Executiva formada em administração e gestão pública desmitifica temas e alerta:
“A inclusão pode ser, na verdade, uma exclusão, dependendo de como é feita.”
Ainda na infância, Brenda Mendes passou por uma primeira mudança de vida: nascida em Tubarão, Santa Catarina, mudou-se para o Rio de Janeiro e enfrentou as diferenças culturais e econômicas durante sua criação. Diante da trajetória exemplar no meio corporativo, é possível afirmar que medo é uma palavra que não faz parte do seu vocabulário.
Formada em Administração e Gestão Pública em Brasília, especialista em Gestão Orientada a Processos pela PUC-RIO e especialista em Finanças pelo IBMEC, além de especialista em Compliance pela LEC/FGV e pelo IBGC, Brenda possui muitos outros títulos.
“Sempre fui inquieta e ávida por conhecimento. Hoje, quando olho para trás, concluo que não foi fácil. Afinal, passei inúmeras noites em claro, estudando leis, normas, fazendo cálculos, desenhando processos, enquanto via meu filho crescendo e dormindo ao meu lado”, afirma emocionada.
No Distrito Federal, teve o privilégio de trabalhar pela FGV na área pública, onde seu superior implantou a semente do Compliance em sua vida. “Ele me disse que eu tinha o perfil, tanto para Conformidade e Transparência, quanto para Blindagem de Riscos, e sugeriu que eu estudasse Gestão. Quem diria que anos após esse conselho eu estaria aqui, sendo entrevistada e capa de uma revista renomada?”, comemora.
A paixão pelo Compliance nasceu com a decisão de trocar de carreira uma última vez e quase que organicamente. Tudo porque, ao participar de cursos como COSO, Certificação da ISO 9001 – Gestão de Riscos e LEC – Legal Ethics Compliance, ela percebeu algo que mudaria sua vida para sempre. “Eu já estava fazendo Compliance de forma involuntária há anos no meu setor, e foi através dessas ferramentas que pude otimizar logísticas, aperfeiçoar condutas e colher bons resultados ao motivar as equipes e seus profissionais”, relata.
“É preciso enfatizar que a Gestão de Processos, Finanças e toda parte de gerência e executiva que exerci me fizeram ser a Compliance que sou hoje. Dessa maneira, desenvolvi o ‘faro’ da Desconformidade Legal Financeira, Executiva, de Imagem (Reputação) e de Riscos. Hoje, o pulo do gato consiste em gerenciar esses Pilares, dividir as responsabilidades e atingir a performance esperada”, ensina.
Assim, não só nasceu uma nova profissão, como também uma nova empresa, já que Brenda decidiu abrir a Consulto Mentoring, consultoria em Compliance, LGPD, ESG e Gestão de Processos. “Voltei para o Rio de Janeiro e, mais uma vez, me vi virando noites sem parar, estudando e, claro, acompanhando meu filho se tornar um rapaz em meio a tantas mudanças, transições e desafios. Ali percebi, diante da busca por certificações, formas e métodos, que o Compliance estava me focando em crescer e me desfocando dos medos e diagnósticos não tão queridos nessa fase de transição”, pontua.
A Consulto Mentoring tem como alvo a alta performance no âmbito corporativo nas áreas de Compliance, LGPD, ESG, e Gestão Orientada a Processos. “Um está ligado diretamente ao outro quando falamos em pessoas, cultura e objetivos. Então, é preciso desmitificar os temas nos treinamentos, suporte, implantação e gerenciamento. Reconhecendo o cenário com diagnóstico, entramos em parceria com a empresa para assim alavancar seus resultados a curto prazo, com foco nas metas estabelecidas, proporcionando um novo cenário, sendo seguro, sustentável e com alta gestão de conformidade”, resume a executiva.
Como ocorre o Compliance na prática?
Em primeiro lugar, se faz a pesquisa sobre a empresa: sua imagem, seu nicho, suas particularidades. Em seguida, ouvimos qual benefício o cliente espera de forma específica e pragmática; esse levantamento é a base que temos para sinalizar por onde começar a definir os pontos nas três esferas (estratégica, tática e operacional). É aí que o Compliance previne, detecta, remedia e recomenda. Não toma a decisão, mas executa ações mediante alguns documentos preestabelecidos e solicitações do Conselho de Administração na direção da maturidade cada vez mais sólida de uma Governança bem estruturada.
