Risco, Resiliência e PCN pós COVID-19.


MÁRIO  SÉRGIO RIBEIRO (*) Quem é ou foi meu aluno sabe que já não é de hoje que comento que o mundo que cria inúmeras facilidades de um lado, cria também inúmeras dificuldades e incertezas do outro. Vamos ter que Read more

LGPD: o projeto de segurança da informação de 2019!


(*) Mário Sérgio Ribeiro A Lei 13.709, conhecida como a Lei Geral de Proteção de Dados (LGPD), foi publicada em agosto desse ano e trata da proteção e privacidade de dados de pessoas físicas (clientes, empregados e outros) pelas empresas Read more

Resolução 4658 serve de alerta a todos os ramos de negócio.


(*) Mário Sérgio Ribeiro No final do mês de abril desse ano o Banco Central soltou a resolução 4658 que trata do tema Segurança Cibernética. Essa resolução foca em três principais tópicos: a política de segurança cibernética, resposta a incidentes Read more

A hora e a vez do Compliance!

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Finalmente parece que as corporações de segmentos importantes, não só os regulados, perceberam a importância do Compliance. Entenderam, se não pelo noticiário e/ou pela obrigatoriedade, o quão essa disciplina pode vir a agregar valor para a empresa e saíram na busca de profissionais e estruturação da área. Claro, que em se falando de Brasil deve se dar um desconto, pois por ser uma área de controle, que prima pela prevenção e cumprimento de regras mandatórias, sua valorização não é o que deveria ser, mas o movimento tem se mostrado acima do previsto, o que amadurece de vez a prática.

Antes de desenvolver esse artigo é importante salientar que eu não sou um profissional de Compliance, mas minha experiência de consultor e auditor em várias práticas que estão no programa de Compliance das empresas, auxilio o gestor de compliance e sua equipe. Isso venho fazendo há pelo menos quinze anos atendendo às demandas do Compliance Officer. Várias projetos desenvolvi tendo como sponsor a área de Compliance. Dessa forma, vou expor a minha visão sobre a área, de alguém de fora, que trabalhou e trabalha com vários compliance officer e equipe. Vamos então…

Alguns eventos podem explicar essa explosão que falei. Comecemos pela enxurrada de casos nacionais e internacionais que ganharam todas as manchetes nos últimos cinco anos, para ser modesto, e que envolve algumas práticas que estão na ordem do dia do Compliance. Fraude, corrupção, lavagem de dinheiro, suborno e outros tantos ilícitos foram acendendo o alerta vermelho de órgãos reguladores e auditorias. O risco do não compliance pode implicar em riscos maiores como o reputacional.

 Eventos como os citados vêm fazendo com que reguladores há algum tempo venham apertando o cinto com novas regulamentações recheadas de controles e, as auditorias, ampliem e endureçam com seus critérios de auditoria na busca da prevenção de danos quantitativos (financeiros) e qualitativos (imagem) de seus fiscalizados e clientes.

Podemos dizer que internacionalmente a prática do Compliance começa a se difundir a partir dos anos 70, com a criação do Comitê da Basiléia para Supervisão Bancária. Nesses anos procurou-se fortalecer o Sistema Financeiro através da maior conceituação sistemática de suas atividades, parametrizando-se pelas boas práticas financeiras e munindo-as de procedimentos prudenciais na sua atuação.

Pelas nossas bandas, com a abertura comercial incrementada a partir de 1992 com o governo Collor, o Brasil procurou-se alinhar-se com o mercado mundial da alta competitividade, e simultaneamente, os órgãos reguladores aumentaram sua preocupação em implementar novas regras de segurança primeiramente para as Instituições financeiras e a regulamentar o mercado interno em aderência às regras internacionais.

Esse histórico foi fazendo com que empresas reguladas e/ou com fortes auditorias internas e externas, com critérios de auditoria claramente estabelecidos, estruturassem melhor a área, criando seu planejamento, suas equipes, sua relação com outras áreas da empresa e seu programa de Compliance.

Já escutei, não uma, mas inúmeras vezes a frase: …mas, manter uma área só para atender a leis, reguladores, etc.? Como essa área agregaria Valor ao negócio? Por si só esse atendimento pode parecer pouco, mas o Risco do Não Compliance traz efeitos de multa e até suspensão das operações.

