Cadastre-se e receba o nosso conteúdo

Eduardo Person Pardini

É sócio principal, responsável pelos projetos de governança, gestão de riscos, controles internos e auditoria interna da Crossover Consulting & Auditing. É diretor executivo do Internal Control Institute - Chapter Brasil, palestrante e instrutor do IIA Brasil.

Compliance e Gestão de Riscos – Serão os grandes culpados?

Nos últimos dias, diversos artigos foram publicados sobre o tema “compliance”, em sua maioria, descrevendo “compliance” como sendo o grande culpado pela tragédia recente em Minas Gerais.

Infelizmente, alguns profissionais continuam insistindo que “compliance” é a solução para todos os males corporativos, tentam fazer dele um produto de prateleira que possa ser vendido, tipo “one fits all”.

Primeiro precisamos entender que “compliance” antes de mais nada não é uma política, é atitude. É atitude de agir em conformidade com as regras determinadas através de Leis, normas, regulamentos e também, políticas e procedimentos emanados por uma entidade ou corporação.

Alguns, também, de forma equivocada, confundem “compliance” com gestão de riscos e/ou com governança corporativa, criando uma grande confusão conceitual.

Esclarecemos que para que exista uma efetiva governança, antes de mais nada é necessário o comprometimento irrestrito com a ética por todos dentro da organização, e também com as boas práticas, para que possa existir um efetivo gerenciamento de riscos, um eficaz sistema de controles internos e um processo de “compliance” integrado a cultura corporativa.

Antes de mais nada queremos deixar claro que este artigo não tem como objetivo, e nem poderíamos ter, determinar os motivos causadores do desastre de Minas Gerais, mas sim, permitir uma reflexão mais apurada de como um processo de gestão equivocada pode permitir a ocorrências de eventos negativos, alguns com consequências irrelevantes e outras, verdadeiras catástrofes.

É mais comum do que se imagina que corporações “fingem” ter um efetivo processo de governança. Muitas contam com caríssimas estruturas de governança, mas sem nenhuma efetividade. Infelizmente, estas estruturas existem apenas para cumprir com requisitos legais ou normativos internos.

O mesmo acontece com o programa de “compliance”, de nada adianta a existência de políticas de “compliance” se elas não estiverem agregadas a cultura da organização, se não houver o comprometimento e a atitude da gestão e do corpo de colaboradores, em cumprir com o que é determinado.

Salientamos também que “compliance” não é nenhuma novidade, não nasceu com o advento da Lei 12.846/13, no mínimo o termo “compliance” apareceu no começo do século 20, com o surgimento dos primeiros órgãos reguladores nos Estados Unidos.

Em um dos artigos havia a menção que o desastre de Minas Gerais ocorreu por falha do processo de gerenciamento de riscos, o que é plausível e não pode ser descartado, entretanto precisamos primeiro analisar algumas possíveis causas do gerenciamento de riscos não funcionar:

• A organização não tem um processo de gerenciamento de riscos efetivo, estruturado e integrado ao processo de gestão e negócio,

• A gestão de riscos se resume na elaboração de uma matriz de riscos, onde a gestão está mais concentrada na forma, criando matrizes altamente complexas, mas não se preocupando ou se omitindo com a ação para a mitigação dos riscos,

• Inexistência de uma consciência de gestão baseada em riscos na organização,

• A entidade conta com uma política de gerenciamento de riscos por ser um requisito legal, como exemplo as entidades públicas federais para cumprir com a instrução normativa CGU/MP nº 1, mas, sem uma implementação efetiva,

• A organização conta com um processo “raso” para identificação de seus riscos, contribuindo para uma gestão ineficaz com relação ao gerenciamento de riscos,

• As três linhas de defesa da organização não estão claras e nem efetivas,

• A entidade tem um processo para identificação e avaliação dos riscos, entretanto os gestores, por desconhecimento, omissão, ou falta de comprometimento, minimizam os possíveis impactos, e por consequência, minimizam também o seu tratamento.

• Os gestores “precificam” as consequências, assumem os riscos além do que deveriam ou que suas alçadas permitiriam. Vão além do apetite, tolerância e capacidade de riscos.

A falta de um entendimento claro dos conceitos e dos atributos do processo de governança permite que as organizações ainda tratem os riscos, sejam eles inerentes, de compliance, de fraude, ou de tecnologia de uma forma superficial e sem o comprometimento devido.

É preciso parar de responsabilizar a gestão de riscos ou compliance por tudo de ruim que acontece na organização, mas sim, responsabilizar a gestão, principalmente a alta gestão - conselho, presidência e seus diretos, que tratam estes temas, sem comprometimento, com superficialidade e sem o zelo profissional devido.

Quanto ao desastre que ceifou centenas de vidas, poderia sim ter sido previsto e avaliado com muita objetividade, sem a existência do mito da incerteza, até porque já havia ocorrência recente de fato semelhante, sem falar as informações técnicas que demonstravam a magnitude do risco existente. Ficou claro no depoimento do presidente da empresa que o risco já era conhecido, e as investigações trouxeram à tona, que a magnitude do desastre já havia sido calculada e precificada, tornando a decisão de não fazer nada apenas um mero exercício financeiro de custo e benefício, sem se importar com as vidas e nem com o meio ambiente.

Enquanto a gestão não for chamada a responder pelos seus atos de dissidia e omissão de forma exemplar e pública, e as organizações não tratarem o processo de governança com o devido respeito às melhores práticas de gestão, com zelo profissional e com decisões baseados nos valores éticos, tudo que se tratar sobre governança, incluindo “compliance”, não serão efetivos, e com certeza outros eventos como este de Brumadinho acontecerão.

Seja Feliz!

(05.03.2019)