A LGPD tem sido discutida a muito tempo, e é um marco para a proteção de dados. O tema se tornou muito importante após os diversos escândalos de vazamento de dados dos últimos anos. Mas, se o problema é proteção de dados, o que o Compliance tem a ver com isso?
Duas coisas muito importantes tornam o Compliance o setor fundamental para a adequação da empresa à LGPD. O primeiro, é porque é dever do Compliance garantir que a empresa esteja de acordo com legislações referentes a ela. Por exemplo, precisa estabelecer processos e políticas para assegurar o cumprimento das leis no dia a dia.
Além disso, a LGPD é uma lei que, se não seguida à risco, pode acarretar danos imensos à reputação e imagem da empresa, além de multas pesadas. Isso é especialmente possível devido à grande publicidade e cobrança que têm vindo dos incidentes envolvendo dados de usuários.
Ou seja, o Compliance, afinal, tem o dever de garantir a segurança de dados de acordo com a LGPD da mesma forma que previne contra riscos derivados de outras legislações. Criando processos, políticas, documentos, programas de prevenção e gestão de riscos. E uma das recomendações mais importantes nesse processo é a nomeação de um Data Protection Officer (DPO).
O que é o Data Protection Officer (DPO)
O DPO é uma pessoa (ou empresa) nomeada pela pessoa jurídica que detêm os dados que precisam ser tratados (a controladora). Ele será o elo entre essa pessoa jurídica, os titulares dos dados (pessoas nominais aos quais os dados se referem) e a Autoridade Nacional de Proteção de Dados (ANPD), que ainda está em processo de elaboração.
É recomendado que seja uma pessoa ou área independente da empresa, ou até terceirizada. Assim, ela pode exercer suas atividades sem restrições e intermediações da empresa, já que nem sempre as medidas ou investigações serão em prol dos interesses imediatos da empresa.
Outra recomendação é que a identidade e informações de contato dessa pessoa, ou de um responsável pelo setor, estejam disponíveis. É preciso que funcionários, clientes e demais pessoas externas possam acessar o DPO para fazer questionamentos, tirar dúvidas e exigir seus direitos previstos na LGPD.
O que faz o DPO
O Data Protection Officer deve ter conhecimentos não só sobre dados, mas de processos de Governança Corporativa. Ele deve ser o responsável por fazer fiscalização e governança de acordo com a LGPD, e orientar funcionários e terceiros da empresa em como proteger e manusear devidamente os dados que a empresa possui.
Além disso, deve estar pronto para receber reclamações e denúncias e responder questionamentos de pessoas sobre o uso de dados na empresa. Por fim, é também a pessoa responsável por dialogar com a Autoridade Nacional de Proteção de Dados e prestar qualquer esclarecimento a ela e outras agências reguladoras.
Minha empresa precisa de um DPO?
A adoção de um DPO não é obrigatória para todas as empresas. A LGPD especifica que empresas que detêm um volume alto de dados pessoais ou sensíveis (raça e etnia, convicção religiosa, opinião política, filiação sindical, dados de saúde, opção sexual, genético-biométrico, ou dados de crianças) precisam sim ter um profissional destinado à proteção dos dados.
No entanto, é recomendado que qualquer empresa que tenha recursos para investir em um DPO faça isso. É um sinal de compromisso com a ética e segurança, importante não só para a reputação da empresa, mas para a ANPD. Além disso, as empresas ao redor do mundo têm sofrido sanções pesadas em incidentes envolvendo dados. Por isso, tudo indica que a ANPD também fará uma fiscalização rigorosa.
O Compliance Trabalhista é uma parte do programa de Compliance que qualquer empresa precisa ter. Basicamente, é um conjunto de medidas e procedimentos que vão ajudar a prevenir e proteger a empresa em casos que podem infringir legislações trabalhistas.
Com isso, o maior benefício que percebemos é reduzir a quantidade de ações trabalhistas, que causam grandes perdas financeiras a empresas brasileiras. Isso é significativo, já que o Brasil é o país com maior número de ações desse tipo no mundo.
