Arquivo da tag: governança de TI

Agentes de Compliance, quando a capacitação é necessária

Controles InternosAcho interessante que sempre que falamos de compliance, fazemos referencias a palavra derivada do inglês do verbo “to comply”, que significa cumprir, executar, obedecer, observar e fazer o que lhe as regras e regulamentos impõe.

Há algum tempo atrás ao falar de compliance, muitas pessoas já faziam referencia aos bancos, e nos bancos a referencia era lavagem de dinheiro, mas será que não estávamos com pensamento muito restritivo para a função?

Acredito que sim, pois atualmente as grandes organizações, sejam elas financeiras e não financeiras descobriram que devem cumprir várias regras e legislações estabelecidas no mercado global tais como: Lei Sarbanes & Oxley, IFRS, acordo da Basiléia, controles internos e compliance, prevenção a lavagem de dinheiro e financiamento ao terrorismo, governança corporativa, governança de TI, segurança da Informação, continuidade de negócios, gestão de riscos, entre outros, mas a questão é como administrar tudo isso de maneira responsável e com eficácia?

Vai faltar braço, e posso até sem medo de errar, comentar que a gestão de compliance é responsabilidade de todos na organização, cada colaborador tem sua parcela de responsabilidade, mas como fazer uma gestão de negócios alinhada a gestão de compliance?

Acreditamos que somente ao criar uma área de compliance que possa suportar a administração e o negócio, com base na busca de alinhamento das regras externas (órgãos reguladores), das regras de nossa matriz e além das regras internas que são implementadas para gerar maior segurança na gestão, não seja suficiente.

Por isso algumas organizações estão investindo na formação de agentes de compliance, que em muitos casos são profissionais das próprias áreas de negócio, que são capacitados para melhor entender a função da atividade.

Vale salientar que esta profissão existia há pouco tempo atrás, e existem muitas duvidas no entendimento de suas funções seja por quem faz a gestão, seja por que necessita deste suporte operacional de conformidade, e como muitos profissionais observam: “não tenho tempo de fazer o que minha atividade demanda, imagina ficar observando legislação e montando normas e procedimentos”.

Afinal a não realização e cumprimento dessas normativas podem trazer prejuízos, suspensão de atividades, sanções, penalidades e denegrir a reputação e imagem de uma marca ou de uma empresa.

Mas normalmente a alta administração trabalha com assuntos macros com foco nas decisões e não tem condições de perceber desvios, falhas ou erros gerenciais e principalmente os riscos operacionais, por isso, poderíamos considerar o Compliance como os olhos da Alta Administração, função esta que anos atrás já foi da auditoria interna, que não deixou de ser, mas ganhou um aliado.

A função corporativa do profissional de Compliance deve estar alinhado com a missão, visão e valores estabelecidos à organização pela Alta Administração e o papel funcional do profissional de Compliance esta relacionado ao exercício do cumprimento das melhores práticas, das normas, leis, controles internos e de governança corporativa, tudo isto, centrado na aplicação de um bom Programa de Compliance, e com a implementação de um bom código de conduta e ética, não só no papel, mas na mudança da postura das pessoas.

O agente de compliance será aquele profissional que estará alinhado com os negócios e com certeza estando mais próximo da atividade, oferecerá maior segurança para quem exerce as funções administrativas e para quem faz a gestão dos negócios, de riscos, segurança e governança da organização.

* Marcos Assi é consultor da MASSI Consultoria, professor de MBA na Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” e “Gestão de Riscos com Controles Internos – Ferramentas, certificações e métodos para garantir a eficiência dos negócios” .

Terceirização – Transferindo a atividade e mantendo os riscos

Quando falamos de terceirizar uma atividade (outsourcing), aqui falamos sobre atividades de gestão, pensamos em transferir as atividades e demais procedimentos para a empresa que contratamos e ainda têm empresas que acreditam que transferiram o risco também, mas estão enganadas.

Ao contratar um terceiro, seja ele prestador de serviços, consultor, assessor ou tutor (coaching), devemos atentar que o cliente necessita transmitir-lhe todas as informações necessárias para a execução de sua atividade, mas isso não acontece na prática, pelo contrario, as informações deve ser desbravadas durante o trabalho e mesmo assim, são insuficientes.

A questão terceirização é complexa e muitos confundem com serviços de recepção, limpeza, segurança, transporte, mas neste caso estamos evidenciando aqueles que prestam serviços de suporte a gestão, tais como governança corporativa, governança de TI, gestão de continuidade de negócios, contábil, tributária, compliance, auditoria, segurança da informação, gestão de riscos operacionais, cível, trabalhista, entre outras possibilidades.

A percepção que temos é que o gestor e/ou administrador, desconhece na profundidade seu negócio e possibilidades que proporciona, alguns relatórios são falhos, em certos casos as pessoas omitem informações ou fazem de qualquer jeito, e o terceiro é quem é responsabilizado.

Ao contratar um terceiro a intenção é que de ele possa dar suporte ao seu negócio, orientá-lo e caso haja interesse, sugerir mudanças nos procedimentos internos, mas por experiência própria, identificamos processos falhos, profissionais despreparados ou mal conduzidos, relatórios que dificilmente passam informações confiáveis e obvio, quando não dá certo, a culpa é do consultor, triste modo de ver o processo.

Devemos demonstrar a todos que as atividades de consultoria, fato tão comum no dia de hoje, devem ser de suporte para a organização por não possuir profissionais internos que possam suprir esta necessidade por motivo da especialização do profissional contratado, e aproveitar este momento para que haja a transferência de conhecimento e que possa aprimorar os procedimentos internos, mas e os riscos? De quem é a responsabilidade na gestão deles?

A gestão de riscos é da organização, pois as atividades podem ser realizadas por quem a organização quiser, entretanto a tomada de decisão e a apetite de riscos é da alta administração, por ser uma ação de grande responsabilidade e não pode ser tomada por qualquer pessoa e nem pelo terceiro, que neste caso o terceiro pode ser um agente de orientação.

Sem contar um outro pequeno problema, que é a questão do risco legal, que não podemos deixar de lado, que a organização é co-responsável pelos profissionais que são colocados em nossa atividade, devemos nos preocupar com o contrato, período de prestação de serviços, quem esta representado a empresa contratada e obter informações das atividades realizadas, para que as mesmas estejam em conformidade com o serviço contratado.

O assunto terceirização é polemico e contraditório, mas existe com o propósito, proporcionar e inserir conhecimento de assuntos dos quais a organização não possui em seu quadro ou mesmo possuindo a quantidade de recursos não é o suficiente para suprir a necessidade. Portanto, devemos entender que se as organizações tivessem tudo em ordem, o consultor seria contratado para que? Mas, contratar um terceiro o objetivo é melhorar ou implementar mudanças nos procedimentos ou processos operacionais, mas o risco continua sendo de quem contratou.