Luís Costa Ferreira e Diogo Pina Chiquelho apresentam uma reflexão aprofundada sobre a importância do compliance e os desafios que este impõe às organizações, no seu mais recente artigo:
"São várias as definições que podemos encontrar sobre o conceito de compliance ou, se quisermos em português e recorrendo à designação mais comummente aceite, de conformidade. Não obstante, todas elas tendem a concentrar-se na adesão ao disposto na legislação, na regulamentação, nas orientações aplicáveis ao setor de atividade em que se opera e nas próprias regras internas que a instituição define [1].
Retira-se desta definição que a não adesão ao disposto na legislação, regulamentação, orientações e normas internas acarreta para as organizações um risco de conformidade. Recorrendo à definição do Comité de Supervisão Bancária de Basileia, o risco de conformidade é representado pelas sanções, perdas financeiras ou danos reputacionais que uma organização pode sofrer como resultado do não cumprimento de todas as leis, regulamentos, códigos de conduta e boas práticas aplicáveis [2].
São vastos os possíveis resultados da materialização do risco de conformidade, que podem passar por danos à reputação da organização devido ao conhecimento público do incumprimento ou por perdas financeiras efetivas. Perdas financeiras estas que podem ser causadas pela sujeição da organização a sanções contraordenacionais ou decorrentes da litigância e/ou derivadas do impacto reputacional na organização gerado pela perda de confiança por parte dos seus stakeholders (sejam clientes, investidores ou a sociedade em geral [3]).
Assim sendo, é uma necessidade de defesa das organizações a adoção de um sistema de controlo interno que integre uma função de conformidade independente, com estatuto na organização e dotada de recursos adequados para o exercício das amplas responsabilidades que lhe estão atribuídas. É esta função que, por excelência, identifica, avalia, aconselha, monitoriza e relata o risco de conformidade da organização [4], pelo que, na execução dessas responsabilidades, também defende o negócio da organização.
Enquanto integrante da segunda linha de defesa da organização, a par com a função de gestão de riscos, de acordo com o modelo das três linhas de defesa apresentado pelo Instituto de Auditores Internos [5] e que preconiza um modelo de controlo interno seguido entre vários setores de atividade, incluindo o bancário, é pedido à função de conformidade que Assim, não basta a identificação, avaliação, monitorização e controlo do risco de conformidade a que está exposta a organização. É fundamental que a função de conformidade também o faça relativamente ao risco a que pode vir a estar exposta. Uma função de conformidade proativa acompanha e avalia regularmente a adequação e a eficácia das medidas adotadas para detetar qualquer risco de incumprimento das obrigações a que a instituição está sujeita, bem como das ações tomadas para corrigir eventuais incumprimentos detetados.
Com esta postura de proatividade e de prudência e assente num processo de monitorização contínua, uma função de conformidade efetiva pode antecipar os problemas de conformidade, contribuindo para a adequação e eficácia do sistema de controlo interno ao longo do tempo, evitando a ocorrência de deficiências de conformidade ou, então, identificando e corrigindo tempestivamente eventuais incumprimentos, mitigando o risco de reputação, o risco de litigância e as perdas financeiras. Deste modo, a função de conformidade desempenha um papel de relevo para a sustentabilidade da organização [6].
Obviamente que isto só será possível com uma efetiva interação entre a função de conformidade e os órgãos de governo da organização [7]. Não só porque uma cultura de conformidade é definida a partir do tom do topo, mas também porque os deveres de diligência e lealdade, bem como o processo decisório dos administradores, devem ser profundamente norteados por critérios de conformidade, influenciando deste modo a atividade ou negócio da organização. Aliás, é difícil ponderar uma situação na qual o dever de diligência ou de lealdade de um administrador se cumpra à revelia da conformidade. A função de conformidade desempenha assim um papel de aconselhamento dos órgãos de administração e de fiscalização, conforme resulta também da referida definição do Comité de Basileia. Este aconselhamento deve focar-se no cumprimento das obrigações legais, regulamentares e de outros deveres a que a organização está ou estará sujeita, especialmente quando a tomada de decisão dos órgãos de governo envolva a assunção de riscos de conformidade relevantes.
