Compliance nada mais é que ter controle, gestão, transparência, rastreabilidade e monitoramento sobre processos e condutas corporativas. E uma das formas de formalizar estas boas práticas é desenvolver e aplicar políticas, indicadores e evidências documentais para cada um destes processos e condutas que são relevantes para a empresa.

E não há apenas uma receita de sucesso... Há várias formas e metodologias de se aplicar boas práticas de ESG (Environment, Social & Governance ou, em uma tradução livre, Governança Ambiental, Social e Corporativa).

Trata-se de uma jornada corporativa, ou seja, só tem data para começar, mas não tem data para terminar. Sempre é possível melhorar processos e inovar. Aliás, para quem não sabe, há até mesmo incentivos fiscais no Brasil para o desenvolvimento de inovação, inclusive de processos! A recomendação é que sempre haja o acompanhamento, ou mesmo uma assessoria, no desenvolvimento destas boas práticas nas empresas, a fim de que seja possível extrair ao máximo os benefícios na implantação de processos de governança, controle e inovação, através de automatização de processos e uso da tecnologia para rastreabilidade e monitoramento de condutas.

Ademais, um bom programa de Compliance também exige que haja capacitação e treinamento de todos os colaboradores, a fim de que haja uma cultura de governança aplicada e mensurada, com engajamento não só da alta direção, como também dos fornecedores, prestadores de serviço e até mesmo dos clientes.

De uma forma simples, é possível achar bons indicadores de Compliance não só em protocolos internacionais, como o ISO, que é a sigla de International Organization for Standardization, ou Organização Internacional para Padronização. O ISO é uma entidade de padronização e normatização, com o objetivo de promover o desenvolvimento de normas, testes e certificação, para padronização de boas práticas junto ao comércio, serviços e a indústria em geral.

Há também resoluções de autarquias ou autoridades nacionais, que podem muito bem ser acolhidas no dia-a-dia de uma empresa, quando o assunto é compliance. Para tanto, vale à pena extrair um excelente exemplo de uma resolução regulatória, que tem aderência total ao cotidiano de uma empresa, que é a Resolução BCB (Banco Central do Brasil) nº 260, de 22.11.2022. Apesar de ser uma regulação destinada exclusivamente para  controles internos das administradoras de consórcio e das instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil, a normativa determina excelentes exemplos de conduta, que podem ser adotadas em qualquer tipo de empresa, tais como:

1 - Controles internos devem ter como finalidade o atingimento dos objetivos de:

I - desempenho: relacionado à eficiência e à efetividade no uso dos recursos nas atividades desenvolvidas;

II - informação: relacionado à divulgação voluntária ou obrigatória, interna ou externa, de informações financeiras, operacionais e gerenciais, que sejam úteis para o processo de tomada de decisão; e

III - conformidade: relacionado ao cumprimento de disposições legais, regulamentares e previstas em políticas e códigos internos.

2 - Os sistemas de controles internos devem:

I - ser contínuos e efetivos, abrangendo as atividades de controle para todos os níveis de negócios e para todos os riscos aos quais a empresa está exposta;

II - integrar as atividades rotineiras das áreas relevantes da empresa; e

III - ser revisados e atualizados periodicamente.

3 - Os sistemas de controles internos devem prever:

I - quanto aos aspectos relacionados à cultura de controle:

a) definição das responsabilidades dos colaboradores nos sistemas de controles internos e dos respectivos meios para o seu eficaz cumprimento;

b) obrigatoriedade de comunicação tempestiva ao adequado nível gerencial, por parte dos colaboradores, de:

1. problemas nas operações;

2. situações de não conformidade com os padrões de conduta definidos pela empresa; e

3. violações das políticas da empresa ou de disposições legais e regulamentares;

c) proibições de estabelecimento de metas de desempenho que incentivem a tomada de riscos em desacordo com os níveis determinados pela alta administração;

d) formalização do compromisso com a ética e com a integridade, incluindo o cumprimento do código de ética ou de documento equivalente; e

e) divulgação do código de ética ou documento equivalente;

II - quanto aos aspectos relacionados à identificação e à avaliação de riscos:

a) meios para identificar e avaliar continuamente os fatores internos e externos que possam afetar adversamente a realização dos objetivos da empresa e, quando aplicável, do grupo econômico que integre;

b) revisão e atualização periódica dos sistemas de controles internos, com a inclusão de medidas relacionadas a riscos novos ou não abordados anteriormente;

c) medidas para mitigação dos riscos não tolerados e não controlados; e

d) análise do potencial de ocorrência de fraudes nas atividades desenvolvidas em todos os níveis de negócios;

