A ISO 31000 Aplicada AMOSTRA DE ALGUMAS SEÇÕES DO MANUAL GESTÃO DE RISCOS JURÍDICOS REVISÃO TÉCNICA: Francesco De Cicco – Diretor-Executivo do QSP – Centro da Qualidade, Segurança e Produtividade para o Brasil e América Latina. Todos os Direitos reservados. É expressamente proibida a reprodução total ou parcial desta publicação, sem a prévia autorização do editor. Copyright Ó 2010 by Risk Tecnologia Editora. Fone: (11) 3704-3200. Novembro de 2010. Risk Tecnologia 1 Índice 1. Introdução 1.1 Por que praticar o Direito Preventivo ................................................. 05 1.2 Como a advocacia pode usar a Gestão de Riscos na prestação de serviços ................................................................................................ 07 1.3 O que este Manual se propõe a fazer ................................................... 08 1.4 O que este Manual não se propõe a fazer ............................................. 09 1.5 A quem se destina ................................................................................ 09 2. Por que adotar um Processo para a Gestão de Riscos Jurídicos 2.1 Os atributos da boa Gestão de Riscos Jurídicos ................................... 10 2.2 Os benefícios da adoção de uma abordagem sistemática .................... 11 2.3 Aplicações da Gestão de Riscos Jurídicos ........................................... 13 3. A natureza dos riscos jurídicos e as opções de tratamento de riscos jurídicos 3.1 Estudo de caso ...................................................................................... 14 3.2 Principais fatos e circunstâncias ........................................................... 14 3.3 Cenário 1 .............................................................................................. 15 3.4 Cenário 2 .............................................................................................. 16 3.5 Análise .................................................................................................. 17 4. O Processo de Gestão de Riscos Jurídicos ........................................................ 18 5. Planejamento para a Gestão de Riscos Jurídicos 5.1 Antecedentes......................................................................................... 34 5.2 Processo de desenvolvimento de um Plano de Gestão de Riscos Jurídicos ............................................................................................... 34 5.3 Manutenção da Gestão de Riscos Jurídicos ......................................... 37 6. Atendimento às necessidades de Gestão de Riscos Jurídicos das organizações 39 APÊNDICE HAZOP de Contratos – Exemplo de uso sistemático de um Processo de Gestão de Riscos ......................................................................................... Risk Tecnologia 40 2 AMOSTRA DE ALGUMAS SEÇÕES DO MANUAL 1. Introdução 1.3 O que este Manual se propõe a fazer Este Manual foi escrito para advogados para auxiliá-los a adotar bons processos de Gestão de Riscos para a prestação de serviços de Direito Preventivo. A Gestão de Riscos fornece uma maneira estruturada de refletir sobre os riscos e incertezas, dando uma saída confiável para a tomada de decisões sobre como lidar com riscos e como tratá-los. Entretanto, da mesma forma que advogados estão preocupados com ‘advogados de segunda categoria’ e alertam sobre como o Direito muitas vezes não é tão simples quanto parece, há aspectos da Gestão de Riscos que não podem ser ignorados ou comprometidos, caso se dependa dos resultados. Este Manual busca explicar todos os elementos do Processo de Gestão de Riscos e, através do uso de exemplos e estudos de caso, demonstrar como pode ser praticada a Gestão de Riscos Jurídicos confiável e eficaz. 