Escolar Documentos
Profissional Documentos
Cultura Documentos
Maturidade do
Compliance
no Brasil
4a edição
2019
Ser criativo
transforma negócios.
kpmg.com.br
Índice 08
Nível de Maturidade
de Compliance
04
Introdução
por Setor
10 38
06
Sumário
Resultado Detalhado do
Perfil de Compliance
no Brasil
34 Monitoramento e
Testes
Executivo Análise de Dados e
Tecnologia
16 10
Governança e 42
Avaliação de Riscos Cultura Gerenciamento
de Compliance
20
Pessoas e
de Deficiências e
Investigação
Competências
48
Reporte
52
24 Metodologia da Pesquisa
e Perfil das Empresas e
Políticas e
Procedimentos 28
Comunicação e
Respondentes
Treinamento
4 Introdução Pesquisa - Maturidade do Compliance no Brasil 5
Introdução
Uma cultura de ética e compliance é crucial para o sucesso e a de relacionamento a praticar esses valores e contribuem revisados anualmente pelos responsáveis e, quando necessário, gerenciamento do canal Linha Ética? As ações corretivas de
perenidade das organizações, contribuindo para que estas atraiam para aprimorá-lo? ajustes são realizados e aprovados pelas alçadas competentes? processos e controles internos e/ou aplicação de medidas
e retenham pessoas, construam um ecossistema sustentável Processo de gestão de terceiros foi estabelecido em consonância disciplinares são efetivas? A presunção da inocência é uma
e forneçam base para relacionamentos saudáveis, éticos e A função de compliance está apropriadamente estabelecida, com o apetite a riscos da empresa, com critérios e premissas para premissa na condução de qualquer investigação? As investigações
transparentes com os colaboradores, membros dos comitês e aprovada pelo CA e com dedicação exclusiva ao tema - Chief classificação da exposição a risco e aceite do terceiro (cliente ou se preocuparam em identificar a causa-raiz do desvio de
conselhos, sociedade, clientes, reguladores, fornecedores, entre Compliance Officer (CCO)? Possui autonomia e independência fornecedor)? Existe o processo de due diligence e background conduta ou a vulnerabilidade dos processos, dos sistemas e
outros, além de vantagens competitivas e atratividade com profissionais altamente qualificados nas atividades que check contínuo dos terceiros ativos da empresa? Existe o dos controles internos?
dos negócios. executam e com as competências necessárias para a gestão processo de aceitação dos terceiros em relação ao programa de
dos riscos? Possui orçamento e investimento próprio para ética e compliance da empresa, incluindo – mas não se limitado A governança e a cultura de ética e compliance de qualquer
Os executivos e o Conselho de Administração (CA) possuem um executar o plano de ética e compliance aprovado pelo CA? A a – o código de conduta, a política de compliance e anticorrupção empresa devem refletir uma abordagem integrada nas três linhas
papel essencial na estrutura de governança e cultura de ética e função de compliance possui reporte direto com o CA para (entre outras aplicadas como conflito de interesse e prevenção de defesa e na empresa como um todo.
compliance das organizações e no apoio aos esforços para ir além conduzir investigações complexas e críticas, incluindo suporte à lavagem de dinheiro), as cláusulas anticorrupção em contratos
do compliance apenas “no papel”, através da supervisão e do de investimento, quando necessário? Compliance é envolvido e treinamentos? Quando necessário, são aplicadas medidas A 4ª edição da Pesquisa de Maturidade do Compliance no Brasil
patrocínio do programa, assegurando sua efetividade em todos os nas reuniões estratégicas? Participa dos processos de fusão e disciplinares a terceiros? A gestão de terceiros é conduzida com fornece informações essenciais sobre como as empresas no
elos da empresa e do ecossistema em que está inserida. aquisição? Possui reuniões frequentes com o CA para reportar a o apoio de tecnologia? Brasil estão gerenciando o compliance e destaca as principais
evolução da implementação e da efetividade do programa de práticas a ser consideradas para implementação. Adicionalmente,
Neste sentido, algumas questões-chave devem ser consideradas ética e compliance? São realizadas comunicações e treinamentos a todos os públicos pode ajudar as empresas a avaliar suas atividades e seus
para avaliar a efetividade do programa de ética e compliance de envolvidos e impactados de forma regular e frequente? É processos de ética e compliance e adequá-los/recalibrá-los,
sua empresa, como, por exemplo, mas não exaustivos: São realizadas avaliações, no mínimo, anual, da efetividade do considerado o conceito risk based approach de acordo com os integrando e automatizando ainda mais as lacunas de controle,
programa de ética e compliance, incluindo avaliação da exposição papéis e as responsabilidades de cada função? Como é avaliada risco e/ou alterações regulatórias e tendências.
Os executivos e a Alta Administração demosntram, de forma a riscos na empresa pela auditoria interna e/ou consultoria a assertividade da comunicação e do treinamento para cada
regular e frequente, comportamento e conduta adequados especializada e supervisionada pelo CA? Eventuais oportunidades público? São aplicados métodos de treinamentos presenciais Confiamos que os resultados desta pesquisa fornecerão
e alinhados às estratégias (tone and conduct at the top) da de melhorias e fraquezas identificadas são implementadas e on-line? São monitoradas as frequências, e ações corretivas informações valiosas ao ecossistema em que a empresa
empresa? Envolvem-se ativamente nas iniciativas de ética e tempestivamente? Situações de desvios de conduta são apuradas, são aplicadas aos inadimplentes? Os terceiros são treinados está inserida.
compliance, como aprovação e monitoramento contínuo da função avaliadas e investigadas com sigilo, confidencialidade, autonomia em relação ao programa de compliance da empresa? Testes de
de compliance e processos e transações críticas (red flags)? e independência, e as medidas disciplinares são aplicadas com aprendizagem são aplicados, e para os casos em que não foram Boa leitura!
