As empresas e os executivos brasileiros precisam dar atenção aos riscos. E os profissionais de compliance também precisam assumir um papel mais amplo na gestão de riscos
Num ensaio publicado no caderno Ilustríssima, do jornal Folha de São Paulo, no último dia 17 de fevereiro, o sociólogo Zander Navarro discorre sobre o que ele defende ser uma marca que define o povo brasileiro: a complacência. Diz o autor: “É o elo que realmente nos aproxima — uma atitude permanente de complacência, a marca comportamental mais distintiva de todos nós. Uma atitude imanente à subjetividade do ‘ser brasileiro’. Nela encontra-se o farol do cotidiano e o determinante principal que nos permite, como membros da sociedade, atribuir significado às nossas ações. Esse atributo orientador produz desastroso impacto na estruturação da nação, pois impõe, entre muitas outras, duas marcas profundamente negativas: a superficialidade de tudo o que se faz e, sobretudo, o escancarado desprezo social por qualquer reclamo de rigor e precisão. Afeta até mesmo a nossa noção de tempo e a esperança de futuro, pois tudo que puder ser adiado assim será”.
No texto, Navarro aborda o que ele entende serem os processos históricos que, supostamente, nos conduziram a essa condição. A consequência disso, segundo o sociólogo, é que acabamos “(…) permitindo a aceitação envergonhada da impunidade generalizada, em todos os escaninhos da sociedade.” “Não debatemos os fatos como são na realidade, mas sim como desejamos que fossem, uma vez que nem sequer problematizamos a dominante mentalidade mágica e os persistentes autoenganos que nos orientam, desconhecendo o que possa ser o pensamento crítico.”
Sem entrar no mérito acadêmico ou histórico dos argumentos do autor, é importante reconhecer que, como povo, temos sim uma espécie de pré-disposição à complacência e à leniência, que nos torna um tanto quanto permissivos (ou pouco rígidos) no que diz respeito ao cumprimento de regras, normas e procedimentos. É o lado negativo do “jeitinho brasileiro”.
Claro que se trata de uma generalização. Os leitores da LEC certamente representam um grupo de pessoas que, até pela natureza da profissão, tendem a ter outro olhar sobre a conformidade com as regras. Mas, profissionais da área de governança, riscos e compliance precisam compreender que essa nossa formação social configura uma espécie de “risco adicional”, que precisa ser considerado no processo de mapeamento de riscos das empresas. Se existe uma inclinação natural das pessoas para olhar às regras e procedimentos como algo sob as quais podem exercitar, de forma mais ou menos deliberada, algum grau de flexibilidade, o nível de exposição a riscos de diferentes naturezas aumenta junto. Mais complicado ainda é que essa complacência faz com que, via de regra, nós brasileiros não damos ao tema “riscos” a devida importância e atenção que ele enseja, ou deveria ensejar, das companhias e dos seus líderes. Isso acaba por nos deixar um legado repetitivo de situações que, sob um olhar mais frio e distante, não foram obra do acaso ou de uma fatalidade do destino.
Não se trata de ser profeta de coisas feitas. A verdade é que gestores de muitas empresas contam com a sorte muito mais do que com a prudência da prevenção. E isso é um problema nosso. Ninguém nunca espera que o pior aconteça. Mas, é preciso ter em mente que, infelizmente, riscos podem se materializar. E alguns deles têm potencial para se converter em tragédias que seriam, de forma bastante objetiva, evitáveis com uma boa gestão. O desleixo em relação a certos riscos – em especial os de baixa probabilidade – costuma imperar, justamente, até que eles se materizam e os danos são enormes e “todos”, então, se mobilizem para que elas “nunca mais se repitam”.
As empresas brasileiras precisam levar a gestão de riscos a sério. Hoje, são poucas as que tratam disso de forma estruturada.
Uma pesquisa sobre a maturidade do programa de compliance realizada pela consultoria especializada Protiviti, entre abril de 2017 e abril de 2018, com 446 empresas de todos os portes e que afirmam ter um programa de compliance rodando, ilustra muito bem a questão. Apenas 54% delas dizem ter feito um mapeamento de riscos. E dessas, só 52% tem algum plano de ação para executar melhorias em relação aos gaps descobertos no risk assessment.
