A dura vida de um Compliance no mundo corporativo

H√° alguns anos o grande ‚Äúproblema‚ÄĚ era a auditoria, agora temos a fun√ß√£o de compliance, que nada mais √© que um profissional que busca conformidade entre leis, regulamentos e normas internas com os processos da organiza√ß√£o, e em certos casos ‚Äúlembrando‚ÄĚ ao gestor o que ele deve fazer, mas muitos n√£o aceitam as recomenda√ß√Ķes como deveriam e acham que estamos dificultando a forma de trabalhar.

Esta aí a grande dificuldade, pois evidenciar aquilo que a pessoa já esta cansada de saber é desgastante, mas isto deve ser feito por alguém. Afinal o oficial de conformidade (em inglês Compliance Officer) busca o cumprimento das regras e efetua testes de aderência, em muitas vezes em conjunto com o próprio gestor, sendo validado posteriormente pela auditoria, é como se fosse uma pré-auditoria de isso para que posteriormente possa ser validada e certificada.

Mas por que tanto rancor? Tanta resist√™ncia? Por desconhecimento da fun√ß√£o e porque a maioria das pessoas tem avers√£o a controles quando cobrados por outros, mas quando ele cria um controle operacional que funciona, √© novidade, √© inova√ß√£o, n√£o √© mesmo? Mas o ruim, √© que algums “especiliastas” de compliance tem confundido a cabe√ßa das pessoas dizendo que controle interno √© uma coisa e compliance √© outra, como fazer gest√£o de riscos sem os dois?

Estes “especilistas” que est√£o aproveitando o onda do “COMPLIANCE ON BUSINESS” dizem que basta implementar algumas pol√≠ticas de Conduta e √Čtica, Anticorrup√ß√£o/Antisuborno, Preven√ß√£o a Lavagem de Dinheiro e fazer um workshop, dizendo sigam as normas, a sua empresa j√° esta com um programa de integridade, me lembra um programa de televis√£o bem antigo “Acredite se Quiser” (veja um trecho do seriado:¬†Acredite se quiser com Jack Palance)

Em minha experi√™ncia profissional j√° presenciei o contador do banco enviando aquele e-mail de fechamento com instru√ß√Ķes de fechamento de carteiras, solicitando a entrega de concilia√ß√Ķes e metodologias de apura√ß√£o de resultado, emiss√£o de balancetes entre outros, mas quando pedimos para elaborar um procedimento para alguma atividade de sua √°rea, nunca tem tempo, mas quando algu√©m sai da empresa e o conhecimento vai junto, fica se lamentando a falta de conhecimento do processo.

E a área de TI, desenvolve uma enormidade de sistemas, mas quando pedimos a elaborar a documentação do sistema, dizendo o que cada linha do programa deve fazer, nem sempre tem, portanto o criador vai embora e a manutenção do sistema também, para que correr este risco, neste momento será que precisamos de um agente de compliance ou auditor para solicitar isso? Na realidade deveria ser padrão da empresa ter uma política para aquisição, desenvolvimento e manutenção de software.

E controle de acesso para que serve mesmo? Serve para (in)segurança da informação ou (des)governança corporativa ou (des)controle interno.

Falar de ISO 27000, ISO 20000, ISO 31000, ISSO 19600, IFRS, TRIBUTOS, COBIT, ITIL e COSO (ERM) para algumas pessoas estamos falando grego, até mesmo para alguns auditores é complicado, e sempre que posso oriento os profissionais de controles internos e compliance a buscar conhecimento sobre o assunto para poder discutir com todos os interessados e responsáveis na empresa, pois ele não precisa fazer, mas necessita entender a necessidade da organização e solicitar que façam.

A cultura de controle esta melhorando, em compara√ß√£o ao passado, mas esta longe do ideal, entretanto devemos evidenciar que para muitos ainda √© novidade, as quest√Ķes de gest√£o de riscos, seguran√ßa da informa√ß√£o, acesso remoto, computa√ß√£o na nuvem, outsourcing, gest√£o de continuidade de neg√≥cios, recupera√ß√£o de desastres, contabilidade internacional, gest√£o tribut√°ria, entre outros, deve estar na al√ßa de mira dos profissionais de compliance, controles internos, governan√ßa, riscos e auditoria, afinal compliance n√£o √© somente leis e regulamentos, √© gest√£o do neg√≥cio dentro das leis e com boa dose de conduta e √©tica, que a cada dia, a cada esc√Ęndalo, fica dif√≠cil defender o controle interno e compliance.

