Um Programa Efetivo de Compliance fortalece a cultura, alavanca os negócios e protege a reputação da empresa. Inclusive permite o reconhecimento público pelo Ministério da Transparência, Fiscalização e Controladoria-Geral da União (antiga CGU) como empresa Pró Ética, que pode ser um diferencial no mercado e trazer benefícios para a marca.
O sucesso de um Programa Efetivo de Compliance é condicionado ao suporte recebido da Alta Direção da empresa. Eles são os maestros que vão dar o tom, e conduzir toda a organização rumo ao caminho certo. Por isto, é fundamental que a Alta Direção esteja preparada, em termos de competências e de conhecimento técnico para exercer este papel.
O desafio é inserir a cultura de Compliance na cultura da empresa, fazendo com que o tema seja parte das prioridades da gestão, inclusive com reflexos nas metas e ações de reconhecimento. O Compliance deve estar inserido no dia-a-dia, e ser visto como parte integrante e parceira do negócio.
É necessário que a conscientização da necessidade de se adequar às normas seja iniciada e seguida pela Alta Direção da empresa, tornando o conceito permeável em toda a organização, principalmente via liderança pelo exemplo.
Cabe à Alta Administração garantir que os recursos necessários para o desenvolvimento, implantação e aprimoramento contínuo do Programa de Compliance estejam disponíveis.
“É necessário o patrocínio da alta direção para o Programa e o comprometimento com a cultura de Compliance. Participação direta da alta direção na promoção e no acompanhamento do Programa de Compliance faz a diferença. Liderança pelo exemplo e disponibilização dos recursos necessários.”
Para proporcionar o comprometimento de toda a equipe e cumprimento efetivo dos controles internos adotados, é fundamental a criação de uma função de Compliance dentro das organizações.
Estão inclusas entre as responsabilidades dessa função, a promoção de uma cultura de ética e compliance, a definição de necessidades de normas e políticas internas, o atendimento à legislação e regulamentação e zelar pelo cumprimento das diretrizes estabelecidas, inclusive as normas internas, a coordenação dos esforços internos do Programa de Compliance e a gestão do mesmo. Essa função será estruturada de acordo com a tamanho, complexidade e exposição ao risco de cada organização.
A liderança de Compliance deve poder atuar com independência e autonomia na definição e cumprimento das políticas internas estabelecidas. A área deve dispor de recursos suficientes, ter exposição interna e externa e ser reconhecida como autoridade para fazer cumprir as regras estabelecidas. A função de Compliance é peça fundamental para o controle efetivo dos riscos na sua organização e para o cumprimento de normas internas e externas.
Outra peça importante, pensando na governança do Programa, é o comitê de Ética & Compliance. A atuação do comitê deve ser formalizada em regimento, bem como todas as suas decisões devem ser rastreáveis. Entre os papéis tipicamente realizados pelo comitê estão a definição de como agir nos casos não previstos nas regras estabelecidas, a decisão em relação ao processo de apuração de denúncias e suas consequências.
“É fundamental ter um responsável por Compliance dentro das organizações. A liderança de Compliance deve dispor de independência, autonomia e recursos suficientes para o sucesso do programa. O comitê de Ética & Compliance é parte de uma estrutura de governança adequada.”
As normas internas são um importante pilar na execução de um Programa Efetivo de Compliance. Assim sendo, é fundamental a criação de normativos com diretrizes que guiem a atuação da empresa, dos colaboradores e, até mesmo, dos terceiros. O Código de Ética & Conduta é uma importante ferramenta que tem por objetivo formalizar o comportamento esperado dos diferentes públicos com os quais a empresa interage, através de uma linguagem clara, concisa e acessível.
Desse modo, durante a elaboração do Código de Ética & Conduta é preciso levar em consideração a realidade, a cultura e os valores da empresa, sendo oportuno, portanto, que esse documento se construa de forma coletiva. Nos casos em que os processos e públicos são considerados críticos, como Fornecedores e Suprimentos, é recomendável que a empresa desenvolva códigos setoriais específicos.
O Código de Ética & Conduta deve contemplar orientações sobre como lidar com situações de conflito de interesse (individual vs empresa), tais como recebimento e entrega de brindes e presentes, realização de doações e patrocínios, contratação de profissionais, entre outros. As políticas e os procedimentos complementares ao código devem ser desenvolvidos, em especial a política de Compliance, política Anticorrupção, política de Relacionamento com Órgãos Públicos, política de Conflito de Interesses, política de Due Diligence, política de Gestão de Consequências, bem como todas aquelas que mitiguem os riscos críticos levantados no assessment (passo 4).