É provável que uma parcela desse grande contingente que não realizou um mapeamento de riscos antes de estruturar o seu programa de compliance, ainda esteja na fase inicial do processo, tendo optado por começar pela implementação dos pilares mais básicos, fáceis e menos demandantes de investimentos como elaboração de código de conduta, treinamentos, um canal de denúncias interno para, depois desse start, buscar evoluir.
Existem motivos que ajudam a explicar isso.
É possível escrever um bom código de conduta tendo como base exemplos de outras empresas baixados na internet. Não que isso garanta um código perfeito para o seu negócio, mas, é possível estabelecer um documento que cubra os pontos principais relacionados às condutas que a empresa espera dos seus colaboradores. Já um mapeamento de riscos não pode ser “copiado” da internet e simplesmente replicado numa empresa. “Na hora em que você compara com ações como treinamento, ter um canal interno ou montar uma política, fazer o mapeamento dos riscos é mais caro. Por isso, muitas empresas acabam deixando isso para um segundo plano, o que é compreensível”, explica Jefferson Kyiora, sócio-líder de compliance da Protiviti.
Dos pilares do compliance, o risk assessment é aquele que costuma requerer o investimento mais pesado para ser implementado. Costuma demandar o suporte de muitas horas de consultores especializados experientes e um bom tempo na agenda de vários dos principais líderes e executivos da companhia. Isso ajuda a explicar o porquê de isso não ser uma realidade em diversas empresas no Brasil.
Também existem modelos realizados de forma interna, os chamados self assessment, com o uso de profissionais internos especializados. Algumas empresas optam por esse caminho, que dado o nível de especialização dos profissionais necessários, não é necessariamente mais barato.
Não é o fim. É o começo.
Implementar o programa de compliance sem um mapa de riscos, não é necessariamente uma catástrofe, embora, não deixe de ser contraditório que muitas empresas com programas de compliance não tenham um risk assessment. “Elas seguem uma lista de tópicos e elementos importantes: código, treinamento, comunicação, monta o canal e… Aí vem a dúvida: ‘o que eu faço agora?’. Por não ter o diagnóstico, o profissional não consegue planejar os próximos passos”, lembra o sócio da Protiviti.
É nesse ponto que começam os problemas de verdade. Em geral, sem saber o que fazer – ou pior, achando que tudo já foi feito – considera-se que o trabalho está pronto, que a empresa tem um programa de compliance rodando e que não é preciso implementar mais nada. Trata-se de uma leitura extremamente equivocada, mas muito comum. E perigosa.
Sem um bom mapeamento de riscos, é muito difícil saber se o programa, inclusive as políticas e o código de ética, está prevendo os riscos da empresa de forma adequada. Nesses casos, a depender do tipo de negócio, ter um programa de compliance pode representar um risco, como pilotar um carro sem saber que os freios não estão funcionando. “Já lidamos com empresas que achavam que tinha um programa robusto, mas que por ter sido implementado sem o tempo ou o investimento adequados, eram, na verdade, muito falhos”, diz Ian Cook, diretor de desenvolvimento de negócios da Kroll, que também atua nas áreas de risco e compliance.
Pior do que isso, só quando a empresa não vê valor no mapeamento de riscos mesmo. O que também acontece, embora esse seja um fator em claro amadurecimento. Como tudo o que envolve prevenção, é difícil para as empresas – ainda mais em períodos de mercados restritivos – aplicarem recursos em uma área que é difícil de mensurar os resultados, especialmente no curto prazo. “A busca por soluções de governança tem se acelerado e a gestão de risco começa a ganhar peso no Brasil. As empresas estão começando a se dar conta de que ela é mandatória para a sobrevivência dos negócios”, acredita Elcio Benevides, CEO da GRC Solutions, outra consultoria especializada em riscos e compliance.
Como não existe dinheiro e gente para fazer tudo o que precisa ser feito, é preciso direcionar os parcos recursos de forma bem pensada. E o mapa de risco é o que dá ao profissional o mapa da mina. O fato de o compliance no Brasil ainda estar muito direcionado ao tema de anticorrupção reforça a necessidade de um bom mapa de risco, que pode mostrar que o mais importante naquele momento é estabelecer uma forte política de combate ao assédio naquela empresa, mais do que uma política de relacionamento com agentes públicos.
