Resolução do Conselho Monetário Nacional regulamenta políticas de conformidade nas instituições financeiras

Regulamentação 2554 políticas de conformidade em bancos

A entrada em vigor de uma resolução do Conselho Monetário Nacional, que regulamenta as políticas de conformidade nas instituições financeiras, estabelece regras e critérios mais claros sobre como elas devem funcionar. É uma mostra da evolução regulatória e da importância cada vez maior que o compliance ganha na governança do sistema financeiro nacional.

A regulação internacional estabelece três áreas para que as instituições financeiras se protejam, entre outras coisas, contra fraudes ou de serem utilizadas como meio de financiamento para fins criminosos: auditoria interna, compliance e auditoria externa.

snowing / Freepik

Apesar de serem áreas distintas, as três atuam de forma bastante complementar, por isso, na prática o que aconteceu é que muitas instituições acabaram agrupando as duas linhas internas de defesa: a auditoria interna e o compliance – e mais a área de riscos – sob um único guarda-chuva.

Nesse contexto, nem sempre acaba ficando claro qual o papel e, principalmente, a responsabilidade direta e específica de cada uma  dessas áreas. E, a área de compliance, pela sua própria natureza, é a que mais se mistura às outras, ficando muitas vezes, numa zona de intersecção, quase cinzenta, em relação à auditoria interna e a gestão de riscos.

Por isso, foi um avanço importante a publicação da Resolução 4595/2017 pelo Conselho Monetário Nacional (CMN). Vigorando desde o dia 01 de janeiro, ela regulamenta e estabelece critérios mais claros para o bom funcionamento das políticas de compliance nas instituições financeiras (excluindo administradoras de consórcios e instituições de pagamento, que têm regulamentações específicas nesses casos); aponta responsabilidades objetivas para os profissionais responsáveis pela sua implementação e execução; e, também, para o conselho de administração ou a diretoria da empresa (no caso de companhias sem conselho de administração constituído).

Altamente reguladas, as instituições financeiras em operação no Brasil já estavam obrigadas a observar as regras de compliance há um bom tempo. Nos últimos anos, Banco Central e o CMN vêm reforçando o arcabouço regulatório que disciplina a governança corporativa das instituições para assegurar a solidez e a eficiência do Sistema Financeiro Nacional. Desde 1998, com a Resolução 2554, que introduziu o sistema de controles internos para o mercado (alterada pela Resolução 3056, de 19 de dezembro de 2002), o regulador vem realizando o acompanhamento sistemático das atividades para avaliar, entre outras questões, se os limites estabelecidos e as leis e regulamentos aplicáveis estão sendo cumpridos, além de assegurar que quaisquer desvios possam ser  prontamente corrigidos. A nova resolução nasceu, de acordo com a assessoria de comunicação do Banco Central, da oportunidade identificada de aperfeiçoar as regras sobre conformidade, por meio de um regulamento específico.

O que muda com a Resolução 4595 é que agora as instituições financeiras não precisam apenas atentar para as leis e regulações as quais empresas do setor já estão obrigadas. Elas passam a ter que estruturar e formalizar suas políticas de compliance e estabelecer, também de forma oficial, as responsabilidades específicas da área e dos responsáveis por ela. “A nossa percepção é que a resolução é um aprimoramento de uma estrutura que já existia”, diz Larissa Arruy, advogada do escritório Mattos Filho. O que existe agora é um trabalho de avaliação para encontrar eventuais gaps que possam existir na estrutura de cada instituição, o que demanda uma análise individualizada.

Mas a advogada aponta alguns pontos de preocupação comuns nas conversas travadas com profissionais do setor financeiro. “A questão da independência; a participação do conselho – a regra anterior trazia mais atribuições para a diretoria da instituição, enquanto essa resolução traz o conselho para mais próximo das atividades; a estrutura em tamanho adequado já era uma preocupação, mas agora está mais bem especificada também”, pontua.

Para Renato Portella, sócio da área de Compliance no mesmo Mattos Filho, a resolução também não deve gerar grandes mudanças. Mas, existem pontos de atenção, como a formalização da política e a posição da área nas estruturas das instituições. Em muitas delas, mesmo as de grande porte, as áreas de controles internos e compliance ainda operam sob o mesmo guarda-chuva. “Como a norma dá evidência a independência do compliance e talvez isso não tivesse muito clara na estrutura especialmente nos bancos menores, acredito que muitos bancos estão reavaliando a posição dessas estruturas a partir dessa resolução”, conta o advogado.

