A gestão de riscos em 2026 já não pode limitar-se a identificar ameaças isoladas ou a cumprir enquadramentos formais. O contexto atual exige uma gestão integrada, dinâmica e orientada para a tomada de decisões.

Estes são os dez desafios que marcarão a agenda das organizações este ano.

1. A aceleração tecnológica supera os enquadramentos de controlo

A adoção de IA, automação e serviços digitais avança mais rapidamente do que a capacidade de os avaliar, documentar e governar adequadamente.  O melhor exemplo disso é a utilização de IA não autorizada (a chamada “shadow IA”), em que os colaboradores utilizam IA no seu dia a dia sem supervisão ou controlo… e sem terem consciência de que estão a infringir a lei.  Para se atualizar sobre este tema, é necessário:

• Dispor de uma política de utilização de IA para os colaboradores e divulgá-la.
• Realizar um inventário das ferramentas de IA mais utilizadas (talvez priorizando as áreas de gestão de pessoas e marketing).
• Com base no inventário anterior, validar em que casos pode haver “fuga de informação” para países que não garantem a proteção de dados confidenciais ou pessoais.
• Estabelecer mecanismos de revisão periódica (ou, melhor ainda, automática) de que a política de IA da empresa está a ser cumprida.

2. Pressão regulatória crescente

Seguindo a tendência dos últimos anos, 2026 apresenta-se como um ano de novas regulamentações, como, por exemplo, em inteligência artificial, sustentabilidade com o novo omnibus, NIS2 (ou equivalentes) de segurança, DAC8 (fiscalidade).  O problema não é haver mais regulação, mas sim que a tendência é claramente a de se basear na gestão de riscos e na necessidade de evidências para demonstrar a conformidade.

A boa notícia é que, se recebe esta newsletter, já faz parte da família Ulises GRC e, certamente, podemos ajudá-lo.

3. Risco de terceiros alargado

Estamos habituados a homologar os fornecedores e a que nos respondam a um questionário de vez em quando.  Em 2026, ser-nos-á exigido automatizar e alargar estes requisitos… Por isso, é interessante irmos “segmentando” os fornecedores em função da sua criticidade e, com base nessa classificação, estabelecer quais são os mínimos a exigir para as diferentes normativas (IA, sustentabilidade, penal, packaging, etc…).

Recomendamos também reservar tempo para rever as cláusulas que temos com eles, de forma a que nos permitam auditá-los ou enviar-lhes os questionários de que necessitamos.

4. Cibersegurança como risco de negócio

Antigamente, o “phishing” ou as usurpações de identidade para roubar dados eram muito básicas. Todos conhecemos os casos do príncipe africano que lhe dá a sua herança, etc… Em 2026, vão consolidar-se os ataques bem direcionados, em que até se pode imitar a voz do CEO (ou um vídeo) da empresa a solicitar uma transferência, por exemplo. Já não a nível empresarial, mas a nível pessoal, ainda não estamos preparados para este tipo de ataques tão personalizados.

5. Automatização da conformidade

Em 2026, começaremos a ver uma mudança, especialmente em grandes empresas, em que passaremos da conformidade formal para um acompanhamento automatizado dos riscos. O que significa isto? As grandes empresas começarão a analisar, em tempo real, as suas transações e operações internas, à procura de padrões de fraude, de incumprimento ou de más práticas… As vantagens são evidentes, embora, até agora, a automatização destes processos exigisse muita “consultoria” e processos “ad hoc”.

Em 2026, viveremos uma transformação em que se aproveitarão as vantagens da interligação de dados digitais para encurtar significativamente o período de implementação deste tipo de indicadores.

Estaremos atentos…