Entendo que no mínimo os elementos agregadores de valor do Compliance seriam:

    • Qualidade e velocidade das interpretações regulatórias e políticas e procedimentos de compliance relacionados;
    • Aprimoramento do relacionamento com reguladores, incluindo bom retorno das revisões dos supervisores;
    • Melhoria de relacionamento com os acionistas;
    • Decisões de negócios em compliance;
    • Velocidade dos novos produtos em conformidade com o mercado;
    • Disseminação de elevados padrões éticos/culturais de compliance pela organização;
    • Acompanhamento das correções e deficiências (não conformidades).

Ao avaliarmos esses elementos agregadores de valor do Compliance podemos perceber claramente a sua importância para a empresa; para aqueles que “tocam” a área fica uma dura missão, a de gerir o risco de compliance. Conceituamos Risco de Compliance como a soma do risco de imagem e reputação e o risco legal.

O Risco de imagem e reputação é a perda da confiança, credibilidade da empresa diante da sociedade e das partes interessadas. E o Risco legal é aquele relacionado às possíveis sanções a serem aplicadas pelos órgãos reguladores e autorreguladores em função da não aderência a normas, regulamentos, políticas e procedimentos internos

Nessa gestão do risco de compliance podemos olhar o risco aqui sob as suas duas perspectivas, a positiva e a negativa.

Na visão positiva do risco, que é a oportunidade, nesse caso refletida na execução planejada de toda a conformidade necessária para o cumprimento de leis e regulamentos e sal execução. Essa total conformidade se reflete em decisões de negócios dentro das regulamentações, sem futuras surpresas que possam atrapalhar os objetivos organizacionais atrelados a essas decisões. Por exemplo, a fusão ou incorporação de empresas pode ser uma ótima oportunidade de negócio para uma dada empresa. Trata-se de uma decisão que envolve análises complexas para a tomada de decisão. Aqui, a presença do Compliance Officer é de extrema importância para que não haja problema lá na frente, que pode até suspender uma fusão decidida por outros aspectos.

Outro ponto positivo é a possibilidade de demonstração de governança aos acionistas, mesmo que seja um quinhão dessa governança, ao se estabelecer um relacionamento confiável com os mesmos. E algo positivo que aparece de forma sublimar, mas aparece, é a oportunidade de agregar os devidos padrões éticos aos colaboradores e terceiros/parceiros que estabelecem negócios com a empresa.

Uma oportunidade muito importante é a possibilidade, e os compliance officer também sabem disso, de atuar na elevação do capital reputacional. Esse capital reputacional é o quanto a empresa acumula da reputação de sua marca sob a ótica do mercado onde atua e sob os olhos da sociedade.

Este capital está diretamente relacionado com os princípios e valores morais com os quais a empresa atua e pactua. É um capital de valor intangível, mas tão valoroso como o capital econômico financeiro da qual a empresa dispõe. Em caso de incidentes em sua reputação, o negócio pode vir a falir.

Esse parece um benefício invisível que o Compliance conquista, mas ele existe e pode ser medido. Atrelado a esse incremento do capital reputacional vem a possibilidade que o Compliance traz, de fazer com que os colaboradores acreditem que cumprir regras vale a pena e que todos ganham. Em se tratando de Brasil é uma mudança de paradigma enorme, já que não somos muito fadados a cumprir regras e assemelhados.

Pela vertente negativa do risco podemos de bate pronto destacar alguns deles:

    • Dano à reputação da organização e da marca;
    • Cassação da licença de operação;
    • Sanções às empresas e aos indivíduos (processo administrativo, criminal, multas e, até prisão).

Destaquei apenas três itens, mas que sozinhos ou relacionados fazem um barulho danado para a empresa, podendo até a descontinuar o negócio. Dado ao tamanho de cada um deles, o ROI do Compliance fica facilmente justificável e isso meus amigos Compliance Officer sabem perfeitamente.

De toda forma percebo claramente em contato com vários Compliance Officer que conheço que a tarefa não é das mais simples, muito pelo contrário, exige muita transpiração e inspiração no dia a dia. Uma dessas transpirações e inspirações que conheço é a interação, o relacionamento do Compliance com as outras áreas da empresa.

