Seria possível um programa de Compliance zerar riscos em uma organização?
De tempos em tempos esbarro em publicações de profissionais questionando a atuação de programas de compliance que se transformaram nos famigerados “Dr. Não” ao não aceitarem riscos do negócio.
Há muita falta de compreensão de como um programa de Compliance realmente funciona.
Um programa de Compliance não serve para zerar riscos. Todo negócio tem um grau maior ou menor de exposição a riscos. De uma forma genérica, a área de Compliance serve para primeiro: detectar estes riscos, e segundo: mitigar estes riscos. E ainda assim, mitigar muitas vezes não quer dizer zerar, mas sim, implementar estruturas que possibilitem um certo grau de proteção quando o risco se consumar.
A falácia de que áreas de Compliance gostam de dizer não, é fruto de contratação de profissionais mal formados, que não sabem como um programa funciona; e também a juniorização das áreas; e em última instância, programas mal implementados.
Os riscos existem, precisam ser conhecidos, quantificados, mitigados e monitorados. E em muitos casos, eles permanecem após todo esse processo; mas as organizações têm contingencias estabelecidas caso os riscos se concretizem.
Agora, é óbvio que existem riscos que não devem ser admitidos. E adivinhem: sabem quem tem que rejeitar este risco?
O negócio.
Como assim?
A área de Compliance trás à luz o risco, o negócio faz ou não a assunção deste.
Não cabe à area de Compliance “aceitar” riscos, mas sim indicar quais os impactos e consequências deste risco.
Essa é a atuação correta de uma área de Compliance; no entanto, para isso é necessário muito conhecimento e maturidade na atuação, e isso sim, está faltando em departaments de terríveis “Drs. Não.”
