Notícias
Guia Prático de Governança de Integridade de Terceiros [EthQuo]
Por Manuel Marinho, CEO da EthQuo, Conselheiro de Administração Certificado pelo IBGC
No ambiente corporativo, organizações estão em contínuo relacionamento com terceiros, das mais variadas categorias. Os relacionamentos podem se dar com terceiros facilmente determináveis, como ocorre em esferas de negócios, institucionais ou sociais, mas também com públicos indeterminados, difusos. Nos itens a seguir, listamos algumas categorias de terceiros, em suas respectivas esferas de relacionamento com a organização:
• Negócios: fornecedores, clientes, parceiros, patrocinadores, investidores, financiadores, sócios/acionistas etc.;
• Institucionais: autoridades regulatórias ou fiscalizatórias, associações de classe, sindicatos, órgãos governamentais etc.;
• Sociais: empregados, administradores, comunidades do entorno, populações influenciadas pela cadeia de valor etc.;
• Públicos indeterminados ou difusos: opinião pública e população em geral (especialmente em assuntos ambientais envolvendo geração de resíduos, produtos não recicláveis, emissões, consumo responsável de recursos etc.).
O propósito deste texto é oferecer uma visão mais focada sobre os riscos de integridade de terceiros que ocupam a cadeia de suprimentos da organização, onde se originam os danos que mais recorrentemente causam impactos adversos significativos.
Esperamos que você encontre no conteúdo a seguir dicas úteis para que sua organização consiga desenvolver estruturas, práticas e processos capazes de consolidar uma boa governança dos interesses vinculados à sua cadeia de suprimentos, prevenindo contra riscos de integridade de terceiros e sedimentando um ecossistema de parceiros que contribuam para o capital reputacional de seu negócio.
Boa leitura e pode contar com a EthQuo na execução de ações inspiradas nas sugestões abaixo.
1. Alguns conceitos
1.1 Stakeholders:
A gestão e representação das empresas ficam a cargo de seus Administradores (Diretorias, Presidência e órgãos similares) e essas funções não necessariamente são executadas por seus donos (genericamente, os sócios). É bem verdade que a situação mais comum é encontrar um ou mais sócios em cargos de gestão, mas também há empresas nas quais isto não ocorre, especialmente as de capital aberto ou em grandes grupos econômicos. Nesses casos, a influência dos sócios sobre a gestão da empresa se dá principalmente por meio do voto, em assembleias de acionistas, por exemplo.
Sócios sem presença na Administração da empresa são, portanto, partes interessadas nos atos da gestão e em seu desempenho. Diversos outros agentes econômicos e sociais obviamente também se interessam pelo desempenho da empresa e pela repercussão dos atos ou omissões da gestão no ambiente externo (as externalidades), tornando a empresa um núcleo de interesses que se irradia para públicos diversos, tais como: fornecedores, clientes, empregados e suas famílias (as pessoas), governos, entidades regulatórias, comunidades do entorno do empreendimento, a opinião pública geral, dentre outros. Os sócios e todos esses públicos são as partes interessadas na empresa, normalmente referidos na literatura como “stakeholders”.
Os executivos à frente da gestão da empresa e seus stakeholders podem ter interesses conflitantes. Esta frase soa contraintuitiva em um primeiro momento, mas é verdadeira. Na teoria de Governança Corporativa, este fenômeno é conhecido como “conflito de agência”. Este fenômeno decorre principalmente do fato de que os gestores de uma organização tendem a prestigiar ações que maximizem resultados de curto prazo, que se refletem em suas remunerações; ao passo que os demais stakeholders normalmente preferem resultados que se perpetuem ao longo do tempo, visando à sustentabilidade da empresa em todas as frentes – financeira, social e ambiental – ou ao menos em algumas delas.
É crucial que as organizações mantenham compromissos de curto prazo, mas sem abdicar de seus objetivos de médio e longo prazos. Para tanto, devem ser adotadas medidas para que os interesses de curto prazo dos gestores não se sobreponham aos interesses de longo prazo dos demais stakeholders, e uma estrutura de governança corporativa robusta (o “G” em ESG) é o instrumento mais efetivo para esses fins. No diagrama a seguir (Diagrama 1) pode-se ter uma visão sinótica dos diversos núcleos de interesse que orbitam a gestão de uma organização.
A estrutura de governança deverá suportar a definição dos direcionadores estratégicos da organização, além de prover mecanismos para que os executivos a cargo de sua gestão atuem em prol da sustentabilidade financeira, social e ambiental do negócio como um todo, satisfazendo a todas as categorias de stakeholders de forma contínua e perene.
1.2 Matriz de materialidade
A matriz de materialidade é uma ferramenta utilizada para a determinação dos assuntos que são prioritários para uma organização, no tocante aos impactos ESG. A matriz correlaciona as questões mais relevantes para a própria organização e para seus stakeholders, evidenciando os temas ESG que devem receber prioridade estratégica, tática e operacional. Quando a matriz de materialidade é aplicada a um negócio, a visão alcançada se assemelha à do diagrama a seguir (Diagrama 2 – modelo sugestivo):
A primeira parte do exercício de construção de uma matriz de materialidade é o mapeamento dos stakeholders da organização, seguido do levantamento de todos os temas de impacto ESG que são de interesse de cada uma das categorias mapeadas, com indicação do grau de relevância desses temas nas respectivas agendas. O exercício pode ser suportado por entrevistas, pesquisas de campo, conteúdos científicos (consultorias, estudos, artigos), benchmarking etc. A multiplicidade de fontes de dados e a amplitude da amostra de stakeholders certamente contribuem para a qualidade da análise.
Semelhante exercício deve ser feito junto aos gestores da organização, tendo como fonte de dados o próprio negócio e pesquisas de mercado. Nesta frente, o público-alvo são os executivos em posições de liderança na empresa e as informações podem ser obtidas em relatórios internos, estudos e projeções solicitados pela própria Administração.