O risco no ambiente corporativo brasileiro
O mapeamento de riscos é um dos pilares que permite ao gestor de compliance atuar de forma preventiva. Numa cultura reativa como é a brasileira, somada ao atual momento econômico, entende-se a dificuldade de conseguir os recursos adequados necessários para a realização de um bom risk assessment. “Sou muito mais procurado pelos clientes para fazer investigações do que para estabelecer um trabalho preventivo”, lamenta Ian, da Kroll. O executivo diz em comparação com outros mercados nos quais a empresa atua, existe uma procura muito maior relativa à prevenção. E o relatório global de riscos da empresa 2018 mostra isso.
Também falta maturidade das empresas para entender que existem riscos de diferentes naturezas que precisam ser endereçados. Alguns muito atrelados a determinadas áreas da companhia e outros tradicionalmente transversais, caso dos riscos de compliance. “Tem um paradigma muito grande sobre o que é risco. Tudo numa empresa gera riscos”, pontua Elcio, da GRC.
No mundo ideal, riscos, compliance e auditoria interna deveriam funcionar como áreas independentes. “Numa área dedicada à gestão de riscos, existem profissionais focados em olhar os riscos do negócio como um todo, de A até Z. Por exemplo, a incapacidade de reter talentos ou de não acompanhar as inovações são riscos relevantes para a empresa. O que isso tem a ver com o compliance? Nada, são riscos estratégicos, do negócio. Em tese, isso não estaria na no escopo de atuação dele, mas estaria no escopo de alguém dedicado a riscos. Os riscos de compliance são parte dos riscos de negócios, mas não são os únicos”, explica o sócio da Protiviti.
O desafio dos profissionais
Dito isso, como as duas áreas se conectam então? Porque tem sido comum que o mesmo profissional cuide das duas áreas. E ele precisa conseguir mapear os riscos de compliance, que devem ser sim a sua prioridade, mas, também conseguir entender os riscos de negócios e endereçá-los às respectivas áreas.
Fazer uma avaliação de riscos, mesmo que ela diga respeito apenas aos de compliance, não é uma tarefa fácil por diferentes motivos. Existem técnicas e metodologias que são bem específicas e ainda não compõem a caixa de ferramentas de boa parte dos profissionais de compliance, especialmente os mais novos. Não é uma planilha de Excel, ou um framework qualquer que vai garantir o correto mapeamento dos riscos. “Às vezes, vejo profissionais em grupos de compliance no Whatsapp perguntando se ‘alguém’ tem um modelo de risk assessment. Isso me preocupa”, conta Ian Cook. É preciso conhecer muito bem a empresa, o negócio e o setor de atuação para conseguir fazer as perguntas certas, que vão permitir construir um mapa de riscos fidedigno à realidade daquele negócio. “Um bom programa de compliance entende quais são os reais riscos para o negócio e, mais importante, busca mitiga-los de forma que o negócio possa continuar a funcionar”, reforça o executivo da Kroll. Se essa primeira fase não for bem feita, daí para a frente será como navegar sem instrumentos. Ou então, navegar com tantos instrumentos que eles podem confundir, se anular ou travar a operação.
Além do bom conhecimento do negócio, ter uma visão de fluxos, processos de produção e de informação ajuda na hora de fazer um bom risk assessment. Esse não é um gap apenas de profissionais de compliance. Em graduações de engenharia ou administração não é comum ter matérias que falem de entendimento de processos, como se monta um fluxograma e, menos ainda, de como se mapeiam riscos. “O conhecimento de mapeamento de riscos é tipicamente obtido em cursos de curta duração ou cursos mais específicos”, lembra Jefferson, da Protiviti, para quem o tema tem despertado interesse dos compliance officers, levando ao aumento na busca por essa capacitação. Também é importante que os profissionais de compliance busquem apoio de colegas em outras áreas da empresa, que podem ajudá-los, justamente, na estruturação dos processos e da preparação para o mapeamento dos riscos.
Existem modelos como a ISO31000, COSO, Business Impact Analysis (BIA) e metodologias que podem ser aplicadas a riscos de diferentes naturezas. Mas, essa é a parte que diz respeito ao conhecimento técnico específico, que pode ser obtida com o estudo teórico. Como em qualquer outro trabalho (nesse caso, talvez mais do que a média), quilometragem conta. “O nível de profundidade da análise e das perguntas que alguém que está fazendo aquilo pela primeira vez, em comparação com alguém que já o fez muitas vezes, é bem grande, e natural que assim seja”, afirma o líder de compliance da Protiviti.
