Escolar Documentos
Profissional Documentos
Cultura Documentos
A DE AVALIAÇÃO
Guide for
DE RISCO
Anti-Corruption
DE CORRUPÇÃO
risk Assessment
Sobre o Pacto Global da ONU
Pacto Global da ONU é um convite para que as empresas de todos os lugares alinhem voluntariamente suas
operações e estratégias aos dez princípios universalmente aceitos nas áreas de direitos humanos, trabalho,
meio ambiente e anticorrupção e ajam para apoiar as metas e as questões da ONU. O Pacto Global da ONU
é uma plataforma de liderança para o desenvolvimento, implementação e divulgação de políticas e práticas
corporativas responsáveis. Lançada em 2000, trata-se da maior iniciativa de sustentabilidade corporativa do
mundo, com mais de 12.000 signatários localizados em 145 países.
Agradecimentos
O Global Compact Working Group (Grupo de Trabalho do Pacto Global) sobre o 10º Princípio designou uma
força tarefa com foco na avaliação de risco de corrupção para criar um documento de orientação para
pequenas, médias e grandes empresas sobre como entender e conduzir avaliações de risco de corrupção,
como um elemento fundamental dos seus programas de conformidade.
Esse guia foi criado pela Força Tarefa de Avaliação de Risco de Corrupção, que contou com especialistas
anticorrupção, organizações não governamentais e profissionais de negócios.
Uma ampla consulta foi conduzida para garantir a utilidade e o conteúdo do Guia de Avaliação de Risco.
Gostaríamos de agradecer especialmente a:
• Instituto dos Contadores Públicos Certificados de Hong Kong
• Organização para a Cooperação e o Desenvolvimento Econômico (OECD), divisão anticorrupção
• Petróleo Brasileiro SA – Petrobras
• Rabobank Group
• Spain Global Compact Local Network
• Escritório das Nações Unidas sobre Drogas e Crime (UNODC)
• Fórum Econômico Mundial - Iniciativa de Parceria Contra a Corrupção (WEF –PACI)
O escritório do Pacto Global da ONU gostaria de agradecer a Deloitte Touche Tohmatsu por seu importante es-
forço para coordenar o desenvolvimento deste guia
Exoneração de responsabilidade
O objetivo desta publicação é exclusivamente educativo. A inclusão dos nomes e/ou exemplos de empresas não
constitui um endosso das empresas individualmente pelo Escritório do Pacto Global da ONU. O material dessa
publicação pode ser citado e usado, desde que acompanhado da devida referência.
Copyright © 2013
United Nations Global Compact Office
Two United Nations Plaza, New York, NY 10017, USA
Email: globalcompact@un.org
3
4
Índice
B. Introdução e histórico 10
B.1 Avaliação de risco de corrupção 10
B.2 Formas de corrupção 12
B.3 Influência sobre o programa geral de conformidade anticorrupção 13
B.4 Pessoal envolvido 15
B.5 Responsabilidade e liderança geral 15
B.6 Participantes 15
C. Estabelecer o processo 18
C.1 Introdução 18
C.2 Entendendo o problema 19
C.3 Planejando
Anexos — Índice 50
Anexo 1. Guia do Ministério da Justiça do Reino Unido para a Lei Antissuborno 51
Anexo 2. Exemplo de ferramenta de análise de exposição do país 52
Anexo 3. Exemplo de entrevista de avaliação de risco de corrupção
e tópicos de pesquisa
Anexo 4. Alertas de corrupção 54
Anexo 5. Metodologia RESIST: Cenários 55
Anexo 6. Fontes de análise de risco de corrupção por país 56
Anexo 7. Exemplo de matriz de pontuação de probabilidade 57
Anexo 8. Exemplo de matriz de pontuação de impacto potencial 57
Anexo 9. Exemplo de matriz de pontuação de probabilidade multifatorial 58
Anexo 10. Exemplo de matriz de pontuação de impacto potencial multifatorial 59
Anexo 11. E xemplo de métodos de classificação de probabilidade e impacto
potencial por média ponderada
Anexo 12. Exemplo de escala qualitativa para determinar risco inerente 60
Anexo 13. Exemplo de abordagem quantitativa para avaliar risco inerente 61
Anexo 14. Exemplos de controles anticorrupção 61
Anexo 15. Exemplo de matriz de pontuação de classificação de controle 63
Anexo 16. Exemplo de critérios de pontuação detalhados para
classificação de controle 64
Anexo 17. Exemplo de escala qualitativa para determinar risco residual 70
Anexo 18. Exemplo de abordagem para definir plano de resposta ao
risco de corrupção 71
Anexo 19. Exemplo de relatório resumido de avaliação de risco de corrupção 72
6
Georg Kell
Diretor executivo
Escritório do United Nations Global Compact
7
Barry Salzberg
Diretor executivo global
Deloitte Touche Tohmatsu Limited
1. “Deloitte” refere-se a uma ou mais das empresas Deloitte Touche Tohmatsu Limited, uma empresa privada do Reino Unido
limitada por garantia, e sua rede de empresas participantes, cada qual constituindo uma entidade legalmente separada e
independente. Confira uma descrição detalhada da estrutura legal da Deloitte Touche Tohmatsu Limited e de suas empresas
participantes em www.deloitte.com/about Confira uma descrição detalhada da estrutura legal da Deloitte LLP e de suas
subsidiárias em www.deloitte.com/about
8
2. http://www.oecd.org/daf/anti-bribery/oecdantibriberyrecommendation2009.htm
3. Modelo de Gestão do Pacto Global da ONU: Estrutura de implementação emitida pelo Pacto Global da ONU
http://www.unglobalcompact.org/docs/news_events/9.1_news_archives/2010_06_17/UN_Global_Compact_Management_Model.pdf
9
Finalmente, para oferecer aos leitores um material fácil e prático, fornecemos listas de veri-
ficação nos anexos deste documento. Observe que esses anexos devem ser usados apenas como
orientação – as listas de verificação não têm o objetivo de serem totalmente abrangentes e não
cobrem as nuances estre os diferentes setores. A análise de risco deve ser feita sob medida para
sua empresa.
COMPROMETER
COMUNICAR
Comunicar progresso
e estratégias, bem
como engajar-se com
públicos de inter- DEFINIR
esse visando melhoria Definir metas,
contínua. estratégias
e políticas.
MEDIR
Medir e monitorar impactos IMPLEMENTAR
e progresso para atingir metas. Implementar estratégias e
políticas em toda a empresa
e em sua cadeia de valor.
10
B. Introdução e histórico
8. Adotado como parte integrante da Recomendação do Conselho da OECD para combater o suborno de funcionários públicos estrangeiros
em transações comerciais internacionais de 26 de novembro de 2009 http://www.oecd.org/dataoecd/5/51/44884389.pdf Princípios de Gover-
nanaça Corporativa da OECD Diretrizes de Governança Corporativa de Empresas Estatais da OECD
9. Seção A, Guia de Boas Práticas
12
Guia define seis princípios, inclusive um para o abuso de poder conferido para benefício par-
avaliação de risco, e o governo achou que de- ticular, mas a corrupção pode apresentar-se de
via informar os procedimentos a serem insta- várias formas. Algumas das principais formas
lados por empresas comerciais que quisessem estão descritas abaixo.
prevenir o suborno. O Princípio 3, Avaliação • Suborno: Define-se por oferecer, prometer,
de risco, estabelece que: “A organização dar, aceitar ou solicitar vantagem como
comercial avalia a natureza e extensão da forma de induzir uma ação, que é ilegal,
sua exposição a riscos de suborno potenciais antiética ou uma quebra de confiança por
internos e externos em seu nome por pessoas deixar de agir.11 Suborno pode ser uma van-
a ela associadas. A avaliação é periódica, infor- tagem indevida, financeira ou em espécie,
mada e documentada.” O texto completo do que pode ser paga diretamente ou através
Princípio 3 está no Anexo 1. Também no Reino de intermediários. A empresa deve levar
Unido, o Padrão Britânico 10500, Especificação em conta as formas mais prevalentes de
de Sistemas de Gestão Antissuborno (ABMS) suborno na sua avaliação de risco, inclu-
determina que uma empresa deve implemen- indo propinas, pagamentos de facilitação,
tar procedimentos para permitir avaliar o presentes, hospitalidade, despesas, contri-
risco de suborno em relação às suas atividades buições políticas e beneficentes, patrocínios
e também se suas políticas, procedimentos e despesas promocionais. Breves descrições
e controles são adequados para reduzir esses de alguns desses riscos:
riscos a um nível aceitável. àà Propinas: Propinas são subornos
Apesar de outros códigos e normas não realizados para um cliente depois que
abordarem especificamente a avaliação de risco uma empresa recebeu um contrato. Eles
de corrupção, eles enfatizam a importância ocorrem nos departamentos de compras,
de aplicar avaliações de risco na empresa. contratação ou outros responsáveis por
Por exemplo, a Bolsa de Valores da África do decisões de concessão de contratos. O
Sul emitiu o relatório “King III” enfatizando fornecedor oferece o suborno entregando
que a gestão de risco deve ser vista como parte da taxa de contrato de volta para o
parte integrante dos processos estratégicos comprador, diretamente ou através de um
e comerciais de uma empresa. O Padrão intermediário.