O grau de importância de cada tema ESG pode ser obtido a partir de uma nota atribuída, em uma escala numérica simples. Como exemplo, em uma escala de 1 a 4, teríamos:
• Grau 1 = importância baixa
• Grau 2 = importância moderada
• Grau 3 = importância alta
• Grau 4 = tema crítico
A plotagem dos resultados nos quadrantes da matriz sugerida no Diagrama 2, acima, apontará o nível de prioridade de cada tema ESG para a organização, a ser observado em seu planejamento estratégico anual, definições táticas e modelo de estrutura operacional. Opte por um sistema de graduação bem claro e objetivo, para garantia de uniformidade de entendimento por parte de todos os envolvidos (gestão e stakeholders).
1.3 Cadeia de Suprimentos
Quando se fala em cadeia de suprimentos, é intuitivo pensar na lista dos fornecedores de matérias-primas, materiais de embalagem e outros itens intermediários utilizados na fabricação de produtos que sejam centrais ao negócio. Mas a agenda ESG propõe a adoção de uma visão ampliada do conceito, abrangendo também as comunidades nas quais se originam as matérias-primas e as condições de atuação dos colaboradores contratados por parceiros em todas as etapas do ciclo de produto (incluindo o descarte futuro de dejetos e embalagens, após o consumo).
Por conseguinte, ao se pensar na cadeia de suprimentos de uma organização, é necessário ir além dos fornecedores e considerar um ecossistema mais amplo, que inclua todos os atores na etapa de consumo, impactos sociais e ambientais de todos os integrantes desse ecossistema e seus entornos, conforme o segmento de operação do negócio.
Na linguagem de Governança, os parceiros que fazem parte da cadeia de suprimentos da organização, com os quais ela interage direta ou indiretamente no plano negocial, são genericamente referidos como “terceiros”. Eles formam um recorte na população de stakeholders e têm relevância fundamental na operação e representação institucional do negócio. No item 2.1 falaremos mais sobre os terceiros na cadeia de suprimentos da organização.
1.4. Integridade de terceiros
A seleção dos terceiros que são admitidos na cadeia de suprimentos de uma organização habitualmente leva em conta a existência de boas referências em termos técnicos, financeiros e operacionais (qualidade de produto ou serviço, saúde financeira, histórico no mercado, experiência prévia no segmento etc.), e a maioria dos processos de onboarding avalia cuidadosamente tais atributos.
No entanto, com a relevância alcançada pela agenda ESG, referências positivas em termos de excelência técnica, financeira e operacional já não são suficientes. É igualmente importante assegurar que os terceiros integrados ao ecossistema da organização também tragam (e mantenham) um elevado capital reputacional, regulatório e legal, demonstrando um destacado perfil de integridade. Alguns exemplos simples já bastam para uma perfeita compreensão do porquê – veja a seguir uma pequena lista deles e pense no efeito fulminante para a organização e todas as suas marcas quando:
1. Descobre-se que um fornecedor de destaque de uma indústria de alimentos de proteína animal também é dono de fazendas multadas pelo IBAMA, por invasão de terras demarcadas ou desmatamentos;
2. Vem à tona o fato de que um fornecedor importante de uma rede de varejo de vestuário mantinha empregados em condição de trabalho escravo;
3. Vaza a informação de que um franqueado relevante em uma rede de franquia de serviços de beleza feminina já foi condenado por crime de violência doméstica (“Lei Maria da Penha”);
4. Torna-se pública uma sanção expressiva atribuída ao parceiro que atua com coleta seletiva, em âmbito nacional, por não ter obtido licenças públicas requeridas na atividade;
5. A imprensa divulga o envolvimento de um importante prestador de serviços de manutenção em um caso de corrupção.
As situações descritas (são exemplos reais) não deixam dúvidas de que obter informações prévias e continuadas sobre a integridade de terceiros é uma prática de governança fundamental. O grande desafio é “como graduar a integridade de um terceiro?”.
Na determinação do grau de risco de integridade de um terceiro, busca-se qualificar uma pessoa física ou jurídica que deseja integrar o ecossistema da organização, a partir de desvios ético-reputacionais eventualmente identificados a seu respeito. Os marcos referenciais para graduação da integridade de um terceiro podem ser encontrados nas políticas internas da organização (Código de Ética e documentos similares), no mapeamento de riscos do empreendimento e na magnitude de danos que os riscos podem causar, se materializados – considerando-se, naturalmente, o apetite e a tolerância ao risco definidos pela organização. O gráfico a seguir permite coordenar a visão de apetite ao risco com os graus de risco de integridade aferidos para terceiros, estabelecendo um direcionamento genérico (guideline) que a organização pode adotar para os diversos perfis mensurados (Gráfico 1).
O grau de risco de integridade (no Gráfico 1, acima, indicado na coluna “Escore de risco”) é uma das principais referências utilizadas pelas organizações para decidir sobre iniciar e/ou manter um relacionamento de negócio ou institucional com um terceiro.
Os escores de risco usualmente refletem uma média geral do conjunto de achados detratores identificados nas diligências de integridade de um terceiro. Entretanto, alguns desvios ético-reputacionais podem ter um peso tão significativo, que interferem diretamente no escore final e, consequentemente, na avaliação de risco de integridade como um todo, a ponto de justificar uma salvaguarda mais estrita específica. Portanto, ao graduar o nível de risco de integridade de um terceiro, não leve em conta apenas o escore geral aferido, mas também os conteúdos de cada achado capturado em suas pesquisas de background check (the devil is in the details…).
2. Primeiros passos em governança de integridade de terceiros – a Cadeia de Suprimentos
2.1 Mapeando a cadeia de suprimentos, com ênfase em riscos de integridade, criticidades e atores
A força da cadeia de suprimentos da organização é um de seus fatores críticos de sucesso. Em todas as suas instâncias, a organização mantém relacionamento com grupos distintos de terceiros, todos eles com interesses específicos, mas todos eles convergentes em um objetivo comum: o êxito sustentável do eixo de valor que os conecta.