O que vem a seguir?
Na sequência, começo firmando e reafirmando o primeiro Pilar que precisa necessariamente estar bem alinhado, que é o Suporte da Alta Administração. Este tem o papel de confirmar e participar do Programa, como em treinamentos específicos, implantação de uma Política do negócio, comunicação interna do Compliance com uma frase adjunta ao comunicado, nos momentos de sensibilidade se apoiar no Compliance entendendo que as recomendações são voltadas para blindagem e saúde do negócio, que a imparcialidade perante as áreas se faz necessária para as investigações internas, conclusões e report, entre outras atividades anuais e pontuais que a Alta Administração apareça de forma escrita e presencial, assim trazendo solidez e autoridade para a implantação do Programa.
Como é a Análise de Riscos no Compliance?
O segundo Pilar é o Mapeamento/Análise de Riscos de Compliance e do Negócio. Entendendo que venho de processos, riscos e controle, você já pode imaginar que esse é um dos Pilares que tenho prazer de fazer todo pessoalmente. Começo analisando os POPs, olhando a base histórica de cinco anos em média, avalio a matriz de riscos vigente (se já tiverem) e após entender as vulnerabilidades tanto de Compliance quanto do negócio, faço duas etapas. A primeira é o mapeamento com os riscos, critérios e peso para cada um, que a Alta Administração vai validar. Na sequência, o Mapa de Riscos se transforma em Matriz de Riscos, onde é definida a prioridade com base no impacto x probabilidade, recomendações de tratativas com prazo, meta, indicadores de monitoramento e atores envolvidos parcialmente nas ações. Tudo isso segue para vigência de cronograma com a Alta Administração, com relatórios periódicos sobre a evolução e andamento. Sempre atento para o tamanho da empresa e sua estrutura, para performar dentro das necessidades, expectativas e objetivo comum em delegar ou manter dentro da área nas execuções, de fato “fazendo acontecer” com a “mão na massa” e não um Programa para “inglês ver”, cheio de PDFs ou documentos de “gaveta”.
Há riscos mais vulneráveis que outros?
Em meio à consolidação desse documento, procuro principalmente os riscos que estejam ligados diretamente à fragilidade do negócio, ou seja, comportamento de concentrações, mitigando preventivamente as dependências que afetam a sustentabilidade do negócio. Um exemplo, tornando um risco instalado como pilar de sustentação do negócio, é a fase mais estratégica do Compliance, o que a moderna gestão denomina “organizações infinitas”.
E como saber o que é permitido ou não dentro desse contexto?
O terceiro Pilar é o Código de Ética e Conduta e Políticas, que vem justamente carregado dessa visão profunda, já trazendo blindagem de riscos, regras que os tratem, direções explícitas do que pode ou não ser feito, dito ou consentido na empresa, e um direcionamento do que a Alta Administração e o Compliance esperam de toda a organização com olhar nas boas práticas de mercado. Respeito e limite entre as pessoas, inclusão, diversidade e empatia regem esses documentos, com seus marcos regulatórios em conjunto. Sempre reviso esses documentos entendendo qual público vai ler e executar, atendendo à Lei vigente e às particularidades da empresa e do nicho, sem documentos extensos, cansativos e lotados de metodologias pouco úteis para o momento ou realidade. Algo mais realista e acessível de se entender traz o termômetro positivo de aculturamento de Compliance na prática muito mais rápido dentro das áreas e de fato a execução das regras e direções pautadas nesses documentos basilares.
O controle interno atua como?
O quarto Pilar é o Controle Interno, que vem para montar a régua de medição, colocando os indicadores junto à periodicidade de marcação, assim gerando o relatório de Controle Interno que vai nos mostrar estatisticamente com base em evidências sistêmicas, operacionais e em documentos, se os nossos controles estão assertivos, efetivos e trazendo os resultados que desejamos, que são controlar, proteger e assegurar com transparência as operações da empresa, estando essas dentro dos controles de Compliance e do negócio. Nessa fase, com o primeiro relatório pronto já com os indicadores criados e instalados, reviso como um comparativo a Matriz de Riscos, os documentos já implantados como o Código e política para entender se de fato estamos no caminho certo ou se é necessário algum ajuste ou revisão nos indicadores, para assim avançarmos.