Acompanhando o risco dos outros
Se é um dado da realidade que mais empresas estão alocando a responsabilidade pelos riscos do negócio com o líder de compliance, é natural esperar que esses profissionais venham a ter cada vez mais o conhecimento dos seus riscos (os de compliance) e dos outros. Entendendo o negócio e com um bom mapeamento de riscos, é possível a esse profissional endereçar os riscos que não são de compliance. Só que esse trabalho está prestes a ser estendido.
Como gestor do canal de denúncias, cabe ao profissional de compliance endereçar as questões que digam respeito a outras áreas. Num bom programa de compliance, todas as denúncias feitas devem receber um feedback em relação ao andamento delas na empresa. Como são muitas, o mais comum é o uso de respostas padrões, do tipo “Recebemos a denúncia e ela está sendo apurada”, ou “Referente à sua denúncia, feitas as diligências, nenhuma infração foi confirmada”.
Até aqui, em geral, as áreas de compliance não demonstraram muito afinco em acompanhar os riscos que digam respeito aos riscos identificados em outras áreas. Motivos que justificam isso são vários e vão desde a simples falta de braços e expertise para dar conta de mais essa função até a própria indisposição das outras áreas de se “abrirem” aos colegas do compliance. Existem denúncias de outras áreas que podem dizer respeito a uma questão mais operacional, por exemplo, que se mal tratada, pode ter reflexos reputacionais. “Acho que é obrigação do compliance fazer esse acompanhamento sim. Ele pode não ter o conhecimento técnico, mas ele precisa delegar não abdicar. Ele precisa acompanhar o tratamento que foi dado aquele risco, entender a trilha de auditoria para saber como aquilo foi feito”, reforça Ian Cook. Podem ser assuntos muito específicos de uma determinada área, sobre o qual não foi feito um follow up, que podem se tornar gigantes.
Quem é o dono do risco?
“Existe uma confusão muito grande no empresariado de que o gestor de risco (ou quem acumula essa função) é responsável por tudo o que acontece na empresa”, lamenta Elcio Benevides. “Todo mundo é responsável pelos seus riscos. Quem é dono do risco é a área ou a pessoa responsável por aquele trabalho”, afirma o CEO da GRC.
Não se trata de algo novo. Pelo contrário, é bastante conhecido pelos profissionais da área de governança o modelo das três linhas de defesa. A primeira delas é justamente o próprio negócio, ou seja, as áreas e profissionais que cuidam da cadeia de valor da empresa. Só depois vêm as áreas de apoio mais especializadas como as de compliance e risco, que estabelecem políticas, fazem o acompanhamento e apoiam as áreas de negócios na tomada de decisão. Por fim, a auditoria interna, como última linha de defesa, com a finalidade de checar se tudo aconteceu dentro dos conformes.
Entretanto, esse modelo não implica, necessariamente, na determinação de quem é o dono do risco. Dizer que o negócio é a primeira linha de defesa é tão óbvio quanto impessoal. O negócio, no caso envolve áreas tão diversas e, na prática, desconexas, como vendas, finanças e supply chain. Ou seja, é muito difícil atribuir a responsabilidade pelos riscos sem apontar o dedo numa direção mais certeira, dando nome aos bois. No caso das instituições financeiras, por exemplo, o regulador obriga que seja apontado um diretor responsável pelo compliance PLD, que responde juridicamente, como pessoa física inclusive. Ter essa responsabilidade não implica em que ele saia cuidando pessoalmente dos processos relacionados com o tema. Entretanto, ele precisa saber como funcionam os testes, como os procedimentos são feitos e estar seguro com eles e com os funcionários que realizam o trabalho. Afinal, no final, é ele quem assina que o banco está em compliance. Isso faz com que ele queira o máximo de conforto em relação ao que foi feito e como foi feito, realizando testes inclusive com o auxílio de parceiros externos, já que ele não poderá alegar que não sabia caso algo de errado.
