Compliance é um termo em inglês que, em tradução livre para o português, significa “conformidade” ou “adequação”. O conceito de compliance refere-se à adesão e cumprimento de normas e regulamentações aplicáveis a uma determinada atividade, organização ou setor.
Neste artigo iremos abordar os seguintes temas;
- Para que serve o Compliance?
- A importância do Compliance.
- Aplicações do Compliance.
- Compliance em órgãos Públicos.
- Como implementar um programa de Compliance.
- Frameworks e Bibliotecas de Compliance.
- Compliance e Tecnologia da Informação.
Para que serve o Compliance?
No mundo corporativo, o compliance é utilizado para garantir que as empresas cumpram com todas as leis e regulamentações que se aplicam a elas, além de assegurar que os valores e princípios éticos da organização sejam seguidos.
O objetivo é prevenir e detectar possíveis violações e condutas impróprias, promovendo a transparência e a integridade da empresa.
A importância do Compliance.
O compliance é uma atividade importante para as empresas, pois pode prevenir e mitigar riscos legais, financeiros e reputacionais, além de promover a transparência e a confiança dos clientes e investidores na empresa. Por isso, muitas empresas têm investido em programas de compliance robustos e eficientes.
Aplicações do Compliance.
O compliance pode ser aplicado em diversas áreas, como contabilidade, finanças, recursos humanos, meio ambiente, saúde e segurança, entre outras.
Para implementar o compliance, é necessário estabelecer políticas, procedimentos e controles internos que assegurem que todas as atividades da empresa estejam em conformidade com as leis e regulamentações aplicáveis.
Além disso, é importante que a empresa tenha uma cultura de compliance, ou seja, que os valores e princípios éticos sejam disseminados por todos os níveis hierárquicos da organização.
Isso envolve treinamentos e conscientização dos colaboradores sobre as políticas e procedimentos de compliance, bem como incentivos e punições que reforcem a importância do cumprimento das normas.
Compliance em órgãos Públicos.
O conceito de compliance também é aplicável aos órgãos públicos. Em geral, a implementação do compliance em órgãos públicos tem como objetivo garantir que as atividades do órgão estejam em conformidade com as leis e regulamentações aplicáveis, bem como com os princípios éticos e valores que devem orientar a atuação do setor público.
Os programas de compliance em órgãos públicos incluem a definição de políticas, procedimentos e controles internos que visam prevenir e detectar condutas impróprias, corrupção e outras irregularidades.
Além disso, os órgãos públicos também podem desenvolver programas de treinamento e conscientização dos servidores sobre a importância do cumprimento das normas e princípios éticos.
No Brasil, a Lei nº 12.846/2013, conhecida como Lei Anticorrupção, estabelece a responsabilidade objetiva das empresas e órgãos públicos por atos lesivos praticados contra a administração pública nacional ou estrangeira.
A lei prevê a possibilidade de celebração de acordos de leniência com empresas que cooperem com as investigações e apresentem programas de compliance efetivos.
Além disso, existem outras leis e regulamentações que estabelecem a obrigatoriedade de órgãos públicos em adotar medidas de compliance, como a Lei de Acesso à Informação (Lei nº 12.527/2011) e a Lei de Improbidade Administrativa (Lei nº 8.429/1992).
Como Implementar um Programa de Compliance.
A implementação de um programa de compliance em uma organização envolve diversas etapas, que podem variar de acordo com as especificidades da empresa e do setor em que atua.
No entanto, em linhas gerais, as principais etapas para implementar o compliance em uma organização são:
- Mapeamento das leis e regulamentações aplicáveis: é importante identificar as leis e regulamentações que se aplicam à organização e estabelecer um sistema de monitoramento e atualização constante dessas normas.
- Definição de políticas e procedimentos: a organização deve estabelecer políticas e procedimentos que orientem as atividades dos colaboradores e assegurem o cumprimento das leis e regulamentações aplicáveis. Essas políticas devem incluir os princípios éticos e valores que orientam a atuação da organização.
- Identificação de riscos: é importante identificar os riscos de não conformidade e estabelecer controles internos que previnam e detectem possíveis violações.
- Treinamento e conscientização dos colaboradores: a organização deve realizar treinamentos e campanhas de conscientização dos colaboradores sobre as políticas e procedimentos de compliance, bem como os riscos e consequências de condutas impróprias.
