Compliance: o que as empresas estão fazendo errado?

Será que o caminho que vem sendo trilhado pela chamada área de compliance no Brasil está na direção correta?

Samuel Suss, Administradores.com,
iStock

A promulgação da lei 12.846/2013 – a chamada Lei Anticorrupção – e as revelações feitas pelas principais operações da Polícia Federal levaram o mundo corporativo a ser atingido por uma verdadeira “onda de compliance”.

Mas será que o caminho que vem sendo trilhado pela chamada área de compliance no Brasil está na direção correta?

Muitas empresas se apressaram em criar áreas de compliance, investindo grandes quantias na sua estruturação e na contratação de executivos e colaboradores capacitados nessa “nova” área. Escritórios de advocacia colocaram em suas prateleiras de serviços consultorias voltadas ao tema. Institutos e empresas especializadas foram criadas às dezenas. Eventos dos mais variados foram realizados. Tudo com o objetivo de disseminar a ideia da conformidade no país.

No entanto, o que se tem notado é que a esmagadora maioria das ações de compliance adotadas pelas empresas brasileiras tem se limitado a implementar os chamados programas de integridade, induzindo muitos gestores a, equivocadamente, assumirem que suas organizações possuem um efetivo programa ou sistema de compliance.

Todo esse movimento, quando analisado sob uma perspectiva holística e completa do compliance, se revela insuficiente e, em alguns casos, até mesmo inadequado para a finalidade a que se propõe.

É inegável que a prevenção à corrupção, por meio dos chamados programas de integridade, é de suma importância para que uma empresa esteja em compliance mas, ao mesmo tempo, é extremamente relevante que os gestores tenham ciência de que isso não resolve todo o problema.

É aqui que se encontra o divisor de águas: para que uma empresa esteja em compliance, o sentido do termo deve ser amplo, relativo a toda a legislação e regulamentação no qual ela está inserida, inclusive sua normatização interna – esta, muitas vezes tímida e até mesmo inexistente. Um programa de integridade, portanto, pode até ser um ponto de partida, mas não mais que isto.

Essa é uma questão que se mostra crucial para muitas organizações, pois de pouco ou nada adianta para uma empresa criar e implementar um programa de integridade, se suas operações estão expostas a uma série de riscos produzidos por falhas que acarretem a infringência de leis e regulamentos, muitas vezes ocasionadas por ausência ou incipiência de diretrizes internas. Nesses casos, nenhum programa de integridade, por mais robusto que seja, será capaz de sequer minimizar os riscos da ocorrência de desvios.

Na verdade, um programa de compliance parcial, por assim dizer, pode inclusive expor algumas empresas a um risco até maior do que aquele que se buscou mitigar com a sua estruturação, por mais paradoxal que isso possa parecer. Isto porque, ditos programas podem passar aos gestores uma falsa sensação de segurança enquanto, na prática, as operações da organização estão progressivamente gerando passivos, onde falhas e desvios tradicionalmente não cobertos pelos programas de integridade estão sendo cometidos, tornando a empresa um campo minado para autuações de agentes de fiscalização e controle. Exemplos revelados em escândalos recentes têm demonstrado que, quando isso acontece, o instinto de sobrevivência, individual e corporativo, tem o potencial de atropelar qualquer programa de integridade, quando não a própria ganância.

Matrizes de riscos operacionais e financeiros, análise de cenários normativos, mapeamento de processos, descrições formais de atividades, racionalização de metas, segregação de funções e “double check” são algumas das muitas ferramentas que uma área de compliance deve ter domínio e colocar à disposição da empresa.

O compliance não é uma finalidade em si mesma. É, antes de tudo, um indispensável instrumento de gestão de risco, por meio do qual, em conjunto com outros, se mitigam os principais ricos de uma organização, estabelecendo-se um elevado e irrestrito padrão de conformidade, no qual cada área e cada colaborador, entre outras definições, tem fixados os seus papéis, responsabilidades e competências, dentro de processos claros e racionais, tudo devidamente conciliado com a legislação e a regulamentação aplicável.

Não é uma tarefa simples e nem tampouco nasce da noite para o dia. Mas deve ser um dos principais objetivos de qualquer organização implementar um sistema efetivo de gestão de riscos e compliance, de forma a incorporá-lo na governança, o que recentemente se convencionou denominar de Governança, Riscos e Compliance, ou simplesmente, GRC.

Sem isso, uma empresa pode até ser íntegra em suas intenções. Na prática, no entanto, terá dificuldades em estar em compliance.

Samuel Suss - Advogado e especialista em compliance.




Fique informado

Receba gratuitamente notícias sobre Administração