Com um CPF (e não só um CNPJ) tendo a responsabilidade pelo risco, aumenta-se a possibilidade de que mais instâncias se preocupem com o controle dos processos. Isso torna mais fácil a adoção, por exemplo, da realização de auditorias com foco em risco e compliance, para que o profissional responsável exija o maior grau de conforto possível de que o que era previsto para acontecer está acontecendo. “Pode ser que as pessoas digam que está tudo certo, pode ser que não pareça nada no canal, mas a auditoria interna, numa visão baseada em riscos, vai olhar o processo, levantar documentos e poderá relatar algo que está errado, mesmo que ninguém tenha relatado. É um trabalho preventivo e detectivo”, pontua Jefferson.
Outro ponto que ajuda é que as pessoas estejam mais cientes dos “seus riscos” é saber que elas podem ser punidas de verdade. “As pessoas vão assumindo riscos ao mesmo tempo em que vão vendo se são penalizadas ou não. Elas sabem o que é errado e sabem ponderar os seus riscos. E vão assumindo aquilo”, lembra Élcio, da GRC. “Quando percebem que poderão ser acusados de um crime e que vão pagar como pessoa física, naturalmente os principais tomadores de riscos da empresa recuam. O avanço na gestão de risco está muito relacionado com o dano à imagem ou o risco pessoal ao executivo”, emenda.
Um problema adicional diz respeito à terceirização do risco. Certificações e auditorias independentes para garantir a conformidade de uma construção ou de um processo, por exemplo. A terceirização do risco pode trazer a falsa sensação de que aquele risco saiu do escopo da empresa ou daquele gestor. Ledo engano. Em última instância, o risco continua lá, e não é uma certificação independente por si só que vai garantir que ele esteja sendo devidamente tratado. Os responsáveis diretos por esse risco, a primeira linha de defesa, tendem a acreditar que o risco não é mais dele, mas sim de quem terceirizou. Ironicamente, pode ser esse um grande risco. “Num caso no qual o gestor terceirizou um determinado risco, no seu mapa, aquilo está endereçado e mitigado. Olhando para trás, talvez ele não tenha se dado conta da dimensão daquele risco”, diz Elcio, que lembra que terceirizado ou não, o risco continua sendo da empresa e do gestor. Essa linha tem sido inclusive utilizada pelo Ministério Público.
Tudo isso serve para fortalecer a tese de que a área de compliance vai ter que ampliar o escopo dela e passar a olhar com mais atenção para os seus riscos, os riscos dos outros e, também, para os riscos terceirizados. “O compliance não vai dizer se o laudo está certo ou errado, mas ele vai poder olhar para o processo. Não é mais só a preocupação de fazer o mapa de risco e testá-lo, mas também de olhar para os casos em que o risco é terceirizado e identificar quem são os responsáveis, qual é a dependência deles do negócio da empresa. Os fatos mostram agora que além do monitoramento de riscos, será preciso olhar mais para quem você traz para dentro de casa”, explica o CEO da GRC.
Quem determina o apetite pelo risco
Tudo o que foi dito até aqui pode ir por água abaixo se a alta administração não der ao tema riscos, a devida é necessária atenção. O tone at the top aqui é fundamental, até porque quem costuma determinar o apetite pelo risco é o dono do negócio ou a liderança da empresa, e, ao contrário do apoio para o programa de compliance de forma mais abrangente, que contempla um discurso de ética que é agradável aos stakeholders e funcionários e que em geral não vão influir nos resultados da empresa, no curto prazo; quando se fala especificamente de riscos, os impactos de decisões baseadas neles podem ser brutais, em diferentes sentidos.
Em uma situação de risco concretizado, em especial em grandes tragédias derivadas de situações de risco que poderiam ter sido evitadas, é comum a sociedade se perguntar “como a direção da empresa deixou aquilo acontecer”, enquanto os dirigentes da empresa reagem dizendo que eles “não sabiam daquele problema, ou do risco da situação, até ele ter se concretizado”. No último caso, depois de um tempo é comum que apareça uma transferência de culpa para alguém, que teria sido omisso em avisar a direção da companhia ou mesmo tentado enganá-los.
Em algumas empresas, a falta do patrocínio da alta administração tem a ver com a própria cultura da empresa, que pode ser porosa e aceitar erros de desvios e ilícitos como um dado da realidade. Em outros casos, existe de fato a possibilidade de que a informação não tenha chegado até a liderança da empresa, mesmo.
