Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

Desafios de 2022.


(*) Mário Sérgio Ribeiro Não sou o tipo de profissional que gosta de ficar fazendo previsões no campo que atuo, ainda mais nos tempos atuais, onde a quantidade de variáveis é imensa e haja modelos e cenários para acertar alguma Read more

Compliance – importância, relacionamentos e desafios – 07abril14

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Após os escândalos da Enron, WorldCom e outras no início dos anos 2000, áreas como Compliance e Controles Internos começaram a ganhar o devido destaque dentro das organizações. De lá para cá, outros tantos escândalos ocorreram, uma enxurrada de regulamentações entraram no ar e a função Compliance vem tomando páginas de jornal e TV, como antes não se viam por aqui. E como consequência, claro, valoriza-se a carreira, paga-se melhor aos profissionais da área. Mas…

Crescendo a importância e responsabilidades, na mesma proporção vem os desafios a serem enfrentados. Desafios esses que trazem em seu bojo a necessidade de claramente definir o papel desse “novo Compliance” que se espera. Como a área deve se estruturar, discutir como será o relacionamento com outras áreas da empresa, como, e esse um dos grandes desafios, inserir o Compliance no “DNA da empresa”, como se alinhar a Governança Corporativa. Enfim, como administrar isso tudo?

A palavra Compliance tem origem no verbo em inglês “to comply” que significa executar o que lhe foi imposto, o que significa à empresa estar em conformidade é o dever de cumprir e fazer cumprir regulamentos internos e externos às suas atividades. Por aí já podemos deduzir um dos principais desafios a ser enfrentado pela área: ser e estar em Compliance são uma obrigação individual de cada colaborador dentro da empresa.

Segundo a ABBI e a FEBRABAN Compliance tem como missão: “assegurar, em conjunto com as demais áreas, a adequação, fortalecimento e o funcionamento do sistema de Controles Internos da Instituição, procurando mitigar os riscos de acordo com a complexidade de seus negócios, bem como, disseminar a cultura de controles para assegurar o cumprimento de leis e regulamentos existentes.” Nessa definição de Compliance existem duas palavrinhas de grande complexidade: riscos e controles.

Os riscos de Compliance a que se atém a missão pode ser desmembrado em dois: o risco de imagem e reputação e o risco legal. O risco de imagem e reputação consideramos intangível, não é como um risco com impacto financeiro, que pega diretamente no bolso da empresa e se consegue medir em reais. É diferente. Ele ataca aquilo que a empresa ficou a sua vida inteira construindo: sua marca e a reputação que carrega. Não consigo medi-lo com números, mas consigo saber se tal impacto pode ser mínimo, ou pode jogar a marca “barranco abaixo”. O mercado e seus consumidores regem o que deve ser feito com a empresa. Exemplo? Veja o caso recente da Siemens. Olhe os esforços que tem sido feito pela Alta Administração da empresa e pelo seu Compliance Officer mundial para “limpar a barra” de bobagens feitas no passado. Quer outro bom exemplo, e meus alunos que leem esse artigo vão se lembrar, veja o documentário Enron, os mais espertos da sala. É simples assim!

Diferente do Risco de imagem e reputação, onde quem julga é o mercado, no Risco legal o problema é com os reguladores e a justiça. Pegamos por exemplo uma nova dor de cabeça que aparece para a área de Compliance: a Lei 12.846, a chamada Lei Anticorrupção em vigor desde 29 de janeiro último. Ela é completa sob a ótica dos riscos. Tem o risco de imagem e reputação, por conta da repercussão e do envio da empresa culpada para o CNEP (cadastro nacional de empresas punidas), tem o risco econômico-financeiro, por conta das pesadas multas e tem o legal, onde a empresa e seus proprietários podem ser processados civil e criminalmente.

Um aluno um dia desses em uma aula fez-me uma pergunta onde tive que vestir um chapéu um tanto espinhoso: “Professor, se o senhor fosse o presidente, dono da empresa, o que faria, como pensaria para criar essa área, a tal função de Compliance nos dias atuais?”.

Antes de começar, uma explicação para algo que uma parte dos que estão lendo esse artigo devem estar estranhando. Caramba, o presidente pensando sobre a função Compliance, isso não é demais? Não deve ser “mais embaixo” na estrutura? Alguém não tão poderoso?

O aluno contextualizou o Compliance dentro da mesma importância e características de trabalho da Auditoria Interna: autonomia e independência. Quanto mais alto colocado na estrutura, mais autonomia e mais independência para atuar. Tudo bem, se trata de um exercício, que nem sempre na vida das empresas é assim. Mas, voltemos..