Australiano 8001-2008 sobre Controle de àà Pagamentos de facilitação: Tratam-se
Corrupção e Fraude enfatiza a necessidade de pagamentos normalmente pequenos
de controlar os riscos de fraude e corrupção feitos para garantir ou acelerar o desem-
e atribui essa obrigação de governança aos penho de uma rotina ou ação necessária a
controladores da empresa. Da mesma forma, que o pagador tem direito, legalmente ou
os princípios estabelecidos pelo Código de não. Eles apresentam preocupações para
Governança Corporativa do Reino Unido, as entidades, já que os pagamentos são
publicado pelo Conselho de Relatórios geralmente extorquidos em circunstân-
Financeiros (FRC) inclui o seguinte: “O conselho cias como obtenção de liberação de produ-
é responsável por determinar a natureza e tos perecíveis da alfândega ou obtenção
a extensão de riscos significativos que está de permissão de entrada na imigração.
disposto a assumir para atingir seus objetivos àà Doações políticas e beneficentes,
estratégicos. O conselho deve manter sólidos patrocínio, viagens e despesas promo-
sistemas de controle interno e gestão de risco.”10 cionais: Essas são atividades legítimas
para entidades, mas pode haver abuso por
B.2 Formas de corrupção serem usadas como subterfúgio para o
suborno. Deve-se observar que, de acordo
Ao desenhar um programa anticorrupção, com os crimes de suborno estrangeiros de
a empresa deve definir o que entende como vários países (principalmente de países
corrupção e suas várias formas, uma vez que que fazem parte da Convenção Antis-
isso fornece a referência para o processo de suborno da OECD), há riscos ligados a tais
avaliação de risco. A Transparência Internacio- transações quando pode ficar entendido
nal define corrupção, em termos gerais, como que uma vantagem foi oferecida para
10. Código de Governança Corporativa do Reino Unido (FRC Junho de 2009), Seção C Responsabilidade
11. Princípios de Negócios para Combate a Suborno (Transparência Internacional 2009), Convenção Antissuborno da OECD, Art. 1; Conven-
ção da ONU contra Corrupção, Art. 15-16
13
duzir nossas políticas em línguas adicionais em boa parte das orientações regulatórias dis-
como resultado do risco do país identificado poníveis. Os resultados da avaliação de risco
na nossa avaliação? de corrupção podem ser usados para planejar
os próximos 18 meses de iniciativas de comu-
Os padrões escritos da empresa devem, pri- nicação, com ênfase específica na utilização de
meiro e acima de tudo, ser feitos sob medida mecanismos que têm maior probabilidade de
para atender às necessidades da empresa. Os alcançar os públicos de mais alto risco. Deve
padrões também devem ser acessíveis à popu- ser dada atenção específica à ao momento des-
lação alvo, tanto literal quanto linguistica- sas iniciativas utilizando-se das informações
mente. O processo de avaliação de risco pode reunidas na avaliação relativa a períodos de
ajudar empresas que podem não ter políticas risco essenciais.
formais a determinar onde melhor formalizar
a orientação. No caso das empresas que têm Monitorando e auditando atividades.
políticas instaladas, os resultados da avaliação Perguntas essenciais respondidas por uma
de risco de corrupção podem indicar itens de avaliação de risco eficiente sobre atividades de
ação essenciais. Por exemplo, se a avaliação auditoria e monitoramento da empresa:
revelar que a política não está traduzida em • Como parte do acompanhamento de riscos
todas as línguas locais aplicáveis, é de difícil identificados, há mudanças que precisam
localização e está escrita em um grau lin- ser feitas em nossas atividades de monitora-
guístico elevado, um item óbvio de ação ime- mento e auditoria?
diata para remediação seria revisar a política • Precisamos de processos e tecnologias adi-
e tornar sua leitura mais fácil, traduzi-la para cionais para fortalecer essa etapa de nosso
todas as línguas de alto risco (no mínimo) e programa?
informar adequadamente como localizá-la.
As informações reunidas durante a avaliação
Planos de treinamento e iniciativas de de risco devem ter um papel no avanço das
comunicação iniciativas de monitoramento contínuo. Por
O treinamento, como quase todos os outros exemplo, uma fraqueza nos controles de de
aspectos de um programa de conformidade despesas e viagens revelado pela avaliação de
anticorrupção eficiente, deve levar em conta risco deve levar à necessidade de utilização de
e se basear no perfil de risco da empresa. um sistema de registro de despesas e viagens
Perguntas essenciais respondidas por uma com uma funcionalidade mais robusta, in-
avaliação de risco eficiente sobre o plano de cluindo lembretes automáticos para gestores,
treinamento da empresa incluem: ou “pop outs” relativos à política de despesas
• Há subseções específicas da nossa base fun- e viagens da empresa. A priorização de riscos
cional (por exemplo, subordinados aos ger- resultante da avaliação de risco pode ser usada
entes de nível intermediário) que precisam para determinar os controles a serem testados
de treinamento adicional? E os gerentes e com que frequência isso deve ser feito.
de nível intermediário — eles precisam de
treinamento adicional? Comunicação de terceiros, termos e cláu-
• Nós medimos a qualidade e a meticulo- sulas contratuais e diligência prévia.
sidade dos materiais de treinamento e Finalmente, perguntas essenciais respondidas
testamos a retenção do assunto pelos fun- por uma avaliação de risco eficiente sobre os
cionários? controles externos da empresa incluem:
• Qual será a frequência e a duração desses • Nossa avaliação identificou riscos externos
treinamentos? básicos que não são abordados por nosso
processo de diligência prévia?
Os resultados da avaliação de risco podem • Nosso texto contratual é adequado para
ajudar as empresas a melhorarem a qualidade proteger nossa empresa? Como estamos
do treinamento existente e, no caso de em- nos comunicando atualmente com nossas
presas menores, podem ajudar a identificar as terceiras partes?
populações em risco que estão em necessidade
crítica de treinamento. Além disso, iniciati- Cada aspecto das interações da empresa com
vas de comunicação eficientes têm um papel suas terceiras partes pode ser analisado à luz
significativo na promoção do sucesso de um dos resultados da avaliação de risco, especial-
programa anticorrupção, conforme observado mente como os terceiros são escolhidos, que
15
C. Estabelecer o processo
40 minutos Discussão de tópicos/ riscos específicos: Isso pode acontecer na nossa empresa?
• Pagamentos de facilitação
• Trabalhar com agentes
• Presentes e entretenimento
• Etc.
20
Ao planejar uma avaliação de risco de corrup- fontes externas de informação, que trazem
ção em toda a empresa, deve ser dada aten- dados sobre o risco-país e perfil de corrupção,
ção aos interessados envolvidos no processo. bem como casos de corrupção específicos da
Conforme esboçado em “Pessoal normalmente indústria.
envolvido” na Seção B, vários interessados Além de relatórios publicamente
podem contribuir para esse exercício. En- disponíveis, uma empresa pode utilizar
tretanto, considerando que o envolvimento de análises adicionais por meio de dados
de mais pessoas culminará num aumento de financeiros que ofereçam estatísticas de
recursos e tempo, surge a dúvida sobre como o vendas e comissões pagas para agentes,
processo pode ser definido de forma eficiente. buscando compilar uma ferramenta de análise
Esta seção explora os princípios, as técnicas de sensibilidade de local/país. Confira no
e as práticas que podem ajudar uma empresa Anexo 2 um exemplo de ferramenta de análise
a identificar fatores de risco (por e-xemplo, de sensibilidade.
porque ocorreria corrupção da sua empresa?) Além disso, uma análise dos gastos com
e riscos e esquemas (por exemplo, como a entretenimento, presentes e hospitalidade
corrupção seria perpetrada na sua empresa?) incorridas no país ou em unidade operacional
utilizando da melhor distribuição de recursos também pode ser considerada. Funções de
e tempo de forma efetiva. auditoria interna geralmente baixam dados
relativos a uma unidade operacional específica
D.1 Coleta de dados a partir de sistemas de TI e contabilidade para
análise. Isso favorece a identificação de áreas
Há formas diferentes de coletar dados e in- de risco que podem estar sujeitas a um exame
formação sobre o porque e como os riscos de mais profundo usando outros métodos. O mes-
corrupção podem ocorrer em uma empresa. mo processo pode ser aplicado à coleta de dados
Nesta seção, introduzimos esses métodos e relativos a riscos de corrupção potenciais.
discutimos seus prós e contras. Finalmente, analisar os terceiros priori-
tários (relevantes) como agentes, parceiros de
Pesquisa documental empreendimentos comuns e contratados em
A pesquisa documental oferece um ótimo países e regiões de alto risco, além de áreas
ponto de partida para uma avaliação de risco onde a empresa tem interações com fun-
de corrupção. Recursos internos e externos cionários de governo, também pode ajudar na
devem ser levados em conta. Relatórios do identificação de possíveis riscos de corrupção.
departamento de auditoria interna sobre riscos
de conformidade, casos de não conformidade e Entrevistas
riscos comuns de corrupção podem ser usados Entrevistar interessados relevantes pode ser
para esse fim. Outra fonte interna consistem um método eficiente de obter uma visão geral
em registros de casos de corrupção anteriores dos riscos de corrupção na empresa. Primeiro,
e as alegações da linha direta de delação, que várias funções da equipe corporativa (como con-
pode apresentar diferentes tipos de riscos. formidade, jurídica, gestão de risco, auditoria
Além disso, verificações de histórico de ter- interna, recursos humanos, aquisição, seguran-
ceiros (por exemplo, fornecedores e agentes), ça e qualquer unidade de investigação) podem
relatórios de diligência em processos de aqui- oferecer percepções valiosas de alto nível. A
sição, e avaliações de relatórios de licitação ofe- gestão de linha (país, regional e local), que está
recem vantagens. Vale a pena levar em conta lidando com riscos operacionais diariamente,
23
geralmente pode oferecer percepções adicionais riscos sejam identificados e compilados por pes-
resultantes de experiência geográfica e opera- soas adequadas na empresa (em grandes empre-
cional. Os responsáveis por certos processos sas, isso pode ser feito pelas unidades operacio-
podem ser capazes de identificar problemas nais com supervisão do escritório corporativo)
específicos do processo. Por exemplo, o chefe para criar um registro de risco da informação
de vendas pode ter de elaborar o processo e as recebida. Um dos benefícios de uma ferra-
práticas de vendas em países diferentes ou o menta de autoavaliação é que ela oferece um
chefe de compras pode apresentar uma visão conjunto personalizado de riscos de corrupção
geral do processo de licitação. As visões dos mapeados como reflexo do conhecimento local,
interessados externos (como o conselho dire- atitude de negócios e processos operacionais
tor, fornecedores, clientes, auditores externos, que envolvem a empresa. Isso garante que os
investigadores, autoridades locais, acionistas ambientes operacionais de uma empresa (como
importantes ou investidores institucionais e até unidades operacionais) sejam considerados em
jornalistas) também podem ser consideradas. detrimento ao uso de um conjunto de riscos
Entrevistas podem permitir obter mais genéricos e padronizados no nível corporativo
detalhes do que pesquisas ou análises docu- imposto às unidades operacionais.
mentais e oferecer a oportunidade de fazer Uma pesquisa pode ser utilizada como au-
perguntas adicionais e explorar riscos em toavaliação para a administração (por divisão
mais detalhe. Podem ser feitas entrevistas ou região) além de possibilitar a averiguação
individuais ou em pequenos grupos, contanto sobre a natureza e origem dos riscos de cor-
que as percepções individuais não sejam rupção em suas operações. Ao considerar uma
excluídas por causa de personalidades domi- pesquisa, é essencial ter uma boa preparação,
nantes ou dinâmica de grupo. já que há alguns conflitos potenciais.
