As 5 Principais Práticas em Governança de Integridade de Terceiros

05 abr As 5 Principais Práticas em Governança de Integridade de Terceiros

Postado às 14:55h em Background Check, Due Diligence, ESG por Manuel Marinho

No nosso conteúdo de fevereiro de 2024, exploramos os 10 principais fatores de risco de integridade avaliados por organizações, quando do início de um relacionamento comercial ou institucional com terceiros em geral. São eles:

Condutas antiéticas e má reputação
Conflito de interesses
Inconformidades regulatórias
Práticas financeiras questionáveis
Falta de transparência
Omissão de informações relevantes
Falta de políticas de conformidade
Processos de due diligence inadequados
Histórico de vazamentos de dados
Controle de qualidade abaixo do padrão

Dentre as melhores práticas de governança de integridade de terceiros, há 5 que merecem um destaque especial, por proporcionarem elevada efetividade na prevenção dos riscos acima listados – e não apenas quando se inicia um novo relacionamento com uma contraparte, mas também à medida que a interação de negócios vai avançando. Vamos falar sobre elas:

Pesquisas de informações em fontes públicas e autorizadas: Hoje em dia é possível contar com tecnologias que alcançam, em poucos minutos, centenas de fontes de informações públicas e autorizadas de terceiros, tais como dados cadastrais, disputas e condenações judiciais, investigações criminais, pendências financeiras, certidões de débitos (fiscais, trabalhistas, fundiários etc.), penalidades impostas por autoridades regulatórias, restrições em negócios com Governos, casos de corrupção ou outros ilícitos, pessoas politicamente expostas (os “PEPs”), listas sancionatórias ou investigativas internacionais, mídias adversas e muitas outras mais.

Essas informações permitem que a organização obtenha uma visão panorâmica do perfil ético-reputacional dos terceiros com os quais pretende iniciar um relacionamento comercial ou institucional, antes de efetivamente comprometer-se contratualmente com tais contrapartes. Com base no conteúdo colhido nas pesquisas, a organização poderá se valer das proteções contratuais (cláusulas de saída, garantias e covenants, obrigações de sigilo etc.) e operacionais (limites a volumes transacionados, condições de pagamento e crédito, substituição na cadeia de suprimentos, interrupção de negócios etc.) adequadas ao perfil de risco do terceiro, ou simplesmente optar por não prosseguir com o relacionamento em dado momento.

Sobre o tema, é importante destacar que a organização deve comunicar a suas contrapartes de negócios e terceiros em geral que captura dados pessoais em fontes públicas, como prática de compliance preparatória à contratação (em alguns casos requeridas por norma regulatória do segmento) ou outro motivo de legítimo interesse[i], de modo a manter-se alinhada às exigências da Lei Geral de Proteção de Dados (LGPD).

Questionários de informações fornecidas pelo próprio terceiro: É comum que as organizações requeiram que terceiros com os quais vêm negociando preencham questionários com informações cadastrais. A coleta de dados diretamente junto ao terceiro é uma prática muito importante, de um ponto de vista de governança, posto que confere razoável segurança de que aquela contraparte apresenta uma condição registral estável (inscrições fiscais válidas, versão atual do Contrato ou Estatuto Social, identificação de representantes legais etc.), permitindo que as bases de informações cadastrais do terceiro tenham boa qualidade – isto seguramente contribuirá para que os processos transacionais (compras, vendas e outros) transcorram com eficiência.

Mas é possível ir além. Sua organização pode transformar um questionário meramente cadastral em um questionário de integridade, a contemplar não apenas os dados registrais convencionais, mas também informações complementares essenciais para a detecção de riscos de integridade, não disponíveis em fontes de informação públicas. Por exemplo, sua organização pode utilizar o questionário de integridade de terceiros para colher informações sobre: beneficiários finais (se o terceiro for uma pessoa jurídica); políticas e normas internas relevantes; demonstrações financeiras; composições de órgãos de gestão; práticas de governança de dados, de segurança da informação, de integridade de terceiros (sim, isso também), dentre outras. Vale comentar que pode ser necessária a posterior checagem de certos tipos de informações transmitidas pelo terceiro, para confirmação de veracidade.

