Q&A | Compliance em suas diferentes vertentes

Compreendendo o Compliance como a conformidade com princípios éticos, integridade, e transparência em todo e qualquer relacionamento humano, estamos contribuindo para a consolidação de uma cultura de integridade e de um ambiente de respeito, equânime, respeitoso para todas as pessoas.

Neste sentido, podemos destacar ações como: educação sobre temas como assédios moral e sexual no ambiente corporativo; criação de comitês de diversidade; disponibilização de canais de denúncia, unidades de acolhimento e acompanhamento, dentre tantas outras iniciativas que contribuem para um ambiente corporativo saudável, para as mulheres e todos os demais públicos.

Estamos evoluindo, mas ainda precisamos transformar a configuração das posições de tomada de decisão. Prova disso, podem ser verificadas em pesquisas como o “Board Members LATAM 2023-2024”, da Page Executive, que confirma ainda a presença de 73,5% de homens nos Conselhos de Administração e somente 26,1% de mulheres nessa esfera decisória. Ainda, no relatório global da Grant Thornton, Women in Business, apenas 23% dos cargos de CEOs em empresas brasileiras de médio porte são ocupados por mulheres. 

Percebe-se um movimento gradual, em que as práticas evoluem conforme a estrutura organizacional e os riscos de negócio. Mesmo nas grandes corporações, ainda estamos evoluindo em maturidade organizacional nesse aspecto, tendo em vista que a Lei Anticorrupção Brasileira é de 2013. Dado que muitas empresas brasileiras são de propriedade de grupos familiares, há uma clara necessidade de fortalecer a governança. Contudo, ainda não possuímos no Brasil uma cultura consolidada de gestão de riscos que atue de forma preventiva.

As organizações têm um papel importantíssimo na sociedade e podem dar o tom, com exemplos, de forma que os desafios sejam superados buscando medidas para proporcionar o equilíbrio entre o trabalho e vida pessoal, incluindo licenças estendidas de maternidade e paternidade, aumentar a representatividade feminina em cargos de liderança, a promoção de um ambiente de trabalho saudável com a prática de treinamentos sobre temas como assédios ou discriminação de gênero, entre outros. 

Um exemplo de caso de sucesso em diversidade é a empresa global de tecnologia Microsoft, que implementou uma série de iniciativas para promover a diversidade e a inclusão em sua força de trabalho, com o estabelecimento de metas de diversidade e publicação de relatórios regulares para acompanhar o progresso. Além disso, a empresa investiu em Programas de Recrutamento e Retenção de talentos diversos, bem como em treinamentos de sensibilização para todos os funcionários. 

A presença feminina no departamento de compliance pode contribuir significativamente para investigações corporativas relacionadas a assédio. Mulheres frequentemente possuem sensibilidade aumentada para questões de assédio, o que as torna capazes de abordar vítimas de forma empática e compreensiva. Isso não apenas encoraja mais denúncias, mas também fortalece a credibilidade das investigações, criando um ambiente mais seguro e confiável para todos na organização. Além disso, a diversidade de gênero na equipe de compliance traz diferentes perspectivas e análises, enriquecendo a compreensão e a resposta aos fenômenos observados.

No entanto, criar um ambiente seguro depende não apenas da diversidade, mas também da consolidação de uma cultura organizacional que promova integridade, ética, respeito e uma postura profissional impessoal e assertiva. Isso requer políticas robustas, treinamentos eficazes e uma abordagem livre de preconceitos e julgamentos para lidar com todas as formas de comportamento inadequado.

O grande gap ainda se encontra no desafio das mulheres em equilibrar sua vida pessoal com a profissional. São muitas jornadas, saúde mental comprometida, e um dilema constante sobre o que e como priorizar, carreira e/ou família. Além disso, há um viés estrutural no ambiente corporativo que favorece certos conceitos de produtividade e sucesso que podem não ser inclusivos o suficiente para todas as realidades femininas. As mulheres muitas vezes enfrentam obstáculos adicionais em termos de reconhecimento e promoção, devido a sistemas de avaliação que podem não ser sensíveis o bastante às suas contribuições.