Confira no Anexo 3 exemplos de tópicos de • Conhecimento: O termo “corrupção” é inter-
entrevista e perguntas. pretado de formas diferentes no mundo. Em
alguns países, um presente comercial pode
Pesquisas e autoavaliação ser um ato de corrupção de acordo com a
Uma pesquisa pode ser uma ferramenta legislação penal aplicável, enquanto em
eficiente para coletar as visões sobre riscos de alguns países, o referido presente pode não
corrupção de funcionários e partes externas, ser entendido como ato de corrupção.
especialmente se a logística permitir que esta • Qualidade dos dados: Perguntar a um/
seja conduzida online. As pesquisas são uma uma administrador regional quais são os
ferramenta valiosa quando coletam as visões cinco maiores riscos de corrupção pode ser
de gerentes e funcionários em países e funções interpretado, pelo referido administrador,
diversas. Depois da identificação dos riscos, a como uma “isca” que pode levá-lo a atender
metodologia de pesquisa também ajuda a au- uma demanda cada vez maior por controles
mentar a conscientização do tópico corrupção. e linhas de subordinação. Essa percepção
As pesquisas como ferramenta em si, oferecem pode afetar as respostas do administrador
vantagens significativas, incluindo: daquela região.
• Custo de aplicação insignificante: Dependen- • Análise: Perguntas abertas podem ser valio-
do do modo de execução, as pesquisas podem sas em algumas situações, mas geralmente
ser pouco dispendiosas para administrar. levam a um maior trabalho de análise,
• Facilidade de aplicação: A empresa potencialmente em várias línguas.
tem flexibilidade durante a fase de
desenvolvimento para decidir como a No Anexo 3 você encontrará alguns exemplos
pesquisa deve ser aplicada, ou seja, online, de tópicos e perguntas que podem ser aborda-
pessoalmente ou por e-mail, etc. das em uma pesquisa ou autoavaliação.
• Padronização: As perguntas podem ser
padronizadas para permitir uniformidade, Workshops, sessões de discussão de idei-
o que ajuda na medição e interpretação de as ou grupos de foco
resultados. Usar workshops ou sessões de discussão de
idéias para explorar os riscos de corrupção
Uma ferramenta de autoavaliação é um recurso pode ser uma forma eficiente e eficaz de cole-
adicional para identificação de risco, particu- tar visões de vários interessados. Discutir as
larmente em empresas com localizações e uni- diversas visões de riscos ajuda a criar enten-
dades operacionais diversas. Ela exige que os dimento. Um workshop pode cobrir algumas
24
etapas do processo de avaliação de risco de • Pressão percebida, tanto para ganhos finan-
corrupção. Ele pode começar, por exemplo, ceiros ou por incentivos indiretos (por exem-
em um formato “sala de risco”, impulsionando plo, pressão para atender às expectativas do
os participantes a passarem por etapas do cliente, metas financeiras, metas de vendas);
processo de avaliação, como a etapa de definir • Oportunidade percebida de cometer um ato
e discutir riscos, para então avaliar proba- de corrupção com pouca probabilidade de
bilidade e impacto potencial e chegar a um detecção (por exemplo, monitoramento/con-
resultado sobre perfil de risco para a empresa. troles que são vistos como ineficientes ou
Ele pode continuar e desenvolver um plano de estrutura corporativa muito complexa);
ação para mitigar riscos. Uma forma de iden- • Racionalização ou atitudes (por exemplo,
tificar riscos de corrupção potenciais pode ser histórico de práticas ilegais na empresa,
perguntar a todos os participantes a pergunta: pensar que “concorrentes pagam subornos”,
Se você tentasse ser corrupto, que método você “ninguém descobrirá” ou “se eu não fizer
usaria e como você faria isso? isso vou perder o contrato e o meu em-
Outra forma de explorar a exposição de prego”, baixo moral da equipe).
risco de corrupção da empresa no nível de
processo é primeiro mapear os processos (por Quando uma empresa entende seus fatores de
exemplo, aquisição ou vendas) em detalhes, risco, pode, então, identificar o tipo de riscos
depois passar por eles com uma equipe de e esquemas que existem em razão desses fa-
especialistas e buscar oportunidades de que- tores. Esses riscos e esquemas representariam
brar o processo. Ao fazer isso, os participantes exemplos de onde e como a corrupção pode
podem identificar alertas, riscos ou esquemas ocorrer. Para conduzir uma avaliação de risco
de corrupção potenciais e controles para de corrupção detalhada, é útil distinguir entre
mitigá-los. fatores de risco de corrupção, riscos de corrup-
ção e esquemas de corrupção.
D.2 Identificar os riscos
Exemplo:
Abaixo definimos e fornecemos exemplos de Um fator de risco de corrupção pode ser o
fatores de risco e riscos de corrupção em pro- clima político do país. Ele pode levar a vários
cessos específicos. riscos de corrupção, como a autoridade alfan-
Fatores de risco são razões pelas quais a degária solicitar suborno. Esse risco de corrup-
corrupção ocorre em uma empresa com base ção pode, então, levar a vários esquemas de
no seu ambiente, incluindo a natureza das corrupção, incluindo pagamento em dinheiro,
suas operações e localizações. Uma forma de presentes e outras cortesias.
ilustrar fatores de risco é observar o Triângulo Outro fator de risco de corrupção pode
de Fraude de Donald Cressey16, que define três estar atrelado as práticas de concorrentes para
elementos e condições (fatores de risco) que ganhar fatia de mercado ilegalmente, quando
permitem a ocorrência de fraudes: pressão, uma empresa pode achar que a única forma
oportunidade e racionalização. Apesar desse de competir em um país ou região é fazer o
triângulo ter sido desenvolvido em relação mesmo que seus concorrentes, ou seja, subornar
a riscos de fraude, ele também pode ser uti- funcionários de governo para ganhar vantagem
lizado na identificação de fatores de risco de comercial. Confira no Anexo 4 uma lista de
corrupção. Ao aplicar o Triângulo de Fraude alertas de corrupção e em http://www.acfe.com/
para avaliar o risco de corrupção, devem ser fraud-resources.aspx o “Relatório para as Nações
levados em conta os seguintes elementos: sobre Fraude e Abuso” 2012 da Associação de
Examinadores de Fraude Credenciados (ACFE)
Nos próximos parágrafos apresentamos
PRESSÕES
alguns riscos de corrupção comuns relativos
a processos, países e indústrias específicas.
Confira no Anexo 5 exemplos de áreas de risco
de corrupção específicas.
Abaixo estão alguns princípios, técnicas e cional oferece um bom ponto de partida (veja
práticas que uma empresa pode usar para http://www.transparency.org/research/cpi/
identificar fatores de risco, riscos e esquemas. overview) para avaliar um risco de exposição
da empresa em determinado país.
D.4 Riscos de corrupção em países A tabela no Anexo 6 inclui várias fontes de
específicos análise do risco de corrupção por país.
As fontes no anexo identificam o risco de
Quando uma empresa está operando em corrupção que a empresa enfrenta em todo
várias regiões, sua exposição a risco pode o mundo. Se a empresa conduzir negócios
aumentar. Alguns países são conhecidos ou em países com baixa pontuação CPI, essa é
percebidos como mais corruptos que outros e, uma razão para cuidados extra. Ao mapear o
consequentemente, a exposição ao risco significado das operações (por exemplo, em
varia. O Índice de Percepção de Corrupção termo de receitas, funcionários e escritórios) e
(CPI) compilado pela Transparência Interna- a pontuação CPI (ou BPI), é possível se identifi-
car as operações mais vulneráveis.