Um bom mapeamento de riscos permite avaliar se as metas e a forma como os bônus estão atreladas a elas e, se esse fato, implica em algum risco. “Imagina uma empresa que mais de metade do faturamento dela dependa do governo e alguém tem a brilhante ideia de que ao invés de um salário alto, dar um ganho variável. Mas, você está vendendo para o governo e a sua meta está atrelada ao volume de vendas? Se esse profissional tiver um perfil ético flexível, ele pode preferir abrir mão de parte do variável para pagar um suborno e ganhar o contrato. Ele pode racionalizar isso e cometer o ilícito”, conta Jefferson Kyiara.
Quando o processo é bem conduzido, os resultados do mapa de riscos, todos eles, são apresentados para a alta direção da empresa, para que todos os principais responsáveis pelo negócio tenham ciência de quais são os grandes riscos e tomem uma decisão do que fazer em torno do plano de recomendações que é feito. “O gestor de compliance ou de riscos vai até as diferentes áreas da empresa para montar o seu risco e ver como eles funcionam. Faz o risk assessment dos riscos inerentes da empresa, pede apoio aos especialistas – feito isso, chega em 100 riscos, por exemplo, dos quais só 20 tem algum direcionamento. O restante ninguém nem sabe por onde começar. Nesse momento, o gestor de compliance tem que ter autonomia para colocar isso em cima da mesa, junto ao conselho, a alta administração e dizer que o cenário de riscos da empresa é esse aqui. Quanto ela vai disponibilizar de recursos financeiros e humanos para testar tudo aquilo e ver se funciona é uma decisão do topo?”, conta Elcio, da GRC Solutions. Para Ian Cook, da Kroll, a validação da metodologia de riscos deveria passar pelo conselho de administração da companhia.
Decisões difíceis
Vencido todo esse processo, ou seja, o mapeamento foi bem feito e o fluxo de informações chegou corretamente à direção da empresa. Chega a hora da verdade: quais decisões tomar com base naquelas informações. Um desafio grande no ambiente corporativo, que tem tudo a ver com a nossa cultura, é tomar decisões que pareçam exageradas, uma precaução radical e muito além do necessário, ainda mais quando vão envolver custos ou impactar negativamente as receitas, lembrando que, em momentos de crises econômicas como as que estamos vivenciando, estas decisões ficam ainda mais difíceis.
Decisões dessa natureza, as que envolvem riscos verdadeiramente graves, não costumam precisar ser tomadas com a frequência de eventos corriqueiros. E não se pode ser ingênuo em relação ao processo de decisão. Numa situação que por conta de um risco apontado, fosse necessário – sob um olhar de prevenção aos riscos – anular uma obra, fechar uma fábrica, uma operação que vai afetar o caixa da empresa e, eventualmente, até o bônus do executivo, da diretoria e dos funcionários da empresa, a decisão não será tomada de forma fácil, embora sob a perspectiva dos profissionais de risco e compliance, a recomendação seja explícita. Como se trata de decisão preventiva, se a decisão for pela prudência, ele terá que lidar com pressões de outra natureza também. “Se você imaginar um CEO fechando uma operação por conta de um risco, todo o impacto que virá com isso, inclusive de autoridades e da opinião pública, especialmente se a decisão resultar em pessoas sem trabalhar, fornecedores sem ter para quem vender, prefeituras sem arrecadação… Vai começar uma bagunça e talvez nesse momento vão questionar o porquê de a empresa não ter chegado nessa conclusão antes, porque não se preveniu. Do ponto de vista do executivo, deve ser uma decisão extremamente difícil de tomar”, acredita Ian, da Kroll.
“Qualquer decisão de risco vai sempre contemplar probabilidade e impacto. Mas o segredo está na cultura”, diz Jefferson, da Protiviti. O executivo acredita que, quando a empresa tem uma cultura de ética e integridade, que olha mais para o coletivo, o board pode tomar decisões que talvez sejam difíceis num primeiro momento, por estarem baseadas em valores. E existe o movimento reativo também. “O que tem de empresa reavaliando os seus riscos ambientais, infelizmente por conta de um fato lamentável”, corrobora o CEO da GRC.
Imagem: Freepik
