Com o objetivo de abordar as boas práticas de compliance na governança corporativa que as instituições podem adotar, apresentamos as boas práticas a seguir; elas não são regras imutáveis, pelo contrário, podem ser adaptadas à realidade de cada organização.
A prática de Compliance tem ganhado cada vez mais importância nas organizações, mas nem todo mundo entende ao certo do que se trata.
Basicamente, o termo compliance significa estar «em conformidade» com regulamentações e autorregulamentações que precisam combater, prevenir e reduzir riscos regulatórios, por meio de programas e políticas que regularizam processos.
O assunto é denso e há conceitos que se associam intrinsecamente a ele: ética e transparência, governança corporativa e reputação de marca.
Como o mercado financeiro evolui, novas leis, normas e regras costumam surgir e devem ser cumpridas. Assim, a atividade de compliance também se transforma, permitindo que sua função adquira um caráter mais estratégico para o desenvolvimento das organizações.
Um exemplo de marco regulatório foi a Resolução CMN nº 4.595/17 e a Circular Bacen nº 3.865/17, que exigem de Instituições Financeiras, Administradoras de Consórcio e Instituições de Pagamento a adoção da Política de Compliance.
A Equals, por exemplo, é uma instituição financeira que adota Política de Compliance em toda a sua organização. Como resultado, possui a Declaração de Garantia ISAE 3402 que foi adquirida por meio de uma Auditoria anual realizada pela KPMG.
Com o objetivo de abordar as boas práticas de compliance na governança corporativa que as instituições podem adotar, recortamos o trecho do guia desenvolvido pela Federação Brasileira de Bancos (FEBRABAN) acerca desse tópico. As boas práticas a seguir não são regras imutáveis, pelo contrário, podem ser adaptadas à realidade de cada organização.
Compliance: as boas práticas na governança corporativa
Consultoria, Orientação, Treinamento e Capacitação
1. Boas práticas para garantir que a cultura da empresa e a política de compliance sejam disseminados em todos os níveis organizacionais e linhas de defesa da instituição.
- Identificar áreas que precisem ser treinadas e capacitadas sobre compliance, ética e conduta para atuação prioritária, além de definir canais de comunicação para sanar dúvidas sobre o tema e um plano exequível para atender a essas recomendações.
- Divulgar qual o canal adequado para denúncias de ações ilícitas, descumprimentos regulatórios, condutas inapropriadas ou ilícitas ou práticas que firam os princípios e padrões éticos.
2. Boas práticas para atuar como área consultiva nos temas relacionados a compliance.
- Orientar e aconselhar os profissionais de toda a hierarquia da empresa sobre o cumprimento da política de compliance em todas as esferas de regulamentação e autorregulamentação. Além de participar da resolução de problemas referentes a temática prestando apoio na tomada de decisão dos envolvidos.
- Propor avaliações sobre eventuais riscos e estratégias para controlá-los. Seguidas de revisões de conteúdo, adequação e conformidade de documentos regulatórios, materiais de divulgação etc.
3. Boas práticas para assegurar a existência de normativos internos (políticas, circulares, manuais etc.) e processos e procedimentos atualizados
- Assegurar a elaboração e atualização de diretrizes institucionais a partir de um fluxo e critérios pré-definidos sobre valores, princípios éticos e normas de conduta, incluindo elaboração, divulgação e disponibilização de Código de Conduta acessível a todos os colaboradores. Além da definição dos prazos para respectivas revisões e adequações para os processos e atividades da Instituição e suas demandas regulatórias.
- Garantir que os colaboradores saibam da importância das suas responsabilidades e dos seus papéis na organização, como também certificar que exista um processo adequado sobre a distribuição de tais responsabilidades sem conflito de interesses com processos apropriados de remuneração, incentivos e gestão de desempenho. Por fim, assegurar a existência de diretrizes relacionadas a medidas disciplinares.
Identificação, Mensuração e Priorização de Riscos de Compliance
4. Boas práticas para identificar, avaliar e registrar os riscos de compliance relacionados às atividades da Instituição:
- Definir metodologia para: (i) identificação dos riscos de forma proativa, por exemplo, por meio do acompanhamento de mudanças e tendências do ambiente regulatório, nos negócios ou em produtos; (ii) mapeamento e registro atualizado dos riscos; (iii) critério de classificação dos riscos para utilização da Abordagem Baseada em Risco.
5. Boas práticas para identificar e avaliar a aderência da Instituição a estrutura legal e regulatória, às recomendações de órgãos de supervisão e autorregulação e aos códigos de conduta e riscos envolvidos.