A tabela mostra que a empresa opera em em desenvolvimento. Dos 28 países mais ricos,
vários países com exposições diferentes a risco as empresas com sedes no país A e no país C
de corrupção. Considerando o tamanho das re- são vistas como as que menos fazem uso de
ceitas no país H e a baixa pontuação CPI, o ris- suborno, enquanto as empresas do país H e do
co de corrupção é maior. Tanto o país J quanto país I são as que apresentam maior probabili-
o país A têm uma pequena contribuição para dade de oferecer suborno. Confira em http://
as receitas em geral (2% e 3% respectiva- bpi.transparency.org/bpi2011/ a tabela do
mente), mas a distinção entre os índices CPI Índice de Pagadores de Suborno
é notável. O país J tem um histórico fraco em
relação a corrupção. Observe que a empresa D.5 Riscos da indústria
não tem um escritório ou funcionários no
país J, talvez porque trabalha com agentes ou Enquanto alguns riscos de corrupção podem
distribuidores. ser aplicáveis a muitas ou a todas as indús-
trias, outros podem ser mais específicos da
Índice de pagadores de suborno indústria. Conforme discutido em “Avaliação
Desde 1999, a Transparência Internacional de risco de corrupção” na seção B, dependendo
vem monitorando e classificando os países dos setores da indústria em que ou com os
mais ricos do mundo pela propensão de suas quais a empresa faz negócios, a probabilidade
empresas praticarem suborno em países de riscos de corrupção serem incidentes reais
estrangeiros e observando quais são os setores pode variar consideravelmente.
industriais que são os piores infratores. O Uma distribuição dos casos de corrupção
Índice de Pagadores de Suborno é baseado por indústria como porcentagem de todos os
nas observações de milhares de executivos casos pode ser encontrada no “Relatório para
seniores de negócios, de países desenvolvidos e as Nações sobre Abuso e Fraude Ocupacio-
28
Para alocar recursos eficiente e eficazmente conluio. Nessa estrutura, é recomendável que
para os riscos de corrupção identificados em a avaliação de probabilidade seja expressa
uma empresa e os esquemas correlatos, uma como a probabilidade de que o evento ocorra
boa prática é classificar conjuntamente a nos próximos 12 meses. Tal estrutura deve ser
probabilidade de ocorrência de cada esquema ajustada conforme necessário para adequar-se
e o correspondente impacto potencial desta aos objetivos da gestão de risco de corrupção
ocorrência. O objetivo é dar prioridade às da empresa.
respostas a esses riscos de corrupção em um Alguns dos fatores a serem considerados ao
formato lógico, com base em uma combina- estimar a probabilidade de cada esquema de
ção da sua probabilidade de ocorrência e seu corrupção incluem:
impacto potencial. • A natureza da transação ou processo ao
Há alguma subjetividade com relação à qual o esquema se relaciona (por exemplo,
avaliação de probabilidade e impacto poten- se há uma interação com os funcionários de
cial e as classificações serão influenciadas pela governo);
experiência e os históricos dos membros da • Incidentes do esquema de corrupção que
equipe de avaliação. Ocasionalmente, a avalia- ocorreram anteriormente na empresa;
ção pode refletir um ponto de vista dominante • Incidentes do esquema de corrupção no
ou um nível de parcialidade, consciente ou setor da empresa;
inconsciente, que torna os resultados não • A cultura de corrupção no ambiente local
confiáveis para um especialista anticorrupção dentro da região onde o esquema seria
ou para terceiros. Intervenção e remediação perpetrado;
podem, então, ser necessárias. Um facilitador • O número de transações individuais relati-
imparcial pode ajudar a evitar o investimento vas ao esquema;
de tempo e esforço substancial em uma avalia- • A complexidade do esquema e o nível de
ção sem obter resultados válidos. conhecimento e habilidade exigida para
execução;
E.1 Classificando a probabilidade de • O número de pessoas necessárias para per-
ocorrência petrar o esquema; e
• o número de pessoas envolvidas na aprova-
Probabilidade de cada esquema de corrupção ção ou análise do processo ou transação
identificado deve ser avaliado sem levar em relativa ao esquema.
conta os controles instalados na empresa.
Em outras palavras, imagine uma empresa Para empresas com várias localizações e
onde há muitas oportunidades de perpetrar unidades operacionais, a probabilidade de
o esquema de corrupção por causa da falta de ocorrência de cada esquema de corrupção
um ambiente adequado de controle. Com esse pode variar entre locais diferentes e unidades
cenário, qual é a probabilidade de ocorrência operacionais. Por exemplo, o suborno de um
do esquema de corrupção? A administra- funcionários de governo para liberação alfan-
ção deve levar em conta a probabilidade de degária pode ser mais provável em determina-
execução do esquema de corrupção por uma dos países e menos provável em outros.
pessoa, ou um grupo de pessoas agindo em
31
E.2 Classificar o impacto potencial de (ii) muito alto, alto, médio, baixo e muito
baixo. Alternativamente, pode ser usada uma
ocorrência
escala quantitativa, com pontuações aplicadas
O processo de avaliação do impacto potencial criteriosamente a cada esquema. Exemplos
de um esquema de corrupção é executado de matrizes de pontuação de cinco e de três
de forma semelhante ao processo de proba- pontos são mostrados nos Anexos 7 e 8.
bilidade. A equipe de avaliação deve avaliar Particularmente na classificação do impacto
a magnitude do impacto potencial de cada potencial, algumas empresas preferem definir
esquema de corrupção em particular. Normal- cada categoria como um conjunto de valores
mente, essa consideração de impacto potencial potenciais. Outras podem usar um conjunto
possui um amplo alcance que inclui danos de de guias ou padrões comumente utilizados
financeiros, legais, regulatórios, operacionais para quantificar outros tipos de riscos.
e reputacionais. Certas empresas, particularmente aquelas
Alguns dos fatores a serem considerados ao que são maiores e capazes de alocar recur-
avaliar o impacto potencial de cada risco ou sos apropriados para esta atividade, podem
esquema são: preferir incluir outros critérios para suas
• Impacto de incidentes anteriores do esque- matrizes de pontuação. Como alternativa para
ma de corrupção na empresa, se houver; a matriz acima, outra opção pode ser incluir
• Impacto de incidentes do esquema de cor- definições de certos fatores para fornecer mais
rupção em outras empresas; estrutura para quem avalia as classificações.
• Valores potenciais de multas e penalidades; Na classificação de probabilidade, isso pode
• O custo de oportunidade resultante de incluir chance percentual de ocorrência,
restrições regulatórias sobre a capacidade da estado de casos reais do esquema, bem como
empresa de operar e expandir; a complexidade do esquema. Na classificação
• Impacto sobre operações, como interrupção do impacto potencial, podem constar impacto
da capacidade da empresa para transpor- reputacional, impacto financeiro, impacto
tar produtos ou obter permissões e outras regulatório, impacto sobre clientes e impacto
aprovações necessárias; sobre funcionários. Confira nos Anexos 9 e 10
• Impacto potencial sobre demonstrações exemplos dessas abordagens.
financeiras; Uma opção adicional para grandes empre-
• Impacto sobre o recrutamento e retenção de sas, que podem buscar um método de classi-
funcionários; ficação avançado, é poder pesar alguns desses
• Impacto sobre retenção de clientes e receitas fatores mais do que outros ao determinar a
futuras; pontuação geral, assim como no exemplo do
Anexo 11.
Para empresas com várias localizações e
unidades operacionais, o impacto potencial E.4 Cálculo de risco inerente
de cada esquema pode variar entre diferentes
localidades e unidades de negócios. Por exemplo, Combinar as avaliações de impacto e proba-
algumas das unidades operacionais de uma bilidade para cada esquema de corrupção re-
empresa comercial podem vender produtos de sulta em uma avaliação do risco de corrupção
pequeno valor para consumidores individuais, inerente. O risco inerente representa o nível
que são adquiridos de lojas de varejo, enquanto de risco geral de cada esquema, sem consid-
outra unidade de negócios pode vender para erar os controles existentes. É nessas áreas em
instituições diversas na sua maioria ou na totali- que controles mitigantes serão provavelmente
dade, produtos de grande valor, inclusive para mais importante na mitigação de esquemas de
instituições governamentais. corrupção.
Há várias formas diferentes para determinar
o risco inerente de cada esquema de corrupção.
E.3 Métodos de classificação
O risco inerente pode ser determinado
Há muitas formas diferentes de classificar qualitativamente como fator das avaliações
e comunicar a probabilidade ou o impacto de impacto potencial e probabilidade. Por
potencial de cada risco ou esquema de cor- exemplo, uma probabilidade alta e um impacto
rupção. Uma escala qualitativa simples pode potencial baixo podem resultar em um risco
ser usada para classificar criteriosamente inerente geral médio. Um exemplo de escala
cada impacto potencial ou probabilidade de qualitativa para determinar risco inerente está
esquema, seja ele (i) alto, médio ou baixo ou incluído no Anexo 12.
32
Uma escala qualitativa também pode ser E.6 Quando e como fazer cálculos de
usada. Como exemplo de uma escala quantita- risco inerente
tiva simples, confira os formatos de pontuação
nos Anexos 7 e 8, onde cada risco de corrup- O processo para determinar o nível de risco
ção identificado tem uma pontuação numérica inerente pode ser feito ao mesmo tempo que a
de probabilidade e uma pontuação numérica identificação de riscos e esquemas discutidos
de impacto potencial. A soma dessas duas na seção anterior ou como um etapa sepa-
pontuações pode ser usada para calcular uma rada. De qualquer forma, as classificações de
pontuação de risco de corrupção inerente. risco inerente devem ser discutidas depois
que todos os riscos e esquemas tiverem sido
Pontuação de probabilidade de risco de cor-
identificados, de modo a não a não dificultar o
rupção A
processo de identificação de risco.