- Monitoramento e auditoria: a organização deve estabelecer um sistema de monitoramento e auditoria que permita identificar eventuais desvios e implementar ações corretivas.
- Criação de um canal de denúncias: a organização deve criar um canal de denúncias que permita aos colaboradores e terceiros reportar eventuais violações das políticas e procedimentos de compliance de forma segura e confidencial.
- Revisão e atualização constante: o programa de compliance deve ser revisado e atualizado constantemente para garantir que esteja alinhado com as mudanças na legislação e nos riscos da organização.
É importante destacar que a implementação do compliance deve ser uma iniciativa da alta administração da organização, que deve estabelecer um compromisso claro com os valores éticos e a conformidade com as normas e regulamentações aplicáveis.
A cultura de compliance deve ser disseminada por toda a organização, e a liderança deve dar o exemplo por meio de suas condutas e comportamentos.
Frameworks e Bibliotecas de Compliance.
Existem diversos frameworks e bibliotecas que podem ser utilizados na implementação de programas de compliance em organizações. Alguns dos mais conhecidos são:
- ISO 19600: é uma norma internacional que estabelece os requisitos para um sistema de gestão de compliance efetivo, incluindo a definição de políticas, procedimentos, controles internos, treinamentos e comunicação.
- ISO 37001: é uma norma internacional que estabelece os requisitos para um sistema de gestão de combate à corrupção, incluindo a implementação de políticas e procedimentos que previnam, detectem e tratem casos de corrupção.
- COSO: é um framework desenvolvido pelo Committee of Sponsoring Organizations of the Treadway Commission, que estabelece um modelo integrado de gestão de riscos e controle interno.
- COBIT: é um framework desenvolvido pelo ISACA (Information Systems Audit and Control Association), que estabelece um modelo de governança de TI que inclui a gestão de riscos, a definição de políticas e procedimentos, a monitoração e auditoria de processos.
- NIST Cybersecurity Framework: é um framework desenvolvido pelo National Institute of Standards and Technology, que estabelece as práticas recomendadas para a gestão de riscos de segurança cibernética em organizações.
Além desses frameworks, também existem diversas bibliotecas de boas práticas que podem ser utilizadas na implementação de programas de compliance, como o Guia de Boas Práticas de Compliance, elaborado pela CGU (Controladoria-Geral da União) no Brasil, e o Guia de Boas Práticas de Compliance do Fórum Econômico Mundial.
Cada organização deve avaliar qual framework ou biblioteca é mais adequado para suas necessidades específicas e características.
Compliance e Tecnologia da Informação.
A tecnologia da informação (TI) tem um papel fundamental na implementação de programas de compliance nas organizações, pois os sistemas e processos de TI são cada vez mais utilizados para armazenar, processar e compartilhar informações estratégicas e confidenciais das empresas.
Nesse sentido, a área de TI deve colaborar de forma integrada com a área de compliance para assegurar que os sistemas e processos estejam em conformidade com as leis, regulamentações e políticas internas da organização.
Algumas das principais áreas de atuação da TI em programas de compliance são:
- Gestão de riscos de segurança da informação: a TI deve colaborar na identificação e avaliação dos riscos de segurança da informação, bem como na implementação de controles e monitoramento das atividades de usuários e sistemas.
- Gestão de dados e privacidade: a TI deve assegurar que os dados da organização estejam sendo tratados de acordo com as leis e regulamentações de privacidade, tais como a Lei Geral de Proteção de Dados (LGPD) no Brasil e o Regulamento Geral de Proteção de Dados (GDPR) na União Europeia.
- Monitoramento de atividades: a TI deve colaborar na implementação de sistemas de monitoramento de atividades de usuários e sistemas, para detectar eventuais violações das políticas e procedimentos de compliance.
- Gerenciamento de documentos e registros: a TI deve colaborar na implementação de sistemas de gerenciamento de documentos e registros, para assegurar que as informações da organização estejam sendo armazenadas de forma segura e adequada.
- Treinamento e conscientização: a TI deve colaborar na implementação de programas de treinamento e conscientização dos usuários sobre as políticas e procedimentos de compliance, bem como sobre os riscos e consequências de condutas impróprias.
A TI tem um papel importante na implementação de programas de compliance, colaborando com as áreas de negócio e de governança para assegurar que os sistemas e processos estejam em conformidade com as leis e regulamentações aplicáveis, bem como com as políticas internas da organização.