[1]A versão original desse post foi escrita em Inglês. A tradução não foi realizada pelo autor.
Um programa de compliance bem planejado se inicia com uma minuciosa avaliação de riscos. O Resource Guide do FCPA [2] refere-se as avaliações de riscos como um fator fundamental para o desenvolvimento de um programa de compliance consistente. Da mesma forma, a regulamentação brasileira acerca de programas de compliance [3] estabeleceu que a avaliação de riscos é um dos elementos que serão levados em consideração quando autoridades forem avaliar programas de compliance de uma empresa. Existem certas práticas que as empresas devem considerar quando realizarem estas avaliações. Este texto destaca seis delas.
Decidir o escopo da avaliação. Uma avaliação pode abranger uma vasta gama de riscos, dependendo da natureza da atividade exercida pela empresa. Desde o início, os profissionais envolvidos na realização da avaliação de riscos devem determinar quais áreas serão abordadas na avaliação (por exemplo, anticorrupção, antitruste, ambiental, trabalhista). Isto será importante não só para determinar quais recursos e expertises serão necessárias para a avaliação, mas também, para guiá-la. Insta salientar que, cada vez mais, as empresas estão realizando avaliações de riscos que cobrem diversas áreas.
Reconhecer que tamanho único não serve para todos. Como mencionado no Resource Guide do FCPA, programas de compliance “tamanho único” são geralmente mal planejados e ineficazes. Isso porque alguns dos riscos mais relevantes variam de um setor para outro ou mesmo entre empresas do mesmo ramo. Avaliar riscos exige, entre outras coisas, o conhecimento dos modelos de negócio da empresa, práticas internas, e lugares nos quais a empresa atua e tem negócios. No mínimo, uma avaliação adequada dos riscos inclui uma análise dos materiais relevantes da empresa e entrevistas.
Obtenção de materiais relevantes. Um passo importante da avaliação de riscos é reunir e revisar toda as informações relevantes da empresa que possam ser úteis. Exemplos de documentos a serem analisados: i) documentos de planejamento da empresa sobre as operações atuais e planos estratégicos de negócios; eles podem mostrar, por exemplo, que a empresa está planejando expandir seus negócios em mercados onde há uma alta probabilidade de corrupção ou que os parceiros locais serão utilizados em tais jurisdições; ii) as políticas e procedimentos de compliance; iii) avaliações de riscos anteriores; iv) os relatórios de auditoria / investigação interna; v) reportes de hotline; vi) os materiais de gestão financeira; vii) lista de terceiros utilizados pela empresa; e, viii) a lista dos principais clientes. Tais revisões podem ajudar as empresas a determinar os seus perfis de riscos e a identificar os pontos fracos existentes.
Realizar entrevistas. Entrevistas são muitas vezes um passo importante para uma avaliação de riscos, pois ajudam a identificar riscos específicos da empresa. A escolha dos entrevistados dependerá do escopo da avaliação. Normalmente se concentra nos gestores operacionais, lideranças e se pertinente, nos funcionários de cargos inferiores. De preferência, as entrevistas devem ser conduzidas pessoalmente e in loco. Os entrevistadores podem querer discutir, entre outras coisas, as responsabilidades operacionais e processos, uso de terceiros, interações com funcionários públicos e os desafios enfrentados e como eles são lidados.
Considerar as práticas da indústria. Normas para programas de compliance evoluíram e continuarão a mudar com novas leis e orientações regulamentares, bem como com as tendências decorrentes das ações de cumprimento, dos casos e das melhores práticas da indústria. Diante disso, as empresas devem estar cientes do rumo que as outras indústrias de seu ramo estão seguindo para lidar com os riscos. Por exemplo, empresas da área de saúde na América Latina podem aprender com outras indústrias de seu ramo as diversas formas em que a conduta imprópria pode ocorrer, bem como as melhores práticas locais para mitigar os riscos (veja Riscos de Compliance na área de Saúde na América Latina aqui [4]).
Rever as avaliações de riscos. As empresas devem rever regularmente os seus programas para avaliar a eficácia e identificar as áreas onde melhorias podem ser necessárias. Uma boa prática é rever a avaliação de anos em anos ou sempre que os riscos possam aumentar (por exemplo, com a expansão para outros países ou das linhas de negócios, aquisição de outras empresas).
Ed. Nota: FCPAméricas discute riscos em geral da América Latina aqui [5] e aqui [6], e os riscos específicos do Brasil aqui [7], no México aqui [8] e na Colômbia aqui [9].
As opiniões expressas nesse post são pessoais do(s) autor(es) e não necessariamente são as mesmas de quaisquer outras pessoas, incluindo entidades de que os autores são participantes, seus empregadores, outros colaboradores do blog, FCPAméricas e seus patrocinadores. As informações do blog FCPAméricas têm fins meramente informativos, sendo destinadas à discussão pública. Essas informações não têm a finalidade de proporcionar opinião legal para seus leitores e não criam uma relação cliente-advogado. O blog não tem a finalidade de descrever ou promover a qualidade de serviços jurídicos. FCPAméricas encoraja seus leitores a buscarem advogados qualificados a fim de consultarem sobre questões anticorrupção ou qualquer outra questão jurídica. FCPAméricas autoriza o link, post, distribuição ou referência a esse artigo para qualquer fim lícito, desde que seja dado crédito ao(s) autor(es) e FCPAméricas LLC.
© 2015 FCPAméricas, LLC