DC2 - Informação de distribuição restrita
O ato de agir de acordo com um conjunto de regras ou requerimentos.
(Fonte: Cambridge English Dictionary)
... Considera-se risco de conformidade a possibilidade de a instituição sofrer sanções legais e administrativas, perdas financeiras, danos de reputação e outros danos, decorrentes de descumprimento ou falhas na observância do arcabouço legal, da regulamentação infralegal, das recomendações dos órgãos reguladores e dos códigos de autoregulação aplicáveis.
(Fonte: Resolução no. 4.595/17 e Circular no. 3.865/17)
1
O que é compliance?
DC2 - Informação de distribuição restrita
Negócios estão sujeitos a riscos, cuja origem pode ser operacional, financeira, regulatória, estratégica, tecnológica, sistêmica, social e ambiental. Os riscos a que a organização está sujeita devem ser gerenciados para subsidiar a tomada de decisão pelos administradores.
Os agentes de governança têm responsabilidade em assegurar que toda a organização esteja em conformidade com os seus princípios e valores, refletidos em políticas, procedimentos e normas internas, e com as leis e os dispositivos regulatórios a que esteja submetida.
A efetividade desse processo constitui o sistema de conformidade (compliance) da organização.
(Fonte: Código das Melhores Práticas de Governança Corporativa, IBGC)
2
O que é compliance?
DC2 - Informação de distribuição restrita
Agenda
1. Implicações
2. Estrutura de compliance
3. Pesquisa da PwC – State of Compliance
4. As 3 linhas de defesa para a implementação efetiva de uma estrutura de compliance
5. Lições aprendidas e cases de implementação
3
DC2 - Informação de distribuição restrita
A conformidade continua a ser uma questão altamente crítica, já que os incidentes têm graves implicações
Alguns exemplos de falhas de conformidade – Implicações corporativas com impacto
financeiro e estratégico negativo (por exemplo,
multas, custos de investigação).
– Efeito prejudicial sobre a imagem e a cultura
corporativa (por exemplo, perda de profissionais
chave, motivação dos funcionários)
– Implicações pessoais para os executivos
afetados (por exemplo, responsabilidade pessoal,
multas, indenização por danos).
Efeitos em 3 dimensões
DC2 - Informação de distribuição restrita
A conformidade poderá gerar vantagens, além da mitigação de riscos
Implicações financeiras e de seguros.
Custo das disputas legais.
Litígios, multas financeiras e restrições regulatórias e de negócio.
Perda de negócios e reputação com clientes e parceiros.
Perda de profissionais chave.
Melhora na governança corporativa: transparência, tom da alta administração, respeito das regras, etc.
Identificação e reporte tempestivo de aspectos negativos no ambiente de conformidade.
Aumento da confiança externa: clientes, parceiros comerciais, etc.
Otimização do custo de conformidade: flexibilidade devido a implementação proativa de regulação, além de sinergias geradas com as estruturas existentes.
Vantagens do compliance
Implicações do não compliance
DC2 - Informação de distribuição restrita
Programa de compliance
Programa de Compliance
Tom da alta
administração
Avaliação de
risco
Supervisão e
responsabilidade
Políticas e procedimentos
Treinamento
Comunicação
Monitoramento,
análise e resposta
Reporte
Reforço e disciplina Gerenciamento de recursos e
desempenhoAuditoria
Estratégia de negócio
Desempenho
do negócio
Gestão do negócio
As organizações demandam um forte alinhamento da gestão de compliance com a estratégia de negócios, de forma a integrar eficientemente o compliance nos processos de negócios e avaliar a eficácia dos esforços de conformidade em relação aos objetivos estratégicos, com vase a seguinte visão:
• Estratégia de negócio – A abordagem e o conteúdo que a organização possui para alinhar o risco e a conformidade com a sua estratégia de negócios e gerenciar os riscos associados.
• Gestão de negócio – Como o gerenciamento de riscos e conformidade é de responsabilidade do negócio e integrado nos processos e cultura de negócios.
• Desempenho do negócio – Medição do desempenho operacional essencial para determinar a eficácia dos processos de risco e conformidade e identificação de potenciais pontos cegos na supervisão e gestão.