Participam do processo de revisão e aprovação do programa de equidade independentemente da parte envolvida? atingidos 100% de acerto, são desenvolvidos programas de
ética e compliance, plano anual, código de conduta, política de treinamento e comunicação específicos para tratar desse issue?
compliance e anticorrupção, monitoramento da efetividade do Existe um processo de elaboração, revisão, aprovação e
programa, monitoramento dos red flags, realizam compliance divulgação das políticas e dos procedimentos (incluindo código O canal Linha Ética (Hotline) é independente e permite relatos
survey para capturar a percepção de todos os níveis hierárquicos de conduta e política de compliance e combate à corrupção) e denúncias anônimas? Está apropriadamente divulgado aos
da empresa em relação ao programa? relacionados ao programa com alcance a todos os públicos públicos internos e externos? São encorajados relatos de
(interno e/ou externo) impactados? Existe um processo de boa-fé? Os relatos são apurados e investigados com autonomia Emerson Melo
Sócio-Líder da
As partes do ecossistema em que a empresa está inserida gestão desses documentos? São considerados aspectos e independência e reportados às instâncias de governança
Prática de
conhecem e entendem seus papéis e suas responsabilidades no territoriais, culturais, idioma e linguagem para assegurar a correta competente? Existem indicadores de desempenho e riscos Compliance da
programa de ética e compliance, praticam e encorajam sua rede disseminação dos conceitos? As políticas e os procedimentos são estabelecidos? Orçamentos e recursos adequados para KPMG no Brasil
6 Pesquisa - Maturidade do Compliance no Brasil
92%
Pessoas e Não possuem estruturas 16% 83% dos respondentes afirmaram que a Política e o Programa de Ética e
Competências dedicadas Afirmaram não possuir
autonomia nem independência
Compliance estão implementados de forma eficiente na empresa com o
objetivo de identificar condutas inadequadas, assegurando a prevenção
• Estrutura dedicada aos temas de compliance com
recursos, autonomia e independência para exercer
32% e a investigação.
Não possuem recursos
suas funções é considerada uma boa prática de adequados
governança. No entanto, as empresas: Entretanto, 2% dos respondentes afirmaram não possuir o Código
de Ética e Conduta devidamente elaborado e aprovado.
nc s
treinamentos de compliance e
lia co
mp Ris
e
• Os riscos do compliance mais relevantes destacadas pelos respondentes foram: anticorrupção nos últimos 12 meses.
de Co o de
Gestão de terceiros/ Trabalhistas, segurança do trabalho,
82% 82%
ã
Avaliaç
Contratos previdenciários e tributário
Monitoramento
79% Concorrencial, informação privilegiada
Análise de Dados e Testes
ecn Dados
e conflito de interesses
ia
olo g
e Tecnologia • 89% dos respondentes
e T e de
63% afirmaram que o C-level, o
s
á li
Conselho de Administração e/
85%
An
• 63% dos respondentes ou o Comitê de Auditoria estão
afirmaram que não informados apropriadamente
conhecem ou não sobre o conteúdo e a
Governança e Cultura e Te
ste
s
aproveitam a tecnologia operacionalização da Política e do
Programa de Ética e Compliance.
81% para apoiar suas iniciativas
de compliance.
• 52% informaram que a função de
compliance é predominantemente
executada pela área de compliance. 79% 89%
81% dos respondentes afirmaram
que a área de Compliance existe
há mais de um ano e somente Principais desafios de compliance:
3% informaram que não existe • Identificar, avaliar e monitorar os aspectos de
uma área de Compliance ou
equivalente na empresa.
compliance e regulatório - 85%.
• Matriz de riscos e controle - 81%. Reporte Gerenciamento de
Além disso, 73% dos • Capacitar o Público Interno e Externo - 79%
• Integrar a área de Compliance com as Deficiências e 45%
respondentes afirmaram que os • 45% dos respondentes afirmaram que
executivos seniores reforçam
periodicamente que a governança
demais áreas de negócio - 76%. Para 13% dos respondentes,
o reporte da área de Investigação a área de Compliance é responsável pela
Gestão da Linha Ética/Canal de Denúncia,
Compliance à Administração
e a cultura de compliance são • 17% dos respondentes informaram não possuir enquanto 15% informaram que a
é realizado somente quando
essenciais para o sucesso da um Comitê de Ética e Compliance estabelecido. responsabilidade é da Auditoria Interna, e os
solicitado.
estratégia da empresa. Como
exemplo, foi observado que 71%
Em contrapartida, as empresas que contam com
Comitê de Ética e Compliance estabelecido estão E para 3% não há nenhuma
demais estão pulverizados com o Jurídico,
Controles Internos, entre outros.
20%
dos executivos seniores revisam e com, a presidência e as suas responsabilidades comunicação entre a
aprovam anualmente o Programa pulverizadas entre suas diversas áreas como, por área de Compliance e a • 11% dos respondentes informaram que
de Ética e Compliance. exemplo, Jurídico, Auditoria Interna, Recursos Administração. não possuem uma Linha Ética/Canal de
Humanos, entre outros. Denúncias implementado.
