Rodrigo Castro será responsável por reforçar a equipe de liderança local com foco em inovação e parcerias de software

A Protiviti Brasil, consultoria de gestão de riscos e compliance, acaba de promover Rodrigo Castro, ex-diretor de Business Performance & Innovation (BPI), como diretor executivo de parcerias e inovação.

Com 20 anos de atuação na Protiviti Brasil, Castro desenvolveu atividades com foco na prevenção de perdas no varejo, garantia de receita e gestão de riscos estratégicos e operacionais. Em sua última função, foi responsável por criar e dar suporte ao desenvolvimento da Profit Shield, plataforma de gestão de prevenção de perdas que foi implementada em um dos maiores varejistas de alimentos do Brasil.

Na nova posição, Castro tem como missão promover a consultoria como provedora de soluções. Para isso, reforçará a equipe de liderança executiva local focando em iniciativas de inovação e parcerias de software. O hub de parceiros de tecnologia agrega soluções completas para problemas complexos em todas as áreas de atuação da consultoria.

De acordo com o CEO da Protiviti, Fernando Fleider, as consultorias vivem um cenário de mudança na entrega de valor aos clientes. “Precisamos ser um provedor de soluções ao invés de um provedor de projetos de consultorias pontuais. Nessa nova fase, o posicionamento de Castro será intensificar essa mudança no Brasil, além de incentivar a inovação nas organizações”, finaliza Fleider.

Rodrigo Castro – Currículo resumido

Diretor Executivo de parcerias e inovação e sócio da Protiviti. Formado em administração pública pela EAESP FGV com MBA em Gestão Estratégica de Negócios na mesma instituição. Possui mais de 20 anos de experiência em consultoria de riscos, atuando em projetos de nível estratégico e tático para empresas de grande porte em diversos setores. Capacidade de planejamento, implantação e acompanhamento de projetos. Está constantemente em busca de soluções digitais transformadoras.

Conheça a liderança da Protiviti Brasil no link.

Chuvas em Recife: como esse cenário pode ser usado para fazer uma analogia com as crises que afetam as empresas?

Desde a última semana, a região metropolitana de Recife, no estado do Pernambuco, enfrenta uma forte onda de chuvas e temporais, gerando tragédias por conta de alagamentos e deslizamentos. O que afeta Recife hoje não é uma novidade para muitas cidades brasileiras. E um fator preocupante se repetiu: apesar de avisos de alerta por parte do órgão estadual no último dia 25, apenas com a materialização do evento é que o plano de contingência foi acionado, ou seja, dois dias depois.

Mas quais são as lições que podemos aprender nesse cenário, quando fazemos uma analogia com as crises que afetam as empresas? É igualmente comum identificar no ambiente privado crises iniciadas por um incidente proveniente de causas não controladas.

No mundo corporativo, há uma tendência crescente por estruturação de Planos de Continuidade e Gestão de Crises em empresas. Em função da pandemia, há uma mudança no cenário de incidentes, que evidenciaram ainda mais a necessidade de preparo para situações extraordinárias, como o aumento de ataques cibernéticos, a indisponibilidade de pessoas para trabalhar e a alta nos preços, sobretudo dos combustíveis, entre outros.

Leia também: Ondas de Calor e os efeitos da crise climática na gestão de riscos

Mas os planos são efetivos? As pessoas estão preparadas para atuar em incidentes? E como agir quando for “para valer”? Ou seja, quando uma emergência ou interrupção ocorrer, a empresa terá pessoas capacitadas para tomar as ações certas no momento devido? Nesse sentido, elencamos abaixo sete pontos para a estruturação de um sistema de Continuidade de Negócios efetivo que chamam a atenção nesse cenário:

