A gestão do compliance resulta em uma empresa que cumpre com as suas obrigações

As organizações que almejam ser bem-sucedidas a longo prazo precisam estabelecer e manter uma cultura de compliance, considerando as necessidades e expectativas das partes interessadas. O compliance não é, portanto, apenas a base, mas também uma oportunidade para uma organização bem-sucedida e sustentável. A figura abaixo dá uma visão geral dos elementos comuns de um sistema de gestão de compliance.

O compliance é um processo contínuo e o resultado de uma organização que cumpre suas obrigações. Ele se torna sustentável ao ser incorporado na cultura da organização, e no comportamento e na atitude das pessoas que trabalham para ela. Enquanto mantém sua independência, é preferível que a gestão de compliance seja integrada com os outros processos de gestão da organização e os seus requisitos e procedimentos operacionais.

Um sistema de gestão de compliance eficaz em toda a organização permite que uma organização demonstre seu comprometimento em cumprir leis pertinentes, requisitos regulamentares, códigos setoriais da indústria e normas organizacionais, assim como normas de boa governança, melhores práticas geralmente aceitas, ética e expectativas da comunidade. A abordagem de compliance de uma organização é moldada pela liderança, por meio da aplicação de valores centrais e padrões geralmente aceitos de boa governança, de ética e da comunidade.

Incorporar o compliance no comportamento das pessoas que trabalham para uma organização depende acima de tudo da liderança em todos os níveis e dos valores claros de uma organização, assim como do reconhecimento e implementação de medidas para promover o comportamento de compliance. Se este não for o caso em todos os níveis de uma organização, há um risco de não compliance.

Em um número de jurisdições, os tribunais têm considerado o comprometimento da organização com o compliance por meio do seu sistema de gestão de compliance ao determinar a penalidade adequada a ser imposta por violação de leis pertinentes. Portanto, os órgãos regulatórios e judiciais podem também se beneficiar deste documento como uma referência.

As organizações estão cada vez mais convencidas de que, ao aplicar valores vinculativos e uma gestão de compliance apropriada, elas podem salvaguardar a sua integridade e evitar ou minimizar o não compliance das obrigações de compliance da organização. A integridade e o compliance eficaz são, portanto, elementos chave de uma gestão boa e diligente. O compliance também contribui para o comportamento socialmente responsável das organizações.

A NBR ISO 37301 de 06/2021 – Sistemas de gestão de compliance – Requisitos com orientações para uso especifica os requisitos e fornece diretrizes para estabelecer, desenvolver, implementar, avaliar, manter, e melhorar um sistema de gestão de compliance eficaz dentro de uma organização. Um dos objetivos desse documento é auxiliar as organizações a desenvolverem e disseminarem uma cultura positiva de compliance, considerando que convém que uma gestão de riscos relacionados ao compliance, sólida e eficaz, seja considerada como uma oportunidade a ser perseguida e aproveitada, devido aos diversos benefícios que ela provê para a organização.

As vantagens desse processo incluem melhorar as oportunidades de negócio e sua sustentabilidade; proteger e melhorar a credibilidade e a reputação da organização; considerar as expectativas das partes interessadas; demonstrar o comprometimento de uma organização para gerenciar eficaz e eficientemente seus riscos de compliance; aumentar a confiança de terceiras partes na capacidade da organização de alcançar sucesso sustentado; e minimizar o risco da ocorrência de uma violação aos custos associados e dano reputacional. A ideia é ter as orientações necessárias para possuir as abordagens e os tipos de ações que uma organização pode tomar ao implementar seu sistema de gestão de compliance.

Esses processos descritos não pretendem serem abrangentes ou prescritivos, nem uma organização é obrigada a implementar todas as sugestões desta orientação, para ter um sistema de gestão de compliance que atenda aos requisitos deste documento. As medidas tomadas pela organização devem ser razoáveis em relação à natureza e à extensão dos riscos de compliance que ela enfrenta, para cumprir com as suas obrigações de compliance.

Uma organização pode escolher implementar este sistema de gestão de compliance como um sistema separado, entretanto, idealmente ele deveria ser implementado em conjunto com outros sistemas de gestão, tais como risco, antissuborno, qualidade, meio ambiente, segurança da informação e responsabilidade social, apenas para dar alguns poucos exemplos. Nesses casos, a organização pode se referir às NBR ISO 31000, NBR ISO 37001, NBR ISO 9001, NBR ISO 14001, NBR ISO/IEC 27001, assim como à NBR ISO 26000.

O interessante é que empresas de qualquer porte, complexidade ou setores podem aplicar esse documento para criar um sistema de gestão de compliance, seguindo os seus requisitos. Isso dará as organizações um entendimento do seu contexto, das operações do seu negócio, das obrigações resultantes e dos riscos de compliance e auxiliará na implementação de passos razoáveis para cumprir com as suas obrigações. Cada um dos requisitos nesse documento deve ser seguido.

Na prática, é sempre mais fácil implementar um sistema de gestão de compliance alinhado com esse documento nas pequenas organizações, porque elas são menos complexas. As pequenas e médias organizações irão melhorar as suas práticas organizacionais, usando os princípios dos requisitos desse documento.

Para começar, deve-se estabelecer um entendimento das necessidades e expectativas das pessoas ou organizações que possam afetar, ser afetadas ou se perceberem afetadas pelo sistema de gestão de compliance. Algumas são mandatórias porque precisam ser incorporadas como requisitos formais, como leis, regulamentos, permissões e licenças, e ações governamentais ou judiciais. Podem existir outros requisitos formais, não apresentados, que sejam aplicados.

Outras necessidades e expectativas de uma parte interessada podem se tornar uma obrigação quando elas são especificadas, e a organização decide que irá adotá-las, voluntariamente, por meio de um acordo ou contrato. Uma vez que a organização tenha decidido sobre elas, elas se tornam obrigações de compliance.

Dessa forma, a gestão de compliance é uma estrutura que integra procedimentos, processos, políticas e estruturas essenciais para alcançar os resultados de compliance pretendidos, e agir para prevenir, detectar e responder a um não compliance. Tipicamente, a estrutura de um sistema de gestão de compliance é uma questão estrutural: a infraestrutura necessária sobre a qual se constrói esse sistema.

Em seguida, ela precisa se tornar operacional por meio de toda a implementação de políticas, processos e procedimentos. Em seguida, isso necessita ser mantido e melhorado continuamente. Existem muitos elementos para um sistema de gestão de compliance.

Alguns elementos do sistema de gestão serão projetados para apoiar os comportamentos desejados, enquanto outros serão projetados para prevenir comportamentos indesejáveis. Alguns elementos são apenas para monitorar o desempenho do compliance da organização ou prover alertas caso o não compliance aconteça.

O sistema de gestão de compliance reconhecerá quais erros podem ocorrer e terá processos para assegurar que haja reações apropriadas. Uma reação apropriada incluirá processos de remediação, sistemas e partes impactadas.

A avaliação de riscos de compliance constitui a base para a implementação do sistema de gestão de compliance e a locação de recursos e processos adequados e apropriados para gerenciar os riscos de compliance identificados. Os riscos de compliance podem ser caracterizados pela probabilidade de ocorrência e as consequências do não compliance com a política e as obrigações de compliance da organização.

Os riscos de compliance incluem os riscos de compliance inerentes e os riscos de compliance residuais. Os inerentes se referem a todos os riscos de compliance enfrentados por uma organização em uma situação descontrolada sem qualquer medida correspondente de tratamento dos riscos de compliance. Os residuais são os riscos de compliance não controlados efetivamente pelas medidas existentes de tratamento de risco de compliance de uma organização.

Muitas organizações possuem uma pessoa dedicada (por exemplo, compliance officer) responsável pela gestão do compliance no dia a dia e algumas têm um comitê de compliance interfuncional, para coordenar o compliance em toda a organização. A função de compliance trabalha em conjunto com a gestão. Nem todas as organizações criarão uma função de compliance discreta e algumas atribuirão esta função a uma posição já existente ou irão terceirizar essa função.

