Como estruturar um plano de gerenciamento de riscos de compliance

Índice

• Quais são os riscos de compliance
• Importância de mitigar riscos
• Como elaborar um plano de gerenciamento de riscos
• Como dados e a tecnologia apoiam este processo

O plano de gerenciamento de riscos ajuda as organizações a terem em mãos as metodologias, tecnologias e abordagens certas para lidar com as incertezas que as cercam nas mais diversas áreas. Isso facilita a mitigação e o controle de possíveis impactos, que vão desde perdas financeiras, danos reputacionais e até mesmo implicações jurídicas.

Neste post, veja quais são os riscos de compliance, a importância da mitigação de riscos, como elaborar um plano de gerenciamento de riscos e como a tecnologia pode ajudar. 

Quais são os riscos de compliance

Riscos são incertezas que, caso se concretizem, podem impactar negativamente a empresa e interferir no atingimento das metas traçadas. 

Para prevenir-se, o setor de compliance deve contar com um plano de gerenciamento de riscos que ajude na identificação e tratamento dessas ameaças.

Os principais riscos de compliance são:

Financeiro

São os riscos relacionados às decisões sobre investimentos da organização, a conformidade com as regras de contabilidade e legislação vigente, além de procedimentos para prevenção à lavagem de dinheiro e outras fraudes.

Trabalhista

São os riscos relacionados ao ambiente e à legislação do trabalho, como conformidade com a CLT, respeito à carga horário e limites de hora extra, assédio moral e sexual, segurança do trabalho, entre outros.

Regulatório

São as incertezas que envolvem possíveis penalidades (multas, sanções, impossibilidade de operar, etc.) por parte dos órgãos regulatórios do setor em que a empresa atua. 

Alguns exemplos são o Banco Central, a Agência Nacional de Vigilância Sanitária (Anvisa), de Energia Elétrica (Aneel), de Telecomunicações (Anatel), de Aviação Civil (Anac), entre outros.

Responsabilidade Social

Envolve os riscos referentes à relação da empresa com a comunidade, como descarte incorreto de resíduos, poluição e fontes de água, geração de oportunidades, investimento na economia local etc.

Reputação

Abrangem as ameaças para a imagem da empresa junto ao público e ao mercado. Estão presentes na resolução de reclamações, no lançamento de novas soluções, no uso da logomarca, entre outros.

Tributário

Refere-se ao planejamento tributário da organização, o cumprimento das regras do fisco, o pagamento de tributos, etc.

Anticorrupção

Abrange os procedimentos relativos ao combate à corrupção, como o respeito à Lei nº 12.846/2013 – chamada de Lei Anticorrupção -, a identificação de operações fraudulentas e, sobretudo, o controle da interação com agentes públicos e o combate a fraudes em licitações.

Privacidade de dados e segurança da informação

Consiste nos riscos relativos à conformidade com as legislações para proteção de dados e o tratamento de informações de pessoas e empresas. O maior exemplo é a Lei Geral de Proteção de Dados (LGPD).

Importância de mitigar riscos

A mitigação de riscos está ligada às estratégias postas em prática para identificar possíveis ameaças à organização e minimizar seus efeitos. Ou seja, é um processo de prevenção.

Em um cenário ideal, uma empresa estaria preparada para lidar com todos os riscos e ameaças que surgissem, até mesmo evitando que eles aconteçam. 

No entanto, a realidade é diferente. Um plano de mitigação de riscos atua na contenção das consequências de uma ameaça que não pode ser totalmente evitada.

Assim, essa estratégia consegue preparar a empresa para o pior cenário, reconhecendo que algum dano de fato ocorrerá, mas já tendo em mãos um plano de ação para contingenciamento e para reduzir ao máximo seus efeitos negativos.

Outros benefícios da mitigação de riscos que merecem ser citados são:

• Alcançar objetivos com mais facilidade;
• Aprimorar a identificação de ameaças e oportunidades;
• Contribuir para uma melhor governança corporativa;
• Manter controles mais eficazes;
• Melhorar a aprendizagem organizacional;
• Ter uma gestão mais proativa.

Leia mais: Como implantar um programa de compliance em 7 passos

Como elaborar um plano de gerenciamento de riscos

O plano de gerenciamento de riscos busca conferir à empresa uma atitude mais proativa em relação às ameaças que a circundam, permitindo o tratamento e a mitigação dos seus impactos.

A função desse plano é determinar quais serão as medidas de execução, monitoramento e controle adotadas para lidar com as ameaças e oportunidades que surgirem. O objetivo é garantir que as ações de gerenciamento sejam proporcionais à importância de cada risco para a organização. 

Assim, evita-se, por exemplo, destinar muito recursos (humanos, financeiros e tempo) para tratar ameaças que não têm tanto relevância para o negócio.

As etapas para elaborar um plano de gerenciamento de riscos são:

Mapeie os riscos de compliance

O primeiro passo para a estruturação do plano de gerenciamento de riscos se refere ao mapeamento de riscos de compliance aos quais a empresa está exposta e sua categorização.

Como vimos, existem diferentes categorias de risco, sendo as principais:

• Riscos financeiros;
• Riscos trabalhistas;
• Riscos regulatórios;
• Riscos de responsabilidade social;
• Riscos reputacionais;
• Riscos tributários;
• Riscos de corrupção;
• Riscos de segurança de dados.

Ainda é possível citar outros exemplos de riscos que devem ser mapeados, como riscos ambientais, comerciais, de segurança no trabalho, de governança, entre outros. Caso queira saber mais, confira os principais riscos legais e como evitá-los.