Tenho conversado com muitos profissionais de controles internos e compliance, por esse Brasil a fora e muitos tem se declarado, cansados de brigar, argumentar, de serem cobrados a cada falha de processo, pois muitos gestores, primeiro fazem a opera√ß√£o sem consultar as partes internas envolvidas, e temos que sair pela empresa limpando a sujeira, para minimizar o impacto da decis√£o sem embasamento suficiente e proteger a empresa, isso cansa demais, mas temos que insistir, se hoje est√° dif√≠cil, imaginem h√° 15 anos atr√°s quando comecei a falar sobre o assunto…

* Marcos Assi √© consultor da MASSI Consultoria, professor de MBA na Sustentare, FIA, Saint Paul, FECAP, Centro Paula Souza, entre outras, autor dos livros ‚ÄúGovernan√ßa, riscos e compliance ‚Äď mudando a conduta nos neg√≥cios‚ÄĚ e ‚ÄúGest√£o de Riscos com Controles Internos – Ferramentas, certifica√ß√Ķes e m√©todos para garantir a efici√™ncia dos neg√≥cios‚ÄĚ pela (Saint Paul Editora).

Como podemos monitorar um programa de compliance

Desculpem alguns especialistas, mas a melhor forma de monitorar um programa de compliance, é saber como são realizados os negócios na organização, precisamos ter os processos mapeados, mas mesmo assim não basta, precisamos que cada gestor acompanhe o seu processo e preste contas do que esta sendo feito, até por que os processos são de responsabilidade dos proprios gestores, mas deixam sempre com a area de controles internos e compliance o monitoramento e revisão.

‚ÄúEstabelecer processos, fazer o mapeamento e ter normas s√£o as principais quest√Ķes para uma gest√£o de riscos bem-sucedida.‚ÄĚ

precisamos implementar indicadores de performance para entender como o negócio esta sendo administrado e gerenciado, para que depois possamos revisar processos e melhorar a gestão de controles internos, compliance e de seus riscos inerentes.

Somente implementar politicas e procedimentos e achar que fazer um workshop falando do programa de integridade, prevenção a corrupção e lavagem de dinheiro, já basta, estão de brincadeira, e olha que tem muita consultoria fazendo isso.

“Administrar os riscos e conhec√™-los est√° ligado √†s decis√Ķes importantes que ser√£o tomadas na empresa. √Č t√£o importante quanto qualquer estrat√©gia. Se os gestores n√£o est√£o preparados, como a empresa vai reagir em um momento de crise?‚ÄĚ

Não basta ter sistemas e uma area/diretoria de compliance, a empresa necessita fazer com que isso funcione, mas tem muita gente fazendo o basico,  temos um longo caminho a percorrer.

‚ÄúHistoricamente, o brasileiro tem a caracter√≠stica de ser corretivo em vez de preventivo. Quando algo acontece, ele apaga a emerg√™ncia, mas n√£o pensa que pode acontecer de novo.‚ÄĚ

Não existem formulas magicas, necessitamos conhecer melhor o negócio, implentar transparencia nos processos e fazer com que as pessoas respeitem as regras e as normas, sem isso, fica dificil monitorar os programas de compliance e controles internos.

Por Marcos Assi

Odebrecht: risco para bancos na América Latina

Resultado de imagem para risco odebrechtGestores de fundos de investimento manifestaram ao √≥rg√£o americano equivalente √† Comiss√£o de Valores Imobili√°rios preocupa√ß√£o com a crise da Odebrecht na Am√©rica Latina, especialmente no Panam√°, no Peru e na Col√īmbia, onde projetos da empreiteira foram cancelados ou suspensos. Um deles deles disse que h√° temor no setor banc√°rio da regi√£o, que corre risco de preju√≠zo e deve ter regras mais r√≠gidas na concess√£o de empr√©stimos ao setor de infraestrutura no futuro. A informa√ß√£o foi publicada em blog americano que acompanha investiga√ß√Ķes no pa√≠s com base na lei anticorrup√ß√£o para empresas estrangeiras (FPCA). Em abril, o Departamento de Justi√ßa americano levou em conta a situa√ß√£o financeira da Odebrecht nesses pa√≠ses para reduzir a multa a ser paga pela empresa nos Estados Unidos. Passou de US$ 260 milh√Ķes para US$ 93 milh√Ķes.

