Compliance por e-mail funciona?
Tenho visto e observado muita coisa por aí afora, observando pessoas de controles internos, compliance e riscos fazendo testes de processos como se fossem auditores, mas por que isso acontece?
Geralmente por falta de conhecimento da real função de 2ª linha de defesa dos negócios, e sem contar a quantidade de e-mails com questionários intermináveis para os clientes internos, sem que eles entendam o objetivo do questionamento, e alguns profissionais alegam que não possuem recursos suficientes, por isso usam a tecnologia para agilizar, cuidado com a forma.
Quando ouço falar de estratégia de compliance sem observar a estratégia do negócio, tenho como pratica torcer para dar certo, pois a grande falha está em não conhecer o negócio, mas somente em implementar regras que não funcionam ou são difíceis de serem seguidas (ouço isso sempre em meus cursos de MBA de profissionais de outras áreas de negócio), afinal por melhor que sejam as suas normas e procedimentos, dependemos das pessoas executarem com eficiência, aí está o problema.
Fazer compliance e monitoramento por e-mail funciona somente para termos um diagnóstico, mas nada substitui a presença “em loco” na área ou setor, e fazer teste de eficiência é observar alguns processos e ver se realmente as pessoas estão seguindo os procedimentos, quem deve fazer o teste de eficácia do processo, é o auditor seja ele interno ou externo, segundo a regras internacionais são a terceira linha de defesa do negócio, e com a utilização de técnicas de auditoria com modelos de amostragem e validação, comumente chamada de auditoria de gestão.
Devemos atentar que implementar uma gestão de compliance baseada na questão tecnológica somente, estamos fadados ao fracasso, por isso precisamos mudar nossa forma de comunicação e devemos nos aproximar mais dos processos de negócios, pois em muitos casos as organizações impõe diversas metas e a busca por resultados não tem fim, mas em certos casos, desprezamos os processos para atingir resultados, e quando isso acontece…
Falar de prevenção a lavagem de dinheiro e questões de corrupção é muito pouco devemos lembrar que o negócio tem processos e produtos complexos, todos eles baseados em TI (Tecnologia da Informação), que neste caso demanda segurança da informação, entretanto temos também a contabilidade e seus impactos tributários, mas geralmente não vejo muita gente fazendo menção a isso, principalmente em eventos de Compliance. Portanto, como não proporcionarmos uma sinergia nos processos de controles internos, compliance, riscos e auditoria, fica a dúvida de como um grupo tão reduzido de profissionais poderão atender a demanda do negócio?
Por esse motivo tenho alertado a todos que devemos estar presentes nos processos de negócio, nas demandas do negócio, avaliando a estratégia do negócio para que possamos aprofundar a estratégia de compliance, e seria interessante utilizar os e-mails como forma de validação das discussões como evidência de que as pessoas foram comunicadas sobre suas responsabilidades e que os processos serão seguidos realmente e não esqueçam de dar “feedback” para todos os envolvidos.
* Marcos Assi é professor e consultor da MASSI Consultoria e Treinamento – Prêmio Anita Garibaldi 2014 e Prêmio Giuseppe Garibaldi 2016, Comendador Acadêmico com a Cruz do Mérito Acadêmico da Câmara Brasileira de Cultura, professor de MBA na FECAP, FIA, Saint Paul Escola de Negócios, Centro Paula Souza, USCS, FADISMA, Trevisan entre outras, autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos” e “Gestão de Compliance e seus desafios” pela Saint Paul Editora.