Do ângulo de visão da organização, é possível agrupar os atores de sua cadeia de suprimentos em três grandes núcleos temáticos: (1) ciclo de produto; (2) suporte ao negócio; e (3) ciclo de mercado. Veja o diagrama a seguir, para melhor clareza (Diagrama 3):
O Diagrama 3 demonstra que os terceiros integrantes da cadeia de suprimentos se agrupam em eixos intercomunicados de geração de valor, todos eles essenciais ao negócio da organização. É por isso que os riscos de integridade associados a terceiros podem contaminar toda a cadeia de suprimentos e trazer impactos arrasadores para a organização. Portanto, em um exercício de mapeamento, é necessário entender os riscos de integridade oferecidos pelo conjunto de atores de cada um dos três núcleos da cadeia de suprimentos (as pautas ESG são centrais nessa avaliação) e as respectivas criticidades. A matriz a seguir é um modelo sugestivo para esses fins (Matriz 1):
As criticidades de risco indicadas no modelo acima são meramente exemplificativas, e os fatores de risco de integridade não são exaustivos. Outros podem (e devem) ser considerados pela organização, em linha com o mapeamento de riscos realizado, sempre levando em conta os temas de sua agenda ESG – é um exercício muito útil para as definições estratégicas sobre gestão de terceiros. Experimente fazê-lo.
Note que os temas associados a Governança (o “G” na coluna “Relevância ESG”) são os mais numerosos e marcam presença em todos os fatores considerados na Matriz 1. Com efeito, a contratação de um terceiro que apresente externalidades adversas ou outros desvios em relação a assuntos ambientais ou sociais pode dar causa, em última análise, a uma inconformidade por violação de disposições legais, de regras regulatórias ou de políticas de governança da organização.
Governança é um sistema e, como tal, permeia todos os processos e estruturas de uma organização, garantindo o seu funcionamento em harmonia com os direcionadores estratégicos definidos e viabilizando sua sustentabilidade. Um rico conteúdo conceitual sobre Governança pode ser encontrado na 6ª edição do Código das Melhores Práticas de Governança Corporativa do IBGC em https://conhecimento.ibgc.org.br/Paginas/Publicacao.aspx?PubId=24640.
2.2 Due diligence de terceiros – seleção com base em critérios ESG e integridade
Concluído o mapeamento da cadeia de suprimentos da organização, com identificação dos riscos de integridade que cada grupo de terceiros pode trazer e respectivas criticidades, sempre mantendo em vista as pautas ESG (veja a Matriz 1, no tópico 2.1), chegou a hora de ver, na prática, como descobrir esses potenciais problemas. Vamos falar sobre os processos de diligência de integridade (due diligence) dos terceiros.
Due diligence é um processo que visa a reunir o maior número possível de informações sobre elementos ético-reputacionais de terceiros, a serem utilizados na construção do seu perfil de risco. É com base nas informações capturadas e no perfil de risco obtido que a organização tomará decisões a respeito das proteções que serão adotadas no relacionamento comercial ou institucional com o terceiro, tais como: limites de operação (volumes transacionados, crédito concedido, regularidade de negócios etc.), eventuais salvaguardas contratuais a serem aplicadas (garantias, covenants, multas, restrições informacionais etc.), certificações requeridas, cláusula de saída, divulgação de informações etc. No tópico 3.1 exploramos um pouco mais este tema.
Quando o contrato com o terceiro estiver em execução, o processo de due diligence dá lugar ao monitoramento de integridade, a ser realizado em bases periódicas e continuadas.
Em se tratando de processos, a diligência e o monitoramento de integridade devem prever atividades que acompanhem o ciclo de relacionamento dos terceiros com a organização, funcionando como controle e como componente informacional, para suporte à documentação de cadastro ou outras funções de Master Data.
O diagrama a seguir lista as atividades-chave dos processos de diligência e monitoramento de integridade de terceiros, distribuindo-as ao longo do ciclo de relacionamento mantido com a organização (Diagrama 4).
Abaixo detalhamos as atividades-chave em cada etapa do ciclo de relacionamento:
1. A etapa de Pré-cadastro é aquela que antecede a formalização de uma relação comercial ou institucional. A organização e o terceiro estão se conhecendo e avaliando se as condições gerais de contratação entre eles têm potencial para geração mútua de valor relevante. É importante neste estágio conduzir uma pesquisa de informações ético-reputacionais do terceiro e seus administradores (normalmente referido como background check) e levantar outras informações disponíveis no mercado.
Tenha cautela nas informações que forem acessadas, especialmente quando envolverem pessoas físicas, para evitar infrações às normas da Lei Geral de Proteção de Dados (LGPD – Lei 13.709/18).
O conjunto dos dados colhidos deve ser avaliado à luz das políticas e regras da organização, para uma clara aferição do perfil de risco oferecido pelo terceiro e para determinação do seu risk score. O perfil de risco revela se o terceiro apresenta maiores exposições potenciais no plano patrimonial, reputacional, regulatório ou criminal, além de evidenciar debilidades específicas nas dimensões ambiental, social e de governança. O escore de risco pondera todos os elementos de risco identificados, com base e seus pesos relativos, e oferece uma graduação geral do risco de integridade do terceiro, normalmente definida em 4 níveis: risco baixo, risco moderado, risco alto e risco crítico (damos um exemplo no Gráfico 1, no item 1.4).
2. A etapa de Contratação e Onboarding se dá quando a organização e o terceiro avançaram para firmar um acordo comercial ou institucional. Este é o momento de colher todos os dados necessários para cadastro, além de outros elementos essenciais para avaliação de atributos complementares de integridade, tais como: contrato social, demonstrações financeiras, código de conduta, licenças ambientais, licenças de funcionamento, prova de inscrição fiscal ativa, identificação dos beneficiários finais do terceiro (ou Ultimate Beneficial Owners – UBOs), existência de eventual conflito de interesses com profissionais que trabalham na organização etc.