E no Brasil…

O temor de risco sist√™mico no sistema banc√°rio no Brasil est√° expresso na medida provis√≥ria 784, que permiti√° a institui√ß√Ķes financeiras firmarem acordo de leni√™ncia. A MP determina sigilo ¬†dos processos e termos de compromisso quando as autoridades entenderem que a publicidade colocar√° “em risco a estabilidade e a solidez do Sistema Financeiro Nacional, do Sistema de Pagamentos Brasileiro” ou de pessoas f√≠scas e jur√≠dicas que exer√ßam atividae supervisionada pelo banco Central.

Colabora√ß√Ķes

O governo americano conta com colaboradores brasileiros nas investiga√ß√Ķes sobre as opera√ß√Ķes ilegais da Odebrecht com repercuss√£o no pa√≠s. Um deles seria o ex-gerente da √°rea internacional da Petrobras, Pedro Barusco.

Fonte: blogs.oglobo.globo.com Рodebrecht-risco-para-bancos-na-america-latina

Pitacos de controles internos e compliance

“Estabelecer processos, fazer o mapeamento e ter normas s√£o as principais quest√Ķes para uma gest√£o de riscos bem-sucedida.”¬†Marcos Assi

 

Embora a preven√ß√£o prepare as organiza√ß√Ķes para momentos de instabilidade, os especialistas ainda notam certa resist√™ncia em sua implanta√ß√£o no dia a dia. Para Assi, a falta de uma cultura de planejamento no Brasil ainda √© uma barreira a ser vencida.

 

“Administrar os riscos e conhec√™-los est√° ligado √†s decis√Ķes importantes que ser√£o tomadas na empresa. √Č t√£o importante quanto qualquer estrat√©gia. Se os gestores n√£o est√£o preparados, como a empresa vai reagir em um momento de crise?”

 

“Historicamente, o brasileiro tem a caracter√≠stica de ser corretivo em vez de preventivo. Quando algo acontece, ele apaga a emerg√™ncia, mas n√£o pensa que pode acontecer de novo.” Marcos Assi

 

“O que ocorre muitas vezes nas empresas √© que cada profissional d√° a sua interpreta√ß√£o √† forma de lidar com o risco. E quando n√£o existe sintonia, a organiza√ß√£o fica exposta pelo fato de n√£o ter procedimentos e padr√Ķes que devem ser seguidos por todos.” Marcos Assi

Entrevista para o Jornal O Globo: A import√Ęncia da gest√£o de risco nas organiza√ß√Ķes

Materia do Jornal o Globo de 12/07/2017

Gestão de risco é essencial para garantir segurança nas empresas

No contexto empresarial, o risco faz parte de toda atividade. Em muitos casos, ele pode ser previsto com base na experi√™ncia e no gerenciamento de processos que devem ajudar na tomada de decis√Ķes l√° na frente.

A palavra ‚Äúrisco‚ÄĚ √© popularmente associada √† possibilidade de algo n√£o dar certo. Mas o conceito atual a relaciona a um evento futuro que pode ser identificado e ao qual √© poss√≠vel associar uma probabilidade de ocorr√™ncia. Ele diz respeito tanto √†s perdas como aos ganhos, com rela√ß√£o ao rumo dos acontecimentos planejados.

‚ÄĒ Antigamente, o conceito era vinculado √† consequ√™ncia de algo poss√≠vel de acontecer. Hoje falamos que o risco √© a incerteza de uma empresa rea lizar seus objetivos. O que nem sempre significa uma perda ou algo ruim. O fato √© que ele est√° em todo lugar. N√£o existe risco zero ‚ÄĒ diz Fernando Marinho, consultor e vice-presidente da Associa√ß√£o Internacional de Gestores de Emerg√™ncia na Am√©rica Latina e Caribe (AIGELAC).

