Pilar 2 – Risk Assessment – O mapeamento de riscos de Compliance  

O Risk Assessment visa transformar os riscos inerentes (que a empresa está exposta apenas por existir e por realizar suas operações) em riscos residuais (com a aplicação de ações de gestão). Identificar os riscos da organização é fundamental para que os planos e estratégias de mitigação sejam estruturados detalhadamente. Sabendo as características, frequência e as consequências do possível impacto da ocorrência (grau de risco), conseguimos direcionar recursos para atenuação desses riscos.  

Geralmente este mapeamento é feito em conjunto com as áreas, que vivenciam a operação e o negócio, para que se passa identificar falhas. Logo após a fase de identificação, temos o desenvolvimento dos planos/estratégias e mais adiante um periódico monitoramento (às vezes o risco é transferido, reduzido, eliminado, mas também pode haver mudanças estruturais e um risco ser criado).  

Segundo SUNTZU, “Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece, mas não conhece o inimigo, para cada vitória obtida sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo perderá todas as batalhas”. 

Este assunto é tão relevante, que o Decreto 8.420 (que regulamenta da Lei Anticorrupção – Lei 12.846/13) estabelece em seu artigo 42, inciso IV, que o programa de integridade será avaliado, dentre outros parâmetros, pela análise periódica de riscos para realizar adaptações necessárias ao programa de integridade. Logo, conhecer os riscos é fundamental para adaptações do Programa de Compliance. No próximo texto falaremos um pouco mais sobre este decreto, mas com foco nos documentos normativos!