Ao terceirizar, a organização deve considerar não atribuir toda a função de compliance para terceiras partes. Mesmo se ela terceirizar parte desta função, deve-se considerar manter a autoridade sobre ela e que supervisione essas funções. É fundamental possuir um programa de treinamento, que pode assegurar que as pessoas sejam competentes para cumprir os seus papéis de forma consistente com a cultura de compliance da organização e com o seu comprometimento com o compliance.

Um treinamento adequadamente projetado e executado pode prover uma maneira eficaz para o pessoal comunicar riscos de compliance previamente não identificados. A educação e o treinamento devem ser, quando apropriados, com base em uma avaliação de lacunas de conhecimento e competência dos funcionários; suficientemente flexíveis para responder a uma série de técnicas para acomodar as diferentes necessidades das organizações e do pessoal; projetados, desenvolvidos e disponibilizados por pessoal qualificado e experiente; disponibilizados no idioma local, quando aplicável; avaliados e estimados quanto a sua eficácia, em bases regulares.

O treinamento interativo pode ser a melhor forma de treinamento se o não compliance puder resultar em sérias consequências. Um mecanismo que funciona no compliance é uma investigação completa e em tempo hábil de quaisquer alegações ou suspeitas de má conduta pela organização, de seu pessoal ou de terceiras partes pertinentes.

Isso inclui a documentação de resposta da organização, incluindo qualquer medida disciplinar ou de remediação tomada, e de revisões do sistema de gestão de compliance considerando as lições aprendidas. Um mecanismo de investigação eficaz identifica as causas-raiz da má conduta, das falhas de responsabilização e das vulnerabilidades do sistema de gestão de compliance. Uma análise cuidadosa da causa-raiz contempla a extensão e a abrangência do não compliance, o número e o nível do pessoal envolvido, a duração e a frequência do não compliance.

Enfim, a eficácia de um sistema de gestão de compliance é caracterizada pelo fato de que ele tem a capacidade de melhorar continuamente e evoluir. Os ambientes interno e externo da organização e os negócios mudam ao longo do tempo, assim como a natureza de seus clientes e as obrigações de compliance aplicáveis. A falha em prevenir ou detectar um não compliance pontual não significa necessariamente que o sistema de gestão de compliance não seja geralmente eficaz na prevenção e detecção de um não compliance.

As informações sobre análise de uma não conformidade ou um não compliance podem ser usadas para considerar: a avaliação do desempenho dos produtos e serviços; a melhoria ou a reprojeção dos produtos e serviços; as mudanças nas práticas e procedimentos organizacionais; o retreinamento das pessoas; a reavaliação da necessidade de informar as partes interessadas; o provimento de aviso prévio sobre um potencial não compliance; a reprojeção ou a análise crítica dos controles; o reforço das etapas de notificação e de escalonamento (interno e externo); a comunicação de fatos relacionados ao não compliance e a posição de organização em relação ao não compliance.

Incorporando a gestão do compliance aos requisitos antissubornos

O suborno é um fenômeno generalizado. Ele causa sérias preocupações sociais, morais, econômicas e políticas, debilita a boa governança, dificulta o desenvolvimento e distorce a competição. Corrói a justiça, mina os direitos humanos e é um obstáculo para o alívio da pobreza.

O suborno também aumenta o custo de fazer negócios, introduz incertezas nas transações comerciais, eleva o custo dos bens e serviços, diminui a qualidade dos produtos e serviços, o que pode levar à perda de vidas e propriedades, destrói a confiança nas instituições e interfere na operação justa e eficiente dos mercados. Trata-se de uma oferta, promessa, doação, aceitação ou solicitação de uma vantagem indevida de qualquer valor (que pode ser financeiro ou não financeiro), direta ou indiretamente, e independente de localização (ões), em violação às leis aplicáveis, como um incentivo ou recompensa para uma pessoa que está agindo ou deixando de agir em relação ao desempenho das suas obrigações. A função do compliance antissuborno envolve a (s) pessoa (s) com responsabilidade e autoridade para a operação do sistema de gestão antissuborno. A due diligence é um processo para aprofundar a avaliação da natureza e extensão dos riscos de suborno e ajudar as organizações a tomar decisões em relação a transações, projetos, atividades, parceiros de negócio e pessoal específico.

Hoje, muitas organizações têm uma pessoa dedicada (por exemplo, compliance officer) responsável pela gestão do compliance no dia a dia e algumas têm um comitê de compliance interfuncional, para coordenar o compliance em toda a organização. A função de compliance trabalha em conjunto com a gestão.

Nem todas as organizações criarão uma função de compliance discreta, pois algumas atribuirão a essa função seria uma posição já existente ou irão terceirizar esta função. Ao terceirizar, convém que a organização considere não atribuir toda a função de compliance para terceiras partes.

Mesmo se ela terceirizar parte desta função, deve considerar manter a autoridade sobre ela e que supervisione estas funções. Ao alocar a responsabilidades pelo sistema de gestão de compliance, deve-se considerar a possibilidade de assegurar que a função de compliance demonstre a integridade e o comprometimento com o compliance; a comunicação eficaz e habilidades para influenciar; uma capacidade e posição para comandar a aceitação de conselhos e orientações; competência pertinente no projeto, na implementação e na manutenção do sistema de gestão do compliance; a assertividade, conhecimento do negócio e experiência para testar e desafiar; uma estratégia, e uma abordagem proativa para o compliance; o tempo suficiente disponível para cumprir as necessidades da função.

Dessa forma, a função de compliance deve ter autoridade, status e independência. Autoridade significa que a função de compliance é atribuída de grande poder pelo órgão diretivo e pela alta direção. Status significa que outras pessoas estão na posição de ouvir e respeitar essa opinião. Independência significa que a função de compliance não está, na medida do possível, envolvida pessoalmente nas atividades que estão expostas a riscos de compliance. Por isso, a função de compliance deve estar livre de conflitos de interesses para cumprir integralmente o seu papel.

A NBR ISO 37301 de 06/2021 – Sistemas de gestão de compliance – Requisitos com orientações para uso especifica os requisitos e fornece diretrizes para estabelecer, desenvolver, implementar, avaliar, manter, e melhorar um sistema de gestão de compliance eficaz dentro de uma organização. A NBR ISO 37001 de 03/2017 – Sistemas de gestão antissuborno – Requisitos com orientações para uso especifica requisitos e fornece orientações para o estabelecimento, implementação, manutenção, análise crítica e melhoria de um sistema de gestão antissuborno.

Os sistemas podem ser independentes ou podem ser integrados a um sistema de gestão global. Pode-se dizer que o compliance é um processo contínuo e o resultado de uma organização que cumpre suas obrigações. Torna-se sustentável ao ser incorporado na cultura da organização, e no comportamento e na atitude das pessoas que trabalham para ela.

Enquanto mantém sua independência, é preferível que a gestão de compliance seja integrada com os outros processos de gestão da organização e os seus requisitos e procedimentos operacionais. Um sistema de gestão de compliance eficaz em toda a organização permite que uma organização demonstre seu comprometimento em cumprir leis pertinentes, requisitos regulamentares, códigos setoriais da indústria e normas organizacionais, assim como normas de boa governança, melhores práticas geralmente aceitas, ética e expectativas da comunidade.

A informação documentada é aquela que se requer que seja controlada e mantida por uma organização e o meio no qual ela está contida. Ela pode ser integrada pelos dois sistemas. A informação documentada pode estar em qualquer formato e meio e pode ser proveniente de qualquer fonte, além de poder se referir ao sistema de gestão, incluindo processos relacionados; a informação criada para a organização operar (documentação); a evidência de resultados alcançados (registros). Para se entender melhor, a figura abaixo provê uma visão geral dos elementos comuns de um sistema de gestão de compliance.

Além disso, a organização deve analisar os riscos de compliance considerando as causas-raiz e as fontes do não compliance e as consequências destas, ao mesmo tempo em que deve incluir a probabilidade de que estas ramificações possam ocorrer. As consequências podem incluir, por exemplo, os danos ambientais e pessoais, as perdas econômicas, os danos à reputação, as mudanças administrativas e as responsabilidades civis e criminais envolvidas no suborno.