Para que este objetivo seja plenamente atingido, os órgãos de administração e de fiscalização devem, desde logo:
Já do lado da função de conformidade devem ser efetivos os poderes inerentes ao estatuto e independência de que esta deve ser dotada no seio da organização, tornando-se irrelevante a função de conformidade que, embora dotada desses poderes, não os coloque em ação. Desde logo, não só deve a função esgotar as linhas de reporte formalmente definidas, como recorrer direta e incondicionalmente aos órgãos de administração e de fiscalização e respetivos comités da organização sempre que a função considerar necessário e adequado. Do mesmo modo deve aceder total, livre e incondicionalmente a todas as funções, atividades (incluindo funções, processos e atividades subcontratadas), instalações próprias ou dos prestadores de serviços, bens e colaboradores, informações, registos contabilísticos, sistemas, ficheiros informáticos e dados da organização que sejam necessários para o exercício pleno das suas
Para o estatuto e efetividade da função de conformidade no seio da organização contribui também o seu responsável. Assim, o responsável pela função de conformidade deve pertencer à direção de topo da organização, o que significa que deve estar posicionado a um nível hierárquico imediatamente abaixo do nível dos administradores e reportar-lhes diretamente. Não obstante, deve exercer as suas funções de forma independente, pelo que o responsável não pode ser subordinado a um administrador executivo que seja simultaneamente responsável pela gestão das atividades que a função de conformidade monitoriza e controla, sob pena de existência de conflitos de interesses reais ou potenciais que possam colocar em causa a independência da função.
Ao abrigo da legislação bancária, o responsável pela função de conformidade, bem como os responsáveis pela função de gestão de riscos e da função de auditoria interna, são considerados como titulares de funções essenciais, significando isto que apesar de não integrarem os órgãos de administração ou de fiscalização, é-lhes reconhecida influência significativa na gestão da instituição de crédito. Assim sendo, no setor bancário, as instituições devem avaliar, previamente ao início das suas funções, se a pessoa preenche os requisitos de idoneidade, qualificação profissional e disponibilidade necessários para assumir o cargo de responsável da função de conformidade. Quanto a isto, note-se que estes responsáveis não devem desempenhar outras funções na organização, sendo expectável o seu desempenho em regime de exclusividade. No caso de instituições de maiores dimensões, estas pessoas têm de ser mesmo autorizadas para desempenhar este cargo pela autoridade de supervisão competente [8].
Claro está que não basta a efetividade da função de conformidade e as suas interações com os órgãos de governo da organização. As demais unidades de estrutura da organização devem pautar-se por uma cultura de conformidade, difundida pelo tom do topo, conforme referido, como também pela consideração dos temas de conformidade no curso da atividade da organização, fazendo parte do seu dia-a-dia.
Para que este objetivo seja plenamente atingido, os membros dos órgãos de administração e de fiscalização devem pautar-se pelos mais elevados padrões éticos, adotando uma conduta de conformidade, não apenas porque isso é critério fundamental para o cumprimento dos deveres a que estão adstritos, mas também porque sintoniza a organização nessa cultura. O tom do topo adequado é aquele que define e comunica os valores fundamentais e expectativas da organização, assegurando uma atuação em linha com os mesmos e fomentando uma cultura de comunicação aberta, que inclui a acessibilidade na transmissão imediata de situações de incumprimentos observados, por exemplo através dos canais de comunicação de irregularidades (whistleblowing). [9]
O código de conduta da organização desempenha um papel relevante neste âmbito. Nas instituições de crédito, este documento deve prever:
Apesar da sua definição, aprovação e divulgação ser uma responsabilidade do órgão de administração, o código de conduta deve ser elaborado em estreita colaboração com a função de conformidade. Além disto, esta função deve verificar regularmente o seu cumprimento e atualizá-lo periodicamente, participando ainda na definição das políticas e procedimentos adequados à implementação das regras nele contidas. [11]
Um sistema de incentivos adequado contribuiu também para a definição de uma cultura de conformidade eficaz. Os princípios do G20 e da OCDE sobre governação corporativa preveem que, para que o código de conduta seja eficaz, a estrutura de incentivos deve estar alinhada com as normas deste código, de modo que a adesão a estas seja recompensada e as infrações sejam penalizadas[12].