Várias áreas dentro da empresa estabelecem intersecções com a área de Compliance. Muitas atividades se conectam e se interagem. Dessa forma, as fronteiras de cada uma delas são uma linha tênue, causando retrabalho, dificultando o entendimento de respectivas funções. Daria um artigo único para falar desse assunto, mas vou pegar parte dele apenas.

A maioria dos regulamentos, normas, etc. nas quais o Compliance deve avaliar e procurar colocar a empresa em conformidade demanda algum tipo de ação, um projeto. Algumas dessas ações/projetos ficam a execução por conta da própria área, como, por exemplo, a prevenção e lavagem de dinheiro e combate à fraude. Outras ações/projetos podem ficar com diversas áreas, como as relacionadas com os temas da Segurança da Informação e o Plano de Continuidade de Negócios, por exemplo.

Já vi muitas resoluções sobre Segurança da Informação e Plano de Continuidade de Negócios, por exemplo, serem simplistas demais. Com isso o Compliance Officer, que não tem nenhuma obrigação de ser especialista no tema, pode ficar vendido. Ele vai precisar interagir com as áreas da empresa para tomar pé da conformidade com o tema e medir de alguma forma o risco do compliance.

Por exemplo, se o assunto for Plano de Continuidade de Negócios, ele pode ir até a área de TI ou de Segurança da Informação, que podem ser os responsáveis pela execução e manutenção do Plano, e colher informações sobre a situação atual. Pode ir ou checar com controles internos e/ou risco operacional para certificar o que a TI/SI falou…tem a auditoria interna também.

Claro, esse modus operandi é de cada um, de cada Compliance Officer, de cada empresa. Mas o que eu quero trazer a tona é a versatilidade, a destreza que o Compliance Officer e a sua equipe devem ter nessa circulação pela empresa. As coisas saem, fluem, colhem-se os resultados melhor se todos pudessem entender o que é trabalho do Compliance e o seu significado para os negócios. Certamente as interações que ocorrem devem acontecer com a maior assertividade possível.

Essa interação e comunicação devem ter em mente que o objetivo maior para o Compliance é a conquista da conformidade, mesmo com resoluções pouco detalhadas. Para essas resoluções existem algumas maneiras de medir o grau de atendimento. Tem a tal de “melhores práticas do mercado”, mas…uma que eu adoto é a aderência a normas nacionais/internacionais e arcabouços de institutos reconhecidos tanto aqui como lá fora. Com certeza aqui não há erro!

Se me permitirem, um insight. Além desse “marketing interno” do Compliance, a viabilidade da criação de uma Matriz de Responsabilidades entre determinadas áreas correlatas e o Compliance seria de bom tom. Áreas que possam criar um retrabalho ou alguma outra dificuldade para que o trabalho flua melhor e alcance os resultados desejados, aparece na elaboração da matriz e pode ser corrigido. Penso que agregaria…

Certamente vejo que nos próximos anos a demanda do Compliance deve crescer, mesmo nos segmentos que não possuem reguladores. Leis impostas de âmbito executivo federal como a Anticorrupção, a GDPR da União Europeia, entre outros, devem fazer com que segmentos que antes não olhavam para essa prática comecem a olhar. Esse é um ótimo caminho, e os profissionais que o escolheram agradecem!

Até a próxima.

_______________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

 

Compliance – importância, relacionamentos e desafios – 07abril14

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Após os escândalos da Enron, WorldCom e outras no início dos anos 2000, áreas como Compliance e Controles Internos começaram a ganhar o devido destaque dentro das organizações. De lá para cá, outros tantos escândalos ocorreram, uma enxurrada de regulamentações entraram no ar e a função Compliance vem tomando páginas de jornal e TV, como antes não se viam por aqui. E como consequência, claro, valoriza-se a carreira, paga-se melhor aos profissionais da área. Mas…

Crescendo a importância e responsabilidades, na mesma proporção vem os desafios a serem enfrentados. Desafios esses que trazem em seu bojo a necessidade de claramente definir o papel desse “novo Compliance” que se espera. Como a área deve se estruturar, discutir como será o relacionamento com outras áreas da empresa, como, e esse um dos grandes desafios, inserir o Compliance no “DNA da empresa”, como se alinhar a Governança Corporativa. Enfim, como administrar isso tudo?

