26 fev Preparando a Organização para Responder a Riscos de Integridade de Terceiros
Introdução
Em nosso texto de 11 de fevereiro de 2025, compartilhamos com os leitores os 10 principais riscos de integridade de terceiros percebidos em 2024, no contexto do ambiente empresarial, com base em um levantamento efetuado sobre as informações compiladas em nossa base de dados, resultantes de centenas de milhares de pesquisas realizadas com suporte em nossas ferramentas, bem como em informações coletadas em nossos esforços de inteligência de dados.
Para uma rápida referência, veja no diagrama a seguir os 10 principais riscos de integridade de terceiros apontados em nosso levantamento e tente fazer uma rápida correlação com a realidade de sua organização:
Tendo como referência os resultados do ano de 2024, projete essas informações para 2025, buscando compreender o impacto desses riscos no âmbito dos negócios e das relações institucionais da sua empresa, para uma adequada definição das práticas preventivas, remediadoras ou mitigatórias que melhor se ajustarão ao dia-a-dia da organização, dentro do orçamento disponível.
Para facilitar a visualização deste exercício, desenvolvemos um quadro geral de impactos e boas práticas recomendadas para gestão de riscos de integridade de terceiros, que associamos às 10 categorias do diagrama acima – veja a seguir:
| Riscos [1] | Categorias de Impacto [2] | Práticas Sugeridas (exemplos) [3] | ||||
| Financeiro / Operacional [2.1] | Reputacional [2.2] | Regulatório [2.3] | Criminal [2.4] | Subprocessos e controles [3.1] | Respostas mitigatórias ou remediadoras [3.2] | |
| 1. Corrupção | X | X | X | X | PREVENTIVOS: Due diligence de integridadeQuestionário de conformidade e onboarding checklistLevantamento de histórico de desvios na comunidade de pares e fontes internas (ethical intelligence)Treinamento DETECTIVOS: Monitoramento de complianceChecagem periódica de conflitos de interessesAuditoriaTreinamento | CONTRATUAIS: Cláusula de saídaMultas e covenants OPERACIONAIS: Interrupção ou suspens]ao de transaçõesRealocação de volume de negócios entre parceirosSubstituição de parceirosAntecipação de condições comerciais INSTITUCIONAIS: Nota pública e disclaimersApoio a autoridades e reguladores |
| 2. Fraude financeira | X | X | X | |||
| 3. Falha regulatória | X | X | X | |||
| 4. Violações ambientais | X | X | X | X | ||
| 5. Práticas trabalhistas abusivas | X | X | X | |||
| 6. Lavagem de dinheiro | X | X | X | X | ||
| 7. Terrorismo e crime organizado | X | X | X | X | ||
| 8. Sanções | X | X | ||||
| 9. Exposição política | X | X | X | |||
| 10. Debilidade na cadeia de suprimentos | X | X | ||||
As categorias de impacto que listamos na Seção [2] do quadro acima são aquelas que costumeiramente se verificam no ambiente empresarial, com base em nossa experiência. No entanto, há segmentos de atuação, tipos de negócios, cadeias de valor ou grupos de stakeholders com os quais a empresa mantém relações, que podem ser mais propensos ou sensíveis a outras categorias de risco. Portanto, é importante fazer um estudo sobre este tema com dedicada profundidade considerando as características do seu negócio em particular.
Para ajudar a organização a definir ações, estabelecer prioridades e orçar os investimentos a serem feitos, os riscos listados no quadro acima (Seção [1]) e respectivos impactos (Seção [2]) devem ser submetidos a uma avaliação sobre a magnitude dos efeitos adversos projetados e probabilidade de sua materialização.
O consagrado heat map (imagem a seguir) é uma boa ferramenta para esses fins. Utilizá-lo neste exercício será de grande valia para um correto dimensionamento dos recursos a serem alocados em controles, sistemas e pessoas, em cada processo de negócio no qual a organização se veja exposta a riscos de integridade de terceiros (p. ex. Compras, Vendas, Patrocínios, Marketing, Relações Institucionais etc.).
Este tipo de avaliação vai permitir que a organização defina e implemente práticas preventivas e detectivas de riscos muito mais efetivas, preservando substancial valor do negócio. Na coluna [3.1] do quadro de riscos e impactos acima, listamos alguns exemplos de práticas usualmente adotadas.
Em matéria de riscos de integridade de terceiros, deve-se ponderar que nem todas as ocorrências poderão ser previstas ou detectadas com antecedência e, destarte, é bastante provável que a organização não logrará se prevenir contra as adversidades de alguns poucos riscos que venham a se materializar. Partindo desta premissa, é fundamental que a organização também esteja preparada para adotar respostas assertivas aos riscos materializados, mesmo que estes sejam eventuais. Na Coluna [3.2] do quadro acima, apresentamos alguns exemplos de respostas que podem ser acionadas.
O grau de entendimento sobre os riscos de integridade de terceiros inerentes ao negócio, proporcionado pelos exercícios e ferramentas de que tratamos neste texto, oferecerão insights valiosos para a organização em pelo menos duas frentes:
- Definição do apetite ao risco em nível mais granular, considerando segmentos de operação, cadeias de valor e outros elementos de valoração pertinentes; e
- Clareza na definição do nível de risco tolerável, também de forma granular.
O domínio destes indicadores certamente contribuirá para que a organização se planeje adequadamente e adote respostas mais efetivas, sempre que algum risco de integridade de terceiro vier a se materializar. Portanto, é fortemente recomendado que a organização invista no desenvolvimento destes indicadores e nos planos de resposta aos riscos mais significativos.
Finalmente, convém levar em conta que a gestão de riscos de integridade não é uma função que a organização precisa executar de forma isolada. O compartilhamento de experiências, boas práticas, estruturas, ferramentas e até informações (observados os limites da LGPD) com parceiros chave na cadeia de valor ajudará a construir um nível de proteção coletiva mais elevado, para além dos portões da organização, se espalhando por todo o seu ecossistema de negócios. E, provavelmente, com uma diluição dos custos envolvidos. É o que chamamos na EthQuo de “ecossistematização” da gestão de integridade de terceiros.
Aproveite este começo de 2025 para revisitar suas práticas de governança de integridade de terceiros e aplique este conteúdo no que couber. Esperamos ter contribuído para suas reflexões sobre este tema e fique à vontade para compartilhar conosco suas experiências!