Para garantia de uniformidade e conformidade, é recomendado que a coleta de todas essas informações seja feita através de um questionário de onboarding ou de um check-list padronizado, a ser preenchido e firmado pelo terceiro, com cláusulas de consentimento de uso de dados e responsabilidade civil e criminal.
No contrato a ser firmado, é indispensável que constem todas as salvaguardas definidas pela organização, para prevenção dos riscos de integridade detectados durante o background check e observados no questionário de onboarding.
3. Na etapa de Execução do contrato, a atividade a ser feita é de monitoramento. Não é necessária uma pesquisa completa de background check, como aquela conduzida durante a etapa de Pré-contrato, mas ao menos certas fontes de informação selecionadas devem ser acessadas, para que a organização possa identificar se houve flutuação relevante em algum aspecto da integridade do terceiro. E isso pode realmente ocorrer, pela dinâmica natural dos fatos. Um terceiro pode vir a sofrer alguma sanção regulatória antes inexistente, ou ver um de seus administradores se tornar politicamente exposto após um período de eleições, ou ser denunciado por prática de trabalho escravo, ou passar a ter expressivas dívidas trabalhistas etc. Enfim, muitas coisas podem mudar, ensejando uma elevação no perfil de risco do terceiro e, por isso, o monitoramento é uma prática de governança de integridade tão essencial quanto o background check.
A periodicidade do monitoramento deve guardar uma relação inversamente proporcional ao escore e o perfil de risco do terceiro. Dessa forma, para terceiros que representem maior risco, o monitoramento deve ser realizado em intervalos curtos (por exemplo, trimestralmente), e vice-versa. Recomenda-se monitoramento ao menos anual, para todos os terceiros de maior representatividade na cadeia de suprimentos da organização.
Agregue ao monitoramento outras informações e indicadores de desempenho ESG reunidos ao longo do relacionamento comercial e institucional vivenciado com o terceiro, e que de outra forma não seriam capturadas. E não esqueça de dar ênfase especial aos temas da agenda ESG da sua organização.
4. Chegada a etapa de Renovação do contrato, refaça o background check, revise os dados de cadastro e demais documentos anexados ao questionário de onboarding, analise os indicadores e atualize o escore de risco do terceiro. Se necessário, ajuste as salvaguardas contratuais constantes no acordo firmado, através de um aditamento ou de um novo contrato.
Neste ponto, é imperioso ressaltar que o objetivo do processo de diligência de integridade não é impedir ou dificultar que a organização firme negócios com terceiros. Na verdade, o objetivo é traçar um escore geral do terceiro e revelar situações que possam representar riscos, para que as medidas de proteção adequadas sejam preventivamente adotadas. Em um caso extremo de existirem riscos que ultrapassem o nível de tolerância definido nas políticas e regras internas da organização, aí sim deve-se evitar a criação de um vínculo de negócios ou institucional com o terceiro. Mas esta não é uma decisão inalterável; é circunstanciada. Isso significa que os achados que comprometeram a higidez ético-reputacional e o risk score de integridade de um terceiro, em certas circunstâncias e em um dado momento, podem vir a ser sanados, podem deixar de existir ou podem gradualmente se desvanecer, pelo efeito do tempo. E a possibilidade de uma aproximação entre a organização e este terceiro poderá ser retomada.
Se a sua organização fizer uso de ferramentas corporativas avançadas de gestão de Procurement, de Supply Chain Management (SCM), ou Master Data Management (MDM), considere incorporar as atividades de diligência de integridade de terceiros aos processos suportados por esses sistemas, para maximizar sinergias e aumentar a efetividade na gestão de riscos.
Finalmente, vale a pena lembrar o comentário feito no tópico 1.4: neste material, estamos dando ênfase aos atributos de integridade ético-reputacional, social e ambiental de um terceiro, mas é igualmente importante avaliar a sua capacidade técnica, a saúde financeira e performance operacional.
3. Ações avançadas em governança de integridade de terceiros na organização
3.1 Salvaguardas e respostas aos riscos de integridade:
As decisões a respeito das salvaguardas que deverão ser adotadas para prevenir os riscos de integridade apresentados por terceiros não devem ser tomadas isoladamente pela área de governança e compliance da organização. É imprescindível a participação de áreas de Negócio e do Departamento Jurídico, de forma dinâmica e sempre com um olhar para a sustentabilidade financeira, social e ambiental do negócio.
Idealmente, a definição de salvaguardas deve anteceder a materialização do risco de integridade de um terceiro. Quanto mais rico e profundo for o exercício de mapeamento de riscos na organização, maior será a sua capacidade de conceber práticas operacionais ou contratuais preventivas (salvaguardas), que lhe possibilitem lograr uma resposta ótima a um risco de integridade de terceiro materializado ou iminente. E, para que o mapeamento de riscos de integridade de terceiros de sua organização alcance um nível elevado, é de crucial importância que as áreas de Negócio, Jurídica e de Governança atuem de forma colaborativa, contribuindo com suas distintas visões e compreensões de impacto, inclusive em relação aos stakeholders externos da organização.
Uma dica para as organizações é combinar os exercícios de mapeamento de riscos de integridade de terceiros e de definição de salvaguardas – que passa ter uma feição de plano de resposta. Com certeza, o resultado será bastante equilibrado e efetivo.
O diagrama ao lado pode ser uma boa inspiração para alguns tipos de salvaguardas a serem consideradas no relacionamento da organização com terceiros e como tomar uma boa decisão a esse respeito, com a participação colaborativa de áreas internas (Diagrama 5).
Já vimos que a definição de salvaguardas deve anteceder a materialização do risco de integridade de um terceiro. Mas quando o risco se materializa ou se torna iminente, é importante que a organização seja ágil em sua resposta, acionando rapidamente uma ou mais salvaguardas previamente concebidas. Se o mapeamento de riscos e salvaguardas tiver sido feito com qualidade, é bem provável que as medidas de resposta (equipes, planos de ação e documentação) estejam todos muito bem construídos e prontos para utilização, evitando improvisos.
