Consultoria, Auditoria e Treinamento em Sistemas de Gestão

Compliance em Pequenas Empresas

Gostou? compartilhe!

Compliance em Pequenas Empresas

Compliance em Pequenas Empresas

Referências como a ISO 37001 e a ISO 19600 ajudam organizações a estruturar um sistema de compliance adequado ao seu tamanho

Empresários e executivos de pequenas e médias empresas costuma relatar um temor em relação à implementação e manutenção de um sistema de compliance. Aparentemente este receio se baseia em alguns mitos, que elenco a seguir:

  • Mito #1: É preciso ter equipes grandes e com especialistas para manter um sistema como esse. Por não conhecer os aspectos que caracterizam um sistema de gestão de compliance, existe uma tendência natural de tornar o assunto mais complexo do que ele realmente é.
  • Mito #2: Apenas grandes empresas têm problemas de compliance. Empresas pequenas ou familiares não tem problemas de suborno ou tipo de fraude, pois a alta direção está muito próxima das atividades.
  • Mito #3: Certificar a empresa na ISO 37001 custa caro. A imagem que chega até nós da maioria dos Organismos Credenciados de Certificação (OCC) é de que são empresas caras, cujos certificados são restritos, portanto, a um seleto grupo de grandes e prósperas empresas.
  • Mito #4: Controle é diretamente proporcional à burocracia do sistema. Segundo esta hipótese, quanto mais papel, carimbos e assinaturas, mais controle.
  • Mito #5: Só pode haver controle com um aparato tecnológico sofisticado. Sob essa ótica, somente a tecnologia é infalível e que, obviamente, custa caro e torna a empresa dependente de um fornecedor de serviços de TI.

A primeira coisa a entender sobre um sistema de gestão (seja ele de compliance, segurança da informação, qualidade, meio ambiente, ou qualquer outro) deve ser “razoável e proporcional” ao contexto da organização que o implementa. Este conceito está estabelecido no requisito 4.4 da ISO 37001:2017 – Sistemas de Gestão Antissuborno, e ele se baseia no fato que o suborno (um dos tipos de fraude das quais trata o tema “compliance”) é dissimulado, e que pode ser difícil prevenir, detectar e responder a estas situações. Tudo isso porque a fraude não ocorre por acidente, mas sim pela ação deliberada de um ou mais agentes deste processo. Desta forma, não há a expectativa de que um sistema de gestão garanta que jamais ocorrerá um caso como esses na organização. Isso seria impossível! No entanto, o que se espera é que o sistema montado seja “razoável e proporcional” aos riscos detectados no escopo de cada organização. Empresas pequenas, baixa complexidade em suas operações e que estejam sujeitas ou ofereçam riscos baixos, certamente terão controles menos complexos do que grandes corporações, que lidam com agentes com reconhecida má reputação e que realizem transações de grandes valores monetários. O tamanho do martelo é proporcional ao tamanho prego.

 

mpitemporario.com.br/projetos/pmanalysis.com.br

 

Ilustrando este ponto de vista, uma simples “dupla aprovação” de um contrato é um controle antifraude. É claro que este controle isoladamente não é capaz de evitar problemas de compliance, já que os controles agem em “camadas” (como as de uma casca de cebola). Outros exemplos de controles simples (mais camadas da casca de cebola) são a simples apresentação de uma nota fiscal para reembolso de despesa, a segregação de função na aprovação da qualificação de um fornecedor, o treinamento dos colaboradores, o estabelecimento de canais de denúncia, etc. Como se vê, são coisas simples que podem ajudar a reduzir drasticamente a “oportunidade” um potencial fraudador atuar.  

 

mpitemporario.com.br/projetos/pmanalysis.com.br

 

Propositalmente os controles mencionados acima como exemplos não requerem qualquer aparato tecnológico. Podem ser implementados através ferramentas simples como planilhas, e-mails ou apresentações.

Por outro lado, embora a complexidade dos sistemas varie de acordo com o contexto da organização, não é verdade que apenas grandes corporações estejam sujeitas aos riscos de compliance. Pequenas empresas podem ser alvo mais fácil de atores corruptos e corruptores, justamente por lidarem com valores menores, que despertam menor atenção dos órgãos de controle. Além disso, um dos lados da pirâmide da fraude é a “oportunidade”, que pode se manifestar em qualquer ocasião. Além disso, ainda que os riscos possam ser baixos, a exigência que grandes players aplicam a seus fornecedores (pequenos, médios ou grandes) para que estes estabelecem programas de integridade ou certifiquem seus sistemas de compliance conforme ISO 37001 é cada vez mais frequente.

 

A adoção das medidas mencionadas acima não precisa ser dispendiosa, assim como também não precisa ser caro o processo de certificação. Todos os Organismos de Certificação homologados pelos órgãos de acreditação (no Brasil é o INMETRO, mas cada país tem um ou mais desses órgãos) são obrigados a seguirem regras do IAF (International Accreditation Forum) para dimensionar as auditorias, regras estas que consideram a complexidade e o tamanho da organização. Organizações pequenas, pouco complexas e de baixo risco terão processos de certificação mais simples e, consequentemente, mais baratos.

 

mpitemporario.com.br/projetos/pmanalysis.com.br

 

Como eu mencionei em meu artigo "A RELEVÂNCIA DOS PROGRAMAS DE INTEGRIDADE E DA CERTIFICAÇÃO ISO 37001 PARA O MERCADO E PARA A SOCIEDADE ”, a implantação e certificação de programas de integridade e sistemas de gestão de compliance é um caminho sem voltara para organizações que pretendem ter protagonismo em seu mercado de atuação, e o tamanho da empresa não deve ser entrave ou empecilho para esse movimento. Pelo contrário, deve ser um fator incentivador a empresários e executivos que planejem voos mais altos de suas organizações.

 

Flávio Oliveira



Gostou? compartilhe!

Whatsapp PM Analysis Whatsapp PM Analysis