As informações obtidas com a prática de questionário de integridade vão se somar às do tópico 1 na definição do perfil de risco de integridade do terceiro, além de também servirem de insumo para a determinação de proteções contratuais e operacionais.

Outras fontes de informação qualificadas: Nos tópicos 1 e 2 cuidamos de informações provenientes de fontes públicas ou do próprio terceiro. Entretanto, informações relevantes também podem ser oriundas da interação com o terceiro em comunidades de pares das quais sua organização faça parte, da experiência prévia de negócios realizados diretamente com o terceiro no passado, ou ainda de situações vivenciadas por colaboradores da sua organização com passagem por outras empresas – em outras palavras, podem ser colhidos dados relevantes sobre um terceiro em fontes internas da sua organização.

A conjugação das informações capturadas através das práticas descritas nos tópicos 1, 2 e 3 constituem a espinha dorsal da diligência de integridade de terceiros (no termo em inglês, third-party due diligence), um dos mais importantes pilares de governança e compliance no ambiente corporativo.

Conflito de interesses: Uma prática de governança muito efetiva para garantir que as transações comerciais ou institucionais praticadas com terceiros ocorrerão sempre e exclusivamente no melhor interesse da organização é obter dados que permitam identificar se algum interlocutor com cargo relevante em uma contraparte guarda relações de parentesco, societárias ou de outra espécie com colaboradores da sua empresa, ocupantes de posições-chave em áreas de negócios (Compras, Vendas, Marketing, Diretorias etc.).

A existência de conexões indesejadas entre terceiros e integrantes das áreas de negócios da organização é indiciária de um cenário de potencial conflito de interesses, do qual podem resultar transações em condições excepcionalmente vantajosas para os terceiros ou para algum de seus colaboradores em particular, consumindo recursos desnecessários da empresa. Essas são situações comumente observadas em casos de fraudes em processos de compras, vendas, licitações, seleção de parceiros etc.

Conexões indiciárias de conflitos de interesses podem existir previamente à contratação do terceiro ou podem surgir posteriormente, quando o relacionamento com o terceiro já esteja em curso. Por conseguinte, a melhor prática de prevenção a situações de conflitos de interesses recomenda a realização de testes concomitantes à contratação, bem como em intervalos de tempo regulares subsequentes (ao menos anuais). Esses procedimentos podem ser conciliados com o calendário de atividades de outras áreas, tais como as Gerências de Controles ou Auditoria Interna.

Monitoramento de compliance: As práticas de monitoramento são um outro importantíssimo pilar em governança e compliance no âmbito corporativo. Essas práticas garantem que a organização identifique e responda adequadamente a flutuações nas informações ético-reputacionais de terceiros, ocorridas ao longo da execução do contrato firmado, e que resultem em um agravamento no seu perfil de risco.

Com efeito, é perfeitamente possível que fatos com potencial de risco venham a ocorrer posteriormente aos procedimentos de diligência de integridade de um terceiro, realizados ao tempo de sua contratação, e a organização deve estar preparada para detectá-los. Por exemplo, um dos administradores de um terceiro pode se tornar PEP após vitória em pleito eleitoral, pendências financeiras relevantes podem surgir e ganhar publicidade, processos regulatórios podem vir a ser concluídos com imposição de sanções, escândalos de corrupção podem vir à tona, fraudes contábeis podem ser reveladas, situações de trabalho escravo podem ser descobertas e muitos outros problemas mais. Nesta perspectiva lógica, é fácil compreender a importância das práticas de monitoramento para uma boa gestão de riscos de integridade de terceiros.

Como se pode notar, algumas das práticas acima listadas são realizadas antes da celebração de um contrato com o terceiro, nas etapas de seleção, cadastramento e discussão de termos contratuais; outras são executadas quando o contrato já está em execução; e, finalmente, há práticas que se processam antes e depois de um contrato ter sido firmado.

