Compliance
Compliance nada mais é que ter controle, gestão, transparência, rastreabilidade e monitoramento sobre processos e condutas corporativas. E uma das formas de formalizar estas boas práticas é desenvolver e aplicar políticas, indicadores e evidências documentais para cada um destes processos e condutas que são relevantes para a empresa.
E não há apenas uma receita de sucesso… Há várias formas e metodologias de se aplicar boas práticas de ESG (Environment, Social & Governance ou, em uma tradução livre, Governança Ambiental, Social e Corporativa).
Trata-se de uma jornada corporativa, ou seja, só tem data para começar, mas não tem data para terminar. Sempre é possível melhorar processos e inovar. Aliás, para quem não sabe, há até mesmo incentivos fiscais no Brasil para o desenvolvimento de inovação, inclusive de processos! A recomendação é que sempre haja o acompanhamento, ou mesmo uma assessoria, no desenvolvimento destas boas práticas nas empresas, a fim de que seja possível extrair ao máximo os benefícios na implantação de processos de governança, controle e inovação, através de automatização de processos e uso da tecnologia para rastreabilidade e monitoramento de condutas.
Além disso, um bom programa de Compliance também exige que haja capacitação e treinamento de todos os colaboradores, a fim de que haja uma cultura de governança aplicada e mensurada, com engajamento não só da alta direção, como também dos fornecedores, prestadores de serviço e até mesmo dos clientes.
Indicadores
De uma forma simples, é possível achar bons indicadores de Compliance não só em protocolos internacionais, como o ISO, que é a sigla de International Organization for Standardization, ou Organização Internacional para Padronização. O ISO é uma entidade de padronização e normatização, com o objetivo de promover o desenvolvimento de normas, testes e certificação, para padronização de boas práticas junto ao comércio, serviços e a indústria em geral.
Além disso, há resoluções de autarquias ou autoridades nacionais, que podem muito bem ser acolhidas no dia a dia de uma empresa, quando o assunto é compliance. Para tanto, vale à pena extrair um excelente exemplo de uma resolução regulatória, que tem aderência total ao cotidiano de uma empresa, que é a Resolução BCB (Banco Central do Brasil) nº 260, de 22.11.2022. Apesar de ser uma regulação destinada exclusivamente para controles internos das administradoras de consórcio e das instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil, a normativa determina excelentes exemplos de conduta, que podem ser adotadas em qualquer tipo de empresa, tais como:
1 – Controles internos devem ter como finalidade o atingimento dos objetivos de:
I – Desempenho: relacionado à eficiência e à efetividade no uso dos recursos nas atividades desenvolvidas;
II – Informação: relacionado à divulgação voluntária ou obrigatória, interna ou externa, de informações financeiras, operacionais e gerenciais, que sejam úteis para o processo de tomada de decisão;
III – conformidade: relacionado ao cumprimento de disposições legais, regulamentares e previstas em políticas e códigos internos.
2 – Os sistemas de controles internos devem:
I – Ser contínuos e efetivos, abrangendo as atividades de controle para todos os níveis de negócios e para todos os riscos aos quais a empresa está exposta;
II – Integrar as atividades rotineiras das áreas relevantes da empresa;
III – ser revisados e atualizados periodicamente.
