Avaliação de Riscos

A IMPORTÂNCIA DA AVALIAÇÃO DE RISCOS NOS SISTEMAS DE GESTÃO DE COMPLIANCE

Percebe-se cada vez mais a ampliação do conceito da gestão baseada em riscos: desde a área financeira, o Fórum Econômico Mundial, a ISO (em suas normas de sistemas de gestão), passando pela área de Compliance e mesmo o setor público (vejam a recente Instrução Normativa Conjunta MP/CGU n. 01/16, que dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo Federal). Sem falar das áreas onde a abordagem é tradicional, como em segurança ocupacional e patrimonial.

Os instrumentos e ferramentas utilizados para materializar esta avaliação também estão sendo ampliados para as diversas áreas. A cultura, como em todo processo de mudança, vai se moldando mais lentamente.

Avaliação de riscos em compliance e antissuborno

Voltando a atenção para a área de compliance e antissuborno, os diversos requisitos legais e modelos normativos contemplam uma avaliação de riscos como parte constituinte.

Mas parece haver espaço para aprofundamento com relação à:

  • sua instrumentalização,
  • construção/planejamento da gestão com base nele,
  • integração no dia-a-dia da gestão,
  • reavaliação e evolução contínua,
  • e mesmo sua implementação efetiva.

Tal percepção tem por base a nossa experiência profissional, contatos, diálogos e cursos, bem como dados de pesquisas (p.ex. a edição 2016 da pesquisa global da consultoria PwC sobre Crimes Econômicos com 211 empresas respondentes no Brasil apontou que mais de 15% dos participantes da pesquisa no Brasil e no mundo desconhecem a existência de um programa formal de ética e compliance; e que 22% dos respondentes no mundo nunca realizaram uma avaliação de riscos de fraude – no Brasil este número é de 17%). Especulo haver também uma correlação com as diferentes visões e conhecimentos dos profissionais envolvidos com o compliance (p.ex. jurídico, financeiro, sustentabilidade, compliance e gestão de riscos), com graus distintos de envolvimento com o processo de avaliação de riscos em sua rotina de trabalho.

É importante enfatizar que a nova geração de referências de gestão para compliance e antissuborno, como a Norma ISO 37001, adotam modelos mais alinhados com as melhores práticas atuais sobre esta ferramenta (p.ex. a ISO 31000), com um processo de avaliação de riscos mais robusto para permitir uma priorização eficaz e a definição de controles e recursos proporcionais. Neste sentido, detalham e complementam os requisitos legais e normativos definidos nos modelos mais antigos.

Metodologia efetiva de avaliação de riscos

Vale comentar a mudança qualitativa a ser buscada nos sistemas de gestão existentes para adequar seu processo de risco aos modelos mais atuais:

  • identificação dos riscos, suas causas e suas consequências;
  • análise dos riscos, considerando a gravidade de suas consequências (p.ex. danos pessoais e ambientais, perda econômica, danos à sua reputação e responsabilidade civil administrativa) e a probabilidade de materialização das consequências;
  • avaliação dos riscos comparando o nível de risco encontrado durante o processo de análise com o nível de risco que a organização pode e está disposta a aceitar;
  • priorização dos riscos;
  • avaliação da adequação e eficácia dos controles existentes da organização para mitigar os riscos avaliados;
  • determinação da forma de gestão dos riscos, considerando a necessidade de implementação de controles e tratamento para aqueles priorizados;
  • dimensionamento e planejamento do sistema de gestão e suas partes constituintes (procedimentos, recursos, treinamentos, monitoramentos, etc.) a partir do entendimento do contexto da organização, e proporcionais ao risco identificado e avaliado;
  • implantação da gestão/controle de riscos
  • análise crítica da efetividade da gestão/controle de riscos
  • reavaliação dos riscos periodicamente, e quando de mudanças significativas de atividades/ produtos/serviços/estrutura/estratégia/obrigações ou externas (p.ex. circunstâncias econômico-financeiras, condições de mercado, passivos e relacionamento com o cliente), e em função de denúncias/não cumprimento de requisitos.

Cabe à organização estabelecer seus critérios para avaliar o risco (qual a metodologia, como os riscos são ponderados e priorizados, e qual o nível de risco aceito), recomendando-se que o grau de formalidade, complexidade e profundidade sejam proporcionais ao porte, estrutura, riscos envolvidos, complexidade das atividades, amplitude geográfica, etc. Vale comentar que a série ISO 31000 fornece orientações detalhadas sobre a avaliação de riscos, e é recorrentemente citada como referência nas normas ISO de sistemas de gestão (a ISO 31000 estabelece os princípios e diretrizes para a gestão de riscos; a ISO 31010 explora e compara mais de 30 técnicas de avaliação de riscos e suas etapas, facilitando a seleção mais apropriada a um determinado caso).

Conclusão

Parece haver espaço para aumentar a efetividade da gestão de riscos de compliance, através do aprofundamento do processo de avaliação de riscos, o que inclui a possibilidade de usar melhor os recursos à disposição. No caso de uma certificação ou avaliação independente, tal necessidade é ainda mais explicitada. Mesmo no caso de atendimento à Lei Anticorrupção (Lei nº 12.846/13), não haverá redução de 1 a 4% (previsto no Decreto 8.420/15) para o programa de integridade que se mostre ineficaz para mitigar o risco de ocorrência de atos lesivos nela definidos (conforme Portaria CGU n. 909/15).

Sugiro esta reflexão: e o seu processo de avaliação de riscos, é efetivo?

Michel Epelbaum – diretor da Ellux Consultoria

Consulte nossos serviços de Consultoria, Treinamento e Auditoria em Sistemas de Gestão de Compliance/Integridade, inclusive nas Normas ISO 37001antissuborno e ISO 19600compliance.

Gostou? Compartilhe este post!

Ellux Consultoria - há mais de 18 anos trazendo soluções em Gestão da Sustentabilidade, Qualidade e Riscos.

Auditoria, Consultoria, Treinamentos e Gamificação em Sistemas de Gestão com base nas Normas ISO 14001, ISO 9001, OHSAS 18001, ISO 45001, ISO 26000, ISO 50001, ISO 31000, ISO 37001, ISO 19600, DSC 10000, BPM e outros modelos.