Ele também pontua a alocação dos recursos destinados à área de conformidade no orçamento da instituição como uma prática que as instituições devem adotar para demonstrar que ela disponibilizou os recursos necessários à boa execução da tarefa numa eventual fiscalização do regulador.

Na prática, o que se tem é uma espécie de emancipação dos programas de compliance dentro das instituições financeiras, que obrigatoriamente precisarão empoderar a área, e, mais ainda, os responsáveis pela sua execução.

Adequada ao negócio

A resolução não obriga as instituições financeiras a estabelecerem uma área específica de compliance na sua estrutura. Ela estabelece que as políticas devam ser compatíveis com a natureza, o porte, a complexidade, a estrutura, o perfil de risco e o modelo de negócio da instituição, de forma a assegurar o efetivo gerenciamento do seu risco de conformidade.

Ou seja, uma instituição de pequeno porte, não precisa obrigatoriamente ter uma área dedicada exclusivamente à conformidade. A resolução permite, inclusive, a contratação de empresas especializadas para executar o trabalho, numa espécie de compliance outsourcing.

Gabriela Guimarães, sócia da Syard, consultoria especializada em compliance, acredita que essa é uma opção que deve ser bastante utilizada pelas empresas menores abarcadas pela resolução. “A probabilidade de que entidades de menor tamanho, como financeiras e assets, optem pela terceirização da função ou tenham uma estrutura mínima contando com apoio de consultores terceirizados é grande”, diz a especialista. Isso porque essa é uma solução que oferece a essas empresas a possibilidade de contar com o apoio e o suporte de profissionais de nível sênior e grande experiência no mercado, sem ter que montar toda uma estrutura fixa para a área, o que pode a tornar desproporcionalmente custosa, no caso de uma estrutura com profissionais de ponta; ou extremamente perigosa, caso opte por profissionais mais em conta e, portanto, ainda menos tarimbados para a função. “Esse profissional, por trabalhar para diversas organizações, também trará uma boa visão de mercado e melhores práticas, contribuindo para a elevação do benchmarking e à ‘oxigenação’ das práticas da organização”, acredita Gabriela.

Apesar da possibilidade dada pela resolução dessa terceirização, ela não elimina a necessidade de a política de compliance apontar um responsável pela sua execução dentro da empresa, que é quem vai responder ao regulador.

“A terceirização não suprime responsabilidades (de um gestor de dentro da empresa). Não é o consultor que responde ao Banco Central, ainda que ele seja o responsável pela execução do programa. A nova resolução não reduz a responsabilidade da alta direção pela implementação de uma cultura de compliance e pela supervisão de sua execução no dia a dia”, reforça a sócia da Syard.

Nesses casos, o responsável oficial do compliance pode ser um diretor de outra área, como o jurídico, por exemplo. Por isso, a contratação de terceiros sem a qualificação necessária para exercer a função, é no contexto do mercado financeiro, um risco muito maior do que em outros setores da economia, menos regulados.

Já no caso das instituições de grande porte, e mesmo os bancos médios, assegurar a efetividade do programa implica, sim, em contar com um setor de compliance (que se já não é, terá de ser) independente e composto por dezenas ou mesmo centenas de profissionais.

Até pelo tamanho dos riscos envolvidos, o que tem se visto até o momento são grandes investimentos das maiores empresas do setor em compliance, tanto em pessoal como na adoção de ferramentas e tecnologia para apoiar as equipes na obtenção de informações e na realização de análises.

O fato de não determinar a obrigatoriedade de uma unidade específica de compliance dentro das instituições diz muito sobre o espírito da resolução do CMN. Ela detalha os requisitos que deverão ser definidos na política de conformidade, que englobam os itens clássicos em legislações que versam sobre compliance.

A independência da área de compliance está lá (“instituição de medidas necessárias para garantir independência e a adequada autoridade aos responsáveis por atividades relacionadas à função de conformidade”), numa redação que dá mais clareza sobre o tema, diga-se; bem como a “alocação de recursos suficientes para o desempenho das atividades”; a “criação de canais de comunicação com a alta administração”; e, claro, “a alocação de pessoal em quantidade suficiente, adequadamente treinado e com experiência necessária”.

Mas, ela também endereça questões de forma bem mais específica, como exigir que as políticas de conformidade estabeleçam a clara divisão das responsabilidades das pessoas envolvidas nessa função. O que se tem é um modelo – já praticado pelo Banco Central em outras normativas – no qual as instituições avaliam o que elas julgam ser necessário para cumprir com a regulação.

