O compliance tem se consolidado como um elemento central da governança corporativa, indo além do cumprimento de normas para atuar de forma estratégica na prevenção de riscos e na construção de uma cultura organizacional ética e transparente.
Para explorar esse tema, o Blog IBGC conversou com Ana Novaes, conselheira de administração da Neogrid, que compartilhou reflexões sobre a o papel do compliance nas organizações. Confira a seguir.
BLOG IBGC: Na sua visão, qual é o papel do compliance na prevenção de riscos e na criação de uma cultura organizacional mais ética e transparente?
Ana Novaes: Fundamental. Afinal a área de compliance numa empresa é responsável justamente por buscar assegurar que a companhia e seus colaboradores cumpram as normas legais e as da companhia, como o seu código de conduta.
É importante pontuar que houve uma mudança grande na percepção do papel do compliance ao longo do tempo. Antes, era frequentemente visto apenas como uma função “de controle”. Hoje, o papel é mais amplo, pois, nas organizações mais maduras, o compliance tornou-se um elemento central de governança, gestão de riscos, e a prevenção de eventos que possam causar riscos reputacionais. O compliance também ajuda na construção da cultura organizacional.
Quando os colaboradores têm consciência de que há políticas e procedimentos efetivos para endereçar pontos como políticas de presentes e hospitalidade, regras para relacionamento com autoridades e regras para partes relacionadas, aprovações e alçadas e due diligence de terceiros, a cultura organizacional para prevenir desvios se fortalece.
Quais são os principais erros que as organizações cometem ao tratar o compliance apenas como uma exigência formal, e não como uma prática preventiva contínua?
O compliance não é um projeto que se implementa, estático. Deve ser visto como um processo contínuo de melhorias, vivo e que se adapta a novas circunstâncias.
Um erro comum é ter políticas e documentos escritos de forma burocrática que vem de cima, frequentemente com apoio de escritórios de advocacia externos que não conhecem a cultura ou a realidade da empresa. Ou seja, é um “cheque a caixinha”.
Se o conselho e a alta administração não demonstram preocupação com o tema, é difícil difundir uma cultura forte de compliance. O exemplo deve vir de cima. Se a alta administração está atenta ao compliance e se preocupa com a sua efetividade, os colaboradores percebem esse padrão e que essa cultura deve ser incorporada no seu dia a dia, na sua atitude e que a coisa é para valer e não para “inglês ver”.
Como conselhos podem influenciar de forma prática a efetividade dos programas de compliance e das estratégias de prevenção dentro das instituições?
O principal é dar o exemplo. Não abrir exceções e não pactuar com práticas que podem ser vistas como uma infração ao compliance. É importante valorizar o diretor de compliance e o de auditoria interna. É preciso garantir a independência deles e que eles reportem diretamente para o conselho ou para o comitê de auditoria. Uma boa prática é a participação deles como ouvintes na reunião do conselho. Assim, eles saberão da estratégia e dos valores da administração. Não é comum, mas é uma ótima prática.
Quais tendências você observa para o fortalecimento da prevenção por meio do compliance, especialmente com o uso de tecnologia, dados e capacitação de pessoas?
O uso da tecnologia permite às empresas dependerem menos da análise de documentos físicos e atuar mais preventivamente, com o uso de ferramentas de tecnologia.
Com base na análise de dados, é possível identificar, por exemplo, padrões anômalos, conflitos de interesse, pagamentos incomuns, comportamentos fora do padrão, enfim, sinais que podem indicar uma fraude potencial. Dependendo da maturidade da empresa e de suas ferramentas, pode-se detectar, lavagem de dinheiro, padrões suspeitos, infrações à política de contratação de fornecedores e outros. Ferramentas também podem ajudar na due dilligence e no background check de colaboradores.
Um ponto importante, é que o compliance deixou de ser uma preocupação estática, em silos, por exemplo, no jurídico, na auditoria, na cibersegurança, cada um com suas regras. Hoje, o compliance deve ter uma gestão de risco integrada, pois, um ataque cibernético tem consequências não só para a área de tecnologia, mas impacto no jurídico, áreas comerciais e gerar uma crise reputacional. Assim, dados são compartilhados, e indicadores e riscos são analisados conjuntamente.