As oportunidades e indicações ainda são desiguais, e isso reflete-se na predominância de homens em cargos de liderança e no processo decisório. Suas perspectivas e experiências moldam as políticas e práticas corporativas, criando barreiras para a ascensão profissional equitativa das mulheres. Para superar essas barreiras e promover um desenvolvimento profissional mais equitativo, é essencial a implementação de programas e cotas específicos para inserção de mulheres em posições de liderança. Essas iniciativas não apenas oferecem oportunidades justas, mas também ajudam a transformar a cultura organizacional, tornando-a mais inclusiva e representativa das diversas contribuições femininas.

As organizações estão progredindo na promoção da diversidade, mas é necessário avançar além das políticas formais. Isso significa criar uma cultura inclusiva, garantir equidade nas oportunidades, engajar a liderança e realizar avaliações constantes para adaptação.

Sim, em linhas gerais essa segregação é recomendada. Contudo, para que essa estrutura organizacional seja estabelecida, ela depende fortemente da maturidade da governança da empresa. 

A segregação das áreas de Tecnologia (ou infraestrutura) e Cibersegurança (ou segurança da informação) é positiva na medida em que a primeira é uma área operacional, enquanto a segunda é uma área estratégica. Enquanto a área de segurança define padrões e regras a serem seguidos, TI e Infraestrutura operacionalizam essas regras. Portanto, a segregação traz independência e objetividade.

Além disso, outros fatores contribuem para a segregação das áreas, como o nível de especialização profissional, responsabilidades mais claras e questões de conformidade e auditoria que são mais latentes para empresas de grande porte, de capital aberto, empresa auditadas ou de segmentos altamente regulamentados como as áreas da saúde e bancária.

Ainda não há muita clareza sobre os processos de auditoria e avaliação conduzidos pela ANPD. A notificação espontânea, além de incentivada, é uma clara demonstração de transparência e respeito com o titular. 

É importante lembrar que de acordo com a LGPD e regulamentações específicas recentes, a notificação de incidente de segurança com potencial dano a titulares de dados é uma obrigação do controlador e não uma opção. Uma vez recebida a notificação, a Autoridade realiza a avaliação do incidente para determinar sua gravidade, com base nas informações fornecidas pelo relatante.

É neste momento que a rapidez e proatividade das empresas faz a diferença, uma vez que a Autoridade valoriza a transparência e colaboração das empresas. Assim, notificações espontâneas podem ser interpretadas como uma demonstração de boa fé e compromisso com a conformidade, podendo ser considerada na análise de possíveis sanções.

O uso de inteligência artificial de forma criminosa é uma realidade. Notícias frequentes tratam de casos reais de utilização de Deep Fake para simulação de voz e vídeo. Este novo cenário traz um impacto significativo para os procedimentos de detecção e análise de incidentes.

Os métodos mais comuns de aplicação vistos recentemente são o Deep Fake (vídeos e áudios fraudulentos que simulam um conteúdo autêntico) e os Chatbots maliciosos. Ambos podem ser utilizados para diversos tipos de exploração de vulnerabilidade, mas principalmente para aplicação de phishings mais eficientes combinados com técnicas de engenharia social (Spear Phishing Personalizado).

O resultado disso é um enorme desafio tecnológico nos procedimentos de detecção e resposta, muito embora já existam soluções de segurança específicas e adaptadas para combater esse tipo de uso criminoso da IA. Por outro lado, esse problema ressalta a importância da conscientização e treinamento de usuários, já que os ataques com utilização de IA costumam ser direcionados ao usuário final.

Existem diversas dificuldades que podem ser encontradas dependendo do perfil da empresa, da alta administração e do time de segurança. Contudo, em linhas gerais, podemos descrever: (i) problemas de comunicação (linguagem técnica x linguagem executiva), (ii) percepção de prioridades, (iii) compreensão dos riscos (tanto de executivos que nem sempre conseguem compreender o impacto operacional de riscos cibernéticos, como de técnicos que não conseguem fazer uma leitura estratégica de impacto), (iv) retorno de investimento (demonstração de resultados e KPIs) e (v) cultura organizacional (pois muitas empresas resistem a processos de controle e segurança em prol da usabilidade e facilidade.

