Risco, Resiliência e PCN pós COVID-19.


MÁRIO  SÉRGIO RIBEIRO (*) Quem é ou foi meu aluno sabe que já não é de hoje que comento que o mundo que cria inúmeras facilidades de um lado, cria também inúmeras dificuldades e incertezas do outro. Vamos ter que Read more

LGPD: o projeto de segurança da informação de 2019!


(*) Mário Sérgio Ribeiro A Lei 13.709, conhecida como a Lei Geral de Proteção de Dados (LGPD), foi publicada em agosto desse ano e trata da proteção e privacidade de dados de pessoas físicas (clientes, empregados e outros) pelas empresas Read more

Resolução 4658 serve de alerta a todos os ramos de negócio.


(*) Mário Sérgio Ribeiro No final do mês de abril desse ano o Banco Central soltou a resolução 4658 que trata do tema Segurança Cibernética. Essa resolução foca em três principais tópicos: a política de segurança cibernética, resposta a incidentes Read more

A hora e a vez do Compliance!

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Finalmente parece que as corporações de segmentos importantes, não só os regulados, perceberam a importância do Compliance. Entenderam, se não pelo noticiário e/ou pela obrigatoriedade, o quão essa disciplina pode vir a agregar valor para a empresa e saíram na busca de profissionais e estruturação da área. Claro, que em se falando de Brasil deve se dar um desconto, pois por ser uma área de controle, que prima pela prevenção e cumprimento de regras mandatórias, sua valorização não é o que deveria ser, mas o movimento tem se mostrado acima do previsto, o que amadurece de vez a prática.

Antes de desenvolver esse artigo é importante salientar que eu não sou um profissional de Compliance, mas minha experiência de consultor e auditor em várias práticas que estão no programa de Compliance das empresas, auxilio o gestor de compliance e sua equipe. Isso venho fazendo há pelo menos quinze anos atendendo às demandas do Compliance Officer. Várias projetos desenvolvi tendo como sponsor a área de Compliance. Dessa forma, vou expor a minha visão sobre a área, de alguém de fora, que trabalhou e trabalha com vários compliance officer e equipe. Vamos então…

Alguns eventos podem explicar essa explosão que falei. Comecemos pela enxurrada de casos nacionais e internacionais que ganharam todas as manchetes nos últimos cinco anos, para ser modesto, e que envolve algumas práticas que estão na ordem do dia do Compliance. Fraude, corrupção, lavagem de dinheiro, suborno e outros tantos ilícitos foram acendendo o alerta vermelho de órgãos reguladores e auditorias. O risco do não compliance pode implicar em riscos maiores como o reputacional.

 Eventos como os citados vêm fazendo com que reguladores há algum tempo venham apertando o cinto com novas regulamentações recheadas de controles e, as auditorias, ampliem e endureçam com seus critérios de auditoria na busca da prevenção de danos quantitativos (financeiros) e qualitativos (imagem) de seus fiscalizados e clientes.

Podemos dizer que internacionalmente a prática do Compliance começa a se difundir a partir dos anos 70, com a criação do Comitê da Basiléia para Supervisão Bancária. Nesses anos procurou-se fortalecer o Sistema Financeiro através da maior conceituação sistemática de suas atividades, parametrizando-se pelas boas práticas financeiras e munindo-as de procedimentos prudenciais na sua atuação.

Pelas nossas bandas, com a abertura comercial incrementada a partir de 1992 com o governo Collor, o Brasil procurou-se alinhar-se com o mercado mundial da alta competitividade, e simultaneamente, os órgãos reguladores aumentaram sua preocupação em implementar novas regras de segurança primeiramente para as Instituições financeiras e a regulamentar o mercado interno em aderência às regras internacionais.

Esse histórico foi fazendo com que empresas reguladas e/ou com fortes auditorias internas e externas, com critérios de auditoria claramente estabelecidos, estruturassem melhor a área, criando seu planejamento, suas equipes, sua relação com outras áreas da empresa e seu programa de Compliance.

