Programa de Compliance, Simplificando o processo de implementação.

“Tell me and I forget, teach me and I may remember, involve me and I learn”

Benjamin Franklin

Em um outro artigo escrevi sobre as dimensões que são necessárias para a existência de um efetivo programa de compliance corporativo. Naquela ocasião discutimos o que são e qual a importância das seis dimensões: Cultura, Governança, Estrutura, Monitoramento, Canal de denúncia e Auditoria, na composição de um processo de compliance integrado ao ambiente de negócio.

Neste artigo quero sair da conceituação e abordar, de forma objetiva, uma sugestão de metodologia para implementação de um programa de compliance, identificando as ações e os movimentos necessários para sua efetivação.

Sabemos que um programa de compliance, bem estruturado e integrado à cultura da organização é fundamental para o sucesso, crescimento sustentável, e perenidade da empresa.

Lembro que, como tenho mencionado em diversas ocasiões, que compliance é antes de mais nada uma atitude, a qual deve estar consolidada na cultura e consciência de gestão.

Compliance também não é nenhuma novidade, não surgiu e não deve estar somente relacionada com a Lei 12.846/13. É um processo muito mais abrangente, que permeia toda a organização e em todos os seus níveis.

Não é um processo estático e nem uma mercadoria que se encontra pronto para ser usado, não existe “one fits all”.

O programa deve ser desenvolvido considerando as nuances de cada organização, sua cultura, seu mercado, sua operação e sua complexidade, entretanto deve ser simples para que possa ser integrado às atividades diárias dos gestores.

Como todo projeto é importante que exista um planejamento onde sejam definidos, no mínimo, os seguintes atributos: o formato, o responsável pelo projeto, a equipe, os tópicos que serão abordados, o processo de sensibilização, a identificação dos participantes, a responsabilidade de cada agente de governança, um cronograma e os padrões para monitoramento.

Pois bem, vamos ver, agora, quais as ações (fatores de sucesso) que devem fazer parte do processo de implantação do programa de compliance:

1.    A primeira ação é a elaboração de uma política de compliance que inclua no mínimo os seguintes temas: a. Conduta e comportamento, b. Integridade, c. Fraudes e irregularidade, d. Canal de denúncias e orientação quanto a cumprimento de leis e regulamentos. Esta política deve ser discutida e aprovada pela alta gestão (Conselho, Presidente e seus diretos).

2.    O próximo passo é trabalhar a política aprovada junto a gestão média, iniciando desta forma, o processo de conscientização sobre a importância deste tema nas atividades e decisões do dia-a-dia. A sugestão é que sejam realizadas oficinas de trabalhos, onde os gestores possam identificar os pontos de impacto da política em suas operações, possibilitando, a criação ou ajustes nos procedimentos operacionais.

3.    A efetividade do programa está intimamente relacionada com a consciência e cultura de compliance existente, por isso, concomitante ao passo acima, deve-se iniciar o processo de sensibilização dos demais níveis da organização, incluindo também, os prestadores de serviços e fornecedores.

Este processo pode ser realizado de diversas maneiras: através de comunicação institucional, de e-learning, de comunicação escrita, palestras ou workshop, o importante é que esteja em linha com a cultura e linguagem da empresa, por isso deve ser planejado e integrado entre si. O comprometimento da alta gestão por sua vez tem um papel preponderante neste processo, pois eles têm a responsabilidade de promover um ambiente interno propicio para a fundamentação da consciência de compliance. Lembre-se é mais importante ter a consciência de compliance do que uma política bem escrita.

4.    O próximo passo é definir as responsabilidades de cada um dos agentes de compliance, no programa. Não necessariamente, e nem sempre será economicamente viável a criação de uma estrutura especifica para compliance, por isso nossa sugestão leva em conta os “players” já presentes em uma organização padrão. Nossa sugestão é a seguinte:

a.    Setor Jurídico – deve ser responsável por identificar todas as alterações na legislação e regulamentos, direcionando esta informação à gestão (primeira linha de defesa) para que conduza a operacionalização das mudanças necessárias em conformidade com os novos requisitos legais,

b.   Gestor operacional – deve definir as atividades necessárias para se adequar aos novos requisitos. Também precisa identificar e reavaliar os possíveis novos riscos de conformidade, e com base nisto, determinar as ações de mitigação. Neste momento, se o gestor operacional necessitar de ajuda, ele pode acionar a segunda linha de defesa, na figura do gestor de riscos e/ou especialista em controles internos.

c.    Auditoria interna – Tem como responsabilidade realizar uma avaliação independente sobre o gerenciamento de riscos, sistema de controles internos e governança do processo, neste caso, com foco em compliance.

5.    O próximo passo é, por meio do mapeamento dos ciclos de negócios, realizar um diagnóstico dos pontos de vulnerabilidade para não conformidades legais e éticas, de forma a identificar quais são as ameaças, exposições e riscos de não compliance legal e ética. Como sugestão, determine os processos operacionais que compõem os ciclos de negócio, elabore um questionário e solicite que cada gestor operacional responda, de forma que possa ser feito uma lista top-down das maiores vulnerabilidades para não compliance.

6.    Com base na relação top-down criada no item acima, se determina quais processo serão revisados de forma mais detalhada, confirmando as vulnerabilidades, avaliando as ações mitigatórias existentes, e quais as ações de melhoria serão necessárias para minimizar a ocorrência de atividades de não compliance, e se ocorrer, definir quais serão as ações de contingência que devem ser realizadas.

7.    O monitoramento dos pontos de não conformidade é imprescindível para uma boa gestão do programa de compliance, em um primeiro momento, sugerimos sejam criados padrões para medição continua de desempenho, de maneira a observar que as ações mitigatórias estão sendo suficientes para a manutenção das operações e atividades em conformidade lega e ética. Nossa sugestão é que seja definido um dos agentes de governança (segunda linha de defesa) para que se possa, por um período de no máximo 90 dias, realizar este monitoramento e confirmar a eficiência e eficácia do programa, e depois disto passar o monitoramento para a responsabilidade dos respectivos gestores operacionais (primeira linha de defesa)

O programa de compliance para ser efetivo, deve fazer parte das atividades diárias da organização, os gestores e tomadores de decisões não devem olhar para ele como sendo mais uma coisa que devem realizar, mas sim o que devem observar em seu processo diário de gestão e/ou decisão.

Algumas vezes me perguntam como devemos definir o apetite os riscos de não conformidade legal e ética, e está resposta é muito fácil, pois o apetite a risco neste caso é zero. Eticamente falando, não é possível haver apetite para execução e realização de atividades fora dos requisitos legais ou éticos.

Claro que não conformidades irão ocorrer, mas o ponto é que, a cada ocorrência, a gestão deve tomar ações contundentes na causa raiz, de forma que a não conformidade seja recorrente.

Nos primeiros 24 meses da implementação do programa de compliance, enquanto ele ainda está em processo de amadurecimento, sugerimos uma revisão de sua estrutura a cada seis meses, que pode ser realizada por meio de oficinas de trabalhos com os gestores.

Boa sorte e seja feliz!