Nesta etapa, a empresa deve definir quais dessas ameaças estão relacionadas ao seu negócio e, se for o caso, a um projeto específico.

Veja como aplicar políticas de compliance para pequenas e médias empresas neste webinar:

Defina o apetite ao risco da empresa

O apetite de risco se refere às ameaças as quais a empresa está disposta a tolerar e o quanto será preciso gerenciar. Para analisar esse fator, é preciso considerar:

• Perfil de risco: quais são os principais riscos para a empresa e os controles de mitigação disponíveis.
• Capacidade de risco: quanto de risco a empresa pode tolerar.

Elabore a matriz de impacto e probabilidade

A matriz de impacto e probabilidade é uma ferramenta essencial para a organização do plano de gerenciamento de riscos. É um gráfico em que seus eixos são representados por:

• Impacto: O grau dessa repercussão para a empresa vai variar de acordo com o que está sendo analisado e do setor em que ela atua. Para uma empresa X, a aprovação de uma nova lei ambiental por representar um alto impacto, já para outras organizações, essa mesma legislação pode ter impacto insignificante.
• Probabilidade: riscos não são eventos certos; eles podem ocorrer. Sendo assim, é impossível dizer que um risco tem 100% de possibilidade de ocorrência, uma vez que estamos lidando com incertezas. Da mesma forma, não podemos atribuir 0% de chances, pois esse evento, sem probabilidade de acontecer, não configura um risco.

Leia mais: Como formular um programa de compliance ambiental

Ao trazer a relação entre impacto e probabilidade para o campo visual, a matriz auxilia as empresas na priorização dos riscos e na identificação daqueles que devem ser tratados com mais urgência.

Adote tecnologias e metodologias de apoio

O plano de gerenciamento de riscos deve definir as ferramentas, as fontes de dados e as metodologias de abordagem que serão utilizadas na identificação e gestão das ameaças.

Existem várias metodologias disponíveis para auxiliar nesse processo. Destacamos:

• PMBOK (Project Management Body of Knowledge): estabelece diretrizes para todos os estágios que compõem o desenvolvimento de um projeto: início, planejamento, execução, monitoramento e controle e encerramento.
• PFMEA (Process Failure Mode and Effective Analysis): foca o descobrimento de falhas em potencial, sua classificação e eventuais ajustes necessários ao desenvolvimento do projeto. Nessa análise de riscos, são consideradas três variáveis principais de severidade, que são o impacto do risco, a frequência com que o erro pode acontecer e a rapidez ou facilidade com que o problema é percebido.

Monitore os riscos continuamente

Uma vez identificadas as incertezas, o plano de gerenciamento de riscos irá servir para acompanhá-las e monitorá-las continuamente, por meio da documentação das estratégias adotadas e da eficácia de cada uma.

É importante ter em mente que os riscos que incidem sobre a organização não são imutáveis.

Aqueles que foram identificados no início do ano podem mudar alguns meses mais tarde – para melhor ou pior -, tornando algumas ameaças mais e outras menos prováveis. 

Além disso, qualquer mudança afeta também a previsão do impacto de cada risco. Por esse motivo, é altamente recomendável monitorá-los ao longo de todo seu ciclo de vida. Esse monitoramento de riscos é fundamental para o aprimoramento das estratégias e para trazer lições importantes para o futuro.

Leia mais: Gestão de Risco: Importância e como o Compliance auxilia

Como dados e a tecnologia apoiam este processo

Contar com dados concretos e informações seguras sobre a operação da empresa e o mercado em que ela está inserida é essencial para permitir uma visão mais clara sobre as ameaças e oportunidades em cada setor.

Dados de fontes externas como de órgãos reguladores, Receita Federal, Juntas Comerciais, Tribunais e Fóruns, Banco Central, IBAMA, CNEP, Portais de Transparência dos Governos, listas de restrições nacionais e internacionais e até de registros de mídia negativa devem ser acompanhados.

Para utilizar essas informações, no entanto, é preciso contar com uma estrutura que permita agrupar as fontes e realizar pesquisas contínuas com o maior grau de atualização possível para dar vazão ao volume de informações a serem analisadas.

Por meio de soluções inteligentes, é possível analisar um grande volume de dados em pouco tempo, além de extrair conhecimento e insights importantes para a detecção e correção de possíveis ameaças.

O uso da tecnologia permite que as empresas incorporem procedimentos mais robustos e tenham uma visão preditiva e mais abrangente para o gerenciamento de riscos. Tecnologias como Big Data Analytics e Machine Learning podem ser aplicadas para dar mais precisão e agilidade às análises de risco. 

Essas ferramentas permitem às empresas automatizar processos e ganhar inteligência, tornando as análises mais rápidas e, assim, aumentando as chances de identificar previamente e prevenir irregularidades.

Saiba mais neste podcast que debate como a tecnologia ajuda o Compliance a reduzir riscos e perdas nas empresas.

Conclusão

Contar com um plano de gerenciamento de riscos de compliance é uma medida imprescindível para evitar perdas e prejuízos, sejam eles financeiros, reputacionais ou quaisquer outros.

A definição de um planejamento para identificar e lidar com ameaças e para mitigar seus efeitos é importante para que a empresa tenha visão mais global da probabilidade e dos possíveis impactos desses riscos nas suas operações.

Tudo isso proporciona uma operação mais eficiente, a redução de despesas, a melhoria de produtos e serviços e também promove o desenvolvimento sustentável da organização de modo a trazer mais credibilidade junto ao mercado.

Saiba como as soluções da Neoway podem ajudar a sua empresa a fazer o gerenciamento de riscos de forma eficaz. Fale com nossos especialistas.