1. PROGRAMAS DE COMPLIANCE E INTEGRIDADE X RISK ASSESSMENT
No meio corporativo brasileiro os Programas de Compliance e Integridade são relativamente novos, e sua utilidade vai muito além do que a sua tradução literal derivada do inglês do verbo to comply – estar em conformidade, que dá a entender que o programa vem somente para auxiliar empresas a cumprirem suas legislações e regulamentações.
Essa ferramenta se bem aplicada dá as empresas uma visão dos riscos a que estão sujeitas, possibilitando que os mesmos sejam minimizados ou mesmo evitados, tornando-se primordial dentro do conceito de Governança Corporativa.
Após o advento da Lei 12.846/13, a chamada Lei Anticorrupção foi que as empresas brasileiras, vendo a necessidade e obrigatoriedade de implementação de um programa de integridade, começaram a criar estruturas de compliance.
Como o tema no Brasil é recente, neste início está ligado quase que em sua totalidade ao combate à corrupção. Contudo, o programa de compliance tem uma compreensão muito mais ampla do que somente abarcar aspectos legais e regulatórios, e se dedicar unicamente a alguns temas específicos dentro da empresa, deve abranger de forma geral todos os riscos do negócio. Porém, culturalmente é um grande desafio propor às organizações a implantação de um programa que não visa o lucro imediato, mas sim diminuir as fontes de risco.
Cinco pilares devem ser observados na construção de um programa de compliance e integridade ao levar em consideração a Lei 12.846/2013 (Lei Anticorrupção), a ISO 19600:2014 que trata da Gestão de Sistemas de Compliance) e as Diretrizes da CGU (Corregedoria Geral da União), sendo eles: 1. Apoio da alta administração; 2. Definição de instância responsável; 3. Análise de riscos; 4. Estruturação de regras e instrumentos; 5. Monitoramento contínuo.
Conforme se pode notar, em razão de que o programa de compliance e integridade tem por finalidade a prevenção, detecção e respostas à riscos, para que se obtenha a sua eficácia será necessário um conhecimento profundo do negócio e dos riscos aos quais ele está exposto.
É nesse momento que o feitio de um risk assessment (análise de riscos) bem planejado se torna de suma importância para a construção, implementação e manutenção de um Programa de Compliance.
A análise de riscos determinará todos os eventos incertos que de alguma forma possam vir a influenciar positiva ou negativamente no atingimento de objetivos e metas da organização, ofertando maior clareza na elaboração de estratégias do negócio perseguido.
2. RISK ASSESSEMENT X SUPORTE À ELABORAÇÃO DE ESTRATÉGIAS DE NEGÓCIO
A Lei nº 12.846, de 2013 (Lei Anticorrupção), que de forma ampla trata da aplicação das sanções administrativas e judiciais em relação às pessoas jurídicas, também inovou ao possibilitar a concessão de benefícios às empresas que possuem dentro da sua organização uma estruturada de compliance, acabando por inserir definitivamente essa palavra no vocabulário dos brasileiros.
Porém, o conceito de compliance não é tão novo entre os brasileiros como se imagina, sendo que desde 09/1998, com a publicação da Resolução nº 2.554 do Banco Central do Brasil (Bacen), as regras trazidas da Europa (Comitê da Basiléia para Supervisão Bancária, 1975), e dos Estados Unidos da América (SEC – Securities and Exchange Commission, 1934), onde já existia a filosofia compliance, começam a ser aplicadas aqui.
Com isso, as instituições financeiras viram-se obrigadas a criar em seus organogramas áreas específicas de compliance, elaborando códigos de ética, cartilhas de conduta no atendimento aos clientes, treinamentos em agências, análise matricial de riscos operacionais e de mercado, entre outras tarefas.
Com o tempo outras empresas, fora do segmento financeiro, foram paulatinamente incorporando em suas estruturas pessoas responsáveis pelo compliance. De fato, o que não existia antes de 2014 em relação ao compliance são os benefícios que podem ser obtidos com a implementação do programa de compliance e integridade, haja visto que as sanções poderão ser menores se a empresa tiver na sua organização uma estrutura efetiva de compliance.