A identificação dos riscos de compliance inclui as fontes de risco de compliance e a definição das situações de risco de compliance. As empresas devem identificar as fontes de riscos de compliance, incluindo o suborno, dentro dos vários departamentos, funções e diferentes tipos de atividades organizacionais, de acordo com as responsabilidades do departamento, as responsabilidades profissionais e os diferentes tipos de atividades organizacionais. A organização deve identificar regularmente as fontes dos riscos de compliance e definir as correspondentes situações de riscos de compliance para cada fonte de risco de modo a desenvolver uma lista das fontes de risco e uma lista de situações de riscos.

Para se ter uma cultura de compliance, ética, e riscos de subornos, a empresa deve ter um conjunto de valores publicado de forma clara; possuir uma gestão ativa e que visivelmente implemente e respeite os valores; consistência no tratamento das não compliances, independentemente da posição; mentoriamento, coaching e liderança pelo exemplo; uma apropriada avaliação na pré-contratação de pessoas potenciais para as funções críticas, incluindo due diligence; um programa de indução ou orientação que enfatize o compliance e os valores da organização; treinamento contínuo do compliance, incluindo as atualizações para o treinamento de todas as pessoas e partes interessadas pertinentes; uma comunicação contínua sobre as questões de compliance e de subornos; os sistemas de avaliação de desempenho que considerem a avaliação do comportamento do compliance e antissuborno e considerem o pagamento por desempenho para alcançar os resultados e os indicadores-chave de desempenho; um reconhecimento visível das realizações na gestão e nos resultados de compliance; um ágil e proporcional processo disciplinar para os casos de violações dolosas ou negligentes, das obrigações de compliance; uma clara relação entre a estratégia da organização e os papéis individuais, enfatizando o compliance como essencial para alcançar os resultados organizacionais; uma comunicação apropriada e aberta sobre compliance, tanto internamente como externamente.

A evidência sobre uma cultura de compliance é indicada pelo grau no qual: os itens anteriores estão implementados; as partes interessadas (especialmente as pessoas) acreditam que os itens anteriores foram implementados; o pessoal entende a relevância das obrigações de compliance relativas as suas próprias atividades como também as de sua unidade de negócios; as ações corretivas para abordar não compliance são de propriedade e acionadas em todos os níveis apropriados da organização, conforme requerido; o papel da função de compliance e seus objetivos são valorizados; as pessoas estão capacitadas e encorajadas para levantarem preocupações de compliance aos níveis apropriados da direção, incluindo a alta direção e o órgão diretivo.

A empresa pode escolher implementar este sistema de gestão antissuborno como um sistema separado ou como uma parte integrada de um sistema global de compliance. A organização pode ainda escolher implementar o sistema de gestão antissuborno em paralelo ou como parte de outros sistemas de gestão, como os da qualidade, meio ambiente e segurança da informação. Nesse caso, a organização pode fazer referência às NBR ISO 9001, NBR ISO 14001 e NBR ISO/IEC 27001), bem como às NBR ISO 26000 e NBR ISO 31000.

Na gestão integrada dos dois sistemas de gestão, deve-se levar em conta, embora exista risco de suborno em relação a muitas transações, que uma organização deve implementar um nível mais abrangente de controle antissuborno sobre uma transação de alto risco do que sobre uma transação de baixo risco de suborno. Nesse contexto, é importante compreender que a identificação e a aceitação de um baixo risco de suborno não significam que a organização aceita o fato de o suborno ocorrer, ou seja, o risco de ocorrência do suborno.

Se uma propina pode ocorrer não é o mesmo que a ocorrência do suborno. A organização pode ter tolerância zero para a ocorrência de suborno, enquanto ainda envolver negócios e situações em que haja baixo risco de suborno, ou mais do que um baixo risco, desde que sejam aplicadas medidas de mitigação adequadas. Tendo avaliado os riscos de suborno pertinentes, a organização pode, então, determinar o tipo e o nível de controles a serem aplicados a cada categoria de risco e pode avaliar se os controles existentes são adequados.

Crise da Evergrande: uma construtora sem pilar

Murillo Torelli Pinto

O dia 20 de setembro de 2021 ficou marcado pela notícia de uma construtora chinesa que pode dar o calote nos pagamentos de US$ 83,5 bilhões em juros na próxima quinta-feira, 23, e outros US$ 47,5 bilhões que irão vencer no dia 29. A construtora é a Evergrande, empresa chinesa desconhecida de boa parte do mundo ocidental. Ela é a incorporadora imobiliária mais endividada do mundo, com débitos de US$ 300 bilhões.

Caso ocorra a sua falência, os efeitos gerarão riscos de falência para outros setores como os bancos, afetando investidores e compradores de imóveis. A Evergrande é uma empresa que cresceu muito e de forma desorganizada. Seu crescimento preocupa o governo chinês e todo mundo econômico, por conta dos riscos da falência.

A liquidez da empresa está piorando há meses, tanto que, nesta semana, a agência de classificação Fitch já considera o calote como provável. São passivos de US$ 300 bilhões, quase 800 projetos na China inacabados e cerca de 1,2 milhão de pessoas aguardando a entrega das unidades e fornecedores cobrando as dívidas.

Para entender um pouco mais o buraco que a companhia se meteu, é bom olhar a origem dela. A empresa foi fundada em 1996, mesmo período do boom imobiliário na China, devido à urbanização do país, em que as famílias gastavam 75% da renda em habitação e o estado apoiava o setor imobiliário para um crescimento econômico acelerado.

O fundador da Evergrande, o bilionário Xu Jiayin, soube aproveitar o momento e as oportunidades, expandindo a empresa e tomando mais empréstimos. A empresa além da incorporação imobiliária vendia garrafas de água mineral, controlava o melhor time de futebol do país, criava porcos e pretendia produzir veículos elétricos.

Contudo, nos últimos anos a corporação vem enfrentando várias ações judiciais de compradores de imóveis que ainda não receberam o que compraram. Esses atrasos nas entregas começaram pois os reguladores chineses começaram a restringir os hábitos imprudentes de empréstimos das incorporadoras imobiliárias.

Além disso, o mercado imobiliário da China está desacelerando e, mesmo com uma redução nos preços dos apartamentos, a Evergrande realizou 25% a menos de vendas do que no mesmo período no ano passado. Os reguladores chineses incentivaram o mercado imobiliário a crescer, depois com medo do tamanho da empresa, passaram restringir os hábitos imprudentes e agora, com o pilar da Evergrande caindo, vão precisar socorrer a empresa.

Muitos investidores emprestaram dinheiro para empresa com a expectativa que Pequim sempre interviria para resgatá-la se as coisas ficassem muito instáveis. A situação da Evergrande é um exemplo de como a regulação econômica é prejudicial e disfuncional e o estado chinês criou um monstro que pode e, provavelmente, vai atacar o próprio criador.

A crise da Evergrande vai afetar os mercados financeiros globais e tornar mais difícil para outras empresas chinesas continuarem a financiar seus negócios com investimento estrangeiro. Não só para as empresas chinesas, mas vamos ter escassez de crédito para toda a economia, à medida que as instituições financeiras se tornam mais avessas ao risco. Ontem, dia 20 de setembro foi feriado na China, e o mercado já está caindo com os pilares da Evergrande. Vamos aguardar para saber o que deve ficar em pé.

Murillo Torelli Pinto é professor de contabilidade financeira e tributária da Universidade Presbiteriana Mackenzie – imprensa_mackenzie@viveiros.com.br

BNDES: o calote ao financiamento à exportação de serviços

O Banco Nacional de Desenvolvimento Econômico e Social (BNDES) revelou as informações sobre operações de financiamento à exportação de serviços, tema que vem ganhando repercussão em publicações. Esta divulgação vem esclarecer fatos e está em linha com o conjunto de ações em curso adotadas pelo BNDES para se tomar cada vez mais transparente perante a sociedade brasileira.

Diante da complexidade dos dados, eles são aqui explicados na forma de um resumo didático das operações de financiamento à exportação de serviços por empresas brasileiras com dados de 1998 até junho de 2019, sendo que, em 2017, os desembolsos foram interrompidos. No período, foram liberados US$ 10,5 bilhões em desembolsos para empreendimentos em 15 países, sendo que US$ 10,3 bilhões retornaram em pagamentos do valor principal da dívida e dos juros.

