O que é um programa de compliance?
Um programa de compliance é uma estrutura estabelecida por uma organização para assegurar que esta cumpra todos os requisitos legais, leis e regulamentos pertinentes a sua área de atuação. Esse programa visa garantir a integridade e a ética nas operações da empresa. Um Sistema de Gestão de Compliance (SGC) é o mecanismo que guia e governa esse programa. Suas principais características e funções são:
1. Educação e conscientização
O SGC permite que a organização entenda suas responsabilidades em relação à conformidade e se assegure de que todos os funcionários estejam cientes e compreendam essas obrigações. Isto é frequentemente alcançado através de um programa de treinamento em compliance.
2. Integração com processos de negócios
O programa de compliance assegura que os requisitos legais e regulatórios sejam devidamente integrados e implementados nos processos de negócios da empresa.
3. Monitoramento e revisão
O SGC deve revisar constantemente as operações da empresa para verificar se as responsabilidades de conformidade estão sendo cumpridas e se todos os requisitos legais e regulatórios estão sendo atendidos.
4. Ação corretiva
No caso de quaisquer inconformidades ou falhas serem identificadas, o SGC deverá guiar a organização na tomada de ações corretivas adequadas e garantir a atualização de documentos, políticas e procedimentos conforme necessário.
5. Oversight
Para garantir eficácia e integridade, o programa de compliance deve estar sob a supervisão constante do conselho da empresa e da equipe de gestão.
6. Auditorias regulares
Um elemento chave de um SGC é a realização periódica de auditorias para avaliar a eficácia do programa de compliance e identificar áreas de melhoria. “Ao estabelecer processos e orientar as equipes de projeto para seguir um pipeline padrão, o compliance pode facilitar uma auditoria eficiente e escalável”, esclarece
Qual é o objetivo de um Sistema de Gestão de Compliance?
O principal objetivo do Sistema de Gestão de Compliance (SGC) é fornecer uma estrutura robusta que confira visibilidade e controle à organização sobre todos os seus esforços de conformidade. Isto significa que, com um SGC eficiente, uma empresa pode:
1. Medir e monitorar conformidade
Garantindo que os padrões e requisitos legais sejam não apenas atendidos, mas também monitorados continuamente para assegurar sua manutenção ao longo do tempo.
2. Clareza organizacional
É essencial ter um entendimento claro de quem é responsável por quais tarefas de conformidade dentro da organização, bem como o tempo e o método dessas tarefas. Com um SGC, as responsabilidades tornam-se claras e bem definidas.
3. Abordagem abrangente
Um SGC eficaz não se restringe a uma área isolada da organização, mas permeia todas as áreas funcionais, garantindo que cada departamento, seja ele de vendas, publicidade, operações ou administração, esteja alinhado com os padrões de conformidade estabelecidos.
4. Identificação e mitigação de riscos
Mais do que apenas atender aos requisitos legais, um bom SGC proativamente identifica possíveis riscos que podem afetar a organização e oferece soluções para minimizar esses riscos, assegurando, assim, a proteção tanto da empresa quanto dos consumidores.
5. Atendimento aos requisitos regulamentares
Diferentes indústrias têm regulamentações variadas. Um SGC robusto adapta-se a esses requisitos variados, garantindo que a organização esteja em conformidade com todos os regulamentos aplicáveis.
ISO 37301
A ISO 37301 orienta as organizações sobre como estabelecer e manter um sistema eficaz de gestão de compliance. Tal sistema envolve o entendimento do contexto da organização, considerando aspectos internos e externos, bem como as expectativas das partes interessadas. É importante ressaltar que o compliance não é apenas uma medida de prevenção, mas uma oportunidade para estabelecer uma cultura organizacional responsável e sustentável, evidenciando o comprometimento com leis, normas, princípios de governança corporativa e melhores práticas de mercado.
Os requisitos da ISO 37301 englobam diversas etapas:
1 – Contexto da organização
Entender o contexto em que uma organização está inserida é fundamental. As normas ISO 37301 e ISO 37001 estabelecem que as organizações precisam reconhecer tanto as questões internas quanto externas que influenciam seu propósito e afetam a eficácia dos seus sistemas de gestão de compliance e antissuborno. Para uma compreensão aprofundada, é essencial examinar aspectos como o modelo de negócio, escala operacional, interações com terceiros, ambiente regulatório, situação econômica, nuances culturais e estruturas organizacionais.
