A assunção de risco refere-se ao processo de uma organização aceitar, de forma consciente, e documentada, algum risco associado à sua atividade, parceiro, fornecedor ou Terceiro em geral; com a implementação ou não de controles internos para mitigar esse risco.
Em outras palavras, a organização reconhece que determinados riscos são aceitáveis dentro de seu modelo de negócios e, portanto, decide pela sua aceitação ou manutenção dentro de sua estrutura.
Sob o ponto de vista de Governança, isso pode ocorrer quando uma empresa avalia que, apesar de certos riscos regulatórios, financeiros ou operacionais existirem; o impacto desses riscos é considerado aceitável em prol de um retorno financeiro, ou algum outro benefício.
Todo este processo de aceitação do risco deve ser realizado de maneira transparente e documentada, para garantir que a decisão de assumir tais riscos seja responsável e alinhada às normas internas e regulatórias.
Um exemplo de assunção de risco pode ser quando uma empresa decide continuar a operar em um mercado com regulamentações incertas, aceitando o risco de mudanças legais ou a possibilidade de não conformidade, desde que os benefícios superem os potenciais custos de não conformidade.
Outro exemplo fácil de entender a necessidade da assunção é no onboarding de um Parceiro de negócios de longa data da organização, que durante sua due diligence de renovação foram encontradas red flags no sentido de envolvimento em casos de Corrupção, e que efetivamente pode trazer riscos para a operação.
O que o profissional de Compliance deve fazer num caso desses? Aprovar simplesmente porque trata-se de um parceiro de longa data? Reprovar porque foram encontradas red flags associadas a um risco?
- Aqui entra a Assunção de Risco.
Existem muitos casos onde não cabe ao profissional de Compliance simplesmente aceitar ou rejeitar riscos.
Os programas de Compliance precisam estar suficientemente estruturados para saber os limites da atuação da Área de Compliance na aceitação de riscos. Bem como, deve saber quais são aqueles que ao invés de serem rejeitados de pronto (parceiros, Terceiros, novos negócios, etc.) precisam ser analisados pela organização.
A estruturação da assunção de risco vai depender do tamanho da organização.
Empresas de grande porte com áreas de governança já consolidadas possuem áreas de riscos, e comitês de riscos instituídos, e preparados para analisar e decidir sobre os riscos da operação.
Empresas menores, que não possuem equipes e recursos destinados especificamente para tomada de riscos, podem e devem criar um sistema informal para que as áreas de compliance e jurídico, possam compartilhar estes casos, com a devida orientação e documentação, e deixar a tomada do risco para as Diretorias, ou proprietários do negócio.
A questão da tomada de risco deve ficar muito clara para o board, comitê de riscos, ou proprietários; e deve ser sempre muito bem fundamentada e documentada.
- Importância para o profissional de Compliance
Quem atua em Compliance já passou pela pressão de ter de aprovar algo porque é importante ao negócio, ou um fornecedor para lá de questionável.
Esta estrutura tira a pressão da área de Compliance e devolve para o negócio. E por isso é um instrumento tão importante. Até para a proteção da Área de Compliance.
Cabe sim ao profissional de Compliance fazer suas análises e recomendar aprovação, reprovação, e formas de mitigação; e acima de tudo quais riscos a organização está exposta ao aceitar tal risco.
E isso não tira a importância da área, mas sim faz com que ela atue na sua real vocação: um conselheiro do negócio.
Mas a palavra final nestes casos, deve ser do negócio, não da área de Compliance sozinha.
