Eu costumo dizer, em aulas e palestras, que essa pergunta vale milhões, e embora afirme isso em tom de brincadeira, lá no fundo, o sentimento é um misto de calafrio e frustração.

É até compreensível quando a dúvida vem de um analista ou auxiliar técnico, haja vista Gestão de Riscos e Compliance serem temas eminentemente estratégicos.

O problema é que, geralmente, a pergunta vem daqueles que deveriam saber a resposta de antemão – ou, no mínimo, assumirem-se como únicos e verdadeiros responsáveis pela construção da melhor resposta: os membros da Alta Administração.

Infelizmente, o que mais se vê são os órgãos da Governança Corporativa requisitando estudos e propostas de estrutura organizacional a gestores de times táticos e/ou operacionais, os quais passam a ser legitimados como “os implementadores de Gestão de Riscos e Compliance.”

Quando não é desse modo, é privilegiando-se a documentação escrita: confia-se aos advogados da empresa a arregimentação da Governança Corporativa e do Compliance (revisão dos atos constitutivos, regulamentação do Conselho de Administração – ou, por vezes, Conselho Consultivo, em se tratando de organização de menor porte –, elaboração de políticas, normativos internos e instruções de trabalho), e, estando tudo pronto, assinado e publicado, instalado está. Será?

Daí o meu desconforto, para não dizer descontentamento. Malgrado a crescente demanda por formações voltadas ao público corporativo, ancoradas na expressiva produção de conteúdos na internet (muitos deles, gratuitos, inclusive) sobre Governança, Gestão de Riscos, Compliance e, por que não, Sustentabilidade – alô, ESG! –, parece que ninguém entendeu nada ainda.

Gestão de Riscos e Compliance, ao invés de princípios da boa Governança e, por isso, elementares à estratégia, são tratados como meta operacional: se conquistado o selo ou a certificação, o mérito será da área de gestão em que trabalham os “implementadores do projeto”, e não da organização como um todo – que, por sinal, ao menor vácuo de liderança, acena engajamento gradativamente menor no cumprimento dos planos de ação, independentemente do esforço daqueles realmente comprometidos e da consultoria, quando vigente um contrato de assessoria especializada.

É bem verdade que alguns, simplesmente, não querem entender, ou fingem não entender, mas não vou me apegar a este nicho. A ideia, hoje, é falar aos que tem olhos para ler e ouvidos para ouvir.

E feito o necessário disclaimer, de volta à pergunta “de milhões”: onde posicionar Gestão de Riscos e Compliance no organograma?

A resposta é: próxima ao órgão de Governança – Conselho de Administração, quando houver. Em não existindo Conselho, considera-se o Corpo Diretivo.

Parece óbvio, não é? O COSO (nos frames ICF e ERM) refere isso, do mesmo modo que as normas ISO (mais recentemente, inclusive, a ISO 37000:2021) e, no Brasil, o próprio IBGC, por seu Código das melhores práticas de Governança Corporativa.

Aliás, essa mesma visão pouco acurada sobre Gestão de Riscos é que transmuta a pergunta, nas redes sociais e grupos de WhatsApp, para: “Onde deve se posicionar o DPO (Encarregado da Proteção de Dados Pessoais) no organograma da empresa?” – outra dúvida que comportaria um artigo inteiro, e que me dá tremedeiras… Deixemos este desdobramento para um post futuro.

Agora, se a posição das áreas de Gestão de Riscos e Compliance no organograma é tão óbvia (com a minha permissão, acrescente aí o DPO), por que a pergunta continua reverberando (pior, longe do topo, nas instâncias organizacionais onde não deveriam), e hipervalorizada?

Por causa da abordagem inadequada, insuficiente ou inexistente – o que é ainda mais desesperador, convenhamos! – de gerenciamento de risco corporativo. 

 Com efeito, reconhecer os riscos a que está exposta a organização é fundamental a articular, estrategicamente, o posicionamento não apenas dos responsáveis por Gestão de Riscos e Compliance, como de todos os atores da Governança Corporativa, inclusive os Comitês.

Um organograma não se trata, pura e simplesmente, de desenho formal e enlatado. Esqueça, por um momento, o padrão “copy & paste” ou o “benchmark com os pares”, mesmo que seja apenas para “pegar a visão de modelo”, e entenda que o objetivo é ter um SEU, para atender aos SEUS REAIS OBJETIVOS, assegurando eficiência, eficácia, economicidade e conformidade em prol do resultado pretendido.

Para atender à missão organizacional e vetorizar a entrega do valor esperado por stakeholders internos e externos, é recomendável que o organograma se construa sob a premissa de um sistema de controles internos.

