06 maio As 5 Respostas Mais Usuais em Riscos de Integridade de Terceiros

Nos nossos textos anteriores, de fevereiro e abril de 2024, respectivamente, exploramos os 10 principais fatores de risco associados à integridade de terceiros e as 5 principais práticas de governança destinadas a prevenir ou mitigar riscos de integridade de terceiros.  Estes conteúdos foram compilados a partir da experiência colhida pela EthQuo na interação com seus clientes, com agentes do ecossistema de risk & compliance e com a academia, e ajudam a formar uma visão ideal de uma estrutura de governança de integridade de terceiros efetiva.  Mas, mesmo em organizações que tenham alcançado o mais evoluído modelo de governança, algum risco de integridade associado a um terceiro pode vir a se materializar e, quando isto ocorrer, é importante que sua organização esteja preparada para responder adequadamente, minimizando os impactos adversos que possam surgir em todos os planos – reputacional, financeiro, regulatório e legal.

Neste texto, exploramos as 5 respostas a riscos que normalmente são adotadas por organizações com estruturas de governança maduras, quando incidentes ético-reputacionais ocorrem com terceiros de seu círculo de relacionamento institucional ou de negócios.  Esperamos que seja um conteúdo útil para sua organização, capaz de ajudar com alguns insights e ideias para melhorias.  Boa leitura!

Uma estrutura de governança de integridade de terceiros pode ser vista como um núcleo de recursos alocados pela organização para gestão de riscos originados em seu ecossistema de relacionamentos de negócios e institucionais.  O mapeamento de riscos é uma atividade fundamental para a modelagem e adaptação evolutiva desta estrutura ao longo do tempo e, com base nele, a organização poderá definir um framework de processos, competências, sistemas e objetivos adequados e suficientes para prevenir e detectar riscos, bem como para responder aos incidentes de integridade que os relacionamentos com os terceiros hão de trazer.

É importante frisar que é virtualmente impossível conceber uma estrutura de governança infalivelmente protegida contra absolutamente todos e quaisquer riscos de integridade de terceiros.  Em algum momento, algum risco há de se materializar, convertendo-se em um incidente de integridade, ocasião na qual as ações de resposta devem ser imediatamente iniciadas.

Para tanto, é importante que a organização esteja preparada.  A melhor prática para tanto consiste no desenvolvimento de planos de resposta a incidentes de integridade.  Cada categoria de risco apontada no mapeamento pode ser objeto de um plano de resposta específico e, caso venha a surgir algum risco extravagante, é possível adaptar às suas características algum plano de resposta já existente (lembrando:  adaptar não é o mesmo que improvisar).

Os planos de resposta aos incidentes de integridade são como manuais ou guias gerais, que devem estar disponíveis antes da materialização de qualquer risco.  Eles podem ser integrados à documentação de mapeamento, como um capítulo específico, e devem conter as diretrizes e frentes de reação às diversas categorias de risco mapeadas, as áreas a serem envolvidas, os protocolos a serem seguidos e a documentação mínima requerida, para fins de conformidade com as políticas internas e normas regulatórias aplicáveis.  A existência de planos de resposta facilita sobremaneira a agilidade (e efetividade) das ações a serem disparadas, na eventualidade de algum risco de integridade se converter em um incidente – os planos de ação.

Os planos de ação, por sua vez, são contemporâneos aos incidentes de integridade de terceiros e vão circunstanciar, na dimensão operacional, o que os planos de resposta estabeleceram de forma mais genérica, na dimensão tática.

Planos de ação devem ser compatíveis com a magnitude de danos projetada, detalhando aspectos de comunicação interna e externa, levantamento de externalidades, Grupo de Ação e matriz de responsabilidades, mensuração de impactos, ações legais, cooperação com autoridades (se for o caso), a lista de iniciativas de mitigação, indicadores de progresso etc.  Quanto mais estruturado o modelo de mapeamento de riscos e respostas, maior a probabilidade de serem construídos planos de ação verdadeiramente efetivos.