As demais políticas recomendáveis são as de: Segurança de Informações, Gestão da Propriedade Intelectual, de Presentes e Hospitalidade, de Doações e Patrocínios e outras. As normas devem ser revisadas periodicamente, de modo a contemplar as mudanças da empresa e do ambiente no qual ela está inserida. É essencial que os colaboradores, terceiros, fornecedores, parceiros e outros públicos relevantes tenham conhecimento dessas normas e que seja disponibilizado canais para sanar as dúvidas, assim como para relatar situações de não conformidade. Vide detalhes nos passos 7 e 8.
“Regras da empresa, orientando os colaboradores sobre o que pode e o que não pode, devem estar claras e formalizadas. O Código de Ética & Conduta é o principal direcionador, e se apoia nas políticas e procedimentos para trazer o detalhamento necessário. Os documentos devem ser revisados e atualizados periodicamente.”
Um importante passo inicial é conhecer quais são os riscos aos quais a sua empresa está exposta e, para isso, é necessário levar em consideração a influência das normas internas e das leis e regulamentações no ambiente externo. Dessa maneira, é indispensável que as geografias de atuação da empresa também sejam cobertas.
Nesse diagnóstico é possível identificar as áreas e os procedimentos expostos aos riscos de Compliance, incluindo questões trabalhistas, ambientais, sanitárias, concorrenciais, as relativas aos crimes financeiros, sobretudo corrupção e lavagem de dinheiro. Nesse processo busca-se identificar quem são os tomadores de decisão, suas alçadas e controles associados, inclusive, sendo possível a realização de um levantamento cobrindo apenas questões de corrupção.
Dentro da avaliação é dado um maior foco aos processos críticos da empresa, sejam estes, relacionamento com órgãos públicos, licitações públicas, contratações, pagamentos, obtenção de licenças e alvarás, desembaraço de importação e exportação, presentes e hospitalidade, doações e patrocínios e demais riscos pertinentes.
A partir do diagnóstico, é possível definir planos de ação e implantar controles internos para a mitigação, monitoramento e gerenciamento desses riscos. A integração das áreas de conhecimento de Governança Corporativa, Riscos e Compliance (GRC) cria um modelo abrangente para a proteção e sustentabilidade do negócio.
“Conhecer as vulnerabilidades e riscos é um pilar importante para iniciar um Programa Efetivo de Compliance. Mapear e classificar os riscos permite identificar os pontos críticos e priorizar a aplicação dos recursos para tratamento. Implantar melhorias de forma planejada permite mitigar os riscos e otimizar os resultados.”
Após a identificação dos riscos, da definição dos responsáveis pelo Programa e da elaboração do Código de Conduta e das políticas de compliance, é imprescindível que se promova a disseminação do conhecimento dessas normas aos colaboradores e demais públicos que interagem com a empresa. Regras claras permitem que ações e decisões sejam realizadas de modo aderente às políticas aplicáveis, proporcionando maior conforto para os colaboradores e os públicos envolvidos, bem como, permitem a avaliação e monitoramento de conformidade. Assim sendo, é possível realizar a aplicação justa de sanções em caso de descumprimento.
Treinamento e comunicação são complementares e ajudam a empresa a disseminar as normas internas e leis externas aplicáveis, inclusive, o Código de Ética & Conduta e a Lei Anticorrupção. Os treinamentos devem abranger todos os níveis da organização e é recomendado o uso de exemplos e estudos de casos com linguagem e formato adequados para cada público.
A empresa deve considerar a utilização de treinamentos presenciais com instrutores, disseminação com multiplicadores após a capacitação dos mesmos, e o uso de plataforma e-learning. Os treinamentos devem ser periódicos, permitindo a reciclagem dos colaboradores atuais, bem como a integração dos novos na temática compliance. É necessário que os treinamentos sejam registrados, e permitam a avaliação da aprendizagem.
A parceria entre o RH e o Compliance é fundamental e pode fazer a diferença no processo de gestão da mudança. As ações de comunicação possibilitam divulgar as iniciativas do Programa de Compliance, fomentando e reforçando mensagens importantes (como por exemplo regra para brindes e presentes no período de festas de fim de ano), dando destaque aos assuntos pertinentes.
