O advogado da P&B Compliance Henrique Starck escreve um breve artigo sobre “Compliance Risk Assessment” (mapeamento de riscos de compliance). Trata-se de um procedimento para as organizações que prezam pela eficiência gerencial dos seus negócios, pela ética e, principalmente, pelo seu estado de conformidades com as regulamentações.
O Compliance Risk Assessment – CRA (em livre tradução: mapeamento de riscos de compliance) é uma realização necessária para as organizações que prezam pela eficiência gerencial dos seus negócios, pela ética e, principalmente, pelo seu estado de conformidades com as regulamentações.
O CRA é um processo utilizado para descobrir inerentes riscos de compliance de uma organização. A realização do mapeamento de riscos tem o objetivo de eliminar incertezas e imprevisibilidades que atrapalham na gestão de uma organização, independentemente do setor atuante e do seu tamanho.
O mapemanto de riscos é um instrumento de validação do Compliance Empresarial, porquanto é responsável por categorizar os riscos de integridade de uma organização, como: corrupção, fraude interna, fraude em licitações, conflito de interesses, lavagem de dinheiro, não conformidade regulatória, concorrência desleal, insider trading, infrações nas relações de trabalho, tributário, ambiental, etc.
O CRA é um dos principais pilares de um Programa de Compliance e um dos requisitos a serem considerados pelas autoridades na avaliação da efetividade das medidas de integridade de uma empresa, especialmente para redução de sanções.
Uma análise de risco de Compliance garante expertise às organizações sobre como direcionar os seus esforços e investimentos para resolver problemas de grande relevância, principalmente aqueles relacionados à saúde financeira ou à imagem da organização.
É um atrativo que permite à empresa atrair novos negócios, melhorar seu ambiente e qualidade de trabalho, detectar fraudes para reduzir prejuízos por ilícitos, além de facilitar a participação em contratações públicas, a aprovação de créditos, financiamentos, etc.
Em que pese os benefícios, um Compliance Risk Assessment mal executado dificulta à organização que tenha produtividade, tranquilidade financeira, controle sobre a sua produtividade operacional e, principalmente, previsão sobre os riscos de integridade.
Há diversos standarts de avaliação de riscos no mercado, tais como o COSO (Committee of Sponsoring Organizations of the Treadway Commission) e ISO 30000 (Gestão de risco). Por padrão, divide-se a metodologia de riscos em 7 passos:
1º Passo – Conheça a sua organização: O confector de um CRA precisa conhecer profundamente sua organização. Precisa entender a história, cultura, clientes e fornecedores, atividade operacional, liderança, perfil dos colaboradores etc.
2º Passo – Conheça a jusrisdição atinente à organização: É necessário compreender quais leis se aplicam a organização para entender os possíveis riscos, bem como é necessário acordar com a alta administração sobre quais riscos que a organização espera gerência. A fins de estudo, citamos a Lei Anticorrupção, FCPA, UKBA, Lei da Lavagem de capitais, Lei de defesa e concorrência, Código de Conduta etc.
3º Passo – Elaboração da grade de riscos: Deve ser elaborado uma matriz de riscos prévia que classifique a probabilidade de ocorrência do risco e o seu impacto à organização. A classificação deve interpretar os riscos como inerentes, desconsiderando os controles mitigatórios existentes.
4º Passo – Realização de entrevistas: Identifique as áreas afetadas nos processos atribuídos aos riscos e selecione os seus gestores para entrevistas. A gerência escolhida deve criticar a classificação dos riscos inerentes e apontar as medidas mitigatórias existentes para cada risco. Após, o entrevistador deve acordar com o entrevistado sobre a nova classificação dos riscos aplicando os controles existentes, para que seja elaborado a matriz de riscos residuais.
5º Passo – Plano de ação: É necessário a criação de um plano de ação com intuíto estabelecer e implementar novos controles ou formas aprimoramento dos existentes, a fim de mitigar os riscos residuais encontrados.
6º Passo – Elaboração da Matriz de Risco target: Crie uma matriz que represente graficamente a classificação de impacto e probabilidade dos riscos desejáveis. Os riscos desejáveis são aqueles em que a organização pretende estar apta a aceitá-los após o aprimoramento dos seus controles. Recomenda-se que seja situado as matrizes gráficas de riscos lado a lado, para visualizar melhor a evolução dos controles.
7º Passo – Monitoramento: É necessário monitorar a execução do plano de ação para que os riscos residuais transformem-se em riscos target/desejáveis pela organização.
A P&B Compliance é uma consultoria altamente qualificada e especializada em elaboração e implementações de Projetos de Integridade Corporativa. A ampla experiência e profissionalismo em seus quadros garante vasto conhecimento sobre as normas nacionais, internancionais e riscos, aperfeiçoando sua metodologia de confecção de uma análise de risco de integridade. A P&B Compliance permanece à disposição para qualquer dúvida e esclarecimento sobre o tema.
