“A natureza da cultura de uma organização é crucial para o sucesso ou falha de um sistema de gestão (…).” De acordo com este trecho da Norma ABNT NBR ISO 37001, a cultura de Compliance é tão importante e relevante que deve influenciar a todos colaboradores e parceiros de negócio. A Alta Direção é responsável por promover essa cultura e prover os recursos necessários. Entende-se por cultura de Compliance o compromisso e envolvimento da organização em aderir conceitos e normas de integridade, desde leis até regulamentos internos.
Listamos abaixo alguns pontos que entendemos como cruciais para se estabelecer uma cultura de Compliance em sua organização.
Obtenha suporte da Alta Administração (tone at the top)
O suporte da Alta Administração é imprescindível, o exemplo deve vir de cima e as regras devem ser aplicáveis a todos os colaboradores e conselho de administração sem distinção de cargos e funções. A presença de uma cultura de Compliance tem na Alta Direção um importante ponto de partida. É preciso que não só as regras sejam seguidas por todos, como já dito, mas que as consequências, na forma de alertas, sanções ou punições sirvam para todos também. Alguns documentos traduzem essas regras e normas como o Código de Ética e Conduta e s Políticas da organização, ambos aprovados e endossados pela Alta Direção. A Norma ISO 37001:2017 afirma que mais do que seguir, é de responsabilidade da Alta Direção a implementação e conformidade do Sistema de Gestão Antissuborno, aspecto em voga quando se trata de Compliance em tempos de Lava Jato e acordos de delação premiada. Muitas empresas possuem em seus acordos requisitos como a Certificação ISO 37001, que deve ser feita por uma empresa acreditada pela Cgcre do Inmetro, como o RBNA Consult. Por fim, um exemplo prático seria a presença da Alta Direção nos Treinamentos ligados ao tema além do envolvimento na prevenção e na sua implementação em empresas de menor porte.
Avalie seus riscos e mantenha-os mapeados
Cada organização é única, logo seus riscos de Compliance são específicos. A melhor forma de lidar com riscos é através do seu mapeamento. O processo de análise envolve algumas etapas como o planejamento, entrevistas, documentação e catalogação dos dados com foco em estabelecer as medidas de remediação cabíveis. Os riscos são alocados na matriz de risco de acordo com a análise dos profissionais de Compliance e de alguns colaboradores de áreas distintas. O importante é não só consultar os líderes de cada área, mas os colaboradores que estão mais envolvidos com a operação no dia-a-dia para não se ter uma visão míope dos riscos. Vale ressaltar que os parceiros de negócio também devem entrar nesse monitoramento e serem acompanhados de perto. O post Due diligence e a Lei 12.846 Anticorrupção trata dessa questão mais profundamente. A Norma ISO 37001 enfatiza uma visão preventiva do risco. Assim como os pilares do Compliance, a matriz de risco tem objetivo de prevenir, detectar e remediar os riscos. É importante entender que não existe risco zero, mas a partir do momento que eles são conhecidos eles podem ser tratados. De acordo com o critério da organização, os riscos classificados como baixos podem ser apenas acompanhados, não necessariamente precisam ter medidas mitigatórias específicas. As ferramentas utilizadas para análise de risco variam. Uma matriz de risco simples e bastante utilizada é a de probabilidade x impacto. O importante é se manter razoável e proporcional, ou seja, se sua organização tem 10 colaboradores talvez uma matriz mais simples já seja suficiente para o seu negócio. Já para uma organização internacional com 10.000 colaboradores com filiais ao redor do mundo talvez a matriz deva ter um nível maior de complexidade. O ideal é customizar a matriz para que ela se adeque as necessidades e ao porte da sua organização.
