Avaliação de riscos - A sua está em dia?

November 3, 2020

Essa pergunta deveria ser feita internamente em uma empresa, mas que, na grande maioria dos casos é postergada ou até mesmo simplesmente ignorada, até o momento em que um agente de governo precise avaliar o programa de compliance da referida empresa.

Os mais importantes guias e diretrizes anticorrupção em todo o mundo certamente incluem a avaliação de risco como um dos itens necessários para a consolidação de um programa de compliance robusto. E esse é um dos primeiros pontos a serem avaliados por um agente de governo, ao identificar se o programa de compliance de uma determinada empresa é eficaz. É importante salientar que os procuradores do Departamento de Justiça norte-americano - US DOJ, por exemplo, são orientados a iniciar sua avaliação de um programa de compliance pela avaliação de riscos, afinal de contas, a avaliação de riscos é que proporciona ao programa de compliance ser customizado ao negócio da empresa, a partir do seu perfil de risco, assim como o grau em que o programa dedica análise e recursos apropriados para o espectro de riscos.

A avaliação de riscos significa o processo através do qual são identificadas ameaças que podem impactar negativamente a empresa, a frequência estimada com que podem ocorrer e quais serão as medidas adotadas pela empresa para prevenir ou remediar tais ocorrências. A ameaça transforma-se em um risco, a partir do momento em que é identificada a real possibilidade dela causar algum impacto negativo no negócio da empresa.

A análise e identificação das ameaças deve levar em consideração o histórico de riscos da empresa, o histórico de riscos do país, a localização das operações da empresa, o setor da indústria em que a empresa atua, o quão robusto é o seu programa de compliance, o grau de competitividade do mercado, o quão agressivas são as metas impostas à alta gerência, o cenário regulatório, clientes potenciais e parceiros de negócios, transações com governos nacionais ou estrangeiros, pagamentos a funcionários públicos nacionais ou estrangeiros, uso de terceiros no negócio da empresa, refeições com terceiros, presentes para ou de terceiros, viagens pagas a terceiros, despesas de entretenimento e doações de caridade e políticas.

O resultado de um processo de avaliação de riscos permite à empresa:

Criar um ambiente de conscientização acerca dos perigos a que a empresa está sujeita e onde os mesmos são prevalentes.
Estabelecer uma lista de possíveis ameaças que possam impactar negativamente o negócio da empresa, transformando-se em riscos.
Garantir que a empresa atenda a todas as exigências legais.
Determinar com maior precisão os custos para prevenir e remediar os riscos.
Facilitar a compreensão do retorno de investimento no programa de compliance

A avaliação de riscos deve sempre levar em consideração a dicotomia: severidade do impacto x probabilidade de ocorrência. Independente de qual seja o modelo da matriz de riscos a ser utilizada, a classificação do grau de risco levará em consideração sempre ambos os fatores e a priorização na prevenção ou remediação dos riscos. Mapas de calor costumam ser uma excelente alternativa para facilitar a visualização dos riscos identificados e sua respectiva classificação.

A periodicidade de avaliações de riscos deve ser determinada por cada empresa em suas respectivas políticas, considerando diversas variáveis como mudança do cenário competitivo, alteração de arcabouço legal, histórico de riscos e custos, entre outros, mas nunca deve ser superior a 3 (três) anos, considerando os perigos iminentes que, por não estarem identificados anteriormente, podem atingir significativamente o negócio.

Resta a pergunta se avaliações de risco devem ser executadas internamente por compliance officers ou por especialistas externos contratados para esse fim. A resposta não é complexa, visto que, primeiramente, é necessário ter a expertise adequada para executar tal projeto. Existem sistemas sendo vendidos no mercado, porém, excetuando a possibilidade de serem customizados, os resultados dificilmente atingirão os resultados esperados. Outro aspecto a ser considerado é o tempo demandado para esse projeto, nem sempre compatível com a jornada de trabalho do compliance officer interno, especialmente em empresas com times reduzidos.

Fica então a pergunta: Sua avaliação de riscos está em dia?

No items found.

