A palavra RISCO nos alerta para algo que pode acontecer e não estarmos preparados para situações inesperadas. Por definição, risco é a possibilidade de ocorrer um evento que venha a ter impacto no cumprimento dos objetivos. O risco é medido em termos de impacto e de probabilidade.

Devemos nos antecipar aos riscos evitando possíveis problemas, alguns deles bem sérios. Os riscos são comuns e estão presentes em todas as instituições e por isso é importante avaliá-los. Nisso consiste o “Risk Assessment”, que é traduzido como avaliação de riscos.

O gerenciamento de riscos é parte integrante das práticas de gerenciamento e um importante elemento da boa governança, além de auxiliar na melhoria organizacional, no desempenho e na tomada de decisões. Conhecendo os riscos aos quais a organização está exposta, ela poderá planejar e implementar ações para minimizá-los e monitorá-los.

Segundo o COSO, “Committe of Sponsoring Organizations of the Treadway Commission”, a avaliação de riscos é intrínseca aos objetivos estratégicos e de negócio da organização.

Segundo a norma ABNT NBR ISO 31000:2018, “Gerenciar riscos é iterativo (realizado várias vezes) e auxilia as organizações no estabelecimento de estratégias, no alcance de objetivos e na tomada de decisões fundamentadas. Gerenciar riscos é parte da governança e liderança, e é fundamental para a maneira como a organização é gerenciada em todos os níveis. Isto contribui para a melhoria dos sistemas de gestão. Gerenciar riscos é parte de todas as atividades associadas com uma organização e inclui interação com as partes interessadas.”

Pela sua relevância à governança de uma organização e, aderente às boas práticas, recomendamos, inicialmente, que a empresa identifique seus riscos, ou seja, execute um “Risk Assessment” profissional. É a melhor forma de “customizar” um Sistema de Compliance / Governança em Privacidade de Dados e ESG (Ambientais, Sociais e Governança), tornando-os personalizados. Após executar um “Risk Assessment”, a empresa poderá traçar um plano para gestão e mitigação dos riscos, dando proteção à empresa e aos funcionários. Um sistema personalizado reforça a boa imagem perante o mercado e gera satisfação nas pessoas e orgulho de pertencer a uma organização com um propósito e cultura para o bem (ética e integridade).

Risk Assessment – o que é?

 Lembramos aqui que o Sistema de Compliance é um sistema de gestão baseado em três pilares: prevenção, detecção e correção de irregularidade, tendo a gestão riscos como elemento chave no pilar prevenção.

A maneira de implementar um Sistema de Compliance, ou qualquer outro, varia em cada empresa. Portanto, é um engano copiar Sistemas prontos, já que cada empresa possui realidades muito diferentes.

Nesse contexto entra o “Risk Assessment”: por meio da análise, personalizada para cada empresa, dos riscos e eventos negativos que o negócio está exposto para que o Compliance possa mapear quais políticas de gestão serão implementadas. Trata-se de um processo robusto de analisar todos os aspectos relacionados aos negócios, para identificar aquilo que pode causar danos e, além de identificar, entender como eliminar esses riscos. O “Risk Assessment” irá efetuar o levantamento dos potenciais riscos, situações adversas e os meios que possam ser adotados para minimizar o impacto e gravidade de situações pontuais, ou ainda, a identificação de fatores que possam comprometer toda a reputação da empresa.

São diversos os riscos que uma empresa, indiferente seu tamanho ou ramo de atuação, está exposta. Seja em esfera cível, trabalhista ou criminal, eles representam, caso se concretizem, severas perdas para a organização. Identificados os riscos, o Sistema de Compliance deve implementar mecanismos com o objetivo de proteger a integridade da organização e dos funcionários e concretizar a responsabilização em caso de eventuais infrações.

Como elaborar um “Risk Assessment” efetivo

A classificação de risco deve mensurar a realidade da empresa, desenvolvendo os controles e políticas de prevenção, gerando assim um diagnóstico dos pontos essenciais a serem tratados pelo Sistema de Compliance. A Attitude ESG & Compliance opera com análise dos riscos em matriz de calor com cinco níveis de severidade (crítico, elevado, moderado, baixo e insignificante), e, para cada risco aplicável, são propostas medidas mitigadoras de tal forma a atenuar ou eliminar potenciais danos à empresa.

Na prática, a efetividade do Sistema de Compliance está entrelaçada com a capacidade do “Risk Assessment” de analisar todos os riscos que a organização está exposta, pois ao deixar sequer um risco de lado, a organização poderá sofrer com multas e danos à sua imagem, se suspeita ou flagrada em desconformidade com alguma legislação ou regulamentação.

Visto a importância desse processo e o que a sua falta pode trazer às organizações, a Attitude ESG & Compliance desenvolveu métodos que vão tornar o “Risk Assessment” mais eficaz e robusto nas organizações. A Utilizamos ferramenta automatizada para avaliação de riscos que gera gráficos e lista de medidas mitigadoras conforme a severidade detectada. Podemos também estimar os riscos residuais após a efetiva aplicação das medidas mitigadoras planejadas.

Exemplos de gráficos traçados pela nossa ferramenta:

Os mesmos critérios se aplicam à LGPD, ou seja, a análise dos riscos atribuídos à privacidade de dados pessoais e aspectos de governança podem e devem ser analisados sob a ótica de uma matriz de riscos. Para o ESG, fazemos uma análise utilizando um procedimento específico ABNT PE-487 que estabelece o processo para a verificação da maturidade dos critérios ESG implementados ou a serem implementados na organização.