“Programas de treinamento, comunicação e incentivos são fundamentais para promover a cultura de Compliance e dar ciência das normas aplicáveis. A definição de estratégia e plano de treinamento, comunicação e incentivos permite o devido encadeamento e multiplicação do conhecimento, reforço de mensagens no momento correto e reciclagem, otimizando os resultados. Além do público interno, devem contemplar o externo também, como fornecedores e parceiros.”
A empresa precisa dispor de meios para garantir que as normas definidas sejam de fato cumpridas, e este é o papel dos controles internos. Os controles devem mitigar os riscos identificados, sem prejudicar a operação, buscando o balanço entre controle e eficiência. Por isso, é necessária a criação de controles adaptados à dinâmica do negócio.
Além disto, a empresa precisa monitorar o cumprimento das regras estabelecidas. Uma abordagem tipicamente utilizada é a realização de auditoria, e outra é o monitoramento contínuo, seja de transações críticas, seja de meios de comunicação corporativos. Para o monitoramento de transações, é essencial o desenvolvimento de indicadores de riscos (KRIs), que podem ser combinados entre si num painel de gestão (dashboard e fingerprints), de modo a identificar exceções e sinais de violação às regras.
Outro monitoramento relevante é o de e-mails e da comunicação corporativa, o que inclui programas de mensagens e recursos de telefonia da empresa. Tal ação deve ser respaldada por uma Política de Segurança de Informações, e ciência por parte dos colaboradores e terceiros que utilizem a infraestrutura da empresa.
Na auditoria, são testados os controles internos, bem como são analisados os documentos e as transações realizadas em sistema. A utilização da audit analytics permite a análise de 100% da base de dados, sem precisar recorrer a amostragem. É importante ter um plano anual de auditoria, com ações periódicas, e que este plano reflita as priorizações da matriz de risco de compliance. Há ainda situações ou regras que podem demandar trabalhos específicos de auditoria de compliance. Outra abordagem relevante é a auditoria de cultura de compliance, que deve ser realizada para entender o Programa sob o ponto de vista dos demais stakeholders, em especial os colaboradores.
“Controles internos devem ser implantados e avaliados periodicamente para que as regras sejam cumpridas, buscando o equilíbrio entre controle e eficiência. Auditoria de compliance e Auditoria de cultura de compliance se complementam. Monitoramento deve cobrir elementos do Programa, bem como transações e comunicações críticas. Pontos de melhoria identificados devem retroalimentar o processo.”
Você sabia que cerca de 25%* dos profissionais das organizações brasileiras apresentam perfil de risco relevante para as empresas? Isso indica que é de extrema importância para a empresa avaliar não apenas as competências de um profissional, mas também aumentar o alcance desta análise, de forma a identificar o risco de desvios éticos cometidos pelos colaboradores. Afinal, um bom profissional vai além de seu currículo, suas competências e soft skills. Ele tem fit cultural, alinhamento com o DNA da empresa, e atua de forma ética.
Neste sentido, a Protiviti tem soluções ideais para a compreensão da flexibilidade moral, auxiliando os clientes a identificar a capacidade de discernimento dos candidatos frente a dilemas éticos do dia a dia, bem como sua resistência no enfrentamento das pressões situacionais existentes em suas atividades no trabalho.
É importante conhecer bem os parceiros de negócios e terceiros com os quais a empresa se relaciona, visto que a lei 12.846 (bem como diversas outras legislações anticorrupção estrangeiras) responsabiliza, de forma objetiva atos de corrupção realizados por terceiros, com o conhecimento ou não da contratante.
Plataformas de Due Diligence devem ser capazes de realizar uma avaliação completa de empresas ou indivíduos, em poucos segundos, e gerar uma série de alertas que podem ser respondidos por diversas pessoas diferentes da organização ou fora, mas com o controle geral de quem demandou essas ações de forma centralizada dentro da plataforma, prazos e tarefas bem definas – tudo de acordo com a política de due diligence definida e implantada. Indicadores de gestão e risco e monitoramento contínuo de entidades também são fundamentais para uma boa gestão de riscos dos terceiros.
*segundo pesquisa publicada pela Protiviti em 2019.