8 Pesquisa - Maturidade do Compliance no Brasil Pesquisa - Maturidade do Compliance no Brasil 9
Nível de Maturidade de
Compliance por setor
2,78
Brasil 2,97 2,56 2,76 3,14 2,82 2,29 2,47 2,91 3,12
Consumer 2,70
& Retail 2,95 2,52 2,67 3,00 2,56 2,41 2,56 2,86 2,97
0,08 abaixo da maturidade - Brasil
Industrial 2,82
Markets 2,98 2,56 2,72 3,12 2,96 2,26 2,39 3,09 3,26
0,04 acima da maturidade - Brasil
Financial 3,35
Services 3,50 3,24 3,47 3,68 3,46 2,65 3,19 3,36 3,57
057 acima da maturidade - Brasil
Others 2,93
0,15 acima da maturidade - Brasil 3,08 2,68 2,75 3,26 2,89 2,50 2,80 2,95 3,42
Governança e Avaliação de Pessoas e Políticas e Comunicação e Análise de Dados Monitoramento e Gerenciamento de Reporte
Cultura Riscos de Competências Procedimentos Treinamento e Tecnologia Testes Deficiências
Compliance e Investigação
10 Governança e Cultura Governança e Cultura 11
Resultado detalhado do perfil de
Compliance no Brasil Funç
ão de Compliance Nível de maturidade considerando todos os setores
Polít
ica
se
de Governança e Cultura - Brasil
Governança e
nc s
lia co
mp Ris
e
Cultura
de Co o de
Prevenir Detectar
ã
Avaliaç
• Avaliação de riscos de compliance. • Tecnologia e
ecn Dados
análise de dados.
ia
• Pessoas e competências.
olo g
e T e de
s
• Políticas e procedimentos. • Monitoramento e
á li
An
• Comunicação e treinamento. testes.
2,97
s
ste
e Te
• Presença no Conselho de Administração.
Responder
• Gerenciamento
de deficiências e
investigações.
A governança e a cultura são essenciais para uma abordagem a compreensão bem-sucedida da visão e das prioridades
voltada ao gerenciamento de riscos de conformidade. estratégicas de uma empresa. • Reporte.
Cada vez mais as empresas estão buscando uma maior Em particular, ao automatizar processos e controles que
integração de seus esforços em governança e cultura para ter suportam o ambiente de controles de compliance, a
informações com base em uma visão abrangente dos riscos governança, a supervisão e os patrocínios apropriados, que se
da companhia, identificando as causas-raiz dos problemas alinham à cultura corporativa, são de extrema importância para
em conjunto e de modo responsável. Uma estrutura de a efetividade do programa. Curva de maturidade - Governança e Cultura
governança e cultura de compliance sólida é o suporte para
Fraco Sustentável Maduro Integrado Avançado
Consumer & Retail Outros Government and Infrastructure 2017 42% 12% 12% 4% 9% 6% 3% 0% 3% 0% 9%
Financial Services Industrial Markets Technology, Media and Telecommunications
Capacitar o público
interno e externo 78% 68% 79% 79% 84% 86% 75% 79% 75% 76% 76% 80%
Integrar a área de
Compliance com as 69% 66% 83% 76% 81% 76% 74% 81% 75% 71% 84% 74%
demais áreas de negócios
Garantir a independência da
Quem preside o Comitê de Ética e Compliance? função de compliance 61% 61% 68% 64% 72% 62% 68% 58% 49% 66% 67% 63%
De R$ 1 milhão
a R$ 1,9 milhão 10% 7% 4% 6% 16% 6% 4% 5% 9% 0% 0% 7%
• Informações não
2015 2016 2017 2019 foram capturadas De R$ 501 mil
a R$ 999 mil 8% 14% 11% 6% 9% 3% 10% 5% 0% 2% 2% 7%
Até R$ 500 mil 33% 35% 34% 47% 44% 38% 41% 56% 58% 50% 70% 41%
Desconheço esta
31% 15% 21% 19% 16% 24% 20% 11% 33% 21% 16% 19%
informação
16 Avaliação de Riscos de Compliance
Funç
ão de Compliance
Avaliação de Riscos de Compliance 17
Polít
ica
Avaliação de Riscos de
Tendências
se
nc s
lia co
mp Ris
Compliance
e
de Co o de
ã
Avaliaç
ecn Dados
ia
olo g
e T e de
s
á li
A avaliação de risco de compliance é fundamental para o
An
contínuo aprimoramento do compliance da empresa e fornece s
ste
ótimos insights para os riscos, os controles e as tendências e Te
Direcionadores Preocupações Consequências
da empresa. Quando as avaliações dos riscos de compliance
possuem uma classificação consistente e são automatizadas,
um maior valor é obtido e há maior consistência nos • Evolução do ambiente • Riscos desconhecidos e não • Aumento das ações de
resultados, aumentando o valor global dos investimentos. regulatório. quantificados. fiscalização.
• Inconsistências na
• Velocidade nas mudanças abordagem de mitigação • Aumento das violações de
regulatórias. dos riscos nas unidades de compliance.
Questões para serem consideradas: negócios.
• Ausência de controles
– Como você utiliza sua avaliação de risco depois de finalizada?
mitigatórios suficientes
devido a falta de
– Como a empresa identifica – e se mantém atualizada com – novas legislações e requisitos mapeamento das áreas
regulamentares? Isso é parte do seu processo de avaliação de risco? de riscos.
Benefícios
Compreender gaps na mitigação de
riscos corporativos.
Priorizar riscos.