Outra redução de gasto vem com uma menor incidência de atos ilícitos. Esse é um benefício não só do Compliance Trabalhista, mas do Compliance em geral. Fraudes, desvio de dinheiro, multas e gastos com auditorias e reparação de reputação acumulam despesas para empresas que têm que lidar com corrupção.
As duas principais frentes do Compliance trabalhista são no setor de Recursos Humanos (RH) e na Saúde e Segurança do Trabalho (SST).
2. Compliance Trabalhista em Recursos Humanos
Dentro dos Recursos Humanos, o Compliance Trabalhista lida com duas funções: Recrutamento e seleção e manutenção do ambiente e relações de trabalho.
2.1 Recrutamento e seleção
Nesse ponto é importante focar não só na contratação de empregados diretos, mas na relação da empresa com terceiros. Isso porque a empresa pode se responsabilizar pelas inadimplências trabalhistas da empresa contratada. A solução é fazer uma boa Due Diligence trabalhista antes de contratar qualquer terceiro. Isso é conhecido como Know Your Customer, ou KYC.
Quanto aos empregados diretos da empresa, também é possível fazer uma “Due Diligence” antes e durante a seleção de novos funcionários. Isso deve ser feito dentro dos limites da legislação para evitar que essa investigação não resulte na não contratação por causa de preconceitos.
O nome desse Due Diligence é conhecido como Know Your Employee, ou KYE. O único propósito deve ser a busca por empregados que mostrem disposição e concordância com os valores da empresa e senso pessoal de ética. É também recomendado incluir no processo provas de conhecimento anticorrupção para medir o comprometimento ético do candidato.
2.2 Ambiente e relações de trabalho
O RH também tem a função de manter a qualidade do ambiente de trabalho e das relações entre os funcionários. Isso é importante porque casos de assédio moral e sexual podem levar a ações trabalhistas que além de afetarem o ambiente de trabalho, mancham a reputação da empresa e levam a gastos financeiros.
O mais importante é criar boas e claras políticas corporativas. Os documentos precisam estar claros e mostrar quais são os valores da empresa, e o que pode ou não pode ser feito. Ainda é preciso ter procedimentos que garantem a leitura, entendimento e aceite dessas políticas.
Com um Canal de Denúncias, os problemas podem ser resolvidos dentro da empresa em vez de levar a ações judiciais. Também inspira confiança na empresa. Com esse controle interno, também é possível formalizar punições e ações a serem tomadas a partir do Código de Ética.
Outros procedimentos de reforço de um bom ambiente de trabalho devem ser formalizados. Essas atividades devem ser feitas em conjunto com a equipe de RH, mas o Compliance também deve estar presente. É ele que vai formalizar as normas e procedimentos, e garantir o fortalecimento dos valores, normas e missões da empresa.
3. Compliance Trabalhista na Saúde e Segurança do Trabalho
Outra face do Compliance Trabalhista é a Saúde e Segurança do Trabalho (SST). Acidentes ou doenças ocupacionais são ocorrências que podem levar a ações trabalhistas, uma das coisas que o Compliance Trabalhista busca evitar.
Mas além disso, a SST é regulamentada por diversas normas e legislações muito específicas e numerosas. Por isso, é importante ter um profissional de Compliance para garantir que a empresa está em conformidade com cada uma dessas regulamentações.
Um exemplo é garantir que existem políticas, procedimentos e controles internos que devem ser seguidos no dia a dia por todos. Seguem abaixo três exemplos desse tipo de norma ou procedimento.
3.1 Mapeamento de riscos
Antes de qualquer coisa, é sempre importante que a empresa faça um mapeamento de riscos geral. No caso de SST, se procura áreas, funções e atividades mais propícias ou vulneráveis a acidentes. Depois, você deixa isso registrado e propõe medidas de correção para cada um.
Essas medidas podem ser novas políticas corporativas que ajudam a clarificar como o funcionário deve agir em determinada situação, sinalizações adequadas de perigo e cautela no espaço de trabalho, normas que estabelecem equipamentos de proteção individual (EPI’s), etc.
3.2 O Perfil Profissiográfico Previdenciário
O Perfil Profissiográfico Previdenciário, ou PPP, é um documento que pode começar a ser elaborado durante o mapeamento de riscos. É obrigatório para qualquer empresa que exponha os funcionários a agentes nocivos físicos, biológicos, químicos e outros que podem prejudicar a integridade física.
