VAMOS FALAR DE

COMPLIANCE?
Se você baixou este material, muito provavelmente está interessado em proteger a sua
empresa dos riscos que são inerentes ao negócio. Isso se torna ainda mais importante se
levarmos em conta o atual cenário nacional, em que escândalos de fraudes e corrupção
envolvendo grandes organizações são revelados com cada vez mais frequência. Portanto,
é fundamental para qualquer companhia investir em programas de prevenção, evitando
prejuízos financeiros e de imagem. E é justamente para ajudar você a entender como
deixar seu negócio protegido que desenvolvemos esse ebook.

Nele, você irá encontrar um panorama do cenário brasileiro e mundial do combate à

fraude e corrupção, bem como as medidas necessárias para evitar ser pego de surpresa.
Para isso, contamos com o conhecimento e maturidade dos nossos especialistas.

A GRC Solutions surgiu da união de experiências nas áreas de Governança, Risco e

Compliance. Formada pelo know-how de profissionais com ampla experiência em
identificar riscos e implementar controles dos processos-chave das áreas de negócio,
bem como na adoção de eficientes métodos de investigação e na prevenção às fraudes
corporativas.

A nossa proposta é atender as exigências de um mercado cada vez mais alinhado com
as boas práticas de governança corporativa e as novas demandas de Compliance e
Segurança Empresarial.

Conheça cada um dos sócios da GRC Solutions, que contribuíram com todo o seu
conhecimento para o desenvolvimento deste material:

Elcio Benevides André Almeida Luciano Bordon

CEO Sócio-Líder de Sócio de
Compliance Governança
Especialista em
Investigação Especialista em Possui mais
Corporativa e Investigação de 20 anos de
Processos, atua Corporativa e experiência em
na área de GRC Compliance, atua Governança,
há mais de 17 há mais de 15 Auditoria Externa,
anos. Possui vasta anos com foco Compliance
experiência em em investigação e serviços de
Controles Internos, de fraudes, Consultoria. É
Riscos, Compliance inteligência especialista em
e Governança competitiva, Riscos, Melhoria
Corporativa. governança de Processos e
corporativa e Controles Internos.
gestão de ética,
anticorrupção
e segurança da
informação.
CENÁRIO BRASILEIRO
DE COMPLIANCE
Quando falamos em Compliance no Brasil, a Lei 12.846 de 2013,
conhecida como Lei Anticorrupção, é geralmente vista como marco
relacionado ao tema. Claro que ela foi extremamente importante,
principalmente após os escândalos revelados pela Operação Lava Jato.

Com empresas brasileiras diretamente nos holofotes do mercado estrangeiro

e de acionistas, os impactos nos investimentos foram inúmeros. Como
consequência, tivemos o aumento da preocupação com a imagem e a saúde
reputacional das empresas e o entendimento das companhias e dos órgãos
públicos sobre a necessidade de estar em um Programa de Compliance.

Também foi graças a Lava Jato que os empresários puderam entender que a
corrupção não é um fato isolado do mercado brasileiro, mas sim globalizado,
com envolvimento de outros países na cooperação de investigações e
aplicação de sanções.

Mas não é de hoje que o conceito de Compliance está presente no Brasil. Em

1997, por exemplo, o Comitê de Supervisão Bancária da Basileia (BCBS, sigla
de Basel Committee on Banking Supervision em inglês), do qual o Brasil já
fazia parte, lançou os princípios para uma supervisão bancária eficaz a serem
aplicados por todos os países integrantes.

O ano de 1998 também foi importante para o avanço do Compliance por aqui.
Em março daquele ano, foi publicada a Lei no 9.613/98, conhecida como a Lei
de Combate aos Crimes de “Lavagem” de Dinheiro. Já em setembro, o Brasil
finalmente incorporou as regras trazidas pelo BCBS (Europa) e pela SEC -
Securities and Exchange Commission (Estados Unidos), graças a publicação
da Resolução 2.554 do Banco Central do Brasil (Bacen).

Desde então, possuímos o Conselho de Controle de Atividades Financeiras

(Coaf) – órgão da administração pública federal, no âmbito do Ministério
da Fazenda, com a finalidade de disciplinar, aplicar penas administrativas,
receber, examinar e identificar as ocorrências suspeitas de atividades ilícitas.

