09 jul Riscos de Integridade na Cadeia de Suprimentos: Estratégias para uma Governança Corporativa Robusta – Parte 3/4
Por Manuel Marinho, CEO da EthQuo, Conselheiro de Administração Certificado pelo IBGC
Esta é a terceira parte de um texto de quatro partes. Não deixe de acompanhar as próximas postagens que serão publicadas em breve. Você pode ler a primeira parte clicando aqui.
3. Ações avançadas em governança de integridade de terceiros na organização
3.1 Salvaguardas e respostas aos riscos de integridade:
As decisões a respeito das salvaguardas que deverão ser adotadas para prevenir os riscos de integridade apresentados por terceiros não devem ser tomadas isoladamente pela área de governança e compliance da organização. É imprescindível a participação de áreas de Negócio e do Departamento Jurídico, de forma dinâmica e sempre com um olhar para a sustentabilidade financeira, social e ambiental do negócio.
Idealmente, a definição de salvaguardas deve anteceder a materialização do risco de integridade de um terceiro. Quanto mais rico e profundo for o exercício de mapeamento de riscos na organização, maior será a sua capacidade de conceber práticas operacionais ou contratuais preventivas (salvaguardas), que lhe possibilitem lograr uma resposta ótima a um risco de integridade de terceiro materializado ou iminente. E, para que o mapeamento de riscos de integridade de terceiros de sua organização alcance um nível elevado, é de crucial importância que as áreas de Negócio, Jurídica e de Governança atuem de forma colaborativa, contribuindo com suas distintas visões e compreensões de impacto, inclusive em relação aos stakeholders externos da organização.
Uma dica para as organizações é combinar os exercícios de mapeamento de riscos de integridade de terceiros e de definição de salvaguardas – que passa ter uma feição de plano de resposta. Com certeza, o resultado será bastante equilibrado e efetivo.
O diagrama ao lado pode ser uma boa inspiração para alguns tipos de salvaguardas a serem consideradas no relacionamento da organização com terceiros e como tomar uma boa decisão a esse respeito, com a participação colaborativa de áreas internas (Diagrama 5).
Já vimos que a definição de salvaguardas deve anteceder a materialização do risco de integridade de um terceiro. Mas quando o risco se materializa ou se torna iminente, é importante que a organização seja ágil em sua resposta, acionando rapidamente uma ou mais salvaguardas previamente concebidas. Se o mapeamento de riscos e salvaguardas tiver sido feito com qualidade, é bem provável que as medidas de resposta (equipes, planos de ação e documentação) estejam todos muito bem construídos e prontos para utilização, evitando improvisos.
Medidas de improviso tendem a ser as mais práticas, mas raramente são as mais acertadas. E inevitavelmente serão as mais caras. Vale a pena prevenir.
3.2 Sistema de governança de integridade de terceiros:
É excelente poder contar com salvaguardas bem construídas e com planos de resposta efetivos. Mas é o sistema de governança de integridade de terceiros como um todo que haverá de garantir que as salvaguardas e planos de resposta serão lançados no momento certo, nas frentes adequadas e nas intensidades apropriadas para amenizar (ou mesmo neutralizar) os impactos de um risco materializado. Neste tópico, vamos falar um pouco mais sobre os principais elementos de um sistema de governança de integridade de terceiros.
Em uma organização com uma estrutura madura de gestão de riscos, as funções de controle estão adequadamente posicionadas ao longo de seus processos e normalmente distribuídas em 3 níveis intercomunicados – o Modelo das 3 Linhas: (1) em nível transacional e respectiva gerência; (2) em nível de gestão de governança, riscos e conformidade (ou compliance); e (3) em nível de auditoria interna. Para mais detalhes, consulte o material do Institute of Internal Audits em https://iiabrasil.org.br/korbilload/upl/editorHTML/uploadDireto/20200758glob-th-editorHTML-00000013-20072020131817.pdf.
No tópico 2.2, vimos juntos que as principais etapas que formam um ciclo de relacionamento com terceiros são: Pré-contrato; Contratação & onboarding; Execução do contrato e Renovação. Dentro de cada uma dessas etapas, há processos de negócios que são consistentes com o tipo de contratação que cada terceiro mantém com a organização. Dessa forma, haverá processos específicos para suportar as transações de fornecimento de materiais, de produção, de vendas, de logística, de contratação de serviços, de propaganda e marketing, de patrocínios etc.
