É notória a mudança do mercado brasileiro desde a entrada em vigor da Lei Anticorrupção e da Operação Lava Jato. As empresas têm cada vez mais se preocupado em construir e aprimorar mecanismos de compliance que previnam, controlem e mitiguem riscos associados ao negócio, especialmente riscos atrelados à corrupção.
Embora nos últimos anos muitas empresas tenham adotado esses Programas, o processo de (re)desenhar e colocar de pé uma estrutura interna de compliance não é tarefa banal. Antes de tudo, é preciso conhecer as fragilidades e ameaças aos negócios; os riscos inerentes e aqueles evitáveis; conhecer os procedimentos adotados, as práticas comerciais, os gargalos e os pontos cegos das tarefas executadas. Para tanto, o primeiro passo na implementação de um Programa de Integridade é justamente a realização de uma análise de risco.
O risk assessment é a ferramenta certa para um diagnóstico da eficiência do modus operandi da empresa e uma autocrítica sobre a eficácia dos controles adotados e a gravidade dos riscos aos quais eventualmente se expõe, muitas vezes desnecessariamente, devido à falta ou defasagem dos instrumentos de controle interno.
O primeiro passo para fundar as bases de um bom risk assessment é conhecer a cultura e história da empresa, entender o contexto do negócio, seu mercado. Igualmente relevante é conhecer as pessoas que construíram essa história e difundem essa cultura no dia a dia. Por isso ouvir os fundadores e as lideranças da empresa é tão importante: permite compreender os valores e objetivos da empresa, sua visão de negócio e seu apetite ao risco. É fundamental também não só entrevistar Colaboradores, para engajá-los no processo, para que cooperem na identificação dos riscos e eventuais falhas nos procedimentos.
Também é necessário, logo de início se inteirar das atividades operacionais envolvidas, os clientes e fornecedores, os riscos a que a empresa já foi exposta anteriormente e quais consequências foram enfrentadas em razão deles. Vale fazer uma análise sobre os casos de fraude, assédio, danos ambientais, corrupção etc. já reportados no Canal de Denúncia, na Ouvidoria ou outro canal disponibilizado aos colaboradores.
Após conhecido o contexto interno da empresa, é preciso considerar o contexto externo em que ela se insere. Um
Contudo, não se pode esquecer que a estrutura normativa interna da empresa também deve ser conhecida. Portanto, é importante explorar o que já existe em termos de controles internos: Código de Conduta, políticas e procedimentos, materiais de treinamento, relatórios de auditoria etc.
Todas essas informações serão indispensáveis para se pensar, no momento seguinte, a aplicação do Programa de Integridade na empresa: a distribuição de competências; a criação de uma área ou redistribuição de funções; a organização das atividades e processos de modo a criar gatekeepers apenas nos pontos necessários, sem travar ou burocratizar as operações desnecessariamente.
O Programa de Integridade não deve ser mero conjunto de papel entregue na admissão de novos funcionários ou mesmo sem qualquer relação com a atividade da empresa. Pelo contrário – ele deve ser bem estudado e mantido vivo por todos, para que possa ter efetividade. A decisão de se estruturar um Programa de Integridade vem acompanhada da dúvida sobre o que fazer em seguida. Certamente um risk assessment bem estruturado é um excelente início.
_________________
*Luciano de Souza é sócio das áreas de Compliance e Anticorrupção e Relações Governamentais no Cescon Barrieu Advogados.