A palavra Compliance tem origem no verbo em inglês “to comply” que significa executar o que lhe foi imposto, o que significa à empresa estar em conformidade é o dever de cumprir e fazer cumprir regulamentos internos e externos às suas atividades. Por aí já podemos deduzir um dos principais desafios a ser enfrentado pela área: ser e estar em Compliance são uma obrigação individual de cada colaborador dentro da empresa.

Segundo a ABBI e a FEBRABAN Compliance tem como missão: “assegurar, em conjunto com as demais áreas, a adequação, fortalecimento e o funcionamento do sistema de Controles Internos da Instituição, procurando mitigar os riscos de acordo com a complexidade de seus negócios, bem como, disseminar a cultura de controles para assegurar o cumprimento de leis e regulamentos existentes.” Nessa definição de Compliance existem duas palavrinhas de grande complexidade: riscos e controles.

Os riscos de Compliance a que se atém a missão pode ser desmembrado em dois: o risco de imagem e reputação e o risco legal. O risco de imagem e reputação consideramos intangível, não é como um risco com impacto financeiro, que pega diretamente no bolso da empresa e se consegue medir em reais. É diferente. Ele ataca aquilo que a empresa ficou a sua vida inteira construindo: sua marca e a reputação que carrega. Não consigo medi-lo com números, mas consigo saber se tal impacto pode ser mínimo, ou pode jogar a marca “barranco abaixo”. O mercado e seus consumidores regem o que deve ser feito com a empresa. Exemplo? Veja o caso recente da Siemens. Olhe os esforços que tem sido feito pela Alta Administração da empresa e pelo seu Compliance Officer mundial para “limpar a barra” de bobagens feitas no passado. Quer outro bom exemplo, e meus alunos que leem esse artigo vão se lembrar, veja o documentário Enron, os mais espertos da sala. É simples assim!

Diferente do Risco de imagem e reputação, onde quem julga é o mercado, no Risco legal o problema é com os reguladores e a justiça. Pegamos por exemplo uma nova dor de cabeça que aparece para a área de Compliance: a Lei 12.846, a chamada Lei Anticorrupção em vigor desde 29 de janeiro último. Ela é completa sob a ótica dos riscos. Tem o risco de imagem e reputação, por conta da repercussão e do envio da empresa culpada para o CNEP (cadastro nacional de empresas punidas), tem o risco econômico-financeiro, por conta das pesadas multas e tem o legal, onde a empresa e seus proprietários podem ser processados civil e criminalmente.

Um aluno um dia desses em uma aula fez-me uma pergunta onde tive que vestir um chapéu um tanto espinhoso: “Professor, se o senhor fosse o presidente, dono da empresa, o que faria, como pensaria para criar essa área, a tal função de Compliance nos dias atuais?”.

Antes de começar, uma explicação para algo que uma parte dos que estão lendo esse artigo devem estar estranhando. Caramba, o presidente pensando sobre a função Compliance, isso não é demais? Não deve ser “mais embaixo” na estrutura? Alguém não tão poderoso?

O aluno contextualizou o Compliance dentro da mesma importância e características de trabalho da Auditoria Interna: autonomia e independência. Quanto mais alto colocado na estrutura, mais autonomia e mais independência para atuar. Tudo bem, se trata de um exercício, que nem sempre na vida das empresas é assim. Mas, voltemos..

Uma vez eu li em algum lugar, livro ou artigo, que o que existe de mais solitário no mundo é a Decisão. E essa de nosso presidente não fica atrás. Bem, vamos enfrentar então…

Começaria por enumerar os passos que teria que tomar e executar:

1. Convocaria as pessoas de minha confiança para escutar o que eles

conhecem e teriam para falar sobre o assunto;

2. Faria um benchmarking informal do mercado usando meu networking;

3. Compilaria essas informações e voltava com o pessoal de confiança;

4. Traçaria o perfil do profissional e solicitaria à área competente da empresa a
busca pelo profissional. Requisito imprescindível: conduta moral e ética
absolutamente ilibada;

5.  Contrataria esse profissional sem pressa;

6. Na primeira reunião de trabalho, solicitaria um Plano Estratégico da Área
para ser apresentado em 15 dias.

7. Deixaria claro nessa primeira reunião que esse profissional responderia
diretamente a mim, o presidente.

O Compliance Officer para o presidente: se o senhor encerrou, eu preciso de pelo menos um profissional emprestado de alguma área, dois seria ideal, para auxiliar nesse trabalho? Presidente; Ok, concedido. Fale com o diretor de RH.

