Compliance e Gestão de Riscos nas Estatais: como elaborar uma efetiva matriz de riscos contratuais

 

 

Por Rodrigo Pironti

Pós-Doutor em Direito Público

Doutor e Mestre em Direito Econômico

Certificado em Gestão de Riscos QSP Summit

Certificado em Compliance pela FIPECAFI

Advogado e Parecerista

 

Junho de 2018 é o marco temporal para a obrigatoriedade de implantação de uma efetiva gestão de riscos e compliance nas Empresas Estatais, ainda que as empresas não sejam consideradas de “grande porte” (acima de 90 milhões de receita bruta anual). Essa regra, pela intelecção do artigo 1, parágrafo 1 conjugado ao artigo 6, é cogente a toda e qualquer estatal à partir de 30 de junho de 2018[1], que, para além da criação de estruturas práticas de gestão de risco e compliance, deverão incluir nos anexos de seus contratos, uma efetiva e necessária matriz[2].

 

Talvez um dos temas mais complexos em se tratando de gerenciamento de risco, seja o tema da elaboração de uma efetiva matriz de riscos, não só pela dificuldade natural de se conceber uma possível matriz, mas também, pelo conflito conceitual existente entre o que pode ou não pode ser considerado uma matriz de risco nos contratos.

 

Aqui já lanço a primeira observação importante, quando a Lei prevê a necessidade de previsão de uma matriz contratual, o faz tendo em vista a necessidade de se mapear e mitigar riscos potenciais e aferíveis em uma escala de priorização, portanto, em minha concepção, não aceita que sejam lançados mapas de riscos ou tabelas de check-list, como se matriz fossem. Mapas de riscos (registros de riscos) e check-lists são processos de identificação de riscos e não matriz.

 

Tendo certo que existe a necessidade de priorização dos riscos contratuais, para que seja possível trata-los adequada e oportunamente, resta entender, de acordo com a metodologia de formação da matriz de riscos, qual aquela que se adequa melhor à realidade dos contratos firmados pelas estatais (e em larga escala, pela Administração Pública de maneira geral). A matriz de impacto x probabilidade, não só pelo seu fundamento em apuradas metodologias de gestão de riscos (COSO ERM, ISSO 31000 dentre outras), mas por sua adequação à logica dos riscos passíveis de enfrentamento em um contrato administrativo, parece ser aquela que melhor se adequa à esta nova exigência legal, qual seja, da previsão de uma efetiva matriz de risco como parte integrante dos contratos firmados.

 

Uma matriz de impacto x probabilidade, como o próprio nome induz, irá aquilatar e conjugar dois critérios para a obtenção do nível de riscos: um critério de impacto e outro de probabilidade. A conjugação destes dois critérios em um diagrama de cálculo de riscos, permitirá a confirmação do nível de risco da atividade verificada e, a depender do apetite de riscos da Entidade, determinará sua correção ou aceitação[3].

 

A escala de impacto, que determina o grau de afetação do evento de risco no objetivo da Entidade, pode ser qualitativa ou quantitativa, a depender o interesse e do nível de maturidade do gerenciamento de risco da entidade. Para auxiliar na visualização do tema, vejamos o primeiro quadro:

 

Neste quadro, se vê representada a escala de impacto qualitativa, na qual o que interessa ao gestor dos riscos, é estabelecer parâmetros subjetivos de análise sobre a atividade analisada. Vê-se, claramente em razão dos níveis de riscos em uma escala de 1 a 5, que o grau de priorização será obtido por uma análise subjetiva do gestor, o que não é negativo, tendo em vista que a decisão subjetiva obviamente estará pautada em análises históricas e de melhor atendimento ao interesse da Entidade.

 

A escala de impacto quantitativa, levará em conta aspectos mensuráveis de forrma objetiva nas atividades/cláusulas contratuais analisadas, como critérios de preço, prazo, objetivo, qualidade aferível, para que seja possível se determinar o nível de risco dentro de cada um dos aspectos analisados.

 

Obviamente que, neste caso, para uma melhor aplicação da própria matriz, será necessário para a formação do nível de risco analisado, que a entidade determine exatamente qual critério foi objeto de sua opção quantitativa, uma vez que seria bastante mais complexo a conjugação desses fatores para a formação do nível de risco[4].

 

Realizada a análise da escala de impacto, cabe ao gestor anotar o nível de risco encontrado para aquela atividade e confrontá-lo com a escala de probabilidade.

 

 

A escala de probabilidade, que determinará qual a frequência de ocorrência do evento de risco identificado, para que seja possível prever a maior ou menor preocupação em enfrentá-lo, terá uma analise pautada também por critérios objetivos, ou seja, pelo número (real ou percentual) de acontecimentos de determinado evento de risco em razão do atingimento do objeto pretendido.

 

Após realizada esta análise, o gestor do risco também anotará seu resultado, para confrontá-lo, desta vez, com o nível de risco encontrado na escala de impacto.