Este documento vai reunir dados e informações sobre o ambiente de trabalho de cada funcionário. Ou seja, os riscos identificados no mapeamento de riscos, possível contato com insalubridade, detalhamento de agentes nocivos presentes no ambiente de trabalho, etc.
Você pode ver o formulário e instruções para preenchimento no site do INSS.
3.3 O Programa de Prevenção de Riscos Ambientais
Já este programa é muito parecido com o Programa de Compliance. Ele tem uma legislação, mas não é uma norma ou documento físico que precisa ser entregue. É um conjunto de ações, diretrizes e metodologias que devem ser seguidos pela empresa para garantir a preservação da saúde e segurança dos funcionários.
A diferença é que o PPRA deve ser parte do programa de Compliance em empresas que expõem os colaboradores a possíveis riscos à integridade física.
4. Como garantir o Compliance Trabalhista
Vimos a importância de aplicar o Compliance Trabalhista em qualquer Programa de Compliance. Agora, seguem algumas formas de garantir isso na prática.
4.1 Due Diligence
O Due Diligence é uma técnica muito forte no Compliance Trabalhista, principalmente no RH. É importante conhecer previamente nossos funcionários e nossos parceiros comerciais para garantir que a empresa não vai sofrer as consequências das ações de indivíduos ou terceiros.
4.2 Canal de Denúncias
Já o Canal de Denúncias é um pilar do Compliance que garante que a empresa tome conhecimento de acontecimentos possivelmente problemáticos. Assim, é possível estabelecer planos de reparação e prevenção de futuros incidentes.
4.3 Treinamentos
Prevenção é uma parte muito importante do Compliance em geral. E ter bons treinamentos são uma forma de garantir que os funcionários estão cientes e pratiquem como reagir dentro das normas e valores da empresa, evitando ainda mais atividades ilícitas e antiéticas.
Primeiramente, iremos relembrar o termo Compliance, que nada mais é do que cumprir leis e regulamentações. Por tanto, o profissional denominado Compliance Officer, é o “agente da mudança”. Ele deve ser capaz de gerir um programa de Compliance eficaz que faça com que os colaboradores cumpram as normas, regras e sejam íntegros para o negócio em questão.
O programa de Compliance deve ser baseado em boas práticas que já se encontram bem estabelecidas mundialmente, mas sempre levando em consideração a realidade da empresa.
1. Boas práticas
As boas práticas nos dizem que existem pilares que servem como base para a elaboração de um bom programa de Compliance, sendo eles:
Garantir que os sócios da empresa compreendam que é necessário agir com integridade, ou seja, se trata da mentalidade do negócio.
1.3 Análise de riscos:
Momento que o Compliance Officer identifica os riscos expostos pela empresa no mercado.
1.4 Criação de políticas e procedimentos:
Essa prática tem como objetivo documentar os controles e processos feitos para evitar os riscos.
2. Desafios que o Compliance Officer enfrenta
Os principais desafios enfrentados pelo profissional da área de Compliance estão ligados à dificuldade em seguir todas as leis, normas e regulamentações. Afinal, a questão tributária brasileira é bastante complexa.
Outro ponto bastante complicado, é a questão de alguns processos ainda serem muito mão na massa, tornando o trabalho maçante. Como por exemplo, a verificação da documentação de algum colaborador da empresa ou o controle e gestão do fluxo de informações presentes no programa de Compliance.
Aplicar as normas e regras entre todos colaboradores, também é bastante difícil para o Compliance Officer, pois exige comprometimento para criar uma cultura de Compliance íntegra.
3. Soluções tecnológicas
Felizmente, a revolução tecnológica, globalização e o big data permitiram que as práticas de Compliance se tornassem cada vez mais automatizadas.