E agora o chapéu do Compliance Officer, meu Deus, 15 dias para preparar um Plano desses…mãos à obra…um mínimo seria:

1. Levantar tudo que for possível sobre a empresa (negócios, cultura organizacional, governança corporativa, incidentes de compliance, etc.), o que existe de normativos, regulamentos, etc. na qual a empresa necessita cumprir,

o que há hoje na empresa de políticas, normas, códigos, etc.;

2. Compilar e ter entendimento das informações coletadas;

3. Preparar um Plano anual que tenha pelo menos os seguintes itens:

  • Missão da área;
  • Propósito;
  • Resultados esperados a curto e médio prazo;
  • Estruturação da área (posicionamento na estrutura organizacional, profissionais (quantos, perfil, descrição de trabalho, etc.);
  • A função do Compliance (os riscos de compliance, as responsabilidades, programa de treinamento, elaboração de políticas, manuais, códigos, enfim, o O Que e o Como de tudo que for da função);
  • A matriz de responsabilidades com outras áreas (Controles Internos, Risco, Auditoria Interna, Segurança da Informação, TI, RH, Jurídico);
  • A relação com Órgãos Reguladores e de Fiscalização;
  • Orçamento anual da área (custeio e investimento).

4. Preparar o ppt e ir para a “arena”!

O Compliance Officer (CO) quando estiver montando seu Plano e na arena fazendo sua apresentação, deve saber que o antigo Compliance de cumprimento de normas ficou para trás. O novo Compliance deve estar totalmente alinhado com a Governança Corporativa da empresa, sendo um de seus pilares, trazendo para a corporação credibilidade e confiabilidade; pensar no que há de melhor mundialmente de práticas de negócios e incorporar na empresa.

Entre tantos espinhosos desafios, acredito que o mais complicado, e isso deve ficar muito bem demonstrado quando o CO estiver na arena, é falar da necessidade de colocar no sangue da empresa, das pessoas que por ela trabalham, a necessidade de entenderem e praticarem o Compliance. Para esse desafio não deve se poupar esforços e recursos. O risco de Compliance que falamos no início é perpetrado por pessoas e não por alienígenas. São pessoas que lavam dinheiro, cometem fraudes, subornam, são negligentes com controles, vazam informação confidencial, etc.  Dessa forma, pessoas são o elo fraco dessa corrente de Compliance. Deve haver um grande esforço no desenvolvimento de padrões éticos, de condutas morais; isso começa no processo de seleção de candidatos, se intensifica durante o contrato de trabalho e se perpetua, se for o caso, com um ético processo de desligamento. Antigo mais ainda funciona nesses tempos bicudos: o exemplo vem das pessoas de cima!

Claro que existe uma série de outras atividades da função de Compliance que poderíamos estar aqui falando e detalhando, como a dura atividade de se relacionar com reguladores e fiscalização, com gestores de áreas internas da empresa, que são parceiros diretos do Compliance. Mas se seu tivesse que escolher um elo dessa corrente de trabalho de Compliance, que se mostra como um grande desafio, eu não tenho dúvida em apontar os colaboradores da empresa. Se você conseguir colocar o Compliance no DNA da empresa, pode começar a pensar em dormir mais tranquilo!

Até a próxima!

____________________________________________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

A Lei Anticorrupção entrará em vigor. O que fazer? (11dez13)

enigma.consultoria Sem categoria Leave a comment   , ,

Por Mário Sérgio Ribeiro (*)

Em 1º de fevereiro de 2014, daqui a quase cinquenta dias, entrará em vigor no país a Lei nº 12.486, já chamada de Lei Anticorrupção, que dispõe sobre a responsabilização administrativa e civil contra a administração pública, nacional e estrangeira. Dessa data em diante haverá uma Lei que punirá pessoas jurídicas por irregularidades cometidas por qualquer um de seus funcionários, no âmbito que dispõe a Lei. E agora, o que fazer? Como se preparar?