2. Por que adotar um processo para a Gestão de Riscos Jurídicos 2.1 Os atributos da boa Gestão de Riscos Jurídicos A ISO 31000 é atualmente a referência para a gestão de todos os tipos de riscos em todos os tipos de organizações no mundo todo. O Processo de Gestão de Riscos apresentado na ISO 31000 consiste em etapas prédefinidas que agem para garantir uma abordagem eficaz e consistente. Os atributos principais são apresentados abaixo. Equilibrada O risco jurídico é inerente a muitas coisas que pessoas e organizações fazem: firmar um contrato, gerenciar um projeto, lidar com clientes e fornecedores, determinar prioridades de conformidade, adquirir novos sistemas e equipamentos, tomar decisões sobre o futuro ou optar por investir ou não em um novo empreendimento são somente algumas decisões empresariais regulares que envolvem a análise de leis. Enquanto não atender a um estatuto ou expor-se a passivos desnecessários é obviamente arriscado, determinar quão longe se deve ir para proteger-se é claramente uma decisão baseada em riscos. Risco jurídico zero é impossível e deve-se encontrar um equilíbrio entre o nível e o tipo de risco a ser tolerado e o custo e a inconveniência do tratamento do risco. Risk Tecnologia 3 Preventiva Agrega valor Otimiza A maioria dos indivíduos e organizações gerencia riscos jurídicos continuamente, às vezes de maneira consciente e muitas vezes sem perceber. Historicamente, somente com uma disputa ou com um litígio é que as organizações procuram advogados para minimizar as consequências. Como com todos os tipos de riscos, deve-se dar preferência a tratar o componente de probabilidade do risco, tomando ações antes da ocorrência de um evento adverso em vez da mitigação após o evento. Essa é a essência do Direito Preventivo. Todas as organizações e seus indivíduos que prestam serviços jurídicos também precisam gerenciar os riscos associados a tais serviços. A Gestão de Riscos envolve, obviamente, considerar tanto as ameaças quanto as oportunidades. Os advogados que percebem que podem atender melhor a seus clientes através da adoção de processos de Gestão de Riscos adequados também atuarão para melhorar seu próprio desempenho e o de sua empresa, departamento ou equipe. É provável que isso represente uma vantagem tática e de mercado. A Gestão de Riscos diz respeito à identificação de potenciais variações daquilo que planejamos ou desejamos e à gestão das mesmas para maximizar oportunidades, minimizar perdas e melhorar decisões e resultados. Por essa razão, pode ser usada para otimizar a conformidade legal e a proteção contra consequências adversas. Cria oportunidade Gerenciar riscos também significa identificar e aproveitar oportunidades para melhorar o desempenho, bem como tomar ações para evitar ou reduzir as chances de algo sair errado. Sendo assim, a adoção de um Processo de Gestão de Riscos para a prestação de serviços jurídicos pode ajudar os clientes a focar com maior clareza seus principais riscos jurídicos e dinamizar suas estratégias de proteção. Lógica A Gestão de Riscos (incluindo riscos jurídicos) é um processo lógico e sistemático que pode ser usado na tomada de decisões para melhorar a eficácia e a eficiência do desempenho. É um meio para se atingir um fim, não um fim em si. Deve ser integrada aos processos principais do negócio para agregar mais valor e dar maior proteção. Proativa A Gestão de Riscos requer um olhar adiante para identificar e preparar-se para o que pode acontecer em vez de gerenciar os riscos retroativamente. Se os clientes aceitarem que ser proativo na Gestão de Riscos Jurídicos é vantajoso para eles, necessariamente isso requer a aceitação de que contratarão advogados antecipadamente e com maior regularidade do que quando agem reativamente. Garante A Gestão de Riscos requer responsabilidade na tomada de decisão. Todas as pessoas em uma organização têm que agir de acordo com requisitos jurídicos e políticas internas pertinentes. Aqueles que conseguem ter maior influência no nível de risco jurídico que a organização retém são geralmente os membros da alta direção. É sempre importante manter o equilíbrio entre a responsabilidade por um risco e a capacidade de controlar tal risco. responsabilidade Risk Tecnologia 4 Boa relação custo-benefício