A elaboração de risk assessment tem grande relevância para a estruturação e aprimoramento de programas de compliance efetivos. O risk assessment pode ser compreendido como a identificação e mapeamento dos riscos aos quais uma companhia está exposta, portanto, permitindo que a companhia tenha uma real visão dos temas que precisa e deve empreender seus maiores esforços para evitar riscos.
O relatório de risk assessment permite que a companhia compreenda e decida quais medidas preventivas e mitigatórias precisam ser adotadas, bem como atribua as responsabilidades relacionadas de forma adequada. Sejam elas com maior ou menor rigor, a depender do apetite de risco e exposição que esteja sujeita.
Traduz-se em um mapeamento e análise de riscos de condutas que a empresa não deseja que sejam praticadas por seus colaboradores ou terceiros que se relaciona. Condutas essas que reverberam em impactos reputacionais negativos, prejuízos financeiros e responsabilizações que podem ser de diversas naturezas.
Leia também: Compliance as a service: a inovação nas mãos do CCO
Ademais, ao evitar a ocorrência de determinadas condutas, a empresa é capaz de garantir que os valores e princípios que adota sejam replicados em toda sua cadeia de valor e que o Programa de Compliance alcance seu objetivo. Colocando ao seu alcance, a identificação de pontos de aprimoramento e melhoria de sua maturidade.
Vale resgatar que um dos próprios pilares de um programa de compliance efetivo é a avaliação continuada de riscos. Segundo orientações da Controladoria Geral da União (CGU), no manual “Programa de Integridade Diretrizes para Empresas Privadas”, mantém em evidência a necessidade da companhia conhecer e avaliar seus riscos, principalmente, pelo conhecimento dos processos adotados, relacionamento de negócios e interação com o setor público.
Um ponto relevante quanto ao risk assessment que merece destaque é que não basta que ele seja conduzido uma única vez e jamais resgatado. O risk assessment é uma ferramenta importante do Programa de Compliance para análise de riscos, portanto, conforme a evolução ou alteração da operação da companhia, de seus funcionários e terceiros, também reflete na percepção de risco relacionada.
Embora o Decreto nº 8.420/2015, responsável por regulamentar a Lei Anticorrupção nº 12.846/2013, disponha sobre pontos que são indispensáveis para a estruturação de um Programa de Integridade efetivo, incluindo que o programa deve ser avaliado periodicamente a partir de uma análise de riscos que permita a realização de adaptações necessárias, o tema não é novidade. Legislações estrangeiras e mais avançadas no quesito prevenção de riscos e programas de compliance já abordavam o tema.
É o caso da legislação britânica, que possui um guia de medidas preventivas, The Bribery Act Guidance, relacionado à legislação de combate à corrupção UK Bribery Act, que, por exemplo, incluí como o terceiro de seis princípios a condução do risk assessment. A supervisão por colaboradores de nível superior, recursos suficientes, fontes internas e externas de informação, condução de due diligences, são algumas das características básicas de um risk assessment que o guia prevê.
O Bribery Act Guidance ainda destaca que a análise de riscos não serve apenas para identificar e decidir como os riscos podem ser mitigados, mas também examinar se as estruturas e procedimentos internos podem influenciar na percepção do risco, como, por exemplo, a insuficiência de treinamentos e divulgação do programa ou de temas específicos que não foram integralmente compreendidos pelos colaboradores, bem como a própria falta de clareza em alguns procedimentos.
O FCPA Guide também aborda o risk assessment como uma medida preventiva relevante ao combate a corrupção, diretamente relacionado à legislação americana de combate à corrupção, o Foreign Corrupt Practices Act (FCPA). O FCPA Guide aponta que as autoridades americanas avaliarão positivamente as empresas que, de boa-fé, pautarem o seu programa de compliance em uma avaliação de riscos ainda que o programa não previna diretamente ou que não existam controles rígidos relacionadas às situações de baixo risco. Segundo o FCPA Guide, as autoridades compreendem que os esforços dessa empresa estiveram focados e direcionados em riscos mais altos e prioritários ao negócio.
Veja também: Investigações corporativas: riscos e oportunidades
Assim, é natural que uma avaliação de risco eficaz também deve incluir uma imagem clara de como sua organização opera. Em outras palavras, você precisa saber “quem, o quê, onde, quando e como” das operações do dia-a-dia que acontecem na sua empresa.
Destacamos a relevância dos esforços de conformidade serem direcionados diretamente aos riscos mais críticos para o seu negócio. Mas quais são os principais benefícios de conduzir um risk assessment para aprimorar ou implementar um programa de Compliance?