Esses processos de negócios incluem atividades específicas de controle, as quais podem ser isoladas ou reunidas em subprocessos. Qualquer que seja o formato adotado, esses controles devem sempre observar um atributo em comum: devem estar posicionados em um ponto do processo em que haja presença de risco – que será então prevenido ou detectado. Este é um atributo essencial às atividades de controle e os problemas decorrentes de um desenho ruim, ou funcionamento defeituoso, podem tornar estrutura como um todo pouco eficiente ou até inócua, dando à organização uma falsa sensação de segurança.
Também no tópico 2.2, detalhamos as atividades de controle, para prevenção e detecção de riscos de integridade de terceiros, que devem ser executadas em cada etapa do ciclo de relacionamento da organização com suas contrapartes de negócios. Em síntese, essas atividades podem ser reunidas em 3 grandes grupos: (1) atividades de diligência de integridade; (2) atividades de monitoramento; (3) atividades de reavaliação para renovação do relacionamento.
Essas atividades devem ser taticamente distribuídas nos processos que sustentam cada etapa do ciclo de relacionamento com os terceiros, de modo a cumprir com o seu propósito funcional, qual seja, controle de riscos de integridade. Veja no diagrama a seguir (Diagrama 6) um modelo esquemático sugestivo, para um adequado posicionamento dos controles em comento. Observe que a posição dos controles favorece a formação de um ciclo de conformidade em harmonia com a dinâmica do negócio:
Note que todos os controles listados no Diagrama 6 estão posicionados ao nível transacional ou gerencial, constituindo a 1ª Linha contra riscos de integridade de terceiros.
Analisando os controles de forma mais granular, nota-se que muitas das tarefas a serem executadas nas atividades de background check, tais como a busca de informações públicas e privadas complementares, a distribuição e acompanhamento de preenchimento de questionário de integridade, a investigação de beneficiários finais, o monitoramento periódico etc., podem envolver a captura e processamento de literalmente milhões de informações sobre cada terceiro, seus administradores, sócios e outras pessoas do entorno. É forçoso admitir que, com a crescente disponibilidade e organização de dados nas diversas fontes (veja uma amostra resumida na Matriz 1, no tópico 2.1), é impraticável colher e processar manualmente um volume tão expressivo de informações.
Para alcançar eficiência nessas atividades, assegurar o máximo de abrangência informacional e evitar desperdício desnecessário de tempo e recursos da organização, deve-se considerar a utilização de sistemas especializados. A relação custo vs. benefício atual dos sistemas disponíveis no mercado para automação de background check de terceiros e monitoramento de integridade é bastante compensadora e a EthQuo certamente pode ajudar a sua organização neste sentido.
E, por último, mas no mesmo nível de importância, é imprescindível contar com PESSOAS. Profissionais treinados em risco de integridade de terceiros e práticas de governança, a cargo das atividades de controle apresentadas no Diagrama 6, vão assegurar a correta interpretação e direcionar a melhor reação às informações colhidas. Uma boa parte das atividades nessas funções é repetitiva, compilatória, e pode ser executada por profissionais externos, portanto avalie a oportunidade de optar por um outsourcing parcial do processo de integridade de terceiros em sua organização.
Na 2ª Linha, uma gerência de Governança, Riscos e Compliance enxuta pode executar atividades de revisão e teste dos controles posicionados na 1ª Linha e acompanhar dados estatísticos de risco, para apoio às decisões estratégicas da organização. E, por fim, procedimentos de auditoria interna (3ª Linha) podem ser executados para avaliar a efetividade dos controles, identificar eventuais falhas remanescentes e propor melhorias.
No diagrama a seguir (Diagrama 7), apresentamos uma visão macro de um sistema de governança de integridade de terceiros, combinando seus principais componentes estruturais (normas, processos, sistemas, pessoas), com os níveis funcionais recomendados nas boas práticas de gestão de riscos (1ª, 2ª e 3ª Linhas):
Sua organização pode se valer dos modelos listados neste tópico para desenvolver um sistema de governança de integridade bem robusto.
3.3 Lidando com riscos de integridade de terceiros:
Quando um problema ético-reputacional se materializa em um terceiro, surge um cenário no qual a organização não é agente, e sim paciente. A presença de práticas maduras de governança certamente ajudará a organização a se proteger contra muitos dos impactos irradiados pelos problemas experimentados pelos terceiros do seu relacionamento, ou ao menos minimizará os seus efeitos, especialmente nos casos em que a organização decida prosseguir naquele relacionamento.