1. Resposta à emergência: segundo todas as normativas, o intuito prioritário para se estabelecer um sistema de continuidade de negócios é a preservação da vida. Para isso, as medidas a serem tomadas devem ocorrer de forma a resguardar o maior número possível de pessoas, respeitando a priorização e o tempo devido para a atuação em cada uma das frentes necessárias.
2. Monitoramento: no caso das chuvas de Recife, a APAC (Agência Pernambucana de Águas e Climas) identificou e reportou aos órgãos locais sobre a iminência do incidente. E quanto ao meio empresarial? Há monitoramento dos possíveis eventos de risco? Como está estruturada a identificação de ataques cibernéticos? Há constante monitoramento da reputação da marca em redes sociais? E em mídias tradicionais? Aplicando essas ações, o reconhecimento eficaz de um incidente diminui o tempo de resposta, minimizando assim potenciais danos às instituições.
3. Fluxo de acionamento: após identificadas as ameaças, quem deve ser informado? Em qual tempo e de que forma? São questões que podem definir o sucesso da implementação das ações em resposta às emergências. Outro ponto importante que se destaca nesse aspecto é a coordenação entre as várias instituições: poder público, forças especiais (militares e civis), meio corporativo e população em geral. Em casos de sucesso na tratativa de crises, é notório quão bem integradas e sinérgicas foram a comunicação e a atuação de todas as partes envolvidas.
4. Definição e avaliação da criticidade do evento: é importante avaliar dentro de todo o contexto do fluxo de acionamento quem é a pessoa ou o grupo responsável por entender, analisar e classificar a severidade da situação. Esse é o ponto chave para que não haja alocação insuficiente de recursos ou um desperdício nesse direcionamento. Ou, ainda, que existam pontos cuja visão da situação tenha sido insuficiente.
5. Análise de riscos: o que tem a possibilidade de ocorrer no ambiente? Quais são os eventos que podem desencadear uma materialização dos riscos? É importante notar que é pouco assertivo se preparar para incidentes sem saber quais são as exposições. Assim, identificar as fragilidades e consequências de eventos é um ponto chave para ser eficiente em momentos de gestão de incidentes.
6. Estratégia e preparação: no caso de Recife, houve o acionamento de todo o efetivo das forças militares para ajudar no apoio à população. Mas ainda assim, a pergunta é: quem vai fazer cada ação após cada gatilho estipulado? Ter planejado e manter recursos disponíveis para a atuação é o que pode diferenciar uma resposta devida de uma insuficiente. Além disso, instruir as pessoas com a atuação que elas devem exercer faz com que o tempo e a efetividade da resposta sejam de melhor desempenho.
7. Lições aprendidas: não é novidade para quem analisa esses eventos que é recorrente a incidência de chuvas e deslizamentos, sobretudo em épocas e regiões de alta precipitação. Diante disso, a principal questão é: o que foi feito que deu certo? Quais ações poderiam ter melhores resultados? O trabalho de reunir essas informações e revisá-las em vista do que já ocorreu é um dos maiores ganhos de uma ocorrência. No calor da resposta, é inviável analisar esses pontos, mas um estudo posterior pode trazer uma robustez ainda maior à estrutura de Gestão de Continuidade e Crises.

É lugar comum entender que incidentes como as chuvas em Recife são difíceis de serem gerenciados, sobretudo por envolver situações anômalas, de altos impacto e grau de emoção – ainda mais quando há perda de vidas. Ter um sistema de continuidade funcional para essas situações é imprescindível para que os danos sejam os menores possíveis.

E, a partir desses pontos críticos, será possível evitar calamidades novamente – ainda que trabalhando na redução dos impactos. Nesse sentido, a esperança é que a maturidade em continuidade de negócios cresça, mas que isso ocorra no menor tempo possível para que se tenha a segurança necessária na rotina da sociedade.

*Alessandro Dinamarco é gerente de riscos, líder da temática continuidade de negócios da Protiviti.

Ao contrário de uma guerra convencional, a guerra cibernética não tem fronteiras. Como lidar com essa ameaça?

