O funcionamento de uma empresa por vezes depende de uma rede de terceiros, como fornecedores, distribuidores, prestadores de serviços, parceiros de negócios, entre outros. Segundo a pesquisa Third Party Risk Management outlook 2020 da KPMG, a gestão de riscos desses terceiros tem sido motivo de preocupação entre os executivos.
O programa de gerenciamento de riscos de terceiros é uma prioridade estratégica para os negócios na visão de 77% dos executivos ouvidos. A maioria (74%) acredita que as empresas precisam urgentemente tornar o programa mais consistente. O estudo foi realizado com 1.100 executivos de 14 países, incluindo o Brasil, justamente para avaliar como está sendo realizada a gestão de riscos e quais são os principais desafios na implantação de programas neste sentido.
Entre os riscos que mais devem ser considerados, de acordo com os executivos que participaram da pesquisa, estão os regulatórios e compliance, estratégico, subcontratação, concentração, tecnológico e cibernético, de país e território, visibilidade financeira, operacional e abastecimento, reputacional e legal e jurídico. Já com relação a responsabilidade pelo gerenciamento, financeiro e compliance lideraram as respostas. O uso intensivo de tecnologia e segurança da informação são as duas principais tendências para o foco da gestão de riscos para os próximos 12 meses. Por outro lado, as empresas estão investindo mais em soluções tecnológicas, revisão de contratos e operações para garantir o compliance.
A gestão de terceiros deve ser feita dentro do programa de TPRM (Third Party Risk Management) na percepção de Emerson Melo, sócio líder da prática de Forensic & Litigation da KPMG no Brasil e que palestrou no 4º Circuito da Transparência – Compliance na Gestão de Terceiros, onde primeiro é preciso estabelecer onde se quer chegar, em seguida definir a governança, a cultura, as políticas e os procedimentos e, ainda, quais serão as pessoas e as responsabilidades dentro das áreas ou quem irá assumir essa função e, por fim, realizar testes e implementar rotinas para o monitoramento que é fundamental para ter a supervisão e efetividade do programa. Lembrando que é um equívoco pensar que essa responsabilidade é apenas de uma área.
de Emerson Melo, sócio líder da prática de Forensic & Litigation da KPMG no Brasil
Não podemos esquecer que esse ciclo começa antes da contratação. É importante ter uma definição clara desde o momento pré-entrada desse terceiro dentro do ecossistema até a sua saída. “A gestão de riscos começa antes da contratação, da cotação e de iniciar propriamente dito o relacionamento. Procedimentos preventivos são essenciais para estabelecer um bom programa de TPRM”, adverte Melo.
Ele recomenda, ainda, no gerenciamento de riscos com o terceiro, que as empresas saibam qual é o seu padrão, aquilo que consegue negociar ou acomodar e o que é inegociável. “Esse último deve ser cascateado para todo o grupo. As vezes o terceiro não tem a mesma estrutura. A particularidade de cada um deve ser avaliada e respeitada”, explica.
Fábia Cunha, gerente de riscos e compliance e professora na FIA
Na rede Accor, Fábia Cunha, gerente de riscos e compliance e professora na FIA que palestrou no evento, cita que existem muitos investidores como terceiros. Ao representar a marca, eles não podem trazer impacto a ela. Com o advento da LGDP (Lei Geral de Proteção de Dados), ela conta que dobrou a preocupação em garantir que os dados sejam utilizados sem o risco de vazamentos. “Temos um grande número de franquias, que de acordo com a lei não podemos interferir na gestão, mas a LGPD coloca sobre nós a responsabilidade de controlar os dados utilizados por esse terceiro. De fato, o que tem nos ajudado é a realização do mapa de riscos, a conscientização da causa e a boa elaboração de um plano de ação que ao mesmo tempo nos traga prevenção”, relata.
Segundo ela, o investidor não está mais disposto a perder dinheiro por não ter conhecimento do risco. “Temos tido muito sucesso, nesse momento LGPD, pois fizemos o mapa de riscos antes, em 2019 começamos e hoje está 100% implantando. Atuamos para mitigar o risco de um vazamento de dados. O nosso programa atinge todos os terceiros. Descobrimos ao longo do processo que devemos apoiá-lo, ele não tem muitas vezes a mesma estrutura que nós. Quando o conscientizo, estou protegendo a minha marca. A proteção sempre é da empresa. Este ano todos os nossos riscos estão previstos dentro do budget”, ressalta.
Hoje, a alta administração da rede Accor é muito mais responsável pela ação praticada pelo terceiro do que era antes, por mais que a legislação trouxesse as regras, não era muito impactante. Cunha aponta que, se olharmos para as inúmeras legislações que tratam sobre isso não se quer mais correr riscos em contratar quem não se conhece sem fazer due diligence. “Não podemos contratar só pela qualidade e preço sem entender como o terceiro consegue chegar naquele preço, sem olhar para o seu programa de compliance, que é diferencial, e sem garantir e avaliar todos os recebimentos dos impostos como, por exemplo, se é um sonegador fiscal, pois a empresa irá responder por isso”, relata.
Claudia Valente, diretora de conduta e conflito de interesse da ANEFAC e gerente de compliance e riscos na Inova Saúde
Esta mudança no mundo, de percepção da alta administração, já vem acontecendo desde a Lei Anticorrupção e dos terríveis cenários que vivemos. Para Cunha, essa transformação mundial foi nos aproximando da conscientização que somos responsáveis pelo terceiro e a crise deixou mais urgente, pois muitos terceiros quebraram sem ter capacidade financeira para administrar a situação e impactou toda a cadeia. Isso fez com que as grandes sentissem na pele que não pode ter mais certas contratações. Não se deve estrangular o terceiro, isso é um ponto importante e a área de compliance deve ser chamada para olhar com atenção para esta movimentação, por exemplo.
A conjuntura mundial é que nos levou hoje a trazer o tema de gestão riscos para a agenda dos executivos. “Se olhar os fatos que aconteceram, a maioria dos grandes aprendizados são pela dor e não pelo amor. Estes exemplos fortalecem a nossa argumentação dentro das organizações. Não existe receita pronta, cada uma acaba definindo o seu escopo de gerenciamento de riscos, mas existe o modelo clássico para determinar a área responsável: os gestores do negócio são a primeira linha de defesa, riscos e compliance a segunda e auditoria o terceiro”, alerta Claudia Valente, diretora de conduta e conflito de interesse da ANEFAC e gerente de compliance e riscos na Inova Saúde que mediou o evento.
O evento 4° Circuito da Transparência, que você assiste na íntegra abaixo, faz parte de uma agenda de debates com muito conteúdo em prol das empresas e fomento das melhores práticas da ANEFAC em comemoração aos 25 anos do reconhecido Troféu Transparência – Prêmio ANEFAC.FIPECAFI. A entidade organizou uma série de ações que visam colaborar com a bandeira da transparência para o mercado, trazendo temáticas importantes que estão sendo discutidas por toda a sociedade e mercado com a transparência. Confira os conteúdos dos demais eventos.
1 ° Circuito da Transparência: Privacidade de dados: as empresas realmente estão mais seguras? Clique aqui.
2 ° Circuito da Transparência: Lei Anticorrupção ajuda a criar um ambiente de negócios transparente e ético. Clique aqui.
3 ° Circuito da Transparência: O que falta à transparência das questões ESG? Clique aqui.