Todos nós, que interagimos de forma privada e socialmente, buscamos estabelecer relacionamentos baseados na confiança. Para as pessoas com os mais altos requisitos de ética até aqueles que vivem à margem da legalidade e dos padrões de conduta existentes na sociedade, relações de confiança são uma meta. Mesmo quando vivemos sob a égide “trust, but verify”, ainda assim, é necessário confiar a alguém uma função, um dever, uma responsabilidade.
Nas relações comerciais e profissionais, para auxiliar no início e manutenção de contratos, parcerias, as pessoas naturais e jurídicas fazem uso de fontes públicas e privadas para verificar a “vida pregressa” de potenciais clientes, parceiros e também funcionários nas relações trabalhistas.
Mas o que é importante filtrar? Levar em consideração? Existem riscos nesta atividade? Este artigo busca explorar de forma preponderante o segmento das instituições sujeitas à Lei 9.613/98[1], mas serve para todas as entidades que conduzam algum tipo de checagem (background-check ou “BGC”) sobre terceiros.
Primeiro, é importante definir o escopo. A depender da estrutura e da divisão da sua instituição, pode ser necessário separar o foco das pesquisas em questões criminais, onde aspectos reputacionais ficariam de lado. Exemplo: uma área de PLDFT ou Anti-Fraude não necessariamente terá um entregável quando o seu filtro de pesquisas contemplar multas administrativas por questões ambientais, falhas em segurança do trabalho, questões de ordem sócio-ambiental.
“Mas Danilo, essa é a sua visão?” Em um mundo ideal, não. O exemplo acima serve para o caso de uma instituição com distribuição de atribuições fixas, o que é compreensível, se estivermos falando de uma grande instituição financeira ou empresa listada em bolsa, onde provavelmente haverá áreas segregadas de gestão de risco, logo, cabendo à área de risco de crédito, ou demais áreas com acesso à Alta Administração a análise de questões sócio-ambientais. Estas, por sinal, extremamente importantes no momento atual (ESG). Contudo, havendo possibilidade, sou um eterno defensor da visão holística. Aliás, um desastre ambiental poderia, por exemplo, estar ocorrendo porque alguém pagou propina para liberar um relatório de impacto, não? Percebam o quão importante é ter uma visão estratégica do risco relacionado.
No final do dia, toda entidade busca gerir de maneira eficiente os riscos aos quais está sujeita. Seguindo este modelo, quanto mais integrada a informação levada para quem tomas as decisões, melhor. Idealmente, embora sabedores de que “o bom é inimigo do ótimo”, um fórum para a tomada de decisões sobre iniciar ou continuar um relacionamento com um cliente, fornecedor ou parceiro, deve ser capaz de avaliar todas as implicações – crimes financeiros e questões reputacionais – pois também são sensíveis. Em tempos de preocupação com a inclusão e diversidade, poder identificar previamente parceiros, clientes, colaboradores que não violem padrões de respeito e dignidade é crucial.
Resumindo, a definição do escopo é a base para tratar os resultados de forma eficiente. O tempo é um amigo que pode se tornar inimigo na análise de notícias negativas – “o cliente quer abrir a conta”, “este fornecedor precisa estar onboarded até o fim desta semana”, “o gestor ligou perguntando se já analisamos o perfil daquele candidato à vaga…”. Quanto mais claro o que se busca constatar em um filtro de pesquisa, melhor.
Segundo passo, procedimento. Delineado o escopo, é importante ter um procedimento prévio e escrito com os critérios de definições de ação e respectivos entregáveis. Exemplos de pontos a contemplar:
1. Quais as fontes utilizadas (google, tribunais, sites governamentais, relatórios privados, fornecedores);
2. O que é sensível e deve ser reportado versus o que pode ser documentado?;
> natureza da implicação – citação, crítica de blogs politizados, eventos judiciais[1]
> quem está implicado – é a pessoa objeto de pesquisa ou uma pessoa relacionada? Empresa, parceiro, procurador, parente, PEP[2]?
> confirmado ser um match?
> status – qual o último desdobramento verificado?
3. Gatilhos de reporte – assegurado que está contemplado no procedimento escrito, pode-se elencar situações onde não será necessário escalar o resultado, bastando a sua documentação no arquivo da pessoa objeto de pesquisa, como por exemplo, quando se confirma ser um homônimo. Nos casos de reporte, quem é(são) as pessoas que devem analisar e tomar decisão?
4. Transparência – quando e como, podemos e/ou devemos interagir com o cliente[3], seus representantes, com o fornecedor, com o candidato/funcionário (este caso aqui, extremamente sensível, aguardem um artigo inteiramente dedicado… risco de discriminação, vazamento de dados…)
Terceiro passo, a resposta ao risco. Na sequência da ação 3 acima, a tomada de decisão deve envolver uma alçada superior e/ou divergente daquela que conduz as pesquisas. Preferencialmente, da primeira linha de defesa, (área de negócio) ou área gestora do processo (e.g. RH e gestor responsável pela contratação). Por ser estratégica, esta parte do processo deve estar alinhada com o apetite de risco devidamente estruturado e verificável na avaliação baseada em risco conduzida pela instituição.
Não podemos deixar de destacar também casos onde não cabe a avaliação baseada em risco, dada a severidade da questão: a Lei 13.810/19[4] determina a sanção (indisponibilidade) decorrente de sanções do Conselho de Segurança das Nações Unidas e temos exemplos expressos em normas locais[5], bem como reiterados feedbacks dos reguladores, que deixam claro não haver espaço para a condução das etapas acima, pois a ação tem que ser imediata. Percebam a importância de ter boas ferramentas de screening, pois constatada uma pessoa ou entidade, pouco importará, por exemplo, o status da sua implicação, mas sim sua condição de pessoa sancionada.
Por mais que a checagem de notícias negativas traga um inegável peso operacional, ela é uma das principais estratégias de um programa de Compliance, principalmente os de PLDFT[6]. Esta medida, velha conhecida dos profissionais no mercado financeiro e mais recentemente em expansão para outros setores da economia, protege a instituição de agentes maliciosos e demonstra solidez nos seus sistemas de controles internos perante reguladores e stakeholders.
Concluo retomando o título, o escopo dos seus procedimentos de checagem depende. O que você quer “atacar”? Use e abuse do conhecimento da sua área de Compliance ou procure um especialista 😉.
Faz sentido? Curta, Comente, compartilhe.
Saudações e sucesso sempre.
[1] Importantíssimo critério – o objeto de pesquisa está sendo investigado? Foi indiciado? Sentenciado? Condenado? Fechou delação ou leniência?
[2] Pessoa Politicamente Exposta.
[3] Art. 11. As pessoas referidas no art. 9º: […]
II – deverão comunicar ao Coaf, abstendo-se de dar ciência de tal ato a qualquer pessoa, inclusive àquela à qual se refira a informação, no prazo de 24 (vinte e quatro) horas, a proposta ou realização: [..] (Grifei).
[4] https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/lei/l13810.htm
[5] Art. 27, § 5º, ICVM 617: O cumprimento das obrigações de que trata o Capítulo VII não devem se submeter aos parâmetros da abordagem baseada em risco de LDFT.
[6] Prevenção à Lavagem de Dinheiro e ao financiamento do terrorismo.
Imagem de Pixabay.
Danilo Wanderley 