Mapeamento de riscos

Autores: Jefferson Kiyohara, líder da prática de Riscos & Compliance, Luis Guilherme Whitaker, diretor de BPI, Risk & Compliance, e Heloísa Macari, sócia, todos da ICTS Protiviti

ATUALIZADO

A realização da etapa de mapeamento deverá seguir o plano definido. Basicamente há duas formas de levantar as informações de modo ativo: workshop ou entrevistas.

Há ainda a opção de levantar as informações via preenchimento de questionário, mas tal abordagem não é recomendada por ser excessivamente superficial, perdendo detalhes importantes.

Os mapeamentos são realizados usualmente numa sala de reunião. É fundamental garantir que o local esteja com temperatura, iluminação e acústica adequadas. Também é desejável ter assentos confortáveis, de modo a permitir que a conversa flua adequadamente.

É fundamental contextualizar logo no início o objetivo da reunião, explicar as regras de participação (proatividade, uso de celular, duração esperada, dinâmica de falas, dinâmica para réplicas etc.) e ter a iniciativa de conduzir os trabalhos.

É recomendável um profissional de suporte para realizar as anotações necessárias, e não realizar gravações de áudio, que costumam inibir o processo de coleta de informações. Se for necessário gravar, é essencial informar o entrevistado.

Os mapeamentos devem garantir que todas as informações necessárias para desenvolver cada um dos produtos previstos no escopo sejam de fato levantadas e registradas, para posterior organização e análise.

O modelo de risco e o dicionário de risco são materiais de apoio que podem ser úteis porque limitam os riscos que serão foco do mapeamento. É recomendado levá-los impressos ou projetá-los na tela, como suporte para as conversas.

No compliance risk assessment, os riscos que interessam são apenas aqueles relacionados com o não cumprimento de leis, regulamentações, normas externas e internas. Por exemplo, para um executivo de marketing o pouco investimento em Pesquisa & Desenvolvimento pode trazer o risco de perda de market share para o concorrente. É um risco para o negócio, mas não um risco de compliance. Logo, não deve ser explorado nesse mapeamento, visando à manutenção do foco.

O mapeamento serve basicamente para colher percepções, entendimentos e pontos de vista de cada participante. Histórias e eventos já ocorridos, como de não conformidade com determinada lei, também são úteis. O mapeamento não é uma auditoria, são atividades complementares. Ele fornecerá insumos para um Plano de Auditoria a ser realizado posteriormente. Para saber mais sobre esse tema, veja o subtópico Auditoria de compliance.

O mapeamento deve cobrir dois pontos:

  • Programa de compliance – gestão do programa e de cada um de seus elementos; e

  • Processos críticos associados aos processos de compliance relevantes – definidos no escopo, no modelo e no universo de riscos considerado.

Exemplo não exaustivo para combate a fraude e corrupção:

  • Financeiro – fluxo de pagamentos e de reembolsos, gestão do petty cash, gestão do cartão corporativo;

  • Compras – fluxo de aprovação e controle para cadastro e contratação; e

  • Institucional – fluxo de brindes e presentes, doações e patrocínios.

Condução de workshops

Quando a decisão for de realizar o mapeamento por meio de um workshop, é comum a utilização de uma sala de reunião que comporte diversas pessoas.

Usualmente acontece uma sessão com todos os executivos. É possível a participação de diretores, superintendentes e gerentes de áreas críticas e/ou com reporte direto para a Presidência na mesma sessão. Outra opção é ter uma sessão ou conjunto de sessões para interagir com os diretores, superintendentes e gerentes.

Como a nomenclatura varia de empresa para empresa, consideramos Executivo a presidência e vice-presidência ou cargo equivalente. O grupo prioritário seguinte seria o nível hierárquico imediatamente abaixo, representado pelos diretores, superintendentes e gerentes. É preciso avaliar caso a caso.

Questionamentos

A condução do workshop deverá ser feita preferencialmente por um recurso da empresa, e que seja pelo menos o responsável pelo programa de compliance. Após uma breve abertura, o levantamento deve começar pelas questões amplas e abertas, tais como:

– No ponto de vista de vocês, como avaliam o nosso programa de compliance? O que está funcionando bem, o que poderia ser melhor? Na sequência, deve-se cobrir cada um dos oito passos para um programa efetivo de compliance:

  • Tone at the top – patrocínio e liderança pelo exemplo, participativa, da alta gestão;

  • Supervisão e recursos de compliance – suficiência de recursos para a gestão do programa de compliance, bem como a adequação dos profissionais e independência na linha de reporte;

  • Compliance risk assessment – metodologia e processos estabelecidos para mapear e mitigar os riscos de compliance de forma periódica;

  • Código de Ética, políticas, guias e procedimentos – normativos internos do programa;

  • Treinamentos e comunicação – treinamento e comunicação para disseminação da cultura e dos normativos do programa;

  • Monitoramento e auditoria – ações efetivas para monitoramento e auditoria do programa e dos processos críticos a ele associados;

  • Background checks – entendimento de quem são os fornecedores, parceiros e profissionais com quem a organização trabalha, e avaliação dos riscos de trabalhar com eles;

  • Canal de denúncias e investigação – recursos, ferramentas e metodologia adequados para recebimento de denúncias, apuração dos fatos, gestão de casos e aplicação das medidas disciplinares cabíveis, de forma adequada e oportuna.

