Milhões de contas fraudulentas na Wells Fargo. Fraude sistêmica na Volkswagen sobre o nível de emissão dos veículos. Propina disseminada na Petrobras que prejudicou não só o governo, mas também a economia no Brasil. Ao mesmo tempo que esses escândalos corporativos tomavam conta das manchetes nos últimos anos, inúmeros outros não chegaram a ter penetração na consciência global. De acordo com a Association of Certified Fraud Examiners (Associação dos Examinadores de Fraudes, em tradução livre), quase metade dos dados de fraude nunca chegam ao conhecimento do público, e as organizações perdem cada uma cerca de US$ 3 milhões em receitas anuais em fraudes. Além disso, dos quase três mil executivos entrevistados pela Pesquisa Global sobre Fraude da EY em 2016, 42% afirmam que poderiam justificar o comportamento antiético para atingir suas metas financeiras. É evidente, portanto, que as transgressões permanecem profundamente arraigadas nas corporações privadas atualmente.
A má conduta sistematizada das corporações é ainda mais surpreendente em virtude sobretudo das quantias impressionantes que as empresas gastam em esforços de compliance — programas de treinamento, hot linese outros sistemas projetados para evitar e detectar descumprimento das leis, regulamentações e políticas das empresas. As multinacionais gastam em média vários milhões de dólares por ano em compliance, e em setores fortemente regulamentados — como serviços financeiros e defesa — os custos podem chegar a dezenas ou até centenas de milhões. No entanto, todas essas avaliações subestimam profundamente os custos verdadeiros de compliance, porque o treinamento e outras atividades dessas atividades focadas no descumprimento das leis consomem milhares de preciosas horas de trabalho dos funcionários todos os anos.
Com razão, muitos executivos estão frustrados por ter de arcar com os custos imensos e sempre crescentes de compliance sem ver benefícios claros. No entanto, eles continuam a investir nisso — não porque pensem que compliance seja necessariamente algo produtivo, mas porque temem que, ao expor suas organizações a uma maior responsabilidade, poderiam falhar em não gastar o suficiente. Muitas vezes, os funcionários também rejeitam os programas de compliance porque os consideram como uma série de rotinas para “ticar” nos quadradinhos e exercícios de treinamento sem sentido. Em nossa visão, essas despesas e frustrações são trágicas — e evitáveis.
Estamos absolutamente cientes das percepções e desafios que envolvem compliance. De novembro de 2015 até sua demissão em junho de 2017, Chen trabalhou como a primeira e única consultora de compliance do Departamento de Justiça dos Estados Unidos (DOJ): ela aconselhava os promotores a avaliar os esforços de compliance de empresas em investigação. Soltes, em sua pesquisa na Harvard Business School, estudou os obstáculos que os conselhos gerais e os responsáveis por complianceenfrentam ao avaliar até que ponto seus programas funcionam e a explicar as vantagens para outras pessoas de suas organizações. Para nós, é óbvio que o valor do compliance precisa estar claro, tanto para os líderes como para os funcionários das empresas.
Acreditamos que a resposta está em medir melhor. Em seu bojo, a ideia é ao mesmo tempo simples e crucial: as empresas não podem criar programas eficazes de compliance sem ferramentas eficazes de medida. Para muitas empresas, as medidas apropriadas podem estimular a criação de programas de compliance mais enxutos e até mais eficientes.
Como chegamos a esse ponto
Para avaliar como o compliance evoluiu até seu estado atual, vamos analisar como esses programas começaram. Após uma série de escândalos corporativos nos Estados Unidos nas décadas de 1970 e 1980, grupos de indústrias se uniram e adotaram políticas e procedimentos internos para delatar e tentar evitar a má conduta. Esses esforços ajudaram a acalmar os legisladores que procuravam controlar e punir com mais rigor as empresas por práticas desonestas. O autopoliciamento agradou os líderes de empresas como uma forma de evitar o custo e a disrupção causada pela criação de eventual regulamentação adicional. E reduziu a carga investigativa sobre os reguladores, o que fez muitas pessoas acreditarem que essa conduta poderia desencorajar com sucesso os delitos.