18 Avaliação de Riscos de Compliance Avaliação de Riscos de Compliance 19
Nível de maturidade considerando todos os setores Possui inventário regulatório? Na sua empresa, existe um processo
Avaliação de riscos de compliance - Brasil eficiente de avaliação de riscos para
Curva de maturidade - Avaliação de riscos de compliance
53% 47%
terceiros?
Fraco Sustentável Maduro Integrado Avançado 54% 46%
2017
Inexistência de abordagem Definição e estabelecimento O processo de gestão O processo de gestão de riscos O processo de gestão
e metodologia de gestão de de mecanismos e processos dos riscos de compliance permite o monitoramento de riscos de compliance
riscos de compliance. estruturados de gestão de permeia as principais contínuo dos riscos de e inventário regulatório Não Sim
riscos de compliance. transações, os processos e compliance, contemplando: é suportado por uma 2017
as atividades relacionados plataforma sistêmica
aos aspectos críticos de - Impacto e probabilidade e fornece reporte em Informação não
compliance. de ocorrência dos riscos de tempo real à Diretoria e ao capturada em
compliance. Conselho de Administração. 2015 e 2016
45% 55%
- Construção de cenários e
análise de tendências.
Prevenção
- Captura das mudanças 52% 48%
2,56 • Inventário de
regulamentações.
regulatórias e avaliação
do seu impacto.
2019
- Avaliação da efetividade dos
• Categorizar riscos controles de compliance.
inerentes de compliance. 2019
- Identificação de oportunidades
• Avaliar o risco residual. de melhoria e potenciais
desvios. Não Sim
Propriedade
intelectual 37% 53% 54% 44% 38% 46% 36% 46% 58% 53% 51% 42%
20 Pessoas e Competências
Funç
ão de Compliance
Pessoas e Competências 21
e
cas
Pessoas e
Tendências
líti
Po
An e Te
Competências
áli cno
se
de D gia
lo
ados
Avaliaç ompli
de C
es
ão
est
d e nce
As empresas precisam avaliar continuamente como
eT
Ri
a
sc
estão fortalecendo a responsabilidade dos colaboradores
os
e de terceiros por meio incentivos, ações disciplinares
e comunicação. Em um esforço para aumentar ainda Direcionadores Preocupações Consequências
mais seu accountability (responsabilização), muitas Aco
nselha
r, desafiar e a
valia
r
– Sua estrutura de remuneração está alinhada com sua governança e cultura de compliance?
Benefícios
de compliance e riscos?
Recrutamento eficiente/
– Você possui os talentos certos em suas três linhas de defesa? profissionais experientes.
das boas
– Como os relacionamentos de terceiros são monitorados quanto ao risco regulatório e de compliance? Ações disciplinares impactam
os indicadores de performance.
– Como você utiliza métricas operacionais de compliance para ajudar a garantir a eficácia da compliance?
Como você aprimora o conjunto de habilidades e o conhecimento de sua equipe de compliance? Tecnologia integrada.
E como gerencia atritos?
Papéis e responsabilidades definidos.
Prevenção
2,76 • Papéis e
responsabilidades.
2015 2016 2017 2019
• Gestão de desempenho,
incentivos e remuneração.
• Medidas disciplinares.
Não Sim
Financial Services Industrial Markets Technology, Media and Telecommunications Manter as políticas e os 76% 62% 88% 75% 84% 70% 80% 70% 83% 66% 76% 74%
procedimentos atualizados
Média de todas as empresas
Revisar contingências,
multas e passivos gerados 49% 54% 60% 56% 66% 41% 54% 54% 42% 71% 51% 57%
por não conformidades
Atuar em processos de
aprovação de novos produtos, 50% 66% 61% 52% 41% 84% 45% 49% 33% 49% 54% 51%
serviços e mercados
Realizar a comunicação
com os agentes reguladores 49% 59% 64% 50% 50% 54% 46% 49% 42% 58% 59% 48%
24 Políticas e Procedimento
Funç
ão de Compliance
Políticas e Procedientos 25
Anális
e
Políticas e
e Tec de D
Tendências
nol ad
og os
ia
Procedimentos
s
to
dim e
Proce icas
en
eT
est
Polít
es
Com
Pess etênc
Inventário regulatório e gerenciamento de mudanças:
p
o a s ia
Um aspecto fundamental do gerenciamento de riscos de
e s
compliance é a conscientização dos regulamentos que Av
a li
de a çã o
uma empresa deve cumprir e uma avaliação dos riscos Co de R
mp is c
lia n c o s
associados. Um inventário abrangente de regulamentações e
Direcionadores Preocupações Consequências
permite que uma empresa projete e implemente uma Aco
nselha
r, desafiar e a
valia
r
• Controle de versão.
– Como a empresa identifica – e se mantém atualizadas com – à novas legislações e requisitos
regulamentares? Isso é parte do seu processo de avaliação de risco? • Transformação do negócio. • Alta rotatividade de profissionais
(conhecimento institucional
limitado).
– Você possui um inventário de suas obrigações de compliance? Caso possua, a gestão é centralizada?
Como estão refletidas as obrigações nas políticas e nos procedimentos existentes? • O Código de Ética e Conduta não
está suficientemente incorporado
– Como você gerencia a manutenção e atualiza sua política e seus procedimentos em resposta às dentro da empresa.
mudanças regulatórias (ou mudanças previstas)?
– Você possui o levantamento de seu inventário de obrigações de compliance, mapeia para suas políticas,
seus procedimentos e seus controles internos?