É comum que empresas se preocupem com o Plano de Recuperação de Desastre e isto é correto e legítimo. Apesar disto, é ainda mais comum ver empresas escrevendo políticas e planos desconectados com o risco da companhia, gerando documentos de gaveta ou procedimento inexequíveis. Por isso, o primeiro passo para estabelecer um DRP é realizar avalição de riscos e impactos. Isto pode ser feito por um mapeamento de riscos operacionais (com identificação dos riscos, seus impactos e probabilidade), e com um BIA (Análise de Impacto de Negócio, da sigla em inglês - Business Impact Analysis) que determina o impacto potencial de um risco para cada ativo, processo ou unidade de negócio. Com isto, a empresa poderá elaborar um DRP direcionado para os ativos que podem gerar prejuízo elevado em caso de materialização de um risco, tornando o procedimento mais objetivo e efetivo.

Além disso, há outros pontos mais técnicos que devem ser considerados, como o mapeamento dos ativos (o que poderá ser feito antes ou em conjunto com o mapeamento de riscos ou BIA), estratégia de backups e recuperação (que deve considerar a necessidade de negócio, custos de manutenção, operacionalização e testes, ferramentas etc.), plano de resposta a incidentes (o DRP faz parte do plano de resposta a incidentes que, por sua vez, faz parte do plano de continuidade de negócio), cronograma de testes e treinamentos, procedimentos detalhados de execução e garantia de que o plano observa as leis e regulamentações específicas que o negócio está sujeito.

O DPO deve ser um facilitador, trabalhar observando a lei e buscando garantir seu cumprimento, mas, sobretudo, um executivo que viabiliza a operação. Seu papel deve ser apoiar as áreas operacionais a entenderem o benefício de atuar em conformidade. Ser e estar em conformidade deve ser mais fácil do que o contrário, para isso o DPO precisa exercer um papel educativo e colaborativo, buscando propor soluções eficientes que suportem as áreas de negócio na execução de suas tarefas de forma ética em relação ao tratamento de dados pessoais.

Depende do contexto de cada organização. Importante ter claro os papéis e responsabilidades de cada área (Compliance, Recursos Humanos, Jurídico, etc). Mesmo em unidades remotas, pode haver a necessidade de deslocamentos de colaboradores para a realização de determinadas atividades do processo. Caso a empresa não tenha estrutura própria ou até mesmo pessoas treinadas com tais habilidades e expertises para executar tais atividades, é interessante avaliar o apoio de consultorias nessas ações e montar cenários com prós e contras (qualitativos/quantitativos e financeiros).

É recomendável avaliar a estrutura da empresa, seu grau de maturidade, do time disponível e do seu comprometimento são questões essenciais para fazer a integração entre as áreas de Recursos Humanos e Compliance, ditando o ritmo daquilo que se pretende fazer com aquilo que é, de fato, factível.  

Depende. Caso o denunciado não esteja atrapalhando a investigação, ele deve ser o último a ser ouvido, não só porque isso reflete a garantia do direito de defesa a ele (ainda que não se esteja a falar de um processo penal propriamente dito), mas também porque na última fase já é possível ter uma noção muito mais aprimorada das evidências (ou da falta delas) contra o denunciado. 

Caso o denunciado tenha potencial ajuste de evidências contra uma investigação, é recomendado ter alinhado com o Jurídico a etapa de chamar o denunciado, avisar que será realizada uma investigação e que ele terá uma Licença Remunerada para que haja tempo necessário para concluir a investigação/coleta de evidências. Neste caso, após o retorno do denunciado, ele será informado quanto ao resultado e a consequência a ser aplicada por seus atos (cuidar para não ser somente formal no processo, pois o cuidado humano será importante).

O procedimento é a convocação do denunciado para uma reunião com as pessoas responsáveis pela investigação, como se fosse uma oitiva/audiência. Neste momento, a demonstração de clareza e seriedade da investigação, aliados ao fato de que não se trata de um pré-julgamento ou de um tribunal meramente formal, são muito importantes.

