dessa aplicação. Perfeito, perfeito. É. E aí, continuando nesse sentido ainda, pessoal, a gente enxerga assim bastante, né? Até nos nossos clientes aqui dá OK de conteúdo mesmo. É, a gente pega esse feedback de que a probabilidade de denúncia de conduta imprópria, por exemplo, cai muito quando os colaboradores não veem sentido prático no treinamento, né? Então? Mais slide não gera mais cultura necessariamente, né? É, é aquela coisa que a gente precisa mesmo de exemplos de reforço de processo. É EE. Aí a pergunta que eu trago para você, Daniele, né, que na sua experiência, né? Quais formatos de educação? Realmente vão um pouquinho mais além daquele e-learning, né? Que você vai ali, passe por todo o conteúdo, marca que fez tudo, até de repente num certificado no final, mas não é o bastante para manter aquilo no dia a dia. É, acho que aqui o maior problema nem é o e-learning, né, é o conceito do material, que é um conteúdo que existe uma expectativa que o colaborador decorre, né? Quer depois ele vai fazer uma provinha? Então, não só no e-learning como um eventual palestra. Presencial ele é num formato, né? E numa fluidez de comunicação que existe uma expectativa de uma prova no final. É e feito para ser decorado, né? Vamos trazer aqui o que está na regra sem explicar muito bem, sem clareza de. De é linguagem, né? Não tenho de novo uma tradução para linguagem que alguém consiga entender. Então é, a gente até tem o relearning pílula, é e algumas coisas que são muito importantes para a manutenção, né, para fixação disso aí ou ferramenta institucional no dia a dia, de você fortalecer a área, trazer a lembrança de que aquilo existe, né? Principalmente em momentos pontuais, como Prince, em presentes no fim do ano. É e coisas assim, mas os treinamentos tem que trazer um porquê de aquela regra existir e como ela funciona no seu dia a dia, né? Se não é, sei lá, um estudante lendo um jornal de economia ou uma pessoa lendo sobre esportes sem ter menor interesse ou habilidade naquilo, né? É, ele está só ouvindo o negócio que ele não. Faz a menor ideia do para que se aplica, né? E daí trazer exemplos e casos reais de cada área. Linguagem mais próxima, né? Mais parecida com o seu interlocutor, é. Que seja um treinamento de interação e escuta, né? Que o colaborador morador pode de fato fazer uma pergunta para você e, caso ele tenha dúvida ou não, conecte com a realidade dele. É discordar, compartilhar, trazer que está sendo diferente da área dele. De repente, ali você detectou é que tem uma fragilidade que você nem sabia que aquele grupo também nem sabia que precisava seguir diferente apesar dos treinamentos, né? E o reforço ao longo do tempo, ter esses treinamentos é mais dinâmicos, né? Isso não é possível muitas vezes para toda organização, que às vezes você tem um grupo empresarial que tem milhares de pessoas. Pois então, você não vai conseguir atender todo mundo de uma forma que seja de fato com esse tipo de interlocução. Então você vai de repente usar uma ferramenta. É como a gente estava falando aqui, né? A distância para trazer uma parte vai fazer. Palestras pontuais vai ter as pílulas, vai ter é a formação da cultura com mais consciência, né? Como o Tiago falou anteriormente, o treinamento é uma das melhores ferramentas para isso, porque ele vai trazendo massa crítica e mostrando que dentro do dia a dia, às vezes as coisas podem ser feitas diferentes. E tirando um pouco daquela coisa do ar, sempre foi assim, sempre fizemos assim, tá lá naquele lugarzinho tal. E quando você olha, tem políticas nossa, super longas, com uma linguagem que ninguém entende, né? Ninguém produziu. É uma reprodução da. Regulação e por último, a liderança está presente, né? É no treinamento, no CTO, líder da área. O diretor da área é apoiando, né? Falar um pouco sobre a cultura da empresa. É traz uma mudança de comportamento e o entendimento de que não é só uma decoreba, né? É que a educação passa. Por um, por um movimento de as pessoas enxergarem tudo com mais clareza e entendimento melhor. Perfeito, perfeito, pessoal. Muito bom, vamos falar um pouquinho de tecnologia, então. De novo a gente está. Vou trazer muitos números aqui que a gente levantou para essa conversa hoje, né? E um muito interessante, um relatório da é da Verizon lá de