Atraída pelos supostos benefícios, em 1991 a Comissão de Condenação dos Estados Unidos (USSPC, na sigla em inglês) alterou suas normas gerais e ofereceu às empresas uma redução substancial de multas se elas conseguissem apresentar um “programa eficaz de compliance”. Logo seguiu-se uma série de memorandos de agentes seniores do DOJ persuadindo os promotores a considerar a eficácia do programa de compliance das empresas ao decidir sobre as acusações criminais. Esses esforços foram propostos não só para encorajar um melhor monitoramento pelas empresas, mas também para reconhecer que elas podem se tornar vítimas de funcionários mal-intencionados. Outros reguladores civis, como a Comissão de Valores Mobiliários, o Departamento de Saúde e Serviços Sociais dos Estados Unidos e a Agência de Proteção Ambiental, adotaram essa abordagem de punição e incentivo para o compliance.
Uma indústria rapidamente se dispôs a fornecer programas de treinamento em compliance, hot linespara os denunciantes e avaliações de risco. Não ter um programa de compliance tornou-se uma responsabilidade significativa demais para que qualquer grande empresa — até empresa estrangeira que apenas utilizava bancos americanos — a ignorasse. Essa potencial responsabilidade aumentou sistematicamente à medida que outros países, como Reino Unido, Brasil e Espanha, aprovavam leis que levavam o compliance em consideração em ações de cumprimento da lei.
Para muitos líderes de empresas, programas de compliance são uma proteção contra cenários piores, similares a uma cara política de seguros. Eles podem solicitar a assinatura de longos códigos de conduta atestando que os signatários conhecem as políticas de suas empresas. Podem também participar de programas de treinamento em tópicos como privacidade, uso abusivo de informação privilegiada e propina. No entanto, as pessoas em geral só participam dessas aulas genéricas com o intuito de ser aprovadas no teste final — um questionário de dez perguntas.
Quando o DOJ fez acusações criminais contra o funcionário da Morgan Stanley, Garth Peterson, em 2012, os documentos da acusação mostraram que Peterson tinha participado de sete sessões de treinamento de compliance e recebido 35 avisos relacionados a evitar subornar funcionários do governo — crime no qual ele próprio se envolveu. Mas essas iniciativas de compliance pouco influíram na conduta de Peterson, pois elas eram pro forma. “Existem os programas e e-mails”, disse ele, “mas não funcionam porque as pessoas simplesmente podem deletar ou, se têm de fazer teleconferências, mas… em vez de realmente ouvir, tudo o que têm de fazer é dizer ‘Garth Peterson está presente’, e discretamente desligar, ou simplesmente colocar o telefone de lado e fazer outro trabalho e depois marcam no quadradinho que diz: concluído.”
O DOJ reconheceu que as empresas podem estar gastando muito e criando todos os elementos de compliance, mas, na verdade, estão produzindo fachadas ocas. Em sua avaliação de 2008 dos “Principles of Federal Prosecution of Business Organizations”, o departamento convoca especificamente os promotores a “determinar se o programa de compliance da corporação é simplesmente ‘um programa de gaveta’ ou se ele foi projetado, implementado, revisado e considerado adequado efetivamente”. No mesmo ano, num caso semelhante, a Siemens foi condenada a pagar uma multa recorde de US$ 800 milhões aos cofres públicos dos Estados Unidos, e a promotoria repetidamente denunciou a inadequação dos “programas de gaveta” da Siemens.
Os promotores enfatizam sem cessar que as empresas com programas de compliance ineficazes não merecem crédito por seus supostos esforços. No entanto, muitas vezes, era desafiador distinguir programas significativos dos que eram de fachada, uma vez que avaliar esses programas exige tempo e expertise consideráveis. A decisão do DOJ de não processar o Morgan Stanley no caso Peterson, por exemplo, foi vista como uma validação da abordagem da empresa de garantir compliance, que incluía inúmeras sessões de treinamento, além de hot line padrão e das certificações habituais dos funcionários sobre as normas de conduta da empresa. No entanto, Peterson alegou que o governo estava “mentindo para a sociedade e dizendo que eles (o Morgan Stanley) tinham um programa decompliance maravilhoso quando, na verdade, o governo sabe que isso não entraria na cabeça das pessoas, que é o que realmente importa”.