– Como você acompanha o impacto de suas mudanças regulatórias e operacionais ou alterações nos
negócios em seus controles e suas atividades de compliance?
das boas
Ações disciplinares impactam
os indicadores de performance.
Tecnologia integrada.
Prevenção
3,14 • Missão, visão e valores.
Não Sim
Informação não capturada em 2015
• Políticas e procedimentos corporativos (por exemplo: Código de Ética e Conduta).
prevenção e a investigação?
43% 57% 24% 76% 29% 71% 17% 83% 2015 2016 2017 2019
Não Sim
28 Comunicação e Treinamento Comunicação e Treinamento 29
s
Dado
Comunicação e
de gia
Tendências
se lo e Te
áli cno ste
s
An e Te
Treinamento
Proce
Polít imen
d
ica to
se s
os
Co Pess isc
m p oas d e R ce
etê e ão n
Os treinamentos e a comunicação são componentes n cia
s Avaliaç mplia
de Co
essenciais de um programa de compliance eficaz, que propicia Direcionadores Preocupações Consequências
Aco r
nselha valia
r, desafiar e a
a responsabilização de colaboradores e de fornecedores,
reforçando um tone at the top de compliance e fornecendo
• Evolução do ambiente • Os funcionários não • Aumento das ações
conhecimentos fundamentais para os participantes com
regulatório. possuem conhecimento dos regulatórias.
relação às expectativas de compliance e obrigações necessidade de melhorar continuamente seu treinamento mecanismos internos de
regulamentares. Treinamento e comunicação também são e de suas comunicações, e estão buscando maneiras de reporte e alçada.
uma instância vital e um meio para transmitir a cultura da envolver ainda mais seus colaboradores em sessões de • Velocidade nas mudanças
empresa. Os líderes de compliance deverão estar atentos à treinamento mais interativas e efetivas. regulatórias. • Incapacidade para avaliar
• Envolvimento e responsabilização
o Programa de Ética e
da gerência.
Compliance.
• Supervisão mais rigorosa da
governança. • Treinamentos exaustivos, com
potencial diluição das mensagens.
Questões para serem consideradas:
– A empresa possui um plano formal de comunicação/treinamento? Como o plano foi desenvolvido e • Pontos da auditoria e • Os profissionais não estão
controles internos. familiarizados com o código de
implementado? O plano é baseado em risco? Quando foi a última vez que o plano foi revisado?
conduta e políticas de compliance.
– Quão satisfeito você está com seu treinamento em compliance atual e com o programa de
comunicação? • Cultura.
• Comunicação e treinamento
– Quais métricas você usa para avaliar o impacto e a eficácia de seu programa de seu treinamento em realizado com base no cargo/
compliance? função do funcionário.
– Como a empresa comunica as suas regras aos colaboradores e aos terceiros? O treinamento
aborda os canais de comunicação de má conduta, como buscar orientação sobre o papel do colaborador
no gerenciamento do risco de compliance?
Benefícios
– Como você usa as comunicações internas e externas para criar conscientização de compliance?
– Qual é o papel dos executivos e da Alta Administração na comunicação e no incentivo às Mitigação dos riscos de compliance.
normas organizacionais?
Alta Administração informada.
Prevenção
2,82 • Comunicações e treinamentos regulares e frequentes. Não Sim
Informação não capturada em 2015 e 2016
• Treinamento baseado em riscos (incluindo treinamento de novos admitidos,
treinamento adaptado às responsabilidades e aos papéis de trabalho e
treinamentos ad hoc).
Integrado 4
7%
Cyber Security/ 55% 55%
0%* 0%* 0%* 57% 59% 62% 51% 56% 75% 57%
Data Privacy 3%
Baixo
(0% a 30%) 6%
Antiterrorismo 39% 56% 30% 42% 41% 65% 36% 40% 42% 37% 43% 42%
6%
Anticorrupção ** 74% 70% 78% 52% 94% 67% 86% 78% 83% 74% 79%
26%
Não há mecanismo 12%
Compliance ** 61% 59% 76% 61% 76% 79% 77% 89% 80% 71% 78% de monitoramento
de treinamentos 12%
Análise de Dados
Tendências
es
est
eT
og os
e Tecnologia
nol ad
ia
e Tec de D
e
Anális
m p R is c o s
ce
li a n
Co de
de ação
i
al
Análise de dados e tecnologia de visualização de dados,
Av
Pr Polít e
conduta e análise preditiva: a análise preditiva, os painéis oc i
ed cas e
ime
o a s ias
Pess tênc
e
ntos Comp
de controle e o acompanhamento, bem como a visualização Direcionadores Preocupações Consequências
de dados, estão se tornando ferramentas cada vez mais Aco
nselha valia
r
r, desafiar e a
importantes para gerenciar os riscos de maneira proativa
• Riscos cibernéticos e de • Ausência de confiança na • Aumento das ações de
e para poder tomar decisões de negócios com base em
privacidade. integridade dos dados. fiscalização.
quantidades crescentes de dados corporativos. Usando a
visualização de dados e a análise preditiva, as empresas • Ausência de agilidade e
podem começar a fazer previsões sobre eventos futuros flexibilidade na tecnologia • Aumento nas violações de
• Evolução do ambiente compliance.
desconhecidos e rastrear e monitorar riscos relacionados existente.
regulatório.
à conduta e à cultura, usando técnicas como a mineração
• Ausência de profissionais
de dados, modelagem estatística, machine learning e • Incapacidade para avaliar
capacitados.
inteligência artificial, e comunicar essas informações de • Supervisão mais rigorosa da o Programa de Ética e
maneira intuitiva e informativa. governança. Compliance.