fora também. É que mais de 60% dos incidentes de fraude em 2024 tiveram como vetor inicial interfaces de programação de terceiros, né? Então, DIP tech é paradoxal, acelera do dirigente é com inteligência artificial, por exemplo, mais multiplica a superfície de ataque e o paciente já sinaliza que falhas de terceiro, num exime a instituição contratante. Né, então? O conselho precisa discutir firewall, precisa discutir sandbox com a mesma seriedade que discute. A Royal. Por exemplo, né? Então, Tiago, é que ajuste de governança que te parece assim mais importante para as empresas se preocuparem? Em relação a riscos cibernéticos, né, que estão mudando aí o tempo todo? Riscos? Berg, como você falou assim, já tem visto principalmente de terceiros, como uma questão interna, principalmente porque hoje com o Zé service, a gente tem uma gama de. É produtos, nossos serviços, partes operacionais que a gente pode terceirizar. Então, antes do terceiro eu ficava no suporte, hoje não. Existe cada vez mais terceiros dentro das nossas atividades, então o primeiro é fazer uma adudiling como se realmente fosse a do diligin é instrução negócio e não simplesmente uma. Uma questão de Ah, é um terceiro que ele ele tem lá a regulação dele ou ele é ele é responsável pela parte dele? Não é. Isso é muito importante, é trazendo para nossa parte de conselhos, é importante. E para riscos cibernético é importante a qualificação técnica. Então dos conselhos, por exemplo, ou você ter um conselho ou comitê próprio para esse tipo de risco relevante, é como você. É importante você diferenciar ele, porque tem bastante assunto, não dá para tratar com mais um outro tema e que as pessoas que estejam, além de serem da autoadministração. Tenha 11 conselho técnico para isso, então. Pessoal qualificado, gente que entende de cibersegurança, de gerenciamento de risco para riscos cibernético, profissionais da área. É importante você se qualificar tecnicamente, porque o risco cibernético ele é diferente, né? Ele é, ele é. Ele é novo, ele é aprimorado, ele é muito rápido. Então você precisa de pessoal técnico te auxiliando nisso. Então a levar isso para um comitê especial é ter pessoal técnico preocupado com isso, para que você possa fazer um monitoramento adequado desses riscos. Perfeito. Você inclusive mencionou terceirizado às vezes é o quarteirizado quiterizado. Essa cadeia de tecnologia vai longe, né? EE aí Daniele, pô, você enxerga que são as perguntas sobre tecnologia e terceiros que não podem faltar nessa pauta dos conselhos para 2025? Como o Tiago trouxe, né? É essa questão do de tanto o banco central trazer quanto Anbima, né, que também já tem um questionário próprio para terceiros, de é terceiros contratados de tecnologia. Isso não é um assunto novo, né? É, na verdade, já tem aí uns 4 aninhos que todo mundo devia ter um cuidado maior nesse tipo de contratação. Seja sobre aspeto. Técnico seja sobre atendimento da demanda, né? Mas aqui é quando eu penso em conselho, eu penso em 3 pilares, né? Que deveria ser avaliado? A continuidade do negócio é se esse provedor tem como te atender, manter AO os seus padrões internos. É se ele dá conta de um problema com de incidente, de segurança, de informação, é quais são os padrões deles, né? Se ele está subcontratando e você só está vendo um pedaço da história. O ponto da reputação da empresa, né? Que fica atrelada a esse terceiro ou eventual problema é que possa ocorrer, então quem responde, né? Quando o terceiro expõe os seus dados, compromete a nossa operação. É hoje quando eu abri um celular de manhã, né? Apareceu que é uma instituição enorme, teve vazamentos de dados em março, como ele colabora seus clientes? Mas os saldos no baza e o resto, né? Quem responde por isso foi, é. Foi o terceiro que bazou começou, aconteceu. E a conscientização de que existe uma responsabilização dos executivos e dos conselheiros não é em relação à? Decisões mal tomadas, contratações mal feitas, é. E que não estejam em em aderência aos nativos, né? Isso é uma coisa que há pouco falava. A Liberdade é seja em ambientes de de palestras, congressos e et cetera. Mas existe um vínculo ali do CPF desse conselheiro. Em relação a algumas tomadas de decisão ou coisas que ele deveria ter visto, né? E hoje é uma coisa que tem sido