Introdução
Apesar de serem pontos muito diferentes são itens muito graves em vários aspectos. O primeiro é uma tragédia com o falecimento de um cliente. O segundo é a exposição de dados de pacientes testados, diagnosticados e internados por covid-19. Entendo que ambos têm um ponto em comum.
Nesta matéria não estarei analisando os aspectos polêmicos referentes ao absurdo do racismo nos dias de hoje e nem os pontos políticos de ambos os fatos. Realizei uma análise exclusivamente do ponto de vista de Governança, Riscos e Compliance (GRC), inclusive abordando um pouco as perspectivas relacionados com o Environment, Social and Governance (ESG).
Utilizando estas premissas e realizando uma abordagem mais profunda, identificam-se as dificuldades das empresas em colocar na prática os respectivos controles, políticas, processos e procedimentos desenhados pelo GRC para mitigar os riscos identificados, bem como o monitoramento eficiente destes.
Em ambos os casos identifica-se que a causa raiz podem ser uma das seguintes alternativas:
• a contratação de serviços terceirizados que não atendiam as exigências dos controles, políticas e procedimentos adequados para mitigar os respectivos riscos.
• a inexistência destes exigências (mais grave ainda).
Entendo que pelo porte das empresas, a primeira opção é causa raiz. Existem diversos exemplos de empresas que possuem dificuldades em conscientizar e sensibilizar os respectivos gestores sobre a exposição aos riscos e seus impactos em suas áreas e na empresa como um todo.
Nos dois casos verificam-se a dificuldade na sensibilização dos gestores sobre exposição aos riscos e seus impacto devido a não execução dos controles, não cumprimento das politicas e procedimentos na contratação de prestadores de serviços (terceirizados).
Além disso, na caso do hospital, existe os agravantes das inadequações no cumprimento dos respetivos controles e procedimentos internos de proteção de dados pessoais, exigidos pela lei nº 13.709/2018: Lei Geral de Proteção de Dados (LGPD).
Conforme apresentados abaixo na Figura 1 e 2, as áreas operacionais (1a linha) são responsáveis não apenas pela gestão operacional, mas também pela gestão dos respectivos riscos.
Figura 1. Modelo das Três Linhas de Defesa do IIA (2013)
Figura 2. Modelo das Três Linhas do IIA (2020)
A 2ª linha forneça o suporte e o apoio para implementação dos controles, processos, procedimentos e respectivo monitoramento. Já a 3ª linha tem um papel independente de periodicamente testar e verificar a conformidade da execução dos controles, realização operacional dos processos mapeados e procedimentos, bem como o reporte prioritário aos órgãos de governança e também à alta administração da empresa.
Cabe a alta administração (corpo administrativo) o papel de liderança de enfatizar, patrocinar e promover as medidas preconizadas pelo GRC para proteger a empresa da materialização dos riscos e seus respectivos impactos.
Devido a materialização dos riscos e respectivos impactos nestes casos, considero a existência grandes oportunidade para melhoria no modelo GRC das empresas: três linhas e alta administração.
Nestas últimas semanas também verificou-se comentários referente ao caso do Carrefour sobre a violação da perspectiva Social do ESG. Entendo ser um fato abominável a morte de um cliente preto. Repudio com toda a força qualquer forma de preconceito contra cor, credo, raça e gênero. Contudo, avalio que a reação desproporcional dos seguranças poderiam ocorrer com qualquer cliente, devido as considerações abordadas sobre o modelo GRC da empresa. Mesmo assim, ainda considero um fato grave, pois é um desrespeito aos direitos humanos.
Desta forma, faço as seguinte considerações referentes as lições aprendidas:
• Controles, políticas e procedimentos desenhados e formalizados necessitam ser disseminados na empresa, com o treinamentos e a sensibilização dos gestores para o cumprimento, atuação efetiva e observância das exigências.
• Áreas da 2ª linha devem efetivamente suportar, apoiar, monitorar e reportar possíveis casos de não conformidade junto a alta gestão. No apoio e suporte às áreas operacionais devem ser definidos pontos de controles eficientes para não travar os processos, mas também não deixar de promover a mitigação dos riscos.
• A 3ª linha de defesa necessita colocar no escopo do planejamento da auditoria interna os respectivos testes para identificar a existência e a eficiência dos pontos de controles definidos, verificar a adequação dos processos desenhado com a realidade (walkthrough) e as respectivas atuações das áreas de Gestão de Riscos e Compliance.
• Finalmente, a alta gestão deve sempre liderar e enfatizar uma "cultura" de continua prevenção e proteção à exposição aos riscos que a empresa enfrenta nas suas operações. Desta forma, não deve tolerar inconformidades em prol da “redução de custos” ou do “incremento de vendas” a qualquer custo.
Caso estes pontos não sejam observados, considero uma perda de tempo e dinheiro todo trabalho de Controles Internos, Gestão de Riscos e Compliance no desenvolvimento de pontos de controles, mapeamento de processos, bem como a formalização de políticas e procedimentos.