+ Pontuação de impacto potencial de risco de
Há várias abordagens organizacionais de
corrupção B
avaliação de riscos inerentes. Uma delas é fazer
Pontuação de risco inerente de corrupção C reuniões de grupo e workshops, seja para as
funções relevantes ou para pessoas que serão
Usando a escala quantitativa de 1 a 5 nos responsáveis pelas classificações preliminares
Anexos 7 e 8, um exemplo de como o risco de probabilidade e impacto potencial para um
inerente pode ser determinado quantitativa- grupo de riscos e esquemas. Durante essas
mente está incluído no Anexo 13. sessões, os participantes podem ser solicita-
dos a classificar os esquemas de corrupção
E.5 Quem deve estar envolvido nos anônima ou abertamente. Isso pode ser feito
cálculos de risco inerente? através de discussão de cada esquema para
chegar a uma classificação consensual ou fazer
Uma das chaves para um processo de avalia- cada participante classificar individualmente
ção de risco eficiente é ter as pessoas certas cada esquema (aberta ou anonimamente) e
pontuando a probabilidade e o impacto então calcular a pontuação média do grupo
potencial de cada esquema de corrupção. É im- para cada esquema. Outra abordagem é usar
portante envolver apenas aquelas pessoas que pesquisas online, nas quais os participantes
conhecem a transação e o processo afetado por devem fornecer uma classificação para cada
cada esquema, incluindo os responsáveis pelo risco via internet ou e-mail. Para essa opção,
processo. Nos casos onde são empregadas os uma pessoa específica deve ser designada para
pontos de vistas de mais de uma pessoa, uma coordenar a pesquisa e comparar os resultados.
média da pontuação destes pontos de vista Uma terceira opção é a pessoa responsável por
pode ser utilizada. Envolver diversas pessoas coordenar a avaliação de risco se encontrar
(os responsáveis por áreas relevantes) pode aju- com cada participante, obter suas pontuações
dar a reduzir o efeito das tendências individ- e depois calcular uma pontuação média de
uais que podem, de alguma forma, distorcer risco inerente para cada esquema. Uma quarta
os resultados. opção é a pessoa responsável pela avaliação
Uma das funções do responsável pela de risco fazer uma avaliação preliminar das
avaliação de risco de corrupção ou do classificações de risco e depois fornecer a sua
gerente de projetos, pode ser avaliar a avaliação para os responsáveis pelo processo
razoabilidade da pontuação bruta apurada solicitando que revisem e proponham modi-
pelas partes pertinentes, e fazer sugestões ficações, caso necessário. Um perigo dessa
de questionamento ou reavaliação das última abordagem é que as pontuações iniciais
classificações que possam ser questionadas. fornecidas podem ser tendenciosas com rela-
Protocolos para estimar as classificações ção às respostas dos participantes, e levar a um
(incluindo quem deve estar envolvido) e resultado que reflita a visão de uma pessoa.
questionar ou propor qualquer reavaliação
das classificações, devem preferivelmente E.7 Incluindo classificações de risco
ser determinados desde o início como parte inerente no registro de risco
do procedimento e da política de avaliação
geral de risco de corrupção. Isso pode ajudar As classificações gerais atribuídas ao risco
a evitar que uma ou mais pessoas ignorem inerente, impacto potencial e probabilidade de
inadequadamente as avaliações de pessoas cada risco e esquema podem ser incluídas no
mais próximas dos riscos, em uma tentativa registro de risco da seguinte forma:
de produzir um resultado que seja mais
conveniente do que correto.
33
1. Controles gerais (nível da entidade) versus tos e/ou serviços, tipos de clientes e modelo de
controles específicos (nível do processo); e negócios em questão, composição da força de
2. Controles preventivos versus controles trabalho e natureza de outros terceiros (como in-
detectivos. termediários) envolvidos, se houver. Confira no
Anexo 14 para exemplos de controles específicos
F.1 Controles de nível de entidade do processo.
versus controles específicos de negócio
F.2 Controles preventivos versus
Na documentação dos seus controles, uma detectivos
empresa deve diferenciar entre controles
específicos de negócio e controles anticor- Durante a catalogação dos controles de
rupção gerais (nível da empresa). Identificar mitigação de risco, pode ser útil lembrar o
controles no nível do processo de negócio e objetivo desses controles. Nem toda má conduta
não apenas no nível de risco é importante, já é intencional. Algumas podem ser resultado
que processos diferentes tendem a ter con- de negligência ou falta de consciência. Nessas
troles de mitigação diferentes. Lembre-se de situações, controles preventivos, como políticas
que um processo pode ter vários controles de claras, treinamento e comunicações têm
mitigação, enquanto um controle único pode uma função essencial na mitigação do risco.
funcionar com mais de um processo. Embora Por outro lado, a má conduta intencional é
o mapeamento detalhado dos controles desti- desenhada para escapar da detecção. Controles
nados a mitigar os esquemas de corrupção se- preventivos são importantes e geralmente
jas uma abordagem prática do senso comum, eficientes na prevenção de alguns atos, embora
a experiência mostra que isso tende a levar a o mapeamento detalhado dos controles
avaliação de risco para um caminho bastante destinados a mitigar os esquemas de corrupção
detalhado. Para evitar que o “quadro geral” mais prováveis de suborno, particularmente
não seja visto, em detrimento do detalhe, a aqueles relativamente pequenos ou que
pessoa deve estar ciente da perspectiva mais resultam de falta de consciência, como os
ampla e não ignorar os controles ou fatores que caem na área cinzenta de hospitalidade
mais gerais, que podem ter um impacto geral excessiva sem uma intenção corrupta explícita.
sobre a redução de risco. Esses controles são Mas os controles preventivos podem não ser
geralmente de alto nível e podem não ser suficientes para desencorajar ou deter um
necessariamente específicos de um processo criminoso intencional potencial — e, como o
em particular, ou podem nem mesmo parecer nome sugere, não são geralmente desenhados
diretamente relacionados ao processo, mas para funcionar como controles detectivos.
sua presença é, de qualquer forma, um fator Enquanto a experiência mostra que a
importante na redução de risco em geral. presença de um forte conjunto de controles
Assim, um processo de avaliação de risco de preventivos, incluindo uma forte cultura ética
corrupção que só considere controles específi- e um ambiente de conformidade na empresa,
cos do esquema pode não ser adequadamente pode, de alguma forma, desencorajar os crim-
robusto e provavelmente ser mais detalhado inosos intencionais, mesmo as empresas mais
e demorado para preparar do que aqueles éticas enfrentam um caso ocasional de “maçã
concentrados primeiro nos controles de nível podre” que tentará escapar do sistema. É onde
de entidade, e complementados com controles controles detectivos entram. O objetivo destes
específicos, os quais são necessários para controles é ajudar a detectar a transgressão,
mitigar o risco até um nível considerado como idealmente logo no início. Os controles e pro-
aceitável. Há um nível de sobreposição entre cedimentos detectivos incluem incluem aqueles
controles gerais e específicos do processo, com que um criminoso não conhece, ou mesmo não
alguns controles gerais também aparecendo espera que existam. Para ter um bom sistema
em um determinado processo, geralmente de detecção de corrupção, a identificação de
com uma variação ou especificidade. Tomar tais controles exige um nível de raciocínio es-
nota desses controles que podem cair nas duas tratégico para prever o comportamento de um
categorias é importante para garantir que tais criminoso potencial. O raciocínio estratégico
controles sejam avaliados a partir de todos exige uma mentalidade cética e envolve fazer
os ângulos relevantes. Para ver uma lista dos perguntas como:
controles anticorrupção de nível de entidade, • Como um criminoso pode explorar as
confira o Anexo 14. fraquezas de um sistema de controles?
Controles específicos do processo podem, • Como um criminoso ignora ou evita con-
naturalmente, variar dependendo do esquema troles?
específico e de outros fatores, como a região • O que um criminoso pode fazer para ocul-
geográfica da operação, a natureza dos produ- tar … [uma ação corrupta]?”17
36
Os controles de processo identificados podem Guia de Boas Práticas sobre Controles Inter-
ser rotulados como preventivos ou detectivos, nos, Ética e Conformidade da OECD.
apesar de alguns poderem servir aos dois 2. Os seis princípios da Orientação do Minis-
propósitos. Catalogar controles a partir desta tério da Justiça do Reino Unido para a Lei
perspectiva não só ajuda a determinar se even- Antissuborno (UK Bribery Act 2010);
tuais lacunas potenciais que poderiam ser 3. Os sete “marcos de referência para um
melhor cobertas por controles preventivos ou programa de conformidade eficiente”,
detectivos, mas também ajudam a calibrar a conforme promulgado pelas Diretrizes
estratégia de mitigação de riscos e do plano de Federais de Sentenciamento dos EUA (FSG)
resposta em linha com a natureza das atuais 4. Treze etapas em um programa de
ou potenciais ações de corrupção esperadas. conformidade corporativa da FCPA, como
Veja no Anexo 14 exemplos de controles anti- definido pelo Departamento de Justiça
corrupção preventivos e detectivos. dos EUA, em relação ao deferimento de
Comunicar informação sobre alguns con- instauração e não instauração de processos
troles detectivos (mas não todos), e comunicar de acusação;
informações anônimas selecionadas sobre exe- 5. Os Princípios de Negócios de Combate ao
cução e ações disciplinares para uma ampla Suborno publicados pela Transparência
base de funcionários (para grandes empresas) Internacional, e
pode melhorar seu efeito dissuasivo. Controles 6. Programa de Conformidade e Ética
e procedimentos detectivos devem incluir Anticorrupção para Negócios da UNODC:
alguns que um criminoso pode não conhecer Guia Prático
ou pode, razoavelmente, não esperar, o que
aumenta sua eficiência na detecção de atos de Ao identificar seus processos e controles
corrupção. Assim, alguns controles detectivos de mitigação de risco de corrupção, é reco-
devem ser conhecidos apenas por um pequeno mendável começar com controles gerais e
grupo de pessoas na empresa (por exemplo, então restringir para esquemas específicos.
auditoria interna), para minimizar o risco de A estrutura dos marcos de referência do FSG
evasão destes controles por parte de um crim- dos EUA, e o inventário de controles gerais
inoso intencional. (controles de nível de entidade ou “famílias”
Empresas de pequeno e médio porte podem de controle) inclui:
não ter os recursos para implementar alguns 1. Recursos e estrutura de programa: um
dos controles acima mencionados. Para essas programa formal de conformidade anticor-
empresas, uma estratégia pode ser investir rupção, com estrutura, propriedade, au-
em um controle preventivo ou detectivo para toridade, plano de atividades e orçamento
suas áreas de alto risco inerente. A escolha de definidos.
controle seria feita caso a caso, dependendo do 2. Supervisão de programa: informar relac-
recursos disponíveis, custo potencial e nível ionamentos e supervisão de programa por
de risco — em algumas instâncias pode ser autoridades internas relevantes.
mais prático ter apenas um controle detectivos 3. Padrões escritos: um código de conduta e
e nenhum controle preventivo para um risco políticas relevantes
de corrupção e vice-versa 4. Processos de devido cuidado: verificações
de histórico de funcionários e diligência
F.3 Estruturas de mapeamento de con- prévia de terceiros, segregação de ob-
trole anticorrupção rigações, limites de autoridade, análise
e aprovação de contrato (fornecedores,
Os profissionais de avaliação de risco de clientes) e disposições de conformidade em
corrupção têm uma ampla escolha de estru- contratos de terceiros.
turas que podem ser usadas para catalogar 5. Treinamento e comunicação: programas
e classificar controles e outras iniciativas de de treinamento formal, comunicação
mitigação de riscos. Os seis abaixo são os mais periódica para funcionários, disponibili-
comumente usados: dade para prover orientação e e claro com-
1. Os doze elementos de um programa de prometimento da gerência (alta e média
conformidade anticorrupção eficiente do gerência).
