Não há soluções de prateleira para Programas de Compliance que funcionem para qualquer empresa. Para um Programa ser considerado efetivo, ele deve estar integrado ao negócio para minimizar seus riscos e propiciar uma vantagem competitiva única.
A eficácia de um Programa de Compliance está diretamente ligada à sua integração ao negócio, que ocorre de forma plena quando todos os colaboradores em uma empresa executam suas regras e princípios de forma natural em suas atividades. Quando essa integração não é plena, os gestores de negócio podem ter a percepção de que o Programa de Compliance é composto de burocracias desnecessárias e regras desenhadas para atrapalhar o atingimento dos objetivos da empresa.
A busca desta integração plena do Programa na empresa passa por entender quais são os riscos que devem ser considerados pelo profissional de Compliance ao avaliar as necessidades e os objetivos da empresa.
O QUE SÃO RISCOS E QUAIS IMPORTAM
Riscos são incertezas, eventos que, caso aconteçam (ou se materializem, como dito entre os profissionais da área) irão impactar o atingimento dos objetivos da empresa e/ ou do Programa de Compliance. Um negócio está sujeito a diversos tipos de riscos, que podem ser classificados a partir:
- Do tipo de impacto que podem causar: Financeiros, Reputacionais, Legais, Desperdício de recursos, etc.
- Do tipo de atividade realizada: Estratégicos, Operacionais.
- Da fonte: Internos, Externos.
- Da área responsável pelo monitoramento: Comercial, Compliance, Jurídico, Recursos Humanos, Comunicação, etc.
É natural, então, concluir que os riscos que importam são aqueles capazes de impactar os objetivos da empresa ou o funcionamento do Programa de Compliance. Quando o Programa implementado não identifica, não reconhece e não oferece soluções para os riscos aos objetivos da empresa, dificilmente será integrado e considerado efetivo quando for avaliado por interessados como: auditorias externas, entidades de certificação e avaliadores do Governo no âmbito de um processo administrativo no Brasil.
Não se afigura como falácia a necessidade de que o profissional de Compliance, além de possuir um conjunto de conhecimentos e habilidades específicos da função, também deve conhecer o negócio e seus objetivos, haja vista a relação fundamental entre um Programa de Compliance efetivo e a vantagem competitiva que a governança corporativa séria traz ao negócio.
Dada a vasta diversidade dos riscos que uma empresa está sujeita no dia a dia de suas operações e a necessidade do Programa de Compliance estar plenamente integrado às operações da empresa, é necessário que o profissional de Compliance compreenda quais são os riscos da área de Compliance e quais são os riscos relevantes ao Programa de Compliance.
Tal definição deve ser considerada por uma questão elementar de papeis e responsabilidades. O profissional de Compliance deve empreender seus melhores esforços para criar um Programa que seja capaz de identificar e minimizar riscos e, para que o Programa seja efetivo, as diversas áreas especialistas na empresa devem ser envolvidas. O contrário dessa necessidade seria dizer que o profissional de Compliance é o responsável por identificar e tratar todos os riscos da empresa, o que é uma expectativa absolutamente infactível. Nesse sentido:
“Toda organização tem a responsabilidade de identificar a legislação existente para seus negócios e garantir que os riscos regulatórios que possam surgir dos requisitos de conformidade sejam bem compreendidos pelo conselho de administração, comitê de auditoria, alta administração e alta gerência.” (CUNHA, KALAY, 2019)
RISCOS DE NEGÓCIO RELEVANTES AO PROGRAMA DE COMPLIANCE
Conforme descrito anteriormente, quaisquer riscos que possam impactar o atingimento dos objetivos da empresa são relevantes ao Programa de Compliance, sob pena deste não ser considerado efetivo e do seu valor não ser compreendido. É importante dizer que a empresa deve, além de identificar os riscos, manter um processo que também mensure estes para fins de priorização das atividades de mitigação, possibilitando que os recursos disponíveis sejam aplicados de forma a garantir o tratamento eficiente dos principais riscos.
Logo, a lista a seguir é um exemplo de algumas categorias de riscos que podem ser relevantes ao Programa de Compliance:
Todos estes são exemplos de riscos que o Programa de Compliance deve ter a capacidade de identificar, mensurar, priorizar e mitigar, sendo o profissional de Compliance responsável por implementar um processo que facilite a execução de todas essas atividades pelos respectivos especialistas.