 

Com esses dois critérios aferidos, será possível o cotejo dos níveis de riscos no denominado “diagrama de cálculo de risco”:

 

É o resultado do diagrama de cálculo de risco que indicará qual o nível de risco a que esta exposta a Entidade em razão do evento identificado no contrato. Por esta razão, não se pode confundir a matriz de risco com procedimentos simplificados de identificação de riscos, como é o caso do mapa de risco, registro de risco, check-lists dentre outros.

 

Veja que a composição numérica encontrada no diagrama também segue uma lógica de objetivação do risco, pois a multiplicação dos níveis de risco encontrados em suas escalas de impacto e probabilidade, permitem uma prirorização objetiva na matriz, de quais riscos serão enfrentados de maneira prioritária ou preferencial, ainda que dentre de um mesmo nível de risco no diagrama de cálculo.

 

Com esses critérios é possível a formação de uma matriz de risco, que ganhará contornos mais ou menos complexos, a depender da maturidade da Entidade e da qualificação do gestor de risco para identifica-lo, descrevê-lo, diagrama-lo e tratá-lo.

 

Nesse ponto já podemos conversar sobre nossa matriz. Os critérios de uma efetiva matriz de risco, ao menos os critérios por mim idealizados, deveriam ser estabelecidos dentro da seguinte dinâmica: a) identificação numérica do risco; b) evento de risco identificado (com suas causas e consequências); c) categoria do risco encontrado (para melhor priorizá-lo); d) probabilidade, impacto e cálculo de nível de risco; d) respostas; e) controles; e f) responsáveis pelos riscos.

 

A sua visualização seria, tratando-se dos critérios de análise, a seguinte:

 

Assim, imagine-se a seguinte sintaxe de risco (após a sua devida identificação e descrição[5]):

 

Devido a má elaboração do contrato, poderá́ ocorrer o não pagamento, pela contratada, de encargos trabalhistas dos empregados envolvidos na prestação do serviço, o que poderá́ a levar redução da qualidade e falhas na prestação do serviço e a consequente inexecução do contrato.

 

Como estabelecer uma matriz de risco contratual para esta sintaxe? Após todos os passos demonstrados, a tarefa parece muito mais simples e a matriz, após efetivados os critérios sugeridos, passará a ter o seguinte contorno:

 

É perceptível, portanto, que para a adequação legislativa pretendida, as Estatais deverão, em sua área de governança corporativa: compliance e gestão de riscos, instituir um sistema efetivo de gerenciamento, que permita, não apenas a identificação dos riscos, mas para além disso, a alocação destes riscos em uma efetiva matriz, distante dos check-lists e registros de riscos (mapas de riscos) até então utilizados, uma vez que apenas a matriz de riscos (fundada em critérios técnicos da ISO 31000 e outras normas correlatas) permite uma análise gerencial e evolutiva dos riscos e de sua mitigação.

[1] Art. 1o Esta Lei dispõe sobre o estatuto jurídico da empresa pública, da sociedade de economia mista e de suas subsidiárias, abrangendo toda e qualquer empresa pública e sociedade de economia mista da União, dos Estados, do Distrito Federal e dos Municípios que explore atividade econômica de produção ou comercialização de bens ou de prestação de serviços, ainda que a atividade econômica esteja sujeita ao regime de monopólio da União ou seja de prestação de serviços públicos.

  • 1o O Título I desta Lei, exceto o disposto nos arts. 2o, 3o, 4o, 5o, 6o, 7o, 8o, 11, 12 e 27, não se aplica à empresa pública e à sociedade de economia mista que tiver, em conjunto com suas respectivas subsidiárias, no exercício social anterior, receita operacional bruta inferior a R$ 90.000.000,00 (noventa milhões de reais).

Art. 6o O estatuto da empresa pública, da sociedade de economia mista e de suas subsidiárias deverá observar regras de governança corporativa, de transparência e de estruturas, práticas de gestão de riscos e de controle interno, composição da administração e, havendo acionistas, mecanismos para sua proteção, todos constantes desta Lei.

 

[2] Art. 69. São cláusulas necessárias nos contratos disciplinados por esta Lei:

X – matriz de riscos.

 

[3] Quanto ao apetite de riscos, em razão de não ser objeto central deste trabalho, nos limitamos a informar que podem determinar a mitigação, aceitação ou transferência do risco. No âmbito público, não se cogita a hipótese de “evitar” o risco, uma vez que em razão o interesse púboico a ser atingido, não é dado à Administração (direta ou indireta) deixar de realizar determinada atividade que lhe é dirigida por Lei ou ato normativo.

[4] A conjugação dos fatores, portanto, não é impossível, mas dependerá do nível de maturidade de cada Entidade.

[5] Veja que a sintaxe do risco, com o objetivo de sua descrição, como regra adotará o seguinte formato: “Devido a < CAUSA/FONTE >, poderá acontecer < DESCRIÇÃO DA INCERTEZA >, o que levaria < DESCRIÇÃO DO IMPACTO, CONSEQUÊNCIA, EFEITO > impactando no/na < DIMENSÃO DE OBJETIVO IMPACTADA >”.