Aliar a proteção da vítima com a necessidade de ouvir o denunciado não é fácil, mas é um desafio que se deve enfrentar, seja em respeito a quem foi atingido pela prática do denunciado, seja em prol de um canal de denúncias e investigação proativo e eficiente.

Importante capacitar as pessoas e treinar quanto à confidencialidade. Somente devem ter acesso às denúncias, as pessoas devidamente capacitadas para tal. A implementação desta realidade não é automática, mas sim fruto de amadurecimento da equipe responsável e do aculturamento da empresa. Em caso de comprovação de má conduta do denunciado, este poderá sofrer desligamento mediante justa causa e deverá ser informado quanto ao motivo da tomada de decisão. 

Existem várias estratégias e cada empresa poderá se amoldar melhor a algumas delas. Cursos, diálogos e palestras são interessantes e eficazes. A depender do que é utilizado, existe até um caráter lúdico, de dinâmicas empregadas para a conscientização. A aplicação daquilo que se propôs a fazer, dando efetividade ao canal de denúncias e às investigações também pode ser uma importante ferramenta de conscientização interna e de todo o escalão.

Conecte as ações de Compliance com o propósito e missão de sua organização. Compliance é importante em qualquer negócio que queira agir com coerência em relação a sua missão, visão, valores e propósito. Foque nisso e dê passos conforme a cultura de sua organização.

As tendências estão focadas em temas de defesa da diversidade (num sentido amplo), dos interesses da mulher e das práticas relacionadas a fraudes e desvios. É esperado o aumento no volume de denúncias, o que evidencia ainda mais a importância das organizações estarem preparadas para as investigações e, principalmente, realizarem ações preventivas de conscientização e o Compliance fomentando informações e práticas transparentes. 

Um Comitê de Governança Corporativa geralmente é composto por membros do Conselho de Administração, executivos seniores da empresa (CEOs e CFOs) e, em alguns casos, representantes independentes ou especialistas externos (auditores internos ou externos e especialistas em Compliance). 

O principal papel do Comitê de Governança Corporativa é supervisionar e garantir que as "Funções de Controle" (Controles Internos/ Auditoria Interna/ Gestão de Riscos / Compliance) e políticas, práticas e procedimentos corporativos estejam alinhados com os melhores padrões de mercado e de governança. Isso inclui monitorar a conduta ética; mapear, classificar e monitorar os riscos e principais controles empresariais; garantir a transparência nas operações; supervisionar a conformidade com as regulamentações governamentais e promover a responsabilidade corporativa. Além disso, o Comitê desempenha um papel crucial na proteção dos interesses dos acionistas e na promoção da sustentabilidade a longo prazo da empresa. Em resumo, o Comitê de Governança Corporativa desempenha um papel vital na gestão de riscos, manutenção da integridade, transparência e responsabilidade dentro da organização.

A efetividade de um Programa de Compliance pode ser avaliada quantitativamente através de indicadores-chave de desempenho (KPIs) como o número de denúncias, tempo médio de resposta, conformidade com regulamentos e retorno sobre o investimento (ROI). Além disso, análises de dados históricos e pesquisas de satisfação podem fornecer insights sobre o impacto do Programa para colaboradores e terceiros.

No entanto, é importante considerar tanto os aspectos quantitativos quanto qualitativos, como cultura organizacional e comprometimento da liderança, esclarecendo que essa resposta foi feita considerando Compliance como a área de Integridade. Ao ampliarmos o olhar de Compliance e incluirmos também a conformidade com leis, órgãos reguladores e expectativa dos acionistas, incluiria a Avaliação quantitativa do monitoramento dos Riscos Corporativos através dos KRIs.

Os Riscos Corporativos consideram, além dos riscos de fraude e anticorrupção, os riscos financeiros, operacionais e estratégicos, os quais com esse monitoramento elevam o nível de aderência e o Compliance de uma forma mais ampla na Companhia. Compliance trabalhista, compliance regulatório com CVM/SEC e órgãos específicos a depender do segmento da Empresa, compliance com o Planejamento estratégico, iniciativas green (ODS/ ONU) entre outros itens fundamentais para uma gestão eficaz e estratégica do negócio.