8 Passos do Compliance

26 Agosto 2018

Os 8 Passos de um Programa de Compliance e Etica Empresarial

Os 8 Passos de um Programa de Compliance e Etica Empresarial

Um Programa Efetivo de Compliance, fortalece a cultura, alavanca os negócios e protege a reputação da empresa. Inclusive permite o reconhecimento público pelo Ministério da Transparência, Fiscalização e Controladoria-Geral da União (antiga CGU) como empresa Pró Ética, que pode ser um diferencial no mercado e trazer benefícios para a marca.

Conheça a seguir os 8 passos para tornar este programa efetivo uma realidade na sua empresa:

PROMOÇÃO E DIREÇÃO

 

PATROCÍNIO E TONE OF THE TOP

O sucesso de um Programa Efetivo de Compliance é condicionado ao suporte recebido da Alta Direção da empresa. Eles são os maestros que vão dar o tom, e conduzir toda a organização rumo ao caminho certo. Por isto, é fundamental que a Alta Direção esteja preparada, em termos de competências e de conhecimento técnico para exercer este papel.

O desafio é inserir a cultura de Compliance na cultura da empresa, fazendo com que o tema seja parte das prioridades da gestão, inclusive com reflexos nas metas e ações de reconhecimento. O Compliance deve estar inserido no dia-a-dia, e ser visto como parte integrante e parceira do negócio.

É necessário que a conscientização da necessidade de se adequar às normas seja iniciada e seguida pela Alta Direção da empresa, tornando o conceito permeável em toda a organização, principalmente via liderança pelo exemplo.

Cabe à Alta Administração garantir que os recursos necessários para o desenvolvimento, implantação e aprimoramento contínuo do Programa de Compliance estejam disponíveis.

“É necessário o patrocínio da alta direção para o Programa e o comprometimento com a cultura de Compliance.

Participação direta da alta direção na promoção e no acompanhamento do Programa de Compliance faz a diferença.

Liderança pelo exemplo e disponibilização dos recursos necessários.”

FERRAMENTAS PARA O COMPROMETIMENTO COM A CULTURA DE COMPLIANCE

PARA SABER MAIS

 

 

SUPERVISÃO E RECURSOS PARA COMPLIANCE

Para proporcionar o comprometimento de toda a equipe e cumprimento efetivo dos controles internos adotados, é fundamental a criação de uma função de Compliance dentro das organizações. Estão inclusas entre as responsabilidades dessa função, a promoção de uma cultura de ética e compliance, a definição de necessidades de normas e políticas internas, o atendimento a legislação e regulamentação e zelar pelo cumprimento das diretrizes estabelecidas, inclusive as normas internas, a coordenação dos esforços internos do Programa de Compliance e a gestão do mesmo. Essa função será estruturada de acordo com a tamanho, complexidade e exposição ao risco de cada organização.

A liderança de Compliance deve poder atuar com independência e autonomia na definição e cumprimento das políticas internas estabelecidas. A área deve dispor de recursos suficientes, ter exposição interna e externa e ser reconhecida como autoridade para fazer cumprir as regras estabelecidas. A função de Compliance é peça fundamental para o controle efetivo dos riscos na sua organização e para o cumprimento de normas internas e externas. Outra peça importante, pensando na governança do Programa, é o comitê de Ética & Compliance. A atuação do comitê deve ser formalizada em regimento, bem como todas as suas decisões devem ser rastreáveis. Entre os papéis tipicamente realizados pelo comitê estão a definição de como agir nos casos não previstos nas regras estabelecidas, a decisão em relação ao processo de apuração de denúncias e suas consequências.

“É fundamental ter um responsável por Compliance dentro das organizações.

A liderança de Compliance deve dispor de independência, autonomia e recursos suficientes para o sucesso do programa.

O comitê de Ética & Compliance é parte de uma estrutura de governança adequada.”

FERRAMENTAS PARA SUPERVISÃO E RECURSOS PARA COMPLIANCE

PARA SABER MAIS

 

GESTÃO E CONSCIENTIZAÇÃO

 

SUPERVISÃO E RECURSOS PARA COMPLIANCE

Outro pilar importante de um Programa Efetivo de Compliance são as normas internas. É necessário a criação de normas, com diretrizes que guiem a atuação da empresa, tanto no âmbito da pessoa jurídica, como também na atuação individual de todos os envolvidos com a operação do negócio. Uma ferramenta importante é o Código de Ética & Conduta, que deve conter regras e linguagem claras, concisas e acessíveis sobre o relacionamento entre as partes da sua organização, formalizando o comportamento esperado das diversas partes envolvidas no negócio. O Código de Ética & Conduta da sua organização deve levar em consideração a realidade, a cultura e os valores da empresa, e sua a construção deve ser coletiva e baseada em princípios. Para processos e públicos críticos, como Fornecedores e Suprimentos, é recomendável que a empresa desenvolva códigos setoriais específicos.

