Queria falar hoje sobre a avaliação de riscos de ética e conformidade, que deveria ser na minha opinião, uma ferramenta importante no ambiente corporativo, destinada a identificar, analisar e mitigar riscos éticos, de conformidade e reputacionais. Ajudando assim na definição do perfil de risco de uma empresa, através de uma abordagem mais estratégica no tratamento de potenciais ameaças à integridade e ao sucesso da empresa.
Para isto importante começar a conversa com uma definição de risco de ética e conformidade, aonde são entendidos como a ameaça à posição operacional, legal, financeira ou reputacional de uma organização, decorrente de:
- Falha em cumprir leis, regulamentos aplicáveis e padrões internos de conduta ética.
- Comportamentos ilegais ou antiéticos por parte dos indivíduos que trabalham para ou em nome da organização, resultando em danos legais e reputacionais tanto para a organização quanto para esses indivíduos ou outros.
Esta definição abrange uma ampla gama de riscos, incluindo, mas não se limitando a por exemplo: privacidade de dados, suborno e corrupção, conflitos de interesse, integridade financeira e fraude, escravidão moderna e outros tipos de crimes financeiros e de lavagem de dinheiro.
Sendo que esta avaliação destes riscos em específico são parte de um processo mais amplo de gestão de riscos integrados, que pode ser realizada em conjunto com outras avaliações de risco, considerando o impacto potencial dos riscos na capacidade da organização de alcançar seus objetivos estratégicos. Por exemplo, oferecer um suborno para ganhar um contrato pode parecer, inicialmente, uma forma de atingir objetivos de receita, mas pode levar a multas severas, processos judiciais e danos à reputação.
Uma avaliação de riscos eficaz considera vários fatores como:
- Modelo de negócio da organização.
- Localização geográfica das operações.
- Setor da indústria e competitividade do mercado.
- Paisagem regulatória.
- Clientes e consumidores.
- Produtos e serviços.
- Cadeia de suprimentos e terceiros.
- Transações e projetos.
- Maneiras pelas quais os riscos podem se manifestar.
Sendo que é importante diferenciar avaliação de risco de um processo de due diligence, aonde este é um exame detalhado de uma terceira parte e seus registros financeiros, realizado antes de se envolver em um arranjo comercial. Nesse contexto, a avaliação de risco geralmente informa o escopo dos esforços de due diligence em diferentes pontos de um relacionamento com terceiros ou transação.
Não existe uma abordagem única para todas as situações. Uma avaliação de risco geralmente consiste em uma revisão mais ampla da empresa, de cima para baixo, avaliando seus pontos de contato com o mundo externo. Isso inclui o exame das práticas internas, políticas e procedimentos, bem como a análise dos fatores externos que podem influenciar o risco de compliance.
Queria agora dizer por que isto é importante e deve ser feito:
- Compreensão do Perfil de Risco da Empresa: Uma avaliação de risco de compliance ajuda a entender o perfil de risco da empresa, considerando sua indústria, geografia e população de funcionários. Frequentemente, empresas podem estar sujeitas a regulamentações e vulneráveis a riscos sobre os quais sabem pouco. Assumir que se compreende totalmente os riscos pode ser perigoso. Uma avaliação de risco completa pode revelar riscos novos ou mais significativos desde a última avaliação. Um estudo mostrou que a avaliação de risco é uma atividade de alta prioridade, com 46% das empresas planejando conduzir uma avaliação de risco organizacional abrangente nos próximos 12 meses. Poderia ser mais diante da importância.
- Fundamentação para o Programa de Ética e Conformidade: Uma avaliação de risco proativa e sistemática é o primeiro passo importante para criar e manter um programa eficaz de ética e conformidade. Sem ela, o programa pode perder credibilidade, pois não se pode ter certeza de ter: políticas, procedimentos e controles adequados, assim como o treinamento para os públicos certos, além do investimento de recursos no programa. Importante ter a dedicação, prioridade e tempo e esforço alocados para gerenciar e fiscalizar riscos. Sem uma avaliação de risco, não se pode explicar a configuração e a evolução do programa de ética e conformidade.
- Atendimento às Expectativas Regulatórias: As regulamentações de ética e conformidade são numerosas, complexas e variam de acordo com segmento. De qualquer forma as empresas devem adotar um programa de conformidade baseado em risco, fundamentado em uma avaliação rigorosa do seu próprio perfil de risco.
Uma avaliação rigorosa de risco de conformidade ajuda a:
- Entender a exposição da organização a riscos criminais, reputacionais e éticos.
- Projetar um programa eficaz de ética e conformidade.
- Definir a agenda ou prioridades para as atividades de conformidade.
- Conscientizar sobre riscos de conformidade com as partes interessadas envolvidas no processo.
- Realizar uma análise de lacunas.
- Aprimorar procedimentos e controles internos.
- Tomar decisões informadas de gestão de riscos.
- Medir o progresso ou eficácia de iniciativas de conformidade anteriores.
As empresas precisam ser capazes de identificar riscos de ética e conformidade e responder a eles para salvaguardar seu sucesso a longo prazo. Queria sugerir uma estrutura de etapas que ajudará a realizar sua própria avaliação de risco de ética e conformidade, com plano de ação para desenvolver e implementar um programa eficaz de ética e conformidade, que passam pelas seguintes etapas:
1) Planejamento:
Uma avaliação de risco de conformidade requer um planejamento cuidadoso, desde os primeiros passos de como iniciar um processo de avaliação de risco, com a obtenção do apoio da liderança até o envolvimento das partes interessadas e automação. Independentemente da robustez do seu programa atual de ética e conformidade, estas primeiras etapas de planejamento dão uma base sólida para sua prática de gestão de riscos.
2) Implementação:
Com papéis claramente definidos e uma estrutura forte em vigor, esta é a hora de começar sua avaliação de risco, com ferramentas e modelos para identificar, avaliar e mitigar riscos enfrentados pela sua empresa, desde a coleta de dados, até determinar os fatores de risco que desencadeiam riscos.
3) Medida:
Uma avaliação de risco eficaz é dinâmica e deve evoluir juntamente com o seu programa de ética e conformidade e com a sua empresa, que deve avaliar continuamente se seus esforços de avaliação de risco estão alinhados com os desenvolvimentos internos e o ambiente externo da empresa. Monitore seu progresso e certifique-se de repetir e atualizar sua avaliação de risco pelo menos anualmente.
Através deste processo as empresas podem não apenas identificar riscos, mas também desenvolver estratégias proativas para mitigá-los, garantindo assim a conformidade e a integridade ética em um ambiente corporativo em constante evolução, de forma mais ampla e dinâmica de avaliação de risco, para manter a resiliência e a sustentabilidade organizacional frente aos crescentes desafios éticos e regulatórios dos dias de hoje.
Como está ficando longo, vou preparar um segundo post, aonde vou detalhar alguns destes passos a passos de cada uma destas etapas acima. Aguardem em breve.