Integrada A Gestão de Riscos requer que seja estabelecido um equilíbrio entre o custo de evitar ameaças ou aumentar as oportunidades e os benefícios a serem obtidos. A absoluta conformidade legal é impossível para uma organização de grande porte. Certamente é quase impossível para uma organização se proteger completamente contra litígios. A tendência atual de maior prescrição na conformidade, seja através de estatutos ou através de políticas internas, traz um fardo ainda maior para as organizações e a conformidade, necessariamente, precisa estar em equilíbrio com o risco. A Gestão de Riscos é parte integrante da boa prática de negócios e da gestão da qualidade. Aprender a gerenciar os riscos jurídicos de maneira eficaz possibilita a gerentes atingir melhores resultados através da identificação e análise de uma maior gama de questões e do fornecimento de uma maneira sistemática para tomar decisões com base em informações. Um Processo de Gestão de Riscos Jurídicos estruturado também melhora e encoraja a identificação de melhores oportunidades de melhoria contínua através da inovação. 2.3 Aplicações da Gestão de Riscos Jurídicos O Processo de Gestão de Riscos deve ser aplicado a todas as formas de tomada de decisão, em todos os níveis da organização (isto é, na organização, no departamento, na equipe e no âmbito individual) e em relação a qualquer função ou atividade. O Direito Criminal aplica-se a todos nós e pode aplicar-se indiretamente por conta de outras pessoas da organização ou a ela associadas. Uma abordagem que não seja abrangente e absoluta exporá a organização e seus integrantes a consequências adversas, incluindo sanções monetárias substanciais e até penais. O impacto de uma ação criminal para a reputação de uma empresa e de seus diretores e outros executivos pode ser muito negativo, da mesma forma que o impacto no valor para os acionistas. Normalmente, o Processo de Gestão de Riscos deve ser aplicado durante o planejamento e a tomada de decisão sobre questões importantes: por exemplo, ao considerar mudanças de política, introduzir novas estratégias e procedimentos, gerenciar projetos importantes, gastar grandes quantias de dinheiro, gerenciar mudanças organizacionais internas ou gerenciar questões potencialmente sensíveis. A Gestão de Riscos Jurídicos possui uma gama de aplicações, tais como: · Fusões e aquisições; · Compra de ativos e serviços; · Posse e arrendamento de terras e propriedades; · Contratação; · Propriedade intelectual e patentes; · Governança e divulgação de informações para acionistas; Risk Tecnologia 5 · Assuntos externos e relações com a comunidade. A variedade de aplicações da Gestão de Riscos Jurídicos é ilimitada, e processos menos formais podem ser apropriados para decisões menos importantes. AMOSTRA DE ALGUMAS SEÇÕES DO MANUAL 3. A natureza dos riscos jurídicos e as opções de tratamento de riscos jurídicos 3.1 Estudo de caso Para ilustrar o valor do Direito Preventivo, descreveremos um estudo de caso baseado em uma situação real que será usada no restante deste Manual para demonstrar o Processo de Gestão de Riscos. Isso não deve ser interpretado como defesa de algum ramo específico da advocacia. É um caso particular da organização e dos advogados e clientes que responderam às questões à medida que evoluíam. É esperado que esse caso tenha uma repercussão igual tanto com advogados quanto com clientes, já que é baseado em um cenário real. Embora o estudo de caso levante muitos riscos jurídicos decorrentes da origem restrita de uma questão empregatícia e industrial, a metodologia pode ser aplicada para todos os riscos jurídicos. Por fim, as questões abrangentes que foram respondidas no estudo de caso não devem reduzir o valor que pode ser obtido com a aplicação da abordagem a uma questão jurídica simples e independente. O estudo de caso, por si só, mostra os benefícios demonstráveis e tangíveis que podem ser obtidos pelas organizações e seus advogados, tanto internos quanto externos, através da adoção do Direito Preventivo. 