Essa pergunta deveria ser feita internamente em uma empresa, mas que, na grande maioria dos casos é postergada ou até mesmo simplesmente ignorada, até o momento em que um agente de governo precise avaliar o programa de compliance da referida empresa.

Os mais importantes guias e diretrizes anticorrupção em todo o mundo certamente incluem a avaliação de risco como um dos itens necessários para a consolidação de um programa de compliance robusto. E esse é um dos primeiros pontos a serem avaliados por um agente de governo, ao identificar se o programa de compliance de uma determinada empresa é eficaz. É importante salientar que os procuradores do Departamento de Justiça norte-americano - US DOJ, por exemplo, são orientados a iniciar sua avaliação de um programa de compliance pela avaliação de riscos, afinal de contas, a avaliação de riscos é que proporciona ao programa de compliance ser customizado ao negócio da empresa, a partir do seu perfil de risco, assim como o grau em que o programa dedica análise e recursos apropriados para o espectro de riscos.

A avaliação de riscos significa o processo através do qual são identificadas ameaças que podem impactar negativamente a empresa, a frequência estimada com que podem ocorrer e quais serão as medidas adotadas pela empresa para prevenir ou remediar tais ocorrências. A ameaça transforma-se em um risco, a partir do momento em que é identificada a real possibilidade dela causar algum impacto negativo no negócio da empresa.

A análise e identificação das ameaças deve levar em consideração o histórico de riscos da empresa, o histórico de riscos do país, a localização das operações da empresa, o setor da indústria em que a empresa atua, o quão robusto é o seu programa de compliance, o grau de competitividade do mercado, o quão agressivas são as metas impostas à alta gerência, o cenário regulatório, clientes potenciais e parceiros de negócios, transações com governos nacionais ou estrangeiros, pagamentos a funcionários públicos nacionais ou estrangeiros, uso de terceiros no negócio da empresa, refeições com terceiros, presentes para ou de terceiros, viagens pagas a terceiros, despesas de entretenimento e doações de caridade e políticas.

O resultado de um processo de avaliação de riscos permite à empresa:

‍

A avaliação de riscos deve sempre levar em consideração a dicotomia: severidade do impacto x probabilidade de ocorrência. Independente de qual seja o modelo da matriz de riscos a ser utilizada, a classificação do grau de risco levará em consideração sempre ambos os fatores e a priorização na prevenção ou remediação dos riscos. Mapas de calor costumam ser uma excelente alternativa para facilitar a visualização dos riscos identificados e sua respectiva classificação.

A periodicidade de avaliações de riscos deve ser determinada por cada empresa em suas respectivas políticas, considerando diversas variáveis como mudança do cenário competitivo, alteração de arcabouço legal, histórico de riscos e custos, entre outros, mas nunca deve ser superior a 3 (três) anos, considerando os perigos iminentes que, por não estarem identificados anteriormente, podem atingir significativamente o negócio.

Resta a pergunta se avaliações de risco devem ser executadas internamente por compliance officers ou por especialistas externos contratados para esse fim. A resposta não é complexa, visto que, primeiramente, é necessário ter a expertise adequada para executar tal projeto. Existem sistemas sendo vendidos no mercado, porém, excetuando a possibilidade de serem customizados, os resultados dificilmente atingirão os resultados esperados. Outro aspecto a ser considerado é o tempo demandado para esse projeto, nem sempre compatível com a jornada de trabalho do compliance officer interno, especialmente em empresas com times reduzidos.

Fica então a pergunta: Sua avaliação de riscos está em dia?

‍