Ao planejar o programa de Compliance, os Compliances Officers se deparam com uma série de desafios, mas, um dos objetivos mais comuns e controversos neste meio, é o de estabelecer qual a estrutura adequada (pessoas, processos e sistemas) para manter os sistemas de controles internos efetivos e compatíveis com a sua natureza, o seu porte, a sua complexidade, o seu perfil de risco e o seu modelo de negócios (principal e adjacente)?
Resposta rápida e clássica no universo da advocacia: depende! Sim, vai depender de uma série de análises de variáveis (ditas acima). Da mesma forma, podemos afirmar que é necessário, desde o início do planejamento, conhecer profundamente todo arcabouço legal e regulamentar (leis, portarias, resoluções, instruções normativas, ofícios etc.) e os riscos (inerentes e residuais) dos negócios de cada organização, caso contrário, não será possível dimensionar a estrutura ideal para o programa de Compliance e, muito menos, mitigar os riscos.
Neste momento, de forma geral, ao realizar um inventário regulatório e de riscos aos quais a organização está exposta (independentemente do tipo de negócio desta), é certo que serão inúmeras observâncias compulsórias (legal e regulamentar). É neste exato momento que se inicia a dor de cabeça dos Compliance Officers, os quais automaticamente acionam as suas habilidades limitadas de quantificar os investimentos necessários para fazer frente ao programa de conformidade proposto.
Vencida essa tarefa, pode ficar evidente que por mais que a estrutura de Compliance seja robusta, com investimentos fartos, ela não será suficiente para avançar caso a cultura de Compliance não seja apoiada pela alta administração e não esteja disseminada em todos os ambientes da organização. É o famoso, Tone at the top, termo que pode ser entendido como o “exemplo que vem de cima pra baixo”. Ele se refere às lideranças de uma empresa (CEO, proprietários, presidente etc.) e a necessidade dessas pessoas estarem engajadas e apoiarem as decisões da empresa. O termo surge em um contexto em que a alta administração deve assumir a responsabilidade de promover e comunicar a cultura da empresa, bem como a visão, os valores e a missão, para todos os níveis hierárquicos. Por isso, pela sua importância, o comprometimento e o apoio da alta administração é considerado o primeiro pilar do Programa de Compliance.
Uma das barreiras culturais a ser rompida é o conceito nutrido em boa parte das organizações de que a implantação de Programa de Compliance está atrelada exclusivamente ao custo. Embora compulsório, é importante lembrar que este recurso é necessário para nortear a organização ao cumprimento de seus objetivos, crescimento sustentável, podendo até mesmo ser um diferencial competitivo, ainda explorado por poucos.
Um dos casos emblemáticos de sucesso que sintetiza de forma exemplar uma mudança de paradigma e o aproveitamento das oportunidades de negócios, ocorreu com uma empresa multinacional brasileira, líder e referência no mercado de outsorcing, que após ter sido alvo de incidente de vazamento de dados, na qualidade de operadora de dados conforme a Lei Geral de Proteção de Dados (LGPD), viu ser arquivado o Inquérito Civil Público instaurado para investigar as circunstâncias do suposto incidente de segurança envolvendo os dados da organização e apurar as responsabilidades pelos danos causados.
A despeito de não termos acesso ao teor do processo (que tramitou sob sigilo), acreditamos que a decisão pelo arquivamento do inquérito foi fundamentada e decorrente das medidas adotadas pela organização para reverter ou mitigar os efeitos do prejuízo, previstos no artigo 50º da LGPD, que trata das boas práticas e da governança. Neste caso, os investimentos em observância contribuíram para a homologação do arquivamento, mitigando potenciais riscos com aplicação de sanções administrativas (advindos de custos da não observância), que poderiam chegar até mesmo à perda do negócio.
O diferencial deste caso, é que no processo de reavaliação dos ambientes internos e externos (custos e ameaças), a organização vislumbrou um nicho importante a ser explorado, algo até então, não planejado: a de ampliar a sua forma de atuação de agente de tratamento de dados, passando a ser também controladora de dados ofertando produtos voltados à segurança e a proteção de dados pessoais com foco em LGPD. No cômputo geral, após os novos investimentos e o reposicionamento estratégico, a organização obteve resultados financeiros expressivos e o impulsionamento de sua marca e imagem.
