“No conceito de diligência apropriada não se espera buscas impossíveis ou a utilização de uma bola de cristal, mas a adoção de uma investigação mais aprofundada o possível, para a busca do maior número de informações sobre o terceiro e, em casos mais críticos, a pessoas a ele relacionadas.”
Seu processo de gestão de riscos no relacionamento com terceiros é efetivo? Suas diligências são apropriadas? Ou são inefetivas a ponto de deixar sua organização exposta a riscos de compliance?
Se você tem dúvidas em relação a isso, há três caminhos complementares:
- Ler esse artigo até o final;
- Conhecer o e-book Gestão de Riscos de Terceiros e Due Diligence de Compliance;
- Conhecer o Compliance Drive, uma experiência em Due Diligence.
Quem são terceiros?
Conforme a OCDE, terceiros são todas aquelas pessoas, físicas ou jurídicas, externas a uma organização, que se relacionam com a mesma e atuam em parceria, para que os seus objetivos sejam alcançados, como fornecedores, prestadores de serviços, clientes, parceiros comerciais, entre várias outras categorias de stakeholders externos.
Por que terceiros são indispensáveis?
As organizações dependem cada vez mais do relacionamento com terceiros, tanto para atender a demanda de produtos e serviços cada vez mais específica de seus clientes, quanto para escalabilidade de suas vendas e operação. Em síntese, os mais diferentes motivos levam uma organização a buscar o relacionamento com terceiros, de diversas naturezas, como redução de custos, especialização e know how, agilidade nas entregas, melhor e maior rede de relacionamento, exposição de marca, maximização das vendas, escalabilidade da operação, aumento de portfólio, entre vários outros.
Terceiros podem ser sinônimo de ameaças?
Os terceiros que podem trazer inúmeros benefícios, conforme mencionado, podem expor as organizações a diferentes riscos. Em se tratando de riscos de compliance, as legislações anticorrupção (Lei 12.846/2013, FCPA, UKBA, etc.) abordam que terceiros os quais pratiquem atos lesivos à administração pública, em nome próprio, mas em benefício de um contratante, geram também a responsabilização deste.
Também legislações vêm sendo publicadas para estabelecer a responsabilização de pessoas jurídicas por atos de terceiros, quando relacionadas a condutas lesivas de diferentes naturezas, tais como proteção ao meio ambiente, prevenção à lavagem de dinheiro, proteção a dados pessoais, entre outras.
Um cenário que vai além dos riscos de compliance?
Importante esclarecer que os riscos não se limitam a compliance, mas também de natureza cibernética, operacional, reputacional, financeira, estratégica, entre outros. Em complemento, a obrigação de melhor gerir não somente terceiras partes, mas toda a cadeia de produção se torna uma realidade no mundo.
Em destaque, nesse sentido, foi publicada em junho de 2022, na Alemanha, a Act on Corporate Due Diligence in Supply Chains, a qual estabelece que empresas devem realizar uma rigorosa diligência relacionada a riscos de violações a direitos humanos e danos ao meio ambiente, em suas cadeias de suprimentos. A norma será aplicada a partir de 1º de janeiro de 2023, às empresas sediadas na Alemanha ou no exterior, com escritórios ou filiais na Alemanha, que tenham mais de 3.000 funcionários.
Como estabelecer uma efetiva gestão de terceiros a partir de diligências apropriadas
Casos frequentes de violações praticadas por terceiros e responsabilização de empresas que os contratam, as quais possuem um robusto Programa de Compliance, demonstram que as diligências realizadas na contratação e monitoramento dessas terceiras partes não foram suficientemente apropriadas e que a gestão de riscos de terceiros não é efetiva.
Por outro lado, a recomendação é que as empresas invistam mais na estruturação de um efetivo processo de gerenciamento de riscos no relacionamento com terceiros. Os seguintes passos poderão ser observados:
1º passo: mapeie os terceiros
2º passo: agrupe e classifique os terceiros por níveis de risco (risk-based approach)
3º passo: estabeleça diligências prévias e de monitoramento apropriadas aos riscos
4º passo: estabeleça um processo de gerenciamento de riscos
5º passo: documente, registre e esteja pronto para auditorias
Conclusão
Muitas organizações sequer se atentaram para os riscos decorrentes do relacionamento com terceiros, e em outras as diligências prévias à contratação de terceiros têm se mostrado ineficientes a ponto de detectar informações relevantes.
A definição de uma abordagem baseada em riscos é fundamental e há meios de tornar esse processo sustentável, ágil e ainda mais efetivo.
Quer conhecer mais sobre como estruturar esse processo? Leia o e-book Gestão de Riscos de Terceiros e Due Diligence de Compliance;
Por fim, exatamente por entender essa necessidade, as organizações buscam automatizar o fluxo desse processo de ponta a ponta, com o apoio de soluções de tecnologia desenvolvidas para complementar, ou até mesmo substituir a atividade humana, e reduzir o tempo de trabalho. Isso pode suportar mais rápido a tomada de decisão e auxiliar no gerenciamento dos custos.
E o Compliance Drive pode ser essa solução…
Imagem: unDraw
Artigo por Matheus Cunha, sócio e CEO da T4 Compliance, uma consultoria especializada em soluções inteligentes de Governança, Riscos, Compliance e Data Privacy. Advogado com mais de 15 anos de atuação em empresas nacionais e internacionais. Eleito em 2019, 2020 e 2021 como um dos consultores de compliance mais admirados do Brasil pelos seus pares, na pesquisa Compliance On Top.
