O escopo do processo de due diligence de terceiros baseado em riscos
Recentemente, em abril de 2019, o Departamento de Justiça dos Estados Unidos da América(DoJ- U.S. Department of Justice Criminal Division) publicou procedimento(evaluation of corporate compliance programs guidance) contendo os requisitos que devem ser considerados, quando na avaliação de programas de compliance das organizações, visando a orientação na elaboração de denúncias, negociação de acordos e na redução de imposição de multas. Essa orientação assenta que um programa de compliance eficaz deve aplicar o procedimento de due diligence baseada em riscos nas relações com terceiros. Convém consignar que não há uma fórmula padrão para a realização da due diligence, tratando-se de procedimento personalíssimo, devendo ser considerados em relação às empresas(terceiros), em especial: o tamanho, estrutura, localização geográfica, setor de atuação e o perfil de riscos.
O procedimento de due diligence de terceiros requer que seja definido previamente qual seria o seu escopo. Nesse contexto, será definida na primeira etapa desse processo, a seleção das áreas de riscos, nas quais o due diligence será aplicado. Nessa seleção, serão identificadas quais as áreas da organização serão as mais impactadas por riscos de relacionamentos com terceiros, como por exemplo: suborno e corrupção, privacidade de dados, antitruste, ambiental, imagem reputacional, sanções comerciais, etc.
Após a conclusão da identificação das áreas prioritárias da organização, ou sejam, aquelas que terão impacto na relação com terceiros, a organização deve determinar quais são os terceiros(stakeholders) que se submeterão a análise de due diligence, não havendo dúvidas que nem todos apresentam mais do que um baixo risco suborno nas áreas previamente selecionadas.
A organização ao selecionar as áreas de risco a serem incluídas na sua análise de due diligence, deve ser guiada pelo processo de avaliação de riscos. Especificamente, as áreas de risco de alta prioridade que são substancialmente impactadas pelos relacionamentos de terceiros da empresa devem estar dentro do escopo da análise de due diligence.
Com o intuito de limitar o espectro de relacionamento com os diversos terceiros(stakeholders) que serão submetidos ao processo de due diligence, a organização deve:
a)Identificar todas as categorias de relacionamentos de terceiros(stakeholders) usados pela organização
Esse processo não deve identificar cada terceiro individualmente com quem a organização faz negócios, mas sim, as categorias desses terceiros(stakeholders), que se relacionam com a organização, como por exemplo: clientes, fornecedores de materiais, prestadores de serviços, corretores, distribuidores, consultores, subsidiárias, parceiros de joint ventures, etc.
b) Avaliar do grau de risco apresentado por cada categoria de terceiros(stakeholders)
Após identificar todas as categorias de terceiros (stakeholders) com as quais a organização realiza negócios, cada categoria deve ser avaliada, analisada e determinado o grau de exposição ao risco da organização em relação às categorias previamente determinadas, que servirão de parâmetros para a realização do processo de due diligence. Por exemplo, para um programa de due diligence de suborno e corrupção nas categorias de terceiros identificadas podem levar em consideração os seguintes fatores de riscos:
· o tipo de trabalho realizado pelos terceiros da categoria
· os locais onde os trabalhos são realizados
· a frequência de interações com funcionários do governo
· os controles sobre os terceiros dentro da categoria
· a estrutura de remuneração adotada pelos terceiros, se há a remuneração por bônus de desempenho
· os tipos de salvaguardas ou controles existentes
c) Categorizar as categorias de riscos dos terceiros
Ao final da análise do grau de risco apresentado por cada categoria, deverá ser elaborada lista hierarquizada de acordo com valores decrescentes de forma decrescente do mais alto para a mais baixo risco.
d) Determinar a tolerância a riscos da organização .
Ao aferir o grau de risco da exposição da organização em relação a terceiros, há de se determinar o apetite ao risco, definido como o grau de risco que a organização estaria disposta a aceitar ou tolerar nos seus relacionamentos com terceiros. Após a determinação desse limite de tolerância, devemos analisar a lista dos stakeholders, traçando uma linha de corte, quando será considerado que as categorias de terceiros situados acima dessa linha excederiam a tolerância aos riscos da organização e estariam, consequentemente, dentro do escopo do processo de due diligence. Noutro sentido, abaixo da linha limite quaisquer categorias de terceiros estariam dentro da tolerância de riscos da organização e portanto, fora do escopo de due diligence.
e) Desenvolver definições claras para cada categoria de terceiros no escopo
Após identificar as categorias de terceiros no escopo para o processo de due diligence, a organização deve estabelecer de forma clara por cada setor, quem são os responsáveis pelo envio às categorias de terceiros, de informações relativas ao processo de due diligence. Importante que todas as áreas da organização tenham um entendimento comum dos tipos de relações comerciais que se encaixam em cada categoria, para que todos os terceiros no escopo, sejam submetidos consistentemente na análise de due diligence.
f) Utilizar qualificadoras na determinação do grau de exposição ao risco
Convém considerar que o grau de exposição ao risco em relação à determinadas categorias de terceiros não é uniforme, sendo necessário considerar o uso de qualificadoras ou limites, baseadas em critérios de natureza objetiva em relação ao risco, tais como: volume de negócios; valor do contrato; tamanho da organização; número de transações; etc.
Nesse contexto, há de ser observado quão é importante a definição do escopo do processo de due diligence de terceiros baseado em riscos, de forma a assegurar a eficácia de um programa de compliance implementado na organização.
Referências:
Product Ops at Nubank | Turning User Problems into Scalable Solutions
5 aMarcos Roberto Barros Borges