Por Fábia Cunha
A amplitude de benefícios de um programa de Compliance fez nascer também a necessidade de vincular um processo para mensurar sua efetividade. Assim podemos considerar o GRC – Gestão de Riscos e Compliance, um Modelo de Gestão Aplicado, um conjunto de indicadores que mostrará o quão estratégico e ligado ao negócio o programa de integridade foi montado.
Esta visão de gestão e aplicabilidade de indicadores de controle junto com o monitoramento e a performance determinarão o diálogo estabelecido com a alta direção.
A aproximação da área de Ética e Compliance com a área de Riscos e Estratégia empresarial vem ratificar que “Estar Compliance” vai muito além de estar “conforme” com condutas éticas e empresariais, processos e procedimentos internos e aderentes à legislação brasileira. “Estar Compliance” é acima de tudo a Vinculação do Compliance à Estratégia Empresarial.
Nesse contexto, somar a Gestão de Riscos Empresariais e a Estratégia empresarial aos processos éticos que a empresa se propõe é um fator crucial para eficiência dos negócios.
Mas esta não é uma agenda fácil. Alcançar a estratégia empresarial necessita de muito esforço do time de GRC – Gestão de Riscos e Compliance – na conscientização dos riscos de negócios vinculados ao Compliance. É necessário gerar visibilidade ao custo da “Não ética” e do custos dos
Altos Riscos e como isso pode impactar o balanço empresarial e os contingentes jurídicos.
Outra necessidade fundamental é criar Indicadores que demonstrem o diferencial competitivo e de mercado que o GRC emprega.
Ao avaliar cuidadosamente os últimos escândalos de corrupção no Brasil envolvendo grandes empresas encontramos em ambos um afastamento do GRC da estratégia empresarial. Se não fosse assim, poderíamos acreditar que todos tomaram a decisão pelo risco, desde os Acionistas, Conselho de Administração, Conselho Fiscal, Presidente C-Level (CEO, CFO), diretores e etc., colocando em risco todo patrimônio empresarial e a imagem da empresa, construída ao longo dos anos.
Será que esta decisão foi tomada com base na análise de risco de negócio? Será que toda alta direção foi conscientizada sobre as iniciativas de corrupção que estariam sendo praticadas? Podemos acreditar que fazia parte da estratégia empresarial destas empresas assumir riscos para alcançar o sucesso empresarial sem a identificação dos impactos desta tomada de decisão?
A resposta para as três perguntas é NÃO. As investigações comprovaram que o esquema de corrupção foi, isoladamente, uma decisão pessoal e não empresarial, portanto, um esquema afastado da estratégia empresarial.
Os exemplos deixados pelas companhias acima nos trazem o desafio de evitar que atos fraudes, desvios éticos e de corrupção sejam replicados em outras corporações. Nesse sentido, é necessário blindar a pessoa jurídica contra os atos praticados por pessoas físicas, dando visibilidade aos riscos e impactos empresariais aos quais a empresa está exposta.
Um bom exemplo público de afastamento do Compliance da estratégia empresarial e da falta de blindagem da empresa é o caso Enron. Em 2001, uma gigante empresa norte americana entrou em falência após uma sucessão de casos de fraudes praticados pelos seus dirigentes, considerados talentos natos dos negócios. A Enron contratou grandes talentos, com salários milionários e alta confiança.
No artigo “The Talent Myth”, publicado no portal New Yorker, Gladwell (2002) escreve: “Esse mindset do talento é a nova ortodoxia dos mundos dos negócios nos Estados Unidos ´Ele definiu a cultura organizacional da Enron e semeou sua ruína”.
Mas confiando exclusivamente bom talento fez algo fatal: afastou a análise de risco, os controles, auditorias e concedeu alçada completa de atuação resultando em perda da real visibilidade de indicadores de gestão.
Para tratar da proteção empresarial é importante detalhar cada um dos itens elencados como esforço da atuação da Área de GRC – Gestão de Riscos e Compliance:
a) Conscientização dos riscos de negócios
Talvez este seja o tema mais difícil de inclusão na agenda empresarial, frente ao grande desafio de dar visibilidade a algo aparentemente intangível. Para conseguir esta conscientização o Gestor de Riscos deve promover um workshop de risco em todas as áreas da empresa e, em conjunto com os demais diretores, repassar os riscos de negócio vinculados a práticas não Compliance. Desta forma, conseguir apoio para documentar, em um Painel de Risco todos os processos estratégicos identificando aqueles que estão vulneráveis pela probabilidade ou impacto causado. Feito isto, O Programa de GRC ganha grandes aliados na conscientização: todas as diretorias operacionais já estão informadas dos riscos gerados em operações.
b) Visibilidade do custo do “Risco” impactando o balanço empresarial e os contingentes jurídicos.