 Pela regra que ainda existe, uma empresa só é punida após os investigadores comprovarem o ato ilícito de algum funcionário, por exemplo, subornando um agente público e, depois, o prévio conhecimento da empresa. O impossível: provar que ele atuava seguindo ordens! Quando se conseguia algo produtivo, como a rara condenação, ela recaía apenas sobre os empregados. Isso deve mudar com a Lei.

 De 1º de fevereiro em diante as empresas não mais poderão alegar desconhecimento do que acontece com seus colaboradores, coligadas, consorciadas, controladas e fornecedores e os órgãos estatais no país, e no exterior. Por trás o conceito da responsabilidade objetiva: a empresa será considerada culpada porque não evitou o pagamento de propina, por exemplo. Sanções? Sim, e como! Multas de até 20% do faturamento bruto, proibição de receber incentivos ou financiamentos públicos, nome inscrito no CNEP (Cadastro Nacional de Empresas Punidas) e até suspensão das atividades. É pouco?

 Ok, não é pouco e pode custar muito, até a sua descontinuidade. Então, o que as empresas devem fazer para evitar cair nessa Lei? Não é uma resposta tão simples como parece, mas há bons caminhos. Vejamos.

 O primeiro deles é a empresa ter em mente que os Valores que a maioria delas menciona junto com a Visão e Missão, em que geralmente Ética e Boas práticas de governança corporativa são alardeadas, de fato existem na prática cotidiana da empresa. Esse tom deve vir do alto da pirâmide da empresa e com exemplos, não somente com falas e códigos escritos. Não deve ser desprezado em hipótese nenhuma o que se chama de “rádio peão”; se uma prática inadequada é executada pela Alta Administração, é quase certo que a rádio peão se encarrega de distribuir a informação para o restante da empresa. É preciso desenvolver uma Cultura baseada de fato nos Valores mencionados, onde geralmente a Conduta Moral e Ética é o bastião. Essa Cultura deve fazer parte do DNA da empresa, na prática.

 A Ética impõe padrões de pensamentos, afirmações e ações que orientam as pessoas a agir bem e direito, ao invés de fazer o que é fácil e cômodo. Nessa linha, é fundamental que os Líderes percebam sua importância.

 É responsabilidade de o líder dar bom exemplo, os funcionários observam e agem como o líder e decidem o que é certo com base no que o líder faz. Independentemente dos princípios e valores éticos da empresa, o exemplo de comportamento do líder é o que os funcionários seguirão.

 Allen Morrison, professor da escola de negócios suíça IMD, em recente passagem pelo Brasil comentou: “O mau caráter em uma empresa é pior que um incompetente”. Segundo o professor Allen, desvios éticos podem destruir para sempre a imagem de uma empresa. E conclui: é preciso avaliar a reputação de líderes executivos antes de contratá-los, falar com quem ele trabalhou ou fez negócios. A empresa precisa consultar muitas fontes imparciais.

 Em um segundo ponto é importante elaborar e implantar alguns controles, que chamamos de Controles Base. Alguns desses controles são:

 1. Estabelecimento de um processo de seleção de pessoas que avalie a competência da prática de valores morais e éticos;

2. Monitoramento por parte dos gestores de equipe quanto às condutas morais e éticas de seus subordinados;

3. Elaboração e implantação de um Código de Conduta Moral e Ética, alinhado com os valores enunciados pela empresa;

4. Elaboração e implantação de uma Campanha de Educação em Valores Morais e Ética Empresarial a colaboradores e parceiros/terceiros;

5. Elaboração e implantação de um Canal de Denúncias que incentivem colaboradores a denunciar irregularidades que infringem o estabelecido no Código de Conduta Moral e Ética;

6. Criação de um Comitê de Compliance e de Boas Práticas Corporativas que possa decidir sobre a melhoria do processo, além de centralizar as denúncias recebidas na empresa e conduzir a investigação dos casos.

 Existem outros controles que chamamos de Base e que devem ser implantados, como segregação de funções, limites de alçada e autoridade, controle e monitoramento de acesso computacional rígidos, etc., Entretanto, vamos nos ater aos seis mencionados, e em especial, a forte ligação formada pelos controles 3, 4 e 5.