Por muitos anos, a estrat√©gia de riscos esteve ligada √† ideia de preven√ß√£o de desastres naturais. Mas foi a partir dos anos 1990 que as empresas ampliaram o seu entendimento sobre amea√ßas corporativas. Com a globaliza√ß√£o, o ambiente de neg√≥cios se tornou mais din√Ęmico e competitivo. Governos criaram regras mais rigorosas para equilibrar o funcionamento do mercado e a sociedade come√ßou a exigir maior transpar√™ncia das informa√ß√Ķes e responsabilidade das companhias. A gest√£o de riscos passou a ser vista como algo que gera benef√≠cios como a melhoria de processos, a otimiza√ß√£o de recursos e o fortalecimento da reputa√ß√£o.

‚ÄĒ Toda atividade tem chances de falhar e o erro pode custar caro. Prevenir √© melhor que ser surpreendido. A gest√£o de riscos atua no progresso cont√≠nuo de um produto ou servi√ßo. De forma geral, a qualidade passa a ser obrigat√≥ria e a empresa come√ßa a buscar propostas de valor para aumentar o seu ganho. A gest√£o do risco aparece como forma de blindar perdas financeiras e danos √† imagem ‚ÄĒ avalia Marinho.

Com um escopo tão grande de possibilidades, quem monitora todos esses detalhes? O profissional de gestão de riscos é responsável por identificar as incertezas, medir sua probabilidade e seus possíveis impactos, estabelecer como ele será tratado e as formas de reduzir o seu efeito. Ele avalia toda inconformidade com os objetivos traçados pela empresa, provocada por fatores internos ou externos.

O que n√£o pode ser medido, n√£o pode ser controlado

Segundo especialistas, depois de mapear os potenciais incidentes e fragilidades existentes, o segundo passo é definir indicadores para cada área ou operação. Eles serão referências para analisar as atividades e entender se elas estão gerando resultado ou não. Essas métricas avaliam todo o processo: o que precisa monitorar, o que está sendo monitorado e o que pode mudar lá na frente. Elas são as ferramentas para basear qualquer decisão futura. Para Marinho, uma vez iniciado o programa de risco, o acompanhamento deve ser constante.

‚ÄĒ Ao monitorar todos os incidentes, √© poss√≠vel fazer a prioriza√ß√£o adequada de acordo com o n√≠vel cr√≠tico (prioridade alta ou baixa). √Ä medida que o tempo passa e os indicadores v√£o se estabilizando, voc√™ est√° com um processo maduro. Ent√£o o gerenciamento se torna parte natural do processo ‚ÄĒ completa.

A gest√£o de riscos n√£o atua apenas no incidente propriamente dito. √Č parte da fun√ß√£o avaliar qual foi o n√≠vel de problema trazido, como e quais pessoas e departamentos foram impactados e que tipo de plano de a√ß√£o pode ser estudado para evitar sua reincid√™ncia.

E quem deve ser responsável por esse gerenciamento? Para Marcos Assi, CEO da Massi Consultoria e Treinamento, a função deve ser responsabilidade de quem está na linha de frente do negócio.

‚ÄĒ Administrar os riscos e conhec√™-los est√° ligado √†s decis√Ķes importantes que ser√£o tomadas na empresa. √Č t√£o importante quanto qualquer estrat√©gia. Se os gestores n√£o est√£o preparados, como a empresa vai reagir em um momento de crise?

Barreiras culturais e planejamento

Embora a preven√ß√£o prepare as organiza√ß√Ķes para momentos de instabilidade, os especialistas ainda notam certa resist√™ncia em sua implanta√ß√£o no dia a dia. Para Assi, a falta de uma cultura de planejamento no Brasil ainda √© uma barreira a ser vencida.

‚ÄĒ Historicamente, o brasileiro tem a caracter√≠stica de ser corretivo em vez de preventivo. Quando algo acontece, ele apaga a emerg√™ncia, mas n√£o pensa que pode acontecer de novo.

Para o consultor, estabelecer processos, fazer o mapeamento e ter normas s√£o as principais quest√Ķes para uma gest√£o de riscos bem-sucedida. Mas n√£o basta ter bons processos, √© necess√°rio a plena integra√ß√£o deles.

‚ÄĒ O que ocorre muitas vezes nas empresas √© que cada profissional d√° a sua interpreta√ß√£o √† forma de lidar com o risco. E quando n√£o existe sintonia, a organiza√ß√£o fica exposta pelo fato de n√£o ter procedimentos e padr√Ķes que devem ser seguidos por todos.