Medidas de improviso tendem a ser as mais práticas, mas raramente são as mais acertadas. E inevitavelmente serão as mais caras. Vale a pena prevenir.
3.2 Sistema de governança de integridade de terceiros:
É excelente poder contar com salvaguardas bem construídas e com planos de resposta efetivos. Mas é o sistema de governança de integridade de terceiros como um todo que haverá de garantir que as salvaguardas e planos de resposta serão lançados no momento certo, nas frentes adequadas e nas intensidades apropriadas para amenizar (ou mesmo neutralizar) os impactos de um risco materializado. Neste tópico, vamos falar um pouco mais sobre os principais elementos de um sistema de governança de integridade de terceiros.
Em uma organização com uma estrutura madura de gestão de riscos, as funções de controle estão adequadamente posicionadas ao longo de seus processos e normalmente distribuídas em 3 níveis intercomunicados – o Modelo das 3 Linhas: (1) em nível transacional e respectiva gerência; (2) em nível de gestão de governança, riscos e conformidade (ou compliance); e (3) em nível de auditoria interna. Para mais detalhes, consulte o material do Institute of Internal Audits em https://iiabrasil.org.br/korbilload/upl/editorHTML/uploadDireto/20200758glob-th-editorHTML-00000013-20072020131817.pdf.
No tópico 2.2, vimos juntos que as principais etapas que formam um ciclo de relacionamento com terceiros são: Pré-contrato; Contratação & onboarding; Execução do contrato e Renovação. Dentro de cada uma dessas etapas, há processos de negócios que são consistentes com o tipo de contratação que cada terceiro mantém com a organização. Dessa forma, haverá processos específicos para suportar as transações de fornecimento de materiais, de produção, de vendas, de logística, de contratação de serviços, de propaganda e marketing, de patrocínios etc.
Esses processos de negócios incluem atividades específicas de controle, as quais podem ser isoladas ou reunidas em subprocessos. Qualquer que seja o formato adotado, esses controles devem sempre observar um atributo em comum: devem estar posicionados em um ponto do processo em que haja presença de risco – que será então prevenido ou detectado. Este é um atributo essencial às atividades de controle e os problemas decorrentes de um desenho ruim, ou funcionamento defeituoso, podem tornar estrutura como um todo pouco eficiente ou até inócua, dando à organização uma falsa sensação de segurança.
Também no tópico 2.2, detalhamos as atividades de controle, para prevenção e detecção de riscos de integridade de terceiros, que devem ser executadas em cada etapa do ciclo de relacionamento da organização com suas contrapartes de negócios. Em síntese, essas atividades podem ser reunidas em 3 grandes grupos: (1) atividades de diligência de integridade; (2) atividades de monitoramento; (3) atividades de reavaliação para renovação do relacionamento.
Essas atividades devem ser taticamente distribuídas nos processos que sustentam cada etapa do ciclo de relacionamento com os terceiros, de modo a cumprir com o seu propósito funcional, qual seja, controle de riscos de integridade. Veja no diagrama a seguir (Diagrama 6) um modelo esquemático sugestivo, para um adequado posicionamento dos controles em comento. Observe que a posição dos controles favorece a formação de um ciclo de conformidade em harmonia com a dinâmica do negócio:
Note que todos os controles listados no Diagrama 6 estão posicionados ao nível transacional ou gerencial, constituindo a 1ª Linha contra riscos de integridade de terceiros.
Analisando os controles de forma mais granular, nota-se que muitas das tarefas a serem executadas nas atividades de background check, tais como a busca de informações públicas e privadas complementares, a distribuição e acompanhamento de preenchimento de questionário de integridade, a investigação de beneficiários finais, o monitoramento periódico etc., podem envolver a captura e processamento de literalmente milhões de informações sobre cada terceiro, seus administradores, sócios e outras pessoas do entorno. É forçoso admitir que, com a crescente disponibilidade e organização de dados nas diversas fontes (veja uma amostra resumida na Matriz 1, no tópico 2.1), é impraticável colher e processar manualmente um volume tão expressivo de informações.
Para alcançar eficiência nessas atividades, assegurar o máximo de abrangência informacional e evitar desperdício desnecessário de tempo e recursos da organização, deve-se considerar a utilização de sistemas especializados. A relação custo vs. benefício atual dos sistemas disponíveis no mercado para automação de background check de terceiros e monitoramento de integridade é bastante compensadora e a EthQuo certamente pode ajudar a sua organização neste sentido.
E, por último, mas no mesmo nível de importância, é imprescindível contar com PESSOAS. Profissionais treinados em risco de integridade de terceiros e práticas de governança, a cargo das atividades de controle apresentadas no Diagrama 6, vão assegurar a correta interpretação e direcionar a melhor reação às informações colhidas. Uma boa parte das atividades nessas funções é repetitiva, compilatória, e pode ser executada por profissionais externos, portanto avalie a oportunidade de optar por um outsourcing parcial do processo de integridade de terceiros em sua organização.
Na 2ª Linha, uma gerência de Governança, Riscos e Compliance enxuta pode executar atividades de revisão e teste dos controles posicionados na 1ª Linha e acompanhar dados estatísticos de risco, para apoio às decisões estratégicas da organização. E, por fim, procedimentos de auditoria interna (3ª Linha) podem ser executados para avaliar a efetividade dos controles, identificar eventuais falhas remanescentes e propor melhorias.
No diagrama a seguir (Diagrama 7), apresentamos uma visão macro de um sistema de governança de integridade de terceiros, combinando seus principais componentes estruturais (normas, processos, sistemas, pessoas), com os níveis funcionais recomendados nas boas práticas de gestão de riscos (1ª, 2ª e 3ª Linhas):
Sua organização pode se valer dos modelos listados neste tópico para desenvolver um sistema de governança de integridade bem robusto.