• Sistema não gera relatórios
para suportar o negócio.
– As métricas de compliance são projetadas para atender às obrigações de reporte regulatório (por
exemplo, KRIs, KPIs)?
– Descreva seus protocolos internos para relatar para o Conselho, os comitês e a Alta Administração
(frequência, escopo e tipos de riscos).Como a diretoria vê a qualidade e a robustez de seus relatórios?
Benefícios
– Há alguma melhoria que eles estão procurando? Em caso afirmativo, você pode incorporar esses
aprimoramentos? Quais são as limitações? Análise da causa-raiz e tendências.
das boas
Compliance em tempo real.
Métricas inovadoras.
Controles automatizados.
36 Análise de Dados e Tecnologia Análise de Dados e Tecnologia 37
Curva de maturidade - Análise de dados e tecnologia
Principais indicadores de monitoramento reportados
Fraco Sustentável Maduro Integrado Avançado
aos executivos seniores
- Inexistência de base - Informações relacionadas - Processos críticos de - Programa de Ética e - Sistema de Gestão de
tecnológica para análise a alguns aspectos de compliance suportados por Compliance é integralmente Compliance totalmente
de dados relacionados a compliance estão em base tecnológica, mas não suportado em base automatizado com a
compliance. base tecnológica para centralizados em um tecnológica, permitindo tecnologia de GRC
departamentos específicos sistema único. monitoramento constante de integrada. Pequenas
e disponíveis somente para Consumer Financial Government & Industrial Technology, Media &
seus pilares. Sistema de GRC captura e Médias Grandes
análises manuais de dados. 2015 2016 2017 2019 & Retail Services Infrastructure Markets Telecommunications Outros Empresas Empresas
integralmente informações
de outros sistemas
operacionais.
Eficácia do Programa
80% 74% 76% 85% 91% 86% 90% 72% 92% 89% 90% 84%
de Ética e Compliance
Monitoramento e
Tendências
Av de C
Testes
ali om
aç
ão pliance
s
ste
de R
e Te
iscos
A n á li s n o l o
s
e Tec
n cia
etê e
mp oas
ed
e D ia
Co Pess
ad
g
os
As empresas implementaram programas de monitoramento
e testes de compliance que variam muito, geralmente se s
ica to
Polít imen
d
influenciados fortemente por sua indústria e pelas Proce
Direcionadores Preocupações Consequências
obrigações regulatórias existentes. No entanto, as Aco
nselha valia
r
r, desafiar e a
atividades de monitoramento e teste de compliance,
incluindo monitoramento de transações, sanções, Lei • Evolução do ambiente • Estruturas que antecipam os • Aumento das ações de
regulatório. esforços para tornar o compliance fiscalização, multas e
anticorrupção brasileira, FCPA, UKBA e gerenciamento de
independente. sanções.
terceiros, são essencialmente de compliance, que podem
ser ainda mais integradas e automatizadas, ajudando as • Sobreposição de papéis e
• Velocidade nas mudanças • Incapacidade para avaliar
empresas a obter maior cobertura e consistência de riscos. responsabilidades entre compliance e
regulatórias. o Programa de Ética e
auditoria interna.
Compliance.
• Ausência de expertise para obter
• Supervisão mais rigorosa da informações sistêmicas para as • Ausência de visão geral dos
governança. análises. riscos de compliance.
– Quais ações são tomadas para lidar com resultados negativos? (rastreamento, análise de causa-raiz,
repetição de testes para verificar correção/melhoria)?
Benefícios
Testes de compliance e função de
– Como você avalia a eficácia de seus esforços de monitoramento e teste?
monitoramento centralizados.
das boas
Melhorias em toda a gestão
do Programa de Ética e Compliance.
Consistência no reporte.
práticas
Métricas/scrips avançados.
Análise preditiva.
40 Monitoramento e Testes Monitoramento e Testes 41
Nível de maturidade considerando todos os setores O C-Level (Chiefs – CEO, CFO, COO etc.), o Conselho de Administração e/ou o Comitê de
Monitoramento e testes - Brasil Auditoria estão informados apropriadamente sobre o conteúdo e a operacionalização
Curva de maturidade - Monitoramento e testes da Política e do Programa de Ética e Compliance?
Fraco Sustentável Maduro Integrado Avançado
25% 75% 22% 78%
- Inexistência de base - Informações relacionadas - Processo de monitoramento - Plano de monitoramento e - Indicadores para questões
tecnológica para análise a alguns aspectos de e testes estabelecido e testes definido, contemplando de compliance críticas
de dados relacionados a compliance estão em centralizado para questões todos os pilares do Programa definidos e automatizados,
compliance. base tecnológica para críticas de compliance. de Ética e Compliance com permitindo monitoramento
departamentos específicos periodicidade estabelecida. em tempo real.
e disponíveis somente para
análises manuais de dados.
- Planos de ação são
acordados com a área de - Planos de ação são
2015 2016
compliance. monitorados e sua efetividade
é testada de forma tempestiva.
Detecção
21% 79% 11% 89%
2,47 • Monitoramento e rastreamento das mudanças regulatórias.
• Testes transacionais, processos e controles.
• Gestão de compliance de terceiros e funcionários (por exemplo:
due diligence e gestão).
2017 2019
• Linha Ética/Canal de Denúncias com abrangência interna e
externa (por exemplo: profissionais, fornecedores, clientes etc.).
• Avaliação periódica do Programa de Ética e Compliance.