3.2 Principais fatos e circunstâncias A organização de nosso caso é uma empresa pública do setor de gestão de propriedades e desenvolvimento comercial. Possui: · aproximadamente 1000 funcionários; · faturamento acima de $ 1 bilhão; · · um pequeno departamento jurídico com duas pessoas, com dedicação integral ao trabalho reativo e transacional; e nenhuma relação com advogados externos. Risk Tecnologia 6 4. O Processo de Gestão de Riscos Jurídicos FIGURA 4.1 - PROCESSO DE GESTÃO DE RISCOS - PANORAMA Os principais elementos do Processo de Gestão de Riscos estão apresentados na Figura 4.1, extraída da ISO 31000:2009. Eles são explicados a seguir em mais detalhes. (a) Comunicação e consulta Comunicação e consulta com as partes interessadas (stakeholders) internas e externas, conforme apropriado em cada etapa do Processo de Gestão de Riscos Jurídicos e em relação ao processo como um todo. É uma prática comum que os advogados mantenham um diálogo aberto com todos os stakeholders pertinentes e, principalmente, com os seus clientes. Os advogados têm a obrigação onerosa de aconselhar seus clientes sobre riscos jurídicos materiais. Porém, não é parte dessa obrigação forçar a consultoria sobre o cliente. Se a relação tem como base o Direito Preventivo, é essencial que haja sinceridade entre o cliente e o advogado para estabelecer a confiança. Certamente, se o advogado avalia que um risco é alto ou significativo, o mesmo deve alertar o cliente. Por outro lado, fazer isso normalmente requer que o cliente informe amplamente o advogado sobre os controles existentes e sua eficácia. Além disso, para que haja uma eficácia duradoura, os controles dos riscos jurídicos têm que ser totalmente compreendidos e reconhecidos Risk Tecnologia 7 pelos clientes e isso só pode ser alcançado através de um processo de comunicação cuidadoso. Outras partes precisam ser consideradas e o advogado deve planejar as comunicações com elas. A situação mais óbvia é que o advogado, como um oficial do tribunal, tem que manter o tribunal informado, mesmo se isso potencialmente for em detrimento de seu cliente. Para advogados que orientam clientes do governo, normalmente se aplicam os modelos litigantes. Outros óbvios stakeholders, tais como órgãos de regulamentação e autoridades que fazem cumprir as leis, precisarão ser consultados na medida exigida pela legislação ou permitida pelo contrato de prestação de serviços. (d) Análise de riscos Determinar a consequência e a probabilidade e, portanto, o nível dos riscos. Essa análise deve considerar as diversas consequências potenciais e como elas podem ocorrer. Cada risco que foi identificado é agora analisado em termos de suas possíveis consequências e da probabilidade destas ocorrerem. Atualmente, a maioria das organizações tem um esquema qualitativo para avaliar tipos diferentes de consequências, desde financeiras, de segurança e saúde e de danos à reputação até de administração do tempo e de impactos legais, tais como o valor de uma multa, o custo de um litígio ou mesmo se poderia haver sanções penais individuais contra gerentes e diretores. O advogado deve usar o sistema que seu cliente possui durante a análise dos riscos a fim de que suas orientações e conclusões sejam consistentes com o apetite por riscos e a abordagem geral da Gestão de Riscos do cliente. Não é recomendável apresentar um esquema genérico para a análise de riscos, já que qualquer esquema deve refletir o apetite por riscos da organização, bem como a política e os contextos externos e internos. As Figuras 4.2 a 4.4 mostram exemplos parciais de elementos de um sistema genérico para a análise de riscos. (g) Monitoramento e análise crítica É necessário monitorar a eficácia de todas as etapas do Processo de Gestão de Riscos. Isso é importante para a melhoria contínua. Os riscos e a eficácia das medidas de tratamento precisam ser monitorados para garantir que a mudança das circunstâncias não altere as prioridades. A Gestão de Riscos pode ser aplicada