No aspecto, cabe ressaltar que a pirâmide de controles internos tem, em seu nível mais alto, o Ambiente de Controles, representada pelo órgão de governança:

Quando avaliamos uma organização por abordagem baseada em riscos (risk based approach) é que conseguimos construir fluxos de demanda e reporte, designar autoridades, delegar responsabilidades e estabelecer alçadas.

Faça o seguinte o raciocínio, perguntando:

• Qual é a missão da empresa?
• Qual é o resultado a ser perseguido?
• Quais são os processos mais críticos em nossos ciclos de valor – ou seja, aqueles que precisam ser priorizados porque, componentes naturais do core business, tratam, desde os imputs até os outputs, informações relevantes, capazes de impactar diretamente o resultado?
• Os atores implicados nos processos mais críticos, responsáveis pelo tratamento de dados e informações da mais alta importância ao resultado e, consequentemente, às deliberações estratégicas, estão suficientemente próximos ao órgão de governança?
• Se não, quantos “atravessadores” existem no fluxo de demandas e reportes, até que, finalmente, os relatórios cheguem ao Conselho de Administração (quando houver) ou Corpo Diretivo para as competentes tomadas de decisão?
• Contabilizados os “atravessadores”, é possível afirmar que os dados e informações críticas ao negócio, quando chegam até o nível estratégico para análise, são idôneos? Em sua integridade, foram suficientemente protegidos de acessos e edições (fraudes, portanto), viabilizando nítidas visões de riscos e oportunidades e, por conseguinte, deliberações tão assertivas quanto conscientes?

Essas perguntas não podem, jamais, ser preteridas, haja vista estarem diretamente relacionadas ao insumo endereçado ao “dono do resultado”, ou seja, o representante dos interesses do sócio proprietário, que tem não apenas o direito, mas o dever e a responsabilidade fiduciária sobre os resultados da estratégia empreendida, os riscos a ela associados e todo o seu potencial lesivo às partes relacionadas (dentro e fora da organização).

Apenas o posicionamento estratégico dos atores da Governança Corporativa nos diferentes níveis da estrutura organizacional, atentando à importância de mantê-los, sempre, próximos da Alta Administração – isto é, com o mínimo de alçadas “atravessadoras” possível – protegerá o “dono do resultado” de uma visão “eclipsada” dos riscos, assegurando uma arquitetura de informações de procedência fidedigna, consistentes e recorrentes, capazes de lhes firmar posição, ou, então, de lhes facilitar mudanças de direção em tempo hábil, blindando de sanções administrativas e judiciais e, por via reflexa, de prejuízos financeiros e reputacionais.

E é desse pressuposto, eleger os processos críticos cujos gestores devem estar à máxima cercania dos “donos do resultado”, que decorre o posicionamento das áreas de Gestão de Riscos e Compliance: ancoradas ao órgão da Governança Corporativa, seja ele o Conselho de Administração ou Corpo Diretivo, quando da inexistência de um board não-executivo. Voilà!

Quanto mais próximas da Alta Administração estiverem as áreas de Gestão de Riscos e Compliance, mais efetiva e confiável será a retroalimentação entre esses atores nas análises críticas de contexto organizacional, partes interessadas, desafios e oportunidades. Nessa esteira, as tomadas de decisão acerca de estratégia e planos de ação são consectários naturais, e a sua conversão em políticas e procedimentos objetivos, a peça-chave ao solucionamento de impasses e prevenção dos riscos corporativos em todas as suas dimensões.

Essa formatação recrudesce a responsabilidade corporativa, porquanto indutora da conformidade e da prestação de contas no ambiente interno e externo, permitindo aos stakeholders sentirem o transbordo da cultura de ética, transparência e integridade.

À vista de tudo isso, e fechando com chave-de-ouro o papo de hoje: Quando se depararem com a pergunta “de milhões”, sobre o posicionamento das áreas de Gestão de Riscos e Compliance no organograma, evoquem, a partir do nível estratégico, a responsabilidade da Alta Administração à luz de um sistema de controles internos, com abordagem baseada em riscos.

Depois de superada essa etapa, de definição da estrutura organizacional mirando na estratégia e seus riscos, passa a valer o envolvimento dos níveis tático e operacional, encarregando-os da modelagem, regulamentação escrita e operacionalização dos processos que responderão à (nova) configuração proposta – cada um na sua devida posição, não custa lembrar.

***

Se você gostou desse artigo e quer saber mais a respeito, assine nossa newsletter para se manter atualizado  ou escreva-nos para tirar suas dúvidas.

Abraços e até a próxima!