3 – Os sistemas de controles internos devem prever:
I – Quanto aos aspectos relacionados à cultura de controle:
a) definição das responsabilidades dos colaboradores nos sistemas de controles internos e dos respectivos meios para o seu eficaz cumprimento;
b) obrigatoriedade de comunicação tempestiva ao adequado nível gerencial, por parte dos colaboradores, de:
b.1) problemas nas operações;
b.2) situações de não conformidade com os padrões de conduta definidos pela empresa;
b.3) violações das políticas da empresa ou de disposições legais e regulamentares;
c) proibições de estabelecimento de metas de desempenho que incentivem a tomada de riscos em desacordo com os níveis determinados pela alta administração;
d) formalização do compromisso com a ética e com a integridade, incluindo o cumprimento do código de ética ou de documento equivalente;
e) divulgação do código de ética ou documento equivalente;
II – Quanto aos aspectos relacionados à identificação e à avaliação de riscos:
a) meios para identificar e avaliar continuamente os fatores internos e externos que possam afetar adversamente a realização dos objetivos da empresa e, quando aplicável, do grupo econômico que integre;
b) revisão e atualização periódica dos sistemas de controles internos, com a inclusão de medidas relacionadas a riscos novos ou não abordados anteriormente;
c) medidas para mitigação dos riscos não tolerados e não controlados;
d) Por fim, análise do potencial de ocorrência de fraudes nas atividades desenvolvidas em todos os níveis de negócios;
4 – Quanto aos aspectos relacionados às atividades de controle e segregação de funções:
a) políticas e procedimentos de controle, bem como a verificação do seu cumprimento;
b) revisão e acompanhamento de atividades relevantes pelos adequados níveis gerenciais;
c) controles de atividades apropriados para os diferentes departamentos ou áreas de negócios;
d) controles físicos de ativos de valor, como acesso restrito, dupla custódia e inventários periódicos;
e) verificação do cumprimento dos limites de exposição e acompanhamento das situações de não conformidade;
f) sistema de aprovações e autorizações de transações sensíveis e de verificação e reconciliação;
g) segregação apropriada das funções atribuídas aos integrantes da empresa, de forma a evitar situações de conflito de interesses;
h) identificação e monitoramento independentes de áreas que possuam potencial conflito de interesses, com revisão periódica das responsabilidades e das funções que possam gerar conflitos dessa natureza;
i) controles que visem a evitar o envolvimento da empresa em atividades indevidas ou ilícitas, em especial as relacionadas aos riscos sociais, ambientais e climáticos;
j) procedimentos e controles previstos na legislação e regulamentação vigentes, visando à prevenção da utilização do sistema financeiro para a prática dos crimes de “lavagem” ou ocultação de bens, direitos e valores, e de financiamento do terrorismo;
k) Por fim, controles para prevenção, detecção, investigação e correção de fraudes;
5 – Quanto aos aspectos relacionados à informação e à comunicação:
a) canais de comunicação efetivos que assegurem aos colaboradores, segundo o correspondente nível de atuação, o acesso a informações compreensíveis, confiáveis, tempestivas e relevantes;
b) fluxos de informações adequados para que os objetivos, estratégias, expectativas, políticas e procedimentos estabelecidos pelos superiores cheguem aos colaboradores e as informações relevantes sejam compartilhadas entre os componentes organizacionais;
c) metodologias para o registro e a manutenção de informações internas à administradora de consórcio ou à instituição de pagamento, como dados financeiros, operacionais e de conformidade;
d) diretrizes para a utilização de fontes externas de informações e para a divulgação ao público externo sobre eventos e condições de mercado relevantes para a tomada de decisão;
e) sistemas de informação confiáveis e as respectivas medidas de segurança e monitoramento independente para sua manutenção;
f) requisitos relacionados ao adequado processamento de informações em formato eletrônico e previsão de trilha de auditoria adequada;
g) testes periódicos de segurança para os sistemas de informações e de tecnologia;
h) Por fim, planos de retomada e contingência de negócios para situações de interrupção da prestação de serviços da empresa em decorrência de eventos fora do seu controle;
6 – Quanto aos aspectos relacionados ao monitoramento:
a) monitoramento contínuo da eficácia dos sistemas de controles internos e dos principais riscos associados às atividades da empresa;
b) avaliações periódicas, inclusive por parte da auditoria interna, acerca da eficácia dos sistemas de controles internos e dos principais riscos associados às atividades da empresa;
c) acompanhamento sistemático das atividades desenvolvidas, para avaliar, no mínimo, se:
c.1) os objetivos da empresa estão sendo alcançados;
c.2) os limites estabelecidos e a legislação e regulação vigentes aplicáveis estão sendo cumpridos;
c.3) eventuais desvios identificados estão sendo prontamente corrigidos;
d) atualização de premissas, das metodologias e dos modelos de gestão de riscos;
e) Por fim, metodologia e canais de relato sobre deficiências nos controles internos aos responsáveis, à diretoria e ao conselho de administração, quando existente, no caso de falhas materiais.
Estes são apenas exemplos que existem no Brasil. Seja em regulações específicas ou mesmo em metodologias internacionais, e que podem ser adequados em cada uma de nossas empresas. Afinal, Compliance e Governança significam não só controle operacional como também economia. Afinal, ter uma empresa sob controle evita desperdícios, diagnostica gargalos e coíbe gastos indevidos.
Fica a dica!
Conteúdo por: Paulo Perrotti, CEO da ESG Solution e Head Cybersecurity LGPD Solution