O DOJ contratou Chen no segundo semestre de 2015 para enfrentar o desafio de avaliar a eficiência real dos esforços de compliance das empresas. Logo no início, ela percebeu que havia alguma coisa errada nos vários programas que examinou. As empresas produziam rotineiramente grandes calhamaços de políticas e procedimentos e contabilizavam os números de controle em seus sistemas financeiros. Mas não mostravam evidências de terem testado essas políticas, procedimentos e controles, nem acompanhado o número de violações que haviam sofrido. A empresa, por exemplo, citava seu programa interno de longa duração de denunciantes, mas não tinha dados sobre a taxa de utilização do programa pelos funcionários. Ou relatava rotineiramente quantas vezes treinara os infratores exatamente nos tópicos de má conduta, aparentemente cega à ironia de defender seus esforços de compliance dessa forma.
Em resposta à sua exigência de focar na efetividade, Chen esboçou uma extensa lista de questões que os promotores deveriam considerar ao avaliar os programas de compliance. As perguntas cobriam uma ampla gama de áreas de compliance, incluindo treinamento (“Que análise a empresa realizou para determinar quem deveria ser treinado e em que assuntos?”), responsabilidade individual (“Os gestores prestavam contas das más condutas que ocorriam sob sua supervisão?”) e liderança (“Qual a expertise em compliance do conselho?”). O DOJ tornou as perguntas públicas em fevereiro de 2017, num documento intitulado Evaluation of Corporate Compliance Programs (Avaliação de Programas Corporativos de Compliance, em tradução livre).
A ideia não era utilizar o documento como uma lista de checagem. Ao contrário, da forma como foi proposto, ele listava “alguns tópicos importantes e exemplos de questões que a área de fraude geralmente considerava ao avaliar um programa de compliance corporativo”. De fato, todas as avaliações continuariam a ser individualizadas. No entanto, como observou Soltes em suas interações com gestores e advogados corporativos na época, as empresas começaram rapidamente a se apropriar do documento como um manual para criar programas eficazes. Os gestores, em particular, acreditavam que, se pudessem fornecer uma resposta para cada questão, garantiriam a si mesmos estarem satisfazendo as expectativas do DOJ. Mas o mais preocupante foi que Soltes viu empresas escolherem dados seletivamente para dar a impressão de que suas práticas eram eficientes, em vez de admitirem que algumas estavam claramente muito aquém do exigido.
Uma das perguntas do documento do DOJ é como as empresas avaliam a qualidade e eficiência de seus treinamentos. Uma pesquisa realizada pela Deloitte e pela Compliance Week sugere que a forma mais comum é medir as taxas de conclusão: será efetivo o treinamento que obtiver 90% ou 95%. No entanto, essa métrica não reflete nem a qualidade do treinamento (se ele é adequado e se o conteúdo é útil) nem sua efetividade (quanto os funcionários aprendem de fato e colocam em prática).
As empresas se baseiam nas taxas de conclusão não porque isso mostre que elas estão no “caminho certo” para medir o sucesso, mas porque seu objetivo é somente demonstrar aos reguladores que cumpriram sua obrigação. Se de um lado algumas empresas oferecem a seus funcionários instruções efetivas sobre seguir as regras, de outro lado vemos muitas se enganarem por achar que seu treinamento é satisfatório simplesmente porque mostra alta taxa de conclusão.
Uma das principais razões que levam as empresas a continuar investindo cada vez mais em complianceé que elas não estão aplicando as métricas certas e, portanto, não podem dizer o que funciona e o que não funciona. Em muitas empresas, reforçar o compliance tornou-se sinônimo de contratar mais gestores de compliance, adquirir softwares mais sofisticados e criar mais políticas, mesmo quando essas medidas são redundantes e ineficazes, ou simplesmente não produzem resultados.
