Como classificar riscos de Fornecedores | Terceiros no onboarding
Existem algumas dúvidas que sempre voltam à tona quando abordamos sistemas de Due Diligence. Acredito que as duas que trazem maiores discussões são as seguintes: se devemos analisar 100% de nossos Parceiros (fornecedores | Terceiros), e a segunda: como criar uma classificação de riscos para focar a análise onde realmente é necessário, mas sem deixar passar riscos que podem trazer impactos se não localizados.
A primeira situação cabe bastante debate, e por experiência própria, posso dizer que já atuei em programas onde analisavamos 100% de todos nossos fornecedores, e empresas onde somente subia para análise de compliance o que era classificado como médio e alto risco, ou terceiros que tinham red flags encontradas.
Há alguns anos atrás eu perguntei em uma formação da SCCE qual abordagem eles recomendariam, e recebi uma resposta bem enfática de que analisar 100% de todos seus Fornecedores | Vendors normalmente não é a melhor abordagem para realizar a Due Diligence destes.
Mas como criar um sistema que permita desde o início direcionar para uma classificação de risco, e manter o foco no que realmente importa?
Você precisa de uma abordagem geral em riscos, mantendo o foco nas especificidades de sua matriz de risco da sua empresa, para poder fazer as perguntas corretas.
Simples? Nem tanto.
O primeiro ponto é você saber que não deve analisar todo e qualquer fornecedor da mesma forma. Por exemplo, o fornecedor de material de escritório (materiais indiretos) deve ser analisado da mesma forma que o desenvolvedor de um software que terá acesso a todos os dados pessoais de sua organização?
Não.
Então como fazer?
Criando uma forma de classificação de riscos no onboarding. Na prática você precisa criar uma classificação prévia de exposição de riscos que os Terceiros oferecem a sua organização. Para a criação desta classificação, você precisa focar em red flags notórias por aumentar riscos, acoplados a sua matriz de risco.
Passaremos agora a abordar como criar esta classificação, e como sempre, este artigo não pretende esgotar a matéria, mas sim, explicar o racional do processo. E volto a repetir, cada empresa possui uma exposição a riscos diferentes, de acordo com suas atividades. Aqui iremos abordar pontos mais comumente encontrados em organizações.
Due Diligence Reputacional
Neste artigo irei abordar Due Diligence em três níveis: alto, médio e baixo. No entanto, isso é somente uma abordagem generalizada. Cada programa e empresa possuem sua matriz de risco, e o sistema de Due Diligence precisa refletir estas nuances. Conheço programas que possuem cinco níveis de risco, e outros que possuem somente dois. Não há one size fits all para Programas de Compliance; bem como não há uma lista de riscos que pertence a todos os segmentos, mas sim, riscos mais comuns que são conhecidos pelos profissionais de Compliance.
O que analisar sob o prisma de Due Diligence
Em linhas gerais, PEPs, (Pessoas Expostas Politicamente) , mídias adversas como envolvimento em crimes de corrupção, lavagem de dinheiro, fraudes; listas restritivas, Conflito de Interesses; processos judiciais. Isso vai depender do ramo que sua empresa atua.
(sobre PEPs leia aqui: https://compliancepedia.com.br/a-importancia-de-identificacao-e-analise-de-peps-em-programas-de-compliance/ )
E como sempre menciono, não há uma receita de bolo, ou o one size fits all. A sua Due Diligence deve estar calibrada de acordo com sua matriz de risco.
Então, como fazer a classificação? Abaixo segue uma sugestão de como classificar.
Baixo Risco
Podemos classificar como baixo risco aqueles fornecedores, prestadores que tem contratos habituais ou não (compras spot); que não possuem procuração para representar a empresa, e via de regra tem contratos de fornecimento de produtos com valores menores e compras de insumos indiretos, ou seja, que não entram na composição dos produtos da empresa; exemplo: fornecedores de materiais de escrirtório, materiais de limpeza, jardinagem.
Este fornecedor que é considerado como baixo risco, são empresas que oferecem riscos na contratação muito baixos, e desta forma, esse tipo de fornecedor, onde não é identificado nenhuma red flag no momento do onboarding (ou seja nos questionários que veremos adiante), não precisa passar pela análise da área de Compliance, mas somente pela área de Compras ou Suply Chain.
Quando olhamos para o total de contratações de uma organização, mais de 90% (aproximadamente) dos Terceiros contratados vão cair nesta categoria, e são exatamente estes fornecedores que podem não ser avaliados pela área de Compliance, desde que não tenha sido encontrada nenhuma outra red flag. Mais adiante abordaremos como podemos estruturar o onboarding desta forma.
Médio Risco
Nesta categoria podemos incluir aqueles fornecedores de matéria prima que entram na composição do produto da empresa (materiais diretos), que são vitais para o negócio, onde os contratos de fornecimento normalmente têm valores altos, e há uma certa simbiose com o fornecedor.
Podemos usar como exemplo, uma fabricante de aeronaves, que depende do fornecimento de alumínio; ou ainda, uma produtora de vinhos que compra de terceiros as uvas. Em ambos os casos, o fornecimento é primodrdial, e o negócio tem uma alta dependência deles. Portanto, seu negócio precisa saber se estes fornecedores estão envolvidos em situações que podem colocar o fornecimento em perigo.