“O normativo estabelece que a política de conformidade deve definir o objetivo e o escopo da função de conformidade e os responsáveis pela execução das atividades relacionadas à função de conformidade devem testar e avaliar a aderência da instituição ao arcabouço legal, à regulamentação infralegal, às recomendações dos órgãos de supervisão e, quando aplicáveis, aos códigos de ética e de conduta”, disse a assessoria de comunicação do Banco Central à reportagem da LEC. “Constitui responsabilidade das instituições financeiras definir o escopo das atividades de conformidade, considerando as suas próprias características e o gerenciamento dos riscos incorridos”, segue a resposta do Banco Central.

Se subdimensionarem a estrutura necessária, seja por uma questão de economia, seja de forma propositada ou mesmo por incompetência, as instituições e seus gestores terão que se entender com o regulador no futuro, especialmente se algum problema decorrente de questões de conformidade aparecer.

As políticas também devem estabelecer os procedimentos para a coordenação das atividades relativas à função de conformidade com funções de gerenciamento de risco e com a auditoria interna.

Um ponto de extrema relevância e que representa um grande avanço na governança das instituições financeiras é que as políticas de conformidade precisarão, obrigatoriamente, ser aprovadas pelo conselho de administração das companhias (no caso das cooperativas de crédito, a política deve ser aprovada também pela assembleia geral). Com isso, o board passa a ter uma responsabilidade objetiva na boa execução do programa de conformidade da instituição. Isso irá naturalmente, exigir ainda mais atenção dos conselheiros para os temas de compliance.

Esse cara é você

O maior empoderamento do responsável pela execução das políticas de compliance nas instituições financeiras não virá de graça. Independentemente do porte da instituição, a resolução determina que os responsáveis por executar as políticas sejam apontados de forma oficial e que o seu escopo de atuação esteja bem definido dentro das políticas de conformidade da empresa.

Ou seja, o sucesso ou o fracasso da implementação das políticas passam a ter nome e sobrenome dentro das empresas. E, as suas obrigações estão bem endereçadas pela resolução do CMN. Até então, o que estava exigido (pela resolução 2554) era apontar o responsável pelos controles internos dentro das instituições.

“Existe uma preocupação crescente de pessoas que ocupam esses cargos devido à responsabilidade que eles exigem”, pontua Renato Portella. Ele lembra que as regras deixam mais claro que a pessoa que está sentada na cadeira (de compliance) precisa se assegurar de que a instituição esta cumprindo as regras. “Caso não esteja, se o profissional não tomar as medidas adequadas, ele pode ter problemas. Isso cria um risco para quem vai exercer essa função”, explica o sócio do Mattos Filho.

Apesar disso, o advogado reforça que essas discussões (sobre a responsabilidade do profissional de compliance) não são novas e que quem exerce a função no mercado financeiro já sabe disso, o que faz do processo uma evolução natural.

Apesar da maior responsabilidade que a resolução impõe ao responsável pela política de compliance da empresa, os profissionais da área nas instituições financeiras estão, em linhas gerais, satisfeitos com a resolução. Essa é a percepção tanto de Larissa, do Mattos Filho, como de Gabriela, da Syard obtidas em conversas com compliance officers do setor.

“O BC institucionalizou uma função que já existia e isso foi visto com bons olhos”, acredita Larissa, para quem os bancos dispõem de pessoas treinadas e capacitadas em seus quadros para lidar com a nova realidade. Gabriela reforça essa posição dizendo que agora os profissionais tem o conforto de tomar decisões apoiados não só nas políticas internas da instituição, mas com base numa norma do regulador.

Além de testar e avaliar a aderência da instituição a todo o arcabouço legal, incluindo aí questões relacionadas aos códigos de ética e de conduta quando aplicáveis, o responsável pelas políticas de compliance também deve prestar suporte ao conselho de administração e à diretoria da instituição a respeito da observância e da correta aplicação das leis e regulamentos de conformidade, inclusive mantendo-os informados sobre as atualizações relevantes em relação a tais itens.

A responsabilidade de treinamento de conformidade também está bem endereçada, embora a resolução não estabeleça que caiba a ele diretamente a responsabilidade por ministrar os treinamentos, mas sim a missão de auxiliar. É do responsável pelas políticas de compliance também a responsabilidade por garantir a solução de eventuais descumprimentos legais apontados pelo auditor independente.