Quando ouvimos falar ou lemos alguma matéria sobre ataques cibernéticos, normalmente observamos que são ocorrências contra indivíduos ou empresas. Porém, podem existir ataques cibernéticos mais sofisticados, com objetivos estratégicos e, ou, geopolíticos. As consequências também podem romper a barreira tecnológica e trazer impactos físicos ou cinéticos, que são raros, porém mais temidos, porque geralmente estão associados à espionagem industrial e financeira.

Ao contrário de uma guerra convencional, a guerra cibernética não tem fronteiras, ou seja, não se limita a determinado espaço geográfico, por isso os países não envolvidos diretamente na questão motivadora também podem ser afetados.

E como as empresas do setor privado poderiam ser afetadas em caso de um ataque cibernético? A título de exemplo, um ataque direcionado a um site que esteja armazenado em uma nuvem pode afetar também outros serviços que estejam utilizando o mesmo ambiente, como uma loja virtual ou até mesmo uma base de dados. Ou seja, quanto mais uma empresa se desenvolve e expande seu ambiente tecnológico, mais suscetível a ataques ela está.

Dessa forma, não ter um bom plano de continuidade, backups e outros controles pode significar a indisponibilidade de diversos serviços em uma guerra cibernética, mesmo que o país não esteja participando diretamente.

Outros fatores, como o crescimento econômico e a liderança de mercados, como a importação de proteína animal, podem fazer com que empresas e países se tornem cada vez mais alvos de ataques e espionagem. No Brasil, por exemplo, algumas das tentativas de ataque recentes foram identificadas em players do agronegócio e em órgãos governamentais.

Mesmo com o avanço da Segurança da Informação e da proteção de dados, o Brasil ainda aparece como um dos países com mais credenciais e dados vazados no último ano. Segundo um relatório da Netscout, empresa especializada em cibersegurança, o Brasil é segundo maior alvo mundial de ciberataques, atrás apenas dos Estados Unidos, que lidera o ranking. O baixo investimento frente ao cenário, a falta de conscientização e a elevada quantidade de sistemas legados utilizados são fatores que contribuem para esta marca.

É importante considerar que praticamente 100% dos colaboradores das empresas possuem dados pessoais armazenados em sistemas públicos, e essas informações podem, sim, serem utilizadas para ataques direcionados ao setor privado. Outro ponto importante também é a consolidação das organizações criminosas, que utilizam o cibercrime como um negócio, com estratégias, metas definidas e até mesmo plano de carreira para seus integrantes, além de um alto retorno financeiro.

Em um cenário cujo aumento do interesse de cibercriminosos no Brasil é uma tendência, será necessária a disseminação de informação em todas as esferas populacionais, assim como um desenvolvimento de segurança em camadas para todas as empresas, especialmente as do setor público, que têm uma responsabilidade ainda maior em relação à proteção das informações pessoais.

É essencial que as lideranças dos setores privado e público estejam atentas e dispostas a aperfeiçoarem a sua postura de Segurança da Informação dado que o setor de atuação e a relevância de suas informações sob custódia, entre outros fatores, podem ser motivadores para uma tentativa de ataque cibercriminoso.

* Cristiano Bernardi Júnior é consultor de CyberSecurity & Data Privacy da Protiviti

Se perguntarmos a um profissional de compliance sobre a importância da análise de integridade de colaboradores, parceiros de negócio e terceiros, certamente ele dirá que é uma etapa essencial, além de uma prática usual para “relacionamentos de alto risco”.

Posto isso, não é à toa que setores regulados, como o financeiro, por exemplo, exigem que as empresas realizem uma análise de integridade para seus stakeholders a fim de evitar crimes e golpes. E quais os custos associados a essa atividade? Quanto as organizações reservam do orçamento para ela?

Em uma conta rápida, pode-se verificar que, em primeira e superficial análise, o investimento não é baixo. Uma organização com dez mil targets, excluindo os novos entrantes, e que aporta R$ 50,00 por cada pesquisa, teria uma conta de R$ 500 mil a ser paga por ano.

