A impessoalidade como virtude do controle de riscos e compliance
É estranho formular desta forma, mas os sistemas de controles internos, análises de risco e os processos de compliance não podem ser construídos na premissa de que “é preciso confiar nas pessoa”. Ao contrário, tais sistemas, processos e políticas têm de ter a desconfiança como o atributo mais importante para que exista efetividade estrutural e procedimental para o compliance, a análise de riscos e os controles internos.
De outro lado, é da “desconfiança” que decorrem os deveres mais importantes dos administradores das empresas, notadamente as companhias de capital aberto. Administradores que analisam e reportam resultados, políticas e atos de gestão com base na confiança em relação à “equipe que têm” cometem um erro crasso de confundir as relações básicas de autoridade e responsabilidade no que se refere à gestão e supervisão das atividades empresariais. Uma coisa é expressar gratidão aos colaboradores de uma empresa e, até mesmo, premiá-los pelos resultados obtidos. Outra coisa é a essência daquilo que significa atuar diligentemente para a obtenção de resultados e metas empresariais.
Com efeito, podemos afirmar que os administradores têm de observar, testar e verificar constantemente as red flags das políticas, procedimentos e controles da dinâmica empresarial. Cabe aos administradores fazer “juízos de valor” sobre as relações de risco e retorno das áreas, atos, fatos e dos processos de gestão. Nesse diapasão, esta avaliação tem de ser feita por meio da verificação efetiva e não apenas superficial dos processos.
Não é incomum se verificar que as “matrizes de riscos”, originadas muitas vezes de processos muito bem desenvolvidos pelos executivos e consultores das empresas, acabam esquecidas nos computadores e nas gavetas até que uma nova verificação da matriz ocorra. Ou seja, a análise de riscos não é verdadeiramente dinâmica, é apenas um procedimento meramente formal.
Ademais, os riscos acabam associados às pessoas que destes cuidam quando se faz necessário que os controles funcionem independentes dos diretores, gerentes e de toda a estrutura de gestão. As falhas mais graves em termos de riscos ocorrem quanto mais pessoalidade existe na avaliação dos controles que mitigam ou eliminam tais riscos.
Os denominados processos e controles internos críticos de uma empresa devem estar sob o direto controle dos principais executivos que, por sua vez, devem estar supervisionados pelo Conselho de Administração, no caso das sociedades anônimas ou por órgãos equivalentes nos demais casos. Quem cuida do mais importante são as pessoas mais importantes do ponto de vista estratégico e normativo. A regra é singela, mas as suas consequências são complexas.
O que se verifica muitas vezes é que existe excesso de delegação funcional em relação a certos atos de gestão e, assim, transfere-se mais responsabilidades para as instâncias inferiores das empresas o que atrai mais autoridade para tais instâncias. Este processo de empoderamento tantas vezes se torna empolgante vez que as pessoas se sentem “parte do todo” ou “trabalhando como um time”. Em matéria de resultados este sentimento é muito positivo. Em matéria de controles e processos críticos isto significa um aumento no grau de risco da gestão e os seus efeitos passam a ser cada vez mais imprevisíveis.
Do ponto de vista jurídico, no âmbito civil, criminal e administrativo, os gestores e administradores das companhias e empresas são mais diligentes e dispõe mais de atributos fiduciários quando se adota um sistema efetivo e impessoal de gestão de riscos. Quanto mais relevante é o risco, mais diligente o administrador graduado tem de ser em relação a ele.
Também é relevante salientar que a omissão diante de riscos sob red flags e alertas importantes é igualmente geradora de responsabilidade para os administradores. É obrigação do administrador se informar e tomar providências ativas em relação aos sistemas de controles internos e de riscos, obedecida a sua hierarquia e importância para a empresa. Muitas vezes ocorrências de corrupção, crimes ambientais, riscos aos consumidores, infringência de normas de direito difuso, riscos à saúde pública e, até mesmo, possibilidade de catástrofes, são originados pelo tratamento negligente ou incompetente em relação aos riscos.
Por fim, a impessoalidade no tratamento dos riscos não é um desprestígio às pessoas. Ao contrário, elas são tão importantes que o sistema de controles, de risco e compliance têm de funcionar de forma independente da natureza, por vezes falha, da própria humanidade. Como num avião, os passageiros sempre contam com o piloto, mas é sempre melhor quando ele pouco faz perante os controles da aeronave, mesmo nas turbulências.