Respondendo a riscos de integridade de terceiros – é bom ter um plano

15 mar Respondendo a riscos de integridade de terceiros – é bom ter um plano

Por Manuel Marinho, CEO da EthQuo[1]

Neste mês de março (2023), a imprensa noticiou um problema significativo de trabalho análogo à escravidão, que afetou empresas de referência no segmento vinícola brasileiro – um caso que ganhou grande publicidade, não apenas pela expressão da indústria, mas sobretudo pelas indignidades sofridas pelos trabalhadores envolvidos.  Muito embora este evento tenha alcançado visibilidade pública nacional, “descobertas” desagradáveis sobre a integridade de parceiros de negócios são experimentadas pelas organizações a todo momento, sem serem apanhadas pelos holofotes da mídia.

Mesmo os mais silenciosos problemas de integridade de terceiros, oriundos de quaisquer grupos de relacionamento (fornecedores, clientes, parceiros, pessoas patrocinadas etc.), podem causar impactos adversos relevantes em múltiplas frentes para a organização, normalmente agrupáveis nas seguintes principais categorias:  perdas financeiras, danos à imagem, sanções legais ou regulatórias e envolvimento criminal de administradores.  A esses impactos, somam-se os desdobramentos negativos no campo administrativo, pelo desvio de atenção que problemas deste tipo causam na gestão cotidiana do negócio, concorrendo com as demais atribuições corporativas dos gestores da organização.

Uma boa estratégia para lidar com riscos de integridade de terceiros deve, portanto, incorporar práticas preventivas.  Em outros artigos exploramos a importância das práticas de governança orientadas para a avaliação preventiva de integridade de terceiros (designadas como background check, Know Your Customer – KYC, Know Your Partner – KYP, due diligence de terceiros etc.) e não há como negar a sua relevância para a organização[2].  Afinal, prevenir riscos é sinônimo de proteger valor.  Mas sempre haverá situações em que desvios de integridade de terceiros escapam às práticas de prevenção, posto que não são previamente detectáveis, só chegando ao conhecimento da organização em um momento posterior à diligência de integridade – às vezes através da imprensa, como se deu no caso citado no início deste texto.  Nessa hora, é fundamental também poder contar com uma estratégia robusta de resposta aos riscos e este é o foco da nossa conversa de hoje.

O que confere efetividade às ações de resposta a riscos é a sua capacidade de neutralizar os impactos adversos deles advindos, tanto quanto possível.  Alguns desses impactos não serão prontamente remediáveis e, portanto, deverão ser gerenciados com ações que gradualmente enfraqueçam sua magnitude, até que se tornem insignificantes.  Outros não poderão ser totalmente neutralizados e deixarão marcas, cicatrizes empresariais, que demandarão gestão contínua por longos períodos.

É correto afirmar, pois, que riscos de integridade de terceiros podem causar impactos de diferentes extensões, em todas as dimensões da realidade empresarial, e em grandezas inversamente proporcionais à capacidade das organizações de neutralizá-los.  Por tais motivos, quando um cenário de risco se materializa e os impactos são iminentes, não é hora para improvisos…  É importante ter um plano de resposta em mãos, ativar todas as áreas e recursos que devam tomar parte na definição das respectivas ações e dar início à sua implementação.  Vamos ver juntos alguns cases de riscos materializados e respectivas respostas, para ilustrar:

• Riscos financeiros ou regulatórios associados a prestador de serviços com inscrições fiscais ou registrais (órgãos profissionais) suspensas à respostas possíveis:  interrupção de negócios, notificação da infração perante a legislação fiscal ou norma profissional, acionamento de covenants ou garantias contratuais, plano de contingência da área de logística ou produção, dentre outros.  Como visto, este é um caso cuja reposta envolve as áreas de Negócio, Jurídica, Fiscal, Logística e Produção, pelo menos.  As discussões entre elas vão apontar o curso de ação mais adequado, que certamente passará por cobrar uma atitude da contraparte e acompanhar a respectiva evolução.
• Riscos financeiros associados a cliente relevante, com significativo número de pendências financeiras atípicas à respostas possíveis:  redimensionamento de negócios, adoção de condições comerciais mais estritas, acionamento de garantias, plano de suporte ou contingenciamento financeiro, dentre outros.  Observe que, neste caso, também é importante envolver as áreas de Negócio, Jurídica, Logística e Produção.  Entretanto, será necessário convocar à ação a área de Tesouraria, e já não é requerida uma ação da área Fiscal, em particular.  As ações a serem definidas, dentre as opções concebidas no plano, certamente haverão de considerar um balanço entre o máximo encaixe financeiro e a possibilidade de quebra do parceiro (logo, perda de receitas) no curto prazo.  Uma equação delicada…
• Riscos legais, financeiros e reputacionais associados a provedor de mão-de-obra terceirizada, com problemas de trabalho escravo (soa familiar?…) à respostas possíveis:  interrupção de negócios, suporte financeiro e moral às pessoas envolvidas, revisão de situações semelhantes na cadeia de valor, comunicação ao mercado (relações institucionais) e interna, apoio a autoridades, acionamento de provedores suplementares, dentre outros.  O potencial de dano reputacional às marcas, neste tipo de evento, é imenso.  E pode ser duradouro…  É uma situação que demanda envolvimento emergencial das áreas de Negócio, Jurídica, Relações Institucionais, Marketing e Operações na escolha certa das ações de resposta.  E, além disso, vai ocupar praticamente toda a agenda da alta gestão por um razoável período, em atividades de comunicação, diálogo com a imprensa, pessoas prejudicadas e autoridades, posicionamento público, ações afirmativas etc.
• Riscos reputacionais e financeiros associados a fornecedor de matéria prima com condenações do IBAMA, por dano ambiental à respostas possíveis:  interrupção de negócios, revisão de situações semelhantes na cadeia de valor, comunicação ao mercado (relações institucionais) e interna, acionamento de fornecedores suplementares, dentre outros.  Mais um caso com potencial de dano reputacional elevado…  É uma situação que demanda envolvimento das áreas de Negócio, Jurídica, Relações Institucionais, Gerência Ambiental e, também aqui, a Alta Gestão, em um momento que recomenda a adoção de um plano com ações mais enérgicas, devido às pressões das pautas ESG sobre as organizações.

Esses são alguns exemplos que observamos regularmente no atendimento aos nossos clientes, todos eles baseados em situações reais – e, vale a menção, silenciosas…  Em comum entre eles, o fato de que a abordagem de resposta tem conexão direta e lógica com os riscos observados e impactos pertinentes.  Portanto, tão importante quanto ter um bom plano de respostas, é desenvolver uma matriz de riscos e um mapeamento de impactos de qualidade (exploramos este tema com mais detalhes em outro artigo e sugerimos a sua leitura[3]).

Convém fazer um registro:  governança de integridade de terceiros não é uma ciência exata.  Isso significa que, mesmo contando com um plano de respostas a riscos abrangente e detalhado, em boa medida a organização haverá de adaptar suas ações de resposta às peculiaridades de cada situação de risco vivenciada, aos stakeholders envolvidos e às características do seu negócio.

Vamos explorar um exemplo:  Imagine uma organização que identifica que um dos administradores de seu principal fornecedor é eleito prefeito em sua cidade, passando a se qualificar como uma pessoa exposta politicamente (PEP).  Este fato não é necessariamente um problema de integridade, mas pode acarretar riscos para a organização em contratações que envolvam governos, posto que a presença de um PEP na respectiva cadeia de valor instantaneamente demanda atenção sobre eventuais conflitos de interesses ou favorecimentos em processos licitatórios, exigindo cautelas de negócio adicionais, que por certo já constam em seu plano de resposta.

Notem que, neste exemplo do fornecedor “PEP”, o risco de integridade pode trazer impactos financeiros, regulatórios e, eventualmente, criminais para a organização, mas concentradamente em transações que envolvam entes públicos.  Portanto, ainda que o plano de resposta estabeleça alternativas rigorosas, as ações podem ser calibradas, um fine tuning, para minimizar a presença do fornecedor PEP apenas nas cadeias de valor em que governos ou empresas públicas sejam parte, ou simplesmente contratar um outro fornecedor em tais transações – uma análise que depende das avaliações das áreas de Negócio envolvidas e do Jurídico da organização, principalmente.

O exercício que fizemos no parágrafo anterior retrata a dinâmica de interação entre um plano de respostas a riscos e os planos de ação a serem adotados.  No plano de respostas, estarão previstas as diversas alternativas de medidas e respectivas estruturas que deverão consideradas para que a organização possa prontamente reagir ao risco, conforme suas políticas internas.  Esta “lista geral” facilita enormemente a tarefa de construção de um plano de ação, que por sua vez sustentará as atividades de resposta, quando o risco se torna iminente ou materializado.  Este é o ponto em que fica clara a diferença entre um plano de respostas e um plano de ação:  o primeiro é teórico, direcional, atemporal; e o segundo é prático, instrumental, contemporâneo ao risco iminente ou materializado.