Há de se considerar que os valores unitários das pesquisas variam de acordo com volume e a profundidade das análises que, por sua vez, são associadas ao nível de risco do relacionamento. O mesmo pensamento vale para a periodicidade das reanálises, afinal, um fornecedor que hoje não apresenta problema, pode ter uma condenação por corrupção ou trabalho escravo após seis meses.

Se formos para a esfera digital, o que dizer sobre essa conta quando falamos de um aplicativo de encontro com dez milhões de usuários somente no Brasil? Multiplicando por 10% do valor unitário de R$ 50,00, há o desembolso em potencial de R$ 50 milhões de reais. E, novamente, a conta parece grande, mas tudo depende da perspectiva – podendo ser até mesmo oportunidade de geração de receita e caixa.

É importante ressaltar que as análises de integridade são válidas para as mais variadas indústrias, como os marketplaces, que podem identificar estelionatários; os aplicativos de terceirização de mão de obra, que podem evitar criminosos de dirigir um carro ou mesmo adentrar às residências; e as fintechs de concessão de crédito, que podem identificar rapidamente uma empresa recém-criada, entre outros.

Também é verdade que essas análises podem gerar um lastro de preconceito a pessoas que um dia erraram na vida, mas que hoje são honestas. Nesse cenário, entende-se que um ponto de atenção não deve ser tratado como um bloqueio puro e simples. Usualmente, sugere-se que os alertas sejam analisados por especialistas que possam entender o caso em mais detalhes e, então, apoiar a decisão quanto a um risco identificado ou não.

O fato é que há tecnologia para fazer as análises e, apesar de não parecer um custo módico, talvez falte um pouco de boa vontade, criatividade e responsabilidade para o uso da análise de integridade. Hoje, diversas empresas já terceirizam seus testes de integridade, que são executados de forma automatizada e com uso de Inteligência Artificial e Machine Learning. Já os eventuais pontos de atenção dessas análises, por vezes, migram para escritórios de advocacia que auxiliam a tomada de decisão dos clientes finais.

Mas quanto, afinal, as corporações desembolsariam por esses serviços? Por vezes, nada – e muitas podem até lucrar. Por exemplo, aplicativos de encontro não poderiam ofertar a análise a seus usuários a um preço de custo ou com alguma margem de lucro? Organizações não poderiam repassar os custos aos fornecedores ou terceiros que querem realizar negócios com elas?

Analisando a escalada dos golpes e estelionatos, proteger a reputação de uma empresa, o bem-estar e a segurança dos clientes não deveriam ser considerados despesa, mas sim investimento. Diante desse cenário, as perguntas sobre as vantagens e os custos das análises de integridade devem recair sobre a necessidade dos clientes.

Por exemplo, sair com um desconhecido pode ser considerado um “relacionamento de alto risco”? Se sim, seu cliente pagaria R$5 para saber o histórico criminal de quem vai sair essa noite ou ainda do vendedor do marketplace? Estamos falando sobre colocar o cliente no centro, antecipando suas necessidades e por que não, sua segurança?

*Bruno Massard é diretor executivo de desenvolvimento de negócios e educação da Protiviti.

Imagine o seguinte cenário: sua empresa identifica uma situação na qual há indícios de furtos de mercadorias ou é notificada, via canal de denúncias, sobre uma suposta negligência ou conivência nos processos internos, ou ainda, existem suspeitas de sabotagens em máquinas e equipamentos em uma linha de produção. O que você faria para mapear processos nesse cenário?

Geralmente os mapeamentos de processos têm caráter preventivo, seja para identificar os controles a serem implantados, corrigir os já existentes ou para qualificar a empresa para uma certificação ISO, por exemplo. Mas, você já ouviu falar em mapear processos de cunho investigativo?

Mapear processos nada mais é do que identificar e gerenciar os riscos. Já os mapeamentos de cunho investigativo se iniciam após a identificação de um sinistro: acidente, incêndio, falha processual, furtos, roubos, sabotagem e espionagem.