Dentro desses pilares, a comunicação é importante. Em qual é considerado com esse foco?
O quinto Pilar é o Treinamento e Comunicação, o Pilar mais desafiador, pois envolve o contato direto com os colaboradores. Temos uma oportunidade em mãos de não só dizermos o que pode ou o que não pode, mas também explicar o que é Compliance, seus benefícios, o quanto essa área vem para apoiar toda a empresa, atentando para as penalidades legais que, se assim forem aplicadas por não cumprimento de alguma regra, é uma forma também de proteger as pessoas. Estamos comprometidos com a segurança, bem-estar e respeito entre todos, sendo pares ou subordinados e seus superiores. Sempre faço dinâmicas interativas, evito uma sala com ar, slides e principalmente me “colocar” no centro. Prefiro a troca, interatividade com equilíbrio e que o máximo de pessoas saiam entendendo de fato o que nossa área faz, pretende e suas responsabilidades.
Como eles são executados na prática?
Na parte da comunicação, faço via documento ou por vídeo. Já os treinamentos são presenciais ou ao vivo por conta de logística. Na sequência, disponibilizo um questionário simples (termômetro) para medir justamente o entendimento e principais dúvidas que por ventura possam ainda estar instaladas, vislumbrar de fato o que pode ser melhorado, em que “página” os colaboradores estão em frente a todo Programa e, o principal, desmitificar a figura do CCO – Chief Compliance Officer, pessoa difícil, inacessível, dedo-duro ou que demite, e sim trazendo os colaboradores para perto, “vestindo a camisa” e se tornando os verdadeiros compliancers, pois são eles que vão executar as regras, direções e demandas.
Contudo, tenho um ponto de atenção: existe uma linha tênue para ser imparcial (não sendo nem tão próximo para criar vínculos e relações de afinidade nem tão distante, com frieza, e sim se colocando como uma área de suporte para todos). Por isso hoje pratico e acredito no Compliance Independente instalado na empresa, mas sem a “rotina” e os vínculos diretos com as pessoas, preservando a imparcialidade. Monto uma periodicidade para rodar questionários de termômetros nas áreas, com temas pertinentes e variados. Eu preciso me certificar de que os colaboradores tenham entendido os objetivos, as regras e a importância do papel de cada um para que todo o Programa seja bem-sucedido.
Como lidar com as denúncias, sem que elas tomem proporções acima do esperado?
O sexto Pilar é o Canal de Denúncias. De forma simples, é uma forma de contato entre o Compliance e qualquer pessoa, sendo de natureza jurídica, como parceiros, terceiros e fornecedores, ou pessoa física, como clientes e colaboradores. O correto é que esse canal seja uma forma de proteger o denunciante, sendo ele anônimo e que a denúncia também seja protegida, para que não atrapalhe nem sabote o curso de um levantamento e investigação interna que pode envolver: imagens, áudio, vídeos, GPS, câmeras, acessos corporativos como aparelhos, e-mails, sistemas e aplicativos internos. Todas as formas de evidências precisam ter sigilo até a conclusão e report com recomendação para a Alta Administração.
Quais as políticas de empresa para uma investigação efetiva?
O sétimo Pilar é Investigação Interna, que ocorre quando recebemos uma denúncia, uma suspeita ou queixa através dos meios de comunicação da área, podendo chegar de várias formas, sendo e-mail, canal de denúncia, via sistema, entre outros. Cada caso é um caso, certo? Com isso, a criação dos POPs (crio alguns voltados para as maiores recorrências do mercado, na frente legal e/ou alguma base histórica que a empresa tenha vivido) é bem estabelecidos para as situações, facilita em tempo de tratativas, medidas e/ou do início ao fim da investigação, trazendo mais eficiência para o resultado, já que a direção do que é preciso seguir está inteiramente estabelecida em início, meio e fim com etapas e instruções. Seguindo o rito tanto na parte de levantar as evidências quanto onde guardá-las, o preenchimento de questionário ou check list é de extrema necessidade ao sigilo, à privacidade e à confidencialidade das informações, tanto das evidências quanto dos envolvidos.
O que é feito para evitar chegar a esse ponto?