Na prática, não foi tão fácil assim. No começo dos anos 2000, a elaboração
de Manuais, Códigos de Éticas, organogramas para áreas específicas de
Compliance, capacitação de profissionais e muitas outras medidas tiveram
seu início. Porém, tudo ainda era muito restrito às instituições financeiras.

Com o passar dos anos, as empresas de fora do segmento financeiro também

passaram a incorporar, mesmo que aos poucos, medidas de Compliance em
suas organizações. Agora, com a Lei Anticorrupção, o empresariado brasileiro
passou a se interessar pelos benefícios da implementação desses programas,
como por exemplo, o fato das sanções serem menores caso a empresa possua
uma área de Compliance estruturada.

4
 GOVERNANÇA, RISCO E
COMPLIANCE

GOVERNANÇA
Qual o conceito?

Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e

incentivadas, envolvendoos relacionamentos entre os Acionistas,Conselho de Administração,
Diretoria e Órgãos de Controle. Conforme o Instituto Brasileiro de Governança Corporativa,
seus princípios e práticas aplicam-se a qualquer tipo de organização, independentemente
do porte, natureza jurídica ou tipo de controle

PRINCÍPIOS BÁSICOS DA GORVENANÇA CORPORATIVA:

TRANSPARÊNCIA PRESTAÇÃO DE CONTAS

Disponibilizar para as partes interessadas as Os agentes de governança devem prestar
informações que sejam de seu interesse e não contas de sua atuação, assumindo
apenas aquelas impostas por disposições de integralmente as consequências de seus
leis ou regulamentos. atos e omissões.

EQUIDADE RESPONSABILIDADE CORPORATIVA

Caracteriza-se pelo tratamento justo de Os agentes de governança devem zelar
todos os sócios e demais partes interessadas pela sustentabilidade das organizações,
(stakeholders). Atitudes ou políticas visando a sua longevidade, incorporando
discriminatórias, sob qualquer pretexto, são considerações de ordem social e ambiental
totalmente inaceitáveis. na definição dos negócios e operações.

Podemos listar os seguintes benefícios da Governança Corporativa:

— Maior formalidade e regularidade no relacionamento com as organizações
— Alinhamento dos propósitos estratégicos
— Harmonização de interesses
— Maior transparência e rigor nas demonstrações de resultados
— Monitoramento mais amplo da gestão
— Aumento da confiança dos investidores
— Fortalecimento do mercado de capitais
— Promoção de um ambiente de justiça nas relações empresariais

5
 RISCOS
Qual o conceito de RISCO?

O principal objetivo é identificar os eventos que podem comprometer as estratégias da

companhia na consecução dos seus objetivos de negócio. Quem atua nessa área faz todo
o gerenciamento destes eventos, contribuindo para o alinhamento das diretrizes de apetite
ao risco.

PRINCIPAIS ATRIBUTOS:

— Facilitar a implementação do processo e da cultura de gestão integrada de riscos;

— Conscientizar os gestores em relação à importância da identificação, tratamento e
monitoramento dos ricos;
— Conhecer as estratégias e direcionadores de valor da companhia;
— Interagir com áreas de planejamento estratégico, Balanced Scorecard (BSC),
controles internos e auditoria interna;
— Monitorar o ambiente de riscos da companhia;
— Atuar de modo proativo, visando a redução da vulnerabilidade da companhia aos
riscos existentes;

PRINCIPAIS ATIVIDADES:
— Suportar os gestores na identificação e monitoramento de riscos
estratégicos, financeiros, operacionais e regulamentares;
— Acompanhar os níveis de tolerância ao risco aprovado pela Alta
Administração;
— Consolidar riscos percebidos pelos gestores, suas origens e possíveis
estratégias de mitigação;
— Definir formas de minimizar a exposição do risco, em conjunto com as áreas
de negócio;
— Auxiliar na definição de indicadores de riscos;
— Suportar a preparação dos planos de ação;
— Comunicar à Alta Administração o nível de exposição aos riscos e o status dos planos
de mitigação;

BENEFÍCIOS:
— Conforto e proteção para a alta administração;
— Geração de valor para a companhia;
— Padronização dos riscos de negócio em uma linguagem única para a Alta Administração,
corpo executivo e demais stakeholders;
— Conhecimento dos riscos de negócios de forma institucional;
— Contribuição de subsídios e elementos para o desenvolvimento de plano de auditoria;

6
 COMPLIANCE
Qual o conceito de COMPLIANCE?

Compliance significa estar de acordo com as normas legais e regulamentares, políticas e

diretrizes estabelecidas para a organização, bem como evitar, detectar e tratar quaisquer
desvios que possam ocorrer.

