Covid-19: O papel da Governança, Riscos e Compliance (GRC) na era do Coronavirus
Por Heloisa Uelze, Felipe Ferenzini, sócios do grupo de Compliance de Trench Rossi Watanabe
Com a declaração de uma pandemia da Covid-19 pela Organização Mundial de Saúde (“OMS”), governos de diversos países têm criado legislações e normas que preveem medidas de enfrentamento à nova pandemia. No Brasil, já houve publicação de regras (e novas devem ser publicadas nos próximos dias) que elevam riscos nas operações e devem ser mapeadas pela área de GRC (Governança, Riscos e Compliance) das empresas, tais como:
- Contratações emergenciais, com dispensa de licitação para bens e serviços destinados ao enfrentamento da emergência de saúde;
- Suspensão de certas atividades econômicas;
- O dever de empresas que prestem serviços à Administração Pública de comunicarem ao órgão contratante sobre casos de funcionários (próprios e/ou terceiros) que apresentem sintomas ou sejam diagnosticados com Covid-19.
Além disso, as autoridades brasileiras não devem parar investigações e operações durante essa crise, tanto o é que a Polícia Federal conduziu pelo menos três operações desde o dia 17 de março (Operação “Tifeu” – sobre lavagem de dinheiro e tráfico de drogas / Operação “Assombro” – sobre desvio de dinheiro com contratação de funcionários fantasmas / Operação “Zig-Zag” – sobre fraude em licitações do DNIT em Minas Gerais).
Diante deste cenário de incertezas e de superação, destaca-se o papel integrado da área de GRC (Governança, Riscos e Compliance) das empresas na elaboração de um plano estratégico emergencial com vistas à prevenção e à mitigação de riscos – alguns que, provavelmente, já podem ter se materializado – incluindo, mas não se limitando, à corrupção (lato sensu). Para tanto, apresentamos, a seguir, algumas recomendações de medidas que podem ser avaliadas pelas empresas para debelar este momento difícil.
O papel da alta direção no reforço da cultura de Governança, Riscos e Compliance
Para superar a crise, os líderes deverão avaliar e orientar a adoção de medidas emergenciais tais como:
- A criação de um Comitê de Crise;
- A revisão de matrizes de riscos;
- O monitoramento das alterações legislativas e operacionais;
- As alterações nas rotinas de trabalho (o cancelamento e/ou suspensão de reuniões, a limitação de viagens, o isolamento dos colaboradores e terceiros -com trabalho remoto);
- O reforço para a tomada de decisões pautadas pelos princípios éticos da empresa;
- O monitoramento de fornecedores de risco alto;
- A aplicação de medidas disciplinares;
- Até mesmo a divulgação das ações excepcionais para o mercado.
Canal de denúncia
O canal de denúncia é um dos principais pilares de um programa de compliance e pode ser essencial para o mapeamento de novos riscos em uma crise (ex. aumento abusivo de preços, fraudes, exposição de funcionários a riscos). Logo, especial atenção deve ser dada ao canal de denúncias para recebimento e tratamento de denúncias neste período.
Algumas empresas e órgãos públicos já estão implementando canais de denúncias específicos para a gestão de crise. A Comissão de Defesa dos Direitos Humanos da Câmara Legislativa do Distrito Federal (CLDF), por exemplo, criou um canal de denúncias com o objetivo de receber relatos de pacientes e servidores públicos acerca de possíveis violações de direitos relacionados ao Covid-19, tais como a falta de materiais de proteção à saúde de funcionários que não podem trabalhar remotamente.
Avaliação de riscos e controles internos
O impacto desta situação dramática nas empresas é ainda imensurável, mas a gama de problemas que todos terão de enfrentar durante a crise já é certa. É neste ponto que entra a necessidade imediata de uma reavaliação dos riscos a que a empresa está sujeita, a partir da qual novas medidas serão adotadas ou medidas existentes serão adequadas à nova realidade da empresa.
Riscos antes não considerados ou classificados como não prioritários podem vir a ter especial importância no novo cenário. Como alternativa mais acertada, ao nosso ver, a empresa pode estabelecer um Comitê de Crise legitimado a tomar as medidas necessárias. A área de GRC da empresa ganha destaque neste processo, devendo ser chamada à discussão juntamente com os demais departamentos, como Jurídico, RH, Comercial, para que as decisões considerem os impactos em cada setor da empresa.
O Comitê de Crise deve trabalhar em uma elaboração ou revisão da matriz de riscos da empresa, considerando riscos como:
- Corrupção (ex. fraude, conflito de interesses, doações etc.);
- Suprimentos/logística (ex. inclusive para cada região onde a empresa atue);
- Contratuais (ex. com clientes e fornecedores);
- Regulatórios (ex. nova exigência para reportar ao órgão público contratante sobre eventuais casos de Covid-19 em sua força de trabalho);
- Trabalhistas (ex. demissões);
- Financeiros e tributários (ex. afastamento de multas tributárias);
- De continuidade dos negócios (ex. falta de capacidade operacional de trabalho remoto em caso de quarentena)
Durante a crise, a área de GRC também deve adotar controles extraordinários para o monitoramento do cumprimento do programa e conduzir reportes periódicos mais frequentes à alta administração.
Comunicação e treinamento
Há o desafio de buscar a coordenação entre a área de GRC e as demais áreas da organização (jurídico, suprimentos, recursos humanos, comercial, operacional etc.), visando implementar um plano emergencial de comunicação. Esta comunicação deve ser direcionada para públicos distintos, incluindo os colaboradores próprios, terceiros, prestadores de serviços, fornecedores, mas também, e principalmente (nos casos das empresas que negociam valores mobiliários), o próprio mercado.
O conteúdo das comunicações poderá abarcar:
- Os riscos decorrentes do vírus;
- As orientações de saúde e segurança divulgadas pelas autoridades;
- As novas diretrizes corporativas sobre o trabalho home office;
- A interação com o público externo (ex. clientes e agentes públicos);
- A revisão da matriz de risco e os testes que deverão ser realizados nos controles internos;
- O reforço para a utilização do canal confidencial (denúncia);
- A mensagem do presidente (ou liderança respectiva);
- Dentre outros assuntos considerados e definidos como relevantes pelo Comitê de Crise.
Tendo em vista as recomendações das autoridades de saúde para o isolamento e trabalho remoto, a comunicação e treinamento seriam efetivos por meio online,através de webinars, vídeos explicativos e e-mails de circulação geral. Recomenda-se, ainda, estender os treinamentos a terceiros (fornecedores, prestadores de serviços, parceiros).