A seguir listamos 5 respostas tipicamente incluídas em planos de ação para incidentes de integridade de terceiros:

1. Adoção de medidas legais:  Consistem em providências protetivas ou sancionatórias em relação ao terceiro, em alguns casos com medidas cautelares aprovadas pelo Poder Judiciário.  Podem envolver notificações, ações judiciais, acionamento de cláusulas contratuais autoexecutáveis (covenants, realização de garantias, multas, antecipações de obrigações, direito de saída, extinção automática do contrato etc.) ou imposição de conduta restritiva (sigilo, compartilhamento de informações, comunicação conjunta ou previamente aprovada etc.)
2. Adoção de medidas operacionais:  Dizem respeito a decisões nos planos transacional e operacional, visando à mitigação de impactos adversos na dinâmica do negócio.  São alguns exemplos a redução do volume ou periodicidade de negócios com o terceiro, suspensão ou interrupção de transações, adiamento de novos negócios, antecipação de caixa (no caso de clientes) ou postergação de pagamentos (no caso de fornecedores e provedores), substituição do parceiro, renúncia a posição em uma cadeia de valor, devolução de bens ou valores, etc.
3. Assumir o protagonismo na gestão do incidente:  São as ações de componente atitudinal.  Referem-se à iniciativa do Grupo de Ação em assumir a gestão de um eventual cenário de crise, dedicar recursos adequados, proceder com investigações ou entendimento detalhado do incidente, levantar e quantificar os impactos para a organização e stakeholders, definir medidas corretivas (e, se for o caso, reparatórias), além de cooperar com autoridades eventualmente envolvidas – tudo isso deve contar com o total respaldo dos líderes da organização;
4. Comunicação e transparência:  Essas são ações de fundo informacional.  A comunicação deve observar linguagem clara e adequada aos públicos internos e externos, de forma coerente com as proporções do incidente e com o nível de publicidade permitido por autoridades eventualmente envolvidas.  Este conjunto de ações é aquele que melhor contribui para a preservação da imagem da organização, afirmando o seu compromisso com a transparência e a integridade, portanto, é importante manter um calendário de progress report rigoroso e com intervalos curtos.  As ações de comunicação também podem abranger capacitações complementares a equipes internas das áreas diretamente envolvidas ou impactadas pelo incidente;
5. Fortalecimento das práticas preventivas e detectivas:  A materialização de um risco de integridade de terceiros pode sinalizar uma deficiência nas práticas preventivas e detectivas utilizadas.  Portanto, uma ação comum é a revisão dos processos e tecnologias empregadas nas atividades de diligência e monitoramento de integridade de terceiros.  Uma outra ação comum é intensificar as diligências e monitoramentos de integridade para terceiros que apresentem perfil de risco semelhante ao daquele que deu causa ao incidente, bem como aos terceiros do mesmo segmento de atuação ou que integrem a mesma cadeia de suprimento.

Naturalmente que as respostas mais apropriadas a um determinado incidente de integridade de terceiro são dependentes da análise concreta da ocorrência e de seus impactos; por conseguinte, podem contemplar medidas não contidas na lista acima (não a considere como exaustiva).

Por fim, vale comentar que as experiências com incidentes de integridade de terceiros são fontes riquíssimas de informação para o aprimoramento das práticas de governança de uma organização.  Portanto, não perca a oportunidade para elencar todas as lições aprendidas, revisitar seu mapeamento de riscos e respostas, revisar suas políticas internas, rever processos, procedimentos, critérios de avaliação, sistemas e transferir todo esse conhecimento às pessoas, na forma de treinamento.

Esperamos que este texto traga contribuições para suas reflexões sobre o tema e ajude a dar ainda mais robustez à sua estrutura de governança.  E siga acompanhando os conteúdos da EthQuo.