em muitos níveis da organização. Pode ser aplicada no âmbito estratégico e nos níveis tático e operacional. Pode ser aplicada a projetos específicos, para auxiliar em decisões específicas ou para gerenciar áreas de risco específicas. Para cada etapa do processo, devem ser mantidos registros que possibilitem que as decisões sejam compreendidas como parte de um processo de melhoria contínua. É vital para uma organização definir os processos para monitorar as mudanças no contexto externo e interno que possam acarretar mudanças em seu perfil de riscos. Alguns riscos podem diminuir ou desaparecer, enquanto outros podem surgir. Os riscos Risk Tecnologia 8 jurídicos são um exemplo típico. As leis mudam continuamente à medida que estatutos e regulamentos são criados, leis são redefinidas e através da interpretação por parte dos tribunais. Um elemento importante do Direito Preventivo é orientar as organizações sobre como seu perfil de riscos jurídicos está mudando. Isso pode ser o resultado de mudanças nas leis em si ou pode ser devido a mudanças na organização. Às vezes tal mudança no perfil de riscos reflete uma alteração no apetite por riscos da organização. AMOSTRA DE ALGUMAS SEÇÕES DO MANUAL 5. Planejamento para a Gestão de Riscos Jurídicos 5.1 Antecedentes Para verdadeiramente abraçar a Gestão de Riscos Jurídicos e o Direito Preventivo, os advogados devem refletir sobre o seu comprometimento pessoal e o de sua empresa, departamento, equipe ou escritório no que diz respeito à filosofia que o sustenta, bem como ao rigor e disciplina que precisam ser adotados. Gestão de Riscos Jurídicos e Direito Preventivo são, enfim, uma forma de pensamento através da qual os serviços jurídicos podem ser prestados da melhor maneira, tanto para o advogado quanto para o cliente. Consistente com esse pensamento, fica difícil para um advogado prestar a seus clientes serviços de Direito Preventivo realmente eficazes sem abraçar no âmbito pessoal as práticas e os procedimentos da Gestão de Riscos. Esta certamente é uma área na qual os advogados, para que tenham credibilidade, devem praticar o que pregam. Em consistência com a melhor prática recomendada para clientes, seria ideal que a organização do advogado tivesse uma política de Gestão de Riscos Jurídicos como parte de uma estrutura (framework) de Gestão de Riscos abrangente. Se o objetivo do advogado é tornar-se totalmente integrado ao processo de tomada de decisão de seus clientes em vez de somente ser lembrado tardiamente, a Gestão de Riscos Jurídicos precisa estar plenamente embutida nos sistemas, processos e práticas da organização. É somente nesse momento que os advogados se tornam relevantes e plenamente integrados às atividades de negócio da organização. Certamente, isso é desejável para qualquer iniciativa profissional. Para implementar a Gestão de Riscos Jurídicos, o advogado deve trabalhar com o cliente a fim de desenvolver um Plano de Gestão de Riscos Jurídicos (PGRJ). Isso fornecerá uma base sólida para a parceria na qual o Direito Preventivo deve estar fundamentado. Risk Tecnologia 9 6. Atendimento às necessidades de Gestão de Riscos Jurídicos das organizações Muitas organizações estão agora passando à Gestão de Riscos que englobe toda a organização, como principal forma de atender aos requisitos de governança. É importante que os riscos jurídicos sejam tratados da mesma forma proativa e preventiva. As organizações estão agora pedindo a seus advogados, tanto internos quanto externos, que as apóiem na elaboração de uma estrutura e de um Processo de Gestão de Riscos Jurídicos holísticos. Isso requer a integração da Gestão de Riscos Jurídicos aos processos de tomada de decisões críticas para o negócio. A função jurídica não pode mais ser uma atividade isolada. Essas mudanças nas necessidades jurídicas dos clientes fizeram com que os advogados passassem a oferecer uma gama completa de serviços de Direito Preventivo. As organizações que buscam apoio à sua estratégia de Direito Preventivo requerem