Análise, gestão e controle dos riscos

Outro elemento inerente ao compliance é o processo de análise, gestão e controle dos riscos. A fim de organizar uma resposta eficaz e contundente contra os riscos das mais variadas espécies, as empresas necessitam mapear as ameaças a que se encontrem submetidas em virtude de suas atividades. Neste sentido, a análise de riscos realizada no âmbito de um programa de compliance se mostra como um elemento básico e imprescindível, pois sem o conhecimento da empresa acerca de sua própria vulnerabilidade, jamais se poderá alcançar um nível efetivo de cumprimento (NIETO MARTÍN, 2015e, p. 153)100. Assim, torna-se essencial que a função de compliance e a gestão dos riscos empresariais estejam integradas, com vistas a conceder a maior efetividade possível no cumprimento normativo da empresa (MILLER, 2014, p. 533).

Um ponto fundamental, porém, é que cada empresa deve realizar essa análise tomando a própria atividade como parâmetro, pois os focos de riscos presentes em uma dada organização irão variar a depender das circunstâncias que venham a influenciar seu âmbito de atuação. Os nichos de risco de uma empresa alimentícia nunca serão os mesmos de uma indústria de extração mineral, por exemplo. Por isso, é primordial que cada corporação se

100_{Atualmente, inclusive, já se vê no mundo empresarial organizações que realizam várias cartografias de risco} sobre os diversos âmbitos de atuação da empresa, que depois são sintetizadas em uma cartografia de caráter global, envolvendo toda a sua atuação (DAOUD et al, 2011, p. 133).

coloque no epicentro da análise realizada, visto que somente assim poderá tomar medidas mitigadoras efetivas (PUERTAS; CAPILLA, 2015, p. 81)

Para concretizar essa pretensão, o processo de análise, gestão e controle dos riscos é geralmente realizado seguindo as guidelines oferecidas por organizações internacionais. O objetivo desta internacionalização das referências na gestão de riscos é precisamente o de uniformizar as medidas empregadas pelas corporações mediante um único procedimento universalmente reconhecido. Nesta seara, duas normativas se destacam mais fortemente: a normativa ISO 31000, elaborada pela International Organization for Standardization (ISO) e a guideline elaborada pelo Committe of Sponsoring Organizations of the Treadway Comission (COSO), ambas com foco na gestão de riscos.

De acordo com estas normativas, haveriam cinco etapas necessárias para o desenvolvimento correto do referido processo, a saber: (i) a fixação do objeto (Establishing the Context); (ii) a identificação dos riscos (Risk Identification); (iii) a análise dos riscos (Risk Analysis); (iv) a avaliação do risco (Risk Evaluation); e (v) o tratamento dos riscos (Risk Treatment).

Por (i) fixação do objeto (Establishing the Context), se entende a etapa utilizada para determinar o setor da empresa ou a atividade em que se irá proceder à análise dos riscos. Apesar de, em um primeiro momento, ser necessário pensar o programa de compliance de uma maneira mais global, quando o foco passa a ser a questão dos riscos é preciso delimitar o objeto tratado, correlacionando-o com áreas específicas da atividade da empresa. Dentro de uma organização complexa, os riscos de um determinado setor da empresa (vendas, licitações, recursos humanos, relações públicas, etc.) não necessariamente irão coincidir com os dos demais. Por isto, ao tratar do risco, é preciso proceder a uma análise de cada um dos setores de atividade da corporação, fixando o objeto sob análise de forma individualizada, um setor por vez (NIETO MARTÍN, 2015e, p. 154).

Estabelecido o contexto, o próximo passo é (ii) identificar os riscos (Risk Identification). O foco, neste momento, é encontrar, reconhecer e descrever os riscos, para assim estabelecer as suas respectivas fontes, causas e potenciais consequências (ESCUDERO, 2015, p. 535). O objetivo desta fase é justamente oferecer um diagnóstico completo sobre a situação de exposição de uma dada empresa, razão pela qual a delimitação deve ser feita de forma bastante abrangente, com vistas a englobar o máximo de possibilidades101.