Observa-se então, que não se trata de uma novidade conceitual, uma vez que a cultura de compliance há anos já existe oficialmente no Brasil, contudo, somente agora com a entrada em vigor da Lei 12.846/2013, aliado aos escândalos de corrupção vivenciados pelo Brasil nos últimos anos, é que sua importância e implementação veio à tona.
Com isso, levando-se em consideração a proposta disciplinada na Lei nº 12.846/2013, as diretrizes da Controladoria Geral da União – CGU, e a ISO 19600:2014, quando se discute o desenvolvimento de um Programa de Compliance e Integridade verifica-se a necessidade de aplicação de cinco grandes pilares: 1. Apoio da alta administração; 2. Definição de instância responsável; 3. Análise de riscos; 4. Estruturação de regras e instrumentos; 5. Monitoramento contínuo.
Neste contexto, tratar-se-á somente do pilar denominado análise de riscos (risk assessment), cujo conceito de risco de acordo com Instituto Brasileiro de Governança Corporativa – IBGC, pode ser assim tratado:
O termo risco é proveniente da palavra risicu ou riscu, em latim, que significa ousar (to dare, em inglês). Costuma-se entender “risco” como possibilidade de “algo não dar certo”, mas seu conceito atual envolve a quantificação e qualificação da incerteza, tanto no que diz respeito às “perdas” como aos “ganhos”, com relação ao rumo dos acontecimentos planejados, seja por indivíduos, seja por organizações.[1]
Dessa forma, é possível afirmar que o gerenciamento de risco está diretamente ligado a capacidade de uma empresa ou organização ter controle sobre as incertezas, estejam elas relacionadas as perdas ou aos ganhos, para que, identificados os riscos, seja possível minimizar ou até mesmo eliminar os seus efeitos através de um efetivo controle e tratamento priorizado.
Vendo essa importância a Associação Brasileira de Normas Técnicas – ABNT, criou a ISO 31000:2018 que fornece diretrizes para gerenciar riscos enfrentados pelas organizações.
Dentre outros temas a norma estabelece princípios necessários que deverão ser seguidos para que a gestão de riscos seja eficaz, os quais, indiretamente, demonstram a importância da gestão de riscos para a elaboração de estratégias de negócios. São esses princípios[2]:
a) A gestão de risco cria e protege valor, pois ela contribui para a realização demonstrável dos objetivos e para a melhoria do desempenho da atividade gerenciada;
b) A gestão de risco é parte integrante de todos os processos organizacionais, e não uma atividade autônoma apartada das principais atividades e processos de administração, devendo integrar todos os processos – desde o planejamento até a gestão de projetos;
c) A gestão de riscos é parte da tomada de decisões, deve orientar os tomadores de decisões a fazer escolhas conscientes, priorizar ações e distinguir entre formas alternativas de ação;
d) A gestão de riscos aborda explicitamente a incerteza, uma vez que a gestão de riscos envolve a postura da organização diante das incertezas;
e) A gestão de riscos é sistemática, estruturada e oportuna, pois são esses atributos que contribui para a eficiência e para os resultados consistentes, compráveis e confiáveis;
f) A gestão de riscos baseia-se nas melhores informações disponíveis, pois as entradas para o processo de gerenciar riscos são baseadas em fontes de informação, sendo conveniente que os tomadores de decisão se informem e levem em consideração quaisquer limitações dos dados ou modelagem utilizados;
g) A gestão de riscos é feita sob medida, e deve estar alinhada com o contexto interno e externo da organização e com perfil do risco;
h) A gestão de riscos considera fatores humanos e culturais;
i) A gestão de riscos é transparente e inclusiva, uma vez que para que a gestão de riscos permaneça pertinente e atualizada, deve ser possibilitado o envolvimento apropriado e oportuno de partes interessadas e, em particular, dos tomadores de decisão em todos os níveis da organização;
j) A gestão de risos é dinâmica, iterativa e capaz de reagir a mudanças, pois na medida em que acontecem eventos externo e internos, novos riscos surgem, alguns se modificam outros desaparecem;
k) A gestão de riscos facilita a melhoria continuada da organização, já que o desenvolvimento e implementação de estratégias para melhorar a gestão de ricos devem ser feitos juntamente com todos os demais aspectos da organização.