DC2 - Informação de distribuição restrita
Pesquisa da PwC: State of Compliance Study 2016
• 6a. edição da pesquisa.
• Mais de 800 participantes.
• Executivos sêniores com responsabilidade por compliance representando mais de 20 segmentos.
• Estudo destinado a:
• Explorar como as organizações estão desenvolvendo suas funções de compliance.
• Compreender melhor como as funções de compliance gerem as crescentes demandas de inúmeras partes interessadas.
• Entender o posicionamento de compliance no futuro.
DC2 - Informação de distribuição restrita
98% dos entrevistados dizem que a liderança sênior está comprometida com a conformidade e a ética, mas a maioria está menos visivelmente envolvida na liderança dos programas de suas empresas.
2%
30%
25%
20%
21%
0% 5% 10% 15% 20% 25% 30% 35%
Não demonstra um compromisso visível com a conformidade e aética
Está comprometida com a conformidade e a ética, mas delega amaioria das atividades de supervisão
Apoia proativamente o compromisso da organização com aconformidade e a ética e fornece uma supervisão do programa
Fornece supervisão significativa e consistente do programa deconformidade e ética e comunica o compromisso da organização
com a conformidade e a ética aos funcionários regularmente
Fornece supervisão significativa e consistente do programa deconformidade e ética e comunica o compromisso da organização
com a conformidade e ética aos funcionários e partes interessadasexternas regularmente
Como você descreveria o apoio da liderança sênior ao programa de conformidade & ética em sua organização?
DC2 - Informação de distribuição restrita
Mais que a metade dos entrevistados relatam que a liderança sênior se comunica formalmente em torno de questões relacionadas à conformidade e à ética.
A liderança sênior se comunica formalmente com os funcionários em relação à importância de uma cultura de conformidade & ética e / ou outros tópicos relacionados à ética e à conformidade? (% dizendo sim)
DC2 - Informação de distribuição restrita
Cerca de metade dos entrevistados afirmam que suas organizações avaliam o tom da organização, com pesquisas de funcionários sendo o método mais popular.
Você avalia o tom da organização?
48% sim
37% não
15%
não
sabem
Como você avalia o tom da organização?
2%
2%
22%
24%
63%
Outros
Auditoria Interna
Realizamos benchmarking externo para avaliar o tomda organização
Avaliação do desempenho da liderança senior
Conduzimos pesquisas com os empregados paraavaliar a percepção do tom da organização
DC2 - Informação de distribuição restrita
Na avaliação de risco pode estar faltando insumos chave "de baixo para cima“.
Qual dos seguintes itens inclui o processo de avaliação de risco específico de gestão de riscos ou de conformidade & ética?
3%
10%
21%
25%
26%
28%
29%
55%
59%
64%
70%
70%
76%
Outros
Focus groups de empregados
Pesquisas com os empregados
Auditorias de riscos
Pesquisas com a administração executiva
Resultados da avaliação cultural
Métricas de violação de política
Input da administração executiva e conselho
Entrevistas com a administração executiva
Resultados de exames regulamentares recentes
Tendências de reforço da governança
Aprendizados de falhas / problemas de conformidade recentes nosetor
Aprendizados de falhas / problemas de conformidade anterioresna organização
DC2 - Informação de distribuição restrita
Os departamentos de conformidade & ética e jurídico aparecem como "proprietários" da maioria dos riscos relacionados à conformidade e à ética.
• Cada risco foi atribuído ao departamento selecionado com mais frequência como o "proprietário".
• Os valores entre parênteses mostram a porcentagem de participantes que selecionaram esse departamento como "proprietário“.
• O tamanho do círculo depende do número de riscos "possuídos" (mais frequentemente citados como líder) pelo departamento ou função.
Propriedade
intelectual (69%)Insider
trading
(43%)
Competição justa
ou antitruste
(59%)
Contratação do
governo
(29%)
Controles de importação-
exportação ou conformidade
comercial (19%)
Suborno e
corrupção
(47%)
Fraude
(33%)
Lavagem de
dinheiro (38%)
Conflito de
interesses
(51%)
Segurança
de dados
(79%)
Privacidade e
confidencialidade
(38%)
Contratação
ética (40%)
Conformidade
do fornecedor
(42%)
Emprego e
conformida-
de laboral
(71%)
Legal
Compliance & Ética
ComprasRecuros Humanos
TI Comunicação corporativa
Mídia
social
(41%)
DC2 - Informação de distribuição restrita
Jurídico e conformidade & ética são os principais responsáveis pela coleta de inteligência regulatória, com as principais fontes de dados sendo os advogados externos e organizações profissionais.