Vale destacar que dado o cenário contemporâneo de recessão global e a necessidade de tomadas de decisão céleres do mundo dos negócios, muitas medidas “criativas” estão sendo adotadas como soluções pelos compliances officers para a redução de custos no processo de observância regulatória, como por exemplo:
Programa de capacitação
Utilização do uso da tecnologia e da própria comunicação digital como apoio no processo de treinamentos, os quais por muitas vezes são gratuitos, ampliando desta forma, o conhecimento técnico e acumulando horas em treinamentos especializados, contando algumas vezes com participação do próprio regulador para tratar de temas relacionados ao próprio programa de compliance. Destaque para a utilização de plataformas de compartilhamento de vídeos, “lives”, congressos, fóruns, apresentações do próprio regulador em federações, associações de classe etc. e dos próprios cursos disponibilizados pelos Reguladores e Autorreguladores com emissão de certificado válido (como Cursos de PLD do COAF e de LGPD – ENAP, Cursos de Compliance e de Suitability da ANBIMA). Todas estas ações, precisam ser documentadas (evidenciadas) para surtir o efeito desejado e computadas nos controles dos treinamentos, como por exemplo: data da realização, quantidade de horas, conteúdo, participantes etc.
Processo de Due Diligence
A aplicação da abordagem baseada em risco nos processos de onboarding e de monitoramento (do conheça o seu cliente, colaborador, parceiro, conhecidos pelas siglas em inglês KYC, KYE, KYP), tendo como base a recomendação contida na “Recomendação nº 01” do GAFI, órgão que estabelece as regras globais de PLDFT, corroborou para a celeridade no processo de aprovação e/ou de reprovação automática do proponente, com a adoção de fluxos automatizados para proponentes com exposição de menor risco (reputacional e/ou de lavagem de dinheiro, etc.) e de fluxos semiautomatizados para proponentes com exposição de maior risco, consumindo neste caso, estrutura e controles mais robustos, com periodicidade reduzida de testes para a avaliação da efetividade dos controles internos, entre outros.
Algumas organizações, dependendo da sua condição econômica financeira e, na impossibilidade de adquirirem sistemas para a utilização do processo de due diligence, vêm se valendo de informações de fontes públicas e oficiais como portais da transparência, do Banco Central, da Comissão de Valores Mobiliários, Autorreguladores, entre outros), utilizados, inclusive para o aprimoramento dos processos e investigação de Compliance, construindo desta forma, um sistema proprietário para o fortalecimento dos seus controles internos.
Outra solução que vem ganhando força é a utilização de plataformas digitais (Teams Views, Google Meets, Zoom, SKYPE etc.) no processo de entrevista com proponentes, clientes e parceiros, independentemente de sua localização geográfica, com apoio também de pesquisas em websites buscadores de endereços para a identificação e validação dos processos, reduzindo custos com viagens, hospedagem, deslocamentos, entre outros.
Utilização de base dados internos
Os dados cadastrais e operacionais estão, cada vez mais, sendo aproveitados no processo de acompanhamento para a identificação do perfil dos clientes e da própria validação das operações, pois possibilita ações efetivas no início do relacionamento, monitoramento dos negócios e adoção de providências complementares como suspensão, bloqueios e comunicações ao COAF, quando aplicável. Como exemplo, citamos a criação de painéis de controles (dashboards) em tempo real, considerando a análise de concentração geográfica e de contrapartes, tickets médios operacionais (quantidade de operações e transacional- valores financeiros), tentativas de burlas de limites operacionais etc.
Outras ações enérgicas também vêm ganhando corpo, especialmente no mercado financeiro e no gerenciamento de proteção de dados e da segurança cibernética, onde algumas organizações têm optado por evitar o risco, prática intitulada como “De-Risking”, ao invés de gerenciá-lo, ação não recomendada pelos organismos internacionais. No “De-Risking”, instituições maiores, em função dos altos custos de observância e de pesadas punições impostas pelos reguladores, têm optado por não trabalhar com instituições menores, com determinados tipos de produtos, com pessoas e até mesmo com países.
O fenômeno “De-Risking” apresenta relação direta também com a proteção de dados ao redor do mundo. A própria União Europeia, que possui o Regulamento Geral sobre a Proteção de Dados (GDPR, sigla do termo em inglês), em vigor desde maio de 2018, trata do riscos representado por instituições financeiras globais que ameaçam interromper o acesso ao sistema financeiro global para empresas de remessa e bancos locais em determinadas regiões, colocando-os em risco de perder o acesso ao sistema financeiro global, situação essa que pode certamente ser estendida aos demais sistemas, tratando-se de mecanismo importante de avaliação na proteção de dados ao redor do mundo.
