A crescente preocupação com a gestão do risco de corrupção e infrações conexas no meio empresarial português foi motivada pela entrada em vigor em junho de 2022 do Regime Geral da Prevenção da Corrupção, o qual motivou uma discussão alargada nos agentes empresariais quanto aos modos de implementação dos diferentes instrumentos aí dispostos.
Ainda sem orientações técnicas específicas por parte do Mecanismo Nacional Anticorrupção relativas à aplicação prática de alguns desses instrumentos, as organizações empresariais têm vindo de forma mais ou menos ágil a investir recursos, em particular no desenvolvimento de um Plano de prevenção de riscos de corrupção e infrações conexas (PPR) (o qual, recorde-se, deveria estar formalmente publicado em junho).
Veio outubro, e com ele a necessidade (aliás, inscrita no Regime em apreço) de desenvolver um relatório de avaliação intercalar dos riscos de corrupção e infrações conexas identificados no PPR como elevados e do respetivo estado de implementação dos controlos associados, e de começar a preparar o caminho para o relatório de avaliação anual em abril de 2023 para todos os riscos identificados.
Ora, este momento configura-se como desafiante para as organizações empresariais, mas é igualmente uma excelente oportunidade para as mesmas, e porquê?
Primeiro, porque se torna crítico implementar “de facto” controlos para os riscos de corrupção, identificados pela organização aquando do desenho do PPR, mais exigentes e alinhados com as boas práticas que já se observam em jurisdições com regulamentação anticorrupção consolidada há vários anos – vejam-se os casos dos EUA ou do Reino Unido, com o FCPA ou o UK Bribery Act – um caminho necessário para prevenir de forma efetiva a ocorrência de eventos anómalos.
Segundo, e talvez mais importante, porque uma organização empresarial deverá focar-se mais e de forma mais proativa na monitorização regular da sua exposição evolutiva a esta tipologia de risco por via (i) da criação e medição objetiva e quantificável de Key Risk Indicators (KRI) para o risco de corrupção, e (ii) da deteção de eventos potencialmente irregulares neste contexto.
A ênfase que se deve colocar no comportamento detetivo de eventos irregulares em matéria de corrupção implica necessariamente desafios e preparação por parte de uma organização empresarial: desde logo pela estruturação de acesso a dados de negócio para geração de informação quantitativa e útil que consiga suportar uma correta medição dos parâmetros dos KRI, mas também para o uso de data analytics aplicada à deteção de padrões e anomalias nesses dados, e deste modo determinar tais eventos.
Na prática, considere-se um cenário de acesso a dados dos últimos dois anos de transações com fornecedores, dados de estrutura societária e de gestão desses fornecedores, e dados dos seus relacionamentos próximos. Agora tenha-se em conta a possibilidade de ligar toda essa informação utilizando regras de cruzamento de dados previamente definidas com o intuito de alimentar KRI, e de encontrar padrões e anomalias relacionadas com riscos de corrupção e infrações conexas.
É muito comum, por exemplo, não prestar tanta atenção a transações com fornecedores cujo volume de operações, em número ou montante, está dentro da média no contexto geral. Mas transações que, isoladamente, não representam um problema, quando sujeitas a testes que procuram levantar alertas de corrupção, podem no seu conjunto revelar padrões nos dados que elevam o risco desse fornecedor.
Nessa análise com foco mais “universal” que apenas o baseado em amostragem, detetam-se muitas vezes transações por desconformes com o nível de aprovação, elevada sequencialidade em números de fatura, conflitos de interesses não declarados com pessoas em posições de tomada de decisão de compras, entre outros.
E por fim, imagine-se poder visualizar toda esta informação digerida num dashboard para realizar análises exaustivas sobre que áreas, tipos de transações ou clusters de fornecedores recaem realmente os maiores riscos para a organização, e até iniciar investigações a casos potencialmente anómalos, entretanto identificados.
A publicação recente do Deloitte Corruption & Fraud Survey Portugal 2022 espelha esta necessidade, senão veja-se: das empresas portuguesas inquiridas que afirmam terem uma estrutura devidamente definida para a prevenção da corrupção e de infrações conexas, apenas 10% indicam deterem ferramentas tecnológicas para deteção e monitorização de eventos irregulares.
Algo que parece utópico executar? Com o uso de metodologias e ferramentas apropriadas, uma organização pode realmente monitorizar KRI, detetar eventos anómalos e gerar dentro de portas um comportamento ativo na luta contra a corrupção. Fica o desafio!