Quem é responsável por reunir inteligência regulatória em sua organização?
4%
15%
28%
37%
37%
65%
74%
Outros
Terceiros
Gestão de riscos
Proprietários dos riscos
Assuntos regulatórios
Compliance & ética
Legal
Organizações
profissionais
Provedores de
serviços
Ferramentas
automáticas
Outros
DC2 - Informação de distribuição restrita
Quase 90% dos entrevistados selecionaram o monitoramento de conformidade como uma área principal de responsabilidade para os responsáveis pela conformidade da unidade de negócios / área de negócios.
Quais são os papéis e responsabilidades da sua unidade de negócios ou dos responsáveis pela conformidade da área de negócios?
60%
62%
69%
79%
82%
89%
Relatório para controlar a função deconformidade
Gestão de riscos
Desenvolvimento de políticas
Treinamento
Assessoria e aconselhamento para agestão e funcionários da unidade de
negócios
Monitoramento de compliance
4%
25%
50%
50%
58%
Outros
Tomada de decisão disciplinar
Reporte para a administração localou/e comitê de compliance
Auditoria de conformidade
Investigação
(DC2) Uso Restrito na PwC - Confidencial
Regulamentações recentes do Banco Central do Brasil
Resolução nº 4.539/2016 - Dispõe sobre princípios e política institucional de relacionamento com clientes e usuários de produtos e de serviços financeiros.
Resolução no. 4.567/2017 – Dispõe sobre o canal para comunicação de indícios de ilicitude relacionados às atividades da instituição.
Resolução 4.557/2017 – Dispõe sobre a estrutura de gerenciamento de riscos e a estrutura de gerenciamento de capital.
Circular no. 3.865/2017 – Dispõe sobre a política de conformidade.
Circular no. 3.856/2017 – Dispõe sobre as atividades de auditoria interna.
Modelo de 3 linhas de defesa
Órgão de Governança/Conselho/Comitê de Auditoria
Alta administração
1º Linha de Defesa 2º Linha de Defesa 3º Linha de Defesa
Funções de negócio Auditoria Interna
Controle Financeiro
Segurança
Gerenciamento de Riscos
Qualidade
Compliance
Fonte: The Institute of Internal Auditors e COSO 2013
(DC2) Uso Restrito na PwC - Confidencial
Auditoria Interna
Resolução publicada em 10 de novembro de 2017 que “Dispõe sobre a atividade de auditoria interna nas administradoras de consórcio e nas
instituições de pagamento.”
(DC2) Uso Restrito na PwC - Confidencial
Auditoria Interna – Principais aspectos da regulamentação
Aspectos da Circular
Art. 5º A nomeação, a designação, a exoneração ou a dispensa do chefe da atividade de auditoria interna deve ser aprovada pelo conselho de administração e comunicada ao Banco Central do Brasil.
Art. 10. O escopo da atividade de auditoria interna deve considerar todas as funções da instituição, incluindo as terceirizadas.
Art. 11. No desempenho da atividade de auditoria interna, devem ser avaliados, pelo menos:
I - a efetividade e a eficiência dos sistemas e processos de controles internos e de governança corporativa;
II – efetividade das políticas e das estratégias para gerenciamento de riscos
III - a confiabilidade, a efetividade e a integridade dos processos e sistemas de informações gerenciais;
VI - a observância ao arcabouço legal, à regulamentação infralegal, às recomendações dos organismos reguladores e aos códigos de conduta internos aplicáveis aos membros do quadro funcional da instituição;
V - a salvaguarda dos ativos e as atividades relacionadas à função financeira da instituição;
VI – as atividades, os sistemas e os processos recomendados ou determinados pelo Banco Central do Brasil, no exercício de suas atribuições de supervisão.