O Código de Ética & Conduta, como balizador corporativo, deve contemplar orientações sobre como lidar com situações de conflito de interesse (individual vs empresa), tais como recebimento e entrega de brindes, presentes e hospitalidade, realização de doações e patrocínios, contratação de profissionais e de ornecedores, entre outros. Políticas e procedimentos complementares ao código devem ser desenvolvidos, em especial a Política Anticorrupção, a Política de Compras e a Política de Pagamentos, e aquelas que mitiguem os riscos críticos levantados no assessment (passo 4). Outras políticas recomendáveis são: de Consequências, de Compliance, de Due Diligence, de Segurança de Informações, de Presentes e Hospitalidade, de Doações e Patrocínios, de Relacionamento com Órgãos Públicos, de Gestão de Riscos, de Segurança de Informações, e outras. As normas devem ser revisadas periodicamente, de modo a contemplar as mudanças da empresa e do ambiente no qual ela está inserida. Devem ser vistas como documentos “vivos”. É fundamental dar conhecimento das normas aos colaboradores, terceiros, fornecedores, parceiros e outros públicos relevantes, bem como disponibilizar canais para sanar as dúvidas, assim como para relatar situações de não conformidade. Vide detalhes nos passos 7 e 8.

“Regras da empresa, orientando os colaboradores sobre o que pode e o que não pode, devem estar claras e formalizadas.

O Código de Ética & Conduta é o principal direcionador, e se apoia nas políticas e procedimentos para trazer o detalhamento necessário.

Os documentos devem ser revisados e atualizados periodicamente.”

FERRAMENTAS PARA CÓDIGO ÉTICA & CONDUTA, POLÍTICAS E PROCEDIMENTOS

 

 

ASSESSMENT DE RISCOS

Um importante passo inicial é conhecer os riscos aos quais sua empresa está exposta, tendo em vista o ambiente externo com suas leis e regulamentações, e também as normas internas. As geografias de atuação da empresa devem ser cobertas. Nesse diagnóstico, são identificados as áreas e os processos expostos aos riscos de compliance, incluindo questões trabalhistas, de meio ambiente, sanitários, concorrenciais, de crimes financeiros, em especial os de corrupção e de lavagem de dinheiro. Busca-se identificar os tomadores de decisão, suas alçadas e controles associados.

Inclusive, é comum a realização de um levantamento cobrindo apenas questões de corrupção. O foco é em processos críticos, como relacionamento com órgãos públicos, licitações públicas, contratação, pagamentos, obtenção de licenças e alvarás, desembaraço de importação e exportação, presentes e hospitalidade, doações e patrocínios, e afins. A partir do diagnóstico, é possível implantar controles internos para a mitigação, o monitoramento e gerenciamento desses riscos. A integração das áreas de conhecimento de Governança Corporativa, Riscos e Compliance (GRC) cria um modelo abrangente para a proteção e sustentabilidade do negócio. De acordo com pesquisa da ICTS , apenas 29% das empresas consultadas mapearam os seus riscos. Há oportunidade de buscar informações relevantes para a gestão do negócio, e também para se diferenciar no mercado.

“Conhecer as vulnerabilidades e riscos é um pilar importante para iniciar um Programa Efetivo de Compliance.

Mapear e classificar os riscos permite identificar os pontos críticos e priorizar a aplicação dos recursos para tratamento.

Implantar melhorias de forma planejada permite mitigar os riscos e otimizar os resultados.”

FERRAMENTAS PARA A AVALIAÇÃO DE RISCOS

PARA SABER MAIS

 

 

PROGRAMAS DE TREINAMENTOS, COMUNICAÇÃO E INCENTIVO CONTÍNUOS

Promover o conhecimento das normas aplicáveis é fundamental para um Programa Efetivo de Compliance. Regras claras permitem que as ações e decisões sejam realizadas de modo aderente, propiciam maior conforto para os colaboradores e público envolvido, permitem a avaliação de conformidade e o monitoramento, e permitem a aplicação justa de sanções em caso de descumprimento. Treinamento e comunicação são complementares, e ajudam a empresa a disseminar as normas externas e internas aplicáveis, em especial o Código de Ética & Conduta, a Política Anticorrupção e a Lei Anticorrupção. Os treinamentos devem abranger todos os níveis da organização, assim como o público externo relevante, como fornecedores e parceiros. É recomendado o uso de exemplos e estudos de caso, assim como linguagem e formato adequados para cada público.