Como as métricas de compliance se desviam do bom caminho
De acordo com a Deloitte e a Compliance Week, 70% das empresas sequer tentaram medir a efetividade de seus programas de compliance. E das que medem, só um terço está confiante ou muito confiante de que está utilizando as métricas certas. No início de 2017, o Departamento de Saúde e Serviços Sociais dos Estados Unidos convocou uma reunião para o desenvolvimento de métricas que ajudassem as organizações de assistência de saúde a avaliar melhor a eficácia de seus programas de compliance. O grupo produziu um relatório em que mais de 550 diferentes indicadores foram detalhados. O documento reconhece que uma dada organização precisaria somente de um subconjunto desses indicadores, talhado especificamente para seus negócios ou para seu perfil de risco.
Ao procurar avaliar quantitativamente a eficácia do programa, há uma tendência de as empresas cometerem os mesmos erros. A seguir as armadilhas mais comuns.
Métricas incompletas. As normas do DOJ e do USSPC esperam que em programas de complianceeficientes as pessoas sejam responsáveis por suas violações. O documento de avaliação do DOJ pergunta, por exemplo: “A empresa já despediu ou puniu de outra forma alguém pelo tipo de má conduta em questão?”; e “As ações disciplinares e incentivos foram aplicados com justiça e consistência na organização?”. Para demonstrarem a responsabilidade individual, muitas empresas listam os funcionários que foram demitidos ou não receberam bônus como resultado de transgressões relacionadas ao compliance. No entanto, essas estatísticas não são suficientes para provar que a empresa mantém os funcionários rigorosamente responsáveis, uma vez que elas não indicam o número de funcionários que não foram punidos. Uma empresa que pune cinco funcionários porque cinco pessoas se comportaram inadequadamente ao longo de anos é muito diferente de outra que pune cinco funcionários entre 50 que violaram as políticas da empresa. Vimos empresas punir funcionários de nível mais baixo ou com menos potencial, e ao mesmo tempo proteger os que ganham mais ou executivos seniores. Por isso a estatística simples baseada no número de funcionários punidos pode estar incompleta e ser enganosa.
Métricas inválidas. Embora uma ampla variedade de dados possa ser coletada sobre as várias facetas de um programa de compliance, somente um subconjunto, na verdade, está correlacionado com o impacto do programa. Em resposta à pergunta do DOJ sobre como a empresa mediu a eficácia de seu treinamento, as empresas geralmente focam na porcentagem de funcionários que concluíram o treinamento, como já observamos, ou no número de horas que dedicam ao treinamento. Essas métricas estão completamente erradas. As taxas de conclusão podem ser relevantes para a empresa monitorar outras métricas, mas uma medida significativa da efetividade precisa estar diretamente associada a resultados claramente articulados — por exemplo, os funcionários demonstraram entender as políticas e procedimentos, as habilidades adquiridas foram úteis para confrontar cenários antecipadamente, ou houve uma mudança de conduta.
Confundindo a responsabilidade legal para efetividade do compliance. As políticas de compliancesatisfazem importantes exigências legais, mas tentar forçá-las dentro de constructos legais pode restringir sua capacidade de influenciar positivamente o comportamento dos funcionários. Considere a seguinte pergunta: “Como a empresa avalia se essas políticas e procedimentos foram eficazmente implementados?”. Muitas empresas respondem que os funcionários assinaram uma declaração de que leram e entenderam as políticas da empresa e as normas de conduta. Embora essa assinatura possa fornecer amparo legal para despedir quem viola uma regra, ela não confirma que o funcionário tenha convertido conhecimento sobre políticas em práticas cotidianas de trabalho. Quantas vezes todos nós, conscientemente, concordamos com os termos legais de um acordo, principalmente aqueles que não nos dão poder de barganha? Os funcionários podem assinar um documento concordando com as políticas corporativas sem, na verdade, terem lido ou entendido seus termos. Além disso, as políticas são difíceis de entender porque são escritas em linguagem jurídica, técnica ou simplesmente muito densa. Poderia haver também um entendimento tácito dentro da empresa de que as políticas não precisam, de fato, ser seguidas ou que as melhores práticas podem ser improvisadas. Portanto, contar com o consentimento legalmente exigido do funcionário em relação às políticas não é uma forma adequada de quantificar a eficácia de uma iniciativa de compliance.
