Muriel Sotero
A realização de análise de riscos de corrupção (ou “risk assessment”) é essencial para a construção de um programa de compliance efetivo, e é um dos itens que autoridades governamentais levam em consideração ao avaliar programas de compliance de empresas, antes de aplicar sanções.
O guia do Departamento de Justiça Americano (DOJ) “Evaluation of Compliance Programs[1]” (2020), estabelece que “o ponto de partida para que um promotor avalie se uma empresa possui um programa de compliance bem desenhado é entender os negócios da empresa sob uma perspectiva comercial, como a empresa identificou, avaliou e definiu o seu perfil de risco e como o programa de compliance aloca escrutínio e recursos adequados para endereçar seu espectro de riscos”.
O Bribery Act 2010 Guidance[2], guia do governo britânico sobre os processos que empresas devem ter para prevenir casos de corrupção (sob a perspectiva do United Kingdom Bribery Act), tem a análise de riscos como um dos princípios para a implementação de um programa de compliance: “a empresa analisa a natureza e o tamanho de sua exposição para potenciais riscos internos e externos de corrupção em seu nome por pessoas associadas a ela. A análise é periódica, informada e documentada”.
No Brasil, a existência de um programa de compliance serve como um fator de mitigação de sanções, caso a empresa viole a Lei Anticorrupção Brasileira (Lei 12.846/2013). O Decreto 11.129/2022, que recentemente substituiu o Decreto 8.420/2015, regulamentando a Lei Anticorrupção, traz a gestão de riscos como um dos parâmetros a serem considerados quando autoridades avaliam o programa de compliance de empresas (art. 57 e inciso V): “Para fins do disposto no inciso VIII do caput do art. 7º da Lei nº 12.846, de 2013, o programa de integridade será avaliado, quanto a sua existência e aplicação, de acordo com os seguintes parâmetros: (…) V – Gestão adequada de riscos, incluindo sua análise e reavaliação periódica, para a realização de adaptações necessárias ao programa de integridade e a alocação eficiente de recursos”. A expectativa é de que empresas consigam demonstrar, de forma eficaz, a realização de análise de riscos e o desenvolvimento do programa de compliance baseado nessa mesma análise.
A análise de riscos pode trazer uma reflexão sobre como o programa de compliance está funcionando como um todo e quais as necessidades de aprimoramento: por exemplo, pode-se avaliar se as políticas e procedimentos existentes da empresa refletem os riscos reais, se é necessário a criação de documentos adicionais; se o público-alvo está recebendo o treinamento correto de políticas de compliance, e se os valores e regras da empresa estão sendo disseminados corretamente dentre seus funcionários. Pode-se também avaliar qual é a percepção dos funcionários sobre o compliance na empresa e como o comprometimento da liderança com o programa de compliance é visto pelos funcionários. Com a análise de riscos completa, os responsáveis pelo programa de compliance podem apontar com maior precisão as melhorias necessárias e identificar se os recursos internos da empresa estão sendo empregados de maneira correta.
Abaixo, seguem alguns apontamentos a serem considerados na hora de estruturar uma análise de riscos.
- Perfil de Risco
Uma análise de riscos efetiva deve ser feita considerando o perfil da empresa, já que não existe uma fórmula que possa ser aplicada de maneira genérica. Alguns fatores a serem considerados ao estruturar uma análise de riscos são:
- Localização: empresas de um mesmo setor e de um mesmo grupo empresarial podem estar sujeitas a riscos diferentes, dependendo de sua localização. Cada país tem riscos inerentes, seja por questões culturais ou aspectos relacionados às legislações aplicáveis.
- Indústria: O tipo de atividade da empresa também impacta o seu perfil de risco. Algumas empresas podem estar expostas a riscos de corrupção por ter um alto volume de vendas para o governo. Outras empresas podem não ter vendas relevantes para o governo, mas contratam terceiros que agem em seu nome em interações com a administração pública (como despachantes, empresas de exportação/importação, entre outras). Entender quais são os riscos de determinada empresa e da indústria em que a respectiva empresa está inserida é fundamental.
2. Planejamento Inicial
Antes de iniciar a análise de riscos, deve-se ter em mente qual é o objetivo desse exercício: a análise de riscos será realizada para identificar a exposição da empresa a riscos de corrupção e violações de suas políticas? Ou a análise de risco terá um escopo mais restrito, para monitorar riscos específicos (por exemplo, de uma unidade de negócios, de uma nova atividade da empresa, devido à edição de uma nova legislação)?
Após identificar qual será o objetivo da análise de riscos, deve-se pensar na estrutura do processo. Deve-se analisar quais recursos internos estarão disponíveis para conduzir as atividades de análise de riscos, e considerar a contratação de recursos externos, como: empresas de contabilidade forense para uma verificação aprofundada das transações e controles internos da empresa. A contratação de escritórios de advocacia externos também deve ser considerada, levando-se em conta que a análise de riscos será feita de forma independente, e os resultados obtidos serão protegidos pelo sigilo cliente-advogado.
