Gestão de Riscos e Compliance: por que esse título pode ser enganoso?
Muitos profissionais exercem uma função com esse título nos tempos atuais, por força de regulação.
Leis como a SOX e uma infinidade de escândalos de corrupção, no Brasil e no mundo, provocaram o crescimento abrupto da exigência regulamentar no que tange à necessidade de adicionar camadas estruturais de controle e proteção, a partir de 2002. Como resultado, para dar conta da demanda, brotou a função de Riscos-e-Compliance (da qual já fiz parte), cuja prevalência é notória. Igualmente, há uma avalanche de oferta de consultorias (da qual faço parte) e de aplicativos para treinar e apoiar a transformação digital da função.
O problema — ou melhor, o desafio, para manter o tom positivo — é que, conceitualmente, estamos falando de duas funções, e não apenas uma, pois Gestão de Riscos é bem diferente de Gestão de Compliance. Ambas compõem o que denomino tríade da gestão básica, capitaneada pela Gestão do Desempenho. Todas as outras disciplinas técnicas — seguranças (da informação, do trabalho, do produto e patrimonial), qualidade, ativos, manutenção, supply chain, meio ambiente, saúde ocupacional, projetos, marketing, etc. — se utilizam das três funções, mesmo que inconscientemente.
Essa tríade funciona como a base de uma pirâmide e cada um dos três pilares— ou seja, Desempenho, Riscos e Compliance — se apoia nos outros dois. A Gestão de Compliance, por exemplo, precisa avaliar riscos: checar incertezas, quantificar o risco de alguma forma e estabelecer prioridades. Esses riscos específicos, ditos “riscos de compliance”, medem como a ausência de compliance afetaria a organização. Normalmente, as áreas de Riscos-e-Compliance fazem exatamente isso e estão limitadas a esse escopo. Portanto, um título mais adequado para a função seria Gestão de Compliance e de seus Riscos.
É claro que há exceções, na forma de empresas nas quais a função de Gestão de Riscos (GR) tem abrangência ampla e diversa; um exemplo óbvio é o grau de influência técnica das áreas de GR no dia-a-dia dos negócios das instituições financeiras e das seguradoras, sempre atuando de forma independente da função de Compliance. Compliance tem foco no funcionamento dos controles e na força da cultura; GR usa essa informação para gerar cenários e medir probabilidade e consequência.
Em qualquer decisão que é tomada, seja em qual plano for, colocamos na balança a meta que queremos alcançar, quais são os riscos eventualmente assumidos e se estamos violando algum preceito importante. Não é de se estranhar, sendo assim, que a ótica de Riscos possa ser divergente da ótica de Compliance; se nunca for, para que a analogia da balança? Afinal, a GR é um corpo de conhecimento que torna mais conscientes e equilibradas as decisões. Compliance é um conceito do tipo “conforme-ou-não-conforme”; já GR é uma forma de medir o impacto do “não-conforme” existente ou potencial.
A figura abaixo está em meu livro “Risco não é um Número (2019)” e ilustra a tríade para uma situação comum: a decisão sobre a velocidade de um automóvel em uma estrada cujo limite legal de velocidade é 80 km/h.
Torna-se necessário capacitar e preparar os gestores para assumirem a responsabilidade primária por suas decisões sob incerteza, evitando defesas patéticas como as dos ex-Presidentes da Vale e da Samarco, que alegam não terem sido comunicados dos riscos, quando as incertezas eram óbvias e inequivocamente suas.
(Vide meu post no LinkedIn em 21/01/20 : https://www.linkedin.com/posts/marco-nutini-5a878411_ex-ceo-da-vale-%C3%A9-denunciado-por-homic%C3%ADdio-activity-6625460368850341888-ulH3)
Mas qual seria o problema de se manter uma área de Riscos-e-Compliance com foco limitado à implantação do Programa de Integridade e Ética?
1) Pode ser criada a percepção geral de que a responsabilidade primária por detectar, avaliar e (principalmente) comunicar riscos é dessa área. Você já deve ter ouvido a frase: “Vamos aguardar para ver se eles percebem o problema”, ou “Se eles não comunicaram, por que eu iria levantar a lebre?”.
2) A própria função pode se arvorar como linha de defesa de qualquer tipo de risco e começar
a interferir no andamento natural dos negócios.
3) Pode ser gerada uma sensação de conforto ilusório na alta direção, do tipo “agora já temos
uma área de Riscos operante”. 4) A área de Riscos-e-Compliance pode se apaixonar pela Matriz de Riscos e acabar burocratizando um processo que precisa de agilidade e fluidez.
Se um desses sintomas está aparecendo, não hesite: pé no freio e revisão das atribuições. Não vem ao caso qual é a estutura organizacional ideal, cada empresa tem a sua. O importante é que todo gestor se sinta (e esteja preparado para atuar como) gestor de desempenho, riscos e compliance.
Para maior aprofundamento sobre esse tema: o livro está à venda nas principais livrarias virtuais ou diretamente com o autor (nutini@loopnut.com.br).
O Autor
Marco Nutini
Strategic Thinking and Risk Management Expert. Sócio Diretor da LOOPNUT Consultoria Ltda., ocupou diversos cargos executivos em empresas de renome, tais como: KODAK e EMBRAER, onde foi o executivo responsável por Sistemas de Gestão, Compliance e Gestão de Risco entre 2001 e 2006.
Autor do livro: Risco não é um número (Amazon.com)