diversos serviços e critérios de desempenho dos advogados, tais como: · · · · · · · · · · Auditorias de riscos jurídicos que sejam abrangentes, estruturadas e objetivas; Redação da política e do esboço do código de Direito Preventivo – elaborados de acordo com a estratégia, visão e política de Gestão de Riscos; Orientação e suporte ao desenvolvimento dos planos e processos de Gestão de Riscos Jurídicos; Treinamento em Gestão de Riscos Jurídicos – customizado para a organização receptora e sua estrutura de Gestão de Riscos Jurídicos; Facilitação de análise crítica e alinhamento das equipes jurídicas externas; ‘Hot desks’ e ‘help lines’ de Direito Preventivo; Benchmarking sobre as melhores práticas internacionais e da indústria, utilizando protocolos objetivos e padronizados; Medição e relato do desempenho da Gestão de Riscos Jurídicos – consistente com os requisitos de governança; Informativos e atualizações jurídicas customizadas; e Análises críticas periódicas do desempenho da Gestão de Riscos Jurídicos em relação a índices objetivos. AMOSTRA DE ALGUMAS SEÇÕES DO MANUAL Risk Tecnologia 10 APÊNDICE HAZOP de Contratos Exemplo de uso sistemático de um Processo de Gestão de Riscos A.1 Antecedentes O método HAZOP – Estudo de Perigos e Operabilidade - tem sido tradicionalmente aplicado a plantas de processamento químico e petroquímico para investigar as consequências, as causas e os controles para eventos que fazem com que o sistema funcione fora de seu estado operacional normal e seguro. Entretanto, o método funciona muito bem para quaisquer sistemas e processos e atualmente é usado em diversas aplicações, tais como desenvolvimento de software, elaboração de procedimentos e mudanças e reestruturações organizacionais. A teoria que fundamenta o HAZOP é que ‘normal’ é ‘seguro’ e que, ao examinar cada uma das propriedades críticas de um sistema por vez, ‘estressando-a’ ao imaginar o que levaria aquela propriedade a sair do invólucro que é considerado seguro, é possível especificar e desenhar os controles que garantem que o sistema nunca se torne ‘inseguro’. Nesse contexto, ‘inseguro’ significa inaceitável em termos do desempenho em relação aos objetivos da organização. O processo de ‘estresse’ é alcançado através do desenvolvimento e aplicação de uma série de palavras-guia que representam uma combinação de palavras que descrevem as propriedades ou parâmetros críticos, e como estes podem apresentar desvios do comportamento normal ou esperado. Essas ‘palavras-guia’ são uma combinação dos chamados ‘desvios’ como ‘não’, ‘mais’, ‘menos’, ‘diferente’ e ‘outro que’ e os parâmetros-chave do sistema. Por exemplo, no HAZOP clássico, são combinações de palavras-guia comuns: ‘mais fluxo’, ‘menos fluxo’, ‘maior viscosidade’, etc. A.2 Aplicação do HAZOP a contratos A finalização de contratos tem sido tradicionalmente tratada como uma atividade separada para advogados, realizada após a empresa ter ‘feito o negócio’. Este Manual defende a introdução prévia dos advogados em todos os processos de negócios devido à influência totalmente impregnada das leis. A finalização de um contrato é um bom exemplo da inextricável interação entre a atividade comercial e as leis. O HAZOP, da maneira como é aplicado a contratos, é um exemplo de como um modelo inicialmente utilizado para uso em uma situação industrial específica pode, através de sua arquitetura genérica de Gestão de Riscos, otimizar um processo comercial e jurídico. Contratos são de fato representações formalizadas e geralmente documentadas dos sistemas para dividir os riscos e benefícios. O HAZOP é uma ferramenta de identificação de riscos boa e sistemática para eliminar erros nas minutas dos contratos e para garantir que sejam equilibrados, eficazes, imparciais e coesivos. As seguintes propriedades podem ser usadas e outras podem ser desenvolvidas de acordo com requisitos especiais: Risk Tecnologia 11 PARA OBTER INFORMAÇÕES SOBRE A NOVA ISO 31000 DE GESTÃO DE RISCOS, ACESSE: www.ISO31000qsp.org Risk Tecnologia 12