03 jul Riscos de Integridade na Cadeia de Suprimentos: Estratégias para uma Governança Corporativa Robusta – Parte 2/4
Por Manuel Marinho, CEO da EthQuo, Conselheiro de Administração Certificado pelo IBGC
Esta é a segunda parte de um texto de quatro partes. Não deixe de acompanhar as próximas postagens que serão publicadas em breve. Você pode ler a primeira parte clicando aqui.
2. Primeiros passos em governança de integridade de terceiros – a Cadeia de Suprimentos
2.1 Mapeando a cadeia de suprimentos, com ênfase em riscos de integridade, criticidades e atores
A força da cadeia de suprimentos da organização é um de seus fatores críticos de sucesso. Em todas as suas instâncias, a organização mantém relacionamento com grupos distintos de terceiros, todos eles com interesses específicos, mas todos eles convergentes em um objetivo comum: o êxito sustentável do eixo de valor que os conecta.
Do ângulo de visão da organização, é possível agrupar os atores de sua cadeia de suprimentos em três grandes núcleos temáticos: (1) ciclo de produto; (2) suporte ao negócio; e (3) ciclo de mercado. Veja o diagrama a seguir, para melhor clareza (Diagrama 3):
Diagrama 3
O Diagrama 3 demonstra que os terceiros integrantes da cadeia de suprimentos se agrupam em eixos intercomunicados de geração de valor, todos eles essenciais ao negócio da organização. É por isso que os riscos de integridade associados a terceiros podem contaminar toda a cadeia de suprimentos e trazer impactos arrasadores para a organização. Portanto, em um exercício de mapeamento, é necessário entender os riscos de integridade oferecidos pelo conjunto de atores de cada um dos três núcleos da cadeia de suprimentos (as pautas ESG são centrais nessa avaliação) e as respectivas criticidades. A matriz a seguir é um modelo sugestivo para esses fins (Matriz 1):
Matriz 1
As criticidades de risco indicadas no modelo acima são meramente exemplificativas, e os fatores de risco de integridade não são exaustivos. Outros podem (e devem) ser considerados pela organização, em linha com o mapeamento de riscos realizado, sempre levando em conta os temas de sua agenda ESG – é um exercício muito útil para as definições estratégicas sobre gestão de terceiros. Experimente fazê-lo.
Note que os temas associados a Governança (o “G” na coluna “Relevância ESG”) são os mais numerosos e marcam presença em todos os fatores considerados na Matriz 1. Com efeito, a contratação de um terceiro que apresente externalidades adversas ou outros desvios em relação a assuntos ambientais ou sociais pode dar causa, em última análise, a uma inconformidade por violação de disposições legais, de regras regulatórias ou de políticas de governança da organização.
Governança é um sistema e, como tal, permeia todos os processos e estruturas de uma organização, garantindo o seu funcionamento em harmonia com os direcionadores estratégicos definidos e viabilizando sua sustentabilidade. Um rico conteúdo conceitual sobre Governança pode ser encontrado na 6ª edição do Código das Melhores Práticas de Governança Corporativa do IBGC em https://conhecimento.ibgc.org.br/Paginas/Publicacao.aspx?PubId=24640.
2.2 Due diligence de terceiros – seleção com base em critérios ESG e integridade
Concluído o mapeamento da cadeia de suprimentos da organização, com identificação dos riscos de integridade que cada grupo de terceiros pode trazer e respectivas criticidades, sempre mantendo em vista as pautas ESG (veja a Matriz 1, no tópico 2.1), chegou a hora de ver, na prática, como descobrir esses potenciais problemas. Vamos falar sobre os processos de diligência de integridade (due diligence) dos terceiros.
Due diligence é um processo que visa a reunir o maior número possível de informações sobre elementos ético-reputacionais de terceiros, a serem utilizados na construção do seu perfil de risco. É com base nas informações capturadas e no perfil de risco obtido que a organização tomará decisões a respeito das proteções que serão adotadas no relacionamento comercial ou institucional com o terceiro, tais como: limites de operação (volumes transacionados, crédito concedido, regularidade de negócios etc.), eventuais salvaguardas contratuais a serem aplicadas (garantias, covenants, multas, restrições informacionais etc.), certificações requeridas, cláusula de saída, divulgação de informações etc. No tópico 3.1 exploramos um pouco mais este tema.
Quando o contrato com o terceiro estiver em execução, o processo de due diligence dá lugar ao monitoramento de integridade, a ser realizado em bases periódicas e continuadas.
Em se tratando de processos, a diligência e o monitoramento de integridade devem prever atividades que acompanhem o ciclo de relacionamento dos terceiros com a organização, funcionando como controle e como componente informacional, para suporte à documentação de cadastro ou outras funções de Master Data.
O diagrama a seguir lista as atividades-chave dos processos de diligência e monitoramento de integridade de terceiros, distribuindo-as ao longo do ciclo de relacionamento mantido com a organização (Diagrama 4).
Diagrama 4
Abaixo detalhamos as atividades-chave em cada etapa do ciclo de relacionamento:
- A etapa de Pré-cadastro é aquela que antecede a formalização de uma relação comercial ou institucional. A organização e o terceiro estão se conhecendo e avaliando se as condições gerais de contratação entre eles têm potencial para geração mútua de valor relevante. É importante neste estágio conduzir uma pesquisa de informações ético-reputacionais do terceiro e seus administradores (normalmente referido como background check) e levantar outras informações disponíveis no mercado.
