Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

Desafios de 2022.


(*) Mário Sérgio Ribeiro Não sou o tipo de profissional que gosta de ficar fazendo previsões no campo que atuo, ainda mais nos tempos atuais, onde a quantidade de variáveis é imensa e haja modelos e cenários para acertar alguma Read more

A hora e a vez do Compliance!

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Finalmente parece que as corporações de segmentos importantes, não só os regulados, perceberam a importância do Compliance. Entenderam, se não pelo noticiário e/ou pela obrigatoriedade, o quão essa disciplina pode vir a agregar valor para a empresa e saíram na busca de profissionais e estruturação da área. Claro, que em se falando de Brasil deve se dar um desconto, pois por ser uma área de controle, que prima pela prevenção e cumprimento de regras mandatórias, sua valorização não é o que deveria ser, mas o movimento tem se mostrado acima do previsto, o que amadurece de vez a prática.

Antes de desenvolver esse artigo é importante salientar que eu não sou um profissional de Compliance, mas minha experiência de consultor e auditor em várias práticas que estão no programa de Compliance das empresas, auxilio o gestor de compliance e sua equipe. Isso venho fazendo há pelo menos quinze anos atendendo às demandas do Compliance Officer. Várias projetos desenvolvi tendo como sponsor a área de Compliance. Dessa forma, vou expor a minha visão sobre a área, de alguém de fora, que trabalhou e trabalha com vários compliance officer e equipe. Vamos então…

Alguns eventos podem explicar essa explosão que falei. Comecemos pela enxurrada de casos nacionais e internacionais que ganharam todas as manchetes nos últimos cinco anos, para ser modesto, e que envolve algumas práticas que estão na ordem do dia do Compliance. Fraude, corrupção, lavagem de dinheiro, suborno e outros tantos ilícitos foram acendendo o alerta vermelho de órgãos reguladores e auditorias. O risco do não compliance pode implicar em riscos maiores como o reputacional.

 Eventos como os citados vêm fazendo com que reguladores há algum tempo venham apertando o cinto com novas regulamentações recheadas de controles e, as auditorias, ampliem e endureçam com seus critérios de auditoria na busca da prevenção de danos quantitativos (financeiros) e qualitativos (imagem) de seus fiscalizados e clientes.

Podemos dizer que internacionalmente a prática do Compliance começa a se difundir a partir dos anos 70, com a criação do Comitê da Basiléia para Supervisão Bancária. Nesses anos procurou-se fortalecer o Sistema Financeiro através da maior conceituação sistemática de suas atividades, parametrizando-se pelas boas práticas financeiras e munindo-as de procedimentos prudenciais na sua atuação.

Pelas nossas bandas, com a abertura comercial incrementada a partir de 1992 com o governo Collor, o Brasil procurou-se alinhar-se com o mercado mundial da alta competitividade, e simultaneamente, os órgãos reguladores aumentaram sua preocupação em implementar novas regras de segurança primeiramente para as Instituições financeiras e a regulamentar o mercado interno em aderência às regras internacionais.

Esse histórico foi fazendo com que empresas reguladas e/ou com fortes auditorias internas e externas, com critérios de auditoria claramente estabelecidos, estruturassem melhor a área, criando seu planejamento, suas equipes, sua relação com outras áreas da empresa e seu programa de Compliance.

Já escutei, não uma, mas inúmeras vezes a frase: …mas, manter uma área só para atender a leis, reguladores, etc.? Como essa área agregaria Valor ao negócio? Por si só esse atendimento pode parecer pouco, mas o Risco do Não Compliance traz efeitos de multa e até suspensão das operações.

Entendo que no mínimo os elementos agregadores de valor do Compliance seriam:

    • Qualidade e velocidade das interpretações regulatórias e políticas e procedimentos de compliance relacionados;
    • Aprimoramento do relacionamento com reguladores, incluindo bom retorno das revisões dos supervisores;
    • Melhoria de relacionamento com os acionistas;
    • Decisões de negócios em compliance;
    • Velocidade dos novos produtos em conformidade com o mercado;
    • Disseminação de elevados padrões éticos/culturais de compliance pela organização;
    • Acompanhamento das correções e deficiências (não conformidades).

Ao avaliarmos esses elementos agregadores de valor do Compliance podemos perceber claramente a sua importância para a empresa; para aqueles que “tocam” a área fica uma dura missão, a de gerir o risco de compliance. Conceituamos Risco de Compliance como a soma do risco de imagem e reputação e o risco legal.

O Risco de imagem e reputação é a perda da confiança, credibilidade da empresa diante da sociedade e das partes interessadas. E o Risco legal é aquele relacionado às possíveis sanções a serem aplicadas pelos órgãos reguladores e autorreguladores em função da não aderência a normas, regulamentos, políticas e procedimentos internos

Nessa gestão do risco de compliance podemos olhar o risco aqui sob as suas duas perspectivas, a positiva e a negativa.

Na visão positiva do risco, que é a oportunidade, nesse caso refletida na execução planejada de toda a conformidade necessária para o cumprimento de leis e regulamentos e sal execução. Essa total conformidade se reflete em decisões de negócios dentro das regulamentações, sem futuras surpresas que possam atrapalhar os objetivos organizacionais atrelados a essas decisões. Por exemplo, a fusão ou incorporação de empresas pode ser uma ótima oportunidade de negócio para uma dada empresa. Trata-se de uma decisão que envolve análises complexas para a tomada de decisão. Aqui, a presença do Compliance Officer é de extrema importância para que não haja problema lá na frente, que pode até suspender uma fusão decidida por outros aspectos.