Destarte, uma análise de riscos realizada de forma estruturada em que se pode identificar o maior número de incertezas (riscos) do negócio, certamente trará de forma antecipada uma maior segurança na elaboração de qualquer negócio, podendo-se inclusive identificar a sua viabilidade e dificuldades de implantação.
3. CONSIDERAÇÕES FINAIS
A necessidade de implementação de um programa de compliance e integridade nas empresas que atuam no Brasil se tornou uma necessidade após o advento da Lei Anticorrupção e os inúmeros casos de corrupção que foram desvendados nos últimos anos e demonstraram a fragilidade do sistema legal e de controle brasileiro.
Diante desses aspectos, os estudos de organizações sobre o programa de compliance foram aprofundados, sendo que se estabeleceu algumas diretrizes na construção do programa que devem ser seguidas, as quais são chamadas de pilares básicos.
Dentre os pilares está o risk assessment, que para muitos é o ponto inicial na construção do programa de compliance, posto que é na análise e identificação dos riscos que se poderá entender as necessidades e áreas mais afetas ao programa de compliance.
A análise de riscos (risk assessment) completa em que se identifique o maior número de riscos possíveis com o posterior estabelecimento de instrumentos capazes de minimizá-los, em razão de dar um amplo conhecimento do negócio, apontando os problemas que a organização enfrenta ou poderá enfrentar, certamente serve muito para auxiliar na elaboração de estratégias de negócio, justificando investimento nesta área.
4. REFERÊNCIAS:
ABNT. Gestão de Riscos – Princípios e diretrizes. NBR ISO 31000. Associação Brasileira de Normas Técnicas. 2018.
ABNT. Sistema de Gestão de Compliance. NBR ISO 19600. Associação Brasileira de Normas Técnicas. 2014.
BRASIL. Lei nº 12.846, de 1º de agosto de 2013. Dispõe sobre a responsabilização administrativa e civil de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira, e dá outras providências.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet).
BRASIL. Decreto nº 8.420, de 18 de março de 2015. Regulamenta a Lei nº 12.846, de 1o de agosto de 2013, que dispõe sobre a responsabilização administrativa de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira e dá outras providências.
BRASILIANO, Antonio Celso Ribeiro. Inteligência em riscos: gestão integrada em riscos corporativos. São Paulo: Sicurezza, 2016.
CAMPOS, Patrícia Toledo. Comentários à Lei nº 12.846/2013 – Lei Anticorrupção. São Paulo: Revista Digital de Direito Administrativo, 2015.
CASTRO, Rodrigo Pironti Aguirre de. Compliance e gestão de riscos nas empresas estatais. 2ª ed. Belo Horizonte: Fórum, 2019.
CONTROLADORIA GERAL DA UNIÃO. Programa de Integridade: diretrizes para empresas privadas, 2015. Disponível em: <https://www.cgu.gov. br/Publicacoes/etica-e-integridade/arquivos/programa-de-integridadediretrizes-para-empresas-privadas.pdf>. Acesso em: 22 de setembro de 2019.
CONTROLADORIA GERAL DA UNIÃO. Guia Prático de Gestão de Riscos para a Integridade: orientações para a administração pública federal direta, autárquica e fundacional. Disponível em: <https://www.cgu.gov.br/Publicacoes/etica-e-integridade/arquivos/manual-gestao-de-riscos.pdf/view>. Acesso em: 22 de setembro de 2019.
GIOVANINI, Wagner. Compliance: a excelência na prática. 1ª ed. São Paulo: 2014.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia de orientação para gerenciamento de riscos corporativos. São Paulo: IBGC, 2007.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Novo Framework do COSO ERM. Disponível em: <https://ibgcemfoco.wixsite.com/ibgcemfoco/singlepost/2018/03/28/NovoframeworkdoCOSOetemade-palestra>. Acesso em: 22 de setembro de 2019.
Notas
[1] INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia de orientação para gerenciamento de riscos corporativos. São Paulo: IBGC, 2007. p. 11
[2] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO 31000. Gestão de Riscos - Princípios e diretrizes. Rio de Janeiro: NBR, 2018.