“Seu colaborador pode não estar aderente aos valores e ao código da organização. Sua empresa pode sofrer sanções e multas em razão de ações ilegais de terceiros que possam trazer benefícios para a sua organização. O monitoramento e tratamento dos riscos advindos de terceiros é fundamental.”
Um Programa Efetivo de Compliance dispõe de ferramentas para captar denúncias, mecanismos de investigação para identificar e apurar possíveis infrações, bem como aplicar as medidas disciplinares cabíveis. A implantação de um Canal de Denúncias independente, que garanta o anonimato e a confidencialidades das informações recebidas, é de extrema importância para a identificação de descumprimento de leis, regulamentações e normas, inclusive a lei anticorrupção. Deve ainda contar com profissionais capacitados para interagir com o denunciante quando necessário, e levantar as informações relevantes.
Muito além do recebimento das denúncias, as empresas devem estar preparadas para tratá-las. A gestão de casos exige metodologia e inteligência. O processo investigativo deve ser impessoal, e ter como foco apurar a verdade dos fatos e buscar evidências que confirmem ou descartem a veracidade da denúncia. Não deve ter por objetivo a busca de culpados. Deve aplicar as técnicas e ferramentas disponíveis, como forense, e-discovery, técnicas de entrevistas, entre outras. A organização deve ainda se preocupar com a gestão de documentos e informações, essencial para a eficiência e eficácia do processo investigativo. Outro ponto importante é estar preparada para responder adequadamente a investigações policiais, bem como gerenciar situações de crise. As empresas devem ter diretrizes claras de como tratar denúncias de diferentes naturezas, para garantir que problemas sejam sanados em tempo hábil, os responsáveis sejam identificados e, na identificação de não conformidade, o balanço de consequências aplicado.
“Um Programa Efetivo de Compliance oferece meios para que um profissional possa tirar dúvidas a respeito das regras vigentes, assim como possa denunciar ocorrências ou suspeitas de descumprimento das regras.
Um canal de denúncias é um importante aliado no combate à fraude e corrupção. Para ter credibilidade, deve ter disponibilidade, prontidão e capacidade de captar e analisar as informações.
As denúncias recebidas devem ser tratadas de forma independente e sigilosa, e apuradas de modo profissional e isento, utilizando os mecanismos de investigação adequados.
A organização deve estar preparada para suportar processos investigativos. Decisões devem ser tomadas com base nas diretrizes existentes, e a empresa deve realizar o balanço de consequências adequado.”
O sucesso de um Programa Efetivo de Compliance é condicionado ao suporte recebido da Alta Direção da empresa. Eles são os maestros que vão dar o tom, e conduzir toda a organização rumo ao caminho certo. Por isto, é fundamental que a Alta Direção esteja preparada, em termos de competências e de conhecimento técnico para exercer este papel.
O desafio é inserir a cultura de Compliance na cultura da empresa, fazendo com que o tema seja parte das prioridades da gestão, inclusive com reflexos nas metas e ações de reconhecimento. O Compliance deve estar inserido no dia-a-dia, e ser visto como parte integrante e parceira do negócio.
É necessário que a conscientização da necessidade de se adequar às normas seja iniciada e seguida pela Alta Direção da empresa, tornando o conceito permeável em toda a organização, principalmente via liderança pelo exemplo.
Cabe à Alta Administração garantir que os recursos necessários para o desenvolvimento, implantação e aprimoramento contínuo do Programa de Compliance estejam disponíveis.
“É necessário o patrocínio da alta direção para o Programa e o comprometimento com a cultura de Compliance. Participação direta da alta direção na promoção e no acompanhamento do Programa de Compliance faz a diferença. Liderança pelo exemplo e disponibilização dos recursos necessários.”
Para proporcionar o comprometimento de toda a equipe e cumprimento efetivo dos controles internos adotados, é fundamental a criação de uma função de Compliance dentro das organizações.
Estão inclusas entre as responsabilidades dessa função, a promoção de uma cultura de ética e compliance, a definição de necessidades de normas e políticas internas, o atendimento à legislação e regulamentação e zelar pelo cumprimento das diretrizes estabelecidas, inclusive as normas internas, a coordenação dos esforços internos do Programa de Compliance e a gestão do mesmo. Essa função será estruturada de acordo com a tamanho, complexidade e exposição ao risco de cada organização.