De modo a cobrir todos os profissionais, a empresa deve considerar a utilização de treinamentos presenciais com instrutores, disseminação com multiplicadores após a capacitação dos mesmos, e o uso de plataforma e-learning. Devem ainda ser periódicos, permitindo a reciclagem dos colaboradores atuais, bem como a integração dos novos na temática compliance. Devem ser registrados, e permitir a avaliação da aprendizagem. As ações de comunicação permitem divulgar as iniciativas do Programa de Compliance, fomentar e reforçar mensagens importantes (por exemplo a regra para brindes e presentes no período de festas de fim de ano), manter o assunto em destaque, inclusive na conversa dos colaboradores. Incentivos são elementos que podem trazer a diferença no processo de gestão da mudança. Além disto, a parceria entre o RH e o Compliance pode fazer a diferença.

“Programas de treinamento, comunicação e incentivos são fundamentais para promover a cultura de Compliance e dar ciência das normas aplicáveis.

A definição de estratégia e plano de treinamento, comunicação e incentivos permite o devido encadeamento e multiplicação do conhecimento, reforço de mensagens no momento correto e reciclagem, otimizando os resultados.

Além do público interno, devem também contemplar o externo também, como fornecedores e parceiros.”

FERRAMENTAS PARA PROGRAMAS DE TREINAMENTOS, COMUNICAÇÃO E INCENTIVO CONTÍNUOS

PARA SABER MAIS

 

CONTROLE E REFORÇO

 

CONTROLES INTERNOS, MONITORAMENTO, AUDITORIA DE CULTURA E APRIMORAMENTO CONTÍNUO

A empresa precisa dispor de meios para garantir que as normas definidas sejam de fato cumpridas, e este é o papel dos controles internos. Os controles devem mitigar os riscos identificados, sem contudo prejudicar a operação, buscando o balanço entre controle e eficiência. Por isso, é necessária a criação de controles adaptados à dinâmica do negócio. Além disto, a empresa precisa monitorar o cumprimento das regras estabelecidas. Uma abordagem tipicamente utilizada é a realização de auditoria, e outra é o monitoramento contínuo, seja de transações críticas, seja de meios de comunicação corporativos. Processos críticos demandam atenção, tais como cadastro, contratação, pagamentos, aprovação de doações, patrocínios, viagens e jantares, licitações, entre outros. Para o monitoramento de transações, é essencial o desenvolvimento de indicadores de riscos (KRIs), que podem ser combinados entre si num painel de gestão (dashboard e fingerprints), de modo a identificar exceções e sinais de violação às regras.

Outro monitoramento relevante é o de e-mails e da comunicação corporativa, o que inclui programas de mensagens e recursos de telefonia da empresa. Tal ação deve ser respaldada por uma Política de Segurança de Informações, e ciência por parte dos colaboradores e terceiros que utilizem a infraestrutura da empresa. Na auditoria, são testados os controles internos, bem como são analisados os documentos e as transações realizadas em sistema. A utilização da audit analytics permite a análise de 100% da base de dados, sem precisar recorrer a amostragem. É importante ter um plano anual de auditoria, com ações periódicas, e que este plano reflita as priorizações da matriz de risco de compliance. Há ainda situações ou regras que podem demandar trabalhos específicos de auditoria de compliance. Por exemplo, num processo de fusão e aquisição, com o objetivo de mitigar os riscos da nova empresa e do comprador. Empresas sujeitas à legislação norte-americana, devem contemplar o FCPA audit. Outra abordagem relevante é a auditoria de cultura de compliance, que deve ser realizada para entender o Programa sob o ponto de vista dos demais stakeholders, em especial os colaboradores.

“Controles internos devem ser implantados e avaliados periodicamente para que as regras sejam cumpridas, buscando o equilíbrio entre controle e eficiência.

Auditoria de compliance e Auditoria de cultura de compliance se complementam.

Monitoramento deve cobrir elementos do Programa, bem como transações e comunicações críticas.

Pontos de melhoria identificados devem retroalimentar o processo.”

FERRAMENTAS PARA A AVALIAÇÃO DE RISCOS

PARA SABER MAIS

 

 

DUE DILIGENCE & COMPLIANCE INDIVIDUAL

Mesmo um profissional capacitado e treinado, tecnicamente excelente, pode trazer riscos para a organização. Pesquisa da ICTS aponta que 24% dos profissionais apresentam baixa aderência ética. Principalmente em posição de poder, e sem os devidos controles, podem expor a organização a graves problemas de compliance. Neste contexto, o Compliance Individual apresenta-se como uma ferramenta de grande utilidade para trazer informações relevantes para a tomada de decisão, por exemplo no processo de recrutamento e seleção, de promoção e empoderamento, e na definição de controles prioritários e automatização a serem adotados. O risco pode se originar externamente. Para realizar negócios no mundo atual, há a exigência de uma cadeia complexa que envolve parceiros, prestadores de serviço e fornecedores. Contudo, legalmente a sua empresa pode ser responsabilizada e punida por ações ilegais cometidas por este terceiro em seu benefício. Por isto, é fundamental conhecer os seus terceiros.

