O termo compliance é oriundo do verbo em inglês to comply, que significa agir de acordo com algum tipo de regra, ou seja, estar em conformidade com leis e regulamentos externos e internos. Os 5 pilares de um programa de compliance mostrados a seguir são formas práticas de se alcançar a conformidade, ou seja, da empresa estar em Compliance. De acordo com Federal Sentencing Guidelines e Guia de Integridade para Empresas Privadas (Ministério da Transparência), tem-se:
- Suporte da Alta Administração: tone from the top
O suporte da Alta Administração é imprescindível. O chamado tone from the top refere-se justamente ao fato de que o exemplo deve vir de cima. Ou seja, as regras são as mesmas para todos os colaboradores, inclusive os membros da Alta Direção e Conselho. A Norma ISO 37001:2016 afirma que mais do que seguir, é de responsabilidade da Alta Direção a implementação e conformidade do Sistema de Gestão Antissuborno, aspecto em voga quando se trata de Compliance em tempos de Lava Jato. Um exemplo prático seria a presença da Alta Direção nos Treinamentos ligados ao tema além do envolvimento na prevenção e na sua implementação em empresas de menor porte.
- Avaliação de Risco
Cada organização é única, logo seus riscos de Compliance são específicos. A forma de contornar isso é através do mapeamento desses riscos. O desenvolvimento do processo de CRA – Compliance Risk Assessment – possibilita a identificação e criação de medidas que busquem a mitigação dos riscos previamente mapeados. O processo de análise envolve algumas etapas como o planejamento, entrevistas, documentação e catalogação dos dados com foco em estabelecer as medidas de remediação cabíveis.
- Cultura organizacional
Autores definem “cultura organizacional” como um universo composto por crenças e valores compartilhados pelos membros de uma organização, é uma espécie de guia que indica por quais caminhos a organização construiu sua história. A partir disso, é importante formalizar aquilo que já é de postura da empresa através de um Código de Conduta e Políticas de Compliance. Para manter as engrenagens funcionando a todo vapor, a empresa precisa de controles internos e para estes serem efetivos devem assegurar que os objetivos da operação estão sendo alcançados, que as demonstrações financeiras são confiáveis e também que a empresa está em conformidade, ou seja, está cumprindo leis e regulamentos. Outro ponto importante são os treinamentos e a comunicação, estes têm objetivo de disseminar os valores da empresa não só interna como externamente além de formalizar a comunicação interna.
- Canal de Denúncia
Segundo a ACFE (Association of Certified Fraud Examiners), apenas no ano de 2015 a ferramenta foi responsável por 43% das fraudes identificadas. Um canal de denúncia efetivo inibe e direciona os comportamentos dentro da organização e também oferece a identificação prematura dos riscos possibilitando ações corretivas e preventivas. Sua implementação vai muito além da disponibilização de uma linha telefônica, formulário ou e-mail. A operação deve ser sofisticada e integrar o programa de Compliance da instituição. Uma tendência do mercado, até pelo momento político em que vivemos, é o da terceirização do canal de denúncia. Esta é uma forma imparcial e isenta da empresa receber suas denúncias tendo em vista que quem fará sua apuração não tem interesse direto na mesma.
- Monitoramento e Auditoria
Por último, mas não menos importante, o monitoramento e auditoria são processos de avaliação que devem ser constantes como forma de garantir a efetividade do programa de Compliance. É de responsabilidade da área de Compliance o monitoramento contínuo de que as normas e processos internos estão sendo cumpridos. Uma metodologia interessante, nesse caso, é a do PDCA, usado na construção da Norma ISO 37001, por exemplo. Plan, Do,Check e Act são as etapas que compõe o mesmo. Na etapa “plan” o foco é na parte estratégica. Já na etapa “do” parte-se para a prática, executar tudo o que foi planejado. O “check” é a etapa da verificação, se certificar de que tudo que foi planejado e colocado em prática está funcionando da maneira esperada e tomar nota do que não estiver, caso haja. A última etapa do ciclo é a de “act” ou “adjust”, ou seja, é nesta os problemas e divergências serão corrigidos.
Especialistas destacam que nenhum programa é infalível, ou seja, não existe risco zero. Mas a partir do momento em que se institui um processo cíclico de controle e de análise dos riscos, a chance deles virem a se materializar é sempre reduzida. E mais, caso uma organização se envolva em alguma questão ligada a corrupção e possua comprovadamente um programa efetivo de Compliance, a instituição poderá ter sua pena reduzida. Quer saber mais sobre a certificação da ISO 37001 Antissuborno? Acesse a nossa página e solicite um contato.