Não Sim
Avançado 5
Integrado 4
Maduro 3 3,3
3,1 2,9
2,4 2,6
2,7 2,5 2,6
Sustentável 2 2,3 2,2 2,2
2,0 2,0 2,1
Fraco 1
Gerenciamento de
Tendências
mp Ris
lia co
nc s
e
Deficiências e Investigação
ntos
ed cas e
e Te
ime
i
ste
Pr Polít
Os órgãos reguladores estão cada vez mais buscando
oc
entender como as empresas lidam com suas atividades de An
á li
e T se de
gerenciamento e investigação de problemas identificados, ec
nol Dados
o gia
como é a conectividade e como se dá a incorporação dos Direcionadores Preocupações Consequências
feedbacks para o restante das atividades de compliance Aco
nselha
r, desafiar e a
valia
r
– Você tem em vigor relatórios de métricas abrangentes e regulares, inclusive para o Conselho
de Administração, para avaliar a eficácia da investigação?
Benefícios
metodologia que pode colaborar para
acelerar a implementação e reduzir custos de
remediação.
das boas
reputacionais e regulatórios.
- Inexistência de canais - Canais de comunicação - Existe Canal de Denúncias/ - Existe Canal de Denúncias/ - Canal de denúncias/
de comunicação para com pouca efetividade, Linha Ética estabelecido Linha Ética amplamente linha ética completamente
registro de relatos e/ou sem processo robusto que permite anonimato e divulgado com protocolos automatizado, estruturado
não conformidades. de divulgação, restrito ao está aberto para os públicos de prazos e respostas aos de forma independente
ambiente interno. interno e externo. denunciantes, bem como e com suporte de empresa
2017 2019
- Ausência de processo de acompanhamento sobre a especializada, objetivando
investigações para apuração - Investigações conduzidas - Equipe preparada para evolução do caso reportado. despersonificação do
de eventuais relatos e/ou sem procedimentos e gestão dos relatos recebidos ouvidor.
não conformidades. protocolos adequadamente e condução de investigações - Os casos são classificados por
definidos. com protocolos definidos. tipo, permitindo a extração de - Investigações são
indicadores sobre áreas, conduzidas por profissionais
- Medidas disciplinares são - Medidas disciplinares são regiões e processos mais altamente qualificados
aplicadas esporadicamente. catalogadas, permitindo críticos e em desacordo com apoio de tecnologia Não Sim
aplicação equânime para com a conduta esperada pela adequada, permitindo
casos semelhantes. empresa. a conservação e a Informação não capturada em 2015 e 2016
manutenção da integridade
- Equipe de investigação dos documentos obtidos
treinada para atuar conforme o para utilização em
tipo de investigação. esferas legais.
2017 2019
Nível de maturidade dos temas abaixo nas empresas
Avançado 5
Integrado 4
Não Sim
3,2 3,3
Maduro 3 3,1 3,2 3,4 3,4 3,2 Informação não capturada em 2015 e 2016
2,8 2,7
2,7 2,7 2,8
Sustentável 2 2,3
2,1
Fraco 1
45%
18% 53% 12% 76% 20% 66% 11% 76%
22%
15% Compliance
Outros
2015 2016 2017 2019
Auditoria
Interna 8% 29% 12% 14% 13%
Consultoria
Terceirizada
5% 5%
Jurídico Não Sim Não tenho
Controles conhecimento
Internos
Quantidade de registros identificados pela Linha Ética/Canal de Denúncia Consumer Financial Government & Industrial Technology, Media &
Outros
Pequenas
e Médias Grandes
2015 2016 2017 2019 & Retail Services Infrastructure Markets Telecommunications
nos últimos 12 meses Empresas Empresas
Consumer Financial Government & Industrial Technology, Media & Pequenas Ética e Conduta para parceiros
e Médias Grandes de negócios, clientes e 83% 81% 73% 80% 69% 86% 87% 77% 67% 79% 78% 81%
2015 2016 2017 2019 & Retail Services Infrastructure Markets Telecommunications Outros Empresas Empresas fornecedores
Conflito de interesse e
Menor que 20 37% 36% 44% 42% 33% 49% 31% 49% 37% 55% 87% 32% informação privilegiada 81% 82% 70% 78% 78% 86% 80% 72% 75% 76% 78% 78%
Relacionamento com
De 20 a 50 9% 13% 12% 12% 0% 20% 18% 9% 9% 6% 5% 13% agentes públicos 71% 80% 53% 73% 69% 62% 72% 82% 83% 74% 69% 74%
Anticorrupção/compliance 0%* 0%* 0%* 69% 69% 76% 58% 81% 67% 66% 61% 71%
Mais de 100 13% 25% 16% 20% 34% 11% 24% 23% 0% 12% 0% 24%
Facilitação
de pagamentos 76% 77% 51% 66% 69% 43% 64% 70% 58% 85% 76% 63%
Não tenho conhecimento 35% 13% 18% 14% 16% 11% 16% 8% 27% 18% 8% 16%
Lavagem de dinheiro 54% 64% 37% 61% 69% 76% 57% 54% 58% 61% 63% 61%
Cyber Security/Data Privacy 0%* 0%* 0%* 57% 59% 62% 50% 56% 75% 54% 55% 57%
Antiterrorismo 42% 60% 23% 42% 41% 65% 36% 40% 42% 37% 43% 42%
Anticorrupção ** 69% 78% 52% 48% 48% 47% 58% 50% 51% 55% 50%
compliance ** 83% 76% 67% 45% 61% 67% 75% 67% 77% 55% 71%
Tendências
ianc
alia ompl
Av de C
Reporte
Pr
Po dimen
oc
líti
e
cas os
e
t
Coletivamente, os Principais Indicadores de Risco (KRIs)
e os Principais Indicadores de Desempenho (KPIs), os ad
os
eT e D ia
ed
relatórios e as métricas permitem que líderes de compliance est
es A n á li s n o l o
e Tec
g
combinados. Avaliações de conduta e cultura e relatórios são • Evolução do ambiente • Reporte realizado com o foco inadequado. • Aumento das ações de
cada vez mais procurados para fundamentar a robustez das regulatório. fiscalização.
