Mapeamento de riscos de terceiros

Autor: Claudio Peixoto da Silva, sócio-diretor da KPMG Brasil

ATUALIZADO

Neste subtópico, o foco está no risco que terceiros (fornecedores ou prestadores de serviços) podem trazer para a empresa. Como é inerente ao negócio, o risco existe independentemente da vontade da empresa ou dos concorrentes. Ele pode ser entendido como uma oportunidade e tem a possibilidade de gerar valor para a empresa, desde que esteja claro para os clientes que os riscos estão sendo gerenciados adequadamente e, consequentemente, a exposição deles também está sendo mitigada.

Sobre esse tema, veja o item Mapeamento dos processos na Nota Prática Avalie os riscos e a Nota Prática Mapeamento de riscos.

Universo de riscos

O primeiro passo é definir o universo de riscos ao qual a empresa está exposta. É importante considerar que o tema gera exposições distintas para diferentes empresas, portanto não é possível estabelecer um guia-padrão para todas elas. É preciso mapear as atividades que geram riscos em cada categoria:

  • risco estratégico;

  • risco de crédito;

  • risco operacional; e

  • risco de compliance.

Risco estratégico

Um dos principais objetivos de uma empresa é gerar valor para seus acionistas e, com a execução de um plano estratégico, é possível definir qual risco estratégico está associado ao não cumprimento desse objetivo. Logo, é necessário que cada empresa identifique quais possíveis ameaças colocariam esse objetivo em risco, tais como:

  • entrada de um novo concorrente;

  • entrada de uma nova tecnologia;

  • perda de confiança na marca; e

  • perda de clientes.

Para avaliar o nível de exposição da empresa, e quais salvaguardas devem ser instituídas para protegê-la, algumas perguntas devem ser feitas:

  • qual o risco estratégico que um terceiro traz para a empresa?

  • será que, não atendendo o cliente da maneira esperada, um terceiro pode afastá-lo?

  • será que o terceiro que está montando o produto pode não cumprir com a qualidade esperada e comprometer a reputação desse produto?

  • será que um terceiro pode vazar algum segredo industrial para a concorrência?

Dependendo das respostas individuais ou combinadas a essas perguntas, a administração deve tomar decisões sobre a aceitação ou não do risco. Caso decida aceitar o risco, deve implementar controles de monitoramento da relação com esses terceiros para garantir que as operações ocorram de acordo com o esperado.

Risco de crédito

Toda empresa tem como objetivo entregar seu produto ou serviço para seu cliente em troca de uma remuneração. Diferentes empresas possuem níveis de exposição variados a determinados riscos, ou seja, uma empresa remunerada à vista pode entender que seu risco de crédito é baixo; por outro lado, uma empresa que recebe parcela substancial dessa remuneração através de linhas de crédito (cartão de crédito, duplicatas, cheques ou outros) deve avaliar adequadamente se possui bons processos de concessão desse crédito para não comprometer seu fluxo de caixa e/ou sua própria liquidez.

Terceiros que participam dessa atividade podem colocar a empresa em risco, como no caso de uma montadora, em que as concessionárias (que podem ser classificadas como um terceiro) têm o objetivo de vender os carros dessa montadora, e podem não avaliar o risco de crédito do cliente com a rigidez esperada e conceder créditos indevidos.

Risco operacional

A Res. Bacen 4.457/2017 determina que risco operacional é a possibilidade de ocorrência de perdas resultantes de eventos externos ou de falha, deficiência ou inadequação de processos internos, pessoas ou sistemas, incluindo:

  • fraudes internas;

  • fraudes externas;

  • demandas trabalhistas e segurança deficiente do local de trabalho;

  • práticas inadequadas relativas a clientes, produtos e serviços;

  • danos a ativos físicos próprios ou em uso pela instituição;

  • situações que acarretem a interrupção das atividades da instituição;

  • falhas em sistemas, processos ou infraestrutura de tecnologia da informação (TI); e

  • falhas na execução, cumprimento de prazos e gerenciamento das atividades na instituição.

Risco de compliance

Compliance significa estar em conformidade com regras, normas, procedimentos e legislação. Portanto, o risco de compliance está associado ao risco de não cumprimento de alguma obrigação legal externa ou interna. Algumas leis responsabilizam as empresas mesmo que o descumprimento tenha sido causado por terceiro (fornecedor ou prestador de serviços), como no caso de questões que envolvam obrigações trabalhistas, ambientais, fiscais, entre outras. Entender o risco a que a empresa está exposta e/ou como seus terceiros gerenciam esse risco faz-se necessário. Os riscos mais frequentes são:

  • Riscos de fraude e corrupção – a Lei Anticorrupção (Lei 12.846/2013) responsabiliza as empresas pelo pagamento e/ou promessa de pagamento de vantagens indevidas para agentes públicos ou terceiros vinculados a esses agentes.

  • Riscos trabalhistas – encargos sociais (INSS, FGTS, PIS/PASEP e outros), encargos trabalhistas (salários, 13º salário, férias, adicionais e outros) e outras disputas (trabalho escravo, trabalho infantil e outras) podem ser requeridos solidariamente por funcionários de terceiros numa demanda trabalhista.

  • Riscos ambientais – terceiros responsáveis por alguma atividade ligada ao meio ambiente podem trazer riscos ambientais para a empresa, por exemplo: empresa agrícola que utiliza terceiros para pulverizar agrotóxicos, ou empresa hidroelétrica que utiliza terceiros para monitorar o status da barragem.

  • Riscos fiscais – a empresa pode ser instada a responder solidariamente a alguma demanda fiscal de terceiros, como quando terceiro responsável pelo beneficiamento de determinado produto não recolhe o IPI adequadamente.

Surge então o desafio de gerenciar o cumprimento das normas pelos terceiros que representam a empresa. Importante destacar que a quantidade de terceiros que uma empresa trabalha é grande, portanto, há necessidade de se ter uma metodologia para priorizar as atividades de gestão dos terceiros, conforme tratado no item Procedimentos específicos na Nota Prática Classificação de riscos de terceiros.

Veja a seguir a Nota Prática Classificação de riscos de terceiros.

Este conteúdo é exclusivo para assinantes Lexis 360

Cadastre-se gratuitamente

para ter acesso por 7 dias

ou

Cadastre-se gratuitamente e tenha acesso ao Lexis 360

Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.