Blog Post

Alta Gestão: Demonstrando Liderança e Comprometimento com o Compliance conforme as normas ISO 37001 e ISO 37301

alta gestão

No artigo desta semana, trataremos sobre um dos pilares mais importantes de um Sistema de Gestão de Compliance: o Suporte da Alta Gestão, popularmente denominado “Tom do Topo” (“tone of the top”). Ele é assim entendido pois quando esse apoio não é conferido pelos níveis estratégico e executivo da empresa, o Sistema de Compliance é considerado “de papel”, ineficiente.

Segundo o Ministério da Transparência e Controladoria-Geral da União – CGU, se não houver respaldo da alta gestão, o Sistema de Gestão de Compliance possui pouco ou até mesmo nenhum valor prático, o que acaba por afetar, inclusive, o comprometimento dos demais funcionários em fazer o que é certo e agir de acordo com as leis e os regramentos internos da empresa.   

Além disso, reforçando a importância do apoio da alta administração, diversos Guias de Compliance nacionais e internacionais, como

que disciplinam a matéria aduzindo que o comprometimento da Alta Gestão é condição indispensável para o aculturamento ético no âmbito das corporações e para a implementação de um Sistema efetivo.

Como tivemos a oportunidade de abordar anteriormente, ao se falar em “tom do topo”, a ideia principal é que o Conselho de Administração (quando existente) e a Alta Direção promovam uma conduta ética, através de comportamentos íntegros em todas as atividades da organização, e comuniquem isso regularmente a todos os colaboradores, terceiros e parceiros de negócios, além de nomearem um profissional responsável pela área de Compliance, direcionando recursos bastantes ao alcance de seus respectivos propósitos.

Acontece que se, a despeito do apoio financeiro e da participação em ações de comunicação e treinamento, Conselheiros, Diretores e demais lideranças forem percebidas como desinteressadas em condutas éticas nos negócios, ou mais preocupadas com indicadores operacionais e financeiros, as partes interessadas estarão mais suscetíveis a desrespeitarem as regras dos Sistemas de Compliance.

Justamente por isso, ações recentes de integridade corporativa e, principalmente, de combate a fraudes, desvios, corrupção, suborno e lavagem de dinheiro sugerem que, em vez de “tom do topo”, enfatizam mais o “exemplo de conduta que vem de cima”

O “tom do topo” é passivo por natureza, enquanto o “exemplo de conduta que vem de cima” remete à proatividade – ou seja, as lideranças representam a identidade ética de uma organização, incorporando, influenciando e demonstrando, na prática, a cultura da organização, além de planejarem e aprovarem ações práticas que atestem sua preocupação com o alinhamento do Compliance com todas as atividades desempenhadas na organização (em níveis estratégico, tático e operacional).

Alta Gestão: Quem é considerado?

De forma resumida, a Alta Gestão de uma empresa é aquela formada por quem tem poder de decisão na companhia, como os membros do Conselho de Administração (quando houver) e/ou da Diretoria Executiva.

Aliás, aqui cabe um esclarecimento importante acerca de tema que, não raras vezes, gera dúvidas em auditorias, consultorias e, mesmo, treinamentos que ministramos: 

Na norma ISO 37001:2016, utiliza-se o termo “Alta Direção” no requisito 3.6 referindo, de forma geral, a “pessoa ou grupo de pessoas que dirige e controla uma organização ao mais alto nível.” 

Já no requisito 3.7, define “Conselho de Administração” como “Grupo ou órgão que tem a responsabilidade e autoridade final para as atividades, governança e políticas de uma organização e para quem a Alta Direção reporta, ou por quem a Alta Direção é tornada responsável.”

Dado o fato de a norma reservar expressamente ao Conselho de Administração a Governança e a responsabilidade pelas políticas de Compliance Antissuborno, organizações cuja estrutura organizacional tem seu nível estratégico composto apenas de Diretoria questionam se a norma ISO 37001 lhes é viável e exequível.