Uma vez eu li em algum lugar, livro ou artigo, que o que existe de mais solitário no mundo é a Decisão. E essa de nosso presidente não fica atrás. Bem, vamos enfrentar então…

Começaria por enumerar os passos que teria que tomar e executar:

1. Convocaria as pessoas de minha confiança para escutar o que eles

conhecem e teriam para falar sobre o assunto;

2. Faria um benchmarking informal do mercado usando meu networking;

3. Compilaria essas informações e voltava com o pessoal de confiança;

4. Traçaria o perfil do profissional e solicitaria à área competente da empresa a
busca pelo profissional. Requisito imprescindível: conduta moral e ética
absolutamente ilibada;

5.  Contrataria esse profissional sem pressa;

6. Na primeira reunião de trabalho, solicitaria um Plano Estratégico da Área
para ser apresentado em 15 dias.

7. Deixaria claro nessa primeira reunião que esse profissional responderia
diretamente a mim, o presidente.

O Compliance Officer para o presidente: se o senhor encerrou, eu preciso de pelo menos um profissional emprestado de alguma área, dois seria ideal, para auxiliar nesse trabalho? Presidente; Ok, concedido. Fale com o diretor de RH.

E agora o chapéu do Compliance Officer, meu Deus, 15 dias para preparar um Plano desses…mãos à obra…um mínimo seria:

1. Levantar tudo que for possível sobre a empresa (negócios, cultura organizacional, governança corporativa, incidentes de compliance, etc.), o que existe de normativos, regulamentos, etc. na qual a empresa necessita cumprir,

o que há hoje na empresa de políticas, normas, códigos, etc.;

2. Compilar e ter entendimento das informações coletadas;

3. Preparar um Plano anual que tenha pelo menos os seguintes itens:

  • Missão da área;
  • Propósito;
  • Resultados esperados a curto e médio prazo;
  • Estruturação da área (posicionamento na estrutura organizacional, profissionais (quantos, perfil, descrição de trabalho, etc.);
  • A função do Compliance (os riscos de compliance, as responsabilidades, programa de treinamento, elaboração de políticas, manuais, códigos, enfim, o O Que e o Como de tudo que for da função);
  • A matriz de responsabilidades com outras áreas (Controles Internos, Risco, Auditoria Interna, Segurança da Informação, TI, RH, Jurídico);
  • A relação com Órgãos Reguladores e de Fiscalização;
  • Orçamento anual da área (custeio e investimento).

4. Preparar o ppt e ir para a “arena”!

O Compliance Officer (CO) quando estiver montando seu Plano e na arena fazendo sua apresentação, deve saber que o antigo Compliance de cumprimento de normas ficou para trás. O novo Compliance deve estar totalmente alinhado com a Governança Corporativa da empresa, sendo um de seus pilares, trazendo para a corporação credibilidade e confiabilidade; pensar no que há de melhor mundialmente de práticas de negócios e incorporar na empresa.

Entre tantos espinhosos desafios, acredito que o mais complicado, e isso deve ficar muito bem demonstrado quando o CO estiver na arena, é falar da necessidade de colocar no sangue da empresa, das pessoas que por ela trabalham, a necessidade de entenderem e praticarem o Compliance. Para esse desafio não deve se poupar esforços e recursos. O risco de Compliance que falamos no início é perpetrado por pessoas e não por alienígenas. São pessoas que lavam dinheiro, cometem fraudes, subornam, são negligentes com controles, vazam informação confidencial, etc.  Dessa forma, pessoas são o elo fraco dessa corrente de Compliance. Deve haver um grande esforço no desenvolvimento de padrões éticos, de condutas morais; isso começa no processo de seleção de candidatos, se intensifica durante o contrato de trabalho e se perpetua, se for o caso, com um ético processo de desligamento. Antigo mais ainda funciona nesses tempos bicudos: o exemplo vem das pessoas de cima!

Claro que existe uma série de outras atividades da função de Compliance que poderíamos estar aqui falando e detalhando, como a dura atividade de se relacionar com reguladores e fiscalização, com gestores de áreas internas da empresa, que são parceiros diretos do Compliance. Mas se seu tivesse que escolher um elo dessa corrente de trabalho de Compliance, que se mostra como um grande desafio, eu não tenho dúvida em apontar os colaboradores da empresa. Se você conseguir colocar o Compliance no DNA da empresa, pode começar a pensar em dormir mais tranquilo!

Até a próxima!

____________________________________________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br