Monitoramento periódico

Autores: Jefferson Kiyohara, líder da prática de Riscos & Compliance, Luis Guilherme Whitaker, diretor de BPI, Risk & Compliance, e Heloísa Macari, sócia, todos da ICTS Protiviti

ATUALIZADO

O risco mais crítico é aquele que não se conhece. Compreender quais os riscos a que a organização está exposta é o primeiro passo de um programa de compliance efetivo, pois é por meio do risk assessment que são identificados os processos, áreas e posições críticas e se definem os esforços necessários para a sua mitigação.

Uma boa medida para analisar se os recursos empregados para a gestão do compliance são suficientes é verificar se eles estão direcionados para a mitigação e prevenção dos riscos distribuídos no mapa de riscos (heat map) da organização.

O mapa de riscos é, porém, uma fotografia da organização. É fundamental monitorar os riscos identificados a fim de prevenir sua materialização ou mesmo a rápida interrupção dos seus impactos nos negócios. Além disso, a criticidade dos riscos pode se alterar, seja pelo sucesso das ações definidas e implantadas para redução da exposição, seja pelo incremento da criticidade em função de mudanças na estrutura, na gestão, no ambiente externo (economia, política), no ambiente regulatório, entre outros fatores endógenos ou exógenos.

Diferentemente da auditoria baseada em riscos, que possui método formalizado com data, escopo, critério, seleção de amostra, revisão, documentação de deficiências e plano de ação e visão independente, o monitoramento de riscos é uma atividade diária e suporta a gestão na avaliação da efetividade, eficiência e consistência da operação e dos controles internos, e, assim, do programa de compliance.

É imprescindível a condução de um compliance risk assessment para definir um plano de monitoramento contínuo, ou mesmo de auditoria independente. A estrutura de compliance, controles internos ou de gestão de riscos, consideradas áreas de 2ª linha de defesa na prevenção de riscos (Declaração de Posicionamento do IIA: As três linhas de defesa no gerenciamento eficaz de riscos e controles, janeiro 2013), tem o papel de auxiliar a organização no monitoramento contínuo dos riscos e oferecer todo o suporte para que as áreas de negócios consigam implantar as ações necessárias de mitigação dos riscos apontados no heat map. Cabe à 2ª linha de defesa prover segurança à gestão de riscos da organização.

Indicadores de riscos

A implantação do monitoramento contínuo pressupõe a definição de indicadores de riscos a serem monitorados. Vale destacar que esses indicadores devem ser desenvolvidos a partir de transações passíveis de monitoramento. Um indicador de risco deve indicar pontos de atenção, ou red flags (bandeiras/sinalizações vermelhas) em processos e decisões tomadas no dia a dia da organização que estejam sob a égide do compliance.

Alguns exemplos de transações passíveis de monitoramento contínuo que podem alertar, por meio do estabelecimento de red flags, possível violação de regras de compliance:

  • comunicações corporativas, como e-mails;

  • contratação de terceiros;

  • contratação de PEP (pessoas expostas publicamente);

  • pagamentos para intermediários de negócios;

  • pagamento de hospitalidade e entretenimento;

  • outros pagamentos críticos; e

  • destinação de verbas de marketing e eventos.

Existem processos que podem ser monitorados continuamente pelas estruturas de compliance por meio da adoção de controles ativos, que permitam à função de compliance influir na tomada de decisão. Alguns exemplos, inerentes a qualquer organização:

  • análise de risco na contratação de terceiros com maior exposição a riscos – due diligence de terceiros, e indicação para aprovação ou não;

  • análise periódica de terceiros contratados (due diligence periódica);

  • aprovação de hospitalidade e entretenimento para parceiros de negócios/intermediários; e

  • acompanhamento da elaboração de propostas em licitações.

Existem ações que podem ser monitoradas pelas estruturas de compliance, a fim de verificar a implantação de atividades que aprimoram o ambiente de compliance e contribuem na mitigação de riscos. Alguns exemplos de atividades de acompanhamento:

  • eficácia dos treinamentos presenciais e virtuais de compliance;

  • eficácia das atribuições no gerenciamento de riscos; e

  • eficácia do tratamento de fragilidades de processos, controles e gestão.

Alguns exemplos de meios de execução das atividades de monitoramento:

  • visitas a campo;

  • entrevistas com a liderança;

  • entrevistas com as equipes dedicadas ao processo, ambiente ou controle em análise;

  • revisão de documentos escritos;

  • aplicação de questionários;

  • análise de informações de meios de comunicação (canal de denúncias, ouvidoria); e

  • análise de dados para identificação de exceções e tendências (com ou sem uso de ferramenta de data analytics, como ACL).

O monitoramento contínuo pode identificar necessidades de correção ou implantação de processos, controles, treinamentos, ou mesmo de realização de um novo compliance risk assessment. Alguns exemplos de cenários que necessitam de atualização do compliance risk assessment:

  • aquisição de uma unidade de negócio;

  • aquisição de uma nova empresa ou fusão;

  • alteração de modelo de negócios; e

  • tempo (vale definir a periodicidade de revisão).

Além disso, é fundamental que a estrutura de compliance faça parte do desenvolvimento de novos processos e projetos, a fim de permitir que a visão de riscos e de compliance seja incorporada.

O monitoramento de riscos de compliance é uma atividade dinâmica, e cabe à liderança, com o suporte da estrutura de compliance, exercitá-lo continuamente e manter controlada a exposição a riscos.

Este conteúdo é exclusivo para assinantes Lexis 360

Cadastre-se gratuitamente

para ter acesso por 7 dias

ou

Cadastre-se gratuitamente e tenha acesso ao Lexis 360

Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.