Este código, bem como as políticas e procedimentos definidos para assegurar implementação das suas regras, contribuem para que as unidades de estrutura relevantes da organização, em especial aquelas que são tomadoras de risco, sejam capazes de identificar, avaliar, acompanhar e controlar o risco de conformidade em que incorrem, enquanto integrantes da primeira linha de defesa da organização ao abrigo do já referido modelo das três linhas de defesa. Para o efeito, a função de conformidade deve coadjuvar o órgão de administração em assegurar que estas unidades tomam decisões ponderadas pelo risco de conformidade subjacente e dentro dos limites de tolerância ao risco definidos nas políticas de risco da organização e que implementam os processos e os mecanismos de controlo necessários para assegurar uma adequada gestão do risco de conformidade[13].
Neste contexto, as organizações devem realizar ações de controlo e testes de conformidade com as disposições legais e regulamentares, através de programas próprios e estruturados conduzidos pela função de conformidade, regularmente revistos e adaptados aos processos que acarretam maior risco de conformidade. Neste aspeto, os princípios do G20 e da OCDE sobre governação corporativa referem que os programas de conformidade ou de garantia do cumprimento devem ser abrangentes, tanto do ponto de vista objetivo como subjetivo. Devem ser objetivamente abrangentes, na medida em que devem incluir a verificação de cumprimento, entre outros, com normas relativas à corrupção, à fiscalidade, à concorrência, às condições de trabalho e segurança, mas também ainda a direitos humanos, ambiente, fraude, branqueamento de capitais, tendo presente o setor de atividade em que a organização está inserida, bem como as especificidades do modelo de negócio adotado. E devem ser subjetivamente abrangentes porque devem abranger eventuais filiais que integrem o grupo e outras entidades com as quais a organização se relacione, designadamente prestadores de serviços e entidades subcontratadas, o que pode e deve ser feito num processo de verificação prévio à contratação.[14]
Claro está que estes pressupostos, responsabilidades e expectativas geram desafios, especialmente face às atuais circunstâncias em que as organizações atuam.
Em primeira linha, as organizações estão inseridas num contexto de considerável incerteza, volatilidade e complexidade no que diz respeito aos riscos a que estão expostas. O risco de conformidade não é exceção. As métricas que têm de ser ponderadas, definidas e constantemente avaliadas têm de ser cada vez mais sofisticadas para conseguirem antecipar os desafios a que a organização pode vir a estar exposta do ponto de vista de conformidade. Riscos como o risco geopolítico, os riscos climáticos e ambientais ou o risco de cibersegurança são altamente complexos, sendo desafiante para as organizações conseguirem ponderar os desafios associados a estes riscos.
Em segunda linha, e em parte interligado com o primeiro desafio, as organizações têm de assegurar o cumprimento de um quadro regulatório bastante vasto e complexo. Como referido acima, os programas de conformidade das organizações devem cobrir a avaliação do cumprimento com uma vastidão de disposições normativas, abrangendo por diversas áreas jurídicas e para as quais a resposta, não raras vezes, invoca conhecimentos técnicos qualificados de outras áreas. Além disto, a velocidade de evolução da regulação impõe constantes desafios de atualização e de adaptação, para dar resposta a quadros normativos complexos e para os quais é necessário conhecimento especializado. Dando alguns recentes exemplos temos o Regulamento DORA, relativo à resiliência operacional digital do setor financeiro, o Regulamento MICA, relativo aos mercados de criptoativos, o Regulamento sobre Inteligência Artificial, as Diretivas de reporte de sustentabilidade corporativa e do dever de due diligence das empresas em matéria de sustentabilidade, já incorporadas ou incorporar no ordenamento jurídico interno português, e ainda o regime das sanções impostas pela União Europeia a países terceiros e que, por isso, também restringe a atividade das organizações. Todos estes diplomas levam as organizações a terem de realizar análises aprofundadas das exigências normativas, de avaliar o seu ponto de situação face à matéria em questão e definir planos de ação tendentes à conformidade. Obviamente tudo isto sem um abrandamento das demais tarefas às quais a função de conformidade tem continuamente de se dedicar.
