Assine

Preparação para o risk assessment

Autores: Jefferson Kiyohara, líder da prática de Riscos & Compliance, Luis Guilherme Whitaker, diretor de BPI, Risk & Compliance, e Heloísa Macari, sócia, todos da ICTS Protiviti

ATUALIZADO

A preparação é um passo muito importante do compliance risk assessment e a definição do que será feito (escopo) e da abrangência (universo de risco) alimentará o plano de levantamento a ser executado.

A definição do escopo e do universo de risco parte do responsável pelo compliance, e é recomendável ter o patrocínio da alta direção, dada a necessidade de priorização de agenda e de que as informações relevantes sejam apresentadas.

Definição do escopo

Para a definição do escopo do compliance risk assessment, o responsável pelo compliance deve considerar minimamente algumas variáveis:

  • equipe a ser alocada;

  • geografias;

  • atividades;

  • prazo; e

  • produtos a serem entregues.

Equipe a ser alocada

A definição de quem irá realizar o compliance risk assessment deve contemplar disponibilidade de recursos, prazo e expertise. A equipe pode ser própria, terceirizada ou híbrida.

Insuficiência de recursos e pouca expertise interna demandam a contratação de especialistas externos, da mesma forma que pressão por prazos demanda uma equipe minimamente híbrida ou de especialistas externos.

É recomendada a utilização de profissionais com experiência prévia em levantamento de informações e riscos, e com capacidade de conversar e interagir com o nível executivo da empresa.

No caso de equipe própria, é importante ter claro quem serão os profissionais envolvidos, de modo a integrá-los e prepará-los com a antecedência necessária.

Geografias

Dentro da definição de escopo, é importante entender quais localidades e unidades da organização serão abrangidas no trabalho.

Por exemplo, um mesmo varejista pode atuar com supermercados, farmácias e postos de combustível, cada um deles sujeito a regulamentações específicas.

A definição de localidades impacta diretamente em quais leis e regulamentações são aplicáveis.

Atividades

Outro aspecto importante é definir as atividades a serem realizadas e os respectivos responsáveis. Tipicamente as macroetapas são:

  • levantamento;

  • análise e consolidação; e

  • elaboração do relatório executivo e apresentação.

A divisão de responsabilidades em cada uma das macroetapas deve seguir a definição da equipe responsável.

Levantamento

Há duas formas tradicionais de levantamento:

  • Workshop: tem a vantagem de permitir um levantamento mais rápido, e há interação entre os participantes. A desvantagem é que é pouco aprofundada e inibe determinadas declarações desfavoráveis pelos participantes; e

  • Entrevista individual: é o formato recomendado, pois permite explorar melhor o assunto, em detalhes, e oferece a discrição necessária para que o profissional relate pontos críticos e incômodos.

É fundamental o registro das informações levantadas. Por isso, na fase de planejamento é importante definir o formato de registro, que pode ser feito em atas de reunião, por exemplo. Outra possibilidade é registrar os dados diretamente em uma matriz de risco, opção que pode trazer ganho de eficiência, mas demanda conhecimento prévio de sua utilização.

Análise e consolidação

As informações levantadas devem ser organizadas e compiladas, de modo que seja possível identificar os principais riscos de forma consolidada e priorizada. Logo, é importante definir qual o modelo de matriz de risco que será utilizado para tanto.

Elaboração de relatório executivo e apresentação

Saber quais informações e visões serão necessárias para apresentar à alta direção é fundamental para fechar o planejamento do compliance risk assessment.

Veja mais sobre o tema na Nota Prática Elaboração do sumário executivo.

Prazo

O prazo do compliance risk assessment é proporcional ao esforço necessário. Quanto mais fontes de informação, maior o tempo demandado para levantamento, análise e consolidação, elaboração de relatório executivo e sua apresentação.

O ideal é que não haja grandes intervalos entre as conversas, pois isso dificulta a análise cruzada de informações e do cenário, que pode mudar em questão de dias.

No caso de levantamento por entrevistas individuais, é adequado ter 10 a 12 entrevistas por semana. Para 2 semanas de levantamento, considere outras 2 semanas de análise e consolidação e elaboração de relatório executivo. Se forem 3 semanas de levantamento, serão 3 de análise e consolidação e elaboração de relatório executivo, e assim sucessivamente.

Essa estimativa contempla a relação mínima de produtos a serem entregues.

Produtos a serem entregues

Um compliance risk assessment deve minimamente ter como produtos:

É recomendável ter ainda como produtos:

  • inventário de normativos;

  • análise da maturidade do programa de compliance; e

  • matriz de relacionamento com órgãos públicos (no caso de compliance anticorrupção ser parte do escopo).

A quantidade de produtos influi no tempo e no esforço que serão necessários.

Universo de risco

O foco do compliance risk assessment são os riscos associados ao não cumprimento de leis, regulamentações e normas, sejam elas externas ou internas.

Esse contexto é bastante amplo e é fundamental delimitar o universo de risco que fará parte do escopo dos trabalhos.

A primeira decisão a ser tomada é definir quais as áreas de compliance serão abordadas:

    • Ética empresarial (Código de Ética);

    • Anticorrupção;

    • Anticoncorrencial;

    • Prevenção à lavagem de dinheiro e combate ao financiamento do terrorismo;

    • Meio ambiente;

    • Propriedade intelectual;

    • Privacidade;

    • Prevenção ao uso de mão de obra análoga à escrava e/ou infantil;

    • Saúde e segurança no trabalho;

    • Direito do consumidor;

    • Segurança alimentar;

    • Trabalhista; e

    • Tributária.

  • Depois de definir as áreas do compliance que farão parte do escopo, para cada uma delas é necessário listar as leis, regulamentações, códigos, políticas internas e normativos a serem contemplados.

    Por exemplo, pode haver um compliance risk assessment com foco anticorrupção considerando a lei brasileira e excluindo a lei norte-americana (FCPA) por não se aplicar à realidade da organização, dado ser uma empresa brasileira, sem qualquer escritório, operação ou representação nos EUA, e sem ADR na Bolsa de Nova York.

    Outro exemplo é o compliance risk assessment que contemple questões de privacidade. Uma empresa brasileira, com operação e clientes na Europa, incluiria a Diretiva 95/46/EC da União Europeia em seu universo de risco. Já outra empresa, com operação apenas no Brasil, nem a consideraria.

    O universo de risco pode ser ajustado ao longo do compliance risk assessment, e tal decisão deve ser claramente registrada no relatório executivo. É importante ressaltar que há diferença entre jurisdição e universo de risco para fins de compliance risk assessment. Determinada organização pode estar sujeita a certa legislação ou regulamentação, mas em dado trabalho de compliance risk assessment não tê-la como foco, e nesse caso, será desconsiderada para fins de mapeamento.

    Veja a seguir a Nota Prática Normativos e pessoas no risk assessment.

    Você está lendo 1 de 3 documentos liberados este mês

    Cadastre-se gratuitamente

    para ter acesso por 7 dias

    ou

    Por apenas

    R$130,00

    por mês no cartão de crédito

    Cadastre-se gratuitamente e tenha acesso ao Lexis 360

    Campo obrigatório.
    Campo obrigatório.
    Campo obrigatório.
    Campo obrigatório.
    Campo obrigatório.
    Campo obrigatório.
    Campo obrigatório.