Já escutei, não uma, mas inúmeras vezes a frase: …mas, manter uma área só para atender a leis, reguladores, etc.? Como essa área agregaria Valor ao negócio? Por si só esse atendimento pode parecer pouco, mas o Risco do Não Compliance traz efeitos de multa e até suspensão das operações.

Entendo que no mínimo os elementos agregadores de valor do Compliance seriam:

    • Qualidade e velocidade das interpretações regulatórias e políticas e procedimentos de compliance relacionados;
    • Aprimoramento do relacionamento com reguladores, incluindo bom retorno das revisões dos supervisores;
    • Melhoria de relacionamento com os acionistas;
    • Decisões de negócios em compliance;
    • Velocidade dos novos produtos em conformidade com o mercado;
    • Disseminação de elevados padrões éticos/culturais de compliance pela organização;
    • Acompanhamento das correções e deficiências (não conformidades).

Ao avaliarmos esses elementos agregadores de valor do Compliance podemos perceber claramente a sua importância para a empresa; para aqueles que “tocam” a área fica uma dura missão, a de gerir o risco de compliance. Conceituamos Risco de Compliance como a soma do risco de imagem e reputação e o risco legal.

O Risco de imagem e reputação é a perda da confiança, credibilidade da empresa diante da sociedade e das partes interessadas. E o Risco legal é aquele relacionado às possíveis sanções a serem aplicadas pelos órgãos reguladores e autorreguladores em função da não aderência a normas, regulamentos, políticas e procedimentos internos

Nessa gestão do risco de compliance podemos olhar o risco aqui sob as suas duas perspectivas, a positiva e a negativa.

Na visão positiva do risco, que é a oportunidade, nesse caso refletida na execução planejada de toda a conformidade necessária para o cumprimento de leis e regulamentos e sal execução. Essa total conformidade se reflete em decisões de negócios dentro das regulamentações, sem futuras surpresas que possam atrapalhar os objetivos organizacionais atrelados a essas decisões. Por exemplo, a fusão ou incorporação de empresas pode ser uma ótima oportunidade de negócio para uma dada empresa. Trata-se de uma decisão que envolve análises complexas para a tomada de decisão. Aqui, a presença do Compliance Officer é de extrema importância para que não haja problema lá na frente, que pode até suspender uma fusão decidida por outros aspectos.

Outro ponto positivo é a possibilidade de demonstração de governança aos acionistas, mesmo que seja um quinhão dessa governança, ao se estabelecer um relacionamento confiável com os mesmos. E algo positivo que aparece de forma sublimar, mas aparece, é a oportunidade de agregar os devidos padrões éticos aos colaboradores e terceiros/parceiros que estabelecem negócios com a empresa.

Uma oportunidade muito importante é a possibilidade, e os compliance officer também sabem disso, de atuar na elevação do capital reputacional. Esse capital reputacional é o quanto a empresa acumula da reputação de sua marca sob a ótica do mercado onde atua e sob os olhos da sociedade.

Este capital está diretamente relacionado com os princípios e valores morais com os quais a empresa atua e pactua. É um capital de valor intangível, mas tão valoroso como o capital econômico financeiro da qual a empresa dispõe. Em caso de incidentes em sua reputação, o negócio pode vir a falir.

Esse parece um benefício invisível que o Compliance conquista, mas ele existe e pode ser medido. Atrelado a esse incremento do capital reputacional vem a possibilidade que o Compliance traz, de fazer com que os colaboradores acreditem que cumprir regras vale a pena e que todos ganham. Em se tratando de Brasil é uma mudança de paradigma enorme, já que não somos muito fadados a cumprir regras e assemelhados.

Pela vertente negativa do risco podemos de bate pronto destacar alguns deles:

    • Dano à reputação da organização e da marca;
    • Cassação da licença de operação;
    • Sanções às empresas e aos indivíduos (processo administrativo, criminal, multas e, até prisão).