Além disso, identificar as expectativas das partes interessadas e estabelecer o escopo do sistema de gestão é crucial. É também importante salientar a necessidade de mapear e documentar as obrigações de compliance associadas às atividades, produtos e serviços da organização, considerando os impactos nas operações.
2 – Liderança
Um dos alicerces fundamentais de um sistema de gestão de compliance é a liderança ativa e o comprometimento por parte da Alta Direção, conforme delineado pela ISO 37301. Esta norma enfatiza a necessidade da liderança em garantir que as metas de compliance estejam em sintonia com a estratégia organizacional, integrar adequadamente os requisitos do sistema, disponibilizar os recursos essenciais e comunicar sua relevância. Além disso, a liderança deve assegurar que o sistema atenda a seus objetivos, incentive a contribuição de todos para sua eficácia, promova aperfeiçoamento constante e apoie papéis relevantes no processo.
3 – Planejamento
Ao planejar seu sistema de gestão de compliance, conforme a ISO 37301, uma organização deve levar em conta o contexto em que opera e as expectativas de suas partes interessadas. Essa análise é fundamental para identificar riscos e oportunidades, visando (a) garantir que o sistema atinja seus objetivos, (b) mitigar efeitos negativos e (c) promover aprimoramento contínuo.
Portanto, a organização deve planejar e integrar ações para enfrentar esses riscos e oportunidades, avaliando posteriormente sua eficácia. Esse processo exige um investimento considerável em tempo, esforço e expertise, dada a complexidade de identificar os principais riscos de compliance e suborno.
A avaliação desses riscos engloba a identificação, análise, avaliação, gestão e comunicação, por meio da revisão de documentos e entrevistas com figuras-chave da empresa. É essencial manter uma documentação que evidencie que essa avaliação de riscos foi realizada e utilizada para aprimorar o sistema de gestão.
4 – Apoio
Para efetivamente implementar os padrões da ISO 37301, uma organização precisa garantir recursos adequados que respaldam a criação, implementação, manutenção e otimização do sistema de gestão de compliance. A organização deve assegurar que seus colaboradores possuam a experiência e o conhecimento necessários para desempenhar suas funções e atender aos clientes. Isso significa que os colaboradores devem ter a competência para aplicar conhecimentos e habilidades, principalmente em relação às obrigações de compliance.
Além disso, é essencial que tanto a liderança quanto os funcionários envolvidos com compliance sejam treinados e capacitados, garantindo a aderência à cultura de compliance da empresa. A comunicação e conscientização sobre as políticas, tanto interna quanto externamente, é fundamental. Além disso, manter uma documentação precisa sobre o sistema, incluindo políticas, objetivos, estruturas e registros relevantes, é vital para a conformidade e para responder a possíveis investigações.
5 – Operação
Conforme a ISO 37301, um sistema de gestão de compliance eficaz não apenas oferece conteúdo, mas também fomenta uma cultura sólida de conformidade, através da redução de riscos, identificados no processo de avaliação de riscos de compliance. Elementos-chave incluem um código de conduta que demonstra o compromisso da organização com as responsabilidades de compliance. Também é fundamental implementar controles operacionais, especialmente em áreas de negócios onde a falta desses controles poderia resultar em desvios ou violações das políticas de compliance.
O nível de controle exigido varia, levando em consideração a complexidade das funções, as implicações de não conformidade e o suporte técnico disponível. Esses controles garantem que as obrigações de conformidade sejam cumpridas e quaisquer desvios sejam identificados e corrigidos. Alguns exemplos de controles, conforme indicado pela ISO 37301, incluem políticas claras, processos documentados, relatórios de exceções, aprovações, divisão de responsabilidades e comunicação constante sobre as expectativas comportamentais.
Ouça agora o episódio 10 completo no Spotify!
Quais elementos pertencem a um Sistema de Gestão de Compliance?