QUAL O CENÁRIO ATUAL DO COMPLIANCE?

— Dificuldade em identificar a real exposição aos riscos;

— Maior pressão dos órgãos reguladores;
— Foco no risco e pensamento imediatista;
— Dificuldade no cumprimento de todas as obrigações de compliance;
— Perdas financeiras decorrentes de multas e sanções;
— Exposição da companhia, por meio da exposição de sua imagem e reputação;

ASPECTOS A SEREM CONSIDERADOS AO IMPLEMENTAR UM PROGRAMA DE COMPLIANCE

— Ser realista e adequado às particularidades da companhia;

— Integrar as políticas e procedimentos em um framework único, estabelecendo os
pontos de controle para realizar o monitoramento adequado;
— Integrar as melhores práticas de controle sobre os riscos dos processos supervisionados
— Poder assegurar a efetividade dos procedimentos de cumprimento por meio do
programa de monitoramento contínuo, considerando o nível de materialidade razoável;
— As ações tomadas devem estar documentadas para possíveis revisões internas
e externas;
— Servir de ferramenta de monitoramento e gestão para reagir frente a possíveis
descumprimentos detectados e mudanças na regulamentação;
— Estabelecer o nível de diligência adequado em função do impacto detectado;

BENEFÍCIOS
— Aderência às leis, normas e regulamentações;
— Proteção da imagem;
— Redução de custos causados por redundância nos controles internos;
— Aumento da competitividade e melhoria da capacidade de inovação em ambientes
dinâmicos e incertos;
— Promoção da transferência de informações com as partes relacionadas;
— Mitigação de riscos que impactam diretamente os objetivos de negócio;

7
 AUDITORIA INTERNA
PRINCIPAIS ATRIBUTOS
— Possuir linhas de reporte clara e independente, comunicando-se diretamente com o
comitê de auditoria e Alta Administração;
— Possuir autonomia para obtenção e análise de informações e execução dos trabalhos;
— Estar alinhada às diretrizes estratégicas e ao modelo de Governança Corporativa;
— Contribuir para aderência das atividades às expectativas dos gestores, padrões éticos,
políticas internas e regulamentações (Compliance);
— Atuar de modo complementar às atividades de gestão de riscos e controles internos,
buscando sinergias;
— Propor melhorias nos processos, controles e aprimoramento dos instrumentos
destinados à gestão de riscos e governança corporativa;

PRINCIPAIS ATIVIDADES:
— Elaborar plano de auditoria alinhado às diretrizes estratégicas, riscos e processos
relevantes e prioridades dos gestores;
— Auxiliar na identificação e avaliação dos principais riscos, suas origens e estratégias
de mitigação;
— Revisar os controles relacionados aos principais processos de negócio;
— Executar testes de auditoria, avaliando aspectos de gestão, tecnologia, controles
internos e compliance;
— Validar os aspectos identificados com as áreas auditadas e propor ações para
mitigação dos riscos;
— Conduzir follow up dos planos de ação;
— Priorizar o reporte dos resultados à áreas auditadas e ao comitê de auditoria;

BENEFÍCIOS:
A auditoria interna é uma função independente e de aconselhamento à Alta
Administração, destinada a agregar valor e melhorar as operações da companhia,
por meio do aprimoramento dos instrumentos destinados à gestão de riscos,
controles e processos de governança.