- Identificar entidades reguladoras e autorreguladoras de referência no mercado nacional e no exterior a fim de acompanhar tendências e avanços tecnológicos, visando a uma atuação preventiva para reduzir riscos. Assim, definir metodologia para avaliar riscos de compliance – inerentes e residuais, por exemplo – com base em critérios pré-estabelecidos.
- Definir metodologia de análise legislativa e normativa por meio de atuação conjunta às áreas estratégicas da organização; para estabelecer processos de captura e avaliação de todas as formalidades reguladoras, como leis, normativos, regulamentos etc. Além de acompanhar e garantir a adaptação da organização e cumprimento à tais formalidades.
6. Boas práticas para participar na aprovação de produtos e serviços e de potenciais parceiros e clientes:
- Assegurar a existência de processo adequado para avaliação de produtos ou serviços em relação aos padrões corporativos e às legislações e regulamentações vigentes, considerando também os riscos de compliance para aprovação e revisão e a consequente implantação de planos de ação para que as ameaças sejam reduzidas.
- Garantir a existência de metodologia de análise dos riscos de conduta e de reputação envolvendo terceiros a partir de uma análise de seus dados cadastrais, informações na mídia, identificação de beneficiários finais e Pessoas Expostas Politicamente (PEPs).
7. Boas práticas para atuar proativamente na definição e manutenção de programas relacionados a compliance:
- Desenvolver proativamente programas para temas específicos, adequados à natureza, porte, complexidade, estrutura, perfil de risco e modelo de negócio da Instituição e de acordo com a evolução do ambiente regulatório, como, por exemplo: Programa de integridade, ética e prevenção à corrupção, Programa socioambiental, Programa de relacionamento com clientes, Programa de barreiras de informação, Programas de certificação, Programa de suitability, Programa de prevenção e resolução de conflitos de interesses.
8. Boas práticas para assegurar a existência de processos definidos para atendimento a regulamentações específicas:
- Auxiliar no desenvolvimento de processos e sistemas, que podem ou não estar diretamente sob responsabilidade da área de compliance, mas que precisam ser avaliados e acompanhados, como, por exemplo: Sistema de segurança da informação, Prevenção à lavagem de dinheiro e combate ao financiamento do terrorismo, Monitoramento de práticas abusivas, Vedações e sanções comerciais.
Monitoramento, Testes e Reporte
9. Boas práticas para monitorar a exposição aos riscos de compliance e testar os controles:
- Definir programa de monitoramento de situações e testes – considerando a Abordagem Baseada em Risco –, destacando quais riscos de conduta inapropriada ou ilícita são regulatórios e fatais à reputação, possibilitando reportar tais ameaças e avaliar cenários por meio de indicadores de desempenho que devem ser instituídos no programa, por exemplo. O que permitirá acompanhar multas e passivos relevantes gerados por não conformidades.
10. Boas práticas para relatar sistemática e periodicamente os resultados das atividades relacionadas a compliance ao Conselho de Administração, à Alta Administração e aos demais níveis organizacionais:
- Elaborar relatório de conformidade uma vez por ano, no mínimo, destacando resultados da política de compliance e incluindo as recomendações e ações tomadas, além do resultado do gerenciamento dos apontamentos apresentados em relatórios anteriores de pelo menos cinco anos atrás.
- Definir frequência da comunicação dos resultados das atividades relacionadas à função de compliance a toda a organização e comunicar, por exemplo, avaliações de risco de compliance, mudanças nos perfis de risco e nível de aderência da Instituição à regulamentação aplicável, indicadores, falhas identificadas e evolução dos planos de ação. Prestando, assim, suporte à alta gerência na execução de suas responsabilidades a fim de garantir que a política de compliance seja cumprida.
Relacionamento com Reguladores, Autorreguladores, Entidades de Representação e Auditores Independentes
11. Boas práticas para garantir relacionamento ético e íntegro com reguladores, autorreguladores, entidades de representação e auditores independentes, assegurando o atendimento adequado:
- Assegurar a definição e existência de processos apropriados para envio, atendimento ou disponibilização de informações regulatórios consistentes e oportunas das demandas de reguladores, supervisores e autorreguladores; informando, sempre que necessário, a Alta Administração e o Conselho de Administração sobre o andamento dos trabalhos e resultados.
- Revisar e acompanhar os planos de ação, por meio de critérios sobre as áreas responsáveis e prazos de implementação, para cumprimento de conformidades legais que forem apresentadas pelos reguladores e auditores independentes.
- Participar de reuniões e grupos de trabalho, organizados por entidades de reguladoras e autorreguladoras para discutir melhorias sobre boas práticas de compliance considerando as necessidades da empresa.