Outro ponto positivo é a possibilidade de demonstração de governança aos acionistas, mesmo que seja um quinhão dessa governança, ao se estabelecer um relacionamento confiável com os mesmos. E algo positivo que aparece de forma sublimar, mas aparece, é a oportunidade de agregar os devidos padrões éticos aos colaboradores e terceiros/parceiros que estabelecem negócios com a empresa.

Uma oportunidade muito importante é a possibilidade, e os compliance officer também sabem disso, de atuar na elevação do capital reputacional. Esse capital reputacional é o quanto a empresa acumula da reputação de sua marca sob a ótica do mercado onde atua e sob os olhos da sociedade.

Este capital está diretamente relacionado com os princípios e valores morais com os quais a empresa atua e pactua. É um capital de valor intangível, mas tão valoroso como o capital econômico financeiro da qual a empresa dispõe. Em caso de incidentes em sua reputação, o negócio pode vir a falir.

Esse parece um benefício invisível que o Compliance conquista, mas ele existe e pode ser medido. Atrelado a esse incremento do capital reputacional vem a possibilidade que o Compliance traz, de fazer com que os colaboradores acreditem que cumprir regras vale a pena e que todos ganham. Em se tratando de Brasil é uma mudança de paradigma enorme, já que não somos muito fadados a cumprir regras e assemelhados.

Pela vertente negativa do risco podemos de bate pronto destacar alguns deles:

    • Dano à reputação da organização e da marca;
    • Cassação da licença de operação;
    • Sanções às empresas e aos indivíduos (processo administrativo, criminal, multas e, até prisão).

Destaquei apenas três itens, mas que sozinhos ou relacionados fazem um barulho danado para a empresa, podendo até a descontinuar o negócio. Dado ao tamanho de cada um deles, o ROI do Compliance fica facilmente justificável e isso meus amigos Compliance Officer sabem perfeitamente.

De toda forma percebo claramente em contato com vários Compliance Officer que conheço que a tarefa não é das mais simples, muito pelo contrário, exige muita transpiração e inspiração no dia a dia. Uma dessas transpirações e inspirações que conheço é a interação, o relacionamento do Compliance com as outras áreas da empresa.

Várias áreas dentro da empresa estabelecem intersecções com a área de Compliance. Muitas atividades se conectam e se interagem. Dessa forma, as fronteiras de cada uma delas são uma linha tênue, causando retrabalho, dificultando o entendimento de respectivas funções. Daria um artigo único para falar desse assunto, mas vou pegar parte dele apenas.

A maioria dos regulamentos, normas, etc. nas quais o Compliance deve avaliar e procurar colocar a empresa em conformidade demanda algum tipo de ação, um projeto. Algumas dessas ações/projetos ficam a execução por conta da própria área, como, por exemplo, a prevenção e lavagem de dinheiro e combate à fraude. Outras ações/projetos podem ficar com diversas áreas, como as relacionadas com os temas da Segurança da Informação e o Plano de Continuidade de Negócios, por exemplo.

Já vi muitas resoluções sobre Segurança da Informação e Plano de Continuidade de Negócios, por exemplo, serem simplistas demais. Com isso o Compliance Officer, que não tem nenhuma obrigação de ser especialista no tema, pode ficar vendido. Ele vai precisar interagir com as áreas da empresa para tomar pé da conformidade com o tema e medir de alguma forma o risco do compliance.

Por exemplo, se o assunto for Plano de Continuidade de Negócios, ele pode ir até a área de TI ou de Segurança da Informação, que podem ser os responsáveis pela execução e manutenção do Plano, e colher informações sobre a situação atual. Pode ir ou checar com controles internos e/ou risco operacional para certificar o que a TI/SI falou…tem a auditoria interna também.

Claro, esse modus operandi é de cada um, de cada Compliance Officer, de cada empresa. Mas o que eu quero trazer a tona é a versatilidade, a destreza que o Compliance Officer e a sua equipe devem ter nessa circulação pela empresa. As coisas saem, fluem, colhem-se os resultados melhor se todos pudessem entender o que é trabalho do Compliance e o seu significado para os negócios. Certamente as interações que ocorrem devem acontecer com a maior assertividade possível.

Essa interação e comunicação devem ter em mente que o objetivo maior para o Compliance é a conquista da conformidade, mesmo com resoluções pouco detalhadas. Para essas resoluções existem algumas maneiras de medir o grau de atendimento. Tem a tal de “melhores práticas do mercado”, mas…uma que eu adoto é a aderência a normas nacionais/internacionais e arcabouços de institutos reconhecidos tanto aqui como lá fora. Com certeza aqui não há erro!

Se me permitirem, um insight. Além desse “marketing interno” do Compliance, a viabilidade da criação de uma Matriz de Responsabilidades entre determinadas áreas correlatas e o Compliance seria de bom tom. Áreas que possam criar um retrabalho ou alguma outra dificuldade para que o trabalho flua melhor e alcance os resultados desejados, aparece na elaboração da matriz e pode ser corrigido. Penso que agregaria…

Certamente vejo que nos próximos anos a demanda do Compliance deve crescer, mesmo nos segmentos que não possuem reguladores. Leis impostas de âmbito executivo federal como a Anticorrupção, a GDPR da União Europeia, entre outros, devem fazer com que segmentos que antes não olhavam para essa prática comecem a olhar. Esse é um ótimo caminho, e os profissionais que o escolheram agradecem!

Até a próxima.

_______________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br