trazida cada vez mais pelos reguladores de e é o board com isso, né? É o que que está acontecendo. Então saiu um pouco da área técnica, é e entrar, né? Com um olhar só de TI, mas Gil board, olhar essas pautas com prioridades de tratar a tecnologia não só como suporte. Mas parte do negócio, né? E o terceiro com o Thiago disse, né? Ele está rindo Business. Ele não está só no na operação. É ele é uma extensão da empresa, né? Faz parte do que está acontecendo ali. Não é só o Ah, lá na casa do outro. Perfeito. E com esses casos recentes, a gente tem ouvido falar mais nos conselheiros envolvidos, né? Daniele Americanas master agora. É, começa a ganhar mais notoriedade. Sim, porque são os casos que, na verdade, chegam em pontos extremos, né? É mais é no o dia a dia está aí, está acontecendo, né? Quando a gente abre, por exemplo. Os termos de compromisso hoje do banco central, eu nunca vi tanto termo de compromisso em relação à PLD, porque não tem suficiência. De sistemas para tratamento de dados, de parametrização, de acompanhamento, de monitoramento. É então como isso está sendo feito, né? Isso é uma instituição enorme. Perfeito, perfeito. Pessoal, e nós temos aqui o aqui compliance, né, que faz esse monitoramento de de normas e é o que a gente observa ali. É o que todo mundo da área sabe, né, que o Bacen ACVM especialmente, divulgam coisa demais, especialmente o Bacen, né? É 1 o volume de divulgações. Para a equipe média, né? Não só para a equipe média, que é uma equipe enxuta em fintechs IPS, mas também para é para os bancões que a gente visita, né? Que a gente conhece. Que tem equipes ali grandes, mas também tem 111 gama de assuntos muito grande para lidar. É, e aí para cada nova regra dessas que é divulgada, tem um prazo de adaptação e. Até a penalidade para quem perde o trem, né? Pelo menos ali, No No, no que está escrito é e aí, Danielle? Que mecanismos de governança é, na sua visão, encurtam o tempo de resposta das empresas? É, é correr atrás desses prazos, né, sem atropelar os controles. Acho que o Thiago trouxe um pouquinho disso já, né? De existir uma matriz clara de responsabilidades é de alçar das de tomada de decisão, é você mapear o seu processo e entender que os riscos mudam ao longo do tempo, para que também haja um espaço ágil de decisão e de como essas respostas acontecem para esse risco aceitável, né? Comunicação entre as áreas, né? O jurídico, o compliance, área de risco, não, não dá para trabalhar todo mundo segregado assim, conversar com a área de negócio, de TI, da operação, entender o impacto real, né, das normas e de como isso é aplicado ali, né? E o que é mais importante que você trouxe, né, no sentido de que hoje a gente tem uma quantidade de normativos. Num volume. É muito maior do que antigamente, né? E o que isso quer dizer, né? O normativo ele nasce é para proteger alguma coisa. Se existe o acesso de normativos, significa que o regulador entende que existe excesso de desvio. Se não, se a boa prática tivesse acontecendo. Eu não estava precisando de uma regra nova. Se o chocolate vendido, né? A gente está aqui no período de Páscoa fosse chocolate. Não precisava estar escrito lá essa boa chocolate, isso. Então ele vem pra proteger um direito e dentro disso, a melhor coisa que você pode fazer, né, é trazer. Como a norma muda na prática alguma coisa do seu negócio, né? O que ela muda? O que precisa ser alistado tem impacto, é imediato. Não precisa ser só aquela versão do compliance. É informativo, né? De fato, interpretar e estar junto do negócio, né EE? O mostrar ou trazer junto. Como vem essa mudança? É porque, no fim, a pergunta das outras áreas é, que que eu faço com isso na próxima segunda-feira, né? É o que que essa norma quer dizer para mim? Como é que eu aplico isso no meu dia a dia? Se não, vira mais um e-mail, né? Eu vejo muita instituição passa aqui. Ele não existe. Saiu a norma, não sei que XYZ entregou na data total. Impacta na sua área? Cara não sabe, né? Ele nem consegue ler a nova, então tem esse essa conexão, né? Seja linguagem, seja em proximidade, seja ter um olhar mais Holístico. Às vezes é difícil, né? Todo mundo tem dia a dia pesado. A norma está saindo, mas a vida também está acontecendo. Tem um incêndio, tem urgência. É, você tem um trabalho da familiar, mas de