Há muito tempo o termo compliance (conformidade, em português) entrou no vocabulário das empresas, mas essa disciplina é lembrada apenas quando algo errado acontece. Basta uma notícia sobre companhias envolvidas em escândalos financeiros, problemas legais, ambientais e éticos que o assunto compliance empresarial volta aos holofotes, ao menos por algum tempo.
Pensando nisso, falaremos neste post o que é compliance empresarial, qual sua importância para as empresas, como colocar em prática e ainda alguns custos e ferramentas desta aplicação.
O que é compliance empresarial?
Compliance significa agir de acordo com a vontade de alguém. No contexto empresarial, significa obedecer às leis, normas, regulamentos etc. Para facilitar a leitura, usaremos o termo “normas” para nos referir a esses regulamentos e controles aplicáveis a uma empresa.
Nesse momento, você pode pensar que não deveria ser surpresa que empresas precisam seguir normas. Afinal, vivemos em sociedade e quase todos os aspectos da vida social são normalizados de alguma forma. Aqui reside a importância de entendermos compliance como uma disciplina, uma atividade empresarial.
Pois bem, compliance como uma atividade dentro das empresas visa garantir que as normas às quais a empresa está sujeita sejam ativamente cumpridas, saber quais normas são aplicáveis, entender os requerimentos e garantir que eles sejam seguidos.
Fazer com que seus funcionários, parceiros, fornecedores e todos aqueles que participam de alguma forma na execução de seu negócio comportem-se dessa forma é desafiador, mas possível. No momento atual da indústria, isso é exigido e esperado.
Importância do compliance para as empresas
Todo negócio envolve risco. Os gestores das empresas conhecem muito bem os fatores que podem trazer sucesso ou fracasso para aquele tipo de negócio. A administração das companhias investem tempo e dinheiro para entender e antever esses fatores, seja o preço da matéria-prima, a sazonalidade, ciclo de vendas e recebimentos, o custo de estocagem e do frete e inúmeros outros.
Esse conjunto de riscos é normalmente chamado de risco do negócio. O risco de não cumprimento de normas (risco de compliance) também está presente em qualquer empreendimento e geralmente se materializa na forma de multas, sanções, problemas judiciais, danos à imagem e reputação da empresa, e outras situações que podem, em casos extremos, causar a ruína da companhia.
É preciso gerenciar o risco de compliance com a mesma disciplina que os demais riscos do negócio. Algo que pode trazer grande dano financeiro ou de reputação não deve ser negligenciado.
Colocando o compliance em prática
Chamaremos o conjunto de medidas, processos e ferramentas para gerenciar o risco de compliance de programa de compliance. Antes de mais nada, tenha em mente que a profundidade e complexidade desse programa de compliance (PC) em sua empresa estará diretamente relacionada ao tamanho e tipo de negócio.
Por conta disso, não existe um PC padrão que funcione bem em toda e qualquer empresa. Não é necessário começar do zero, todavia. Existem muitas recomendações disponibilizadas por entidades governamentais em todo o mundo, encarregadas de investigações e fiscalizações.
No caso do Brasil, a leitura dos seguintes normativos e documentos, aplicáveis a qualquer empresa, ajudará na criação de um PC pela primeira vez:
- Lei Anticorrupção – Lei 12.846 de 1º de agosto de 2013;
- Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709/2018;
- Materiais do site da Controladoria Geral da União (CGU), que publica regularmente estudos e orientações sobre Ética e Integridade;
- Qualquer normativo relevante para o setor de sua empresa (ex.: normas referentes à saúde pública, meio ambiente, finanças, etc.)
Lembre-se que o PC deve ser um documento vivo, que evolui e se modifica para refletir as mudanças da empresa e do ambiente no qual ela se insere. Ele não precisa ser (e dificilmente será) perfeito no começo, mas o fundamental é sempre o atualizá-lo e melhorá-lo.
Dito isso, confira os principais passos para criar o seu programa de compliance:
- Avalie e entenda os riscos
Na essência, um PC serve para proteger a companhia contra riscos de conformidade. Para isso, é importante ter uma visão completa dos riscos aplicáveis à empresa e identificar os que têm maior potencial de dano.
O Departamento de Justiça dos EUA recomenda analisar os seguintes riscos: “…Os riscos trazidos por, entre outros fatores, a localização de suas operações, o setor econômico, a competitividade do mercado, o cenário regulatório, potenciais clientes e parceiros de negócios, transações com governos estrangeiros, pagamentos a funcionários estrangeiros, uso de serviços de terceiros, concessão de brindes e presentes, despesas de viagem e entretenimento e doações políticas e de caridade.”