Clique na figura para uma melhor visualização

Do total de pagamentos, 89% foram liberados para empreendimentos em seis países. São eles, em ordem decrescente de valores: Angola (US$ 3,273 bilhões), Argentina (US$ 2,006 bilhões), Venezuela (US$ 1,507 bilhão), República Dominicana (US$ 1,215 bilhão), Equador (US$ 685 milhões) e Cuba (US$ 656 milhões).

Entre as empresas que exportaram os serviços, 98% do valor total foi destinado a obras de cinco delas: Odebrecht (76% do total), Andrade Gutierrez (14%), Queiroz Galvão (4%), Camargo Corrêa (2%) e OAS (2%). Ao todo, 148 operações foram realizadas, com prazo médio de 11 anos e dois meses para pagamento dos financiamentos.

O maior prazo foi concedido pelo Conselho de Ministros da Câmara de Comércio Exterior (Camex) para o projeto do Porto de Mariel, em Cuba, que será pago em 25 anos. Esse caso também foi o único que incorreu em 100% do risco soberano de um país, por aceitar como mitigador de risco de crédito uma conta corrente em Cuba.

Embora o programa de financiamento à exportação de serviços de engenharia tenha sido criado em 1998, 88% do total de US$ 10,5 bilhões em desembolsos ocorreram no período compreendido entre 2007 e 2015. Em 2003, em decorrência da Resolução número 44 aprovada pelo Conselho de Ministros da Camex, Argentina, Equador, Venezuela e República Dominicana tiveram seu custo de financiamento diminuído. Isso ocorreu porque a norma mitigou riscos de crédito das operações na proporção de até 7 (pior nota) para 1 (melhor nota).

A partir de janeiro de 2018, surgiram inadimplementos nos pagamentos de Venezuela (US$ 374 milhões), Moçambique (US$ 118 milhões) e Cuba (US$ 62 milhões), em um valor total de US$ 554 milhões até 30 de junho de 2019. Em 2016, quando começaram as controvérsias envolvendo empresas brasileiras exportadoras de serviços de engenharia, o BNDES, em acordo com o Ministério Público Federal (MPF), passou a exigir das empresas a assinatura de um Termo de Compliance (Conformidade), com rígidas regras de governança, como condição para liberação de recursos.

Clique na figura para uma melhor visualização

Após essa medida, o BNDES reteve US$ 11 bilhões que estavam previstos para serem desembolsados, referentes a 47 operações ativas. Dessa forma, a exportação de serviços, quando bem aplicada, é reconhecida mundialmente como importante instrumento de um país para estímulo à geração de empregos, ao aumento da atividade industrial e à obtenção de saldos positivos em balança comercial.

No Brasil, esses financiamentos são determinados pela administração direta do governo federal, que estabelece as operações, os países de destino das exportações, as principais condições contratuais do financiamento (como valor, prazo, equalização da taxa de juros e seguros) e os mitigadores de risco soberano do país que sedia a obra de engenharia. As responsabilidades diretas do governo no processo incluem a obtenção de aprovações pela empresa brasileira exportadora de serviços junto ao Comitê de Financiamento e Garantia das Exportações (Cofig) e ao Conselho de Ministros da Camex, ambos compostos por representantes dos ministérios.

Já com essas aprovações, o processo chega ao BNDES em sua parte final, onde é enquadrado e analisado. Quando aprovado e com a contratação feita entre a empresa brasileira e o cliente no exterior, ocorrem os desembolsos e o acompanhamento da execução do projeto.

No momento, as operações de financiamento à exportação de serviços feitas pelo BNDES estão sob análise de diversas autoridades legais. O BNDES ativamente colabora com apurações no Tribunal de Contas da União (TCU), na Controladoria-Geral da União (CGU) e na Comissão Parlamentar de Inquérito (CPI) em curso na Câmara dos Deputados.

O BNDES ratifica seu firme propósito de cooperar com os órgãos competentes e abrir todas as informações questionadas pela sociedade brasileira. A divulgação de informações concretas como estas colabora com um debate mais produtivo do papel da instituição no país. 

A transparência é um princípio fundamental à gestão pública do país e um norte para o BNDES recuperar sua credibilidade. As lições aprendidas com o passado tornam o banco mais eficiente para os cidadãos brasileiros e colaboram para sua ação em favor de negócios que levem ao desenvolvimento.

Uma apresentação gráfica com os dados apresentados pode ser encontrada no link: https://www.bndes.gov.br/arquivos/exportacao/bndes-apresentacao-exportacoes-servicos-20190915.pdf

Mais detalhes de todas as operações de financiamento às exportações de serviços podem ser obtidas na planilha Operações de exportação pós-embarque – serviços de engenharia (1998 a 30.06.2019) no seguinte endereço: https://www.bndes.gov.br/wps/portal/site/home/transparencia/centraldedownloads

As técnicas para o processo de avaliação de riscos

A NBR IEC 31010 de 08/2021 – Gestão de riscos – Técnicas para o processo de avaliação de riscos, em sua nova edição, fornece orientações para a seleção e aplicação de técnicas para o processo de avaliação de riscos em uma ampla série de situações. As técnicas são usadas para auxiliar na tomada de decisões em que haja incerteza, fornecer informações sobre riscos específicos e como parte do processo para a gestão de riscos. Este documento fornece resumos de uma série de técnicas, com referências a outros documentos em que as técnicas são descritas com mais detalhes.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais são os critérios para decidir se um risco pode ser aceito?

Por que gerenciar as informações e desenvolver modelos?

Como deve ser o desenvolvimento e a aplicação de modelos na avaliação de riscos?

Como aplicar as técnicas para o processo de avaliação de riscos?

Este documento fornece orientação para a seleção e aplicação de várias técnicas que podem ser usadas para ajudar a melhorar o modo como a incerteza é considerada e ajudar a entender o risco. As técnicas são usadas: onde uma maior compreensão é necessária sobre qual risco existe ou sobre um risco particular; em uma decisão em que uma série de opções, cada uma envolvendo risco, precisa ser comparada ou otimizada; no processo de gestão de riscos, levando a ações para tratar o risco.

As técnicas são usadas nas etapas do processo de avaliação de riscos de identificação, análise e avaliação de riscos, como descrito na NBR ISO 31000, e de forma geral quando há necessidade de entender a incerteza e os seus efeitos. As técnicas descritas neste documento podem ser usadas em uma ampla série de situações, embora a maioria seja originária do campo técnico.

Algumas técnicas são similares em conceito, mas possuem diferentes nomes e metodologias que refletem a história do seu desenvolvimento em diferentes setores. As técnicas evoluíram ao longo do tempo, e muitas podem ser usadas em uma grande série de situações fora de sua aplicação original.

As técnicas podem ser adaptadas, combinadas e aplicadas de novas maneiras, ou ampliadas para satisfazer as necessidades atuais ou futuras. Este documento é uma introdução às técnicas selecionadas e compara as suas possíveis aplicações, benefícios e limitações. Também fornece referências às fontes de informação mais detalhadas.

O público potencial para este documento é: qualquer pessoa envolvida no processo de avaliação ou na gestão de riscos; as pessoas que estão envolvidas no desenvolvimento de orientação que determine como os riscos serão avaliados em contextos específicos; as pessoas que precisam tomar decisões onde há incerteza, incluindo: aquelas que encomendam ou avaliam os processos de avaliação de riscos, aquelas que necessitam compreender os resultados dos processos de avaliação, e aquelas que precisam escolher técnicas de avaliação que satisfaçam uma necessidade particular.

As organizações que precisam conduzir processos de avaliação de riscos para propósitos de compliance ou conformidade podem se beneficiar do uso de técnicas formais, padronizadas e apropriadas para o processo de avaliação de riscos. A incerteza é um termo que abrange vários conceitos subjacentes. Muitas tentativas foram feitas, e continuam sendo desenvolvidas, para categorizar os tipos de incertezas, incluindo: a incerteza que reconhece a variabilidade intrínseca de alguns fenômenos e que não é possível que seja reduzida por pesquisas adicionais, por exemplo, jogar dados (às vezes se refere a incertezas aleatórias); a incerteza que geralmente resulta da falta de conhecimento e que, portanto, pode ser reduzida ao se reunirem mais dados, refinar modelos, aprimorar técnicas de amostragem etc. (às vezes referida como incerteza epistêmica).

