Analisar o risco de corrupção consiste em identificar em que momentos ela poderá ocorrer dentro da empresa. Logo, o foco está nas estruturas e relações que abrem margem para desvios antes mesmo que qualquer conduta ilícita aconteça. Desse modo, é uma técnica, que parte de uma premissa simples: nem todo risco é visível, e confiar em controles formais ou na “cultura ética” da empresa é ingenuidade.
O ponto de partida é mapear processos que envolvem poder de decisão com pouca ou nenhuma fiscalização. Assim, processos como compras, licitações, concessão de benefícios, relacionamento com agentes públicos, patrocínios, doações, contratos com terceiros e políticas de reembolso são áreas clássicas em que o risco de corrupção costuma aparecer e não por acaso, são também os setores em que o compliance costuma fracassar quando atua apenas reativamente.
A corrupção empresarial não se limita a pagamentos de propina a agentes públicos, envolve também fraudes internas em processos de compra, favorecimento de fornecedores, manipulação de dados para premiações, cobrança indevida de clientes, acordos com concorrentes (cartel), uso indevido de informações privilegiadas e reembolsos simulados. Todos esses riscos partem de uma mesma raiz: concentração de poder sem controle rea
Para tornar esse risco visível, a empresa precisa criar uma matriz que cruze duas variáveis: probabilidade de ocorrência e impacto do dano. No entanto, isso somente funciona quando os critérios são objetivos. O risco se mede por grau de discricionariedade, ausência de controles cruzados, opacidade nas decisões, frequência de exceções às regras, terceirizações sem Due Diligence, e histórico de não conformidades. Assim, quanto mais esses fatores estiverem presentes, maior o risco.
Um exemplo prático: um setor de compras com autonomia para aprovar valores até determinado teto, sem dupla checagem nem repositório digital de cotações, já carrega risco estrutural, mesmo que ninguém tenha cometido qualquer irregularidade. A mesma coisa vale para uma diretoria com poder de fechar contratos de patrocínio por afinidade institucional, sem critérios objetivos de seleção ou prestação de contas.
A análise também precisa levar em conta o ambiente externo. As empresas que operam com intensa interação com agentes públicos, ou que dependem de licenças e alvarás, enfrentam riscos maiores, especialmente quando atuam em municípios pequenos, em que as relações são mais informais.
O risco de corrupção precisa ser integrado ao planejamento estratégico, ao plano de integridade e à gestão de pessoas. A partir da análise, surgem medidas concretas: segregação de funções, restrição de acessos, reforço da rastreabilidade, revisão de políticas internas, cláusulas anticorrupção em contratos com terceiros, controles automatizados, entre outras.
As empresas que tratam esse processo como um mero checklist produzem um efeito contrário: criam uma falsa sensação de controle. Por outro lado, aquelas que enxergam a análise de risco como base da governança conseguem priorizar esforços, justificar investimentos e evitar decisões amparadas apenas por reputação ou confiança pessoal.
Comece identificando todas as áreas com autonomia decisória que envolvem recursos — compras, contratos, RH, relacionamento com governo, jurídico, patrocínios etc.
Avalie:
Classifique por probabilidade (alta, média, baixa) e impacto (financeiro, reputacional, regulatório). Use dados históricos da empresa e da indústria. O relatório ACFE 2022 indica que o tempo médio até a detecção de uma fraude é de 12 a 18 meses, o que mostra como riscos mal avaliados se tornam silenciosos.
Realize:
Novas legislações, mudanças na estrutura societária, expansão geográfica ou entrada em novos mercados mudam completamente o perfil de risco. Não existe análise de risco “válida por 5 anos”.
E depois do mapeamento?
A análise de risco serve para justificar decisões práticas:
Análise de risco sem consequência prática é perda de tempo. O mapa de risco deve servir para convencer o financeiro a investir, o jurídico a rever políticas, e a diretoria a mudar estruturas. E, principalmente, deve servir como escudo em caso de investigação: nenhuma empresa está livre de fraudes, mas toda empresa deve provar que fez o possível para prevenir.
Conte com as soluções da Kronoos para otimizar as políticas de compliance da sua empresa. Converse com nossos especialistas e saiba mais!