E tudo isto leva-nos até ao terceiro desafio: os recursos. As organizações têm de ter funções de conformidade com os recursos necessários, ao nível humano, técnico e material. Os colaboradores alocados à função têm de ser qualificados e deter experiência para as funções que desempenham, devendo aceder continuamente a ações de formação para serem capazes de se atualizarem constantemente. Não obstante, de modo a assegurar uma devida consideração das matérias de conformidade, também os órgãos de administração e fiscalização devem frequentar ações de formação. O órgão de administração para que seja capaz de as considerar adequadamente no processo de tomada de decisão e o órgão de fiscalização para que seja capaz de as fiscalizar. A função de conformidade deve também ter as ferramentas adequadas para desempenhar as suas tarefas devidamente, sendo que, para o efeito, as organizações devem considerar a incorporação de ferramentas de inteligência artificial para fomentar a eficiência da função de conformidade. É desafiante para as organizações captarem e conservarem os recursos adequados às responsabilidades subjacentes à função de conformidade, para o que devem ser capazes de desenvolver uma adequada cultura organizacional e sistemas de incentivos adequados. Os órgãos de administração e de fiscalização devem atender às necessidades das funções de conformidade, devendo avaliar a suficiência dos recursos materiais, técnicos e humanos afetos à função e avaliar o grau de execução do plano formativo da função, percebendo se o mesmo é adequado face às responsabilidades da função.
Ao nível do setor financeiro, o Banco de Portugal tem procurado antecipar estes desafios e dar respostas às necessidades do setor. Em março deste ano foi atualizado o Aviso do Banco de Portugal n.º 3/2020, que regulamenta os sistemas de governo e controlo interno e define os padrões mínimos em que deve assentar a cultura organizacional das instituições de crédito.
Este aviso passou a prever que as instituições possam subcontratar, de modo permanente, tarefas operacionais específicas das funções de controlo interno, caso tal contribua para a eficiência do sistema de controlo interno. Significa isto que certas tarefas da função de conformidade podem agora ser externalizadas de forma permanente, aproveitando a instituição de conhecimento técnico especializado disponível no mercado. Para o efeito, as instituições terão de conduzir processos de verificação prévia para confirmar a adequação das entidades subcontratadas e dar resposta a uma série de elementos de informação, que também têm de reportar ao supervisor.[15]
As alterações ao aviso possibilitaram também o desenvolvimento pelas instituições de soluções colaborativas para as funções de controlo interno. Deste modo, e sem prejuízo de uma interação prévia com o supervisor, as instituições podem formar sinergias entre si, da forma que entendam mais adequada, de modo a darem resposta às exigências regulamentares que se lhes aplicam. À partida antecipam-se duas opções possíveis: as instituições de crédito constituem uma entidade dedicada à prestação destes serviços ou contratam os serviços de uma entidade já existente. Estas soluções colaborativas correspondem a subcontratação, pelo que as instituições deverão dar cumprimento ao disposto na legislação, regulamentação e orientações sobre a matéria.[16]
Adicionalmente, as funções integrantes da segunda linha de defesa de instituições de menor dimensão, isto é, a função de gestão de riscos e de conformidade, passaram a poder ser combinadas numa mesma unidade de estrutura, excecionando-se assim o princípio de segregação entre estas funções. Assim, no caso de as instituições considerarem adequado e proveitoso para o sistema de controlo interno e, articulando previamente com o supervisor, podem combinar os recursos para dar resposta às responsabilidades de ambas as funções.
