Neste artigo pretende-se discorrer sobre os programas de compliance nas empresas, abordando a análise e a avaliação de riscos.
Compliance e Governança Corporativa
O termo compliance surgiu nos EUA na década de 1950, inicialmente com o intuito de prevenir delitos econômicos e empresariais e, posteriormente, se estendeu para outras áreas e começou a ser adotado por organizações públicas e privadas. No Brasil a temática de compliance surgiu na década de 1990 e ganhou destaque com a Lei Anticorrupção - Lei nº 12.846 de 2013, que foi inspirada no FCPA norte-americano.
A governança corporativa, por sua vez, começou a despontar nos EUA na década de 1980, em razão de abusos de dirigentes de empresas. No Brasil a temática se destacou na década de 1990. Pode-se dizer que a governança corporativa envolve as práticas de compliance. Embora a governança corporativa e o compliance sejam diferentes, cabe informar que possuem objetivos semelhantes.
A governança está relacionada com a gestão e a atuação dos gestores, já os programas de compliance objetivam fazer com que a empresa esteja em conformidade com as normas e sejam mitigados os riscos aos quais a empresa possa vir a ser submetida, evitando assim, que ocorram casos de fraude ou de corrupção.
Programas de compliance
Os programas de compliance são tidos como ferramentas essenciais no enfrentamento de fraude e de corrupção. Além disso, a adoção de mecanismos de compliance pode trazer outros benefícios para a empresa, como o aumento da credibilidade por parte dos clientes, o aumento da eficiência e da qualidade dos produtos ou serviços, a redução do custo operacional, bem como, evitar riscos de sanções legais e de perdas financeiras.
Para que o programa de compliance seja o mais efetivo possível, faz-se necessário uma série de fatores, como a criação de Códigos de Conduta, que devem ser levados ao conhecimento dos funcionários, que precisam compreender a importância de estar em conformidade com as normas.
Como se sabe nenhum programa garante totalmente a inocorrência de desvios, assim, é importante a criação dos canais de denúncia, que permitem o monitoramento e que as denúncias ou informações de ocorrências de ilícitos cheguem ao conhecimento da alta direção, para que assim, possa informar às autoridades públicas e tomar as providências cabíveis.
No que se refere a ISO - International Organization for Standardization -, informa-se que se trata de uma organização não governamental, que foi fundada em 1947, em Genebra na Suíça e que atualmente está presente em cerca de 160 países, com a função de promover a normatização de produtos e de serviços.
A ISO 19600 conhecida como ISO Compliance contém diretrizes acerca dos sistemas de gestão de compliance. A norma indicada fornece orientações de como as empresas devem implementar tais sistemas.
A ISO 31000 e Análise e Avaliação de Riscos
A ISO 31000 é uma norma internacional para a gestão de risco. A norma indicada se aplica a maioria dos negócios e das organizações. A respectiva norma auxilia as organizações nas análises e nas avaliações de riscos.
Com base na ISO 31000 de 2009, a análise de risco consiste em desenvolver a compreensão dos riscos, apreciar as causas e as fontes do risco, suas consequências positivas e negativas e identificar a probabilidade de que tais consequências possam ocorrer.
Ainda de acordo com a ISO 31000 de 2009, aponta-se que a análise de risco poderá ser efetuada com diversos graus de detalhe, dependendo do risco, da finalidade da análise e das informações, de dados e de recursos disponíveis. A análise poderá ser qualitativa, semiquantitativa ou quantitativa ou pode ser uma combinação de ambas.
Com relação à avaliação riscos, na ISO 31000 de 2009 é informado que a finalidade da referida avaliação é auxiliar na tomada de decisões, com base nos resultados da análise de riscos, sobre quais riscos precisam de tratamento e qual a prioridade para implementar o tratamento.
Conforme indicado por Francisco Schertel Mendes (2017) a realização de avaliação de riscos aos quais a empresa está submetida é um passo fundamental no desenvolvimento dos programas de compliance. Cada organização enfrenta tipos de riscos diferentes de acordo com as atividades que desenvolve e com os setores em que atua.
Os riscos são situações de incerteza que caso venham a ocorrer irão impactar nos objetivos que a empresa pretende atingir e no funcionamento dos programas de compliance. A organização pode estar sujeita a vários tipos de riscos, como os que envolvem as finanças, a reputação, o desperdício de recursos e os legais.
A avaliação de riscos deve ser pautada tanto nas infrações que podem acontecer quanto na forma como tais infrações podem ocorrer. Ressalta-se que quanto mais complexa for a organização, a mais riscos poderá ser submetida. É fundamental que o profissional de compliance se esforce para criar um programa que contemple a identificação e a minimização dos riscos, para que ele seja efetivo.
Os riscos de compliance podem estar relacionados com o aspecto financeiro, com as questões trabalhistas, com a regulação, com a responsabilidade social, com a imagem da empresa, com o planejamento tributário, com a privacidade de dados e a segurança da informação, entre outros.
Outrossim, os riscos de uma organização estão em constante transformação, relacionam-se com as mudanças de mercado e com outros fatores externos, assim devem ser monitoradas e acompanhadas as respectivas transformações, para evitar que ocorram falhas nos processos de compliance da empresa.
A gestão de riscos se refere à integração entre a Governança Corporativa, Compliance e Riscos - GRC - dentro da organização. A referida combinação objetiva trazer benefícios como a melhoria do desempenho organizacional; a transparência entre os gestores; o melhor desempenho como resultado de organização, de processos e de tecnologias, entre outros.
Conclusão
Diante do exposto, percebe-se que os programas de compliance objetivam fazer com que a organização esteja em conformidade com as normas, mitigar o desrespeito à legislação e evitar a ocorrência de casos de fraude e de corrupção. Destaca-se que o profissional de compliance exerce um papel fundamental na elaboração do programa, para tanto, deve contar com o auxílio de especialistas de diferentes áreas para cada tipo de risco identificado.
A efetividade do programa de compliance depende de uma série de fatores e não se restringe apenas a ter um Código de Conduta, é importante que os colaboradores da organização respeitem as normas indicadas. Além disso, a gestão de riscos tem sido apontada como uma estratégia para mapear e controlar as ameaças que a empresa possa estar exposta e, por isso, tem sido cada vez mais adotada a gestão integrada de GRC pelas organizações.
Referências:
ISO 31000
MENDES, Francisco Schertel.; CARVALHO, Vinícius Marques de. Compliance: concorrência e combate à corrupção. São Paulo: Trevisan Editora, 2017.