Cabe ao responsável também elaborar o relatório contendo o resumo das atividades de conformidade, com periodicidade mínima anual. O mercado tem questionado o Banco Central sobre se esse relatório pode ser parte do relatório de gestão integrada de riscos que as instituições já estão obrigadas a publicar, ou se esse relatório realmente deve ser feito de forma independente.

Questionada pela reportagem, o Banco Central disse que “não existe previsão regulatória que admita tal documento (o relatório de conformidade) como parte dos relatórios previstos na Resolução 4557, de 2017, que trata do gerenciamento integrado de riscos”. O regulador destaca que o relatório não precisa ser enviado ao Banco Central, mas deve ser mantido à sua disposição por um período de até cinco anos.

Caso não cumpra com quaisquer das demandas feitas pelo Banco Central, as instituições financeiras estão sujeitas às punições previstas na Lei 13506/2017, que permite ao BC para aplicar multas bem mais pesadas na esfera administrativa, incluindo aí a possibilidade de negociações de acordo de leniência quando for o caso.

Valorização profissional

Com tantas demandas endereçadas diretamente ao/a profissional de conformidade, não dá para as instituições financeiras confiarem a responsabilidade pela execução das políticas de compliance da empresa a profissionais sem a experiência e as qualificações necessárias para dar conta dessa tarefa de grande responsabilidade. Até porque a resolução deixa clara que os profissionais indicados para cuidar da área de compliance devem ter a experiência necessária e adequada para exercer a função.

Como cabe ao conselho validar a política, a responsabilidade do board sobre o assunto cresce exponencialmente. E, naturalmente, eles não vão querer ariscar suas reputações e cabeças nas mãos profissionais pouco tarimbados para a função.

Aprovar qualquer nome, só para preencher a caixinha do organograma – como aconteceu muito no auge do barulho em torno do compliance em outros setores de negócios – é um risco muito maior para as instituições financeiras.

Em paralelo, a resolução estabelece a necessidade de um plano de remuneração próprio para os responsáveis por atuar na área de compliance, uma vez que as instituições não poderão vincular a remuneração desses profissionais ao desempenho das áreas de negócios (ou seja, eles não podem receber bônus decorrentes dos resultados financeiros alcançados pelas instituições).

“Na prática, nas grandes organizações reguladas pelo BC, a segregação da função já era observada. Agora, com a resolução, espera-se o amadurecimento das mesmas no que tange a remuneração dos profissionais dedicados às atividades de compliance”, acredita Gabriela, da Syard. O objetivo é bastante simples, evitar conflito de interesses.

Uma vez que a remuneração final desses profissionais não será impactado pelo fechamento de um negócio que viola as políticas de conformidade, ou mesmo é considerado arriscado além do razoável, ele terá mais independência para vetar o negócio. Mas, não é só isso que faz com que a resolução empodere o profissional de compliance.

Ela estabelece que os responsáveis por cuidar da política de empresa devem ter acesso a todas as informações necessárias para realizar o seu trabalho.

Numa instituição financeira, isso implica ter acesso, inclusive, à carteira e a informação sobre as transações dos clientes da casa. É um poder e tanto que é concedido ao profissional, que precisará saber utilizá-lo de maneira adequada, cumprindo com o seu papel e, ao mesmo tempo, garantindo a guarda e o sigilo de informações críticas para a instituição e até para o cliente da mesma, dependendo do tipo de informação solicitada.

Apesar de não exigir a figura de um diretor, a posição responsável pelo compliance nas instituições financeiras, é antes de tudo, um cargo de confiança e que hoje já lida com dados estratégicos e sensíveis para a instituição. Renato pontua que, em casos que envolvam questões de informações sensíveis, a instituição pode se valer de um terceiro para evitar uma situação de conflito de interesses, ou algum tipo de problema com a troca de informações, reportando a eventual investigação diretamente ao conselho.

Larissa Arruy, do Mattos Filho, conta que existe uma movimentação nas instituições no sentido de estabelecer procedimentos para execução da atividade. “É claro que o procedimento não é capaz de prever todas as hipóteses. Sempre vai aparecer uma situação que não foi pensada de antemão ou que é tão específica que demanda uma análise particular. Mas, a preocupação de pensar os procedimentos para esses casos têm acontecido sim”, explica.