Por último, desde que verificados determinados requisitos, as instituições podem também recorrer ao desdobramento da função de gestão de riscos em mais do que uma unidade de estrutura, isto é, podem ter unidades de estrutura dedicadas à gestão de riscos específicos (tal como o risco IT ou uma unidade de estrutura dedicada à gestão de riscos financeiros e outra à gestão de riscos não financeiros). Apesar de este desdobramento não ter sido especificamente pensado para a função de conformidade, este já se verifica na prática, com várias instituições a disporem de estruturas dedicadas para as vertentes da conformidade regulatória e as matérias associadas à criminalidade financeira e branqueamento de capitais.
Posto isto, e resumindo, a função de conformidade desempenha um papel preponderante na defesa das organizações, não apenas para assegurar a conformidade com as disposições legais, regulamentares e as orientações aplicáveis, protegendo a reputação da organização, mas também para evitando perdas financeiras. Para o efeito, a independência, estatuto e recursos da função são essenciais, de modo que a função seja efetiva no desempenho das suas responsabilidades. Contudo, a função isoladamente não é suficiente. As organizações devem assumir uma cultura organizacional de conformidade, definida pelos órgãos de governo, sistematizada e divulgada por toda a organização, especialmente através do código de conduta e da tarefa de aconselhamento dos órgãos de governo, especialmente no processo de tomada de decisão.
Os desafios de conformidade enfrentados pelas organizações intensificaram-se, sendo necessário gerir um risco de conformidade cada vez mais influenciado por riscos emergentes, altamente voláteis e complexos, aos quais se associam quadros normativos, também eles vastos e complexos. Para o efeito, as organizações devem frequentemente avaliar a adequação dos recursos das funções de conformidade, os planos de formação de modo a assegurar a constante qualificação dos colaboradores afetos a esta função e ponderar estruturas que se possam revelar mais adequadas, aproveitando os recursos de pares e do mercado, e, quando aplicável, articulando-se com o supervisor.
O desafio é, sem dúvida, ímpar, mas também é nesse contexto que se reforça e destaca uma função, que nunca foi tão importante como o é atualmente"
[1] Por exemplo, o Instituto de Corporate Governance refere que compliance “It’s adhering to every law, regulation and ethical guideline that applies to your business”.
[2] “(…) which can be defined as the risk of legal or regulatory sanctions, financial loss, or loss to reputation a bank may suffer as a result of its failure to comply with all applicable laws, regulations, codes of conduct and standards of good practice.” BCBS (2003) – “The compliance function in banks”, §1.
[3] BCBS (2003) – “The compliance function in banks”, §2.
[4] BCBS (2003) – “The compliance function in banks”, §10.
[5] Instituto de Auditores Internos (2020) – “The IIA’s Three Lines Model”.
[6] Bastos, Nuno Moraes (2028) – “Corporate Governance, compliance e a função compliance nos setores bancário e segurador” in “A emergência e o futuro do corporate governance em Portugal”, p. 209.
[7] Artigo 33.º-A, n.ºs 1 e 2 do RGICSF.
[8] Artigo 18.º do Aviso n.º 3/2020.
[9] §98.a. Orientações da EBA sobre governo interno - EBA/GL/2021/05
[10] Artigo 4.º do Aviso n.º 3/2020.
[11] Artigo 28.º, n.º 1, als. c) e d) do Aviso n.º 3/2020.
[12] Anotação ao Princípio V.D.8, 3.º§ em OCDE (2023) - Princípios de Governação Corporativa do G20/OCDE.
[13] Artigo 26.º do Aviso n.º 3/2020.
[14] Anotação ao Princípio V.D.8, 3.º§ em OCDE (2023) - Princípios de Governação Corporativa do G20/OCDE.
[15] Comunicações previstas no Aviso do Banco de Portugal n.º 8/2023.
[16] Resposta à questão 79 do relatório da consulta pública n.º 6/2024.