O surgimento de soluções inteligentes possibilita que o Compliance Officer crie um programa de Compliance automatizado mais eficaz e com um orçamento considerável. Sendo assim, ele pode estruturar práticas como:
Análises de crédito
Implementação de um código de conduta
Conheça seu cliente (KYC), fornecedor (KYE) e parceiro (KYP);
Prevenção à lavagem de dinheiro;
Programas de integridade;
Processos internos de auditoria
3.1 Automatização
As plataformas, softwares e processos automatizados permitem a redução no tempo consumido em atividades que antes eram manuais, através do uso de um grande volume de dados. Logo, o Compliance Officer consegue consultar de forma automática um alto número de fontes no menor tempo possível, otimizando e padronizando buscas necessárias.
O upMiner é um modelo de plataforma que consegue automatizar consultas em centenas de fontes de conhecimento disponíveis na internet, bureaus de crédito e bases de dados proprietárias, processando e cruzando milhares de informações sobre empresas e pessoas em tempo real.
3.2 Integração
Outra função desse tipo de ferramenta, é a possibilidade de integração entre as plataformas e outros sistemas já implantados, o que facilita a adoção de processos e soluções eficazes, tornando o trabalho menos maçante.
3.3 Treinamentos
Outra possibilidade que a tecnologia traz é a de realizar treinamentos de Compliance a fim de garantir eficiência ao passar o código de conduta para os colaboradores.
Ferramentas como softwares especializados em Compliance estimulam o engajamento e possibilitam que os treinamentos sejam registrados, o que evidencia a preocupação da empresa em adotar uma cultura de Compliance. Em casos de investigações e auditorias, pode auxiliar os departamentos que têm mais dificuldade em entender as leis e normas presentes.
O clickCompliance é uma referência no setor de gestão e controle de programas de integridade no Brasil, através de modelos de treinamento específicos e governança de documentos.
Dessa forma, podemos concluir que um dos papéis principais do Compliance Officer, na Era Digital, é o de estar ligado às soluções tecnológicas que vêm surgindo ultimamente, e analisar se alguma faz sentido com a necessidade real de seu programa de Compliance.
Se tornou muito mais fácil com a ajuda de plataformas e soluções inteligentes.
Na hora de planejar a necessidade de uma solução para a área, o Compliance Officer precisa levar em consideração pontos importantes para a rotina do setor.
Fazer as perguntas certas é fundamental!
Qual a vantagem competitiva que a solução proporciona?
Terei um impacto positivo na produtividade da área?
Consigo comprovar o investimento com resultados reais?
Tendo em mente tais questionamentos, chega a hora de alinhar a necessidade com a solução.
4. O conhecimento do Compliance Officer para com a tecnologia
Muitas soluções surgem em um curto espaço de tempo, porém nem sempre estão alinhadas com a necessidade real de seu público. O Compliance Officer não precisa entender que uma API é a solução ideal para sua rotina e sim, entender qual o valor real de se obtê-la.
Para gerenciar informações internas, atualizar o cadastro de fornecedores e parceiros, e realizar análises de funcionários, uma solução integrada pode ser a solução dos problemas!
Alguns pontos importantes que um Compliance Officer deve saber:
Integração: De uma maneira simplista, a integração permite a troca de informações entre os sistemas (ex: dados internos com dados externos).
Fontes de informação: no mundo digital, as fontes de informações são geralmente bases de dados onde o sistema extraí a informação ideal.
Software Cloud: software que não necessita de instalação, seu acesso é via rede de internet.
Se o Compliance Officer entender esses 3 pontos citados acima, certamente irá tomar uma boa decisão na hora de usufruir de uma solução para o seu dia a dia.
5. Alinhando Tecnologia com a estratégia
Ao desenvolver todo o planejamento estratégico para a área, o Compliance Officer precisa entender em quais ações será necessário o uso da tecnologia.
Consideramos 2 áreas de atuações fundamentais para utilizar a tecnologia no Compliance:
Tecnologia e análise de dados (inteligência).
Gestão de risco e investigações.
Uma pesquisa sobre a maturidade do compliance no Brasil realizada pela consultoria KPMG, mostrou que:
Apenas 24% das empresas possuem infraestrutura mínima voltadas para TI e análise de dados.
18% não possuem infraestrutura.
Esses dados acabam tirando o destaque das empresas que possuem uma função de integração (23%) e que rodam sua inteligência com base em tecnologia e análise de dados.