Lições aprendidas
27
Treinamento não é uma atividade “check in the box”: em um caso de não compliance, foi verificado que o profissional acusado recebeu extensivos treinamentos relativos ao tema.
Programa de compliance não é apenas um documento, e sim um processo desenhado, implementado, revisado e monitorado: foi verificado em alguns casos de falhas de compliance, a empresa possuía um “programa de compliance”, apenas no papel.
Não existe uma forma única de avaliação, isto é, uma única forma de mostrar que um programa de conformidade está no caminho certo ou não.
A efetividade do programa de compliance deve ser avaliada de forma qualitativa, e não apenas quantitativa, por exemplo: quantidade de treinamentos efetuados.
Envolvimento da alta administração é fundamental no programa de conformidade.
As funções de conformidade devem auxiliar as áreas de negócio em relação a conformidade.
Compliance é responsabilidade de todos!
Case de implementação: Estruturação da função de compliance
28
Avaliação das atividades já desempenhadas
relacionadas a Compliance
• Entrevistar as funções chave da organização para identificação das expectativas em relação ao Compliance.
• Entender as atividades executadas pelas áreas, que possuem funções relacionadas a compliance.
• Entrevistar com as áreas gestoras para identificação das atividades de Compliance.
• Estruturar e implementar:
• Pilares de compliance.
• Funções e responsabilidade.
• Envolvimento de outras áreas/departamentos (Legal, Riscos, Segurança da Informação/
Tecnologia da Informação, Recursos Humanos, etc.).
• Governança: metodologia de avaliação de risco de compliance, políticas/ procedimentos e
ferramentas.
• Treinamento.
• Comunicação.
• Monitoramento, análise e resposta.
• Modelos de reporte.
• Processo de conscientização.
Estruturação da função de Compliance
Tom da alta
administração
Avaliação
de risco
Supervisão e
responsabilid
ade Políticas e procedimentos
Treinamento
Comunicação
Monitoramento,
análise e resposta
Reporte
Reforço e disciplina Gerenciamento de
recursos e desempenhoAuditoria
Estratégia de
negócio
Desempenh
o do negócio
Gestão do
negócio
Case de implementação: Gestão das regulamentações
29
Um processo de gestão de regulamentações deve implementar mudanças efetivas e favoráveis às empresas que devem maximizar o impacto comercial e minimizar o risco de não conformidade.
Mapeamento das regulamentações
Gestão de mudanças e captura de novas regulamentações
Aderência aos requisitos
Mapeamento dos requisitos regulatórios
Compliance regulatórioIncorporando mudanças regulatórias
Implementação e incorporação de requisitos regulatório.
Identificando respostas a novos ambientes regulatórios.
Treinamento de equipes da organização para entender as mudanças regulatórias.
Mapeamento do ambiente regulatório e relacionamento dos produtos e serviços com os requisitos regulatórios.
Revisão e avaliação da conformidade dentro da organização, por meio de controles que garantam o cumprimento dos requisitos regulatórios.
Implementação de plano de remediação de compliance.
Determinando a probabilidade e severidade do risco
DC2 - Informação de distribuição restrita
Obrigada!
© 2018 Todos os direitos reservados. Neste documento, “PwC” refere-se à PricewaterhouseCoopers Serviços Profissionais Ltda. a qual é uma firma membro do network da PricewaterhouseCoopers Serviços
Profissionais Ltda. , sendo que cada firma membro constitui-se em uma pessoa jurídica totalmente separada e independente.
O termo “PwC” refere-se à rede (network) de firmas membro da PricewaterhouseCoopers International Limited (PwCIL) ou, conforme o contexto determina, a cada uma das firmas membro participantes da rede da
PwC. Cada firma membro da rede constitui uma pessoa jurídica separada e independente e que não atua como agente da PwCIL nem de qualquer outra firma membro. A PwCIL não presta serviços a clientes. A
PwCIL não é responsável ou se obriga pelos atos ou omissões de qualquer de suas firmas membro, tampouco controla o julgamento profissional das referidas firmas ou pode obrigá-las de qualquer forma.
Nenhuma firma membro é responsável pelos atos ou omissões de outra firma membro, nem controla o julgamento profissional de outra firma membro ou da PwCIL, nem pode obrigá-las de qualquer forma.