Existem vários modelos usados para conduzir uma avaliação de risco, incluindo a ISO 31000 e COSO. A maioria das empresas não precisa de algo tão complexo, mas, uma avaliação de riscos bem feita é aquela que:
- Ajuda a identificar e analisar os principais riscos da empresa;
- Fornece informações que permitam alocar recursos adequadamente para mitigar esses riscos com base em sua severidade (priorização de recursos).
- Estabeleça políticas e procedimentos
Políticas e procedimentos são essenciais para qualquer PC. Elas estabelecem o procedimento operacional padrão de forma a guiar os stakeholders a exercer suas atividades de forma compatível com o PC.
Ao seguir as políticas e procedimentos, um funcionário não fará, por equívoco ou desconhecimento, algo que possa comprometer a empresa ou ser entendido como ilegal e irregular. Um código de conduta que reforce a importância de todos estarem em conformidade, com apoio de todos os níveis da empresa, inclusive os mais altos, também é uma ferramenta vital.
Nesse documento, a Administração deve deixar claro como espera que os funcionários se comportem no sentido ético e legal.
- Treine e comunique-se com os colaboradores
Se os colaboradores não entenderem o código de conduta, as políticas e os procedimentos, todo o trabalho terá sido em vão. Sem um treinamento adequado, os profissionais podem agir inadvertidamente contra as políticas e procedimentos. Logo, eles não poderão ser responsabilizados.
- Denúncias
Agora que os riscos foram identificados, políticas e procedimentos foram estabelecidos e os funcionários foram treinados, sua empresa tem um programa de compliance.
Apesar de todo o esforço, sempre há risco de algum colaborador não seguir as regras. As empresas precisam de uma forma de garantir que infrações sejam denunciadas de maneira fácil e anônima. É fundamental que as denúncias sejam averiguadas para determinar sua veracidade e possíveis consequências para os envolvidos.
- Atenção aos terceiros (fornecedores, clientes, parceiros etc.)
Além de garantir que os colaboradores entendam e pratiquem as normas, também é importante garantir que terceiros façam o mesmo. Nesse caso, as ações não estão diretamente sob supervisão da empresa, mas podem ter consequências negativas sobre a organização.
Por exemplo: recentemente, grandes empresas do setor de vestuário foram acusadas de promover trabalho escravo. A acusação era contra seus fornecedores, mas a responsabilidade recai, também, contra eles.
A falha foi não atentar para o risco que terceiros trazem à operação. Para se proteger, as organizações devem ter um processo de due diligence para avaliar os terceiros com os quais planejam fazer negócios. Isso inclui novos fornecedores, parceiros, consultores, e até clientes, dependendo de seu setor de atividade.
- Execute o PC
Através de inspeções, testes de documentos, entrevistas com funcionários e demais participantes (por exemplo, fornecedores) você medirá se as políticas e procedimentos estão sendo seguidos. Caso alguma inconsistência seja identificada, é necessário entender os motivos e planejar as devidas medições.
Custos e ferramentas
Obviamente, criar um PC e todos os processos em volta requer investimento, mas todas as informações e análises compiladas podem servir para identificar pontos de melhoria, para aprimorar as operações.
Em algum momento, planilhas e outros controles manuais não serão suficientes nem adequados para gerenciar seu PC.
Se você acha compliance caro, experimente não ter. Ou, como diz o ditado, “Melhor prevenir que remediar”. Multas e demais sanções podem ser um grande empecilho à sobrevivência de uma empresa. Da mesma forma, um prejuízo a imagem da sua marca pode reduzir vendas, seu valor e pôr em risco a continuidade do negócio.
Muitos fornecedores oferecem soluções sistêmicas para gerenciar programas de conformidade. Alguns são mais personalizados para setores específicos do que outros, mas, em geral, eles seguem lógicas semelhantes.
Os dois principais objetivos de um software de gerenciamento de PC são controlar o fluxo de informações e gerenciar efetivamente a documentação utilizada no processo, tornado a execução de seu PC bem documentada e robusta.
É importante selecionar um sistema capaz de atender aos requisitos regulatórios locais e globais caso a sua empresa atue em vários países.
Um bom sistema de compliance possibilita que as empresas desenvolvam planos de testes detalhados, adequados à sua organização e a seus requisitos regulatórios. Estes podem ser compartilhados conforme necessário com quaisquer pessoas autorizadas. Além disso, devem incluir alertas ajustáveis para lembrar os usuários de prazos regulatórios como por exemplo informações recorrentes que devam ser submetidas a algum órgão regulador.
Fonte: EUAX (Adaptado)