3.3 Lidando com riscos de integridade de terceiros:
Quando um problema ético-reputacional se materializa em um terceiro, surge um cenário no qual a organização não é agente, e sim paciente. A presença de práticas maduras de governança certamente ajudará a organização a se proteger contra muitos dos impactos irradiados pelos problemas experimentados pelos terceiros do seu relacionamento, ou ao menos minimizará os seus efeitos, especialmente nos casos em que a organização decida prosseguir naquele relacionamento.
Na prática, as decisões da organização no tocante a um terceiro que apresente questões de integridade vão ser tomadas antes de iniciado o relacionamento comercial/institucional ou no curso deste relacionamento. Estas decisões devem ser moduladas de acordo com o nível de impacto projetado para a(s) questão(ões) identificada(s). Na tabela a seguir (Tabela 1) fazemos um resumo dos possíveis cenários de decisão:
Observe que a organização terá um pouco mais de flexibilidade decisória nos estágios iniciais do relacionamento com o terceiro, posto que neste momento a possibilidade de não seguir com a contratação ou suspendê-la temporariamente ainda será uma opção disponível.
Depois de firmado um contrato e estando sua execução em marcha, todas as externalidades decorrentes do relacionamento com o terceiro já estarão em plena produção e, à vista de um risco iminente ou já materializado, pode não ser mais possível interromper a contratação, sem que isso imponha sacrifícios extraordinários à organização em termos de recursos de reposição, cadência operacional, disponibilidade de produto/serviço no ponto de vendas, volume de negócios, dentre outros. Até mesmo nos casos em que exista uma salvaguarda contratual que permita uma pronta interrupção do contrato (exit trigger), nem sempre esta é uma opção imediatamente praticável. Interromper o contrato com um parceiro e substituí-lo por outro pode demandar tempo, recursos e, ainda pior, submeter a organização à incômoda circunstância de ter que conviver temporariamente com um parceiro indesejado, administrando o rastro de danos reputacionais, regulatórios ou financeiros que ele vai deixando.
Portanto, é nos estágios iniciais do relacionamento que a organização terá maior capacidade de proteger valor contra desvios de integridade de terceiros. Para tanto, deve ser rigorosa na avaliação dos riscos e na introdução de salvaguardas apropriadas a cada caso, resistindo à tentação de menosprezar essas atividades. Vale a pena investir em uma estrutura de controles robusta de background check, questionário de integridade e outras práticas de due diligence de terceiros tipicamente aplicadas às etapas que antecedem a execução dos contratos.
Mas também pode ocorrer de um desvio ético-reputacional de um terceiro vir a acontecer em um estágio posterior à contratação, quando os negócios com o terceiro já estão em pleno andamento. Para detectar tais situações, é fortemente recomendado que a organização mantenha práticas de monitoramento periódico de integridade. Não é necessário que todos os terceiros com relacionamento com a organização sejam submetidos a pesquisas de monitoramento, bastando que se cubram aqueles de maior relevância para o negócio (por exemplo: principais distribuidores/revendedores, fornecedores-chave de produtos e equipamentos, patrocínios mais relevantes etc.) e aqueles com perfil de risco mais elevado (parceiros que já tenham algum histórico de desvios ético-reputacionais) ou ocupantes de segmentos de atividade mais sensíveis ao escrutínio ético.
Quando uma rotina de monitoramento de integridade revela algum risco ou problema, relativamente a um terceiro com relacionamento de negócios ativo, nem sempre é possível adotar alguma salvaguarda que prontamente estanque qualquer possibilidade de impacto adverso para a organização. É importante que os planos de resposta a riscos prevejam fórmulas que permitam uma gradual descontinuação de negócios com um determinado parceiro e sua substituição por outro(s) – o que traz à tona a importância estratégica de se manter mais de um parceiro em cada vertical de negócios ou de representação institucional. Falaremos mais sobre gestão estratégica de riscos de integridade no tópico 3.7.
Nesses casos, pode ser também necessária a adoção de mais de uma salvaguarda, para a devida proteção, ou o descarte de alguma salvaguarda excessivamente severa, que importe em sacrifícios incrementais para a organização, diante de um risco até certo ponto tolerável.
Em qualquer hipótese, é importante que o julgamento e a decisão a respeito de como melhor lidar com os riscos de integridade, antes ou depois de iniciado o relacionamento de negócios com um terceiro, sejam sempre compartilhados entre as áreas apropriadas da organização – em geral, Negócios, Jurídico e Compliance (vejam nossos apontamentos sobre o tema no tópico 3.1).
3.4 Beneficiários finais, conflitos de interesses e outros problemas de governança na cadeia de suprimentos:
Os riscos associados a terceiros não decorrem somente da pessoa física ou da entidade com as quais a organização firma uma relação comercial ou institucional. É importante lembrar que os terceiros podem se ver contaminados pelos problemas reputacionais de seus parentes, de seus sócios, de outras empresas do mesmo grupo econômico ou de seu círculo de relacionamentos etc. Portanto, para alçar a organização a um nível de maturidade realmente avançado em governança de integridade, é essencial que suas práticas de due diligence de terceiros tenham um alcance estendido, cobrindo ao menos as situações a seguir:
1. Beneficiários finais: Terminada uma pesquisa de background check de uma empresa que pretende iniciar um relacionamento comercial ou institucional com a organização, pode ocorrer de os resultados obtidos em relação aos sócios diretos e administradores daquela sociedade não apontarem quaisquer riscos ético-reputacionais ou de outra natureza, mas… Quem realmente está por trás deste terceiro?
Não é raro que pessoas com grande exposição reputacional, financeira, regulatória, ou ainda com participação escusa em algum segmento de mercado, acusações criminais, dentre outros problemas de integridade, se mantenham distantes da linha de frente de suas empresas. Para esses fins, podem ser interpostas várias camadas societárias, cumuladas com o envolvimento de parentes, representantes legais, estruturas de fundos etc., tornando difícil a identificação de quem seja o verdadeiro controlador do negócio e escondendo seus problemas de integridade. Mas quando tal fato vem à tona, os danos de imagem para a organização podem ser severos.
