A questão da gestão do risco de conduta vai muito além do cumprimento dos (rigorosos) requisitos regulamentares. Isso é apenas uma das peças do quebra-cabeça. Também é fundamental entender que o desenvolvimento de uma cultura de boa conduta inclui colaboradores, processos e sistemas certos, bem como uma estrutura holística de gestão de risco. E o seu framework de gestão deve estabelecer claramente uma visão que se esforce para alinhar todas as partes interessadas em torno dessa visão. Um framework eficiente deve identificar e gerenciar riscos, recompensar o comportamento ético e estabelecer um conjunto claro de consequências relacionadas à má conduta.
Além disso, deve definir claramente as áreas de responsabilidade para lidar com questões de compliance. Regras e valores compreensíveis devem ser publicados e comunicados pelo conselho de administração e executivos a todas as partes interessadas da organização. Qualquer programa de compliance bem concebido implica em políticas e procedimentos para reduzir os riscos identificados pela organização como parte do seu processo de gestão de riscos. A gestão e os executivos desempenham um papel fundamental na implementação bem-sucedida dessas regras e valores, e deve haver um foco não apenas no tom da alta gestão (tone from the top), mas também na conduta da alta gestão (conduct at the top).
Construindo um framework de gestão de risco de conduta
O desenvolvimento e a implementação de um framework eficaz de risco de conduta geralmente requerem um grande nível de customização. Porém, devem ao mesmo tempo que alguns princípios fundamentais permaneçam em vigor. Um framework que funcione bem deve refletir e ser adaptado à cultura, ao ambiente de negócios e ao cenário regulatório da organização. Três princípios fundamentais, no entanto, devem ser parte integrante dessa estrutura: métricas padronizadas, foco no cliente e definições claras.
Métricas padronizadas
À medida que o foco regulamentar muda cada vez mais para a antecipação e garantia dos direitos e bem-estar dos clientes, as partes interessadas das organizações sentem a urgência de desenvolver um conjunto de métricas padronizadas que possam servir como indicadores principais de maus-tratos aos clientes.
Os reguladores já não aceitam o argumento de que a cultura não pode ser medida, forçando as organizações a lançar métricas de risco relevantes que meçam a cultura e o risco de conduta. Essas métricas geralmente incluem auditoria interna, monitoramento de resultados, pesquisas (tanto de colaboradores quanto de clientes) e análise de reclamações de clientes. Um framework eficaz deve conter métricas mensuráveis que possam ser utilizadas para avaliar e mitigar riscos potenciais.
Foco no cliente
O foco no cliente deve ser um princípio orientador fundamental para o desenvolvimento de qualquer framework de gestão de risco de conduta. A ideia é atingir os objetivos estratégicos da organização tendo sempre em mente os interesses dos seus clientes e dos principais stakeholders.
Embora a prevenção da má conduta deva ser claramente um requisito de qualquer framework de gestão de risco de conduta, este não é um objetivo adequado por si só. Uma abordagem centrada no cliente, onde a organização garante resultados positivos para os clientes em todas as fases da sua jornada, também deve ser considerada.
Definições claras
Definições claras de conduta devem servir como pilares de qualquer framework de gestão de risco de conduta. O risco de conduta deve ser uma categoria claramente definida e alinhada com outras dimensões de risco importantes. Referindo-se especificamente à sinergia de estratégias baseadas em conduta/compliance, formas relevantes de riscos de conduta devem ser visadas através de um programa de compliance feito sob medida, projetado para prevenir, detectar e responder à má conduta e à não-conformidade no comportamento.
Um aspecto crítico (e infelizmente, na maioria das vezes, esquecido) é a definição clara de o que é “boa” e “má” conduta. Embora o que constitui uma “boa” conduta deva estar bem delineado na taxonomia da organização, o âmbito de trabalho não deve ser demasiado restrito. Limitar a definição de conduta restringiria as definições potenciais e prováveis necessárias de risco de conduta e seus resultados. No outro extremo do espectro, as empresas deveriam despender esforços iguais na definição da conduta “má”. A abordagem dupla – definindo tanto a “boa” como a “má” conduta – é um excelente guia para as organizações que ainda estão definindo os seus frameworks de gestão de risco de conduta.
Modelo de framework de gestão de risco de conduta
Depois da organização ter desenvolvido o seu próprio framework de gestão de risco de conduta (utilizando os três princípios orientadores mencionados anteriormente), ela deverá verificar a sua eficácia e aplicabilidade. Para isso, existem quatro perguntas que devem ser feitas para determinar se esse framework resistirá ao teste do tempo:
1. A organização realizou um gap analysis completo e detalhado do seu status quo de risco de conduta, estruturado de acordo com o seu objetivo de gestão?
2. Com base no perfil de risco da empresa, foi desenvolvida uma estratégia integrada de conduta/compliance?
3. O programa de compliance/ética derivado dessa estratégia integrada foi implementado e comunicado?
4. O framework acompanha o progresso das medidas implementadas no sentido das recomendações identificadas (tais como um heatmap de risco de conduta de alto nível)?
A fim e facilitar a visualização e o entendimento, um modelo abrangente de framework de gestão de risco de conduta que engloba todos os requisitos discutidos anteriormente é mostrado na imagem abaixo:
O framework acima baseia-se em sete pilares principais, onde cada um dos quais é fundamental para apoiar uma cultura de conduta ética. Uma estratégia abrangente de risco de conduta está no topo do framework e pode ser subdividida em três categorias: estratégia de negócios, apetite ao risco e estratégia de pessoas (incluindo incentivos).
O segundo e terceiro pilares centram-se na cultura, conscientização e governança, que incluem funções e responsabilidades claramente definidas ao longo das outras dimensões. Iniciativas de treinamento contínuas sobre as regras e princípios de compliance e ética desempenham um papel importante na eficácia do framework. Outro componente importante aqui é a presença de uma ferramenta de denúncia anônima que permite aos funcionários denunciar casos de não conformidade e permitir que a administração detecte e responda à má conduta.
Os processos centrais – ciclo do produto, processe vendas e outros processos – formam o quarto pilar. Estes asseguram a existência de sistemas e processos adequados na forma como as organizações se comportam e estabelecem regras fundamentais para tratar os clientes de forma justa.
Por último, os controles chave de conduta, a comunicação de riscos e a tecnologia constituem os pilares cinco, seis e sete. Esses pilares garantem que as organizações utilizem os controles relevantes para monitorar, comunicar e investigar eficazmente potenciais fatores de risco, bem como utilizar dados e análises para melhorar a estratégia global de risco de conduta.
Conclusão
É pouco provável que a atenção prestada pelos reguladores e pelo público à boa conduta institucional diminua. Na verdade, o oposto é mais provável. As organizações precisam dedicar energias renovadas e aumentar o investimento para o desenvolvimento de um framework robusto de gestão risco de conduta.
Embora as complexidades do framework sejam específicas de cada organização, existem princípios gerais que se aplicam a todos. A alta gestão e a gestão sênior devem não só garantir que estes estejam em vigor, mas também que o seu comportamento e mensagens estejam consistentes com eles.