Ter um programa de compliance se tornou um requisito essencial para empresas que, de fato, prezam pela ética e a conformidade com as leis. No entanto, muitas não sabem por onde começar. É nesse sentido que se torna fundamental o entendimento da análise de riscos e como implementá-la.
O Mapeamento de Riscos de Compliance (Compliance Risk Assessment – CRA) é o processo necessário para validar o compliance empresarial e garantir a sua eficácia. Por isso mesmo, é uma das etapas mais complexas na instituição de um programa de integridade.
Essa análise de riscos é feita em alguns passos básicos, que identificam problemas potenciais de conformidade, de acordo com as características e particularidades de cada organização. A seguir, explicaremos cada um desses passos e como aplicá-los. Continue a leitura para saber mais!
Passos para fazer a análise de riscos
Conheça suas regras internas e normas legais
Cada organização pode se submeter a normas ambientais, jurídicas e fiscais diferentes, de acordo com seu mercado de atuação, tamanho, entre outras características. Por isso, a primeira coisa a se fazer é estudar todas as normas e regras que a empresa está sujeita.
Estude cada uma dessas normas e entenda quais são suas implicações práticas. É importante, por exemplo, observar a lei anticorrupção brasileira e outras normas internacionais, principalmente se a companhia tem negócios no exterior. Não se esqueça de conhecer bem o código de conduta ético da própria organização.
Construa uma grade e fatores de riscos
Todas as informações coletadas no passo anterior podem ser agregadas em uma grade única. Ela pode conter as fontes e todas as normas a serem consideradas. A partir daí, numere todos os fatores de riscos, de modo que eles possam ser identificados e comparados posteriormente. Essa grade vai servir de guia sempre que for preciso refazer a análise de riscos.
Faça uma matriz de impacto e probabilidade
Esse passo também é variável de acordo com cada organização, pois um risco pode ter um impacto enorme para uma empresa e ser insignificante para outra. Assim, cada risco potencial deve ter seu impacto avaliado conforme as suas consequências.
Elas podem ser de ordem financeira, afetando as receitas ou o faturamento, até de ordem jurídica, com implicações legais. Alguns riscos impactam, ainda, a imagem da companhia ou podem abalar a confiança do mercado. Em alguns casos, o impacto é tão grande que pode comprometer a própria continuidade da empresa.
Classifique o grau de risco inerente de todos os fatores
Alguns riscos são inerentes a empresa, por conta de sua atividade ou mercado de atuação, independentemente da realização de todos os controles mitigatórios possíveis. Nesse caso, são considerados apenas a cultura e o ambiente organizacionais.
Assim, é preciso avaliar o impacto e a possibilidade de ocorrência de cada fator de risco, com base no grau de risco inerente. Para tanto, pode ser usada a matriz apresentada anteriormente. Essas informações podem ser inseridas em um gráfico, no qual se compara a probabilidade e o impacto.
Planeje entrevistas com cada área da empresa
As entrevistas são muito importantes para se conhecer os riscos inerentes de cada área da organização, uma vez que, como é de se imaginar, elas não estão sujeitas aos mesmos riscos de não conformidade.
Dessa forma, antes de conduzir as entrevistas, planeje o que vai ser perguntado e para quais áreas. Avalie a necessidade de realizá-las individualmente, com cada gestor ou em duplas e grupos. Mesmo que mais demorado, pode ser interessante consultar um a um para se entender melhor os diferentes riscos.
Realize as entrevistas para classificar os riscos
Ao conduzir as entrevistas, o agente de compliance e os gestores ou process owners devem acordar uma classificação de impacto e probabilidade para o grau de risco atual. Isso significa que devem ser considerados os controles e as medidas mitigatórias que já estão sendo adotados pela empresa.
Além disso, juntos devem criar uma classificação de risco inerente e apontar o grau de risco e a probabilidade de cada um deles. Esse passo da análise de riscos é importante para a compreensão do que a empresa tem feito até então e que poderá servir de base para outras medidas.
Crie uma matriz com o grau de risco desejável
A partir das entrevistas realizadas em cada área, em seguida, deve ser criada uma matriz para representar o impacto e a probabilidade de ocorrência que são desejáveis (ou aceitáveis) para cada risco. Os fatores de risco devem ser situados nos quadrantes em que devem ser movidos após a aplicação do plano de ações.
Nessa etapa da análise de riscos, você já pode comparar as 3 matrizes com os graus de risco inerente, residual e desejável. Assim, pode identificar o momento em que está a organização em comparação com os diferentes riscos de compliance e entender em que nível ela se encontra para poder propor ajustes na estratégia definida.
Acompanhe a implantação de ajustes de medidas
O último passo da análise de riscos é importante para controlar se todos os outros passos acordados nas entrevistas e durante a preparação das matrizes estão sendo, de fato, adotados.
Nessa fase de implantação de um programa de compliance podem surgir diversas medidas mitigatórias novas, que devem ser acompanhadas de perto. Entre elas, pode-se propor desde a realização de treinamentos, a adaptação de campanhas de comunicação interna, reestruturação de áreas e processos, criação de novas políticas e procedimentos.
A verdade é que a análise de riscos, mesmo sendo uma etapa inicial de um programa de compliance, pode e deve ser realizada constantemente na organização. Pois, ao mesmo tempo, ela serve para verificar a efetividade das medidas que já estão sendo adotadas.
Por fim, devemos destacar a importância de se entender a fundo a organização. Afinal, não dá para fazer uma análise de riscos sem conhecer a história, a cultura, os objetivos, o perfil dos diversos stakeholders e tudo que as lideranças pretendem conquistar. Portanto, se for preciso, faça antes uma investigação minuciosa sobre esses fatores estratégicos.
Gostou de saber como funciona a análise de riscos? Quer entender melhor como implementá-la em sua empresa? Então, baixe o e-book Compliance Risk Assessment em 8 passos, que foi escrito pelo Bruno Bandarovsky, professor da LEC!