3. Identificação de Áreas-Chave:
Parte do processo de análise de riscos é identificar quais são as principais fontes de informação que instruirão a avaliação, o que inclui tanto documentos quanto pessoas em funções de interesse para o processo. Incialmente, é importante mapear quais áreas da empresa podem ter informações relevantes. Esse mapeamento também vai depender da indústria e das operações da empresa. Por exemplo, em empresas da área da saúde, os departamentos Médico e de Marketing podem ser áreas-chave, pois terão informações sobre as interações com médicos e/ou hospitais, além de informações sobre eventos e patrocínios de clientes.
Mapear quais funcionários serão entrevistados também é parte importante da estratégia da análise de riscos, e deve ser considerada com cuidado de forma a otimizar o trabalho. Idealmente, as pessoas entrevistadas serão de níveis hierárquicos diferentes, com visões mais amplas sobre os negócios e com informações não apenas sobre as políticas e procedimentos formais da empresa, mas também como a empresa funciona em seu dia a dia. Também é importante incluir funcionários de localidades diferentes, quando aplicável. Dessa maneira, é possível obter informações gerais sobre a empresa e uma visão mais global de suas operações.
4. Classificação e Mitigação de Riscos:
Após a coleta de informações, é importante mapear os riscos identificados, as causas-raiz para cada risco, e os seus principais impactos. Segue um exemplo abaixo:
- Risco:
- Interação com agentes públicos.
- Causas Raiz:
- Desconhecimento dos funcionários sobre a política de interação com agentes públicos.
- Ausência de controle das despesas de presentes e entretenimento.
- Ausência de registro de reuniões com agentes públicos.
- Principais Impactos:
- Dano reputacional.
- Risco de sanções, em especial, as previstas na Lei Anticorrupção.
- Risco de sanções para pessoas físicas (prisão e multa).
Após identificar os riscos, o próximo passo é verificar como esse risco pode ser mitigado – com criações de novas ferramentas, ou aplicação de processos já existentes e não utilizados, por exemplo.
Nem sempre a área responsável pela análise de riscos é a responsável pela implementação de recomendação – por exemplo, a área de compliance pode fazer uma recomendação para o departamento financeiro aprimorar seus controles internos. É importante que fique claro quem será o responsável pela implementação da melhoria e que isso seja monitorado de maneira adequada dentro de um prazo razoável.
5. Papéis de Trabalho
Ao final da análise de riscos, é importante ter um registro das atividades realizadas (quais documentos foram analisados, quais processos foram revisados, quais entrevistas foram realizadas). Além disso, o relatório final deve conter um sumário dos principais achados, a identificação e o plano de mitigação dos riscos.
As informações devem ser claras e suficientes para que pessoas que não foram envolvidas no processo à época tenham conhecimento da metodologia e do resultado das atividades.
***
Conforme mencionado anteriormente, existem diversas razões que podem motivar empresas a conduzirem análises de riscos, seja pelos benefícios obtidos por aquelas entidades que passam pelo escrutínio de autoridades nacionais e internacionais em conexão com investigações de condutas indevidas, seja pelo interesse em melhor compreender os gargalos associados à sua operação e o desejo de desenhar controles mais adequados, ou ainda, simplesmente pela importância que sua realização traz para o amadurecimento de programas de compliance corporativos.
Seja como for, é indubitável que existem diversos benefícios a serem colhidos por empresas que realizam esse exercício de maneira informada e bem estruturada.
Nesse sentido, para as empresas que desejam conduzir esse tipo de processo, ou ainda atualizar processos já realizados no passado, é importante ter em mente os objetivos a serem alcançados e buscar estruturar uma análise de risco objetiva e com metodologia bem definida e documentada. Dessa maneira garante-se que o trabalho realizado pode ser: (i) revisitado a qualquer momento, (ii) utilizado como evidência em eventuais investigações governamentais; e (iii) utilizado para informar decisões corporativas estratégicas sobre destinação de recursos (humanos e econômicos) e eficiência de controles internos.
[1] https://www.justice.gov/criminal-fraud/page/file/937501/download
[2] https://www.justice.gov.uk/downloads/legislation/bribery-act-2010-guidance.pdf
O presente artigo possui finalidade meramente informativa e sem caráter de aconselhamento jurídico. As informações contidas neste artigo não devem ser utilizadas ou aplicadas indistintamente a fatos ou circunstâncias concretas sem consulta prévia a um advogado. As opiniões contidas neste artigo são as expressadas pelo(s) respectivo(s) autor(es) e podem não necessariamente refletir a opinião do escritório ou dos clientes do escritório; e estão sujeitas a alteração sem ulterior notificação.