É necessário destacar que, antes de iniciar qualquer mapeamento de processos, o profissional deve se familiarizar com o negócio da empresa. Ou seja, antes de mapear uma linha de produção após um incidente, é importante estudar, pelo menos de forma macro, como se produz determinado produto. Se o mapeamento for aplicado no varejo, por exemplo, é recomendado estudar minimamente as nuances do armazenamento e transporte das mercadorias. Se for na indústria, entender as peculiaridades e características dos produtos. No agronegócio, estudar sobre cadeia produtiva agrícola ou pecuária.

De início, é considerável ficar atento aos diferentes tipos de estruturas que envolvem o processo. Por exemplo, existem linhas de produção ou de expedição que possuem ambientes físicos fechados, confinados, abertos ou um misto de ambientes. Nesse último caso, as mudanças ambientais são fatores relevantes durante o mapeamento, visto que é possível ter processos que envolvam a produção e o carregamento de produtos em espaços fechados ou confinados, assim como o transporte com veículos em espaços abertos dentro da planta ou site. Portanto, a análise do layout e da conjuntura das atividades que englobam um processo é crucial do início ao fim do mapeamento. As fragilidades podem estar em detalhes que passam despercebidos.

Para saber como mapear processos na prática, é possível considerar cinco etapas, conforme listadas abaixo.

1. Visitas in loco e entrevistas de mapeamento: podem ser realizas simultaneamente. É importante a presença do profissional na área afetada para conhecer os principais atores e fazer um diagnóstico de análise situacional, estabelecendo um score resultante do nível do cargo e o grau de contribuição do entrevistado. Se necessário, é possível aplicar questionários customizados para ampliar a coleta de informações, possibilitando que os colaboradores da área afetada, principalmente a operação, se manifestem também por escrito.

2. Aplicação de questionários customizados: é importante deixar claro a confidencialidade das informações, com imparcialidade e autonomia da equipe que conduz a atividade. Com um discurso correto e tirando dúvidas ao longo do processo, os questionários podem estimular a operação para sinalizar não conformidades e suspeitas de pessoas envolvidas no caso investigado.

3. Análise de documentação: é crucial documentar o mapeamento com anotações e registros fotográficos para ilustrar como funciona o processo, comparando a documentação existente com a execução do processo na prática.

4. Entrevistas exploratórias de caráter comportamental: a partir de incongruências obtidas na coleta de informações verbais ou por escrito, o mapeamento pode ser finalizado com entrevistas para identificar suspeitos ou envolvidos em condutas irregulares, se existirem indícios. A partir dos riscos que forem sendo identificados, é necessário criar uma matriz apontando as eventuais não conformidades com as normas regulamentadoras que afetam o processo e sinalizando alguns influenciadores ou gatilhos que proporcionaram as vulnerabilidades encontradas.

5. Relatório de mapeamento: culmina na criação ou melhoria do plano de continuidade dos negócios com base nas recomendações fornecidas diante das constatações e conclusões parciais ou finais. Nesse passo, a organização deve planejar modificações, até em termos culturais, visto que o trabalho final não elimina os riscos, mas, sim, o reduz a níveis toleráveis.

A empresa ficará com um dever de casa, no sentido de reestruturar suas metas, volume da produção, realinhar o perfil da liderança e analisar o triângulo “segurança, qualidade e produção”, percebendo como os pilares recebem a devida criticidade de forma corporativa e como são disseminados na operação. Não são raros os diagnósticos de mapeamentos em que o pilar da segurança vem por último ou é negligenciado em detrimento da produção ou expedição de mercadorias.

É importante que as recomendações sejam compiladas em projetos e que envolvam de forma direta o combate a desperdícios e a variabilidade dos processos, resultando em maior segurança, qualidade e produtividade.

Portanto, o mapeamento de processos de cunho investigativo terá o objetivo de suportar a empresa na contenção da irregularidade identificada e os benefícios esperados são a possibilidade de uma lição pedagógica aos envolvidos diretos ou indiretos no processo, assim como confirmar ou descartar a ação humana intencional na conduta investigada e, caso confirmada, apontar suspeitos ou autores, trazendo hipóteses ou evidências que suportem o diagnóstico.