Elabore treinamentos e uma forma de comunicação ágil
Para elaborar um programa de treinamento efetivo, alguns pontos precisam ser observados. É importante conhecer o público, qual seu interesse com aquela informação que está sendo transmitida e qual a melhor forma de comunicação com esse público, seja uma apresentação em um auditório, uma tirinha impressa no formato de gibi e entregue em mãos ou ainda um treinamento EAD (ensino a distância). O objetivo do treinamento é outro ponto importante a ser observado. A pergunta que deve ser feita é “para que ao final do treinamento, meu público saiba o conceito x, qual a melhor trilha a se percorrer?” Outro ponto é encontrar a melhor forma de comunicação. Em uma empresa de médio porte, talvez seja mais eficiente treinar os líderes e esses ficarem responsáveis por treinar seus colaboradores. Já em uma empresa de pequeno porte, talvez treinar todos os colaboradores juntos seja mais eficaz. Ao final do treinamento, é importante manter uma lista de presença ou ainda um quiz para registrar o grau de entendimento dos colaboradores. Futuramente isso pode ser usado para aprimoramento do treinamento além de servir como um registro para o sistema de Compliance da organização. Em relação a comunicação, estabelecer como se dará a comunicação no dia-a-dia é outro ponto importante. A comunicação pode se dar através de uma intranet ou outra ferramenta que possa ser utilizada pelos colaboradores e que facilite a comunicação interna e que seja de fácil acesso além de possuir uma boa navegabilidade. Além disso, é importante o colaborador saber que tem um canal de comunicação aberto seja com seu líder ou com os profissionais de Compliance da empresa para tirar suas dúvidas e expor suas opiniões como forma de ajudar a manter uma cultura de Compliance na organização. Quer saber mais? Acesse nosso post Treinamento em Compliance: Uma mudança no comportamento.
Monitore e audite sua organização
O monitoramento e auditoria (interna e externa) são processos de avaliação que devem ser constantes como forma de garantir a efetividade do programa de Compliance. Uma metodologia interessante, nesse caso, é a do PDCA, usado na construção da Norma ISO 37001. Plan, Do,Check e Act são as etapas que compõe o mesmo. Na etapa “plan” o foco é na parte estratégica. Já na etapa “do” parte-se para a prática, executar tudo o que foi planejado. O “check” é a etapa da verificação, se certificar de que tudo que foi planejado e colocado em prática está funcionando da maneira esperada e tomar nota do que não estiver, caso haja. A última etapa do ciclo é a de “act” ou “adjust”, ou seja, é nesta os problemas e divergências serão corrigidos. Outra forma de monitoramento que está ganhando espaços nas organizações é o canal de denúncia. Segundo a ACFE (Association of Certified Fraud Examiners), apenas no ano de 2015 a ferramenta foi responsável por 43% das fraudes identificadas. Um canal de denúncia efetivo inibe e direciona os comportamentos dentro da organização além da identificação prematura dos riscos possibilitando ações corretivas e mais, preventivas. Sua implementação vai muito além da disponibilização de uma linha telefônica, formulário ou e-mail. A operação deve ser sofisticada e integrar o programa de Compliance da instituição. Uma tendência do mercado é a terceirização do canal de denúncia. Esta é uma forma imparcial e isenta da empresa receber suas denúncias tendo em vista que quem fará sua apuração não apresenta qualquer tipo de conflito de interesse. Para se aprofundar em como conduzir uma auditoria interna, acesse nosso post Como uma auditoria é conduzida?.
Os pontos tratados acima são em sua natureza preventivos com exceção da auditoria. Mas medidas precisam e devem ser tomadas quanto a fraudes e condutas ilegais em relação aos regulamentos e políticas das organizações quando um comportamento e atividade ilícita for detectado. O Código de Ética e Conduta, já citado nesse post, deve prever as sanções aplicáveis caso algum colaborador ou ainda parceiro de negócio, cometa algum ato ilícito. Essas sanções devem ser de conhecimento de todos e se aplica a todos os colaboradores da organização inclusive ao seu conselho administrativo.
Nenhum programa é infalível, ou seja, não existe risco zero. Mas a partir do momento em que se institui um processo cíclico de controle a chance de atos ilícitos ocorrerem é sempre reduzida. E mais, caso uma organização eventualmente se envolva em alguma questão ligada à corrupção e possua comprovadamente um programa efetivo de Compliance a instituição poderá ter sua pena reduzida assim como sua multa. Ter um programa efetivo aqui é conseguir comprovar de que tal ato foi uma apenas uma atividade isolada e não sistêmica da organização entre outros.