O oitavo Pilar é o Due Diligence, que na prática é um mapeamento de riscos de terceiros, parceiros, fornecedores e outros mediadores das operações da empresa. Costumo dividir esse pilar em duas etapas, sendo a primeira para os terceiros já correntes na empresa, e a segunda para nova contratação. Analisando ou criando uma política de diretriz para contratação de terceiro, devido cadastro (criar e/ou atualizar) e pesquisas quanto às práticas ilícitas, lesivas, de corrupção, suborno, lavagem de dinheiro e outros processos judiciais. Elaborando critérios pertinentes para o tipo de prestação de serviço, órgão pertinente, contrato, notas fiscais, remuneração e o(s) nicho(s) em que a empresa está inserida, esse levantamento, adequações e criações são extremamente pertinentes por conta da responsabilidade legal e exposição da imagem da empresa a uma prática a que não nos associamos. No entanto, temos leis que nos instruem à prevenção e ao combate das práticas ilegais não somente internamente, mas também com os que nos associamos.
Com isso, elaboro um mapa com fornecedores vigentes e anuais, outro com fornecedores pontuais, junto às pesquisas e atualizações feitas acima e reporto para aprovação junto com recomendações, indicadores de acompanhamento e uma periodicidade de report para controle dos acionistas.
Qual o meio para saber se até aqui foi feito tudo certo?
O nono Pilar é Auditoria e Monitoramento. Costumo dizer que são os pilares mais aliados para demonstrarem se estamos no caminho da execução bem definida para conformidade. Auditar uma área, uma atividade ou até mesmo um resultado nos leva a equiparar o esperado versus realizado. Documentos previamente bem feitos que estão norteando atividades e, em contrapartida, um agente auditando se está acontecendo como esperado. Caso não, sinalizaremos onde encontramos os gaps com prazo de resolução e apontamento do que precisa ser feito, assim retornamos dentro de um período hábil para fazer a checagem das adequações.
Já o monitoramento nos antecipa, quando temos um acompanhamento minucioso de indicadores ou atividades sistêmicas numa periodicidade mais curta. Se a atividade se desviar do fluxo estipulado, já sinalizamos medidas e pontos de atenção perante a atividade versus o esperado. Algumas atividades no monitoramento são bem definidas numa linha “reta”, já em outros precisamos estabelecer uma “caixa” de variação saudável que a atividade possa sofrer no curso, que estará a depender do departamento, nicho e atividades específicas, mas, claro, tudo bem delimitado em documentos como normas internas, políticas ou até mesmo POPs.
As diferenças entre monitoria e auditoria são quais?
Pode acontecer que em alguns resultados desse Pilar necessite de treinamento, comunicação, ajuste no POP ou até um acompanhamento mais de perto ou determinadas revisões internas, dependendo da vulnerabilidade, risco ou informações que estejam envolvidas neste departamento em questão. Analisar, levantar e comparar as etapas é importante e, como boa conduta, fazer em dupla, com agentes imparciais nas etapas tanto de checagem, revisão, quanto na validação. Simplificando: a auditoria olha para trás, passado, buscando irregularidades para serem tratadas, já o monitoramento acompanha se de fato os riscos estão sendo ou já foram mitigados, se o que foi definido e implantado nos pilares está ocorrendo, podendo recomendar melhorias dentro do período presente, buscando performar melhores indicadores e blindagem da empresa no presente e futuro.
Em um mundo mais diverso e com inclusão social, como esses pontos são inseridos?
O décimo Pilar é a Diversidade e Inclusão. Se a base do programa de Compliance é ética e conduta, a diversidade e inclusão precisam estar na cultura. Diversidade é incluir, chamar todos para oportunidades, a inclusão é dar as condições adequadas. Por exemplo, admitir um cadeirante e não ter uma mesa que possa ser nivelada, rampas, elevadores e medidas de portas adequadas, não é inclusão, é constrangimento. Diversidade é contratar por mérito e não para um estereótipo, entendendo que uma empresa pautada em ser diversa, inclusiva, gera oportunidade e valor para todos.