8
 O CUSTO DA FRAUDE
Agora que já vimos como as áreas de GRC
funcionam e quais seus benefícios e atribuições,
é importante entender o quão prejudiciais são
os casos de fraude e corrupção dentro das
organizações. Para isso, nada melhor do que
dados concretos.
A pesquisa intitulada “O assombroso custo da
fraude“ realizada pela Association of Certified
Fraud Examiners (ACFE’s) em 2016, revelou que
organizações perdem 5% de sua receita anual
devido a fraudes. O estudo analisou 2410 fraudes
internas que causaram uma perda total maior que
U$ 6,3 bilhões.
E não para por aí: a média de prejuízo de um
único caso de fraude interna foi de U$ 150 mil.
Além disso, mais de 23% dos casos estudados
resultaram em perdas de no mínimo U$ 1 milhão.
A região da América Latina e Caribe registrou
um prejuízo médio devido a fraudes de U$ 174
mil, enquanto os Estados Unidos e Canadá, por
exemplo, tiveram pedas médias de U$ 120 mil e U$
154 mil, respectivamente.
Quanto maior o cargo, maior a perda
Outro dado preocupante revelado pelo estudo:
quando proprietários ou executivos cometem
fraude, a média de prejuízo é 10 vezes maior
do que quando as infrações são cometidas por
colaboradores. Os valores médios, nesses casos,
chegam a mais de U$ 700 mil, enquanto para
gerentes e funcionários, as perdas são de U$ 173
mil e U$ 65 mil, respectivamente.
Organizações vítimas de fraude que não tinham
sistemas de prevenção anti-fraude sofreram
perdas muito maiores dos que as que mantinham
controles para prevenção. Como o gráfico abaixo
indica, os prejuízos dobram para empresas que
não possuem monitoramento proativo, revisão de
gerenciamento ou Canal de Denúncias.

Entre as três principais categorias de fraudes

internas, a campeã em prejuízos é o setor de
demonstração financeira: a média por caso foi de
U$ 975 mil. Em seguida, ficam as categorias de
corrupção (U$ 200 mil) e apropriação indevida de
ativos (U$ 125 mil). LEGENDA DO GRÁFICO: ASSOCIATION OF CERTIFIED FRAUD EXAMINERS

9
 CANAL DE DENÚNCIAS

Mas, afinal, o que é um canal de denúncias? Basicamente, é a forma de

comunicação entre os Funcionários, Fornecedores, Parceiros, Clientes e
demais públicos aberta para reportarem temas relacionados à fraude,
corrupção, desvio de conduta (assédio moral e sexual), beneficiamento indevido, conflito de
interesses, além de situações que colocam as pessoas, a empresa e o negócio em risco.

Os relatos podem ser recebidos via web, através de um portal específico, ou por telefone.
E o denunciante pode se identificar ou não. Além disso, ao ser operacionalizado por uma
empresa externa, evita que as pessoas se sintam inseguras ao denunciar ou desconfiem da
imparcialidade no recebimento ou da retaliação.

PRINCIPAIS BENEFÍCIOS
O canal de denúncia possibilita uma comunicação com todas as pessoas relacionadas ao
negócio. Colaboradores de todos os setores e níveis hierárquicos podem trazer relatos de
preocupações ou denunciar assuntos sensíveis e críticos. Algo que, muitas vezes, a empresa
não conseguiria enxergar ou saber.

Por sua vez, o conhecimento dessas situações promove um ambiente mais ético e seguro
dentro da organização, podendo mitigar riscos e, inclusive, gerar benefícios financeiros.

COMO SE PREVENIR
A criação de um Programa de Compliance efetivo é fundamental para previnir diversas
práticas ilegais ou em desacordo com as normas das empresas.

Dentre os diversos aspectos de um bom Programa de Compliance, é importante destacar

o que chamamos de tone from the top, que significa o absoluto comprometimento da Alta
Direção com a causa do Compliance, que se irradia em toda a empresa por meio de ações
concretas que podem ser:

— Programas de treinamento;
— Mapeamento e monitoramento de riscos;
— Implantação de sistemas e controles;
— Análise reputacional de Terceiros com foco em Compliance;
— Investimento em Canal de Denúncia independente e confidencial;
— Contratar profissionais de mercado com senioridade para assuntos relacionados ao
Compliance que possam nortear as ações da empresa;

Além disso, é preciso criar dentro das organizações um ambiente corporativo organizacional
que possibilite que a equipe de Compliance aja com total independência e imparcialidade.

10
ATIVIDADES QUE SUPORTAM E APOIAM UM BOM PROGRAMA DE COMPLIANCE

SUPORTE A ALTA ADMINISTRAÇÃO

Para a implementação da estrutura de Governança de Compliance, a GRC Solutions oferece todo

o suporte a alta administração da empresa. Inicialmente é realizado um diagnóstico da cultura
organizacional para identificar o perfil ético que a empresa espera dentro do seu ambiente
corporativo. Posteriormente, são estabelecidos componentes, comitês necessários e suas
respectivas responsabilidades. Por fim, são realizados treinamentos sobre Compliance e ética
organizacional para que todos os colaboradores estejam alinhados às expectativas da empresa.