17. T. Jeffrey Wilks e M.F. Zimbelman, ‘Using Game Theory and Strategic Reasoning Concepts to Prevent and Detect Fraud’ (Usando a Teo-
ria dos Jogos e os Conceitos de Raciocínio Estratégico para Prevenir e Detectar Fraudes), Accounting Horizons, Volume 18, No. 3 (Setembro
de 2004). Citação de ‘Managing the Business Risks of Fraud: A Practical Guide’ (Administrando os Riscos de Fraude nos Negócios: Um Guia
Prático), The Institute of Internal Auditors et al.
37
Controles • Procedimentos e política global anticor- • Procedimentos e política global• Procedimentos e política global
anticorrupção rupção, incluindo conteúdo específico anticorrupção, incluindo conteúdo anticorrupção, incluindo conteúdo
sobre pagamentos para alfândega específico sobre pagamentos para específico sobre pagamentos para
funcionários de governo por arrenda-
• Treinamento anticorrupção para fun- autoridades fiscais
mentos de propriedade
cionários desenhado especificamente • Treinamento anticorrupção para • Treinamento anticorrupção para
para regiões selecionadas e funções funcionários desenhado especifi- funcionários desenhado especifica-
essenciais camente para regiões seleciona- mente para regiões selecionadas e
• Linha direta de delação global das e funções essenciais funções essenciais
• Linha direta de delação global • Linha direta de delação global
• Auditorias anticorrupção anuais sobre
• Auditorias anticorrupção anuais
pagamentos para funcionários da alfân- • Auditorias anticorrupção anuais
sobre interações/transações com
dega em regiões/países selecionados sobre pagamentos ara autoridades funcionários de governo para garantir
fiscais arrendamentos de propriedade
Classificação
do controle de
mitigação
Classificação de
risco residual
Quando todos os controles existentes tiverem sido identificados, categorizados e apropriadamente rotulados e
referenciados, o processo de avaliação de risco está pronto para passar para sua próxima etapa: a classificação
de risco de controle.
38
Depois de classificar os controles internos que risco resultante do esquema, então, a classifi-
reduzem o risco de cada esquema de corrup- cação de risco de controle seria também alta
ção, a próxima etapa é determinar o nível de e o risco residual continuaria alto. Por outro
risco residual. Risco residual é a medida de lado, se forem identificados controles fortes
risco remanescente depois de se considerar o para mitigar o esquema de alto risco iner-
impacto dos controles na redução de risco. O ente, o risco de controle seria baixo e o risco
risco residual é um fator do risco inerente e da residual seria provavelmente determinado
classificação de controle. como baixo. A tabela no Anexo 17 ilustra um
Apesar da aplicação de programas anti- exemplo dessa escala qualitativa.
corrupção e dos seus controles internos de Se uma escala quantitativa for usada para
mitigação de risco, ainda é possível que tais determinar risco inerente e as classificações
esquemas ocorram. Dessa forma, normal- de controle, então o risco residual pode ser
mente haverá algum nível de risco residual calculado como risco inerente somado a
para cada esquema de corrupção. Um risco classificação do controle ou risco inerente
residual zero é teoricamente possível para um multiplicado pela classificação o controle. As
esquema de corrupção específico, mas tal risco faixas de pontuação precisarão ser atribuídas
nulo normalmente ocorre apenas se esse es- para determinar se o risco residual é baixo,
quema não for relevante para as operações da médio ou alto.
empresa, por exemplo, porque ela não conduz As classificações de risco residual forne-
negócios em um determinado país, em uma cem à administração uma avaliação de onde
determinada indústria ou de determinada pode estar sua maior exposição aos riscos de
forma. O quanto o risco de um esquema de corrupção. Uma classificação de alto risco
corrupção é mitigado por controles internos residual significaria que um risco de cor-
depende do quão bem os controles são desen- rupção inerente alto não é substancialmente
hados, implementados e operados para reduzir mitigado por controles, deixando um risco
eficientemente aquele risco. Controles que são residual que pode afetar seriamente a em-
bem desenhados para mitigar riscos resul- presa. Risco residual médio significaria que o
tantes de um ou mais esquemas de corrupção, esquema de corrupção é inerentemente de alto
que foram implementados apropriadamente e risco, e parcialmente mitigado por controles
que estão operando eficientemente na prática, ou inerentemente médio risco e não substan-
podem reduzir muito o risco resultante de um cialmente ou de forma alguma mitigado por
esquema de corrupção em particular. controles. Baixo risco residual significaria que
A abordagem selecionada para determinar o esquema de corrupção é inerentemente de
o risco residual de cada esquema de corrupção risco classificado como baixo, ou é substan-
depende da abordagem usada para determinar cialmente mitigado por controles.
risco inerente e as classificações de controles. Em razão de recurso ou preocupações com
Se uma escala qualitativa, como de risco “alto/ custos, algumas empresas podem escolher não
médio/baixo”, for usada para classificações incluir o cálculo de risco residual explicita-
de risco inerente e classificação de controles, mente no seu processo de avaliação de risco
então, uma escala semelhante pode ser usada de corrupção. Apesar de não ser a abordagem
prontamente para classificação de risco ideal, uma avaliação de risco de corrupção
residual. Por exemplo, se um esquema for clas- pode ser executada apenas com a determi-
sificado como de alto risco inerente e nenhum nação de risco inerente junto com identifica-
controle efetivo for identificado para mitigar o ção de controles de mitigação. Mas, como a
43
I.1 Comparação entre risco residual e mercados porque o risco é considerado im-
tolerância de risco possível de mitigar suficientemente e com
confiança.
O risco residual de cada esquema de corrupção • Mudar os processos ou métodos de negó-
pode ser avaliado pela empresa para determi- cios de forma a reduzir ou eliminar a área
nar se uma resposta a risco de corrupção é ne- de risco, por exemplo, passando da venda
cessária e, se assim for, quais são os elementos de produtos “CSF” (custo, seguro e frete)
desejados do plano. Um determinante central para antigos trabalhos, significando que
do plano de resposta é o nível de tolerância ou o comprador assumiria propriedade dos
inclinação ao risco, que será variável depen- produtos no local de negócios do vendedor e
dendo da empresa. seria responsável pelos custos de transporte
Nenhuma outra mitigação de risco é ne- e pela liberação de remessa internacionais
cessária para um esquema de corrupção que na alfândega. Esse arranjo pode eliminar
tenha um risco residual dentro da tolerân- os riscos do vendedor relativos a suborno
cia de risco definida pela administração e potencial de funcionários de governo es-
aprovada por quem exercer governança. A trangeiro para obter liberação de alfândega
administração pode escolher implementar no porto de destino.
mitigação de risco adicional, se acreditar que • Transferindo riscos para terceiros através de
o benefício em custos pode ser vantajoso, mas termos contratuais.
não essencial. • Aprimorando certos controles anticorrup-
Para qualquer esquema de corrupção que ção.
tenha risco residual maior do que a tolerân- • Propondo para quem exercer governança
cia de risco definida pela administração e um aumento da tolerância de risco da em-
aprovada por quem exerce governança, é presa suficiente para eliminar a necessidade
necessária uma ação para reduzir o risco até de nova ação, se a ameaça das condições e
que ele esteja dentro do limite de tolerância da execução dos negócios puder razoavel-
desejável. Para esses itens, é necessário um mente justificar uma mudança.
plano de resposta de risco de corrupção.
I.3 Plano de resposta ao risco de
I.2 Respostas potenciais a riscos corrupção
residuais que ultrapassem a
Deve ser observado que nem todas as empre-
tolerância de risco
sas têm os mesmos recursos e fundos à sua
Historicamente, a resposta mais comum a disposição para investir em nível igual no
riscos de corrupção residual era implementar programa de conformidade anticorrupção.
aprimoramentos aos controles internos para Algumas empresas só podem querer tratar
aumentar a mitigação de risco. Empresas programas e controles para o que conside-
importantes levam em conta um conjunto de raram como as áreas de exposição mais signifi-
ações potenciais para abordar o risco residual cativas, enquanto outras podem querer tratar
de corrupção, incluindo: mais o interesse de manter um programa de
• Mudar o escopo de negócios da empresa, conformidade anticorrupção mais robusto ou
por exemplo, evitando ou interrompendo a o “melhor da categoria”. Ainda que a neces-
condução de negócios em algumas regiões sidade de resposta deva ser avaliada com base
geográficas, segmentos da indústria ou na tolerância de risco e nas restrições de re-
45
cursos da empresa, que podem, ambos, variar Um exemplo de uma abordagem para
de uma empresa para outra, algumas aborda- determinar o plano de resposta ao risco de
gens são observadas frequentemente: corrupção é ilustrado no Anexo 18.