4 - Quanto aos aspectos relacionados às atividades de controle e segregação de funções:

• políticas e procedimentos de controle, bem como a verificação do seu cumprimento;
  
• revisão e acompanhamento de atividades relevantes pelos adequados níveis gerenciais;
  
• controles de atividades apropriados para os diferentes departamentos ou áreas de negócios;
  
• controles físicos de ativos de valor, como acesso restrito, dupla custódia e inventários periódicos;
  
• verificação do cumprimento dos limites de exposição e acompanhamento das situações de não conformidade;
  
• sistema de aprovações e autorizações de transações sensíveis e de verificação e reconciliação;
  
• segregação apropriada das funções atribuídas aos integrantes da empresa, de forma a evitar situações de conflito de interesses;
  
• identificação e monitoramento independentes de áreas que possuam potencial conflito de interesses, com revisão periódica das responsabilidades e das funções que possam gerar conflitos dessa natureza;
  
• controles que visem a evitar o envolvimento da empresa em atividades indevidas ou ilícitas, em especial as relacionadas aos riscos sociais, ambientais e climáticos;
  
• procedimentos e controles previstos na legislação e regulamentação vigentes, visando à prevenção da utilização do sistema financeiro para a prática dos crimes de "lavagem" ou ocultação de bens, direitos e valores, e de financiamento do terrorismo;
  
• controles para prevenção, detecção, investigação e correção de fraudes;

5 - Quanto aos aspectos relacionados à informação e à comunicação:

• canais de comunicação efetivos que assegurem aos colaboradores, segundo o correspondente nível de atuação, o acesso a informações compreensíveis, confiáveis, tempestivas e relevantes para realização de suas tarefas e cumprimento de suas responsabilidades;
  
• fluxos de informações adequados para que os objetivos, estratégias, expectativas, políticas e procedimentos estabelecidos pelos superiores cheguem aos colaboradores e as informações relevantes sejam compartilhadas entre os componentes organizacionais;
  
• metodologias para o registro e a manutenção de informações internas à administradora de consórcio ou à instituição de pagamento, como dados financeiros, operacionais e de conformidade;
  
• diretrizes para a utilização de fontes externas de informações e para a divulgação ao público externo sobre eventos e condições de mercado relevantes para a tomada de decisão;
  
• sistemas de informação confiáveis e as respectivas medidas de segurança e monitoramento independente para sua manutenção;
  
• requisitos relacionados ao adequado processamento de informações em formato eletrônico e previsão de trilha de auditoria adequada;
  
• testes periódicos de segurança para os sistemas de informações e de tecnologia;
  
• planos de retomada e contingência de negócios para situações de interrupção da prestação de serviços da empresa em decorrência de eventos fora do seu controle, com previsão de utilização de instalações físicas remotas, inclusive de serviços prestados por terceiros;

6 - Quanto aos aspectos relacionados ao monitoramento:

a) monitoramento contínuo da eficácia dos sistemas de controles internos e dos principais riscos associados às atividades da empresa;

b) avaliações periódicas, inclusive por parte da auditoria interna, acerca da eficácia dos sistemas de controles internos e dos principais riscos associados às atividades da empresa;

c) acompanhamento sistemático das atividades desenvolvidas, para avaliar, no mínimo, se:

• os objetivos da empresa estão sendo alcançados;
• os limites estabelecidos e a legislação e regulação vigentes aplicáveis estão sendo cumpridos; e
• 3. eventuais desvios identificados estão sendo prontamente corrigidos;

d) atualização de premissas, das metodologias e dos modelos de gestão de riscos; e

metodologia e canais de relato sobre deficiências nos controles internos aos responsáveis, à diretoria e ao conselho de administração, quando existente, no caso de falhas materiais.

Este é apenas um dos vários exemplos que existe no Brasil, seja em regulações específicas ou mesmo em metodologias internacionais, e que podem ser adequados em cada uma de nossas empresas. Afinal, Compliance e Governança significam não só controle operacional como também economia: afinal, ter uma empresa sob controle evita desperdícios, diagnostica gargalos e coíbe gastos indevidos.

Fica a dica!

Clique aqui e leia mais artigos escritos por mim aqui no Procurement Digital