Acontece

05 | Nov

A Atualização dos riscos de compliance das empresas

Por que o universo de riscos geridos pelos programas de compliance deve ser expandido?

A Atualização dos riscos de compliance das empresas

Desde a sua constituição, toda empresa está exposta a uma infinidade de riscos de diversas naturezas. Desse modo, o primeiro passo na implementação de um programa de compliance deve ser a avaliação dos riscos aos quais se submete a empresa, vez que, se o que se pretende é instituir mecanismos de controle interno capazes de minimizar a probabilidade da prática de atos ilícitos, a primeira tarefa deve ser verificar, cuidadosamente, os pontos de vulnerabilidades aos quais a empresa está submetida.

A adequada detecção de riscos, no entanto, exige um constante refinamento – e atualização – do sistema de integridade para considerar e para reagir ante as falhas apontadas por todos aqueles que se relacionam com ela. Exatamente por isso, costuma-se considerar como uma das diretrizes básicas para a instituição de um programa de compliance bem-sucedido a revisão periódica e detalhada dos riscos e a atualização das normas e procedimentos internos de minimização, controle e gerenciamento de riscos e pontos mais sensíveis na operação e nas atividades da empresa.

Isso porque, paralelamente ao monitoramento dos riscos já contemplados pelo programa, é essencial que haja também a atualização do programa de compliance, sobretudo com a identificação de novos riscos e adaptação do sistema de integridade, especialmente para evitar que o programa de compliance caia em desuso ou seja considerado obsoleto. Quer dizer, não obstante a filtragem inicial dos riscos mais sensíveis, o objetivo do programa de compliance deve ser a mitigação de todos os riscos que acometem a empresa. Assim, o alvo do programa deve ser a ampliação do seu escopo, a fim de que todas as atividades da empresa sejam alcançadas pelos mecanismos de mitigação de riscos.

Sobre o assunto, a ISO 19600, que fornece orientações para o estabelecimento, desenvolvimento, implementação, avaliação, manutenção e melhoria do sistema de gestão de compliance, enfatiza que "a abordagem baseada em riscos para a gestão de compliance não significa que, para situações de baixo risco de compliance, o não cumprimento seja aceito pela organização. Ela auxilia as organizações a focarem a atenção e os recursos primários nos riscos mais elevados como uma prioridade e, finalmente, irá cobrir todos os riscos de compliance. Todos os riscos/situações de compliance identificados estão sujeitos a monitoramento, correção e ação corretiva"¹.

Isto é, identificando-se o risco, seja ele alto ou baixo, este deverá ser monitorado pelo sistema de integridade da empresa. Entretanto, faz-se necessário que a área de compliance da empresa disponha de recursos humanos e financeiros para atender de maneira adequada as novas questões e riscos que precisam ser geridos. Neste caso, empresas com o programa de compliance robusto e de um elevado nível de maturidade devem começar a incorporar novas funções no gerenciamento dos riscos que ela agrega.

O universo de riscos de compliance abrangido pelo programa deve ser, portanto, ampliado. Todavia, é necessário ter cuidado para que eventuais exageros não acabem transformando o programa em um verdadeiro obstáculo para o exercício da atividade empresarial. O que se pretende é identificar as áreas sensíveis e instituir mecanismos adequados para minimizar os riscos de responsabilização da empresa, mas não se pode, a pretexto disso, engessar de forma relevante a gestão empresarial. O desafio está justamente em encontrar esse equilíbrio. 

Por Helen Figueiredo e Gabrielle Costa. E-mail: empresarial@mellopimentel.com.br.


Referências:

[1]  DE CICCO, F. Riscos de Compliance e sua Gestão. iso31000. Disponível em: https://iso31000.net/riscos-de-compliance-e-sua-gestao/. Acesso em: 25 de outubro de 2019.