Outras comumente reconhecidas formas de incerteza incluem: a incerteza linguística, que reconhece a imprecisão e a ambiguidade inerente à linguagem falada; incerteza da decisão, que tem relevância particular nas estratégias de gestão de riscos e que identifica a incerteza associada aos sistemas de valores, julgamento profissional, valores das companhias e normas sociais.

Exemplos de incerteza incluem: as incerteza quanto à verdade das premissas, incluindo presunções sobre como as pessoas ou sistemas podem se comportar; a variabilidade nos parâmetros nos quais a decisão está baseada; a incerteza na validade ou precisão dos modelos que foram estabelecidos para fazer previsões sobre o futuro; os eventos (incluindo mudanças em circunstâncias ou condições) cuja ocorrência, caráter ou consequência sejam incertos; a incerteza associada a eventos disruptivos; os resultados incertos de questões sistêmicas, como escassez de pessoal competente, que podem ter uma ampla gama de impactos, que não é possível determinar claramente; a falta de conhecimento que surge quando a incerteza é reconhecida, mas não totalmente compreendida; a imprevisibilidade; a incerteza resultante das limitações da mente humana, por exemplo, em compreender dados complexos, prever situações com consequências de longo prazo ou fazer julgamentos sem preconceitos.

Não é possível compreender toda incerteza e a significância da incerteza pode ser difícil ou impossível de determinar ou influenciar. Contudo, o reconhecimento de que a incerteza existe em um contexto específico, permite que sistemas de alerta precoce sejam implementados para detectar mudanças de maneira proativa e oportuna, e para tomar as providências para criar uma resiliência para lidar com as circunstâncias inesperadas.

Os riscos incluem os efeitos de qualquer uma das formas de incerteza nos objetivos. A incerteza pode levar a consequências positivas ou negativas, ou a ambas. O risco é frequentemente descrito em termos de fontes de risco, eventos potenciais, suas consequências e suas probabilidades. Um evento pode ter múltiplas causas e levar a múltiplas consequências.

As consequências podem ter um número de valores discretos, ser variáveis contínuas ou ser desconhecidas. As consequências podem não ser discerníveis ou mensuráveis no início, mas podem se acumular ao longo do tempo. As fontes de risco podem incluir a variabilidade inerente ou incertezas, relacionadas a uma série de fatores, incluindo comportamento humano e estruturas organizacionais ou influências sociais, para as quais pode ser difícil prever qualquer evento específico que possa ocorrer.

Nem sempre é possível tabular o risco facilmente como um conjunto de eventos, suas consequências e suas probabilidades. As técnicas para o processo de avaliação de riscos visam ajudar as pessoas a entender a incerteza e o risco associado neste contexto amplo, complexo e diversificado, com o propósito de apoiar decisões e ações mais bem informadas.

As técnicas descritas neste documento fornecem um meio para melhorar a compreensão da incerteza e suas implicações para decisões e ações. A NBR ISO 31000 descreve os princípios para a gestão de riscos e os fundamentos e arranjos organizacionais que permitem que os riscos sejam gerenciados. Ela especifica um processo que permite que o risco seja reconhecido, compreendido e modificado conforme necessário, de acordo com critérios estabelecidos como parte do processo.

As técnicas do processo de avaliação de riscos podem ser aplicadas nessa abordagem estruturada, que envolve o estabelecimento do contexto, o processo de avaliação de riscos e o tratamento de riscos, juntamente com monitoramento, a análise crítica, a comunicação e consulta, registro e relato contínuos. Este processo é ilustrado na figura abaixo, que também mostra exemplos de onde as técnicas podem ser aplicadas no processo.

No processo da NBR ISO 31000, o processo de avaliação de riscos envolve a identificação dos riscos, sua análise e o uso do entendimento obtido com a análise para avaliar riscos, tirando conclusões sobre a sua significância comparativa em relação aos objetivos e limites de desempenho da organização. Este processo fornece entradas para as decisões sobre se um tratamento é requerido, as prioridades de tratamento e as ações destinadas a tratar os riscos.

Na prática, uma abordagem iterativa é aplicada. As técnicas do processo de avaliação de riscos descritas neste documento são usadas onde é necessário um entendimento maior sobre quais riscos existem ou sobre um risco específico; dentro de um processo de gestão de riscos, levando a ações para tratar os riscos; dentro de uma decisão em que uma gama de opções, cada uma envolvendo riscos, precise ser comparada ou otimizada.

Em particular, as técnicas podem ser usadas para: fornecer informações estruturadas para apoiar decisões e ações em que haja incerteza; esclarecer as implicações das premissas sobre o atingimento dos objetivos; comparar múltiplas opções, sistemas, tecnologias ou abordagens etc. em que haja incertezas multifacetadas em torno de cada opção; auxiliar na determinação de objetivos estratégicos e operacionais realistas; ajudar a determinar os critérios de risco de uma organização, como limites de risco, apetite pelo risco ou capacidade de suportar riscos; levar em conta o risco ao especificar ou analisar criticamente as prioridades; reconhecer e entender os riscos, incluindo os riscos que podem ter resultados extremos; entender quais incertezas são mais importantes para os objetivos de uma organização e fornecer uma justificativa para o que convém que seja feito sobre elas; reconhecer e explorar as oportunidades com mais sucesso; articular os fatores que contribuem para o risco e por que eles são importantes; identificar as ações de tratamento de riscos eficazes e eficientes; determinar o efeito modificador dos tratamentos de risco propostos, incluindo qualquer alteração na natureza ou magnitude do risco; comunicar sobre riscos e suas implicações; aprender com fracassos e sucessos, a fim de melhorar a maneira como os riscos são gerenciados; e demonstrar que os requisitos regulatórios e outros requisitos foram atendidos.

A maneira pela qual o risco é avaliado depende da complexidade e novidade da situação e do nível de conhecimento e entendimento pertinentes. No caso mais simples, quando não há nada de novo ou de incomum em uma situação, o risco é bem entendido, sem grandes implicações para as partes interessadas ou com consequências não significativas, então as ações serão provavelmente decididas de acordo com regras e procedimentos estabelecidos e com avaliações anteriores de risco.

Para questões muito novas, complexas ou desafiadoras, nas quais haja alta incerteza e pouca experiência, há pouca informação sobre em qual basear a avaliação, e as técnicas convencionais de análise podem não ser úteis ou significativas. Isto também se aplica às circunstâncias em que as partes interessadas mantêm opiniões fortemente divergentes.

Nesses casos, várias técnicas podem ser usadas para obter uma compreensão parcial do risco, com julgamentos feitos no contexto de valores organizacionais e sociais e opiniões das partes interessadas. As técnicas descritas neste documento têm grande aplicação em situações entre esses dois extremos em que a complexidade é moderada e há alguma informação disponível na qual basear-se a avaliação.

O propósito do processo de avaliação deve ser estabelecido, incluindo a identificação das decisões ou ações às quais está relacionado, os tomadores de decisão, as partes interessadas e o tempo e natureza do resultado requerido (por exemplo, se é requerida informação qualitativa, semiquantitativa ou quantitativa). O escopo, a profundidade e o nível de detalhe do processo de avaliação devem ser definidos, com uma descrição do que está incluído ou excluído.

Os tipos de consequência a serem incluídos no processo de avaliação devem ser definidos. Convém que quaisquer condições, premissas, restrições ou recursos necessários pertinentes para a atividade do processo de avaliação sejam especificados. Ao realizar um processo de avaliação de riscos, convém que aqueles envolvidos estejam cientes de circunstâncias mais amplas em que serão tomadas as decisões e ações com base no seu processo de avaliação.

Isso inclui compreender as questões internas e externas que contribuem para o contexto da organização, bem como os aspectos sociais e ambientais mais amplos. Convém que qualquer declaração de contexto pertinente seja analisada criticamente e verificada, para ver se é corrente e apropriada. Compreender o contexto geral é particularmente importante quando há complexidade significativa.