Todas elas demandam recursos da organização, sempre escassos ou limitados. Por tal razão, é importante que a organização module a aplicação dessas práticas de acordo com o perfil de risco de cada terceiro, de modo que os níveis de efetividade de seus processos de governança de integridade se mantenham elevados, mas com emprego equilibrado de recursos.

A literatura designa esta modulação das práticas de governança como “abordagem baseada em risco” – expressão abraçada pelos principais guias orientativos e normas regulatórias dedicadas ao tema[ii]. O conceito básico contido na expressão é que devem ser objeto de verificações mais aprofundadas e mais regulares aqueles terceiros cujos perfis de risco sejam mais elevados; portanto, uma relação diretamente proporcional entre risco e recursos organizacionais alocados.

O perfil de risco de um terceiro pode ser estabelecido a partir da combinação de 3 componentes:

Intrínsecos: Pode ser aferido pela relevância e quantidade de achados ético-reputacionais adversos diretamente associados ao terceiro, colhidos em pesquisas em fontes externas, no questionário de integridade e em outras práticas de governança (tópicos 1 a 5);
Extrínsecos: Reflete o nível de exposição ético-reputacional endêmico ao segmento de operação do terceiro;
De negócio: Decorre da importância do terceiro no modelo de negócio da organização, seja pela sua representatividade como fornecedor, cliente ou parceiro, ou por ocupar uma posição crítica na cadeia de suprimentos de alguma linha de negócio sensível (por exemplo, vendas a Governo).

Feito este exercício, é possível construir um mapa contendo o momento, a profundidade e a periodicidade das práticas e procedimentos de governança a serem adotadas para cada perfil de risco de terceiros, garantindo o máximo de efetividade com o mínimo de gastos. Veja um exemplo, para fins ilustrativos, no quadro a seguir (Quadro 1):

Quadro 1

	PRÁTICAS ANTECEDENTES À CONTRATAÇÃO
				PRÁTICAS POSTERIORES À CONTRATAÇÃO
	*Third-party due diligence*			Conflito de interesses	Monitoramento de compliance
PERFIL DE RISCO DO TERCEIRO	*Pesquisa de informações (background check* \| KYC)**	Questionário de integridade	Outras informações	Conflito de interesses	Monitoramento de compliance
Alto	SIM, COMPLETA	SIM	SIM	NA CONTRATAÇÃO + TESTE SEMESTRAL	TRIMESTRAL ou SEMESTRAL
Moderado	SIM, COMPLETA	SIM	OPCIONAL	NA CONTRATAÇÃO + TESTE ANUAL	ANUAL
Baixo	SIM, SIMPLIFICADA	OPCIONAL	OPCIONAL	N/A	N/A

Finalmente, é fundamental ressaltar que o ciclo de práticas de governança de integridade de um terceiro deve ser reiniciado, sempre que uma relação contratual for renovada. É o momento certo de fazer uma retrospectiva da experiência acumulada no convívio com o terceiro até o término do contrato, revisar condições contratuais e de negócio, e refazer todos os procedimentos de third party due diligence, de modo a garantir que uma nova jornada no relacionamento com aquela contraparte ofereça ainda menos riscos.

Esperamos que este texto traga contribuições para seus processos de governança de integridade de terceiros e pode contar com as tecnologias EthQuo para maximizar a eficiência e proporcionar altíssima efetividade nesta área! Fique ligado nos nossos próximos conteúdos.

[i] Recomendamos a leitura do guia publicado pela Autoridade Nacional de Proteção de Dados (ANPD) sobre o tema, disponível em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia_legitimo_interesse.pdf.

[ii] Um guia acessível sobre o tema e que dá uma visão conceitual bem clara foi divulgado pelo GAFI (Grupo de Ação Financeira Internacional) e pode ser encontrado em https://www.fatf-gafi.org/content/dam/fatf-gafi/guidance/Risk-Based-Approach-Banking-Sector.pdf.coredownload.pdf (com a ressalva de que seu conteúdo é direcionado ao segmento financeiro).