Entendida a importância de um plano de respostas bem estruturado, convém definir as iniciativas que ajudarão a organização a colher as informações necessárias para fazê-lo, mantendo-a preparada para reagir aos diversos cenário de risco mapeados.  Uma pergunta simples pode dar um grande impulso a essa missão:  “O que você faria para ajudar a nossa organização a se manter em um estado de prontidão adequado contra riscos de integridade de terceiros?”.  Considere endereçar a pergunta tanto a lideranças internas, como a representantes de grupos de stakeholders.

A pergunta é simples e provoca uma reflexão intuitiva, aberta, com a visão a partir do contexto funcional da liderança ou do lugar ocupado pelo grupo de stakeholder.  Utilizando-a como guia, pensamos em algumas sugestões de iniciativas (não exaustivas) e as listamos a seguir:

1. Workshops e estudos de caso de danos a organizações causados por problemas ético-reputacionais de terceiros.  Estas atividades devem envolver gestores de funções internas e alta administração, sendo conduzidos pela Liderança de Governança, Riscos e Conformidade (ou Compliance);
2. Treinamento e capacitação sobre riscos de integridade de terceiros;
3. Revisão periódica do mapeamento de riscos e impactos associados à integridade de terceiros;
4. Revisão periódica das redações utilizadas em contratos, para que incluam as proteções e garantias apropriadas aos cenários de risco mapeados;
5. Monitoramento regular de informações ético-reputacionais de contrapartes de negócio, com identificação estatística de desvios observados no ambiente de negócios;
6. Manual de diretrizes de resposta a riscos para as áreas de Negócio, contendo modelagens transacionais alternativas, restrições de volumes contratados, orientações para contingências logísticas, de produção e de serviço, além de outras soluções possíveis nos planos comercial e operacional;
7. Manual de diretrizes financeiras, contendo medidas de proteção de caixa, alternativas de suporte a parceiros estratégicos, formatos de garantias;
8. Manual de comunicação de eventos adversos de integridade e mobilização de recursos;
9. Um ambiente reservado à interação com os principais stakeholders, incluindo autoridades; dentre outros.

As informações colhidas através das atividades listadas acima são, em essência, o insumo de trabalho do Compliance Officer, na tarefa de organizar um plano de respostas potente.  Usei o termo “organizar” propositalmente, porque esta é uma atividade que se cumpre com esforço colaborativo de uma gama ampla de atores internos e externos à organização, cabendo à área de Compliance coordenar, sanear e, enfim, organizar a construção do plano de respostas, validando-o com os atores antes mencionados.

Certamente que há outros métodos para a construção de planos desta natureza.  E há de se aceitar que, em um exercício de pergunta aberta, juntamente com a visão de risco e resposta que cada área da organização aportará, poderão vir colocações com vieses indesejados, interesses contrastantes com os de outras áreas, manifestações desalinhadas com o propósito da atividade e outros comentários não tão úteis…  Isso é normal.  E, principalmente, não representa uma ameaça à qualidade do conteúdo que o esforço será capaz de capturar.  Diante da atribuição de organizar o plano de resposta, caberá ao Compliance Officer extrair o melhor daquilo que este rico (e heterogêneo) exercício pode oferecer.

Como acabamos de ver, não é tão traumático planejar adequadamente as respostas a riscos de integridade de terceiros, não é verdade?…  E muito deste esforço é de fundo empírico, ou seja, o conhecimento já é de domínio das diversas áreas da organização e costuma haver considerável experiência interna acumulada na gestão de assuntos de integridade.  Cumpre à liderança de Compliance, com o empoderamento adequado no âmbito corporativo e colaboração das áreas de negócio, reunir todo esse conhecimento de forma sistemática, alinhada com as políticas de governança da organização, formalizar a documentação pertinente e compartilhar todo este poderoso material com as lideranças da empresa.  Para quaisquer cenários de risco de integridade, sua empresa estará em condições de dizer: — “Nós temos um plano.”

***

Notas:

[1]  Manuel Marinho conta com mais de 12 anos de vivência empresarial em compliance e é CEO da EthQuo, uma empresa especializada em ferramentas para suporte a todas as práticas de diligência de integridade de terceiros das organizações (www.ethquo.com).

[2] https://www.ethquo.com.br/importancia-praticas-governanca/  e  https://www.ethquo.com.br/papel-preventivo-praticas-compliance/

[3]   https://www.ethquo.com.br/como-construir-matriz-riscos-contrapartes/