RECENT POSTS

LINKEDIN FEED

Newsletter

Register your email and receive our updates

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Newsletter

Register your email and receive our updates-

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Licks Attorneys' Government Affairs & International Relations Blog

Doing Business in Brazil: Political and economic landscape

Licks Attorneys' COMPLIANCE Blog

Avaliação de riscos - A sua está em dia?

No items found.

Essa pergunta deveria ser feita internamente em uma empresa, mas que, na grande maioria dos casos é postergada ou até mesmo simplesmente ignorada, até o momento em que um agente de governo precise avaliar o programa de compliance da referida empresa.

Os mais importantes guias e diretrizes anticorrupção em todo o mundo certamente incluem a avaliação de risco como um dos itens necessários para a consolidação de um programa de compliance robusto. E esse é um dos primeiros pontos a serem avaliados por um agente de governo, ao identificar se o programa de compliance de uma determinada empresa é eficaz. É importante salientar que os procuradores do Departamento de Justiça norte-americano - US DOJ, por exemplo, são orientados a iniciar sua avaliação de um programa de compliance pela avaliação de riscos, afinal de contas, a avaliação de riscos é que proporciona ao programa de compliance ser customizado ao negócio da empresa, a partir do seu perfil de risco, assim como o grau em que o programa dedica análise e recursos apropriados para o espectro de riscos.

A avaliação de riscos significa o processo através do qual são identificadas ameaças que podem impactar negativamente a empresa, a frequência estimada com que podem ocorrer e quais serão as medidas adotadas pela empresa para prevenir ou remediar tais ocorrências. A ameaça transforma-se em um risco, a partir do momento em que é identificada a real possibilidade dela causar algum impacto negativo no negócio da empresa.

A análise e identificação das ameaças deve levar em consideração o histórico de riscos da empresa, o histórico de riscos do país, a localização das operações da empresa, o setor da indústria em que a empresa atua, o quão robusto é o seu programa de compliance, o grau de competitividade do mercado, o quão agressivas são as metas impostas à alta gerência, o cenário regulatório, clientes potenciais e parceiros de negócios, transações com governos nacionais ou estrangeiros, pagamentos a funcionários públicos nacionais ou estrangeiros, uso de terceiros no negócio da empresa, refeições com terceiros, presentes para ou de terceiros, viagens pagas a terceiros, despesas de entretenimento e doações de caridade e políticas.

O resultado de um processo de avaliação de riscos permite à empresa:

Criar um ambiente de conscientização acerca dos perigos a que a empresa está sujeita e onde os mesmos são prevalentes.
Estabelecer uma lista de possíveis ameaças que possam impactar negativamente o negócio da empresa, transformando-se em riscos.
Garantir que a empresa atenda a todas as exigências legais.
Determinar com maior precisão os custos para prevenir e remediar os riscos.
Facilitar a compreensão do retorno de investimento no programa de compliance

A avaliação de riscos deve sempre levar em consideração a dicotomia: severidade do impacto x probabilidade de ocorrência. Independente de qual seja o modelo da matriz de riscos a ser utilizada, a classificação do grau de risco levará em consideração sempre ambos os fatores e a priorização na prevenção ou remediação dos riscos. Mapas de calor costumam ser uma excelente alternativa para facilitar a visualização dos riscos identificados e sua respectiva classificação.

A periodicidade de avaliações de riscos deve ser determinada por cada empresa em suas respectivas políticas, considerando diversas variáveis como mudança do cenário competitivo, alteração de arcabouço legal, histórico de riscos e custos, entre outros, mas nunca deve ser superior a 3 (três) anos, considerando os perigos iminentes que, por não estarem identificados anteriormente, podem atingir significativamente o negócio.

Resta a pergunta se avaliações de risco devem ser executadas internamente por compliance officers ou por especialistas externos contratados para esse fim. A resposta não é complexa, visto que, primeiramente, é necessário ter a expertise adequada para executar tal projeto. Existem sistemas sendo vendidos no mercado, porém, excetuando a possibilidade de serem customizados, os resultados dificilmente atingirão os resultados esperados. Outro aspecto a ser considerado é o tempo demandado para esse projeto, nem sempre compatível com a jornada de trabalho do compliance officer interno, especialmente em empresas com times reduzidos.

Fica então a pergunta: Sua avaliação de riscos está em dia?

No items found.