101_{Sobre a necessidade de máxima abrangência possível nesta etapa, o Committe of Sponsoring Organizations of} the Treadway Comission, em um trabalho conjunto com a empresa de auditoria global Deloitte (COSO; DELOITTE, 2012) alerta que: “The risk (or event) identification process precedes risk assessment and produces a comprehensive list of risks (and often opportunities as well), organized by risk category (financial,

Concluída esta etapa, a fase subsequente será a de (iii) analisar os riscos (Risk Analysis) identificados inicialmente, com o objetivo de compreender a sua natureza. Neste momento, se tentará desenvolver critérios com o fito de permitir a criação de verdadeiras escalas que pautarão a análise posterior sobre esses riscos. Exemplificativamente, é possível desenvolver escalas para mensurar o impacto potencial dos riscos, a probabilidade de sua ocorrência, a vulnerabilidade da empresa quanto a eles, a velocidade de desenvolvimento da situação, etc (ESCUDERO, 2015, p. 535).

Com a criação destes referenciais, é possível levar adiante a seguinte etapa, isto é, (iv) a avaliação dos riscos (Risk Evaluation). Essa fase, em síntese, feita de forma tanto quantitativa quanto qualitativa, consiste na utilização dos critérios de análise estabelecidos no momento anterior para corroborar decisões empresariais em face ao risco. Como já apontado outrora, não se trata de uma tentativa de excluir por completo o risco da atividade empresarial, o que é, inclusive, impossível, mas sim de mitigá-lo a níveis aceitáveis. Para isso, contudo, é imperiosa uma atuação com o objetivo de priorizar, a partir de critérios concretos, quais são os riscos que merecem uma maior atenção por parte da empresa, pois somente assim poderá ela realizar uma verdadeira gestão de riscos102_.

A última fase deste processo, como não poderia ser diferente, é (v) o tratamento dos riscos (Risk Treatment). Uma vez detectada a existência de um risco relevante, a corporação não poderá permanecer inerte, sendo a sua reação, a partir da adoção de medidas de contenção e controle, um ponto essencial da gestão de riscos. Mediante o processo que realizou, a empresa deve capacitar-se para reagir, pois de nada adianta ter consciência da possibilidade de concretização de uma ameaça se medidas para sua minimização não forem elaboradas (COCA VILA, 2013, p. 58).

O objetivo, portanto, do processo de análise, gestão e controle dos riscos é que a empresa deixe de comportar-se de maneira passiva, tomando medidas proativas e efetivas no

operational, strategic, compliance) and sub-category (market, credit, liquidity, etc.) for business units, corporate functions, and capital projects. At this stage, a wide net is cast to understand the universe of risks making up the enterprise’s risk profile.”. Em tradução livre: “O processo de identificação do risco (ou evento) precede a avaliação dos riscos e produz uma lista compreensiva de riscos (e muitas vezes oportunidades também), organizada por categoria de riscos (financeiro, operacional, compliance) e subcategorias (mercado, crédito, liquidez, etc.) para unidades de negócios, funções corporativas e projetos de capital. Neste estágio, uma rede ampla é lançada para entender o universo dos riscos que compõem o perfil de riscos da empresa.”. 102 _{Sobre o tema, adverte Osvaldo Artaza Varela (2014, p. 251) que “por obvio que parezca, no tiene mucho}

sentido reaccionar igual frente a cualquier riesgo sin considerar en primer lugar su gravedad y la probabilidad de que ocurra. Un riesgo de mínima probabilidad y de un impacto muy bajo no debe ser controlado como uno de mayor probabilidad y de fuerte impacto.”. Em tradução livre: “por óbvio que pareça, não tem muito sentido reagir de forma igual frente a qualquer risco sem considerar, em primeiro lugar, a sua gravidade e a probabilidade de que ocorra. Um risco de mínima probabilidade e de um impacto muito baixo não deve ser controlado como um de maior probabilidade e de forte impacto.”.

sentido de mitigar as ameaças a que se vê submetida. Ressalte-se, porém, que este é um procedimento contínuo, de constante correção, aprendizado e aperfeiçoamento, não bastando ser ele realizado uma única vez, mas sim quantas vezes for necessário para que o programa de compliance venha a dotar-se de efetividade (BOCK, 2013, p. 114).