Primeiramente, riscos não se tratam apenas de fatores internos ou externos que sabidamente vão causar algum transtorno ou prejuízo. Eles englobam também os fatores que podem gerar imprevisibilidade de alguma forma para o negócio, como o desenho inadequado de rotinas empresariais, que causam imprevisibilidade acerca de como os setores irão operar.
Por isso, a gestão de riscos vai além da preocupação com coisas que representam perigo à empresa direta e claramente. E ela inclui etapas como mapeamento de ambientes, identificação de fatores internos, externos, diretos e indiretos, e a implementação de ações práticas de monitoramento e prevenção contra os riscos.
Gestão de riscos e compliance
Os termos não são sinônimos, pois esse gerenciamento se encontra dentro da estratégia maior que é a de compliance.
Ele integra o programa de compliance junto a pilares como treinamento e comunicação, inclusive se relacionando com esses e outros alicerces para que o programa seja abrangente e funcione. Ou seja, sem a gestão de riscos a estratégia de compliance se torna falha, menos eficiente, e outros pilares do programa podem não entregar os resultados esperados.
Classificação dos tipos de riscos
Um negócio pode ser prejudicado de várias formas. Ainda que quase todas elas acabem resultando em prejuízos financeiros, nem todos os riscos são de caráter financeiro e podem ser monitorados ou prevenidos a partir do setor de finanças.
Os principais riscos são:
- legais;
- reputacionais;
- operacionais;
- comerciais;
- trabalhistas;
- de qualidade do produto ou serviço;
- relacionais.
A importância de conhecer as diferentes naturezas dos riscos está na utilidade disso para o desenvolvimento de ideias e ações adequadas ao controle e à extinção desses riscos.
Por exemplo, existe o risco legal e operacional de a organização ser condenada por desrespeitar direitos e a privacidade de pessoas — titulares de dados pessoais — assegurados pela Lei Geral de Proteção de Dados (LGPD). E o trabalho para evitar isso, que pode culminar em prejuízo financeiro pelo pagamento de multa, tem de ser feito pelo jurídico e pelos profissionais que cuidam das rotinas de coleta e tratamento das informações de clientes, fornecedores, funcionários e demais titulares.
Análise de ambientes e identificação de fatores de risco
Agora, um raio X pode ser feito nos ambientes virtuais e físicos da empresa, e nos seus processos, para que os possíveis riscos sejam identificados. Provavelmente, essa é a parte mais demorada e pesada do trabalho, demandando muita atenção para que nada passe despercebido. Logo, é importante contar com a ajuda dos gestores de cada área, principalmente para o responsável pelo compliance entender os processos de cada setor e detalhes relevantes para o programa de compliance.
Vamos a alguns exemplos de ambientes e processos revisados:
- setor financeiro: camadas de acesso de cada usuários dos sistemas, formas de autorizações de transações e profissionais encarregados delas;
- setor produtivo: perigos relacionados à saúde do trabalho e status atual dos cuidados com atividades insalubres;
- marketing e comercial: adequação à LGPD para coleta e tratamento de dados de prospects e clientes;
- logística: segurança do trabalho e de profissionais em tarefas externas, como os motoristas que realizam as entregas;
- jurídico: acompanhamento legal e produção de documentos;
- contratação de fornecedores: processo de due diligence;
- RH e contratação de funcionários: etapas de recrutamento e seleção e adoção de critérios permitidos pela lei para diferenciação e escolha de contratados.
Citamos muita coisa, mas ainda há tantos outros pontos que têm de ser observados nessa etapa. Daí a importância de se formar um grupo de gestores para um mapeamento cuidadoso e que não gere sobrecarga sobre profissional nenhum.
Análise de ambientes e fatores externos
Infelizmente, pessoas, empresas e fatos de fora do negócio podem o prejudicar, inclusive de maneira imprevista. Então, esses agentes precisam ser monitorados.
São tópicos como concorrentes, leis, cenário econômico, mercados relacionados, sindicatos e mudanças de comportamento de consumo.
Por exemplo, a empresa pode se beneficiar de um programa governamental de fomento ao ramo de atuação no qual se insere e essa medida pode ou não ser prorrogada, como a desoneração da folha de pagamentos de negócios de alguns setores. Portanto, esse fator deve ser monitorado pela sua imprevisibilidade e, no caso de encerramento, seu impacto no funcionamento da empresa.
Criação de ferramentas de controle
Apenas conhecer os mais diversos fatores de riscos e como podem atuar ainda não protege a empresa. Eles devem ser usados para a implementação de ferramentas de monitoramento e controle, que vão efetivamente controlar e extinguir, quando possível, os riscos.
Por exemplo:
- diferentes níveis de acesso aos sistemas da empresa;
- limitação de valores de pagamentos de contas para funcionários de nível inferior da hierarquia do financeiro;
- requerimento de aprovações e autorizações especiais em determinados processos;
- definição e acompanhamento de indicadores, como dias sem acidentes de trabalho e sem incidentes com softwares e hardwares;
- mecanismos de detecção de riscos durante o andamento de processos de setores;
- mecanismos de interrupção de ações potencialmente perigosas, como negação de acessos a determinados ambientes virtuais ou funcionalidades por profissionais não autorizados.
Revisão periódica do plano e de incidentes
Pelo menos uma vez ao ano é importante analisar o andamento da estratégia de gestão de riscos e seus componentes, avaliando se a segurança de alguns pontos não pode ser reforçada ou se decisões não precisam de alguma modificação por apresentarem pontos fracos na prática ou excesso de burocracia. E a revisão também é importante para planejar os treinamentos periódicos.
E se no período avaliado houve algum incidente, é obrigatório buscar entender em detalhes o que ocorreu, quais foram as consequências e o que precisa ser modificado para que não haja reincidência.
Para continuar se informando sobre programa de compliance e as estratégias que o compõem, siga nossos perfis nas redes sociais e acompanhe as novidades do blog.