Ter acesso a informação relevante e de qualidade é fundamental para uma boa tomada de decisão.
Um Compliance Officer que toma boas decisões, com base em dados, tem a probabilidade de diminuir os riscos de perda da sua empresa, seja com inadimplência de parceiros e fornecedores, ou fraude de funcionários.
É extremamente importante a área de Compliance ter independência para as decisões do dia a dia e levar a empresa para uma cultura ética, com uma governança eficiente.
6. Conclusão
Como podemos ver, a tecnologia está cada vez mais integrada entre os departamentos de uma empresa.
O Compliance Officer como o responsável por um dos setores mais importante da organização atualmente, precisa ter acesso a soluções que gerem impacto nas suas decisões.
Entender de tecnologia não deve ser um desafio para o Compliance Officer e sim, mais uma de suas atribuições para gerar impacto nas decisões de negócios.
É muito difícil fazer alguma coisa ilícita ou contra as normas da empresa sem que ninguém saiba. Normalmente alguém descobre, mas por diversos fatores, não falam nada. Pode ser medo de retaliações, falta de confiança na resolução do problema, medo de virar um “dedo-duro”, ou simplesmente não saber onde e como denunciar. Mas um Canal de Denúncias e Compliance bons e bem planejados podem solucionar todos esses problemas.
Lei Anticorrupção:
Redução de multas em empresas que possuem “mecanismos e procedimentos internos de incentivo à denúncia de irregularidades”
O impacto financeiro de não ter um Canal de Denúncias e Compliance bem estruturados é um grande incentivo. Nós gostaríamos que não fosse o principal, mas sabemos que para muitas empresas, ainda é.
Apesar disso, no Brasil a quantidade de fraudes descobertas por denúncias é muito menor do que mundialmente. E no Brasil, o meio de descoberta mais comum, a auditoria externa, é bem menos usual no resto do mundo.
O que preciso fazer para que ele funcione bem?
1: As denúncias que podem ser feitas a um canal dizem respeito não só a atos ilícitos, mas a todas as normas e políticas da empresa. Mas os funcionários não têm como saber o que reportar se não sabem o que é ou não proibido.
Por isso, um dos passos mais básicos é assegurar que os colaboradores saibam bem o conteúdo das políticas corporativas da empresa. Além disso, devem receber treinamentos que reforcem isso, mas que também abordem legislação.
Assim, eles estarão bem preparados para denunciar situações quando surgirem.
2: Um dos obstáculos dos profissionais de Compliance na hora de incentivar denúncias é a cultura, ainda muito presente, do medo de ser “dedo-duro” contra os “espertos”.
Assim, os funcionários se sentem à vontade para cuidar do ambiente de trabalho e contribuir ativamente para sua empresa no dia a dia.
Este texto é apenas uma parte do nosso E-Book “Canal de Denúncias: Da Denúncia à Investigação”. Nele, tem uma lista completa de dicas para implementação de Canal. Também incluímos dicas para investigações e entrevistas.
O Due Diligence é uma prática que consiste basicamente em fazer uma investigação e um levantamento de tudo que pode ser um risco futuro antes de firmar um relacionamento contratual. É uma definição bastante abrangente, e isso é porque existem diversos tipos mais específicos. Esses têm seus próprios procedimentos e finalidades.
No processo, serão checadas ações judiciais da qual a empresa pode estar participando, irregularidades fiscais, aparência na mídia, questões ambientais, seu relacionamento com o ambiente e a comunidade e a efetividade (ou existência) de seu programa de Compliance. No entanto, hoje em dia nem recomendamos se vincular a uma empresa que não tenha programa de Compliance. Ela acaba sujeita a muitos riscos.
Também podem ser verificados os relacionamentos da empresa com a administração pública e frequência dessa interação. Pode ser maior ou menor até dependendo do tipo de empresa. Esse due diligence é feito normalmente em dois casos, na contratação de terceiros e fusões e aquisições.
Due Diligence de Terceiros
As empresas brasileiras possuem uma forte relação com o uso de terceiros. Empresas maiores, inclusive, possuem centenas de fornecedores ou prestadores de serviços espalhados pelo país e pelo mundo. Nos olhos de muitas empresas, fazer uma due diligence de tanta gente acaba sendo muita burocracia e trabalho, e acabam preferindo não fazer.