Portanto, é clara a relevância da condução de um risk assessment. Abaixo, listamos 7 motivos pelos quais toda organização deve adotar uma avaliação de riscos:
- Identificar gaps e potenciais riscos
Risco é o efeito (positivo ou negativo) de incerteza nos objetivos e tem como variáveis ameaças, vulnerabilidades, probabilidade, impacto e controles[3]. Para elaboração do Risk Assessment é necessário analisar sistemas e processos de perto, o que permite identificar situações ou fatores de risco que possam ameaçar a companhia. A partir da identificação dos riscos, é possível avaliar quem ou o que está em risco em um processo e como eles estão em risco. Uma avaliação de risco pode, portanto, ser elaborada para analisar a probabilidade de ocorrência de uma crise e, em seguida, permite que você planeje medidas, comunicações e controles internos a fim de mitigar o risco envolvido na atividade.
- Mitigação de danos e direcionamento de esforços
Conhecer os riscos da organização permite que os esforços preventivos de compliance sejam direcionados, prioritariamente, para àqueles que tem maior probabilidade e/ou impacto. Estabelecendo-se um plano de ação e medidas corretivas ou de aprimoramento do programa de compliance, no caso de já estar implementado.
- Oportunidade de melhorias e inovação
Encontrar uma maneira alternativa de como uma operação ou processo pode ser executado com segurança é uma etapa imprescindível do processo de avaliação de risco. Todas as organizações devem se esforçar para a melhoria contínua, de forma que as avaliações de risco não sejam apenas um método para gerenciar problemas, mas também um bom modo de monitorar e medir mudanças e melhorias. Assim, o risk assessment é um instrumento que auxilia o planejamento e implementação de mudanças necessárias aos processos mapeados.
- Vantagem Competitiva
Atualmente, tanto empresas multinacionais de grande porte como entidades públicas e governamentais buscam parceiros de negócios que estejam adequadas às normas e regulações vigentes. Nesse sentido, a adoção de um programa de compliance efetivo baseado na avaliação contínua de riscos torna a companhia mais atraente para novas e futuras oportunidades. Além disso, atua também como um fator reputacional de impacto positivo, uma vez que a chance de uma empresa que avalia seus riscos constantemente ter sua imagem abalada é inferior, pois antecipa eventuais situações que possa estar exposta.
- Redução de multas
A elaboração do Risk Assessment, um dos pilares de um Programa de Compliance efetivo, também pode ser muito importante no caso de a empresa sofrer sanções motivadas pela Lei Anticorrupção. Em seu artigo 7º, inciso VIII, a Lei Anticorrupção adota a existência de programa de integridade (compliance) como um dos fatores hábeis a ensejar a redução da multa aplicável a sociedade empresária por ato de corrupção. Contudo, a aptidão do programa para reduzir a penalidade administrativa vincula-se à especificidade que deve acompanhar sua elaboração, implementação e operação, de modo a que seja qualificado como eficiente. Não se pode aplicar a redução apenas em face da existência formal do programa. É indispensável que este seja avaliado como efetivo, ou seja, capaz de identificar, classificar e combater os riscos de corrupção.
- Contratação com entidades públicas
Recentemente, a Nova Lei de Licitações incluiu como requisito para contratações de grande vulto, a implementação de programas de integridade. Ademais, dispõe que serão considerados na aplicação das sanções “a implantação ou o aperfeiçoamento de programa de integridade, conforme normas e orientações dos órgãos de controle”. Novamente, ressaltamos a importância de se buscar a efetividade do programa de integridade, sendo fundamental para isto o monitoramento contínuo de riscos. O risk assessment é uma das ferramentas para a gestão de um programa de compliance suficientemente implementado e praticado na rotina das empresas.
- Cultivar uma cultura de integridade nos negócios
Conforme falamos, no Decreto nº 8.420/2015, que regulamenta a Lei nº 12.846/2013, contém diretrizes básicas para a implementação dos programas de integridade. Nesse sentido, uma cultura de integridade, capaz de assegurar que políticas e normas éticas da organização estão sendo colocadas de fato em prática, depende do monitoramento constante de riscos. É a partir de uma avaliação periódica de riscos que a empresa desenvolve políticas e procedimentos a fim de aumentar o controle sobre as situações de riscos. Portanto, a implementação de um Programa robusto e efetivo de Compliance atuará na prevenção, detecção e remediação de atos e situações indesejadas.
O incentivo à cultura de integridade é resultado de um risk assessment conduzido de forma a reconhecer os riscos e antecipar de forma crítica as situações que podem expor a companhia. Assim, o Compliance deixa de ser visto como mero engessador de processos, e assume a posição de fortalecimento da liderança, que é capaz de atuar com segurança em situações emergenciais, tendo consciência das vulnerabilidades da organização.
É evidente que a condução do risk assessment resulta em inúmeras vantagens para as empresas no tocante a prevenir riscos e aprimorar a consolidação de um programa de compliance efetivo. Neste artigo destacamos alguns dos motivos e benefícios que devem ser considerados pela companhia para manter a recorrência da análise de riscos.
*Gabriela Ruivo e Nathália Nastri são, respectivamente, advogada e advogada sênior da área de Compliance, Investigações Internas e Privacidade de Dados do WFaria Advogados