A liderança de Compliance deve poder atuar com independência e autonomia na definição e cumprimento das políticas internas estabelecidas. A área deve dispor de recursos suficientes, ter exposição interna e externa e ser reconhecida como autoridade para fazer cumprir as regras estabelecidas. A função de Compliance é peça fundamental para o controle efetivo dos riscos na sua organização e para o cumprimento de normas internas e externas.
Outra peça importante, pensando na governança do Programa, é o comitê de Ética & Compliance. A atuação do comitê deve ser formalizada em regimento, bem como todas as suas decisões devem ser rastreáveis. Entre os papéis tipicamente realizados pelo comitê estão a definição de como agir nos casos não previstos nas regras estabelecidas, a decisão em relação ao processo de apuração de denúncias e suas consequências.
“É fundamental ter um responsável por Compliance dentro das organizações. A liderança de Compliance deve dispor de independência, autonomia e recursos suficientes para o sucesso do programa. O comitê de Ética & Compliance é parte de uma estrutura de governança adequada.”
As normas internas são um importante pilar na execução de um Programa Efetivo de Compliance. Assim sendo, é fundamental a criação de normativos com diretrizes que guiem a atuação da empresa, dos colaboradores e, até mesmo, dos terceiros. O Código de Ética & Conduta é uma importante ferramenta que tem por objetivo formalizar o comportamento esperado dos diferentes públicos com os quais a empresa interage, através de uma linguagem clara, concisa e acessível.
Desse modo, durante a elaboração do Código de Ética & Conduta é preciso levar em consideração a realidade, a cultura e os valores da empresa, sendo oportuno, portanto, que esse documento se construa de forma coletiva. Nos casos em que os processos e públicos são considerados críticos, como Fornecedores e Suprimentos, é recomendável que a empresa desenvolva códigos setoriais específicos.
O Código de Ética & Conduta deve contemplar orientações sobre como lidar com situações de conflito de interesse (individual vs empresa), tais como recebimento e entrega de brindes e presentes, realização de doações e patrocínios, contratação de profissionais, entre outros. As políticas e os procedimentos complementares ao código devem ser desenvolvidos, em especial a política de Compliance, política Anticorrupção, política de Relacionamento com Órgãos Públicos, política de Conflito de Interesses, política de Due Diligence, política de Gestão de Consequências, bem como todas aquelas que mitiguem os riscos críticos levantados no assessment (passo 4).
As demais políticas recomendáveis são as de: Segurança de Informações, Gestão da Propriedade Intelectual, de Presentes e Hospitalidade, de Doações e Patrocínios e outras. As normas devem ser revisadas periodicamente, de modo a contemplar as mudanças da empresa e do ambiente no qual ela está inserida. É essencial que os colaboradores, terceiros, fornecedores, parceiros e outros públicos relevantes tenham conhecimento dessas normas e que seja disponibilizado canais para sanar as dúvidas, assim como para relatar situações de não conformidade. Vide detalhes nos passos 7 e 8.
“Regras da empresa, orientando os colaboradores sobre o que pode e o que não pode, devem estar claras e formalizadas. O Código de Ética & Conduta é o principal direcionador, e se apoia nas políticas e procedimentos para trazer o detalhamento necessário. Os documentos devem ser revisados e atualizados periodicamente.”
Um importante passo inicial é conhecer quais são os riscos aos quais a sua empresa está exposta e, para isso, é necessário levar em consideração a influência das normas internas e das leis e regulamentações no ambiente externo. Dessa maneira, é indispensável que as geografias de atuação da empresa também sejam cobertas.
Nesse diagnóstico é possível identificar as áreas e os procedimentos expostos aos riscos de Compliance, incluindo questões trabalhistas, ambientais, sanitárias, concorrenciais, as relativas aos crimes financeiros, sobretudo corrupção e lavagem de dinheiro. Nesse processo busca-se identificar quem são os tomadores de decisão, suas alçadas e controles associados, inclusive, sendo possível a realização de um levantamento cobrindo apenas questões de corrupção.
Dentro da avaliação é dado um maior foco aos processos críticos da empresa, sejam estes, relacionamento com órgãos públicos, licitações públicas, contratações, pagamentos, obtenção de licenças e alvarás, desembaraço de importação e exportação, presentes e hospitalidade, doações e patrocínios e demais riscos pertinentes.
A partir do diagnóstico, é possível definir planos de ação e implantar controles internos para a mitigação, monitoramento e gerenciamento desses riscos. A integração das áreas de conhecimento de Governança Corporativa, Riscos e Compliance (GRC) cria um modelo abrangente para a proteção e sustentabilidade do negócio.