1 – Supervisão do conselho de administração
O conselho de administração de uma organização é responsável por definir a visão, missão e objetivos estratégicos da empresa. Dentro desse contexto, o conselho deve garantir que a organização opere de maneira ética e esteja em conformidade com todas as leis, regulamentos e padrões aplicáveis. Em um SGC, o papel da supervisão do conselho é multifacetado:
Definição da cultura de compliance: o conselho estabelece o tom da cultura de compliance da organização. Ao priorizar e demonstrar comprometimento com a conformidade, o conselho influencia a forma como a liderança e os funcionários veem e tratam as questões de conformidade.
Aprovação de políticas e procedimentos: as políticas e procedimentos que orientam a conformidade são frequentemente revisados e aprovados pelo conselho para garantir que eles estejam alinhados com a visão e os objetivos da empresa.
Monitoramento e revisão: o conselho deve receber atualizações regulares sobre o desempenho do SGC. Isso pode incluir relatórios sobre treinamentos realizados, incidentes de não conformidade, auditorias e revisões, e a eficácia das ações corretivas.
Avaliação de riscos: o conselho desempenha um papel na avaliação dos riscos de conformidade que a organização enfrenta, garantindo que haja processos adequados para identificar, avaliar e gerenciar esses riscos.
Alocação de recursos: baseando-se na avaliação de riscos e nas necessidades do SGC, o conselho garante que recursos adequados (humanos, tecnológicos e financeiros) sejam alocados para o programa de compliance.
Envolvimento direto em casos graves: em situações em que ocorram violações graves ou falhas de conformidade, o conselho pode se envolver diretamente para garantir que a situação seja tratada adequadamente e que medidas corretivas sejam implementadas para evitar recorrências.
Garantia de responsabilização: o conselho deve garantir que exista um sistema de responsabilização no lugar, onde indivíduos ou equipes são responsáveis por aspectos específicos do compliance, e que eles sejam responsabilizados por falhas ou lapsos.
Desenvolvimento contínuo: o conselho deve estar comprometido com o desenvolvimento contínuo do SGC, garantindo que ele evolua com as mudanças no ambiente regulatório e nas operações de negócios da organização.
2 – Programa de compliance
O programa de compliance visa garantir que a organização esteja em conformidade com todas as leis, regulamentos e normas aplicáveis, ao mesmo tempo que promove uma cultura ética. Aqui estão os principais papéis e responsabilidades de um programa de compliance:
Educação e treinamento: um dos papéis centrais de um programa de compliance é educar e treinar continuamente os funcionários sobre as leis, regulamentos e políticas internas aplicáveis. Isto não só ajuda a prevenir violações involuntárias, mas também reforça uma cultura de conformidade.
Identificação e avaliação de riscos: o programa deve identificar os riscos de conformidade que a organização enfrenta, avaliá-los em termos de probabilidade e impacto e desenvolver estratégias para mitigar ou eliminar esses riscos.
Desenvolvimento de políticas e procedimentos: com base nas leis e regulamentos aplicáveis e nos riscos identificados, o programa de compliance deve desenvolver, implementar e revisar regularmente políticas e procedimentos que orientem as operações da organização.
Monitoramento e auditoria: é fundamental que o programa de compliance inclua mecanismos para monitorar e auditar regularmente o cumprimento das políticas, procedimentos e regulamentos. Isso pode envolver auditorias internas, revisões de processos e uso de tecnologias para rastrear a conformidade.
Ações corretivas: se violações ou falhas de conformidade forem identificadas, o programa de compliance deve garantir que ações corretivas adequadas sejam tomadas, incluindo a correção das falhas, o treinamento ou reeducação dos envolvidos e, se necessário, a revisão e atualização das políticas e procedimentos.
Promoção de uma cultura de conformidade: além dos aspectos técnicos e regulatórios, um programa de compliance eficaz deve promover uma cultura onde a conformidade e a ética sejam valorizadas, incentivando todos na organização a agir de acordo com os mais altos padrões.
Comunicação e relato: o programa de compliance deve garantir que existam canais adequados de comunicação para que os funcionários possam relatar preocupações, suspeitas ou conhecimento de possíveis violações, idealmente de maneira anônima e sem medo de retaliação.