Mas é por isso que é um dos pilares do programa de Compliance. A estrutura e os procedimentos para fazer o due diligence precisam já estar estabelecidos antes de surgir uma relação nova. Assim, o processo fica mais eficiente. Até porque é muito necessário. O prejuízo virá ou por causa da ineficiência no seu processo de due diligence, se não for bem preparado, ou em forma de consequências por não ter feito.
Para fazer essa inspeção, serão analisados aspectos financeiros, contábeis, previdenciários, trabalhistas, imobiliários, tecnológicos, jurídicos, entre outros.
Due Diligence em Fusões e Aquisições
Quando você vai fazer uma fusão ou aquisição, você está aceitando absorver tudo dessa outra empresa. Isso com certeza vai te trazer benefícios. Mas também pode te colocar no meio das coisas ruins possivelmente associadas a ela. Quando você vai fazer o due diligence antes de se fundir, normalmente são feitos todos os tipos de análise. Isso porque literalmente tudo sobre aquela empresa vai estar associada a você a partir desse momento. Vocês literalmente se tornam uma só. Portanto, qualquer problema de qualquer setor pode ser um risco hoje ou no futuro.
Due Diligence Ambiental
Uma due diligence ambiental normalmente é feita quando você vai se relacionar com uma empresa que tem maiores impactos no meio ambiente. Alguns exemplos mais óbvios são, por exemplo, empresas que trabalham com extração de minério, petróleo, etc. Como temos visto, as consequências da falta de manutenção e de procedimentos de emergência podem ser muito graves. E a sua empresa não vai querer estar associada a isso.
Alguns dos aspectos analisados são, por exemplo, o cumprimento das leis ambientais, contaminação de água, solo, e pessoas, além de procedimentos existentes de resposta de emergência e prevenção de acidentes. Esse tipo de auditoria também pode ser feita na compra de um imóvel. Pode acontecer, por exemplo, de você adquirir um imóvel e só depois descobrir que foi construído em terreno ilegal. E é você quem herda os problemas e prejuízos.
Due Diligence Trabalhista
Já o due diligence trabalhista se relaciona muito com um outro setor da empresa, o RH. Esse tipo de inspeção é feita, na maioria dos casos, na contratação de novos funcionários. O interessante é que pode ser realizada das mais baixas posições às mais altas. Casos antigos de assédio ou participação em algum escândalo podem se repetir na sua empresa e afetar a sua reputação.
Mas um cuidado muito importante que é preciso ter é evitar que essa inspeção do funcionário seja discriminação. Por exemplo, checar antecedentes criminais de um candidato. Isso só pode ser feito em casos em que a posição requere muita confiança da empresa ou que seja de teor mais sensível. Se não for o caso, sua empresa pode ser processada por discriminação.
O cenário brasileiro nas empresas é de vigilância total. A Lava-Jato e a Lei Anticorrupção, como já estamos cansados de saber, iniciou uma corrida pelo Compliance e por novas tecnologias e propostas de conformidade. Mais do que seguir leis, a conformidade hoje é seguir os negócios com integridade e ética, em todos os setores da empresa.
E um tipo de comportamento ilícito ainda se destaca não só no Brasil, mas no mundo inteiro: a fraude e os crimes financeiros. Tanto que são uma das principais frentes de combate do Compliance. Podemos destacar 5 motivos que os tornam particularmente interessantes: a ocorrência tão frequente que é uma conduta quase esperada, a abrangência (de forma alguma é um problema mais brasileiro ou até latino-americano), o impacto financeiro e social que causam, quem comete, e a dificuldade em flagrar e combater.
Uma pesquisa da Thompson Reuters mostrou que a média de crimes financeiros que ocorrem dentro das empresas brasileiras é de 67%. A média mundial é de 59%. É fácil ficarmos no “o Brasil que é país de corruptos mesmo” (apesar de que realmente caímos 9 posições no ranking de percepção de corrupção em 2018). Mas para uma média global, 57% ainda é um número estarrecedor. Dentre estes crimes estão considerados fraude, lavagem de dinheiro, roubo, suborno e corrupção, etc.