A resolução não determina o que fazer caso uma informação solicitada não for repassada pela área de negócios. Será necessário entender como o profissional de compliance deverá se posicionar diante de uma recusa de acesso à informação, inclusive em relação às autoridades reguladoras. Mas, essa é uma questão com as quais as instituições terão de lidar, e na qual o conselho de administração terá papel fundamental.

A resolução estabelece que a política deve prever canais de comunicação entre os responsáveis pelo compliance e o conselho de administração, facilitando o reporte da questão diretamente ao board quando o profissional julgar adequado.

E, como lembra Gabriela Guimarães, se o compliance officer observar limitação de acesso, ele deve registrar isso nos relatórios periódicos, indicando inclusive os assuntos e temas que não puderam ser avaliados (ou avaliados parcialmente, com ressalva), em função da restrição de acesso a sistemas, dados e pessoas.

“Esses relatórios são submetidos ao  conselho de administração e mantidos pelo prazo de cinco anos à disposição do Banco Central”, reforça.

Mais participativos

Do ponto de vista da governança, a atribuição de responsabilidades objetivas ao conselho de administração em relação às políticas de compliance das instituições financeiros segue uma tendência global de trazer os conselhos (a alta administração) para mais próximo das atividades.

Tanto que normativas que tratam de outras áreas, como auditoria interna, também tem endereçado a questão. Mas, a nova resolução, incluindo a obrigação dele mesmo aprovar as políticas que serão executadas, tornou o papel do conselho em relação a esse tema bem mais definido.

Ainda que implique eventuais mudanças de políticas e na estrutura dos bancos, os conselheiros das instituições financeiras costumam ser bastante familiarizados com o assunto. “Quem está na indústria há algum tempo, já lidou com esse tema e tem bagagem”, conta Larissa.

No melhor estilo tone at the top, a comunicação da política de conformidade a todos os empregados e prestadores de serviços terceirizados relevantes e a disseminação de padrões de integridade e conduta ética como parte da cultura da instituição devem ser garantidas pelo conselho. As responsabilidades não param por aí. Mesmo no caso da terceirização da execução das políticas de compliance, a responsabilidade do conselho é exatamente a mesma em relação à boa execução do programa.

Elementos a mais

Embora não esteja explícito, quando a resolução diz que, entre as atribuições do conselho de administração, está assegurar a comunicação da política de integridade para todos os funcionários e parceiros e a disseminação dos padrões de integridade e condução ética como parte da cultura da instituição, ela deixa implícito que o compliance anticorrupção deve estar dentro do escopo dos programas de compliance das instituições financeiras.

Embora elas já viessem atentando para as questões relacionadas a legislações como a Lei Anticorrupção e mesmo dispositivos estrangeiros, como o FCPA norte-americano, integrar esse compliance anticorrupção ao compliance financeiro clássico é algo ainda novo para as empresas do setor, que já lidam com um compliance regulatório bastante pesado.

Ao mesmo tempo, o fato de já lidar corriqueiramente com elementos como pessoas politicamente expostas e, principalmente, prevenção à lavagem de dinheiro – dois itens clássicos e quase que obrigatórios em casos de corrupção no Brasil – torna essa integração algo bastante natural.

Numa leitura mais abrangente, as medidas apresentadas na resolução podem ter como efeito colateral, o aumento da importância que as instituições financeiras já começam a dar à avaliação dos programas de compliance dos seus clientes na hora de conceder crédito.

Uma falha nesse processo – que já vinha sendo considerado um risco para o negócio, tendo em vista o estrago que as empresas da Lava Jato deixaram para o sistema financeiro – pode ter implicações para a instituição e os profissionais de compliance envolvidos.

Gabriela, da Syard, diz ser arriscado que uma instituição possa avaliar a estrutura de compliance de seus clientes. “No entanto, o amadurecimento razoável das políticas de conheça o seu cliente e conheça o seu parceiro (Know your Client e Know your Partner) me parece uma tendência, quando observado à luz de práticas padrão como ostentar uma certificação ISO”, acredita.

Embora segregue o compliance, a resolução é clara ao dizer que os riscos de conformidade devem ser gerenciados de forma integrada com os demais riscos incorridos pela instituição, nos termos da regulamentação específica.

Mas, os responsáveis pela conformidade devem entender como o seu trabalho impacta as áreas de negócios e os outros riscos aos quais a empresa está exposta e trabalhar, para que essa influência seja positiva para a sustentabilidade econômica da instituição.

Reportagem publicada originalmente na edição #20 da Revista LEC.