O levantamento de risco em ética e compliance (ou mapeamento) é o processo pelo qual a organização identifica os riscos de suas atividades, por meio de métodos distintos. Analisando estes riscos e os avaliando para que seja possível aferir se já existem outros controles instituídos para impedi-los ou diminuí-los, o responsável poderá priorizá-los de acordo com o nível de cada um e elaborar um plano de gestão de riscos.
O departamento de compliance não possui essa incumbência direta, mas, sim, o dever de monitorar, auditar, reportar e acompanhar os resultados do processo de mapeamento que podem ser distribuídos ao longo de seis passos.
- Identificação dos riscos
Pode ser feita por pesquisas e entrevistas; auditorias internas; análise de investigações, incidentes e auditorias passadas; retorno de operações de negócio; exigências e requerimentos legais e regulatórios; ambiente atual de políticas em vigor; atividades de exigência de cumprimento; redes sociais e práticas do setor.
- Análise e avaliação dos riscos
Após a identificação dos riscos, o passo seguinte é determinar se devem ou não ser considerados como prioridade. Esta análise auxilia nas demais ações do programa como um todo: a cultura, a exigência de cumprimento, os controles e aspectos regulatórios.
- Priorização dos riscos
Esse processo envolve a “medição” segundo a probabilidade de ocorrência ou não da conduta indesejada/desvio e impacto da ocorrência da conduta indesejada ou desvio.
Existem alguns métodos e critérios que podem ser utilizados para se aferir se um risco é ou não prioritário (ranquear) e se deve ou não ser objeto de ações pontuais e específicas pelo departamento de compliance. São eles:
- Ranqueamento das variáveis de 0 a 100 de acordo com as fontes de ameaça, veracidade da informação recebida, a natureza da vulnerabilidade e existência ou não de controles implantados e potenciais efeitos que a ocorrência de risco acarretará na organização.
- Ranqueamento das variáveis entre alto (o evento acontecerá ou será de grande impacto na maioria das situações), médio (o evento provavelmente acontecerá ou causará impacto significativo nas operações) ou baixo (o evento pode acontecer ou o impacto não será significativo para a organização).
- Desenvolvimento de um plano de ação
O plano de mitigação NÃO deve ser desenvolvido ou implantado pelo Compliance Officer (CO). O papel do CO é manter o acompanhamento das ações que estão sendo realizadas no âmbito do plano de ação para mitigação. O CO deve permitir que os próprios gestores responsáveis decidam quais das ações serão realizadas.
- Reporte e a documentação objetiva
O CO deverá comunicar as informações obtidas durante todo o processo, por meio de relatório consolidado, segundo as próprias políticas de compliance, a espécie de organização e normas regulamentares.
- Monitoramento, acompanhamento e auditoria do plano de mitigação
O CO deverá acompanhar o plano de mitigação apresentado até que seja definitivamente concluído, bem como conduzir auditorias periódicas do sistema de controle de riscos implantados. É muito importante que o CO se encontre com os gestores responsáveis para revisar a priorização (tudo que envolve o programa de compliance é dinâmico e vivo).
O importante é que fique claro que este é um TRABALHO CONTÍNUO e que todas as partes da empresa precisam fazer parte do programa e acreditar na sua funcionalidade. Assim como os benefícios são para todos, caso tenha um prejuízo por não estar conforme o recomendado, os danos podem ser sofridos por todos também.
Até o próximo artigo!