• Esquemas de corrupção que têm “alto”
risco residual normalmente ultrapassam a I.4 Conteúdo do plano de resposta
tolerância da empresa e têm probabilidade
de serem marcadas para atenção, já que essa Comentários sobre itens propostos para in-
classificação indica um nível de risco que clusão no plano de resposta ao risco de corrup-
pode oferecer ameaça grave ou potencial- ção devem vir de toda a empresa, incluindo as
mente catastrófica para a empresa. opiniões das funções e pessoas responsáveis
• Esquemas que têm risco residual “médio” por implementar as ações e aqueles afetados
podem ou não ultrapassar a tolerância da pelas ações potenciais. É importante para o
empresa por risco residual, de forma que plano de resposta ao risco de corrupção ser
pode ou não ser necessária uma ação. A pragmático e seletivo, já que há inúmeros
administração pode analisar a classificação controles internos que podem ser instalados
de risco inerente e a classificação de controle em toda empresa. Um bom plano de resposta
para avaliar as fontes de risco e considerar a ao risco de corrupção será seletivo e objetivado
viabilidade de mitigação de risco adicional com base em uma abordagem estruturada,
para determinar se deve tomar outra atitude. prática, que reduza eficientemente os riscos
• Para os esquemas de corrupção que têm residuais para dentro da tolerância de risco
risco residual “baixo”, uma empresa não da empresa. Quando um plano de resposta ao
tomaria nenhuma atitude adicional. risco de corrupção é esboçado, ele é normal-
mente aprovado pela administração respon-
Algumas empresas podem escolher ter uma sável pela avaliação de risco de corrupção,
resposta para áreas de “alto” risco residual e com supervisão de quem exerce governança.
decidir não tomar nenhuma atitude para as Algumas das características de um plano
áreas de risco residual “médio” e “baixo” como de resposta são:
parte da estratégia de tolerância de risco. • Descrição de cada item de ação;
Outras podem priorizar atitudes, com aquelas • Responsabilidade de implementação de cada
que tratam áreas de “alto” risco residual como item de ação.
de mais alta prioridade, seguidas por áreas de • Escala de implementação.
risco residual “médio” e “baixo”. Nesses casos, • Ainda que cada item seja abordado nor-
podem ser tomadas atitudes com base no malmente em um período de doze meses
tempo e nos recursos disponíveis, bem como (e alguns muito rapidamente), pode haver
no julgamento da administração. situações em que uma empresa escolha
Para empresas de pequeno e médio porte, o implementar certos itens do plano no pri-
plano de resposta ao risco de corrupção é uma meiro ano, com o remanescente completado
ferramente importante para determinar se há subsequentemente com base em uma escala
necessidade de investimento de recursos para prioritária. Para as cronologias de médio a
mitigar riscos de corrupção e, se assim for, longo prazo, marcos selecionados podem ser
para que áreas alocar recursos. Essas empre- incluídos no plano de resposta ao risco de
sas podem usar seu plano de resposta para corrupção.
determinar quais dos vários elementos do pro- • Uma estimativa de recursos precisa abordar
grama anticorrupção (por exemplo, políticas cada item de ação como o número de
específicas, treinamento, monitoramento, etc.) pessoas, horas e orçamento.
elas precisam implementar ou aprimorar com
base nos riscos. Pequenas e médias empre- É desejável que uma pessoa seja responsável
sas normalmente não têm exposição a risco por coordenar a implementação do plano de
suficiente para garantir políticas e controles resposta ao risco de corrupção e por informar
robustos em todos os elementos do programa de volta para a gestão e a quem exerce gov-
anticorrupção, e os resultados da avaliação de ernança. A implementação deve ser regular-
risco de corrupção podem ser uma ferramenta mente monitorada pela administração com
valiosa para que tais empresas determinem qualquer modificação necessária ou apropria-
quais desses elementos, se houver, elas que- da feita pela própria administração e aprovada
rem implementar ou aprimorar. por quem exerce governança.
46
I.5 Apoio da liderança Além disso, pode ser benéfico para o re-
sponsável pela avaliação de risco de corrupção
Uma questão crítica para a implementação articular-se com vários interessados, porque
bem-sucedida do plano de resposta ao risco de implementar as etapas do plano de resposta
corrupção é, em geral, o apoio de executivos pode beneficiá-lo individualmente e como
seniores, do conselho diretor, do comitê audi- grupo. Uma estratégia é conectar o progresso
tor e de outros que exerçam governança. Sem da implementação do plano de resposta com
esse suporte de alto nível, a implementação do avaliação de desempenho e metas individuais
plano de resposta pode estagnar, já que certas e das funções. Outra estratégia é envolver os
funções e pessoas podem não dar a importân- vários interessados no início do processo de
cia e a atenção exigida para os itens no plano avaliação do risco de corrupção, e não esperar
de resposta. até que o plano de resposta ao risco precise ser
implementado.
47
48
Anexos — Índice
No. da
Número Tópico
página
Comentário
3.1 Para muitas organizações comerciais, esse princípio se manifestará como parte de uma
avaliação de risco mais geral, executada em relação aos objetivos da empresa. Para outras, sua
aplicação pode produzir uma avaliação de risco de suborno autônoma mais específica. O objetivo
desse princípio é promover a adoção de procedimentos de avaliação de risco proporcionais ao
tamanho, estrutura, natureza, escala e localização das atividades da organização. Mas, qualquer
que seja a abordagem adotada, quanto melhor compreendidos forem os riscos de suborno enfren-
tados por uma organização, mais eficazes serão seus esforços para evitar subornos.
3.2 Alguns aspectos da avaliação de risco envolvem procedimentos que caem no significado
geralmente aceito do termo “diligência prévia”. A função da diligência prévia como ferramenta
de redução de riscos é abordada separadamente no Princípio 4.
Procedimentos
3.3 Os procedimentos de avaliação de risco que permitem à organização comercial identificar
corretamente e priorizar os riscos que enfrenta, independentemente de seu porte, atividades, cli-
entes ou mercados, geralmente refletem algumas características básicas. Tais características são:
• Negligência sobre avaliação de risco pela alta administração.
• Recursos apropriados - isso deve refletir a escala de negócios da organização e a necessidade de
identificar e dar prioridade a todos os riscos relevantes.
• Identificação das fontes de informação internas e externas que permitirão que o risco seja
avaliado e analisado.
• Consultas sobre diligência prévia (confira o Princípio 4).
• Documentação correta e apropriada da avaliação de risco e sua conclusão.
3.4 À medida que os negócios da organização comercial evoluem, ela fica mais suscetível a riscos
de suborno e, portanto, precisa aumentar sua avaliação de risco. Por exemplo, a avaliação de
risco aplicável às operações domésticas de uma organização comercial pode não ser aplicável
quando a referida organização entra em um novo mercado em uma parte do mundo onde ela
ainda não negociou antes (confira mais detalhes no Princípio 6).
consórcios ou joint venture, bem como relacionamentos com pessoas politicamente expos-
tas em que o relacionamento comercial proposto envolva ou esteja ligado a um funcionário
público proeminente.
3.6 Uma avaliação de riscos de suborno externos tem o objetivo de ajudar a decidir como esses
riscos podem ser reduzidos através de procedimentos que governam as operações ou relações co-
merciais pertinentes, mas uma avaliação de risco de suborno deve também examinar a extensão
em que estruturas e procedimentos internos podem ser adicionados ao nível de risco. Os fatores
internos comumente encontrados incluem:
• Deficiências de treinamento, habilidades e conhecimento do funcionário;
• Cultura de bônus que recompensa assumir riscos excessivos;
• Falta de clareza nas políticas e procedimentos da organização, despesas promocionais e com
hospitalidade além de contribuições políticas e beneficentes;
• Falta de controles financeiros claros, e
• Falta de uma mensagem antissuborno clara da alta administração.
Ao avaliar a exposição geral a riscos de corrupção por país, o risco do País I pode ser maior do
que em outros países: do total de vendas, 90% são vendidos através de agentes e 80% dos clientes
são empresas estatais ou pertencentes ao governo. Considerando que o histórico negativo do País
I em relação a corrupção (pontuação CPI 24 e um histórico de casos de corrupção), vale a pena
pensar em uma análise adicional. A tabela abaixo explora as vendas por agente em maiores
detalhes.
Explicação: Os agentes A e D são os agentes mais fundamentais para a empresa no País I. Grande
parte das suas vendas está relacionada com empresas estatais ou pertencentes ao governo e as
taxas que recebem como comissão por seu trabalho são altas em comparação com outros agen-
tes. A empresa paga ao Agente A US$300.000 por ano por vender predominantemente para fun-
cionários de governo, apesar de não ter sido feita nenhuma triagem de histórico nem oferecido
nenhum treinamento de conformidade.
5. Funcionários
a. Discutir o desenvolvimento de carreira do entrevistado para incluir posições mantidas com
órgãos do governo ou organizações políticas, se houver.
b. Considerar a suficiência do treinamento que é fornecido para os funcionários.
c. Discutir a função e a interação do funcionário com outros funcionários para entender a
segregação de funções e prevenir a facilitação de pagamentos inadequados.
6. Cadeia de suprimentos
a. Discutir a estratégia geral da cadeia de suprimentos, inclusive fornecimento, logística, etc.
b. Investigar se o entrevistado está ciente de qualquer programa ou mecanismo desenhado para
examinar e rastrear os contratados e contratantes com alto risco de corrupção.
c. Discutir política e prática em torno de avaliar a reputação e a integridade dos fornecedores.
d. Discutir a suficiência de sistemas usados para rastrear e categorizar as transações do fornecedor.