Embora nossa resposta a esse questionamento tenha, sempre, sido no sentido afirmativo, agora podemos invocar, mesmo que por analogia, a nova norma ISO 37301:2021, que ajuda a firmar a compreensão necessária quando utiliza a expressão “órgão de governança” para qualificar o responsável pelo “tom do topo”, sendo que este órgão poderá ser o Conselho, quando houver, ou a Diretoria – noutras palavras, uma abordagem mais abrangente e de adaptação mais fácil ao contexto de cada negócio.

De toda a forma, para fins didáticos e, também, visando a abarcarmos as mais variadas estruturas e modelos organizacionais de nossos seguidores, recomendamos e utilizamos aqui a denominação “Alta Gestão” ao “dono” do Sistema de Gestão de Compliance.

Um último adendo, mas não menos importante: pouca gente sabe, mas a auditoria da cultura organizacional – feita, inclusive, sobre o comportamento dos membros do Conselho de Administração (quando existente) e da Alta Direção – é um dos diferenciais do Sistema de Gestão Antissuborno ISO 37001:2016, e do Sistema de Gestão de Compliance ISO 37301:2021, impactando diretamente na avaliação da integridade das empresas e, ao final, na recomendação à certificação.

Neste sentido, ademais de fomentar a cultura da ética e melhores práticas nas organizações, esses standards requisitam a evidenciação das ações dos membros da Alta Gestão. Gerados os devidos registros, estes deverão ser adequadamente divulgados e retidos, para constituição de um histórico que permita, inclusive, medir e avaliar as melhorias e o amadurecimento do Compliance frente a stakeholders internos e externos.

Alta Gestão e o sistema de gestão de compliance

O papel da Alta Gestão nas normas ISO 37001 e ISO 37301

Feita esta necessária introdução, passemos a verificar agora qual deverá ser o papel da Alta Gestão na implementação, manutenção e melhoria contínua do Sistema de Gestão de Compliance para as normas ISO 37001 e ISO 37301.

Primeiramente, a Alta Gestão deverá indicar o profissional que ficará responsável pelo gerenciamento do Sistema de Gestão na empresa (Compliance Officer) e constituir uma área/departamento de compliance, para auxiliar e dar suporte às ações desses profissionais.  

Aqui vale uma ressalva: se a empresa for pequena e contar com poucos funcionários, dificilmente terá condições de contratar um compliance officer e muito menos estabelecer e manter uma área específica de compliance.

Nesses casos, salvo algumas exceções, é possível que a Alta Gestão capacite e forme um dos profissionais que já compõem o seu quadro de funcionários, que ficará incumbido de fazer o controle e o gerenciamento do Sistema de Gestão de Compliance.   

Alta Gestão e Compliance Officer

De todo modo, a Alta Gestão deverá garantir autonomia e independência ao responsável pelo gerenciamento do Sistema de Gestão de Compliance, seja o compliance officer, para que este possa desempenhar de forma satisfatória suas funções.

A Alta Gestão deverá disponibilizar os recursos necessários para atividades ordinárias e, também, de planos de ações de melhoria ou corretivas que estiverem sob a responsabilidade profissional (e para a área de compliance, quando houver), bem como assegurar a proteção destes contra possíveis retaliações que possam vir a ocorrer por conta das medidas que porventura tenham sido tomadas para garantir o cumprimento das regras vigentes.

A norma ISO 37001:2016, no requisito 5.1.2, impõe à Alta Gestão, ademais da implementação e comunicação do Sistema de Gestão Antissuborno, a demonstração de liderança e comprometimento com relação ao sistema:

o   Promovendo uma cultura antissuborno adequada dentro da organização;

o   Promovendo a melhoria contínua;

o   Apoiando outros papéis de gestão pertinentes para demonstrar a sua 

 liderança na prevenção e detecção de suborno, como aplicável às suas áreas de responsabilidade;

o   Incentivando denúncias de práticas suspeitas e que signifiquem afronta à integridade da organização.

