Assine

Classificação de riscos de terceiros

Autor: Claudio Peixoto da Silva, sócio-diretor da KPMG Brasil

ATUALIZADO

Uma vez mapeados os riscos de terceiros aos quais a empresa está sujeita, surge um desafio: o alto número de prestadores de serviços ou fornecedores de matéria-prima ou produtos ativos na empresa. O número médio de terceiros associados a uma empresa é de mil. Em empresas maiores esse número pode superar 5 mil e, em casos específicos, chega a superar 50 mil.

Para otimizar a gestão de riscos de terceiros, o próximo passo é determinar, de forma estruturada, o nível de risco de cada terceiro, com a classificação dos riscos através da aplicação de uma matriz de risco.

Para saber mais sobre matriz de risco, veja o item Definição da matriz de risco na Nota Prática Dicionário e matriz de risco e a Nota Prática Avalie os riscos.

Os terceiros serão classificados por nível de risco:

  • risco baixo: terceiros cuja atividade não gera riscos para a empresa.

  • risco médio: terceiros cuja atividade gera riscos, mas que demonstram procedimentos e controles aparentemente satisfatórios, aparentemente porque o mapeamento dos controles dos terceiros é realizado por meio da aplicação de questionários e/ou entrevistas, pois a empresa não realizará testes para confirmar a efetividade dos controles, tampouco é responsável pela gestão desses controles. A avaliação será feita apenas por meio de uma declaração dos terceiros.

  • risco alto: terceiros cuja atividade gera riscos e que não são capazes de demonstrar a existência de controles e/ou que apresentam problemas cuja natureza pode trazer responsabilidade para a empresa, como no caso de terceiros que já foram envolvidos em escândalos de corrupção, que estão sendo processados pela prática de trabalho escravo e/ou infantil, que estão sendo processados por crime ambiental, entre outros.

Critérios para classificação de riscos

Uma vez conhecidos os riscos aos quais a empresa está exposta e a necessidade de classificar os terceiros, é necessário definir critérios para a classificação de riscos. Inicialmente, os terceiros podem ser classificados de acordo com a natureza do relacionamento (por exemplo: fornecedor de produtos nacionais, fornecedor de produtos estrangeiros, prestador de serviços etc.). Considerando os riscos que a empresa identificou, é possível desenvolver uma tabela como a seguinte:

(1) Produto controlado

(2) Produto/Serviço estratégico

A classificação acima é um exemplo em que o despachante aduaneiro apresenta risco operacional, desde que a empresa importe/exporte produtos regularmente. Ela poderá mudar de acordo com a realidade de cada empresa, como no caso de uma empresa de limpeza para um hospital que tem uma classificação muito diferente de uma empresa de limpeza para um banco, pois, no primeiro caso, o hospital tem regras específicas de descarte de resíduos biológicos.

Procedimentos específicos

Após a classificação dos riscos dos terceiros de acordo com a natureza do serviço, obtém-se como resultado os terceiros de baixo risco (aqueles que não expõem diretamente a empresa a riscos) e terceiros de médio risco (aqueles que expõem a empresa a algum tipo de risco). A reavaliação desses riscos deve ser feita por meio de atividades de controle (conforme tabela abaixo) e, de acordo com o resultado obtido, os terceiros manterão a classificação original ou o risco poderá ser reclassificado, como no caso de um terceiro de risco médio cujo background search demonstre problemas em sua reputação, que terá sua avaliação alterada para risco alto. Para os terceiros de alto risco devem ser utilizados os critérios dos terceiros non-compliance.

Veja o Checklist de background search.

Atividades de ControleRisco baixoRisco médioRisco alto
Questionários de due diligencexxx
Aderência ao Código de Conduta de Terceirosxxx
Revisão de contratosxxx
Background searchxx
Avaliação de compliancexx
Entrevistasx
Revisão on-sitex
Monitoramento dos pagamentos realizadosx
Término do contrato (a ser avaliado)x

Com a aplicação da matriz de risco acima, normalmente chega-se aos seguintes resultados aproximados:

  • baixo risco: 80% dos terceiros

  • médio risco: 15% dos terceiros

  • alto risco: 5% dos terceiros

Terceiros non-compliance

Para os terceiros considerados non-compliance, será necessário avaliar o nível de exposição para a empresa. Para os terceiros que ainda não prestam serviços para a empresa, é recomendado que alternativas sejam avaliadas.

Quando, através do processo de monitoramento ou de outra forma, a empresa tome conhecimento de que determinado terceiro está envolvido em alguma não conformidade, recomenda-se a realização dos seguintes procedimentos:

  • investigação – com o objetivo de apurar os fatos, a investigação sobre o terceiro deve ser feita para verificar se a não conformidade traz alguma implicação para a empresa.

  • descontinuidade do contrato – considerando que o terceiro cometeu atitudes de não conformidade, a empresa deve reavaliar a continuidade do contrato, e caso seja necessário mantê-lo, deve ser feita a reavaliação do risco desse terceiro, aumentando o nível de monitoramento dele.

  • disclosure para as autoridades – caso o malfeito traga reflexos para a empresa, o fato deve ser discutido com advogados e a alta administração a respeito da possibilidade da realização de um relato dos fatos para as autoridades.

Veja a seguir a Nota Prática Papel de cada área na contratação de terceiros.

Você está lendo 1 de 3 documentos liberados este mês

Cadastre-se gratuitamente

para ter acesso por 7 dias

ou

Por apenas

R$130,00

por mês no cartão de crédito

Cadastre-se gratuitamente e tenha acesso ao Lexis 360

Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.