Esta é uma das formas mais eficientes de demonstração do custo do Risco. Basta abrir os relatórios externos do contingente jurídico para materializar os valores dos Riscos não mitigados. Aqui o olhar deve ser nos valores envolvendo processos de não pagamento assertivo de verbas rescisórias, pedidos envolvendo dano moral e assédio, processos por falhas operacionais, indenizações por erros, processos administrativos e multas por fiscalizações e descumprimentos tributários. A soma dos valores envolvidos é o custo do Risco assumido pela empresa.
c) Diferencial competitivo e de mercado que o GRC emprega.
O GRC assume outro papel estratégico frete a esta ampliação de função que agrega um valor de viabilizador de negócios.
Hoje podemos afirmar que o Programa GRC é diferencial competitivo para todas as empresas que dependem de investimentos, vez que, traz ao investidor mais uma ferramenta de segurança. Um bom programa GRC garante transparência e previsibilidade de falhas, antecipando assim a possibilidade de correção, evitando escoamento de dinheiro em falhas, fraudes e descumprimentos legais.
Mais uma evolução de grande importância no atual momento brasileiro: O acelerado crescimento dos programas de Compliance em Empresas públicas e privadas.
d) Visibilidade sobre os riscos gerados pelos atos praticados pelas pessoas, independentemente de dolo ou culpa.
O desafio está em mapear todas as pessoas envolvidas na cadeia de negócio da empresa e estabelecer uma visão dos riscos gerados por pessoa, por área, por função e por responsabilidade / atividade desempenhada.
A atuação é fundamentalmente preventiva, visa mitigar o risco de pessoas atuando sob a perspectiva e interesse pessoal. Tem a finalidade de identificar as pessoas com mais alto apetite ao risco e, neste grupo, aplicar um red flag de riscos garantindo periodicidade e assertividade de auditoria e monitoramento.
Feita uma análise completa, a área de GRC está munida de todas as importantes informações para um assertivo diagnóstico de Riscos. Este documento será a base para formação do Programa de Riscos.
Do ponto de vista de qualidade, a empresa consegue sobreviver ao mercado quando de forma direta gera uma correlação entre os processos de produção, satisfação do cliente, custo/qualidade, produtividade, competitividade e sobrevivência.
Esta correlação gerará um painel com indicadores de controle, monitoramento e performance. Esta é a melhor forma de manter a transparência e certificar a credibilidade da alta administração. Segundo o professor Vicente Falconi, em seu livro “TQC – Controle da Qualidade Total” (1992, p. 08), “o que realmente garante a sobrevivência das empresas é a garantia de sua competitividade. No entanto, estas coisas estão todas interligadas: a garantia de sobrevivência decorre da competitividade, a competitividade decorre da produtividade e esta da qualidade”.
Modelo de Gestão de Riscos – Combinação de Gestão , Monitoramento, Controle e Performance
Quando uma empresa implanta a Gestão de Riscos, adota uma maneira estratégica de materializar toda a probabilidade de algo dar errado ou de algo não dar certo na empresa. Todas as informações ficam concentradas em um painel de gestão que demonstre de forma clara e objetiva o impacto em custo, reputação, risco de negócio, competitividade e rentabilidade da marca.
Monitoramento dos Indicadores de Controle do Risco
Indicadores de controle do risco são aqueles que controlam os processos – São índices numéricos estabelecidos sobre os efeitos de cada processo para medir a sua qualidade de redução do risco.
Através da matriz de consequência você consegue monitorar os processos identificados como Red Flag e demonstrar, à alta direção, os riscos de Compliance envolvendo os processos empresariais.
Identificados os processos e enquadrados conforme o risco (trivial, aceitável, moderado, substancial e intolerável) o próximo passo é estabelecer ações de mitigação para todos os processos considerados como de grande impacto. A recomendação é garantir uma ação de mitigação para cada risco com classificação acima de moderado. Desta forma, a empresa está resguardada com uma ação sempre que o apetite ao risco começar a aumentar. Este é um controle mensal e deve ser auditado, minimamente a cada seis meses.
Indicadores de Performance
Tem como foco demonstrar a performance do Programa de Compliance e os impactos causados nos indicadores de gestão empresarial.
Estes indicadores são aplicáveis a empresas pequenas médias e grandes empresas, nacionais e internacionais e de variados segmentos de atuação, basta escolher o que melhor se adequa a sua realidade e especificidade.
Implantação e medição dos indicadores
O objetivo é apresentar um modelo ágil e fácil de se construir indicadores monitorem se as ações de mitigação do risco estão surtindo efeito e, assim, reduzindo o risco empresarial.
1ª etapa: Construção dos indicadores de monitoramento e controle do Risco
O Gestor do Risco deve promover workshops de risco com todas as áreas de negócio da empresa, identificar através da matriz de consequência, os processos Red Flag e demonstrar à alta direção os riscos envolvendo os processos empresariais.
Com os processos identificados, deve se estabelecer o item de controle de cada processo e as ações de mitigação para cada um dos riscos.
Ao final desta etapa você terá concluído o diagnóstico e terá como resultado: Riscos maiores identificados, definido os itens de controle para cada risco e determinado as ações de mitigação para os riscos identificados
2ª etapa: Formação do Comitê de Compliance
O modelo ideal para este comitê é ser composto por um membro de cada área da empresa, incluindo um representante da alta direção. O coordenador deve ser o Gestor do Risco que apresentará os resultados, registrará a ata de reunião e acompanhará todas as ações oriundas do comitê.