Com esse processo bem estruturado, os responsáveis pelos Sistema de Compliance, LGPD e ESG estarão preparados para ajudar a empresa a combater a corrupção e fraudes, perda ou roubo de dados pessoais e ilícitos socioambientais, mas vai muito além disso: ele impacta positivamente nos processos da empresa, coibindo não só os riscos inerentes e que possam gerar danos financeiros, mas todos aqueles que possam causar algum tipo de prejuízo, tanto de performance quanto reputacional. Vale ressaltar que os mecanismos de proteção implementados não são uma blindagem contra ilícitos, mas protegem a empresa em maior grau quanto à ocorrência dos mesmos. Um dado interessante: segundo levantamento da LEC, em quase 60% das organizações o Compliance Officer acumula a função de Data Protection Officer (DPO), o que, segundo entendemos, pode implicar em avaliação de riscos simultânea de Compliance e Proteção de Dados com redução de investimentos.

Uma auditoria interna pode contribuir efetivamente na gestão de riscos, identificando e classificando os riscos de corrupção e outros delitos, mapeando os controles internos de governança de anticorrupção e proteção de dados e avaliando a suficiência e eficácia desses controles. O foco da auditoria é buscar conformidades. O processo deve ser conduzido com uma periodicidade anual.

Os objetivos da auditoria são: buscar conformidades e verificar se os requisitos estão sendo atendidos. Hoje já possuímos normas brasileiras para apoiar a implementação e auditoria de aspectos de Compliance, de segurança da informação, de privacidade de dados pessoais e de ESG com o mapeamento de todos os processos e fluxos da organização, para a verificação de pontos que representem riscos, e que precisam ser “repensados”. A auditoria se divide basicamente em duas partes: adequação, verificando a documentação existente, e conformidade, checando se as atividades e o dia a dia da empresa estão de acordo com a documentação apresentada.

O mapeamento pode ser mais ou menos ambicioso, e geralmente se sugere que seja periódico (pois fluxos, situações, práticas, processos e pessoas mudam com o tempo…), podendo ser realizado internamente, com equipe própria (quando existente e bem treinada para isso) ou com apoio de consultorias de melhores práticas em suas áreas de atuação.

Em alguns casos, o próprio mapeamento já produz como resultado uma lista de medidas a serem adotadas para a sua mitigação, o que ajuda bastante o Comitê de Sustentabilidade e pode poupar muito tempo, esforço e recursos, mas mesmo nos casos em que o mapeamento apenas indique “falhas” ou pontos de risco, o relatório final já será de grande valia.

Fazendo o “Risk Assessment”

Os participantes desse processo devem ser bem escolhidos e devem estar engajados a fazerem um bom trabalho. Algumas etapas são fundamentais para a avaliação de riscos:

1. Relacionar os processos críticos, ou seja, identificar as áreas críticas da empresa para avaliação de riscos, sendo comuns as seguintes – Alta Direção, RH, TI, Jurídico, Compras, Contabilidade e Financeira, Operação Gestão de Contratos;
2. Escolher os experts dos processos críticos acima (um ou mais experts);
3. Realizar workshops com os experts (individualmente ou coletivo), identificando os riscos, propondo formas de mitigação e agrupar as ações buscando sinergias e evitando conflitos. Os temas e participantes dos workshops de análise de riscos são definidos pela própria empresa;
4. Preparar um registro adequado (relatório) com os riscos e ações estabelecidas;
5. Apresentar ao CEO / Diretoria para discussão, análise validação e aprovação;
6. Implementar as ações em prazo acordado com a alta direção da empresa, ou seja, controles, comunicação e treinamentos, procedimentos, políticas, auditorias, novos processos etc.

Caso a empresa já possua procedimentos e / ou políticas, deverão ser revisados conforme as necessidades identificadas nos workshops de avaliação de riscos. Comunicação e treinamentos são temas que caminham paralelamente, ou seja, a empresa deve estabelecer um plano de comunicação e treinamento único agrupando os temas e listando os assuntos a serem tratados bem como os públicos-alvo.

Os workshops devem durar o suficiente para atender o objetivo de identificar os principais riscos aplicáveis à empresa, classificando sua criticidade, através da avaliação de probabilidade e impacto para a devida priorização das ações de mitigação. Importante ressaltar que a Matriz de Probabilidade e Impacto preenchida é apenas o reflexo da percepção dos funcionários ali presentes acerca do posicionamento de cada risco conectado com o seu cotidiano na empresa.

Matriz de Probabilidade e Impacto 5 x 5 ou Matriz de Calor:

A quantidade de riscos avaliados e medidas mitigadoras propostas pode e deve variar em cada empresa, principalmente pelo tipo de negócio, tamanho da empresa e distribuição geográfica. A recomendação é tratar imediatamente os riscos classificados como críticos e elevados, pois estes podem trazer perdas irrecuperáveis à empresa.

Vale ressaltar que a Attitude ESG & Compliance executa as avaliações de forma remota (online) ou presencial e elabora um relatório que possibilita identificar os “gaps” que podem causar problemas à empresa, propondo medidas em plano de ação a ser discutido com os responsáveis de Compliance, LGPD e ESG.

Quer saber mais como podemos ajudar a sua empresa? Fale conosco.