 Vejo muitos projetos Antifraude, anticorrupção e ilícitos semelhantes naufragarem, quando somente olham para o controle 5: o Canal de Denúncia. Em diversos projetos que trabalhamos encontramos os profissionais da empresa lamentando que o Canal de Denúncia não funcionava. Quando íamos avaliar com profundidade, geralmente encontrávamos projetos mal planejados.

 A Denúncia somente funciona plenamente se for elaborado e implantado um Código de Conduta Moral e Ética simples, que todos possam entender. Não há que se fazer um calhamaço de páginas que ninguém irá guardar aquelas informações e, consequentemente, conseguir entender e executar. Só fazemos as coisas que entendemos, se não entendemos, dificilmente colocaremos a “mão na massa”.

 Com o Código elaborado, é necessário educar as pessoas naquilo que a empresa acredita ser correto Moralmente e Eticamente. Isso se faz em sala de aula, utilizando de pessoas preparadas. Esse seminário deve ter pelo menos meio período, 3 a 4 horas, com a possibilidade das pessoas praticarem, ser dinâmico. Nesse ponto, as pessoas começam a ter entendimento daquilo que realmente é certo e do que é errado.

 Agora sim. Concluída a educação, o Canal de Denúncia pode ser implantado, escolhendo-se o meio que a empresa julga ser mais adequado. Os resultados podem ser excelentes. Em pesquisa de 2012 da ACFE, mais de 45% dos casos de fraude nos EUA (onde corrupção está dentro) foram desvendados por meio da Denúncia Anônima. Muito mais do que qualquer outra forma.

 Se bem planejado em todas as suas etapas, o Canal de Denúncia pode ser preventivo contra a corrupção. Isso é excepcional! Se olharmos para a Lei, tema desse artigo, a ação preventiva proporcionada pelo Canal de Denúncia pode fazer com que a empresa não seja punida em face do fato ainda não ocorrido, consumado, materializado. Pode agir antes disso.

 Como conclusão, não vou entrar no mérito da fiscalização, do cumprimento da Lei entre outros. A ideia aqui foi acender um sinal amarelo às áreas competentes nas empresas (Compliance, Controles Internos, Governança, Auditoria, etc.) para se prepararem ou ajustarem seus programas Anti-ilícitos como esse, o da Corrupção.

 Os impactos, além do financeiro, por meio da multa, traz no seu bojo um invisível, mas terrível dano: o reputacional. O esforço que uma empresa faz para ter credibilidade e uma marca sólida pode virar um castelinho na beira mar do dia para noite. O capital reputacional armazenado com muito suor pode virar pó em instantes. Capital reputacional pode custar mais do que numerário que se vai, do que uma perda material. É bom pensar nisso antes de chegar 1º de fevereiro.

 

Até a próxima!

 _______________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA (Associação Brasileira de Entidades Financeiras e Mercado de Capitais). E-mail: mario.ribeiro@enigmaconsultoria.com.br

Corrupção tem cura? – 25mar12

enigma.consultoria Sem categoria Leave a comment   ,

O Fantástico mostrou no domingo uma prática que atende pelo nome de Corrupção, um câncer nacional! Vamos aproveitar e comentar um pouco sobre tema tão em moda…

Corrupção é categorizada como uma Fraude Ocupacional (alguém utiliza uma ocupação, um cargo para perpetrar uma fraude). A fraude provoca grandes estragos em países como o Brasil e Estados Unidos, por exemplo. Em última pesquisa da ACFE estimou a perda nos EUA com a fraude ocupacional em parcos 900 bilhões de dólares. Não preciso ficar dando exemplos de corrupção, porque é diário os acontecimentos e podemos dizer que é o câncer a ser extirpado da sociedade brasileira.

Em minha dissertação de mestrado, que tratou da questão Fraude, tive que estudar e ler como um doido o tema e confesso: existe luz no final desse túnel! Mas, como resolver? Essa foi a pergunta de minha esposa após o Fantástico desse domingo, que mostrou uma parte do problema. Respondi: é simples, com Prevenção.