Mensalmente este comitê se reúne para analisar, discutir em conjunto os resultados dos indicadores e decidir as melhorias necessárias à operação. Desta forma, o comitê garantirá visibilidade a toda operação da evolução dos riscos empresariais.
Nos cenários onde não há viabilidade de se criar um comitê de riscos pelo tamanho da empresa (pequena ou média) ou pelo modelo de governança constituído, uma reunião com os gestores das áreas já supre a questão e conclui a etapa de apresentação dos indicadores.
Vinculação com a Estratégia Empresarial
Concluída etapa de apresentação para todas as equipes de gestão de riscos , o GRC está pronto para alcançar a alta direção, mostrando os indicadores que estão impactando os negócios empresariais.
De forma eficiente, toda operação já está alinhada e participando ativamente do plano de ação. A próxima etapa é a apresentação oficial a alta direção. O Programa de Riscos e Compliance deve ser utilizado no momento dedicado às questões de Estratégia Empresarial no Conselho de administração e levará: o Indicador, desvio, risco do negócio e o PDCA.
Para as empresas pequenas e médias, onde o modelo de governança estabelecido liga a estratégia empresarial diretamente aos sócios, e não há conselho de administração, da mesma forma o GRC deve apresentar aos sócios os indicadores reportando os riscos aos negócios. Para estas empresas a resposta é ainda mais rápida, pois o risco reputacional é sentido diretamente por aqueles que estruturaram a empresa, agindo diretamente na visão, missão e valores empresariais.
Com este modelo de gestão implantado, o risco de erro na tomada de decisão é baixo, pois a alta direção será municiada de informações completas, com visão do risco nos processos estratégicos e visibilidade necessária dos impactos financeiros em processos e em gestão.
Para gerar credibilidade e municiar o ciclo 360º de gestão, os indicadores devem continuar sendo medidos, retroalimentando a operação no comitê de riscos e garantindo a correta visibilidade periódica ao Conselho de Administração.
Se algum fato novo surgir, tal como alto risco de fraude ou falha operacional com impacto financeiro GRC deve, em caráter emergencial, reportar o tema a alta direção, pedindo uma seção extraordinária para cuidadosamente se instalar uma gestão de crise.
GRC como tendência de mercado na busca pela eficiência empresarial.
Um Programa de GRC genuíno nasce da vontade dos sócios e da alta direção de uma companhia em manter a idoneidade da corporação, garantindo que todos os colaboradores estejam envolvidos com missão, visão e valores da instituição onde estão inseridos.
Para esta transformação cultural, precisamos garantir que a alta direção se conscientize dos riscos empresariais e, por isso, assuma o papel de proteger a pessoa jurídica dos atos praticados pelas pessoas físicas.
A melhor forma de fazê-lo é com uma visão 360° de Gestão de Riscos e Compliance apontada aqui neste capítulo: um modelo de gestão transparente e eficiente por indicadores de controle, monitoramento e performance; com reuniões de GRC periódicas composta por todas as áreas da empresa, garantindo análise de causa dos desvios e elaboração conjunta de um plano de ação.
Trazer para a cultura organizacional a visão de indicador, risco e plano de ação, garante que as ações corretivas, pactuadas com as áreas, chegue à alta direção, possibilitando correção imediata. Desta forma, o GRC nunca está sozinho! Ele sempre estará acompanhado das áreas de negócio desde a análise do risco, da causa e no momento de apresentação do PDCA para toda a empresa. Resultado: Risco e resultado assumidos pela gestão e pela alta direção.
Concluímos que não basta ter GRC, precisa ser Riscos e Compliance como cultura organizacional. É necessário mudar o mindset da corporação, trazendo o envolvimento de toda a cadeia empresarial com o programa.
Este envolvimento deve ser feito em pequenas, médias e grandes empresas, independente da estrutura de governança. O objetivo é criar um diálogo com aqueles que decidem pelo negócio e conscientizar a todos a fazerem o que é certo, com redução dos riscos e impactos financeiros e reputacionais ao negócio.
Neste sentido, a melhor forma de transformação das pessoas será feita por meio da paixão, do engajamento, do esforço e do treinamento contínuo.
Fábia Cunha é Head de Riscos e Compliance da Accor América do Sul, coordenadora da Pós-Graduação FIA em Gestão de Riscos e Compliance. Advogada e professora, com 16 anos de experiência em gestão jurídica estratégica, com MBA em Gestão Empresarial, Pós Graduada em Qualidade, Processos e Projetos pela UNICAMP, Especializada em Compliance pela New York Bar Association e em Proteção de Dados Pessoal – LGPD pela FIA – Fundação Instituto Administração.
- “Sequestro de dados é crise da vez”, alerta CEO da CoSafe - 14/09/2021
- Sua comunicação de crise vai continuar no WhatsApp? - 28/01/2021
- O gerenciamento de crises e o malabarismo com pratos - 19/01/2021