Ele não necessariamente é o responsável por executar pessoalmente essas atividades, salvo se o profissional possuir uma condição híbrida, ou seja, além de responsável pelo Programa de Compliance ele também é o responsável por alguma outra área na empresa, como por exemplo, área Financeira, área Regulatória, área Jurídica, etc., situação que não é ideal segundo Roy Snell[1], CEO da Society of Corporate Compliance and Ethics (SCCE), explicando que o profissional de Compliance deve possuir independência operacional para que efetivamente tenha condições de monitorar o negócio. Snell traz uma brilhante analogia da função de Compliance com a função de Auditoria, esclarecendo que se um auditor não deve preparar Declarações Financeiras e auditá-las, também não há condições para que um profissional de Compliance execute e monitore atividades do negócio.
O papel ideal do profissional de Compliance é conduzir o processo de gestão de riscos da empresa, garantindo que os especialistas corretos sejam envolvidos para a tomada de decisão.
[1] Tradução livre de https://www.linkedin.com/pulse/compliance-officers-roy-snell/. Acessado em 31/07/2019.
RISCOS DO PROGRAMA DE COMPLIANCE
Até este ponto verificamos que um Programa de Compliance efetivo é aquele que está integrado ao negócio por ter um processo confiável de identificação, mensuração, priorização e minimização de riscos que possam impactar os objetivos da empresa, sendo o profissional de Compliance o principal facilitador que deve implementar este processo.
Sendo mandatário deste importante papel, o profissional de Compliance deve ter em mente que há riscos específicos na implementação desse processo e, para tais riscos, ele será o especialista que deverá identificar, mensurar, priorizar e tomar decisões para minimizá-los.
São riscos específicos do Programa de Compliance aqueles que venham a impactar a sua implementação, ou seja, a implementação de todos os pilares necessários para o seu devido funcionamento.
De acordo com o guia Programa de Integridade: Diretrizes para Empresas Privadas, pulicado em 2015 pela Controladoria-Geral da União, são pilares essenciais para um Programa de Compliance efetivo: Comprometimento e apoio da alta direção, Instância responsável pelo Programa de Compliance, Análise e perfil de riscos, Estruturação das regras e instrumentos e Estratégias de monitoramento contínuo.
A seguir temos alguns exemplos de riscos na implementação destes pilares:
CONCLUSÃO
Um Programa de Compliance eficaz é aquele plenamente integrado ao negócio de forma de seus pilares estejam devidamente implementados, em especial as atividades de Gestão de Riscos que devem endereçar os principais riscos que impactem o atingimento dos resultados da empresa, sejam eles de curto ou de longo prazo.
O profissional de Compliance é o principal responsável pela implementação e facilitação do Programa (alguns inclusive o chamam de “maestro” de todo o processo), sendo imperativo que o processo implementado seja seguido por toda a empresa, sob pena do Programa de Compliance não ter seu valor compreendido e, em última análise, não ser efetivo aos olhos de terceiros.
Toda a organização é responsável por executar o processo de Gestão de Riscos e o profissional de Compliance deve facilitar essa execução, envolvendo os especialistas necessários para cada tipo de risco identificado. Há riscos específicos do Programa de Compliance, que são os riscos que venham a impactar na implementação do Programa como um todo e, nestes casos, o profissional de Compliance é o especialista que deverá propor soluções ou formas de mitigação destes riscos.
Outro ponto que fica claro é que toda a empresa precisa estar comprometida com a implementação do Programa de Compliance e isso não significa deixar de lado seus objetivos ou o cumprimento do seu Contrato ou Estatuto Social, pelo contrário, significa entender que um Programa de Compliance efetivo será uma vantagem competitiva única e de difícil reprodução pelos seus concorrentes.
Joelson Santos é Compliance Manager da Allergan Br. Administrador, Tecnólogo em Sistemas de Informação e Advogado com mais de 12 anos de experiência em Compliance e Governança Corporativa, principalmente no mercado da saúde, em empresas como Novartis, Daiichi-Sankyo, CVS Health e Allergan.
Referências:
GIOVANINI, Wagner. Compliance: a excelência na prática. 1.ed. São Paulo: [s.n.], 2014.
SERPA, Alexandre da Cunha. Compliance Descomplicado: um guia simples e direto sobre o Programa de Compliance. 1.ed. [S.I.]: [s.n.], 2016.
CUNHA, Matheus (Org.); KALAY, Marcio (Org.). Manual de Compliance. 1ª Edição. São Paulo: LEC, 2019.
Imagem: Freepik