*Iuri Camilo de Andrade é consultor sênior, especialista em investigações corporativas na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

Fonte: Rota Jurídica

Especialistas apontam que bons programas de compliance fortalecem a governança corporativa, protegem a perenidade dos negócios e atraem investidores

O termo “compliance” vem do verbo inglês “to comply”, que quer dizer estar de acordo ou em conformidade, seja com leis, regulamentações ou políticas internas, por exemplo. No mundo dos negócios, o compliance tem uma enorme importância e se refere às medidas que as empresas implementam com o objetivo de mitigar riscos e aumentar a segurança de seus processos, sendo um pilar para a governança corporativa.

“Em linhas gerais, compliance poderia significar simplesmente estar de acordo com leis ou regulamentações aplicáveis àquela empresa, mas essa visão é geral demais”, afirma Raphael Soré, sócio de Compliance da KPMG no Brasil. “Quando falamos em programa de compliance, nos referimos às medidas que uma empresa implementa para mitigar riscos de compliance. Esses riscos podem incluir os riscos regulatórios, tributários, trabalhistas, concorrenciais e reputacionais, mas são principalmente os riscos de integridade do negócio, relacionados a fraude, corrupção e criminalidade corporativa”, diz.

Jefferson Kiyohara, diretor de Compliance & Sustentabilidade na ICTS Protiviti e professor da FIA, acrescenta que o programa de compliance foi criado para auxiliar na criação de uma cultura corporativa de integridade. “O compliance, de um modo geral, serve para proteger a reputação de uma empresa e garantir sua perenidade. Quanto custaria para uma empresa ser envolvida em um escândalo? As empresas podem perder muito dinheiro e ter impacto na imagem. É mais barato e eficiente agir de forma preventiva e por isso o compliance não deve ser considerado um custo, mas sim um investimento.”

Crescimento

O compliance vem ganhando cada vez mais relevância entre as empresas brasileiras nos últimos anos. A Lei 12.846, conhecida como Lei Anticorrupção, que entrou em vigor em 2014, aumentou o debate acerca do tema e fez com que empresas corressem para investir em áreas de compliance. No primeiro momento, no entanto, os programas não eram efetivos.

“Várias empresas acabaram por implementar aquilo que chamamos de ‘programa de papel’, que é somente formal e não funciona. Mas, com o tempo, temos visto evolução das empresas brasileiras e uma maior maturidade desses programas. Nos últimos anos, há um efetivo aumento do investimento das empresas brasileiras em construir e reformar os seus programas de compliance para que eles fiquem mais eficientes”, diz Soré, da KPMG.

O movimento das empresas não ocorre de modo igual em todo o mercado, segundo Soré, sendo visto primeiro em empresas maiores, especialmente as que têm negócios nos Estados Unidos, onde a legislação é mais rigorosa. Com isso, porém, outras empresas, grandes, médias ou pequenas, também precisaram evoluir.

“É o ciclo virtuoso do compliance. Empresas que têm programas de compliance robustos começam a olhar com lupa quem são as empresas com quem elas fazem negócios, fiscalizando como esses possíveis parceiros lidam com seus programas de compliance, para que não sejam responsabilizadas ou afetadas por algo de errado que esses terceiros façam. É o ‘know your supplier’, conheça seu fornecedor, que também ajuda a impulsionar a evolução do compliance no mercado”, afirma Soré.

Segundo os especialistas, durante a pandemia do novo coronavírus, novos riscos surgiram com o trabalho remoto, como a maior dificuldade de conduzir investigações internas e treinamentos, além das questões de cibersegurança. Isso também fez com que os programas de compliance tivessem que ser adaptados e fortalecidos para fazer frente a esses novos riscos.

