A gestão de riscos em 2026 já não pode limitar-se à identificação de ameaças isoladas ou ao cumprimento de estruturas formais. O contexto atual exige uma gestão integrada, dinâmica e orientada para a tomada de decisões.

Estes são os cinco desafios que irão marcar a agenda das organizações este ano.

1. A aceleração tecnológica supera os modelos de controlo

A adoção de IA, automação e serviços digitais avança mais rapidamente do que a capacidade de avaliá-los, documentá-los e governá-los adequadamente.

O melhor exemplo disso é o uso de IA não autorizada (a chamada “shadow AI”), em que colaboradores utilizam ferramentas de IA no seu dia a dia sem supervisão ou controlo… e sem terem consciência de que podem estar a incumprir a legislação.

Para acompanhar esta realidade, é necessário:

• Dispor de uma política de utilização de IA para os colaboradores e comunicá-la internamente.

• Realizar um inventário das ferramentas de IA mais utilizadas (priorizando, por exemplo, as áreas de recursos humanos e marketing).

• A partir desse inventário, verificar em que casos pode existir transferência de informação para países que não garantem a proteção de dados confidenciais ou pessoais.

• Estabelecer mecanismos de revisão periódica — ou preferencialmente automática — para verificar o cumprimento da política de IA da empresa.

2. Pressão regulatória crescente

Seguindo a tendência dos últimos anos, 2026 apresenta-se como um ano de novas regulamentações, como por exemplo:

• Regulamentação de inteligência artificial

• Sustentabilidade (novo pacote “ómnibus”)

• NIS2 ou equivalentes em cibersegurança

• DAC8 em matéria fiscal

O problema não é apenas o aumento da regulação, mas o facto de estas normas se basearem cada vez mais na gestão de riscos e na necessidade de demonstrar evidências de cumprimento.

A boa notícia é que, se está a receber esta newsletter, já faz parte da comunidade Ulises GRC — e certamente podemos ajudá-lo neste caminho.

3. Risco de terceiros ampliado

Estamos habituados a homologar fornecedores e a pedir-lhes que respondam a um questionário ocasionalmente.

Em 2026 será necessário automatizar e ampliar estes requisitos.

Por isso, é recomendável começar a segmentar os fornecedores de acordo com a sua criticidade e, com base nessa classificação, definir os requisitos mínimos exigidos em função das diferentes regulamentações (IA, sustentabilidade, responsabilidade penal, packaging, entre outras).

Também recomendamos reservar algum tempo para rever as cláusulas contratuais existentes, de forma a garantir que é possível:

• auditar os fornecedores

• ou enviar os questionários necessários de forma estruturada.

4. Cibersegurança como risco de negócio

Antigamente, os ataques de phishing ou de suplantação de identidade eram bastante rudimentares. Todos conhecemos os casos clássicos do “príncipe africano” que prometia uma herança.

Em 2026 irão consolidar-se ataques muito mais sofisticados e direcionados, nos quais pode até ser simulada a voz do CEO — ou mesmo um vídeo — para solicitar uma transferência ou tomar decisões urgentes.

Não só as empresas, mas também as pessoas, ainda não estão totalmente preparadas para este tipo de ataques personalizados.

5. Automatização do compliance

Em 2026 começaremos a assistir a uma mudança — especialmente nas grandes empresas — passando de um compliance meramente formal para um acompanhamento automatizado dos riscos.

O que significa isto?

As organizações começarão a analisar, em tempo real, as suas transações e operações internas para identificar padrões de fraude, incumprimento ou más práticas.

As vantagens são claras. Até agora, no entanto, a automatização destes processos exigia muita consultoria e soluções altamente personalizadas.

Em 2026 veremos uma transformação significativa, aproveitando a interligação dos dados digitais para reduzir drasticamente o tempo necessário para implementar este tipo de indicadores.