“Conhecer as vulnerabilidades e riscos é um pilar importante para iniciar um Programa Efetivo de Compliance. Mapear e classificar os riscos permite identificar os pontos críticos e priorizar a aplicação dos recursos para tratamento. Implantar melhorias de forma planejada permite mitigar os riscos e otimizar os resultados.”
Após a identificação dos riscos, da definição dos responsáveis pelo Programa e da elaboração do Código de Conduta e das políticas de compliance, é imprescindível que se promova a disseminação do conhecimento dessas normas aos colaboradores e demais públicos que interagem com a empresa. Regras claras permitem que ações e decisões sejam realizadas de modo aderente às políticas aplicáveis, proporcionando maior conforto para os colaboradores e os públicos envolvidos, bem como, permitem a avaliação e monitoramento de conformidade. Assim sendo, é possível realizar a aplicação justa de sanções em caso de descumprimento.
Treinamento e comunicação são complementares e ajudam a empresa a disseminar as normas internas e leis externas aplicáveis, inclusive, o Código de Ética & Conduta e a Lei Anticorrupção. Os treinamentos devem abranger todos os níveis da organização e é recomendado o uso de exemplos e estudos de casos com linguagem e formato adequados para cada público.
A empresa deve considerar a utilização de treinamentos presenciais com instrutores, disseminação com multiplicadores após a capacitação dos mesmos, e o uso de plataforma e-learning. Os treinamentos devem ser periódicos, permitindo a reciclagem dos colaboradores atuais, bem como a integração dos novos na temática compliance. É necessário que os treinamentos sejam registrados, e permitam a avaliação da aprendizagem.
A parceria entre o RH e o Compliance é fundamental e pode fazer a diferença no processo de gestão da mudança. As ações de comunicação possibilitam divulgar as iniciativas do Programa de Compliance, fomentando e reforçando mensagens importantes (como por exemplo regra para brindes e presentes no período de festas de fim de ano), dando destaque aos assuntos pertinentes.
“Programas de treinamento, comunicação e incentivos são fundamentais para promover a cultura de Compliance e dar ciência das normas aplicáveis. A definição de estratégia e plano de treinamento, comunicação e incentivos permite o devido encadeamento e multiplicação do conhecimento, reforço de mensagens no momento correto e reciclagem, otimizando os resultados. Além do público interno, devem contemplar o externo também, como fornecedores e parceiros.”
A empresa precisa dispor de meios para garantir que as normas definidas sejam de fato cumpridas, e este é o papel dos controles internos. Os controles devem mitigar os riscos identificados, sem prejudicar a operação, buscando o balanço entre controle e eficiência. Por isso, é necessária a criação de controles adaptados à dinâmica do negócio.
Além disto, a empresa precisa monitorar o cumprimento das regras estabelecidas. Uma abordagem tipicamente utilizada é a realização de auditoria, e outra é o monitoramento contínuo, seja de transações críticas, seja de meios de comunicação corporativos. Para o monitoramento de transações, é essencial o desenvolvimento de indicadores de riscos (KRIs), que podem ser combinados entre si num painel de gestão (dashboard e fingerprints), de modo a identificar exceções e sinais de violação às regras.
Outro monitoramento relevante é o de e-mails e da comunicação corporativa, o que inclui programas de mensagens e recursos de telefonia da empresa. Tal ação deve ser respaldada por uma Política de Segurança de Informações, e ciência por parte dos colaboradores e terceiros que utilizem a infraestrutura da empresa.
Na auditoria, são testados os controles internos, bem como são analisados os documentos e as transações realizadas em sistema. A utilização da audit analytics permite a análise de 100% da base de dados, sem precisar recorrer a amostragem. É importante ter um plano anual de auditoria, com ações periódicas, e que este plano reflita as priorizações da matriz de risco de compliance. Há ainda situações ou regras que podem demandar trabalhos específicos de auditoria de compliance. Outra abordagem relevante é a auditoria de cultura de compliance, que deve ser realizada para entender o Programa sob o ponto de vista dos demais stakeholders, em especial os colaboradores.