Convém que as partes interessadas e aquelas passíveis de estarem aptas a contribuir com conhecimento útil ou visões pertinentes sejam identificadas e suas perspectivas consideradas, estejam elas incluídas ou não como participantes no processo de avaliação. O envolvimento apropriado das partes interessadas ajuda a garantir que a informação na qual o processo de avaliação de riscos é baseado seja válida e aplicável, e que as partes interessadas compreendam as razões por trás das decisões.

O envolvimento das partes interessadas pode: fornecer a informação que permita compreender o contexto do processo de avaliação; juntar diferentes áreas do conhecimento e expertise para identificação e compreensão mais efetivas do risco; fornecer expertise pertinente para o uso das técnicas; permitir que os interesses das partes interessadas sejam compreendidos e considerados; fornecer entradas ao processo de determinação de se um risco é aceitável, em particular quando as partes interessadas são impactadas; cumprir qualquer requisito para que pessoas sejam informadas e consultadas; obter apoio para saídas e decisões oriundas do processo de avaliação de riscos; identificar lacunas no conhecimento que precisem ser tratadas antes do e/ou durante o processo de avaliação de riscos.

Convém que seja decidido como as saídas e resultados do processo de avaliação de riscos podem ser comunicados às partes interessadas pertinentes de forma confiável, precisa e transparente. As técnicas para estimular a visão de partes interessadas e especialistas são descritas na Seção B.1. Convém que os objetivos do sistema ou processo específico para o qual haverá um processo de avaliação de risco sejam definidos e, quando possível, documentados.

Isso irá facilitar a identificação do risco e a compreensão de suas implicações. Convém que, na medida do possível, os objetivos sejam: específicos ao assunto do processo de avaliação; mensuráveis tanto qualitativamente quanto quantitativamente; alcançáveis dentro das restrições impostas pelo contexto; pertinentes para os objetivos maiores ou contexto da organização; alcançáveis dentro do prazo estipulado. Os fatores humanos, organizacionais e sociais devem ser explicitamente considerados e levados em conta conforme apropriado.

Os aspectos humanos são pertinentes no processo de avaliação de riscos nas seguintes maneiras: por meio de influências na maneira em que as técnicas são selecionadas e aplicadas; como uma fonte de incerteza; como a informação é interpretada e usada (por exemplo, por causa das diferentes percepções de risco). O desempenho humano (seja acima ou abaixo do esperado) é uma fonte de risco que pode também afetar a efetividade dos controles.

Convém que o potencial de desvio dos comportamentos esperados ou presumidos seja especificamente considerado, quando do processo de avaliação de risco. As considerações do desempenho humano são frequentemente complexas e opiniões de especialistas podem ser requisitadas para identificar e analisar os aspectos humanos do risco.

Os fatores humanos também influenciam a seleção e o uso de técnicas, em particular quando julgamentos precisam ser feitos ou abordagens de equipe são usadas. A facilitação qualificada é necessária para minimizar estas influências. Convém que tendências, como pensamentos de grupo e excesso de confiança (por exemplo, em estimativas ou percepções), sejam tratadas. Convém que a opinião de especialistas seja informada por evidências e dados sempre que possível e que esforços sejam feitos para evitar ou minimizar preconceitos cognitivos.

Os objetivos e os valores das pessoas podem variar e ser diferentes daqueles da organização. Isto pode resultar em diferentes percepções acerca do nível de risco e diferentes critérios a partir dos quais os indivíduos tomam decisões. Convém que a organização se esforce para atingir uma compreensão comum do risco internamente e leve em conta as diferentes percepções das partes interessadas.

Os aspectos sociais, incluindo posição socioeconômica, etnia e cultura de raça, gênero, relações sociais e contexto residencial e da comunidade, podem afetar o risco tanto direta quanto indiretamente. Os impactos podem ser de longo termo e não visíveis imediatamente, e podem requerer uma perspectiva de planejamento de longo termo.

Convém que os critérios, incluindo os critérios de risco, que precisam ser levados em conta quando da tomada de decisões, sejam analisados criticamente antes de se iniciar qualquer processo de avaliação. Os critérios podem ser qualitativos, semiquantitativos ou quantitativos. Em alguns casos, pode não haver critérios explícitos especificados, e as partes interessadas podem utilizar seu julgamento para responder aos resultados da análise.

NFPA 1600: a continuidade, a emergência e o gerenciamento de crises

Essa norma internacional, editada em 2019 pela National Fire Protection Association (NFPA), estabelece um conjunto comum de critérios para todos os programas de gerenciamento de desastres/emergência e continuidade de negócios. O gerenciamento de emergências e continuidade de negócios compreende muitas entidades diferentes, incluindo o governo em diferentes níveis, como, por exemplo, federal, estadual, municipal, negócios comerciais e indústria, organizações sem fins lucrativos e não governamentais e cidadãos individuais.

A NFPA 1600 – Standard on Continuity, Emergency, and Crisis Management é dedicada a ajudar os usuários a se prepararem para qualquer tipo de crise ou desastre – resultante de eventos naturais, humanos ou tecnológicos. Amplamente utilizado por entidades públicas, sem fins lucrativos, não governamentais e privados em uma base local, regional, nacional, internacional e global, a norma continua a evoluir como um padrão vital para o desenvolvimento, implementação, avaliação e manutenção de desastres/programas de gestão de emergências e continuidade de operações.

O gerenciamento de emergências e continuidade de negócios compreende muitas entidades diferentes, incluindo o governo em diferentes níveis, como, por exemplo, federal, estadual, municipal, negócios comerciais e indústria, organizações sem fins lucrativos e não governamentais e cidadãos individuais. Cada uma dessas entidades tem seu próprio foco, missão e responsabilidades exclusivas, recursos e capacidades variados e princípios e procedimentos operacionais.

Conteúdo da norma

Capítulo 1 Administração

1.1 Escopo

1.2 Objetivo

1.3 Aplicação.

Capítulo 2 Publicações referenciadas

2.1 Geral

2.2 Publicações da NFP

2.3 Outras publicações

2.4 Referências para extratos em seções obrigatórias

Capítulo 3 Definições

3.1 Geral

3.2 Definições oficiais da NFPA

3.3 Definições gerais

Capítulo 4 Gestão do programa

4.1 Liderança e compromisso

4.2 Coordenador do programa

4.3 Objetivos de desempenho

4.4 Comitê do programa

4.5 Administração do programa

4.6 Leis e autoridades

4.7 Finanças e administração

4.8 Gerenciamento de registros

Capítulo 5 Planejamento

5.1 Processo de planejamento e projeto

5.2 Avaliação de risco

5.3 Análise de impacto nos negócios (Business Impact Analysis – BIA)

5.4 Avaliação das necessidades de recursos

Capítulo 6 Implementação

6.1 Requisitos comuns do plano

6.2 Prevenção

6.3 Mitigação

6.4 Gestão de crises

6.5 Comunicação de crise e informação pública

6.6 Aviso, notificações e comunicações

6.7 Procedimentos operacionais

6.8 Gestão de incidente

6.9 Operações de emergência/plano de resposta

6.10 Continuidade e recuperação

6.11 Assistência e suporte a funcionários

Capítulo 7 Execução

7.1 Reconhecimento de incidentes

7.2 Relatórios/notificações iniciais

7.3 Plano de ativação e plano de ação para incidentes

7.4 Ative o sistema de gestão de incidentes

7.5 Gestão e comunicação de incidentes em andamento

7.6 Documentação das informações, decisões e ações sobre incidentes

7.7 Estabilização de incidentes

7.8 Desmobilização de recursos e rescisão

Capítulo 8 Treinamento e educação

8.1 Currículo

8.2 Objetivo do currículo

8.3 Escopo e frequência da instrução

8.4 Treinamento do sistema de gestão de incidentes

8.5 Manutenção de registros

8.6 Requisitos regulamentares e do programa

8.7 Educação pública

Capítulo 9 Exercícios e ensaios

9.1 Avaliação do programa

9.2 Metodologia de exercício e ensaios

9.3 Projeto de exercícios e ensaios

9.4 Avaliação de exercícios e ensaios

9.5 Frequência

Capítulo 10 Manutenção e melhoria do programa

10.1 Revisões do programa

10.2 Ação corretiva

10.3 Melhoria contínua

Anexo A Material explicativo
Anexo B Autoavaliação de conformidade com a NFPA 1600, Edição de 2019