A norma ISO 37301:2021, por sua vez, foi além, estabelece às organizações uma postura de liderança e comprometimento com o Compliance que ultrapassam a comunicação, os treinamentos, orçamento dedicado e incentivo à realização de reportes através dos Canais de Ética, demandando-lhes:

  1. Alinhamento entre metas estratégicas e operacionais e obrigações de Compliance;
  2. Implementação e manutenção de mecanismos de transparência e prestação de contas, incluindo ações e consequências disciplinares; 
  3. Assegurando a integração dos aspectos comportamentais dos colaboradores (ética e integridade) nas avaliações de desempenho pessoal;
  4. Em se tratando de competências de seu pessoal, a avaliação de metas de desempenho, bônus e outros incentivos, assegurando que estejam alinhados ao perfil dos times e ferramentas disponibilizadas, e evitando, com isso, desvios de conduta.
Alta Gestão e as Normas ISO

Com efeito, a ISO 37301:2021, em seu requisito 5.1.1, pontua que o órgão de governança deve demonstrar liderança e comprometimento com relação ao Sistema de Gestão de Compliance:

o   Assegurando que a Política de Compliance e os objetivos de Compliance estão estabelecidos e são compatíveis com a direção estratégica da organização;

o  Assegurando a integração dos requisitos do Sistema de Gestão de Compliance nos processos de negócio da organização;

o   Assegurando que os recursos necessários para o Sistema de Gestão de Compliance estão disponíveis;

o  Comunicando a importância de um Sistema de Gestão de Compliance efetivo e da conformidade com seus requisitos;

o   Assegurando que o Sistema de Gestão de Compliance alcança os seus resultados pretendidos;

o   Apoiando e orientando as pessoas para contribuírem com a eficácia do Sistema de Gestão de Compliance;

o     Promovendo a melhoria contínua;

o     Apoiando outros papéis pertinentes, para demonstrar sua liderança, e como se aplica às suas áreas de responsabilidade;

o Estabelecer e sustentar os valores da organização; 

o Assegurar que as políticas, processos e procedimentos são desenvolvidos e implementados para alcançar os objetivos de Compliance; 

o Assegurar que eles são informados em um tempo hábil sobre os assuntos de Compliance, incluindo as instâncias de não-compliance, e assegurando que ações apropriadas são tomadas; 

o Assegurar que o comprometimento com o Compliance e que desvios de conduta e não conformidades são tratados adequadamente; 

o Assegurar que as responsabilidades pelo Compliance estão incluídas nas descrições do trabalho, como apropriado; 

o Indicar ou nomear uma função compliance;

o Assegurar que um sistema para levantar e tratar preocupações, de forma isenta, sem retaliações e que permita o anonimato, seja estabelecido. 

Dito isto, passemos agora a identificar algumas medidas práticas que demonstram o comprometimento da Alta Gestão com o Compliance as normas ISO 37001 e ISO 37301:

1 – Participação em palestras e treinamentos de Compliance

A participação de membros da Alta Gestão em palestras e treinamentos de Compliance demonstra o comprometimento da empresa com a cultura ética e a relevância do tema para a organização.

Além disso, quando os membros do órgão de governança estão presentes, os demais funcionários tendem a prestar mais atenção ao treinamento e começam a entender a importância do Compliance.

Alta Gestão dando um comunicado

2 – Inserção do Compliance em discursos e manifestações internas

É aconselhável, sempre que possível, inserir a temática em discursos, manifestações e comunicados internos da alta administração, bem como em reuniões do conselho de administração e/ou do corpo diretivo da empresa, oportunizando-se ao responsável pelo Sistema de Gestão de Compliance abordar as principais iniciativas relacionadas à ética e à integridade na organização.