Revisão e atualização contínua: o ambiente regulatório e o mundo dos negócios estão em constante evolução. Assim, um programa de compliance deve ser dinâmico, revisando e atualizando suas práticas e políticas regularmente para refletir as mudanças relevantes.
3 – Resposta a reclamação do consumidor
A resposta adequada às reclamações dos consumidores é uma componente crítica de um programa eficaz de compliance. Ela não só demonstra comprometimento da organização em tratar os consumidores de forma justa, mas também fornece uma linha de defesa essencial contra potenciais violações regulatórias e riscos reputacionais. Aqui está uma exploração do papel da resposta a reclamações dos consumidores em compliance:
Identificação de problemas subjacentes: as reclamações dos consumidores podem ser sintomas de problemas mais profundos nos processos ou políticas da empresa. Ao responder a estas reclamações, uma organização pode identificar áreas problemáticas e tomar medidas proativas para abordá-las.
Proteção contra sanções regulatórias: falhas no endereçamento de reclamações dos consumidores podem resultar em multas ou sanções por agências reguladoras. Ao ter um processo robusto de resposta, a organização protege-se contra tais desdobramentos.
Preservação da reputação da marca: no mundo digital de hoje, uma única reclamação não atendida pode se tornar viral e prejudicar significativamente a reputação de uma empresa. Responder prontamente e de forma adequada ajuda a manter a confiança e lealdade do cliente.
Aprimoramento contínuo: reclamações fornecem feedback valioso. Ao tratar cada reclamação como uma oportunidade de aprendizado, as organizações podem melhorar continuamente seus produtos, serviços e processos.
Demonstração de comprometimento ético: uma resposta eficaz às reclamações dos consumidores demonstra um compromisso da empresa em tratar todos os stakeholders de forma ética e justa.
Documentação e registo: manter um registro detalhado de todas as reclamações e as medidas tomadas em resposta é essencial para compliance. Esta documentação pode ser vital em auditorias ou inspeções por entidades reguladoras.
Feedback para formação e treinamento: ao analisar as tendências nas reclamações dos consumidores, uma organização pode identificar áreas onde o treinamento adicional de funcionários pode ser benéfico.
Ações corretivas: se uma reclamação indica uma falha de conformidade, é crucial que sejam tomadas ações corretivas imediatas para resolver o problema e garantir que não se repita no futuro.
4 – Audição
O processo de auditoria permite que uma organização avalie e valide sua conformidade com leis, regulamentos e políticas internas, garantindo que os padrões operacionais e éticos sejam mantidos. Aqui estão os principais papéis da auditoria no SGC:
Avaliação da conformidade: a principal função da auditoria é determinar se uma organização está em conformidade com os requisitos regulatórios e padrões estabelecidos. Isso envolve a revisão de processos, sistemas e operações para identificar potenciais áreas de risco.
Identificação de riscos: através de uma auditoria, riscos potenciais e reais de não conformidade são identificados. Isso permite que a organização tome medidas corretivas antes que esses riscos resultem em violações regulatórias ou outros problemas.
Recomendações de melhoria: após a conclusão da auditoria, os auditores fornecem recomendações sobre como a organização pode melhorar seus processos e sistemas para garantir a conformidade contínua.
Aferição da eficácia dos controles internos: a auditoria avalia a eficácia dos controles internos implementados para garantir a conformidade. Se os controles não forem eficazes, a auditoria ajudará a organização a compreender onde e como eles podem ser aprimorados.
Verificação de conformidade com políticas internas: além de garantir a conformidade com regulamentos externos, a auditoria também verifica se os funcionários e as operações estão aderindo às políticas e procedimentos internos da organização.
Promoção da cultura de conformidade: uma auditoria regular demonstra o compromisso da organização com a conformidade, reforçando sua importância para os funcionários e partes interessadas e promovendo uma cultura onde a conformidade é valorizada e priorizada.
Documentação e registro: a auditoria produz registros e documentação detalhados que podem ser úteis em futuras auditorias, bem como em inspeções por entidades reguladoras. Esta documentação serve como prova da diligência da organização em manter a conformidade.
Avaliação de treinamento e educação: a auditoria pode ajudar a identificar áreas em que os funcionários podem precisar de treinamento adicional para entender e cumprir os requisitos de conformidade relevantes.