AVALIAÇÃO DE RISCOS DE COMPLIANCE

A avaliação de riscos com foco em Compliance consiste no mapeamento das vulnerabilidades e

dos projetos gerenciados pela empresa. Após identificar os riscos, o trabalho envolve o suporte na
implementação das recomendações, com base nas leis que impactam os negócios, bem como
nas políticas corporativas internas.

CÓDIGO DE ÉTICA E CONDUTA E POLÍTICAS ADMINISTRATIVAS

Elaboração de políticas, procedimentos e Código de Ética e Conduta, de acordo e com as

características de cada negócio, com foco nas melhores práticas de mercado. Envolve o suporte no
gerenciamento das políticas da empresa para criar uma cultura de Compliance, com o objetivo de
reduzir riscos e aprimorar as ferramentas utilizadas na gestão, controle e processos de governança.

TREINAMENTO E COMUNICAÇÃO

Envolve a análise das necessidades de cada área acerca dos temas de Compliance, ética e
avaliação dos possíveis formatos de treinamento e comunicação. O objetivo consiste em formular
e executar um plano de treinamento e comunicação personalizado para os diferentes públicos,
com a finalidade de disseminar a cultura ética e as regras de Compliance.

CANAL DE DENÚNCIA

A GRC Solutions desenvolveu uma plataforma WEB altamente segura, com uma equipe
de especialistas para a recepção e o tratamento dos relatos reportados por meio do Canal
de Denúncias. Atuamos desde a implementação do canal, definindo estratégia, período de
operação, forma de captura das informações e execução, até a gestão do canal, cujo o objetivo é
oferecer direcionamento adequado e suporte no gerenciamento das denúncias, seja por meio de
atendimento, investigação e/ou emissão de relatórios personalizados.

INTELIGÊNCIA EMPRESARIAL E INVESTIGAÇÕES

A GRC Solutions realizou investimento nas ferramentas mais atuais e reconhecidas pelo mercado,
com a finalidade de atuar em investigações corporativas, além de contar com uma equipe de
especialistas na condução de análises de informações sensíveis e confidenciais.

11
Dentre as atividades, é possível verificar a reputação de Pessoa Jurídica e/ou Pessoa Física,
assim como o envolvimento delas em fraudes corporativas, desvio de conduta ética, vazamento
de informações, conflitos de interesses, entre outros fatores que infringem o Código de Ética e
Conduta e leis vigentes. Os trabalhos são donduzidos em ambiente adequado, com segmentação
da informação e sob confidencialidade, tais como:

- Cópia e análise do disco rígido (HD) e celular corporativo, por meio de uma ferramenta forense
de alta performance;
- Análise de arquivos de rede e backup de e-mails;
- Descoberta eletrônica utilizando uma ferramenta com depósito de informações E-Discovery e
inteligência artificial;
- Monitoramento da estação de trabalho (computador) e do celular corporativo;
- Consultoria aplicada para detecção e prevenção à fraude;
- Busca de ativos e patrimônios;
- Testes in loco (trabalho de campo);
- Monitoramento de ambientes, veículos e cargas;
- Avaliação de dados na produção de informações que possam gerar valor para o negócio;
- Entrevistas técnicas (exploratórias e/ou confirmatórias), realizadas por especialistas certificados
internacionalmente; e
- Apoio e participação como membro independente do comitê de ética.

BACKGROUND CHECK

Processo de pesquisa que engloba a avaliação de Pessoa Física ou Jurídica. O objetivo consiste em
analisar aspectos financeiros, litígios, exposições em mídias, listas restritivas, entre outros fatores.

DUE DILIGENCE REPUTACIONAL

Processo de pesquisa que engloba a avaliação reputacional de determinada Pessoa Jurídica e/ou
Pessoa Física, tais como: parceiros, prospect, inteligência competitiva, entre outros. As análises são
realizadas acerca de aspectos financeiros, litígios, exposições em mídias, auditorias, entrevistas
pré-determinadas e trabalho de campo para o reconhecimento potencial da empresa e/ou sócios.

AUDITORIA E MONITORAMENTO

Análise e avaliação da estrutura do negócio, assim como das medidas de prevenção, constatação
e reparação de atos que não seguem os padrões da empresa. O objetivo consiste em identificar
desvios de conduta, reduzir custos e monitorar a efetividade do Programa de Compliance e da
cultura ética da empresa.

12
www.grcsolutions.com.br