tentar encontrar um espaço, ainda que seja um comitê ou periodicamente, para todo mundo conseguir debater isso em diversos graus, né? Então acho que. Se é que há um segredo, né? Seria aí, né? Enxergar é que que eu faço com isso aqui. Perfeito, perfeito e Thiago Na Na. Na sua visão, na operação, que rotina que transforma essa nova norma que está chegando em procedimento de preferência antes de virar finind da auditoria? O que a gente precisa é um pouco igual. A Daniele falou, né? Complementando, é falando de compliance, diárias, de conformidade, anão ser só aqueles positivo, aquele informativo. Então saiu o normativo tal. Hoje a gente precisa que receba, avalie o impacto, né? Estude aquela norma, entenda ela e distribua ela de forma coerente. Obviamente, o profissional de conformidade, nem sempre ele tem o conhecimento técnico para ele saber aonde está cada um, então por isso naquelas ferramentas. De gerenciamento de risco e até algumas a gente já falou aqui são importantes. Então, quando você tem uma matriz de responsabilidades, você sabe que aquele processo chique que está sendo citado na norma, ele é de responsabilidade de tal pessoa. Quando você tem uma matriz de riscos, processos e controles, você já tem tudo mapeado, né? E aonde é que vai o impacto? Quem é que faz aquela atividade aonde muda? Então meio que a gente vai fechando aqui tudo o que a gente falou. Não tenho conhecimento só numa pessoa ter o conhecimento mapeado, porque daí mudou alguma coisa. Eu sei quem são as pessoas impactadas, a responsabilidade, quem faz isso, quem faz aquilo. E aí eu posso analisar a norma, analisar os. Os destrinchar ela e fazer o treinamento a culturamento. Nas pessoas que precisam. E aí eu sou mais ágil e eu sei que eu estou mudando. O que realmente precisa mudar. Então é um trabalho prévio. Depois que a norma saiu, nem sempre dá para fazer esse trabalho. Então é uma formiguinha antes da norma sair. É fazer mapeamento de processos, de riscos, controles, ter tudo isso muito bem mapeado, né? Um sistema que te auxilie com isso. Que tenha lincado esse processo tem a ver com esse parágrafo da norma, com esse parágrafo da norma, porque como a gente falou, é muita norma, muito processo. Imagina num num lugar grande, quantos processos, quantas normas, quanto inter-relacionamento de normas? Às vezes até pra ler é difícil, porque uma norma aceita, outra não ter isso muito bem mapeado, porque na hora que tem a mudança, você já tem todo o Panorama geral, então você consegue ser mais produtivo. Nível mais eficaz do que você lançar a norma e cada um tem que descobrir o que que é que aquilo quer dizer e aonde. Impacto que eu preciso mudar. E aí, monitoramento contínuo, né? Se precisou mudar um processo, então a gente vai revisar. E vai monitorar depois OA mudança dele. Perfeito novamente. Esse. Essa é uma das coisas mais importantes, né, Thiago? Não fazer uma vez e achar que está válido para sempre, né? E ficar engavetado ali. Tem que tá sempre monitorando, não tem jeito. Tá ótimo, e aí, pessoal, para já e para para nossa última questão aqui, olhando um pouquinho para o futuro, né? É ESG entrando aí no Pilar prudencial, inteligência artificial, começando a rede de políticas, interpretar normas, Bass redistribuindo responsabilidades, né? É o Cisne Negro, talvez nem seja tão raro assim, né? Ele está na agenda, a gente só não sabe o que é que. Que é quem que pousa primeiro aí, né? Que que vai chegar antes? Então, Thiago, se pudesse deixar um post-it no laptop do Cro do CROR em 2026, né? Do do do chefe de riscos, que que você escreveria? Eu diria que estamos adiantando um pouquinho aqui, né? Então ainda estamos em abril, mas pensando no segundo semestre e no ano que vem. Eu diria Pra Ele que AA. Agilidade na adaptação desses riscos emergentes e a resiliência da nossa cultura é o que está fazendo a diferença na nossa empresa em 2526. Então, esses são os 2 recados para um mundo cada vez mais ágil, com mais mudanças, com mais novos riscos e que uma necessidade de uma cultura forte para que todos estejam juntos na empresa para se adaptar a essas mudanças. Perfeito, perfeito. E Danielle, que tendência ou norma pode ser o próximo terremoto regulatório na sala de do conselho? No nosso episódio anterior, a gente fez uma pergunta parecida