O combate a Corrupção atende por processos e controles definidos e implementados que Previnem, Detectem e Investiguem. A Prevenção deve ter um conjunto de processos e controles que agem de maneira pró-ativa contra a Corrupção, veja, eu disse pró ativamente. Os processos de Detecção são importantes, claro que são. Mas em uma escala de impactos financeiros e operacionais, são menos importantes do que a Prevenção. Isso porque a Detecção pode acontecer quando a materialização da perda financeira ou de imagem já ocorreu, quando se investiga e vê o tamanho do buraco. Daí ser muito mais barato investir na Prevenção, mas muito mais barato (veja os números americanos que citei no início). E mais, uma detecção de fraude leva mais de dois anos em média para ser detectada. Então, nos dois anos, qual terá sido o tamanho do rombo?

Nessa questão, vamos distinguir dois tipos de empresas: a privada e a pública. As empresas privadas, notadamente as do setor financeiro, tem um grau de maturidade no combate à corrupção ou a fraude muito maior do que outros setores privados e muito, muito maior em relação as empresas públicas. Ok professor, mas o que pode ser estabelecido em termos de processos para combater a corrupção? Vamos lá, alguns deles, só alguns, podem ser:

-> Implementação da Gestão do risco da Fraude (corrupção é uma das categorias);

-> Implementação de uma Política de Combate à Fraude;

-> Avaliação Continuada de Pessoal Interno;

-> Implementação e gestão da Conduta Ética de colaboradores;

-> Implementação e gestão da Denúncia Anônima (segundo a pesquisa da ACFE, o que mais produz resultados)

Simples? Não, não é! A empresa pública acima de tudo necessita ter vontade política para implementar. Eu, por exemplo, nunca vi uma licitação ou convite para contratação de uma consultoria para Elaborar e Implementar processos e controles para Combater a Fraude Interna ou a Corrupção. Vocês conhecem? Se conhecerem, me avisem que eu divulgo. Não existe cultura alguma da Prevenção a Corrupção. Enquanto isso, os agentes de ameaça (corrupção) deitam e rolam porque o terreno é fértil.

 Um abraço a todos e até a próxima.

Um ano do Desastre no Japão e no Rio. O que pensar? – 11mar2012

enigma.consultoria Sem categoria Leave a comment   , ,

Janeiro de 2011 vimos as cidades serranas fluminenses sofrerem com as terríveis chuvas que mataram mais de 900 pessoas, milhares de desabrigados e muita destruição.

Março de 2011, Japão. Um tsunami trouxe números exponencialmente maiores que os do Rio. 129 mil casas destruídas, 250 mil parcialmente, quase 20 mil mortos. Prejuízos financeiros da ordem de 235 bilhões de dólares. Ah, e uma usina nuclear atingida, que provocou radiação nuclear em um entorno de mais de 30 km.

Março de 2012, Japão. Dos quase 600 Km de estradas destruídas, apenas 15 km, isso mesmo, apenas 15 km ainda não foram recuperados; isso porque estão em locais de acesso dificílimo. Todos os serviços de telefonia estão normalizados, água, luz e gás. Em novembro de 2011 o governo japonês anunciou que havia controlado a situação na usina nuclear. A vida, apesar de lenta, volta ao normal depois de 1 ano.

Março de 2012, Rio de Janeiro. Um ano depois muito pouco foi feito. Depois da papagaiada inicial de prefeitos, governo estadual e federal na televisão, a reconstrução anda a passos de tartaruga. Existem famílias desabrigadas. Em duas das sete cidades atingidas, seus prefeitos (Nova Friburgo e Teresópolis) foram afastados sob a acusação de desviar verba que deveriam ser usadas na recuperação. As coisas não andam.

O que explica essa diferença? Será que é porque o japonês é mais trabalhador e o brasileiro mais preguiçoso? Ou será porque o povo japonês está muito melhor preparado e equipado na questão do gerenciamento do risco? O povo japonês sabe o que deve fazer em cada situação de emergência. Sabe para onde ir. Sabe onde fica o hospital mais próximo, abrigos e outros. Tem a quem recorrer, porque as instituições funcionam, não existindo interesses diferentes do que o da própria sociedade.

Além disso, o Japão não tem em sua cultura um câncer que temos na nossa e atende pelo nome de Corrupção. Se formos querer pensar na Prevenção, com melhores abrigos e outros controles, provavelmente não ficarão prontos, porque o dinheiro some no meio do caminho. E claro, um primo da Corrupção anda de mãos dadas com ela e atende pelo nome de Impunidade. Enquanto isso, vamos assistindo as coisas acontecerem…

Um abraço a todos e até a próxima!