– No ponto de vista de vocês, quais as leis e regulamentações podem trazer maior impacto ao negócio? Por quê?

– Estamos preparados para lidar com esse risco? Em que nível e por quê?

– Existem controles internos? Eles são adequados?

– No ponto de vista de vocês, que processos cobertos por normativos internos podem trazer maior impacto ao negócio? Por quê?

– Estamos preparados para lidar com esse risco? Em que nível e por quê?

– Existem controles internos? Eles são adequados?

Na sequência, deve-se cobrir cada um dos riscos previstos no modelo e no dicionário de riscos definidos.

Para cada risco, é importante coletar a percepção de qual é a probabilidade de algo de errado acontecer, bem como de qual seria o impacto. A escala a ser utilizada deve seguir a régua definida, conforme mencionado no item Definição da matriz de risco.

Essa informação será insumo para a montagem do heat map.

Por fim, deve-se checar se há algum outro ponto de preocupação dos participantes não foi abordado, e então finalizar o workshop, agradecendo a participação de todos e relembrando quais serão os próximos passos, dando uma visão do tempo de análise e consolidação e a previsão de entrega do resultado final.

Condução de entrevistas

A condução de entrevistas é a melhor forma de realizar o mapeamento, pensando na qualidade e profundidade das informações que podem ser levantadas. O uso de técnicas de entrevistas, de exemplos específicos para cada entrevistado, de conhecimentos de metodologia de compliance risk management, de boas práticas de mercado, do olhar da má intenção, faz a diferença na obtenção de informações relevantes. Certifique-se de que o entrevistador possui tais conhecimentos.

É altamente recomendado que as entrevistas sejam individuais. Mas há casos em que o superior hierárquico opta por realizar a entrevista em companhia de um gestor de sua área e de sua confiança. Sendo possível evitar esse tipo de situação, melhor.

O ideal é realizar as entrevistas em dupla, de modo que um fique responsável pelas perguntas e o outro pelas anotações. É possível alternar os papéis ao longo da entrevista.

Deve-se evitar a realização de entrevistas com 3 ou mais entrevistadores, pois isso inibe o entrevistado, e o principal objetivo é coletar informações relevantes.

A realização de entrevistas individuais traz o benefício de permitir a personalização das perguntas, de modo a adequar à senioridade do cargo (estratégico ou tático, sendo raro o operacional) e áreas de atuação do entrevistado. Dessa forma, é recomendado um pré-trabalho com base no modelo e no dicionário de riscos para entender e listar as perguntas específicas a serem feitas, e que permitirão um maior aprofundamento.

Por exemplo, é comum que o Jurídico seja a área responsável por acompanhar as atualizações em âmbito legal. Sendo esse o cenário, ao entrevistar o responsável pelo Jurídico, é fundamental perguntar como isso é feito:

  • Manual ou automático? Tem ferramenta?

  • Por equipe própria ou por especialista externo?

  • Qual a abrangência?

Isto porque, se esse processo for deficiente, há o risco de a empresa não seguir a norma simplesmente por não saber que ela existe e está em vigor, ou de saber tarde demais e precisar investir uma quantia alta e de modo repentino, apenas para atender uma regulamentação. Por isso, esse ponto é relevante num compliance risk assessment.

No mesmo cenário, não faria sentido fazer essas mesmas perguntas para o Diretor de Operações, que seria um cliente interno do Jurídico. Mas valeria a pena perguntar:

  • Como cliente interno, está confortável com a precisão e velocidade com que o Jurídico lhe informa sobre alterações no âmbito legal que podem impactar diretamente o negócio?

A exemplo do workshop, a entrevista deve ser iniciada com uma breve abertura, e depois ter os levantamentos iniciados com perguntas amplas e abertas. Primeiramente, devem ser cobertos os aspectos relacionados ao programa de compliance e seus 8 passos, conforme detalhado na Condução de workshops. Percepções são importantes e devem ser valorizadas. Pode acontecer de o entrevistado de nível executivo e o responsável pelo compliance acharem que o programa de compliance da empresa é bom, e no caso do entrevistado de nível gerencial a percepção mudar. Caso isso aconteça, é preciso buscar a causa raiz do potencial problema.

Na segunda parte da entrevista, deve-se cobrir o escopo previsto, assim como o modelo e o dicionário de risco, atentando para as perguntas específicas para a área de atuação de cada entrevistado. Por exemplo, se a organização possui um processo de compras centralizado, essa questão deve ser abordada junto ao responsável por compras.

Por fim, deve-se checar se há algum outro ponto de preocupação do entrevistado ainda não citado, e então finalizar a entrevista, agradecendo pela participação e relembrando os próximos passos, dando uma visão do tempo de análise e consolidação e a previsão de entrega do resultado final.

Veja a seguir a Nota Prática Elaboração do mapa de riscos (heat map).

Este conteúdo é exclusivo para assinantes Lexis 360

Cadastre-se gratuitamente

para ter acesso por 7 dias

ou

Cadastre-se gratuitamente e tenha acesso ao Lexis 360

Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.