com essa no final pro Eric Barreto, o Eric Barreto falou, olhe, não vou falar em terremoto, vou falar num tsunami, porque pelo menos a gente pode tentar surfar ele. Então te deixo também essa aí. Talvez a gente já tenha uma amostra dele, é que teve uma decisão do judiciário na semana passada nesse sentido, né? Quem responde pela decisão automatizada da sua IA, da sua é, dos seus processos, que gerou viés ou exclusão, né? A gente teve artesanal semana passada. É com 200000 BRL de multa por conta disso num algoritmo. De processo seletivo. E concordo com você em relação a isso de a gente vai ter agora mais evidência, né? Mais Lastro, mais processo. E daí vai aparecer o iesse **** é de verdade o que não é. E o regulador questionando ali o conselho, né? E o aumento dessa responsabilidade natural de quem sabia, quem entendeu, quem acompanhou foi todo mundo omisso é, vai responder pelo negligência ou ter visto e não ter acompanhado. Então como fica, né? As decisões ou não tomadas de decisões, eu acho que o grande terremoto. Eu vejo mais como terremoto, porque eu acho que vai ser difícil surfar. Explicar pra eu não olhei pra isso, né? É, eu não fui de gente nesse sentido. Eu não consegui. Prever esse tipo de coisa. Se você está num conselho que em tese é você está ali habilitado e com uma excelente formação para dar esse direcionamento, então, com justificar, né? É? Se eu sabia, não entendia, acompanhei. E, bom, como? Como o tsunami, pelo menos fica aí o aviso, então você você acha que é algo que dá para as empresas tomarem mais cuidado, né? Os sistemas que elas utilizam EEOEO grau de autonomia é que elas dão. Para as ferramentas de Arc estão aí cada vez mais presentes, né? Para todo lado. Eu acho que tem que ter mais diligência na tomada do risco, né? Entender que quando você implementa é automação de alguma coisa, você pode estar correndo um risco adicional. Que não é necessariamente só o vazamento, né? De viés de exclusão, de aspectos que não são só legais, né? Tem aspectos que são éticos também. E que hoje é. A gente vê muito julgamento hoje, né? Principalmente do regulador. O regulador quando julga, ele não julga o que aconteceu há uma semana, ele julga o que o que aconteceu há 5 ou 10 anos. Então a gente vê julgamentos hoje que de repente tem condenações de coisas que nem eram discutidas na época, é que não necessariamente trazem a regra atual, mas trazem o conceito ético, né? Que você só enxerga depois, né? O que já desdobrou e no momento que você implementa uma h para alguma coisa é e gerou um viés, ou criou critérios que você não previu ou é, por exemplo, uma concessão de crédito, né? Ou contratação. De alguma coisa ela é, não teve uma previsão de algo. Você só sabe depois, né? Você não consegue mapear tudo agora? Então esse monitoramento, né, com o Thiago, trouxe constante desses riscos. Vai te dando uma dica dessa calibragem de quando você pode voltar atrás com seu risco está muito alto. É de quando o risco para o sistema inteiro está muito alto. Perfeito, Thiago. Algo acrescentar nesse ponto? Não, perfeito. É isso mesmo. Eu acho que a chave é esse monitoramento e essa atenção, essa essa tomada de responsabilidade dos conselhos. É, a gente tem visto que a grande questão é que tem gente que não entendia qual era a função dele ali no conselho. É, isso é importante. Tá ótimo. Pessoal, é isso então que a gente fecha mais um episódio aqui. Agradeço muito ao Thiago, a Daniele pela presença com a gente hoje convido a todos que estão ouvindo que conheçam o trabalho do Thiago, da Daniele, tem muitos artigos publicados lá na oque que conheçam a intento, compliance e é essencial GRCEO recape aqui. Que conselhos que só assinam atas estão ficando para trás, né? Controles internos. E cultura ética vão ter que acompanhar cada vez mais essa transformação digital. Todas e o post-itzinho do Thiago ali Na Na mesa super-relevante para ninguém esquecer. É curtir o episódio. Segue aí nas nas redes todas, avalia, compartilha e lembrando que lá na o k.com.br se encontra a maior biblioteca de conteúdo de compliance e você tem acesso também ao k compliance com inteligência artificial. E especialistas? Dando aí 11 nova cara para esse compliance que está se desenhando. Obrigado, até a próxima. Obrigada, pessoal, é um prazer.