Na prática, as decisões da organização no tocante a um terceiro que apresente questões de integridade vão ser tomadas antes de iniciado o relacionamento comercial/institucional ou no curso deste relacionamento. Estas decisões devem ser moduladas de acordo com o nível de impacto projetado para a(s) questão(ões) identificada(s). Na tabela a seguir (Tabela 1) fazemos um resumo dos possíveis cenários de decisão:
| Graus de impacto projetados | Estágio do relacionamento com o terceiro | |
| Pré-contrato, Contrato e Onboarding | Execução do contrato e Renovação | |
| Baixo | Admitir sem salvaguardas | Prosseguir sem salvaguardas |
| Moderado | Admitir com salvaguardas | Prosseguir com salvaguardas |
| Alto | Admitir com salvaguardas estritas ou rejeitar | Prosseguir com salvaguardas estritas ou, se possível, interromper |
| Crítico | Rejeitar | Restringir o relacionamento ao mínimo e, se possível, interromper |
Observe que a organização terá um pouco mais de flexibilidade decisória nos estágios iniciais do relacionamento com o terceiro, posto que neste momento a possibilidade de não seguir com a contratação ou suspendê-la temporariamente ainda será uma opção disponível.
Depois de firmado um contrato e estando sua execução em marcha, todas as externalidades decorrentes do relacionamento com o terceiro já estarão em plena produção e, à vista de um risco iminente ou já materializado, pode não ser mais possível interromper a contratação, sem que isso imponha sacrifícios extraordinários à organização em termos de recursos de reposição, cadência operacional, disponibilidade de produto/serviço no ponto de vendas, volume de negócios, dentre outros. Até mesmo nos casos em que exista uma salvaguarda contratual que permita uma pronta interrupção do contrato (exit trigger), nem sempre esta é uma opção imediatamente praticável. Interromper o contrato com um parceiro e substituí-lo por outro pode demandar tempo, recursos e, ainda pior, submeter a organização à incômoda circunstância de ter que conviver temporariamente com um parceiro indesejado, administrando o rastro de danos reputacionais, regulatórios ou financeiros que ele vai deixando.
Portanto, é nos estágios iniciais do relacionamento que a organização terá maior capacidade de proteger valor contra desvios de integridade de terceiros. Para tanto, deve ser rigorosa na avaliação dos riscos e na introdução de salvaguardas apropriadas a cada caso, resistindo à tentação de menosprezar essas atividades. Vale a pena investir em uma estrutura de controles robusta de background check, questionário de integridade e outras práticas de due diligence de terceiros tipicamente aplicadas às etapas que antecedem a execução dos contratos.
Mas também pode ocorrer de um desvio ético-reputacional de um terceiro vir a acontecer em um estágio posterior à contratação, quando os negócios com o terceiro já estão em pleno andamento. Para detectar tais situações, é fortemente recomendado que a organização mantenha práticas de monitoramento periódico de integridade. Não é necessário que todos os terceiros com relacionamento com a organização sejam submetidos a pesquisas de monitoramento, bastando que se cubram aqueles de maior relevância para o negócio (por exemplo: principais distribuidores/revendedores, fornecedores-chave de produtos e equipamentos, patrocínios mais relevantes etc.) e aqueles com perfil de risco mais elevado (parceiros que já tenham algum histórico de desvios ético-reputacionais) ou ocupantes de segmentos de atividade mais sensíveis ao escrutínio ético.
Quando uma rotina de monitoramento de integridade revela algum risco ou problema, relativamente a um terceiro com relacionamento de negócios ativo, nem sempre é possível adotar alguma salvaguarda que prontamente estanque qualquer possibilidade de impacto adverso para a organização. É importante que os planos de resposta a riscos prevejam fórmulas que permitam uma gradual descontinuação de negócios com um determinado parceiro e sua substituição por outro(s) – o que traz à tona a importância estratégica de se manter mais de um parceiro em cada vertical de negócios ou de representação institucional. Falaremos mais sobre gestão estratégica de riscos de integridade no tópico 3.7.
Nesses casos, pode ser também necessária a adoção de mais de uma salvaguarda, para a devida proteção, ou o descarte de alguma salvaguarda excessivamente severa, que importe em sacrifícios incrementais para a organização, diante de um risco até certo ponto tolerável.
Em qualquer hipótese, é importante que o julgamento e a decisão a respeito de como melhor lidar com os riscos de integridade, antes ou depois de iniciado o relacionamento de negócios com um terceiro, sejam sempre compartilhados entre as áreas apropriadas da organização – em geral, Negócios, Jurídico e Compliance (vejam nossos apontamentos sobre o tema no tópico 3.1).
