Primeiramente, é preciso esclarecer um conceito básico, afinal, o que é um risco?
Risco está relacionado à incerteza do cumprimento de algum objetivo/meta ou na probabilidade de perda de algo material ou intangível conforme anteriormente planejado. Uma gestão robusta dos riscos é condição fundamental para assegurar que a organização conheça seus pontos vulneráveis e possa monitorá-los. Quando falamos de compliance, sabemos que os riscos podem variar conforme as empresas, seus mercados de atuação, tipos de serviços e/ou produtos e soluções.
Assim, uma gestão de riscos eficiente deve ser iniciada com a criação de políticas de gerenciamento, capacitação de colaboradores e uma análise precisa do negócio, seus processos internos e o relacionamento externo da organização.
Uma avaliação de riscos deve levar em conta as características dos mercados onde a empresa atua (cultura local, nível de regulação estatal, histórico de corrupção). Essa avaliação deve considerar principalmente a probabilidade de ocorrência de fraudes e corrupção, inclusive ligadas a licitações e contratos, e o impacto desses atos lesivos nas operações da empresa.
Com tal análise realizada, pode-se ter um "extrato" do status de riscos da organização, através de matrizes de riscos e como consequência, relatórios gerenciais que terão as medidas mitigadoras necessárias para manter a organização protegida e menos suscetível a eventuais desvios de conduta de seus funcionários, terceiros, parceiros de negócios e nos seus processos.
Tal gestão de riscos deve ser continuamente monitorada, revisada e atualizada, principalmente nos casos em que a organização tiver novas variáveis como, por exemplo, novos processos, departamentos, ações de fusão/aquisição, abertura de novas unidades de negócio, dentre outros.