Se fala bastante sobre a área de RH, sempre me imponho dizendo: quais são os critérios de contratação olhando para todos? TODOS. O jurídico, o Compliance, entre outras áreas, estão se abrindo para a diversidade e inclusão e cada vez mais vejo como responsabilidade da área de Compliance a informação, conscientização e suporte para que este pilar ganhe cada vez mais maturidade. Sempre menciono em treinamentos e comunicação o quanto a diversidade, a inclusão e a conformidade andam juntas, desde a contratação, integração e acompanhamento, entendendo o respeito, o momento e espaço de todos. Hoje eu estudo libras com a professora Rebeca, acredito que a inclusão não é sobre apenas uma estrutura física e de oportunidade para inserir todos no ambiente corporativo, mas como também nós, profissionais, precisamos ter a ciência e responsabilidade que devemos saber nos comunicar com todos e de diversas formas. A inclusão não pode ser exposição e sim conexão e apoio mútuo entre todo o time. É nisso que acreditamos aqui na Consulto Mentoring: contratamos por qualificação, mérito, experiência e não por algum tipo de característica pessoal ou física.
Quais as políticas para mulheres negras dentro desse cenário?
Outro exemplo é a estatística sobre mulheres negras na Alta Gestão, PCDs, transgêneros e outros grupos sociais que não são vistos por preconceito e estereótipos, quando deveriam ser vistos por seus méritos, disponibilidades e competências. Precisamos cuidar da “falsa preocupação” que está pautada em dar “migalhas” para atingirmos uma meta para “inglês ver” ou atingir uma cota interna. A empresa precisa refletir a sociedade, se mais de 51% da sociedade brasileira é formada por mulheres, e há somente um pouco mais de 3,5% de mulheres negras em cargos de liderança na sociedade (data da pesquisa 30/12/2023), tem algo um “tanto” incompatível. Esse é apenas um exemplo, poderia rechear este capítulo de exemplos estatísticos voltados para comparações nada igualitárias, quando comparamos a sociedade versus as empresas. Nós precisamos colocar este Pilar como basilar desde a implantação e construção do Programa, apoiando o RH e demais áreas quanto à importância desse tema e quais ações temos feito para mudar esse cenário interno para apoiarmos toda uma sociedade.
Existem práticas para funcionários mais velhos também?
A questão do etarismo, como mais um exemplo que se instala hoje nas empresas. Sempre que posso, acompanho a etapa final de processo seletivo, e adivinhem? Candidatos em sua maioria até 37 anos. Como citei, poderia rechear este capítulo de exemplos nada agradáveis no aspecto igualitário, mas precisamos falar, pensar e agir o quanto antes visando oportunidade, mérito e comprometimento. Acredito nessa tríade, pois nela não existe um rótulo e sim um SER HUMANO que vai “vestir a camisa” da empresa conosco, e o respeito não pode ser negociado. Abordamos neste ano de 2024 com a LEC no CPESG e na Governança e Compliance no IBGC.
Hoje, quando olho para a LGPD, no discorrer da lei em instruções e obrigatoriedade, entendendo que um programa que representa e instrui tanto a integridade e conformidade precisa se responsabilizar com a segurança, privacidade, confidencialidade e proteção dos dados. Costumo usar na maioria dos documentos em todos os Pilares instruções, diretrizes, regras e definições quanto a esta Lei, sabendo que o Compliance vem para proteção da empresa, acionistas e colaboradores, como os dados, informações pessoais e sensíveis dessas categorias não têm o olhar cuidadoso do Compliance? Construo políticas direcionadas, treinamentos intencionais para o tema e sua importância, e reforçando com periodicidade o monitoramento em parceria com a área de Tecnologia da Informação e o jurídico, trazendo exemplos práticos em que todos os colaboradores entendam suas responsabilidades, obrigações e o nosso compromisso em proteger e informar todos quanto ao uso devido em manipular os dados.
Qual a importância da gestão de crise diante de tudo isso?
Olhando para prevenção, risco e vulnerabilidade, encontramos a Gestão de Crise. Particularmente, é algo que tenho trabalhado dentro dos programas, que visa prevenir o cenário de escassez, reações catastróficas, desordem, excessos e danos, muitas vezes subestimados pelas empresas e profissionais. Essa área estabelece medidas preventivas no âmbito financeiro e estrutural (base), corretivas voltadas para este tipo de cenário e/ou evento, conduzindo as pessoas a executarem o plano de medidas adequadas ou mais eficazes para o cenário. É importante entender que o tipo de crise pode abalar as estruturas físicas da empresa e o emocional dos colaboradores.
