Compliance significa conformidade às leis e regulamentos. Uma empresa está em compliance se todos os seus macroprocessos possuem controles adequados para o risco legal ou regulatório.
O presente artigo aborda de forma prática de que maneira uma organização pode obter um ambiente que assegure sua conformidade à legislação: através dos Programas de Compliance.
Ao final será apresentado um roteiro aplicado à Lei Anticorrupção que poderá ser seguido por qualquer empresa para estabelecer ferramentas de controle em seus processos visando a conformidade à essa exigência legal.
A expressão “compliance” ganhou muita força nas Instituições Financeiras a partir de um normativo de seu regulador (Resolução CMN 2.554/98). Basicamente, essa regulamentação estabelece que estas instituições devem ter controles adequados às suas atividades, alinhados às determinações da Basiléia (o banco central dos bancos centrais). Estar em conformidade às leis e regulamentos é um dos itens expressos nesse normativo, o que vale dizer que Compliance é uma atividade de Controles Internos. Isso implica que todas as ferramentas de controles de uma organização podem, e devem, ser utilizadas também com o propósito de assegurar que ela esteja atuando absolutamente dentro da lei.
O caminho padrão para estabelecer o compliance nos macroprocessos é ter o Risco Legal ou Regulatório mapeado dentro do Risco Operacional. Com isso, estabelece-se o conhecimento dos gestores e da alta administração de todas as principais ameaças à conformidade legal da empresa. Entretanto, há uma questão executiva que exige uma abordagem mais imediata: como assegurar, para um determinado assunto ou tema relevante, que a organização está aderente às leis? É nesse contexto que surgiram os chamados Programas de Compliance.
Portanto, paralelamente à abordagem tradicional, com base em Controles Internos e Gestão de Processos e Riscos, a abordagem por Programas de Compliance visa testar diretamente os controles relacionados a temas relevantes e específicos, independentemente de estarem eles devidamente mapeados ou listados nos catálogos de processos da empresa. Ressalte-se que ambas as abordagens são fundamentais e não excludentes. Sabe-se que o controle do Risco Legal depende também de acompanhamento normativo e de rápido acesso à legislação atualizada, algo que ainda não é trivial dado o ordenamento jurídico do país. Some-se a isso a necessidade de acompanhar a jurisprudência, assim como a tendência dos tribunais e o posicionamento setorial das empresas frente às inúmeras controvérsias geradas por regulamentos cada vez mais específicos mas nem sempre em sintonia com o propósito ou modus operandi das linhas de negócio.
Um Programa de Compliance permite rapidamente verificar o grau de conformidade de vários processos em relação a um tema específico. Ele é composto por uma sequência de assertivas para as quais deve-se verificar a conformidade (ou não). Em muitas situações é necessário selecionar amostras para análise. Ao final, é dada uma avaliação global que mede o grau de conformidade da empresa em relação àquele assunto.
Uma importante característica desses programas está na diferença entre sua elaboração e sua execução. Enquanto que na elaboração é requerida plena participação dos gestores de negócio, com apoio eventual de setores jurídicos, na execução qualquer funcionário é capaz de realizar a checagem das assertivas, que são escritas de forma extremamente simples e sem margem a dúvidas.
Os resultados da aplicação periódica de determinados Programas de Compliance podem ser acompanhados em Comitês. Em Instituições Financeiras, por exemplo, é comum a apresentação de indicadores de conformidade de agências bancárias, divididas por região, complexidade, movimento e nível de risco. Daí a importância de os temas desses programas terem processos muito bem estabelecidos e, mais do que isso, terem sido objeto de gestão de qualidade. Só se deve acompanhar métricas de desempenho em processos otimizados quanto às suas principais etapas, observando-se itens como retrabalho, atribuição de responsabilidades, avaliação de riscos e estabelecimento de controles.
Em relação à Lei Anticorrupção (Lei nº 12.846/2013, que estabelece responsabilização objetiva à pessoa jurídica envolvida em casos de corrupção com a administração pública), assunto cada vez mais relevante no meio empresarial, pode-se elencar alguns itens básicos a serem analisados. Cada item pode ser desdobrado até o nível de assertivas. Quanto mais detalhado for o Programa de Compliance, maior será a precisão da verificação de conformidade da organização em relação ao tema.
São itens propostos passíveis de verificação:
- Há um “Manual Anticorrupção”, ainda que inserido no Código de Ética, amplamente divulgado por toda a organização?
- Há treinamento específico para todos os funcionários sobre práticas anticorrupção?
- Há política de Conheça seu Parceiro (KYP), na qual são estabelecidas rotinas de verificação de todas as contrapartes da instituição, qualquer que seja o tipo de contrato estabelecido, especialmente em relação ao poder público?
- Para todos os contratos de grandes valores há declaração expressa do setor jurídico e do responsável pelo negócio e pela contraparte de que cada contrato está alinhado ao que se pratica no mercado para aquele tipo de transação?
- Há centralização de contratação em uma área (geralmente denominada procurement), que será responsável pela aplicação dos controles descritos no item anterior?
- Há processo definido de due diligence em parceiros de contratos de grande valor?
- Há foro adequado, dentro da estrutura de governança, para dirimir quaisquer dúvidas ou conflitos relacionados aos controles anticorrupção estabelecidos?
- Há um setor corporativo de controles internos, compliance, gestão de risco ou jurídico, responsável por observar e guardar documentação e evidência de todos os controles anticorrupção estabelecidos?