Mas não é somente este viés que deve ser levado em conta. Mencionei o caso das uvas pensando no caso das vinícolas do Sul, onde vimos na prática as consequências que um fornecedor pode trazer para uma empresa. Neste episódio, as vinícolas foram coresponsabilizadas pela utilização de mão de obra escrava do fornecedor. Dependendo do grau de dependência, e tamanho do contrato, vale até o exercício de verificar se o fornecedor não deveria ser classificado como alto risco.
Existem outros tipos de serviços que também podem ser classificados como médio risco, por exemplo, advogados e consultores sem poderes de representação, estes terceiros podem posar algum grau de risco para a empresa dependendo da sua natureza; mesmo que não atuem em nome dela (procuração).
E novamente, caso alguma red flag seja encontrada, é sempre recomendável aprofundar a análise, e classificar o prestador em um categoria de risco maior.
Alto Risco
Existem algumas situações onde podemos classificar um fornecedor como alto risco de imediato. São elas, principalmente: fornecedores que possuem procuração, e que representam legalmente sua empresa para negócios e para atuar perante repartições públicas, incluindo Tribunais. E por que é notório este risco? Basta ver as estatísticas de quantos Terceiros Intermediários estão envolvidos em casos de Corrupção. Aqui também podemos incluir Representantes Comerciais e Consultores que representam sua empresa e negócios internacionais.
Outros pontos que imediatamente classificam um fornecedor como alto risco é a existência de PEPs na sua estrutura societária, ou em seus Consultores; bem como existência de mídia adversa sobre crimes também pode elevar para risco alto um fornecedor.
Ainda, vale a pena manter a atenção em pagamentos por comissões, estruturas societárias rebuscadas, falta de documentação, e várias outras red flags que precisam ser observadas no momento do onboarding destes Terceiros.
Primeira linha de defesa como aliado no onboarding de fornecedores
Anteriormente mencionamos a questão de manter a análise de fornecedores ou vendors de baixo risco sem a necessidade de passar pela mesa dos times de Compliance. Mas como fazer isso?
As áreas contratantes, ou sua equipe de Compras podem ser treinadas para atuarem como a primeira linha de defesa do seu negócio. Isso quer dizer que estes colaboradores podem ser treinados a fazer uma análise prévia das informações e somente enviar ao time de Compliance os fornecedores de médio e alto risco, bem como aqueles onde foram encontradas red flags durante o processo de onboarding destes.
(sobre red flags leia aqui: https://compliancepedia.com.br/da-importancia-de-identificacao-de-red-flags-no-processo-de-due-diligence-e-consequente-mitigacao-destas/
Uma das ferramentas que as áreas de Contratação tem para levantar informações sobre os fornecedores são os questionários. E estas são peças fundamentais para ambas as áreas, de Compras e de Compliance; bem como, é um momento que pode se tornar bem crítico neste onboarding se feito de modo irresponsável ou inadequado.
Quem atua na área já deve ter imaginado do que estou falando: daqueles famigerados questionários com questões inócuas e ineficazes enviadas a TODOS os fornecedores, independente se a contratação é de uma empresa de jardinagem ou de um software que irá ter acesso a todos os dados pessoais de seus colaboradores e clientes.
Muito cuidado com os questionários. Estes devem ser direcionados de acordo com a contratação. Do contrário você vai enfurecer seus parceiros, ou diminuir a eficiência destes.
Algumas observações
Este questionário de onboarding pode ser um forte aliado para levantar várias situações, como por exemplo, se o fornecedor tem alguma prática de ESG, programa de Compliance implementado, políticas de proteção a a integridade, igualdade, combate a assédio, discriminação; entre inúmeros pontos.
E também pode ser utilizados, no caso de contratação de softwares, ou outras consultorias, sobre as questões de LGPD e Segurança da Informação.
No entanto, volto a repetir, não faz qualquer sentido enviar um questionário de adequação à legislação de privacidade de dados a um fornecedor que não terá acesso a dados pessoais.
Os questionários precisam ser corretamente direcionados, de acordo com o tipo de contratação, e se você tiver suas áreas de contratação bem treinadas, irá te poupar muito trabalho, já que sua área de Compliance irá atuar onde realmente deve atuar: onde há risco.
Conclusão
Due Diligence Reputacional é somente uma das formas de DD em um programa de Compliance; existen outras com focos diferentes, por exemplo: KYC (conheça seu cliente), KYE (conheça seu colaborador), DD realizados em operações de M&A, entre outros.
Um sistema de Due Diligence bem calibrado é um forte aliado para sabermos onde o risco está, e onde os esforços de mitigação como cláusulas específicas, monitoramentos, treinamentos, entre outros precisam ser implementados.
Possuir um bom Programa de Compliance com um bom sistema de Due Diligence não vai garantir que sua empresa esteja 100% livre de risco, no entanto, você terá uma documentação robusta de evidências que servirão de defesa caso algum risco se concretize; e isso pode ser a diferença de uma autuação de pequena a média monta para uma multa astronômica que pode inviabilizar a operação de sua empresa.
Questionários
Para finalizar, vou deixar aqui anexado a sugestão de perguntas a serem feitas para ajudar o profissional de Compliance a entender do que estou falando quando menciono a importância destes.
O primeiro é um questionario geral que vai ajudar a classificar o risco, e o segundo são questionários específicos que devem ser direcionados de acordo com a contratação.