“Controles internos devem ser implantados e avaliados periodicamente para que as regras sejam cumpridas, buscando o equilíbrio entre controle e eficiência. Auditoria de compliance e Auditoria de cultura de compliance se complementam. Monitoramento deve cobrir elementos do Programa, bem como transações e comunicações críticas. Pontos de melhoria identificados devem retroalimentar o processo.”
Você sabia que cerca de 25%* dos profissionais das organizações brasileiras apresentam perfil de risco relevante para as empresas? Isso indica que é de extrema importância para a empresa avaliar não apenas as competências de um profissional, mas também aumentar o alcance desta análise, de forma a identificar o risco de desvios éticos cometidos pelos colaboradores. Afinal, um bom profissional vai além de seu currículo, suas competências e soft skills. Ele tem fit cultural, alinhamento com o DNA da empresa, e atua de forma ética.
Neste sentido, a Protiviti tem soluções ideais para a compreensão da flexibilidade moral, auxiliando os clientes a identificar a capacidade de discernimento dos candidatos frente a dilemas éticos do dia a dia, bem como sua resistência no enfrentamento das pressões situacionais existentes em suas atividades no trabalho.
É importante conhecer bem os parceiros de negócios e terceiros com os quais a empresa se relaciona, visto que a lei 12.846 (bem como diversas outras legislações anticorrupção estrangeiras) responsabiliza, de forma objetiva atos de corrupção realizados por terceiros, com o conhecimento ou não da contratante.
Plataformas de Due Diligence devem ser capazes de realizar uma avaliação completa de empresas ou indivíduos, em poucos segundos, e gerar uma série de alertas que podem ser respondidos por diversas pessoas diferentes da organização ou fora, mas com o controle geral de quem demandou essas ações de forma centralizada dentro da plataforma, prazos e tarefas bem definas – tudo de acordo com a política de due diligence definida e implantada. Indicadores de gestão e risco e monitoramento contínuo de entidades também são fundamentais para uma boa gestão de riscos dos terceiros.
*segundo pesquisa publicada pela Protiviti em 2019.
“Seu colaborador pode não estar aderente aos valores e ao código da organização. Sua empresa pode sofrer sanções e multas em razão de ações ilegais de terceiros que possam trazer benefícios para a sua organização. O monitoramento e tratamento dos riscos advindos de terceiros é fundamental.”
Um Programa Efetivo de Compliance dispõe de ferramentas para captar denúncias, mecanismos de investigação para identificar e apurar possíveis infrações, bem como aplicar as medidas disciplinares cabíveis. A implantação de um Canal de Denúncias independente, que garanta o anonimato e a confidencialidades das informações recebidas, é de extrema importância para a identificação de descumprimento de leis, regulamentações e normas, inclusive a lei anticorrupção. Deve ainda contar com profissionais capacitados para interagir com o denunciante quando necessário, e levantar as informações relevantes.
Muito além do recebimento das denúncias, as empresas devem estar preparadas para tratá-las. A gestão de casos exige metodologia e inteligência. O processo investigativo deve ser impessoal, e ter como foco apurar a verdade dos fatos e buscar evidências que confirmem ou descartem a veracidade da denúncia. Não deve ter por objetivo a busca de culpados. Deve aplicar as técnicas e ferramentas disponíveis, como forense, e-discovery, técnicas de entrevistas, entre outras. A organização deve ainda se preocupar com a gestão de documentos e informações, essencial para a eficiência e eficácia do processo investigativo. Outro ponto importante é estar preparada para responder adequadamente a investigações policiais, bem como gerenciar situações de crise. As empresas devem ter diretrizes claras de como tratar denúncias de diferentes naturezas, para garantir que problemas sejam sanados em tempo hábil, os responsáveis sejam identificados e, na identificação de não conformidade, o balanço de consequências aplicado.
“Um Programa Efetivo de Compliance oferece meios para que um profissional possa tirar dúvidas a respeito das regras vigentes, assim como possa denunciar ocorrências ou suspeitas de descumprimento das regras.
Um canal de denúncias é um importante aliado no combate à fraude e corrupção. Para ter credibilidade, deve ter disponibilidade, prontidão e capacidade de captar e analisar as informações.
As denúncias recebidas devem ser tratadas de forma independente e sigilosa, e apuradas de modo profissional e isento, utilizando os mecanismos de investigação adequados.
A organização deve estar preparada para suportar processos investigativos. Decisões devem ser tomadas com base nas diretrizes existentes, e a empresa deve realizar o balanço de consequências adequado.”