Anexo C Guia de preparação para pequenas empresas

Anexo D Comparações entre a NFPA 1600 e as práticas profissionais da DRII, CSA Z1600 e Diretiva Federal de Continuidade 1 e 2

Anexo E NFPA 1600, Edição de 2019, como MSS

Modelos de maturidade do Anexo F

Anexo G APELL

Anexo H Preparação pessoal e/ou familiar

Anexo I Acesso e necessidades funcionais

Anexo J Mídias sociais na gestão de emergências

Anexo K Comunicações de emergência: alertas e avisos públicos em resposta a desastres

Anexo L Gestão de emergências, interoperabilidade dos dados de continuidade e gestão de crises

Anexo M Referências informativas

Essa norma foi adotada pelo Departamento de Segurança Interna dos EUA como padrão de consenso voluntário para preparação para emergências, e a Comissão Nacional de Ataques Terroristas aos Estados Unidos (Comissão do 11 de setembro) reconheceu a NFPA 1600 como uma norma nacional de preparação. As edições de 2013, 2007 e 2010 da NFPA 1600 foram designadas pelo Department of Homeland Security (DHS) para serem usadas por terceiros credenciados, para avaliar e certificar a conformidade de entidades sob seu Programa de Preparação para o Setor Privado (PS Prep).

As revisões significativas na edição de 2019 refletem as necessidades de todos os tipos de empresas e organizações atualmente. A norma foi reorganizada para melhor alinhamento com o modelo PDCA (Planejar-Verificar-Agir) ou Ciclo de Deming. Foram incluídos novos requisitos para estabelecer e manter recursos de gestão de crises incluindo detalhes críticos sobre responsabilidades e processos atribuídos.

O novo Anexo L, sobre interoperabilidade de dados para gestão de emergências, continuidade e gestão de crises, fornece critérios para avaliar as necessidades e capacidades de sua organização, para ajudá-lo a desenvolver planos para preencher quaisquer lacunas. Várias comparações e anexos atualizados refletem as alterações no corpo principal da norma para facilitar a navegação e a aplicação.

Os cinco pontos de atenção em compliance para 2018

Cursos pela internet

Conheça um programa especial de cursos pela internet, com as últimas tendências do mercado. Fique atento aos cursos que estão disponíveis. Acesse o link https://www.target.com.br/produtos/cursos-tecnicos/disponiveis-pela-internet

Jefferson Kiyohara

No contexto de prevenção e combate da corrupção, do assédio e de outras ações antiéticas no ambiente corporativo, destaco os cinco principais pontos de atenção em compliance para as empresas neste ano. A lista contém temas macros, que vão impactar os programas de compliance nas organizações em 2018. O objetivo é alertar executivos e, principalmente, líderes responsáveis por Programas de Compliance, sobre os danos reputacionais e financeiros que estes assuntos podem trazer às companhias se forem negligenciados.

São temas atuais que lidam com questões críticas dentro das empresas como a evolução do combate ao assédio (seja moral ou sexual); o escrutínio regulatório; a consolidação do uso de tecnologias no compliance, e os perigos que residem em eventos de grande movimentação econômica como a Copa do Mundo e a eleição

Abaixo, conheça os cinco pontos de atenção listados para este ano:

1 – Prevenção e combate ao assédio moral e sexual

Uma recente pesquisa da ICTS Outsourcing mostra que quase 30% das denúncias que são recebidas via canal são de práticas abusivas, como o assédio. Isso mostra que é fundamental ter um canal para receber os relatos, bem como um processo sério de apuração e aplicação das sanções cabíveis, além de dar o devido suporte às vítimas. Não basta ter um código de ética proibindo a prática de assédio moral e sexual. É preciso unir forças internamente, por exemplo com o RH, e realizar campanhas de comunicação e treinamento para os colaboradores, agindo de forma preventiva.

2 – Atenção com grandes eventos

Em 2018, vamos ter a Copa do Mundo e as eleições, eventos que ajudam a movimentar a economia e também trazem riscos de compliance para as empresas. Estabeleça regras claras e controles para ações de viagens patrocinadas e eventos, de modo que não ocorram casos que possam ser caracterizados como atos de corrupção ou contrapartidas indevidas. Vale lembrar que no Brasil está proibida a doação por empresas para campanhas políticas. Para evitar que isto não ocorra indevidamente, a empresa deve realizar processos de due diligence em parceiros e fornecedores, além de implantar controles internos para garantir a adequação dos pagamentos realizados.

3 – Regionalização das exigências

Em outubro de 2017, o estado do Rio de Janeiro, com a Lei 7.753, tornou obrigatório que empresas contratadas pelo estado ou suas fundações, a partir de um determinado montante, tenham um programa de compliance. Em fevereiro de 2018, o Distrito Federal, com a lei 6.112, trilhou um caminho similar. Em essência, empresas que participam de licitações públicas e tem a administração pública como cliente, devem estar atentas para estruturar programas de compliance, sob o risco de no futuro próximo não ter condições de atender os requisitos para participar.

4 – Alcance legal além das fronteiras e consolidação das leis anticorrupção na América Latina

Além do Brasil, muitos outros países da América Latina avançaram em termos de legislação anticorrupção em 2017, como o Peru, o México e a Argentina. Em 2018, o ano será de amadurecimento. Empresas brasileiras com operações, parceiros ou representações em países latino-americanos devem ficar atentos para adequar o seu programa de compliance para atender aos novos requisitos.

E a temática não se restringe à questão de corrupção. Em maio de 2018 a GDPR, regulamentação da União Europeia de proteção de dados pessoais e privacidade de cidadãos da comunidade europeia passa a vigorar, e sua aplicação não se restringe às empresas com atuação direta na Europa. Tal cenário demanda a atualização das ações de treinamento e de mapeamento de riscos de compliance.

5 – Ampliação do uso de tecnologias

A tecnologia traz benefícios para a gestão das organizações e não é diferente para os programas de compliance. Auxilia na otimização dos recursos existentes. Ela já se faz presente em muitas empresas no Brasil através de serviços de canal de denúncia e ferramentas de pesquisa reputacional. Em 2017, vimos o fortalecimento dos treinamentos e-learning e do uso de analytics nas auditorias, que devem continuar este ano. Neste ano, a formatação e gestão eletrônica de normativos de compliance e o uso de aplicativos em ações de comunicação e treinamento serão instrumentos que ganharão força no combate a ações antiéticas. Outro ponto a ser destacado é o uso de algoritmos e soluções automatizados nos controles internos.

Jefferson Kiyohara é líder da prática de riscos & compliance da Protiviti.

Ativismo de acionistas previne escândalos como a Lava Jato

Projeto de normas técnicas

Acesse o link https://www.target.com.br/produtos/normas-tecnicas-brasileiras-e-mercosul/projetos-de-normas para ter conhecimento dos Projetos de Norma Brasileiras e Mercosul disponíveis para Consulta Nacional.

Selecione o Comitê Técnico desejado e clique sobre o código ou título para consultar. Ou, se preferir, você pode realizar pesquisas selecionando o produto “Projetos de Normas” e informando a(s) palavra(s) desejada(s).

Jefferson Kiyohara

Há poucas semanas, um renomado fundo de pensão noticiou a introdução de padrões de governanças mais rígidos em seus critérios de investimento, incluindo a avaliação se a empresa possui ou não um programa de integridade efetivo. Tal fato ressalta a importância do papel do investidor e do acionista na contribuição direta para o fortalecimento da cultura de compliance no mundo corporativo brasileiro.

O ativismo pode ser positivo para as companhias, mas se adotado com visão de curto prazo, como fogo de palha, poderá ter efeito contrário e trazer riscos e desgastes à imagem da companhia. Tipicamente envolve questões distintas que vão da estratégia financeira, passando por aquisições, fusões e cisões, e também assuntos envoltos em responsabilidade social e ambiental. O ativismo do acionista pode ser um importante passo de fomentação ao compliance, por exemplo, ao incentivar que a organização implemente um Programa Efetivo de Compliance, e que posteriormente o mesmo seja reconhecido – o selo Empresa Pró-Ética e a certificação ISO 37001 são bons exemplos de opções.