Tenha cautela nas informações que forem acessadas, especialmente quando envolverem pessoas físicas, para evitar infrações às normas da Lei Geral de Proteção de Dados (LGPD – Lei 13.709/18).
O conjunto dos dados colhidos deve ser avaliado à luz das políticas e regras da organização, para uma clara aferição do perfil de risco oferecido pelo terceiro e para determinação do seu risk score. O perfil de risco revela se o terceiro apresenta maiores exposições potenciais no plano patrimonial, reputacional, regulatório ou criminal, além de evidenciar debilidades específicas nas dimensões ambiental, social e de governança. O escore de risco pondera todos os elementos de risco identificados, com base e seus pesos relativos, e oferece uma graduação geral do risco de integridade do terceiro, normalmente definida em 4 níveis: risco baixo, risco moderado, risco alto e risco crítico (damos um exemplo no Gráfico 1, no item 1.4).
- A etapa de Contratação e Onboarding se dá quando a organização e o terceiro avançaram para firmar um acordo comercial ou institucional. Este é o momento de colher todos os dados necessários para cadastro, além de outros elementos essenciais para avaliação de atributos complementares de integridade, tais como: contrato social, demonstrações financeiras, código de conduta, licenças ambientais, licenças de funcionamento, prova de inscrição fiscal ativa, identificação dos beneficiários finais do terceiro (ou Ultimate Beneficial Owners – UBOs), existência de eventual conflito de interesses com profissionais que trabalham na organização etc.
Para garantia de uniformidade e conformidade, é recomendado que a coleta de todas essas informações seja feita através de um questionário de onboarding ou de um check-list padronizado, a ser preenchido e firmado pelo terceiro, com cláusulas de consentimento de uso de dados e responsabilidade civil e criminal.
No contrato a ser firmado, é indispensável que constem todas as salvaguardas definidas pela organização, para prevenção dos riscos de integridade detectados durante o background check e observados no questionário de onboarding.
- Na etapa de Execução do contrato, a atividade a ser feita é de monitoramento. Não é necessária uma pesquisa completa de background check, como aquela conduzida durante a etapa de Pré-contrato, mas ao menos certas fontes de informação selecionadas devem ser acessadas, para que a organização possa identificar se houve flutuação relevante em algum aspecto da integridade do terceiro. E isso pode realmente ocorrer, pela dinâmica natural dos fatos. Um terceiro pode vir a sofrer alguma sanção regulatória antes inexistente, ou ver um de seus administradores se tornar politicamente exposto após um período de eleições, ou ser denunciado por prática de trabalho escravo, ou passar a ter expressivas dívidas trabalhistas etc. Enfim, muitas coisas podem mudar, ensejando uma elevação no perfil de risco do terceiro e, por isso, o monitoramento é uma prática de governança de integridade tão essencial quanto o background check.
A periodicidade do monitoramento deve guardar uma relação inversamente proporcional ao escore e o perfil de risco do terceiro. Dessa forma, para terceiros que representem maior risco, o monitoramento deve ser realizado em intervalos curtos (por exemplo, trimestralmente), e vice-versa. Recomenda-se monitoramento ao menos anual, para todos os terceiros de maior representatividade na cadeia de suprimentos da organização.
Agregue ao monitoramento outras informações e indicadores de desempenho ESG reunidos ao longo do relacionamento comercial e institucional vivenciado com o terceiro, e que de outra forma não seriam capturadas. E não esqueça de dar ênfase especial aos temas da agenda ESG da sua organização.
- Chegada a etapa de Renovação do contrato, refaça o background check, revise os dados de cadastro e demais documentos anexados ao questionário de onboarding, analise os indicadores e atualize o escore de risco do terceiro. Se necessário, ajuste as salvaguardas contratuais constantes no acordo firmado, através de um aditamento ou de um novo contrato.
Neste ponto, é imperioso ressaltar que o objetivo do processo de diligência de integridade não é impedir ou dificultar que a organização firme negócios com terceiros. Na verdade, o objetivo é traçar um escore geral do terceiro e revelar situações que possam representar riscos, para que as medidas de proteção adequadas sejam preventivamente adotadas. Em um caso extremo de existirem riscos que ultrapassem o nível de tolerância definido nas políticas e regras internas da organização, aí sim deve-se evitar a criação de um vínculo de negócios ou institucional com o terceiro. Mas esta não é uma decisão inalterável; é circunstanciada. Isso significa que os achados que comprometeram a higidez ético-reputacional e o risk score de integridade de um terceiro, em certas circunstâncias e em um dado momento, podem vir a ser sanados, podem deixar de existir ou podem gradualmente se desvanecer, pelo efeito do tempo. E a possibilidade de uma aproximação entre a organização e este terceiro poderá ser retomada.
Se a sua organização fizer uso de ferramentas corporativas avançadas de gestão de Procurement, de Supply Chain Management (SCM), ou Master Data Management (MDM), considere incorporar as atividades de diligência de integridade de terceiros aos processos suportados por esses sistemas, para maximizar sinergias e aumentar a efetividade na gestão de riscos.
Finalmente, vale a pena lembrar o comentário feito no tópico 1.4: neste material, estamos dando ênfase aos atributos de integridade ético-reputacional, social e ambiental de um terceiro, mas é igualmente importante avaliar a sua capacidade técnica, a saúde financeira e performance operacional.