Viés de autoavaliação e autosseleção. Muitos gestores de compliance se baseiam em pesquisas para avaliar o desempenho de seus programas. Para avaliar, por exemplo, a familiaridade dos funcionários com os mecanismos de denúncia, a empresa poderia perguntar: “Você sabe quando buscar aconselhamento sobre compliance? Você está disposto a fazê-lo?”. O problema com as pesquisas é que a autoavaliação e a autosseleção pelos respondentes pode distorcer os resultados e induzir os gestores a conclusões incorretas. Funcionários que observaram comportamento desonesto podem relutar em denunciar seus colegas e preferir não responder a determinadas questões da pesquisa, o que distorce os resultados para os funcionários que não observaram delitos. Da mesma forma, pessoas em posição sênior e aquelas que, na verdade, se envolvem em más condutas podem estar menos dispostas a participar. Portanto, ao interpretar as métricas, o viés nos dados coletados precisa ser levado em conta.
Crie um link entre iniciativas de compliance e objetivos
Então, como criar modelos que possam avaliar com credibilidade o impacto de um programa de compliance? O primeiro passo é reconhecer que esse programa, na verdade, tem várias finalidades. Como mencionado em inúmeros memorandos de funcionários seniores do DOJ, os três principais objetivos são evitar más condutas, detectar más condutas e alinhar as políticas corporativas com a legislação, regras e regulamentações. Cada componente do programa de compliance deveria estar associado a um desses objetivos. Por exemplo, o treinamento serve para evitar más condutas, as linhas diretas de denunciantes são projetadas para detectá-las e as normas de conduta têm por objetivo alinhar o comportamento dos funcionários com as políticas da empresa e regulamentações externas. Embora uma iniciativa de compliance possa se superpor a outra ou impactá-la, identificar claramente as metas de cada uma ajudará os gestores a criar métricas mais significativas.
Considere uma hot line confidencial para delatores. Seu objetivo é melhorar a detecção rápida de delitos. Para entender se ela está atingindo esse objetivo, são necessárias várias informações, incluindo testes (denúncia de um “testador misterioso”), se as pessoas realmente a utilizam (dados de utilização), como a utilizam (dados sobre tipos de ligações recebidas), agilidade da empresa em responder a denúncias (tempo de resposta, tempo de conclusão da investigação, resultados da investigação, comunicação de resultados) e se os funcionários se sentem confortáveis em interagir com a linha direta (pesquisas periódicas sobre os sentimentos dos funcionários). Cada uma dessas métricas captura uma dimensão diferente da eficácia da iniciativa.
No entanto, não é suficiente monitorar essas variáveis de forma independente, porque isso não permite que os gestores identifiquem que parâmetros são responsáveis por determinados resultados. Uma linha direta eficiente pode revelar, por exemplo, um número crescente de problemas ou apenas um alto nível de conforto dos funcionários com as ligações. Para entender melhor, os gestores podem aplicar uma análise de regressão multivariada. Modelos de regressão permitem que o investigador examine o impacto de uma variável enquanto mantém as demais constantes. Nesse caso, para afirmar se um aumento de chamadas indica um aumento nas violações de compliance, procuramos manter constantes os seguintes fatores: a disponibilidade da linha direta, o conforto das pessoas em usá-la, seu desempenho operacional e o número de potenciais usuários (pessoas com acesso a ela). Projetar modelos adequados de regressão exige tempo e experiência, mas é a forma mais confiável de saber se há tranquilidade ou preocupação com as mudanças no volume de chamadas.
Tomemos outro exemplo — treinamento de compliance, cujo objetivo é evitar más condutas ajudando os funcionários a internalizar regras e regulamentações. Avaliar como os funcionários entendem o que se espera deles depois de concluírem o treinamento é insuficiente para estabelecer a eficácia do treinamento. Um alto grau de compreensão poderia refletir a influência positiva da instrução que receberam, mas também simplesmente refletir o conhecimento básico dos funcionários. Por isso, as empresas precisam avaliar o que os funcionários sabem antes e depois do treinamento. Se houver pouca mudança, o treinamento pode ser desnecessário, ou precisa ser aprimorado para envolver as pessoas de forma mais completa e para aproveitar melhor seu tempo.