Além disso, declarações escritas da Alta Gestão da empresa ajudam a demonstrar e evidenciar o compromisso de se fazer, sempre, o que é certo

Como exemplo dessas declarações, pode-se citar o envio de e-mails aos empregados informando que a empresa atua no combate à fraudes, desvios, corrupção, suborno, lavagem de dinheiro e outras faltas que comprometam a saúde e a boa imagem do negócio, bem como prevendo medidas disciplinares decorrentes da violação da lei e dos regramentos internos.

Microfone num evento para dar um comunicado

3 – Declarações públicas quanto à importância do Sistema de Gestão de Compliance e da necessidade de adoção de condutas éticas por todos colaboradores, fornecedores e parceiros 

É de suma importância que os membros da Alta Gestão façam declarações públicas demonstrando a importância das políticas de integridade que compõe o sistema de Gestão de Compliance em entrevistas, materiais publicitários etc., bem como do aculturamento ético proporcionado pela implementação do Sistema na organização.

4 – Monitoramento do Sistema de Gestão de Compliance

Muito embora o contexto organizacional seja mutável – pudemos observar isso, inclusive, na pandemia pela COVID-19 –, obrigando as organizações a um acompanhamento tempestivo para  a devida adequação dos mecanismos de Governança Corporativa, pontos de auditoria e controles internos, a esmagadora maioria, infelizmente, caminha seus Sistemas de Compliance à margem dessa exigência, sujeitando-se a enfrentar severas fiscalizações, multas administrativas ou mesmo sanções civis, trabalhistas e criminais.

Consequência disto, a terceira linha de defesa das organizações acaba tendo seu propósito e legitimidade mitigados, prejudicando, em efeito dominó, a consistência dos reportes à Alta Gestão, as correções necessárias a que a primeira linha de defesa conduza correta e eficientemente os seus processos, e a contenção dos passivos financeiro, administrativo e judicial.

O desinteresse, ou mesmo a insuficiência de esforços da Alta Gestão no monitoramento do Sistema de Gestão de Compliance acaba por desencadear o enfraquecimento das linhas de defesa. 

E isso não é produto do acaso: Para o atingimento dos resultados esperados do Sistema de Gestão de Compliance, é imprescindível a confluência das melhores práticas de Gestão de Riscos, e, portanto, o patrocínio do órgão de governança.

Nesse contexto, modelos como os encartados nas normas ISO 37001:2016 e ISO 37301 são instrumentos hábeis ao solucionamento das deficiências de medição e avaliação apresentados pelos Sistemas de Compliance, por determinarem às organizações que delimitem:  

o   O que precisa ser monitorado e medido, além da periodicidade;

o   Quem é responsável pelo monitoramento;

o   Os métodos para monitoramento, medição, análise e avaliação, conforme aplicável, para assegurar resultados válidos;

o   Quando o monitoramento e a medição devem ser realizados;

o   Quando os resultados de monitoramento e medição devem ser analisados e avaliados;

o   Para quem e como estas informações devem ser reportadas;

o   As atribuições da área de auditoria interna no processo de avaliação do Sistema;

o   A frequência com a qual requisitarão a auditoria externa e independente do Sistema;

o   De que forma serão retidas as informações que evidenciarão os métodos aplicados e os resultados apurados.

Alta Gestão analisando dados no computador

Sendo cediço que compete à Alta Gestão assegurar que o Sistema de Gestão de Compliance alcança os seus resultados pretendidos, compete-lhe bem estabelecer as diretrizes de monitoramento, através de medição de indicadores cujas fontes de feedback sejam previamente estipuladas, análise crítica e deliberação de planos de ações corretivas e/ou melhorias.