No âmbito da governança de integridade, a busca de informações sobre as pessoas que realmente controlam um terceiro é denominada de pesquisa de beneficiários finais (ou Ultimate Beneficial Owners – UBO).
É uma boa prática de governança conhecer os indivíduos que ocupem a posição de UBO dos terceiros com maior representatividade na cadeia de suprimentos da organização e, se necessário, realizar um background check específico para essas pessoas. Não se contente em conhecer apenas os sócios diretos e administradores do terceiro. O verdadeiro risco pode estar vários níveis societários acima!
2. Conflitos de Interesses: Muitas vezes não se identifica problema de integridade algum em relação a um terceiro que pretende iniciar um relacionamento comercial ou institucional com a organização. Mas, mesmo assim, aquela contratação pode estar maculada com um vício de conformidade muito importante.
Quando o terceiro é próximo de um colaborador da organização, por elos de parentesco ou por conexões societárias, surge um cenário de potencial conflito de interesses – especialmente quando o colaborador faz parte ou exerce influência sobre a área de negócios com a qual o terceiro transaciona comercialmente, por exemplo: a área de compras em relação a um fornecedor; a área de vendas em relação a um cliente; a área de marketing em relação à agência de propaganda; a Diretoria Financeira em relação a um banco que financie a organização etc.
Certos tipos de relação entre terceiros e colaboradores-chave devem ser evitados, posto que abrem frestas para situações de facilitação contratual, privilégios, “incentivos” (ou coisa pior), que obviamente são contrárias ao melhor interesse da organização.
São inúmeros os casos de fraudes no mundo corporativo, que têm origem em conexões familiares, sociais ou societárias entre terceiros e colaboradores. Portanto, em relação aos principais terceiros da cadeia de valor, é uma boa prática de governança averiguar a eventual existência de parentesco ou vínculo societário com colaboradores da organização, pelo menos até o terceiro nível de conexão. Esses testes podem ser feitos através da contratação de firmas especializadas, a custos reduzidos. Conte com o apoio da EthQuo nessas demandas.
3. Riscos de integridade em pontos mais distantes da cadeia de suprimentos: E quando o problema de integridade não é intrínseco a um terceiro, mas a um outro ator, mais distante da organização na cadeia de suprimentos? Sim, há uma razoável possibilidade de um fornecedor indireto também causar sérios estragos reputacionais em todos os seus parceiros na cadeia de suprimentos. Há uma infinidade de situações do tipo no mundo corporativo. Para citar algumas: trabalho escravo na cadeia de vestuário; crimes ambientais na cadeia de proteína animal; casos de corrupção na cadeia da construção civil (obras públicas); conluio entre agentes no mercado financeiro etc.
É uma boa prática de governança para a organização demandar de todos os terceiros em sua cadeia de suprimentos que definam políticas e adotem processos de diligência de integridade de suas principais contrapartes, comparáveis àquelas aplicadas pela própria organização. Nos tópicos 3.5 e 3.6 exploramos mais a fundo a operacionalização e benefícios da extensão da governança de integridade de terceiros ao longo de toda a cadeia de suprimentos.
3.5 O papel indutor da organização na integridade de terceiros da cadeia de suprimentos:
Neste texto discutimos diversas medidas preventivas e mitigatórias de que as organizações podem se valer, para se protegerem contra riscos de integridade de terceiros. Todas elas têm em comum o fato de se valerem de recursos, atributos ou mecanismos internos, acionáveis pela própria organização.
Mas é possível ir além. A influência que a organização exerce sobre a cadeia de suprimentos como um todo pode funcionar como um dínamo indutor de boas práticas de governança de integridade. São ações simples, de baixo custo e de fácil evidenciação, que vão contribuir para a redução do risco em todo o ecossistema do negócio. Alguns exemplos de ações indutoras que a organização pode liderar com pouquíssimo investimento incluem:
• Treinamentos orientados para riscos no relacionamento com terceiros;
• Seminários e encontros para estudos de caso com parceiros;
• Compartilhamento de modelos contratuais e templates;
• Workshops para troca de experiências entre pares ou na cadeia de suprimentos;
• Proposição de plano de melhorias gradual, com indicadores e metas para parceiros-chave;
• Premiações e incentivos a parceiros;
• Divulgação de progressos e bons desempenhos na prevenção de riscos;
• Criação de uma comissão de integridade, com representantes das principais categorias de terceiros da cadeia de suprimentos;
• Desenvolvimento colaborativo de processos e práticas, visando à captura de sinergias, maior efetividade e redução de custos, dentre outros.
Sua organização pode ser protagonista nesta matéria. Os benefícios derivados das ações de indução às boas práticas de governança de integridade para toda a comunidade de terceiros certamente superarão em muito os investimentos aportados à iniciativa.
3.6 “Ecossistematização” da governança de integridade na cadeia de suprimentos da organização:
Os programas de integridade modernos têm explorado uma abordagem de governança de integridade de terceiros mais holística, propondo que as estruturas e processos ultrapassem os portões das organizações e sejam co-operados com os próprios terceiros, alinhando propósitos, objetivos e certas práticas de governança em todo o ecossistema de negócios.
O que se busca é expansão material do sistema de governança de integridade, para: (i) alcançar a cadeia de suprimentos como um todo e não apenas os terceiros diretamente envolvidos em transações com a organização; (ii) promover a transparência nas instâncias transacionais que são alheias à organização; (iii) proporcionar uniformidade nos valores éticos praticados pelos integrantes da mesma cadeia; (iv) satisfazer às demandas de stakeholders engajados e munidos de ferramentas digitais poderosas, que reagem a desvios ético-reputacionais ocorridos em qualquer ponto da cadeia de suprimentos da organização.
Neste conceito, a organização funciona como um núcleo irradiador e receptor de boas práticas de governança, colaborativamente contribuindo para a redução dos riscos de integridade de toda a cadeia de suprimentos. Quando a uniformização dessas práticas é perceptível e a sua operação se dá com a transparência adequada, pode-se dizer que o ambiente de negócios da organização atua sob um mesmo macrossistema de governança – o que chamamos de “ecossistematização” da governança de integridade de terceiros.