Implementação

Para que seja implementado um programa de compliance eficaz em uma empresa, é preciso, em um primeiro momento, conhecer a complexidade do negócio. Uma padaria com poucos funcionários, por exemplo, não precisa ter um compliance officer (profissional responsável pelo compliance), mas pode ter um código de conduta que fique à vista dos funcionários e pode disponibilizar uma caixinha de denúncias. Já empresas maiores e mais complexas precisam de estruturas mais robustas.

Outro passo inicial é o mapeamento dos riscos, para que sejam determinados a quais riscos a empresa está exposta e como eles devem ser mitigados. “E quando falamos em risco, estamos falando de um risco que pode efetivamente atrapalhar a continuidade do negócio. Casos de discriminação racial, de corrupção, de assédio sexual, por exemplo, podem afetar a imagem da empresa e também ter um impacto financeiro. Há empresas que realmente foram à falência por conta de problemas de compliance, outras tiveram que mudar de nome”, diz Soré.

Os programas de compliance se baseiam em três pilares: a prevenção, a detecção e a resposta.

Prevenção: Estabelecimento de códigos de conduta, políticas internas e procedimentos, além da condução de treinamentos para que funcionários e terceiros conheçam e entendam as normas e o que a empresa espera deles.

Detecção: O programa de compliance precisa ter instrumentos para diagnosticar rapidamente se algo de errado está acontecendo. O canal de denúncia é considerado muito importante para a detecção, já que é um mecanismo por meio do qual a empresa recebe avisos quando as pessoas enxergam o descumprimento de alguma regra, por exemplo. Sua existência também auxilia na prevenção, já que pode inibir atos que ferem os princípios da empresa. Outros instrumentos de detecção são as auditorias internas e outros sistemas que hoje já usam a inteligência artificial para verificar riscos.

Resposta: Quando é detectado algo fora do comum, é preciso que a empresa dê consequência àquilo que foi diagnosticado. É preciso haver procedimentos estabelecidos para a investigação interna e, se for o caso, a punição ou reeducação de um funcionário ou terceiro, garantindo a mitigação do risco de que aquilo volte a ocorrer.

Em empresas mais complexas, o recomendado é haver um departamento dedicado ao programa de compliance, que disponha de adequada independência da administração para poder aplicar o programa. A área deve ser responsável por implementar todos os processos, entender os riscos da empresa, escrever e revisar as políticas, conduzir treinamentos, realizar investigações e aplicar medidas disciplinares. Jefferson Kiyohara, da ICTS Protiviti, destaca a importância também do profissional de compliance.

“Percebemos que, no mundo corporativo, muita gente ainda nem sabe qual a função do profissional de compliance. Há o debate sobre como combater o assédio sexual e moral, o racismo, a corrupção nas empresas, por exemplo, sem envolver o profissional de compliance. E há a procura por outros profissionais. Mas é o profissional de compliance que estuda isso e é especializado nisso e, por isso, deve ser incluído”, aponta.

Outro ponto importante do compliance é o apoio da alta gestão. É imprescindível que a diretoria e o conselho de administração demonstrem a importância do compliance, tanto por meio de declarações, como de ações, criando mecanismos independentes para o programa de compliance, investindo na área, contratando pessoas especializadas e aplicando medidas disciplinares quando elas têm que ser aplicadas.

Benefícios

Segundo os especialistas, os principais benefícios trazidos por um bom sistema de compliance são:

– Proteção da empresa, garantindo a continuidade dos negócios, por meio da identificação e mitigação de riscos;
– Prevenção de danos reputacionais e financeiros;
– Contribuição para o fortalecimento da governança corporativa, com a criação de uma cultura corporativa íntegra e baseada na ética;
– Garantia de melhores parceiros de negócios, por meio da fiscalização de fornecedores e outros terceiros;
– Transparência e clareza para stakeholders (todas as partes interessadas na empresa, incluindo funcionários, acionistas, clientes e comunidade), demonstrando que a empresa segue leis e regulamentações;
– Atração de investidores, por meio da demonstração de que a empresa tem credibilidade e os negócios são sólidos.

* Jefferson Kiyohara é diretor de Compliance & Sustentabilidade na Protiviti