9. Outra
a. Discutir se o entrevistado está ciente de qualquer pagamento inadequado e de alegações rela-
tivas a violações potenciais de leis anticorrupção.
b. Levar em conta qualquer instância em que o entrevistado possa ter sido solicitado a desem-
penhar funções consideradas antiéticas ou contra o código anticorrupção da empresa.
c. Discutir política e prática em torno da inclusão de uma linguagem antissuborno em contra-
tos com terceiros.
d. No encerramento, o entrevistado deve ter a oportunidade de compartilhar qualquer coisa que
não tenha sido anteriormente discutida e deve ser buscada permissão para acompanhamento
Observação: Tópicos sob medidas adicionais serão normalmente discutidos com base na função
e área do participante da pesquisa/entrevistado, além da indústria e do perfil de risco da em-
presa.
O intermediário oferece uma empresa para vencer uma licitação a partir do pagamento de taxa
2
de perdedor durante a etapa de licitação ou pré-licitação
O país anfitrião pode impor ou impõe uma parceria com uma empresa local designada que pode
5
apresentar altos riscos de corrupção
O cliente demanda uma “taxa de fechamento” de último minuto para fechar um negócio que
6
agora está atrasado demais para fechar
Uma empresa que reclama sobre um processo de aquisição injusto é ameaçada com um pro-
7
cesso criminal espúrio que vai levar a uma multa de grande valor
8 Uma agência governamental local exige uma taxa por aprovação técnica de equipamento
Funcionários recém-contratados não podem obter permissões de trabalho, a não ser que seja
9
paga uma sobretaxa de emprego
Um policial local solicita pagamento para permitir que um trabalhador expatriado cruze uma
10
fronteira interna no país
11 Um funcionário da empresa estatal de eletricidade exige dinheiro para fazer conexão com a rede
Equipamento essencial, aguardado há muito tempo, está parado na alfândega esperando lib-
12
eração e só o pagamento de uma taxa “especial” pode garantir liberação imediata
Produtos perecíveis são mantidos na alfândega e só serão liberados ser for feito um paga-
13
mento em dinheiro
Durante uma visita à sua sede, um cliente pede à sua empresa para arranjar e pagar um check-
16
up em um hospital de prestígio
Um fornecedor oferece suborno para um gerente de contratos para deixar passar produtos ou
20
serviços inferiores ou “fora das especificações”
O representante de um cliente exige pagamento de uma taxa que não tinha sido previamente
21
acordada como condição para uma mudança de contrato
(fonte: http://www.iccwbo.org/products-and-services/fighting-commercial-crime/resist/)
56
Impacto insignificante 1
Impacto moderado 2
Alto impacto 3
Impacto insignificante 1
Pequeno impacto 2
Impacto moderado 3
Impacto importante 4
Impacto catastrófico 5
58
Muito pouca 1 < 10% de chance A causa raiz do inci- Difícil de ser perpe-
probabi- dente foi remediada trado mesmo sem
lidade de (reduzindo a chance de controles instalados.
atividade de recorrência).
corrupção
Proba- 5 > 75% de chance O incidente foi informa- Muito fácil de ser per-
bilidade do e está atualmente petrado sem controles
muito alta de sob investigação. instalados.
atividade de
corrupção
59
Impacto 2 Impacto do O impacto A rotina que governa Declínio mínimo Algum im-
pequeno mercado local financeiro é de os litígios do órgão das relações pacto sobre a
sobre a marca 5% a 10% do item sujeito a multas e pe- com o cliente e capacidade do
e a reputação orçamentário nalidades moderadas, alguns custos Departamen-
do Departa- selecionado (ou pode estar sujeita a de recuperação. to______ de
mento. seja, receita ou processos recrutar e reter
rendimento) e/ou audiências regu- funcionários.
latórias.
Catastrófico 5 Cobertura da O impacto finan- Exame minucioso Perda de impor- Impacto sus-
Impacto mídia global ceiro é >30% do importante, inves- tantes relações tentado sobre a
item selecionado tigações sujeitas a com o cliente e capacidade do
do orçamento multas e penalidades grave ameaça Departamen-
(por exemplo, substanciais, que ao crescimento to_______ de
receita ou rendi- incluem acusa- futuro. recrutar e reter
mento) ções criminais e/ou funcionários de
ordens de cessação e alto desem-
desistência, possível penho.
ação regulatória
60
Baixo 5 ou menos
Médio 6–7
Alto 8–9
Embora o acima referido seja uma opção simples e geralmente usada para determinar a clas-
sificação de risco inerente de cada esquema/risco de corrupção, certas empresas, especialmente
aquelas que são maiores e capazes de alocar recursos apropriados para esse exercício, podem
querer incluir fatores adicionais, como cálculos de média ponderada, para aumentar a correção
da pontuação. No exemplo acima, é dado peso igual para impacto potencial e probabilidade.
Uma opção alternativa seria fornecer mais peso para o impacto potencial do que para probabili-
dade para calcular risco inerente, acreditando-se que o impacto potencial sobre a empresa é um
impulsor maior da necessidade de gerenciamento para mitigação dos riscos de corrupção. Por
exemplo, na escala quantitativa acima, ao invés de adicionar a pontuação bruta de probabilidade
e impacto potencial, 60% da pontuação de impacto potencial pode ser adicionada aos 40% da
pontuação de probabilidade para chegar a uma pontuação de risco inerente ponderada. Os pesos
relativos dos dois fatores podem ser ajustados até que o resultado reflita apropriadamente o
julgamento geral da administração.
18. Empresas de pequeno e médio porte normalmente não teriam alguns desses itens por causa de restrições de recursos, não aplicabili-
dade e um perfil de risco diferente.
62
• Incentivos para conduta apropriada, ética, recompensas e (até certo ponto) avaliações de
desempenho com disposições específicas de ética e conformidade.
Para muitos esquemas, controles preventivos podem ser aumentados por controles de detecção,
com o objetivo de detecção inicial de má conduta (tanto intencional como não intencional).
Bom/Eficiente 3 Baixo
Fraco/Ineficiente 1 Alto
Bom/Eficiente 4 Baixo
21. Empresas de pequeno e médio porte normalmente não teriam alguns desses itens por causa de restrições de recursos, não
aplicabilidade e um perfil de risco diferente.
22. Empresas de pequeno e médio porte normalmente não teriam alguns desses itens por causa de restrições de recursos, não
aplicabilidade e um perfil de risco diferente.
64
Observação: As respostas para as perguntas acima devem ser feitas usando a escala de clas-
sificação escolhida (por exemplo, 1 a 3 em uma escala de 3 pontos, no exemplo acima) com as
respostas sim e não assumindo os valores extremos. Em muitos casos, no entanto, haverá mais
diferenças sutis do que uma simples abordagem binária. Uma média simples ou ponderada dos
pontos do critério compõem a pontuação do controle. Além disso, as empresas podem usar um
pool menor de perguntas para fazer essas classificações e não têm de usar todas as perguntas
acima.
Nessa abordagem, quatro quadrantes são identificados com base na interação entre risco de con-
trole e risco inerente. Cada quadrante tem uma resposta predominante ou padrão. Os controles
que são considerados eficientes ou parcialmente eficientes para mitigação de itens de risco pouco
inerentes são classificados como “Sem maior preocupação". Isso indica que não há necessidade
de criar controles ou programas de investimento adicionais e que essas áreas de risco não estão
incluídas em nenhum plano de monitoramento ou auditoria (pode haver oportunidade de
relocação de controles e recursos dedicados a essa ou a outras áreas). Controles que são consi-
derados eficientes para mitigar itens de risco altamente inerentes são classificados como “Análise
contínua", indicando que apesar de os controles de mitigação serem eficientes, a eficiência dos
controles é muito importante, considerando que estão mitigando áreas de alto risco inerente.
Esses controles devem ser parte de um contínuo programa de monitoramento (por exemplo,
trimestralmente). Controles que são parcialmente eficientes ou ineficientes para a mitigação de
itens de baixo ou médio risco inerente são classificados como “Análise periódica”, indicando que
os controles podem não mitigar os riscos eficientemente, e já que o nível de risco não é alto, esses
controles podem fazer parte de um programa de monitoramento (ou seja, a cada dois anos) mais
longos. Alternativamente, os controles podem ser aprimorados. Controles que são ineficientes ou
parcialmente eficientes para mitigar itens de risco inerente são designados como “Gestão ativa",
indicando que a remediação ativa de programas e controles existentes é recomendada.
Anexo 18
7
Classificação de risco inerente
4 1
Análise
contínua Gestão ativa
10 6
5
Sem maior 8
Análise
preocupação periódica 2
3
9
Observações:
• Das categorias de risco onde foram identificados riscos inerentes, uma faixa entre 73% e 88% foi
considerada de alto risco;
• 15%–18% dos controles identificados foram considerados fortes, 43%–60% adequados, 21%–42%
fracos;
• Desses controles onde foram identificados riscos residuais, 4% foram altos, 45% médios, 51% baixos;
• Observação geral de controle: verificações de histórico inadequado de pessoal essencial de agentes
e contratados;
• Riscos identificados para os quais não há controle ou há controles fracos em alguns mercados:
àà Clientes/fornecedores não são examinados periodicamente para identificar pessoas politicamente
expostas.
àà Solicitações de informação de agência regulatória relevante não são respeitadas de acordo com
as cronologias exigidas.
àà Presentes para funcionários de governos estrangeiros não são aprovadas por delegação de auto-
ridade.
àà Adiantamentos de viagens fornecidos para funcionários não são acertados oportunamente.
àà São divulgadas para partes não autorizadas informações de que a entidade suspeita de uma pes-
soa, entidade ou transação ou informou um assunto suspeito para uma agência regulatória.
àà Sistemas e controles de compliance não são atuais e são inadequados para manter conformidade
e adaptar-se a mudanças de normas específicas.
Direitos humanos
Trabalho
Meio ambiente
Anticorrupção