Destaquei apenas três itens, mas que sozinhos ou relacionados fazem um barulho danado para a empresa, podendo até a descontinuar o negócio. Dado ao tamanho de cada um deles, o ROI do Compliance fica facilmente justificável e isso meus amigos Compliance Officer sabem perfeitamente.

De toda forma percebo claramente em contato com vários Compliance Officer que conheço que a tarefa não é das mais simples, muito pelo contrário, exige muita transpiração e inspiração no dia a dia. Uma dessas transpirações e inspirações que conheço é a interação, o relacionamento do Compliance com as outras áreas da empresa.

Várias áreas dentro da empresa estabelecem intersecções com a área de Compliance. Muitas atividades se conectam e se interagem. Dessa forma, as fronteiras de cada uma delas são uma linha tênue, causando retrabalho, dificultando o entendimento de respectivas funções. Daria um artigo único para falar desse assunto, mas vou pegar parte dele apenas.

A maioria dos regulamentos, normas, etc. nas quais o Compliance deve avaliar e procurar colocar a empresa em conformidade demanda algum tipo de ação, um projeto. Algumas dessas ações/projetos ficam a execução por conta da própria área, como, por exemplo, a prevenção e lavagem de dinheiro e combate à fraude. Outras ações/projetos podem ficar com diversas áreas, como as relacionadas com os temas da Segurança da Informação e o Plano de Continuidade de Negócios, por exemplo.

Já vi muitas resoluções sobre Segurança da Informação e Plano de Continuidade de Negócios, por exemplo, serem simplistas demais. Com isso o Compliance Officer, que não tem nenhuma obrigação de ser especialista no tema, pode ficar vendido. Ele vai precisar interagir com as áreas da empresa para tomar pé da conformidade com o tema e medir de alguma forma o risco do compliance.

Por exemplo, se o assunto for Plano de Continuidade de Negócios, ele pode ir até a área de TI ou de Segurança da Informação, que podem ser os responsáveis pela execução e manutenção do Plano, e colher informações sobre a situação atual. Pode ir ou checar com controles internos e/ou risco operacional para certificar o que a TI/SI falou…tem a auditoria interna também.

Claro, esse modus operandi é de cada um, de cada Compliance Officer, de cada empresa. Mas o que eu quero trazer a tona é a versatilidade, a destreza que o Compliance Officer e a sua equipe devem ter nessa circulação pela empresa. As coisas saem, fluem, colhem-se os resultados melhor se todos pudessem entender o que é trabalho do Compliance e o seu significado para os negócios. Certamente as interações que ocorrem devem acontecer com a maior assertividade possível.

Essa interação e comunicação devem ter em mente que o objetivo maior para o Compliance é a conquista da conformidade, mesmo com resoluções pouco detalhadas. Para essas resoluções existem algumas maneiras de medir o grau de atendimento. Tem a tal de “melhores práticas do mercado”, mas…uma que eu adoto é a aderência a normas nacionais/internacionais e arcabouços de institutos reconhecidos tanto aqui como lá fora. Com certeza aqui não há erro!

Se me permitirem, um insight. Além desse “marketing interno” do Compliance, a viabilidade da criação de uma Matriz de Responsabilidades entre determinadas áreas correlatas e o Compliance seria de bom tom. Áreas que possam criar um retrabalho ou alguma outra dificuldade para que o trabalho flua melhor e alcance os resultados desejados, aparece na elaboração da matriz e pode ser corrigido. Penso que agregaria…

Certamente vejo que nos próximos anos a demanda do Compliance deve crescer, mesmo nos segmentos que não possuem reguladores. Leis impostas de âmbito executivo federal como a Anticorrupção, a GDPR da União Europeia, entre outros, devem fazer com que segmentos que antes não olhavam para essa prática comecem a olhar. Esse é um ótimo caminho, e os profissionais que o escolheram agradecem!

Até a próxima.

_______________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br