Às vezes, a tomada de decisão diante de uma crise não traz a transparência e assertividade esperadas. É muito comum subestimarmos a tomada de decisão com as incertezas devido ao cenário. Com isso, visando ser antifrágil e buscando prevenir ao máximo a crise do lado de “dentro” e nos preparando para uma crise do lado de “fora”, é fundamental olhar para toda a execução do Programa, o nicho da empresa com suas particularidades e volatilidades, seus riscos financeiros e de reputação (imagem). Acredito que um planejamento de medidas, ações e até mesmo instruções precisa ser construído e orientado para os atores pertinentes para ser usado em casos extremos, estar apto para lidar com a mudança, o inesperado, desordem e/ou cenário de exposição. Isso nos dá um suporte de como gerenciar e conduzir as primeiras medidas diante do caos instalado.
Como são escolhidos e decididos esses pilares?
As práticas que vou dividir aqui, por exemplo, são baseadas em: quem vai ler os documentos que vou elaborar? Quem vai executar as orientações e regras estabelecidas? Transpor o que está escrito para a realização no dia a dia está definido? Ao colocar e controlar determinados indicadores, está explícito para a área quais métricas atingir ou realizar? Qual acompanhamento e atenção adequados preciso nessa fase de transição com as áreas? Como tenho envolvido os gestores na construção de determinados documentos, medidas e indicadores?
São essas e inúmeras perguntas que me faço quando estou implantando um Pilar, construindo um documento e direcionando aos colaboradores que executam (para mim, são os Compliancers) a conformidade. Precisa estar acessível para todos, de fácil entendimento, que facilite o desenvolvimento e maturação do Programa, gerando valor para toda a empresa e não somente “para inglês ver”. Podemos ter como uma ferramenta intencional e sólida a matriz de ação e consequência, pesquisa de aculturamento abordando temáticas diversas da empresa junto ao Compliance, matriz de responsabilidade, prioridade e referência, além de outras matrizes pertinentes ao nicho, mercado, gestão e penalidade. Essas práticas colocam todo um time “agindo de acordo com as regras e cultura estabelecida”. Os benefícios são incontáveis e incomparáveis em termos de tempo e custo de processo, satisfação do cliente, melhor gestão e comunicação, alinhamento nas três esferas do negócio, e indicadores de medição de risco legal, financeiro e reputacional sendo mitigados e sanados, além de um planejamento estratégico fluido, entre outros. Um olhar imparcial é fundamental, mas é necessário que o Compliance Officer tenha um rosto, um nome e um acesso de verdade, e não apenas uma “placa” na porta de uma sala fechada.
E o ESG, faz parte do compromisso desta área?
Faz parte de medidas, tratativas, comunicações e remediações quanto ao que tange uma cultura de agir de acordo com as regras, o bem-estar de todos e a consciência socioambiental? Acredito que as primeiras perguntas a se fazer são: meu Programa de Compliance funciona? Atendo às diretrizes obrigatórias quanto à LGPD? Quais riscos do negócio de fato mitiguei? Com base nessas respostas, um levantamento interno (o que a empresa já faz em direção ao social e ambiental) e externo (o que já fazem no meu entorno? Qual a maior vulnerabilidade voltada para o ambiente e social?) é um bom começo para ter uma “fotografia” dos dois cenários atuais, o que chamo de lucidez.
Convidar pessoas-chave (equipe multidisciplinar, pessoas que olham para o mesmo ponto com ângulos diferentes) para abordarem as temáticas atuais e montarem um planejamento juntos, engajando a maioria das áreas, entendendo que somos parte de um todo. As ações podem ser simples e eficazes e, aos poucos, as práticas amadurecem e ganham forma para se tornarem um Programa de ESG maduro, respeitando e atendendo aos Pilares, à empresa e toda a forma de comunidade (ambiental e social).
Gostaria de fazer considerações finais?
Agradeço ao Senhor Jesus pelo favor, graça e misericórdia em todo o conduzir da minha trajetória e abertura de portas. À professora Claudia Bárbara, amigo Luetil, Elis Castelo da Innove Contábil (amiga e cliente), a toda a minha família, especialmente à minha irmã Anna Mendes, que está ao meu lado na empresa. Agradeço também a todas as pessoas especiais com que pude cruzar ao longo desse período e todos que me apoiaram com Compliance e com a abertura da minha empresa.