Avaliação de Riscos

A IMPORTÂNCIA DA AVALIAÇÃO DE RISCOS NOS SISTEMAS DE GESTÃO DE COMPLIANCE

Percebe-se cada vez mais a ampliação do conceito da gestão baseada em riscos: desde a área financeira, o Fórum Econômico Mundial, a ISO (em suas normas de sistemas de gestão), passando pela área de Compliance e mesmo o setor público (vejam a recente Instrução Normativa Conjunta MP/CGU n. 01/16, que dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo Federal). Sem falar das áreas onde a abordagem é tradicional, como em segurança ocupacional e patrimonial.

Os instrumentos e ferramentas utilizados para materializar esta avaliação também estão sendo ampliados para as diversas áreas. A cultura, como em todo processo de mudança, vai se moldando mais lentamente.

Avaliação de riscos em compliance e antissuborno

Voltando a atenção para a área de compliance e antissuborno, os diversos requisitos legais e modelos normativos contemplam uma avaliação de riscos como parte constituinte.

Mas parece haver espaço para aprofundamento com relação à:

  • sua instrumentalização,
  • construção/planejamento da gestão com base nele,
  • integração no dia-a-dia da gestão,
  • reavaliação e evolução contínua,
  • e mesmo sua implementação efetiva.

Tal percepção tem por base a nossa experiência profissional, contatos, diálogos e cursos, bem como dados de pesquisas (p.ex. a edição 2016 da pesquisa global da consultoria PwC sobre Crimes Econômicos com 211 empresas respondentes no Brasil apontou que mais de 15% dos participantes da pesquisa no Brasil e no mundo desconhecem a existência de um programa formal de ética e compliance; e que 22% dos respondentes no mundo nunca realizaram uma avaliação de riscos de fraude – no Brasil este número é de 17%). Especulo haver também uma correlação com as diferentes visões e conhecimentos dos profissionais envolvidos com o compliance (p.ex. jurídico, financeiro, sustentabilidade, compliance e gestão de riscos), com graus distintos de envolvimento com o processo de avaliação de riscos em sua rotina de trabalho.

É importante enfatizar que a nova geração de referências de gestão para compliance e antissuborno, como a Norma ISO 37001, adotam modelos mais alinhados com as melhores práticas atuais sobre esta ferramenta (p.ex. a ISO 31000), com um processo de avaliação de riscos mais robusto para permitir uma priorização eficaz e a definição de controles e recursos proporcionais. Neste sentido, detalham e complementam os requisitos legais e normativos definidos nos modelos mais antigos.

Metodologia efetiva de avaliação de riscos

Vale comentar a mudança qualitativa a ser buscada nos sistemas de gestão existentes para adequar seu processo de risco aos modelos mais atuais:

  • identificação dos riscos, suas causas e suas consequências;
  • análise dos riscos, considerando a gravidade de suas consequências (p.ex. danos pessoais e ambientais, perda econômica, danos à sua reputação e responsabilidade civil administrativa) e a probabilidade de materialização das consequências;
  • avaliação dos riscos comparando o nível de risco encontrado durante o processo de análise com o nível de risco que a organização pode e está disposta a aceitar;
  • priorização dos riscos;
  • avaliação da adequação e eficácia dos controles existentes da organização para mitigar os riscos avaliados;
  • determinação da forma de gestão dos riscos, considerando a necessidade de implementação de controles e tratamento para aqueles priorizados;
  • dimensionamento e planejamento do sistema de gestão e suas partes constituintes (procedimentos, recursos, treinamentos, monitoramentos, etc.) a partir do entendimento do contexto da organização, e proporcionais ao risco identificado e avaliado;
  • implantação da gestão/controle de riscos
  • análise crítica da efetividade da gestão/controle de riscos
  • reavaliação dos riscos periodicamente, e quando de mudanças significativas de atividades/ produtos/serviços/estrutura/estratégia/obrigações ou externas (p.ex. circunstâncias econômico-financeiras, condições de mercado, passivos e relacionamento com o cliente), e em função de denúncias/não cumprimento de requisitos.

Cabe à organização estabelecer seus critérios para avaliar o risco (qual a metodologia, como os riscos são ponderados e priorizados, e qual o nível de risco aceito), recomendando-se que o grau de formalidade, complexidade e profundidade sejam proporcionais ao porte, estrutura, riscos envolvidos, complexidade das atividades, amplitude geográfica, etc. Vale comentar que a série ISO 31000 fornece orientações detalhadas sobre a avaliação de riscos, e é recorrentemente citada como referência nas normas ISO de sistemas de gestão (a ISO 31000 estabelece os princípios e diretrizes para a gestão de riscos; a ISO 31010 explora e compara mais de 30 técnicas de avaliação de riscos e suas etapas, facilitando a seleção mais apropriada a um determinado caso).

Conclusão

Parece haver espaço para aumentar a efetividade da gestão de riscos de compliance, através do aprofundamento do processo de avaliação de riscos, o que inclui a possibilidade de usar melhor os recursos à disposição. No caso de uma certificação ou avaliação independente, tal necessidade é ainda mais explicitada. Mesmo no caso de atendimento à Lei Anticorrupção (Lei nº 12.846/13), não haverá redução de 1 a 4% (previsto no Decreto 8.420/15) para o programa de integridade que se mostre ineficaz para mitigar o risco de ocorrência de atos lesivos nela definidos (conforme Portaria CGU n. 909/15).

Sugiro esta reflexão: e o seu processo de avaliação de riscos, é efetivo?

Michel Epelbaum – diretor da Ellux Consultoria

Consulte nossos serviços de Consultoria, Treinamento e Auditoria em Sistemas de Gestão de Compliance/Integridade, inclusive nas Normas ISO 37001antissuborno e ISO 19600compliance.

Gostou? Compartilhe este post!

Ellux Consultoria - há mais de 18 anos trazendo soluções em Gestão da Sustentabilidade, Qualidade e Riscos.

Oferecemos auditorias, consultoria, treinamentos e gamificações em Sistemas de Gestão com base nas Normas ISO 14001, ISO 9001, ISO 45001, ISO 26000, NBR 16001, SA 8000, ISO 50001, ISO 31000, ISO 37001, ISO 19600, NBR 19601, DSC 10000, PRÓ ÉTICA, BPM e outros modelos.