Estabelecendo limites: as três linhas do modelo de defesa

Uma das questões que gostaríamos de discutir é o papel da auditoria em relação à conformidade, ou seja, quais são os limites das funções do compliance officer e das auditorias internas? Minha experiência é que em muitas empresas a área de Compliance surge da auditoria, e em outros casos ela surge da área jurídica. E há casuística múltipla. Mas não em todas as empresas há posições separadas para o departamento de conformidade e auditoria interna. Na verdade, isto acontece nas menores empresas, e em alguns casos encontrei empresas muito grandes na América Central que não têm condições de arcar com isso. 

‍

América Móvil é uma empresa multinacional e também está listada na bolsa de valores. Como foi abordada a estrutura e a missão de cada uma dessas duas funções? Agora, o plano de trabalho anual, os objetivos e a divisão de tarefas, estão definidos em conjunto, ou precisamente para não condicionar a conduta de outros, operam através da chamada Muralha da China, qual é a dinâmica que foi implementada, sem dar muitos detalhes, na América Móvil, e qual é a sua visão sobre este ponto?

‍

É muito interessante como o Compliance é abordado em uma multinacional. Na América Móvil, a criação do escritório de compliance é um desenvolvimento recente, estamos falando de um esforço que não tem mais do que três anos. Isto não significa que o trabalho de Compliance não foi realizado nas diferentes empresas ou subsidiárias da América Móvil, nos diferentes países, mas que cada Compliance ou, às vezes, os contornos de Compliance foram feitos de uma forma um tanto intuitiva por cada uma das subsidiárias. E então, às vezes, foi mandatado por alguma disposição regulamentar ou normativa. Às vezes foi devido aos bons ofícios das pessoas que preferiram começar com este tipo de conduta, um pouco para lhe dar ética e razão moral de ser, de acordo com certos princípios que a empresa tem. 

‍

Quando chegamos, vimos que cada subsidiária em cada país o fazia de maneira diferente, e por isso temos alguns pontos muito interessantes, e é por isso que esta pergunta é muito importante para mim: Até que ponto estão os limites de uma auditoria interna, e até que ponto estão os limites de Conformidade? Porque em alguns lugares, o auditor interno assumiu estas funções e estamos atualmente conversando com estes departamentos, com estas partes das empresas, precisamente para entender como eles estabeleceram estes controles regulatórios, e até onde eles estão e até onde nós estamos. Neste sentido, o que posso lhes dizer é que nossa principal visão para poder ver onde estão os poderes e responsabilidades de cada um deles, está estabelecida em um diagrama que talvez todos saibam, que é a questão das linhas de defesa.

‍

Entendemos que existem três linhas de defesa. A primeira são precisamente as áreas operacionais, que são aquelas que estão em contato diário com os riscos, com a operação, com o que fazem ou com o que pode gerar algum tipo de risco para as empresas. Depois vem a segunda linha de defesa, que é assumida precisamente pelo oficial de conformidade, que tem uma função um tanto estratégica e uma visão de longo prazo. Ele ou ela tem que estar em contato próximo com os parceiros, com os proprietários das empresas, precisamente para entender o grau de risco que pode ser suportado, e daí gerar um código de ética e políticas, que são como as diretrizes que serão derivadas deste Código de Ética. O que nós advogados chamamos de positividade deste código de ética, ou seja, ele será estruturado, gerará o aspecto obrigatório derivado desta norma fundadora interna que é este Código de Ética, e então os outros processos e procedimentos seguirão.

‍

E depois vem uma terceira linha de defesa, que é precisamente a auditoria interna. Se formos claros sobre o que cada uma das linhas de defesa faz, veremos que elas são complementares e, portanto, para falar da Muralha da China, parece-me que às vezes pode ser um pouco arriscado em termos da implementação do devido cumprimento, porque o cumprimento se baseia fundamentalmente em uma mudança cultural ou uma estrutura cultural de como as coisas são feitas em uma empresa. 

‍

Ou seja, as ações que a Bimbo faz, as ações que a América Móvil faz, as ações que a Coca-Cola faz, as ações que as empresas menores fazem; elas têm uma "pegada", independentemente da marca. E essa pegada é como eles fazem as coisas. E essa forma de fazer as coisas é o que lhe dá o cumprimento. É "nós fazemos isso à maneira da América Móvil" e depois é a maneira da América Móvil que tem que ser baseada no Código de Ética e tem que permear horizontalmente em todas as filiais. Portanto, com base nisso é onde criamos uma estrutura, que pode ser gerada por políticas e depois por algum tipo de auditoria, para poder entender como ela está sendo feita. Ou o objetivo da auditoria é ver como essa política está sendo aplicada e como essa política está sendo entendida. Mas o que a auditoria interna faz é precisamente ver se o que está sendo feito, se a estruturação dessas políticas é eficaz e se elas são eficientes, e se estão sendo feitas da maneira correta. Em outras palavras, o que a terceira linha de defesa ou auditoria interna faz é precisamente corroborar que o que está sendo feito está sendo feito, está sendo feito corretamente e está sendo feito efetivamente. Mas nunca diz o que tem de fazer. Essa parte do projeto corresponde precisamente ao Compliance Officer. 

‍

E levantando a questão das diferentes linhas de defesa, levando em conta o papel do Compliance e da auditoria, há um ditado que diz que o auditor é obrigado ao conselho e o Compliance Officer é obrigado aos acionistas. Em sua opinião, até que ponto esta declaração é correta?

‍

De um ponto de vista mais amplo, o cumprimento em qualquer empresa não é estabelecido como uma receita. Cada Compliance tem sua própria maneira de fazê-lo, pois todas as empresas são diferentes, em termos de tamanho, objetivos e assunto. A conformidade deve, portanto, ser feita sob medida. Em outras palavras, mesmo que você use óculos e eu use óculos, seus óculos não vão me servir, eles têm que ser feitos sob medida para mim, caso contrário, não funcionarão para mim. Tenho que fazer um Compliance de acordo com minha maneira de entender a realidade, de entender os riscos e de fornecer uma solução para esses riscos. 

‍

Então, a quem o responsável pela conformidade dá as informações, e a quem o auditor interno dá as informações? Depende muito de como o Compliance é estruturado. O que posso lhes dizer é que os acionistas têm, como mão direita, um senso de consulta sobre o que a Compliance faz, ou seja, a Compliance assegura aos acionistas que o que está sendo feito é correto e de alguma forma eficiente. Porque a longo prazo, o que isto significa é que você terá uma empresa que tem um horizonte de longo prazo, se você fizer as coisas bem, então você certamente fará bem, independentemente das estratégias comerciais e destes tipos de questões operacionais, que também são importantes e transcendentais. 

‍

O importante é que, além do trabalho realizado pelo auditor interno, o que o Compliance faz é garantir a viabilidade dessa empresa ao longo do tempo. Portanto, em vez de nos preocuparmos com quem recebe a importância de um ou de outro, o que deve ficar claro é que o objetivo principal tanto do Gabinete de Conformidade quanto da Auditoria Interna é estabelecer mecanismos para controlar os riscos, o que, até certo ponto, pode comprometer a viabilidade da empresa a médio e longo prazo.

‍

Assim, levando isso em consideração e levando em conta a relação de responsabilidades entre um e outro, você pode estabelecer limites que dependerão de seus processos e do que você fizer. E então o que acontece ou acontece é ter conversas entre a auditoria interna e entre o compliance officer, e às vezes outras áreas que também estão incluídas nestes processos, nestas conversas, para delimitar responsabilidades e entre todos eles para oferecer precisamente estes planos ou processos que geram continuidade a médio e longo prazo.