A necessidade de as empresas combaterem esse tipo de prática vai muito além de apenas estar em Compliance e se proteger da Lei Anticorrupção. A fraude e a corrupção acarretam perdas imensas todo ano. Estes custos representam, em média, 2,47% das receitas anuais das empresas. De acordo com o Report to the Nations 2018, a perda média em casos de fraude na América Latina foi de US$193 mil para cada empresa.
Também são significativos os efeitos na reputação, que hoje em dia mais do que nunca têm grandes impactos financeiros. Em cima de tudo isso, empresas precisam se preocupar com possíveis penalidades da Lei Anticorrupção, que são um agravante particular do Brasil.
Tudo isso é sem contar o efeito altamente prejudicial que os crimes financeiros têm na economia do país e diretamente na vida do brasileiro. Um relatório da ONU descobriu que o país perde cerca de R$ 200 bilhões com esquemas de corrupção por ano.
Mas a informação que mais se destacou para nós no Report to the Nations 2018 foi a que mostrou quem na empresa era o responsável pela maior parte dessas perdas. Os funcionários que ocupavam cargo de dono ou executivo na empresa causavam uma perda quase 11 vezes maior do que funcionários comuns, e 4 vezes maior do que gerentes.
A primeira conclusão é óbvia. Para o Compliance, isso mostra ainda mais o quanto é importante o bom e velho “Tone at the Top”. Parece que uma cultura de liderança ética como exemplo ainda precisa de muita evolução, e não só aqui no Brasil. E seguindo a ideia do “Tone at the Top”, essas perdas mais baixas dos funcionários comuns e gerentes poderiam ser evitadas com uma cultura mais forte de Compliance vindo de cima. Mas os dados também reforçam outra conclusão interessante que pode passar despercebida, mas nos impactou aqui no clickCompliance.
Nós oferecemos um software de processos de Compliance, e uma de suas funções é automatizar e registrar leituras e os aceites das políticas corporativas pelos funcionários. Para fazer o login, o funcionário usa o e-mail corporativo. E por isso, nossos clientes sempre trazem o mesmo questionamento: para que vou contratar um serviço que só atinge os funcionários digitais? Os vendedores, faxineiros, caixas, etc. não precisariam estar inclusos?
Como o gráfico ao lado nos mostra, os colaboradores que têm acesso ao ambiente digital, as áreas financeiras e de vendas, por exemplo, e as de cargos mais altos, são as que mais deixam a empresa vulnerável a fraudes e corrupção. Não só os danos financeiros são mais graves, como são os tipos de crime financeiro que podem tornar a empresa alvo de investigações pela Lei Anticorrupção. Para esses funcionários “de risco”, é preciso ter uma política de Compliance à altura. Basicamente, o que aprendemos com isso é que cada tipo de funcionário precisa de investimentos correspondentes aos riscos que apresentam. E como isso se manifesta nesses funcionários “deixados de fora” pelo clickCompliance? É claro que não é por que não são um risco tão grande de crimes financeiros que a empresa deve deixar de implementar um programa de Compliance robusto direcionado a eles. Mas isso pode (e deve) ser feito através de treinamentos presenciais e reforços mais práticos no dia a dia do trabalho. Isso porque o tipo de não Compliance que acontece nesses setores são relacionados principalmente ao Código de Ética e Conduta. Nesses casos encontramos assédio, preconceito, etc., em vez de crimes financeiros através de ambientes digitais.
Essa mesma conclusão também pode ser tomada com um bom trabalho de due diligence e avaliação de riscos. Ao investigar e mapear as áreas de maior risco na empresa (que na maioria das vezes acabam sendo essas áreas financeiras e “digitais”), o bom profissional de Compliance consegue criar estratégias e abordagens mais completas e direcionadas. Esse é, afinal, o objetivo do novo Compliance. Criar um programa completo e eficaz dos mais altos escalões aos mais baixos. E com ferramentas e tecnologias cada vez mais qualificadas para alcançar esses objetivos.
Marcelo Erthal é CEO da Ímpeto, empresa criadora do clickCompliance