Pois bem, pensando no ativismo sob o prisma de promover o compliance, vejo como uma iniciativa positiva trazendo ganhos para o investidor e para a companhia. No caso da empresa, ao adotar um programa de compliance efetivo, a organização mitiga riscos reputacionais e financeiros, reduz a probabilidade de ocorrência de fraudes e crimes monetários como a corrupção. Todas essas medidas ajudam a organização a preservar a sua saúde financeira, seus relacionamentos e seus negócios com os stakeholders, além de atrair e reter talentos sustentados por uma cultura organizacional sólida e ética.

Já para o investidor é um reforço à transparência e perenidade do negócio, e à concretização dos ganhos futuros, trazendo tranquilidade de não ser surpreendido por mídias negativas, sanções ou multas, que podem gerar consequências como perdas financeiras relevantes e danos reputacionais traduzidos pela queda no valor das ações, por exemplo.

Há investidores que buscam o risco e exigem um prêmio por isto. Mas não os riscos associados à possibilidade de crimes financeiros como a corrupção, o suborno e lavagem de dinheiro. Um investidor pode sim ser surpreendido por perdas substanciais em organizações que tinham um modelo de negócio promissor e sólido, assim como histórico de resultados financeiros positivos, porém sem a preocupação com a cultura ética e o compliance da sua marca. A existência de um programa de compliance efetivo atrairá investidores, independentemente do apetite ao risco de cada um deles.

E mesmo tendo um fator de atratividade sob os olhos do investidor, o Programa de Compliance maduro não é realidade na maioria das empresas brasileiras. Por isso, o ativismo de investidores e acionistas por compliance pode ajudar na mudança deste cenário, condicionando o seu investimento à adoção de medidas de compliance efetivas reais e duradouras. Além da proteção dos investimentos, trata-se de uma contribuição evolutiva para os negócios e, sobretudo, numa colaboração ativa para um País mais ético e justo.

Jefferson Kiyohara é líder da prática de riscos & compliance da Protiviti.

As regras do compliance para os presentes de final de ano

Normas comentadas

NBR 14039 – COMENTADA de 05/2005Instalações elétricas de média tensão de 1,0 kV a 36,2 kV – Versão comentada.

Nr. de Páginas: 87

NBR 5410 – COMENTADA de 09/2004Instalações elétricas de baixa tensão – Versão comentada.

Nr. de Páginas: 209

Antonio Carlos Hencsey

A troca de presentes e entretenimento pode fortalecer as relações comerciais, mas por outro lado o envio de regalos e divertimentos, como jantares e idas a shows ou peças teatrais, podem criar, ou aparentar, influências inadequadas no ambiente de trabalho. Todo cuidado é pouco ao receber mimos do parceiro ou fornecedor, uma prática muito comum que ocorre agora, principalmente, durante as festas de fim de ano. Tudo porque o recebimento de gratificações tem grades chances de ser visto como propinas, capazes de manchar a reputação e destoar as disposições do código de normas e condutas éticas da companhia.

É importante ressaltar que itens promocionais de baixo valor, tais como canetas, calendários, blocos de anotações ou outros brindes menores, que normalmente possuem a logomarca da empresa, não se encaixam na categoria de gratificação indevida. Aqui é falado de presentes de alto valor, que superam as cifras de 150 reais e que podem influenciar a objetividade do presenteado quando for tomar uma decisão comercial.

Alguns cuidados podem (e devem) ser tomados para que as empresas sigam suas regras de ética e compliance sem apresentar grosseria no momento do recebimento do presente em face ao período de festividades.

– Reforce com todos os colaboradores as políticas de oferta e recebimento de gratificações estabelecidas pela sua empresa. Delimite um preço para os presentes a serem recebidos. Por exemplo, itens acima de R$ 100 já são considerados fora do padrão de item promocional de baixo valor.

– Proponha conversas sobre o porquê da oferta de presentes. Faça reflexões com a equipe a fim de identificar qual a motivação de quem presenteia. Interesse comercial ou apenas um ato de agradecimento por mais um ano de parceria?

– Deixe claro que mesmo que o profissional acredite ser isento ou não influenciável pelo recebimento de alguma gratificação, somos seres humanos. Não existe neutralidade total nas relações interpessoais. Sempre algum viés ou vínculo é estabelecido com esta ação.

– Sabemos que a alta direção, em alguns casos, recebe presentes como forma de reforçar vínculos estratégicos para a organização, mas estes também devem seguir as políticas estabelecidas. Lembre-se: o exemplo vem de cima. Ao receberem os presentes é preciso, de forma explicita, que seja cumprido os procedimentos padrão, deixando clara a importância que esta prática tem para a empresa.

– Valorize os profissionais que agirem da forma certa. As pessoas podem sentir que estão perdendo algo ao negarem um presente ou entregarem o item para a área responsável. Demonstre ao colaborador a importância de cumprir as normas éticas da organização e fortaleça a conduta do funcionário para as outras pessoas da empresa.

Antonio Carlos Hencsey é líder de prática de ética & compliance da Protiviti.

Como as novas tecnologias apoiam o combate à corrupção nas empresas

Cassiano Machado

Atos de corrupção e outros desvios são cada vez mais difíceis de serem perpetuados sem deixar rastros digitais. Os avanços na tecnologia ampliaram a capacidade de as empresas prospectarem cada vez mais informações sobre a ocorrência de atos ilícitos em seu ambiente e interfaces, potencializando a descoberta destas irregularidades e a condução efetiva das investigações.

Nesta realidade, o Big Data e o Data Analytics contribuem de forma relevante nas estruturas de controle e investigações. Estas tecnologias processam e analisam dados capturados de diferentes origens, tornando-se uma rica fonte para o desenvolvimento de análises preditivas e correlações, além de trazerem ganhos para a eficácia dos esforços de apuração das irregularidades.

Assim como o mapeamento de dados na internet, por meio de buscas automáticas ou manuais de conteúdos disponíveis nas redes sociais, marketplaces, como o Mercado Livre, e órgãos públicos e privados de informação, permitem o entendimento de diversos aspectos, dentre eles, o perfil comportamental e o estilo de vida do investigado fora do ambiente corporativo. É possível analisar suas redes de relacionamentos, situação patrimonial, posição societária, histórico judicial e até sua presença em listas de restrições financeiras ou governamentais.

Logs de acesso físico, varredura de arquivos em rede, análise forense de discos rígidos e celulares, além da análise de imagens de circuito interno de TV são também outras fontes de dados digitais disponíveis que ajudam as organizações a detectarem o ato ilícito de seus colaboradores. Inclusive contando com a ação de denunciantes, de dentro ou fora do ambiente de trabalho, que podem encaminhar ao canal de denúncias da empresa evidências em formato digital, como gravações de áudio, vídeo e fotos.

Por falar em canal de denúncia, a ferramenta pode ser o primeiro passo das companhias no combate à corrupção. Com o apoio da internet, dos smartphones e das conexões globais de dados e telefonia o canal interliga o denunciante com a estrutura especializada de captação de denúncia, agilizando a etapa de investigação sem risco de exposição do denunciante. A Odebrecht, por exemplo, reforçou o seu compliance ao terceirizar o Linha de Ética, um canal dedicado a receber relatos e denúncias de comportamentos não éticos e violações às políticas internas, regras e legislações.

Todas estas tecnologias já estão disponíveis e outras estão em plena evolução. Quando empregadas com inteligência, expandem a capacidade de combate à corrupção e outras irregularidades nas empresas, promovendo inibição, maior segurança e facilidade para o registro de denúncias e para a detecção de sinais suspeitos e coleta de evidências. Tudo isso maximiza a capacidade de gestão e atuação preventiva e investigativa das organizações.

Cassiano Machado é sócio-diretor da ICTS Outsourcing.

Cursos pela internet

Conheça um programa especial de cursos pela internet, com as últimas tendências do mercado. Fique atento aos cursos que estão disponíveis. Acesse o link https://www.target.com.br/produtos/cursos-tecnicos/disponiveis-pela-internet