A norma ISO 37301, inclusive, é explícita quanto à relevância do monitoramento do Sistema de Gestão de Compliance, anotando no requisito 9.1.2  que “a organização deve estabelecer, implementar, avaliar e manter processos para buscar e receber o feedback sobre o desempenho do compliance a partir de várias fontes. A informação deve ser analisada e avaliada criticamente para identificar as causas raiz do não-compliance, assegurando que ações apropriadas foram tomadas, e contemplar esta informação na avaliação periódica dos riscos.”

Ainda, no requisito 9.1.3, assevera que a organização deve desenvolver, implementar e manter um conjunto apropriado de indicadores que orientem à avaliação do alcance dos seus objetivos de Compliance e avaliação de seu desempenho.

Tocante às fontes de feedback para desempenho do Sistema de Gestão Compliance, são, via de regra:

  1. Os resultados dos testes periódicos de controles internos em processos;
  2. Dados provenientes da gestão do Canal de Reportes e tratamento de denúncias;
  3. Dados provenientes de Canais de Ouvidoria e SAC;
  4. Relatório de acompanhamento de autuações fiscais e notificações (extrajudiciais e judiciais);
  5. Relatórios de processos administrativos e judiciais;
  6. Estatísticas extraídas de due diligences de terceiros e colaboradores recrutados; 
  7. Resultados das avaliações realizadas após treinamentos ministrados aos stakeholders internos e externos;
  8. Registros atualizados das atividades da área de Compliance;
  9. Relatórios de auditorias internas e externas.

Tem-se, portanto, que a despeito de muitas organizações delegarem integralmente a responsabilidade pelo desempenho do Sistema de Gestão de Compliance à área dedicada, o monitoramento da Gestão de Compliance é de responsabilidade da Alta Gestão, e requisito de sustentabilidade de todo e qualquer Sistema – desde a concepção, como pilar fundamental, e após, como condição à sua efetividade –, podendo ser executado com base em padrões técnicos especificamente desenvolvidos a esta finalidade.

Alta administração comemorando bons reusltados no compliance

Conclusão

Por todo o exposto, conclui-se que o Suporte da Alta Gestão é condição indispensável à efetividade e perenidade do Sistema de Gestão de Compliance, devendo os seus titulares, assim como as demais partes interessadas, aderirem à cultura de Ética e Integridade proposta como valor organizacional.

Sem o devido apoio, prestado não apenas em discurso, mas, sobretudo, em ações concretas e mediante exemplos positivos, dificilmente se obterá à aderência ao padrão de conduta almejado.

Além disso, a Alta Gestão deverá garantir autonomia, independência e recursos ao responsável pelo Sistema de Gestão de Compliance (e ao setor/departamento de Compliance, quando houver), para que este possa desempenhar suas funções de forma satisfatória.

Por fim, pudemos elencar algumas medidas práticas que servem a ilustrar, de forma didática, o comprometimento da Alta Gestão com o Sistema de Gestão de Compliance conforme as normas ISO 37001 e ISO 37301, como a participação em treinamentos e palestras, a inserção da temática em discursos e manifestações internas e a supervisão e o monitoramento do Sistema.

***

Gostou do tema abordado neste post e quer saber mais a respeito? Então, deixe um comentário e assine nossa newsletter para se manter atualizado.

Abraços e até a próxima!

mm

Sobre Roberta Volpato Hanoff

É CEO e Fundadora da Studio Estratégia - Governança, Riscos e Compliance, graduada em Direito pela Universidade Federal de Santa Catarina - UFSC, especialista em Direito Empresarial com ênfase em Recuperação Judicial, Falência e Administração de Crises pela FGV/Rio, CPC-A® (Anti-Corruption Compliance Certified Expert) e Auditora Líder para as Normas ISO 19600:2014 e ISO 37001:2016 (Sistemas de Gestão de Compliance e Antissuborno). Email: roberta@studioestrategia.com.br

One thought on “Alta Gestão: Demonstrando Liderança e Comprometimento com o Compliance conforme as normas ISO 37001 e ISO 37301

Deixe seu comentário