Preparação para auditorias externas: ao realizar auditorias internas regulares, uma organização estará melhor preparada para auditorias externas, seja por reguladores, parceiros ou outras partes interessadas.
Por que investir em um Sistema de Gestão de Compliance?
Se até o momento sua organização não implementou um sistema de gerenciamento de conformidade, você pode estar ponderando sobre a real necessidade de incluí-lo agora. Sim, a introdução de um novo sistema representa um investimento, e reduzir riscos nem sempre é sinônimo de economia imediata.
Para evitar repetições, vamos direto ao ponto: no panorama regulatório de hoje, um sistema de gerenciamento de conformidade tornou-se praticamente indispensável. Eis três motivos cruciais:
Parceiros financeiros esperam por isso
Instituições financeiras entenderam claramente: elas são, de certa forma, responsáveis pelas ações de seus clientes. Estes parceiros financeiros buscam comprovações de que sua empresa está em conformidade com normas e regulamentos, de que atende às reclamações dos consumidores de maneira eficaz, e de que seu conselho diretivo assegura que o programa de conformidade opera eficientemente. Se não estiverem satisfeitos com o que observarem, sua capacidade de acessar capital pode ser comprometida. Por outro lado, ao perceberem um bom sistema em ação, são mais propensos a oferecer condições financeiras favoráveis, facilitando sua competitividade no mercado.
É estratégico para o crescimento empresarial
Um sistema de gerenciamento de conformidade eficiente pode diminuir o tempo, os recursos e os desafios associados ao cumprimento de regulamentos. Além disso, as informações oriundas deste sistema podem influenciar uma série de decisões cruciais, impactando positivamente o desenvolvimento da organização.
Plano de conformidade x programa de conformidade
Um plano de conformidade é um documento oficial publicamente acessível que delineia as diretrizes que uma organização estabelece para cumprir suas responsabilidades regulatórias. Esse documento deve representar fielmente as responsabilidades de conformidade da empresa e necessita ser periodicamente reexaminado e ajustado, garantindo que esteja alinhado com as ações de conformidade atuais da organização. Ele é dinâmico e adaptável.
Por sua vez, um programa de compliance é o conjunto de estruturas e processos formais de uma organização que visa prevenir, identificar e resolver possíveis preocupações apresentadas por funcionários e outros envolvidos.
Enquanto um plano de conformidade é uma parte crucial para estabelecer um programa de compliance robusto, este último não se resume apenas a um documento. É mais do que isso; é uma mentalidade e um padrão operacional que reflete como uma organização construiu sua cultura em torno da conformidade. Um programa de compliance eficaz não é apenas um conjunto de regras predefinidas. As mais bem-sucedidas abordagens de conformidade evoluem e se adaptam ao longo do tempo.
Integrando tecnologia e negócios: A essência da gestão eficaz de compliance
Ricardo Bortolotto, IT Security e Compliance Manager na Ambev, destacou no 10º episódio do podcast Itshow a importância da educação e formação profissional para satisfazer as crescentes demandas de compliance dos clientes no cenário atual. Conforme apontado por ele, empresas líderes não só investem proativamente em treinamentos, mas também alinham suas equipes de forma estratégica com padrões e políticas de conformidade reconhecidas.
A complexidade da gestão de compliance, principalmente no que tange à proteção de dados, é inequívoca. Assim, uma abordagem fragmentada não é mais suficiente. Ao invés disso, é importante ter uma compreensão abrangente e integrada de todas as partes da organização – seja o time de desenvolvimento, a infraestrutura, os sistemas legados ou os parceiros externos. Esta visão holística, conforme mencionado por Bortolotto, não só facilita a identificação e prevenção de falhas potenciais, mas também garante que as organizações se mantenham ágeis e proativas diante de desafios emergentes.
Portanto, no mundo em rápida evolução da tecnologia e regulamentação, é a visão holística da conformidade – que abrange todos os aspectos da organização – que permitirá às empresas antecipar riscos, garantir a proteção dos dados e, em última análise, manter a confiança dos seus clientes e parceiros.
Assine nossa Newsletter para receber os melhores conteúdos do Itshow direto no seu email.