É o caso da empresa que compra insumos de um fornecedor que utiliza mão de obra infantil ou análogo à escrava, ou que se utiliza de um parceiro ou fornecedor para pagar propinas ou oferecer vantagens indevidas para obter licenças e alvarás, para conseguir isenções fiscais, para não ser autuado, entre outros. Para mapear os riscos de terceiros, um processo estruturado e contínuo de due diligence de terceiros é fundamental. Este processo visa obter informações, de forma direta e indireta, sobre características do terceiro que podem trazer riscos de compliance, incluindo eventuais relacionamentos com políticos e órgãos públicos (e outros tipos de pessoas politicamente expostas), poder para agir e decidir em nome da empresa e sua reputação. O Due Diligence de terceiros é parte importante de um Programa Efetivo de Compliance e de um processo de qualificação, homologação e recadastramento de prestadores de serviços, representantes, fornecedores e consultores. A avaliação de riscos de fornecedores deve ser baseada em níveis de verificação por graduação de risco, no histórico dos fornecedores (envolvimento em casos de corrupção, fraudes, processos judiciais, etc), no setor em que atua e no grau de dependência da empresa pelo fornecedor. Atente-se que se a sua empresa fornece para empresas de grande e médio porte, esteja certo de que passará por processos de due diligence. Mais um motivo para ter um Programa Efetivo de Compliance estruturado.

“Seu colaborador pode não estar aderente aos valores e ao código da organização.

Sua empresa pode sofrer sanções e multas em razão de ações ilegais de terceiros que possam trazer benefícios para a sua organização.

O monitoramento e tratamento dos riscos advindos de terceiros é fundamental.”

FERRAMENTAS PARA A ATIVIDADE DE DUE DILIGENCE

PARA SABER MAIS

 

 

CANAL DE DENÚNCIAS, MECANISMOS DISCIPLINARES E DE INVESTIGAÇÃO

Um Programa Efetivo de Compliance dispõe de ferramentas para captar denúncias, mecanismos de investigação para identificar e apurar possíveis infrações, bem como aplicar as medidas disciplinares cabíveis. A implantação de um Canal de Denúncias independente, que garanta o anonimato e a confidencialidades das informações recebidas, é de extrema importância para a identificação de descumprimento de leis, regulamentações e normas, inclusive a lei anticorrupção. Deve ainda contar com profissionais capacitados para interagir com o denunciante quando necessário, e levantar as informações relevantes.

Muito além do recebimento das denúncias, as empresas devem estar preparadas para tratá-las. A gestão de casos exige metodologia e inteligência. O processo investigativo deve ser impessoal, e ter como foco apurar a verdade dos fatos e buscar evidências que confirmem ou descartem a veracidade da denúncia. Não deve ter por objetivo a busca de culpados. Deve aplicar as técnicas e ferramentas disponíveis, como forense, e-discovery, técnicas de entrevistas, entre outras. A organização deve ainda se preocupar com a gestão de documentos e informações, essencial para a eficiência e eficácia do processo investigativo. Outro ponto importante é estar preparada para responder adequadamente a investigações policiais, bem como gerenciar situações de crise. As empresas devem ter diretrizes claras de como tratar denúncias de diferentes naturezas, para garantir que problemas sejam sanados em tempo hábil, os responsáveis sejam identificados e, na identificação de não conformidade, o balanço de consequências aplicado.

“Um Programa Efetivo de Compliance oferece meios para que um profissional possa tirar dúvidas a respeito das regras vigentes, assim como possa denunciar ocorrências ou suspeitas de descumprimento das regras.

Um canal de denúncias é um importante aliado no combate à fraude e corrupção. Para ter credibilidade, deve ter disponibilidade, prontidão e capacidade de captar e analisar as informações.

As denúncias recebidas devem ser tratadas de forma independente e sigilosa, e apuradas de modo profissional e isento, utilizando os mecanismos de investigação adequados. A organização deve estar preparada para suportar processos investigativos. Decisões devem ser tomadas com base nas diretrizes existentes, e a empresa deve realizar o balanço de consequências adequado.”

FERRAMENTAS PARA A ATIVIDADE DE DUE DILIGENCE

PARA SABER MAIS

 

Faça a avaliação gratuita
Avalie o nível de maturidade de compliance da sua
empresa e receba um relatório detalhado sem custos.
Saiba mais

Contato