Para além da diminuição do risco, esta abordagem também possibilita uma redução do custo de governança para todos os integrantes do ecossistema. Sim, é possível, em um ecossistema organizado, alinhado em suas práticas de governança, compartilhar informações de integridade de seus atores e outros terceiros, bem como os custos com ferramentas, tecnologias, estruturas e outros instrumentos utilizados em sua operação.
Considere seriamente “ecossistematizar” as práticas de governança de integridade de terceiros em sua organização (para mais informações sobre o tema, veja nosso conteúdo em https://ethquo.com.br/governanca-de-integridade-de-terceiros-alguns-conceitos/).
3.7 Gestão estratégica de integridade de terceiros:
Há diversas fórmulas através das quais as práticas de governança de integridade de terceiros podem ser formatadas. Na mais comum, as organizações definem suas estruturas e processos consoante seus objetivos e modelos de negócios e, a partir dos riscos de integridade de terceiros mapeados, estabelecem controles que visem a proporcionar o máximo de proteção, em conformidade com suas diretrizes.
É uma fórmula que abarca diversos mecanismos de controle de consagrada eficiência, já abordados neste texto, tais como o background check, a confirmação de dados em seleção/onboarding de contrapartes e o monitoramento de integridade. A presença desses controles, posicionados ao longo dos respectivos processos de modo a eficientemente proteger a organização contra riscos de integridade de seus terceiros, proporciona o que eu denomino de “governança de integridade by default”, ou seja, qualquer que seja a transação praticada pela organização e quaisquer que sejam os terceiros nela envolvidos, terão que ser submetidos aos controles, análises e crivos de integridade instituídos nos respectivos processos, por padrão (ou by default).
As práticas de governança de integridade de terceiros podem (e devem) ir um degrau acima. Além de estarem presentes nos processos corporativos, sob a forma de controles, também é possível considerar seus objetivos na estruturação do modelo de negócio propriamente dito, situação na qual a governança de integridade ganha o status de elemento nativo do propósito da organização.
Um bom exemplo seria a definição de requisitos de integridade qualificatórios para terceiros candidatos a fazerem parte da cadeia de suprimentos da organização, seguido da criação de um “banco de parceiros” previamente qualificados, com indicadores acima dos níveis mínimos requeridos. No passo seguinte (a seleção dos parceiros), a organização pode solicitar evidências rastreáveis de que riscos eventualmente detectados na etapa de qualificação tenham sido resolvidos ou mitigados.
Um outro exemplo, presente em organizações com alto nível de maturidade em governança, vai ainda mais adiante e projeta os conceitos de integridade de terceiros nas definições estratégicas do negócio como um todo. Essas definições poderiam vir na forma de cautelas adicionais em relação a terceiros que operem em certos segmentos de mercado, campanhas internas valorizando a integridade na cadeia de valor, ações afirmativas em capacitações sobre políticas de integridade para todos os colaboradores (e não apenas os que mantêm relacionamentos com terceiros), dentre outras ações.
As iniciativas ou práticas descritas acima compõem o que eu denomino de “governança de integridade by design”.
Governança de integridade by default e by design têm em comum o fato de que integram o mesmo
sistema, ora através de práticas embarcadas ao nível transacional (by default), ora em camadas estratégicas, táticas ou jurídico-instrumentais (by design). Não há diferenças qualitativas entre essas fórmulas e nem são elas excludentes entre si – ambas cumprem o seu papel preventivo e mitigatório no contexto de seus respectivos âmbitos de aplicação e é justamente o seu funcionamento sistemático (ou seja, como partes de um mesmo sistema) que há de proporcionar um nível de efetividade elevado de gestão de riscos de integridade de terceiros para a organização.
***Nota do autor: este texto não foi preparado com uso de inteligência artificial.
Fonte: Assessoria
- Publicado a
Notícias Relacionadas
Os melhores investimentos imobiliários em 8 países e mais de 30 lugares [Castaño Martorani Imóveis]
Quer ficar por dentro dos melhores Investimentos Imobiliários em 8…
Webinar: Financiamento Público em Portugal [Atlantic Hub]
Antes de embarcar para o maior evento de tecnologia e…
Dados Corporativos: Os Riscos dos Chatbots e da Inteligência Artificial [Brasil Salomão]
O uso de chatbots e outras ferramentas de Inteligência Artificial…
Por que escolher Portugal para morar? Listamos 10 motivos [Start! Be Global]
Quando se fala em Portugal para morar, o que vem…
Smart Cities: Contribuições da Tecnologia e Segurança para Cidades Inteligentes [Teltex Tecnologia]
As Smart Cities estão transformando a vida urbana ao integrar…
Como a reforma tributária pode afetar seu patrimônio? [Lifetime]
No dia 13 de agosto de 2024, a Câmara dos…
Regime Fiscal do Residente Não Habitual em Portugal – RNH [Start! Be Global]
Portugal tem se tornado cada vez mais um destino atrativo…
Almada 451, uma Nova Forma de Viver o Porto [Amber Star]
ALMADA 451 emerge da reabilitação de um antigo edifício numa…
Eleve a Performance do Seu Time com Segurança Psicológica [Virginia Haag]
Você já parou para pensar no impacto que a segurança…
Segurança no Mundo Digital: Proteção de Dados e Privacidade [Teltex Tecnologia]
A segurança no mundo digital é essencial para proteger dados…
Nômades Digitais em Portugal: Uma Oportunidade de Investimento Imobiliário em Espaços de Coworking [Global Citizen Solutions]
Uma nova onda de nômades digitais está transformando Portugal em…
Transformação Digital no Agronegócio: Videomonitoramento Inteligente e Automação [Teltex Tecnologia]
A transformação digital no agronegócio está revolucionando a gestão agrícola…