atividades de compliance e como a cultura está inserida em
toda a empresa. • Os CCOs não confiam nos indicadores do • Incapacidade para avaliar
• Velocidade nas mudanças Programa de Ética e Compliance.
regulatórias. o Programa de Ética e
Compliance.
• Processo manual.
• Supervisão mais rigorosa da
governança. • Decisões de compliance não
uniformes.
Questões para serem consideradas: • Capacidade de avaliar o tone at the
top e o tone in the middle.
• Pontos da auditoria e
– Há recursos suficientes dedicados para o escopo e a frequência dos relatórios de compliance? controles internos. • Os objetivos do negócio não estão
alinhados com os objetivos de
– Como as leis/regulamentos nacionais e internacionais de privacidade afetam sua capacidade compliance e com o apetite e a
de relatar (se houver)? tolerância a risco da empresa.
Conhecimento do ambiente de
compliance da empresa.
das boas
Utilização da análise de riscos na
tomada de decisão.
práticas
Indicadores de compliance padronizados.
- Reportes pontuais da área CEO 27% 26% 30% 36% 31% 32% 38% 28% 26% 58% 55% 32%
- Inexistência de processo - Reporte regular da área - Reporte consistente com - Reporte centralizado
de reporte de não de Compliance sobre as não de Compliance à Diretoria frequência definida tanto à envolvendo
conformidade. conformidades. sobre os issues identificados Diretoria quanto ao Conselho toda a empresa, com CFO 12% 18% 15% 13% 19% 8% 7% 21% 25% 8% 2% 16%
nos compliance de Administração. responsabilidades claras
- As áreas de negócios não assessments realizados. entre a primeira e a segunda
são requisitadas a reportar - Áreas de negócios são linhas de defesa, e Chief Compliance Officer
o nível de compliance dos requeridas a reportar seus suportado por processos 0%* 15% 11% 11% 6% 22% 7% 18% 0% 8% 4% 13%
(Global ou Regional)
processos regulatórios a níveis de compliance e planos automatizados em uma
elas atrelados. de ação para os casos de plataforma, possibilitando
não compliance. atualizações ativas Comitê de Auditoria 13% 12% 6% 1% 0% 3% 0% 0% 8% 0% 0% 1%
das regulamentações
e monitoramento das não
conformidades. Conselho de Administração 10% 10% 16% 13% 13% 5% 20% 12% 17% 5% 14% 12%
Jurídico 4% 7% 3% 4% 3% 3% 2% 5% 8% 8% 2% 4%
Detecção
3,12 • Comunicação periódica com o Conselho e
a Administração (por exemplo: reuniões,
Comitê de Ética
e Compliance
2% 6% 10% 7% 12% 5% 7% 4% 9% 5% 6% 7%
Nível de maturidade dos temas abaixo nas empresas Qual a frequência do reporte?
Avançado 5
Consumer Financial Government & Industrial Technology, Media & Pequenas
e Médias Grandes
Integrado 4 2015 2016 2017 2019 & Retail Services Infrastructure Markets Telecommunications Outros Empresas Empresas
Fraco 1 Trimestral 21% 26% 22% 26% 25% 27% 33% 26% 26% 11% 23% 26%
1º
Programa de Ética e Compliance.
Empresa Multinacional?
1% Sudeste
33
sim
% 67%
não
7% 69%
Sul
14%
2015 2016 2017 2019
54 Perfil das Empresas e Respondentes
Minas Gerais
Sul
Alexandre Martins São Paulo
Sócio
(41) 3544-4737 Emerson Melo Carolina Paulino
amartins@kpmg.com.br Sócio da Prática Sócia-diretora
de Compliance (11) 3940-4096
(11) 3940-4526 cpaulino@Kpmg.com.br
Interior de São Paulo emersonmelo@kpmg.com.br
Renata Santana
Emerson Melo Eduardo Azevedo Gerente sênior
Sócio da Prática Sócio-diretor (11) 3940-6213
de Compliance (11) 3940-5123 rosantana@kpmg.com.br
(11) 3940-4526 eduardoazevedo@kpmg.com.br
emersonmelo@kpmg.com.br
Rodrigo Lazzarini Fernanda Flores
Sócio-diretor Sócia-diretora
(16) 3323-6650 (11) 3940-4891
rlazzarini@kpmg.com.br fernandaflores@kpmg.com.br
© 2019 KPMG Consultoria Ltda., uma sociedade simples brasileira, de responsabilidade limitada, e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
Todas as informações apresentadas neste documento são de natureza genérica e não têm por finalidade abordar as circunstâncias de uma pessoa ou entidade específica. Embora tenhamos nos
empenhado em prestar informações precisas e atualizadas, não há garantia de sua exatidão na data em que forem recebidas nem de que tal exatidão permanecerá no futuro. Essas informações não
devem servir de base para se empreenderem ações sem orientação profissional qualificada, precedida de um exame minucioso da situação em pauta.