Obviamente, o objetivo do treinamento não é só melhorar o conhecimento dos funcionários sobre as regras, mas também incutir e perpetuar os comportamentos adequados. Mais uma vez, um modelo de regressão pode ajudar as empresas a entender o link entre sessões de treinamento e mudanças no comportamento dos funcionários. Ao controlar os outros fatores que podem contribuir para violações das políticas, podemos testar se as pessoas que recebem o treinamento se tornam mais ou menos inclinadas a violar regras.
Como demonstram esses exemplos, as empresas deveriam utilizar dados empíricos gerados por seus programas de compliance para avaliar se estes estão de fato atingindo seus objetivos. Novamente, enfatizamos que as empresas precisam fazer mais que apenas monitorar métricas independentemente. Elas devem empenhar-se em criar modelos que meçam o output desejado, e ao mesmo tempo controlar ou eliminar outros fatores.
No passado, ao tentar mostrar a eficácia de seus programas, as empresas podem ter medido outras métricas que não estavam bem alinhadas com os objetivos de compliance, mas os padrões e os interesses estão mudando. Os promotores, tribunais e reguladores procuram crescentemente evidências mais rigorosas. Isso significa que as empresas precisam ser capazes de apoiar alegações de compliance com melhores dados e modelos — processo que só é possível quando há capacitação para medir com precisão o desempenho dos programas.
Engenharia de compliance
Algumas empresas talvez queiram investir tempo e recursos significativos em programas de compliancee ética porque estão convencidas de que esses programas são essenciais para o sucesso de longo prazo da organização. Mas somos pragmáticos. Entendemos que, com todas as outras demandas que competem pelos recursos limitados da empresa, as preocupações com regulamentações e responsabilidades eternamente presentes tornam-se, muitas vezes, a lógica que promove os esforços de compliance. No entanto, foca-se exatamente no aspecto regulador, porque ele é crítico na séria questão de medir os resultados. Como os programas de compliance continuam a ser examinados com mais atenção, os que não mostrarem resultados significativos não conseguirão atender aos padrões reguladores rigorosos aplicados atualmente. De forma mais direta, se o melhor que a empresa pode dizer de seu curso de treinamento anticorrupção é que os funcionários o concluíram, certamente ela não receberá dos promotores, tribunais e reguladores os créditos conferidos aos programas eficazes.
Embora muitas empresas continuem a pensar em compliance como um exercício legal, ela é, acima de tudo, uma ciência comportamental. Essa afirmação pode deixar os advogados desconfortáveis, mas para os programas de compliance terem um real impacto, os gestores precisam testar o que funciona e o que não funciona. Isso exigirá que as empresas se envolvam em alguma experimentação e inovação. Os códigos de conduta devem articular políticas que sejam centrais para o sucesso da empresa. E as linhas diretas devem existir não só para registrar as denúncias de violações, mas também para ajudar os funcionários a resolver situações difíceis antes de agirem errado. Ao desenvolverem melhores medidas de efetividade, as empresas podem adotar programas mais ambiciosos e inovadores que realmente inibam comportamentos impróprios.
Considerando todas as complexas regulamentações que governam os negócios atualmente, não é de admirar que as empresas lutem para entender e atender suas obrigações legais e éticas. Seria conveniente se houvesse uma única trena para medir tudo, que pudesse mostrar se um programa de compliance está funcionando bem ou não. Mas métricas univariadas simples não são suficientes para avaliar de forma apropriada a eficácia do programa. A engenharia de compliance bem-sucedida requer certa criatividade, alguns testes e a criação criteriosa de modelos para medir os resultados adequadamente.
Empresas do mundo todo já estão gastando fortunas em compliance. Vamos garantir que todos esses recursos sejam bem gastos. Melhores medidas podem ajudar os gestores a identificar iniciativas redundantes ou ineficazes que podem ser substituídas ou eliminadas — e, em última instância, revelar oportunidades para tornar os programas mais eficazes.
Hui Chen, ex-especialista em compliance do Departamento de Justiça dos Estados Unidos, é consultora de ética e compliance de agências reguladoras do governo e de organizações no mundo todo.
Eugene Soltes é professor na Harvard Business School, onde desenvolve pesquisas relacionadas a má conduta nas corporações.
Fonte HBR