Falamos na primeira parte deste texto, sobre como implementar um programa de integridade, a respeito do primeiro passo a ser dado, que é definir quem fará e como será realizada a implementação, internamente, com a ajuda de uma consultoria externa ou ambos. Abordaremos agora o passo seguinte, que é o início efetivo das atividades de implementação.
De início é importante ter em mente que a implementação do programa de integridade é um projeto, e assim deve ser tratada, fazendo-se uso de todas as ferramentas de gestão de projeto disponíveis, pois assim é muito mais fácil organizar as atividades, utilizar os recursos com maior eficiência e ter um programa em conformidade com todos os requisitos e parâmetros legais. Este projeto deve ter um líder definido, além de um cronograma contendo todas as atividades que serão executadas, com seus respectivos prazos e a quem caberá a responsabilidade pela sua realização.
Podemos resumir esse projeto basicamente em cinco fases, a primeira de conhecimento do contexto interno e externo da empresa, a segunda de análise de riscos, a terceira de elaboração da documentação de integridade, a quarta de realização de treinamentos e a quinta de monitoramento contínuo.
Para entender o contexto interno e externo da empresa há dois documentos que são essenciais: o relatório de perfil e o relatório de conformidade. Com eles é possível entender o cenário atual da empresa, como a área de atuação, estrutura organizacional, porte e número de funcionários, grau de interação com agentes públicos e terceiros, entre outros. Além disso, é possível saber qual, ou quais medidas do programa de integridade a empresa já adotou ou quando os adotará.
Com base nessa fotografia da empresa tirada na primeira fase, é realizada a análise de riscos de integridade, onde se busca identificar de maneira mais detalhada as particularidades do perfil de risco da empresa, que é sempre único, pois depende de diversas variáveis. Entrevistas com colaboradores são fundamentais para uma boa análise de risco, pois é fundamental entender os processos internos para saber quais riscos são inerentes a cada atividade e quais são aqueles que precisam ser tratados de maneira mais urgente. Para tanto, uma matriz de risco é fundamental, classificando os fatores de risco em razão da sua probabilidade de materialização e do potencial danoso. Ao final, o relatório de análise de risco deverá conter os fatores de riscos identificados, o grau atribuído e a medida de mitigação a ser adotada.
Com a conclusão da primeira e da segunda fase, é possível dar início à elaboração da documentação de integridade, que compreende o código de ética e conduta, as políticas e os controles internos, mas isso nós falaremos em outro texto.
*Walter Segundo é advogado especialista em compliance, consultor de empresas e CEO da Probus Compliance.