O que é conformidade regulatória?

A conformidade regulatória é o cumprimento por parte de uma organização das leis, regulamentos, padrões, diretrizes e especificações estabelecidas por governos, agências, grupos comerciais e outros órgãos. Geralmente, os regulamentos que servem de base para a conformidade são implementados para proteger alguém ou algo (por exemplo, empregados, consumidores, público, meio ambiente). O objetivo da conformidade regulatória é fazer com que as organizações permaneçam dentro dos limites de práticas aceitáveis para garantir a segurança de quaisquer pessoas ou entidades com as quais interajam.

A conformidade regulatória se aplica a uma ampla gama de organizações e setores em todo o mundo. Quase todas as organizações devem aderir a alguns regulamentos. A privacidade de dados é uma das regras de conformidade mais onipresentes aplicadas em todos os setores e pela maioria dos países. 

Conformidade regulatória nos Estados Unidos

Nos Estados Unidos, existem muitas leis e regulamentos para proteger os empregados, o público e outras partes interessadas contra negligência e fraude. Isso inclui leis e padrões do setor que exigem conformidade. Os órgãos, grupos e poderes mais significativos que respaldam a conformidade regulatória estão descritos a seguir. 

Órgãos governamentais, entre eles: 

• Civil Rights Center with Federal Department of Labor
• Employee Benefits Security Administration (EBSA)   
• Employment and Training Administration of Federal Department of Labor   
• Environmental Protection Agency (EPA)
• Equal Employment Opportunity Commission (EEOC)
• Federal Financial Institutions Examination Council (FFIEC) 
• Federal Trade Commission (FTC) 
• Food and Drug Administration (FDA) 
• Occupational Safety and Health Administration (OSHA) 
• Small Business Administration (SBA)
• U.S. Office of Foreign Assets Control (OFAC)   
• U.S. Securities and Exchange Commission (SEC) 
• United States Sentencing Commission    

Os órgãos não governamentais que mantêm e fazem cumprir a conformidade regulatória são: 

• American Society of Mechanical Engineers (ASME)   
• Financial Industry Regulatory Authority (FINRA)
• Payment Card Industry (PCI) Standards Security Council 
• Public Company Accounting Oversight Board (PCAOB) 

Alguns dos padrões que orientam a conformidade regulatória nos Estados Unidos são:

• Conjunto de boas práticas Control Objectives for Information Technologies (COBIT) 
• Organization for Standardization (ISO)   
• Normas do National Institute of Standards and Technology (NIST)
• U.S. Department of Defense (DoD)  
• Cybersecurity Maturity Model Certification (CMMC) internacional 

Dezenas de milhares de leis e regulamentos estabelecem requisitos de conformidade regulatória para as organizações. 

Os exemplos de poderes em vários setores-chave incluem o seguinte. 

Exemplos de conformidade regulatória relacionada a direitos civis 

• Age Discrimination Act
• Americans with Disabilities Act  
• Civil Rights Act  
• Congressional Accountability Act  
• Equal Credit Opportunity  
• Equal Educational Opportunities Act
• Fair Housing Act  
• Genetic Information Nondiscrimination Act 
• Rehabilitation Act  
• Title IX
• Uniformed Services Employment and Reemployment Rights Act 
• Voting Rights Act 

Exemplos de conformidade regulatória relacionada a emprego e local de trabalho

• Equal Pay Act  
• Fair Labor Standards Act (FLSA)
• Family and Medical Leave Act (FMLA)    
• Federal Workers’ Compensation Act    
• Uniformed Services Employment and Reemployment Rights Act (USERRA)   
• Worker Adjustment and Retraining Notification Act (WARN)
• Workers’ Compensation Laws 

Exemplos de conformidade regulatória relacionada aoL ambiente 

• Atomic Energy Act (AEA) 
• Beaches Environmental Assessment and Coastal Health (BEACH) Act
• Chemical Safety Information, Site Security and Fuels Regulatory Relief Act 
• Clean Air Act (CAA) 
• Clean Water Act 
• Toxic Substances Control Act

Exemplos de conformidade regulatória relacionada a finanças 

• Dodd-Frank Act 
• Payment Card Industry Data Security Standard (PCI DSS)   
• Sarbanes-Oxley Act (SOX)
• Gramm–Leach–Bliley Act (GLBA)   
• Fair Credit Reporting Act   
• Sherman Act   
• Securities Exchange Act   
• Securities Act of 1933
• Bank Secrecy Act (BSA)   

Exemplos de conformidade regulatória relacionada à saúde 

• Anti-Kickback Statute (AKBS) 
• Emergency Medical Treatment and Labor Act (EMTALA) 
• Health Information Technology for Economic and Clinical Health (HITECH) Act 
• Health Insurance Portability and Accountability Act (HIPAA)
• Occupational Safety and Health Act 
• Patient Safety and Quality Improvement Act (PSQIA) 

Exemplos de conformidade regulatória relacionada à privacidade e segurança de dados 

• California Consumer Privacy Act of 2018 (CCPA) 
• Colorado Privacy Act
• Connecticut Personal Data Privacy and Online Monitoring Act 
• Federal Information Security Management Act (FISMA) 
• Maryland Online Consumer Protection Act
• Massachusetts Data Privacy Law  
• New York Privacy Act 
• Utah Consumer Privacy Act
• Virginia Consumer Data Protection Act 

Conformidade regulatória na UE e em outras regiões

Os regulamentos variam de acordo com o país e a região, mas a maioria promulgou leis semelhantes às dos Estados Unidos. As organizações que lidam com cidadãos de outros países devem cumprir os requisitos nessas regiões. 

A Lei Geral de Proteção de Dados (LGPD) da União Europeia (UE) é um exemplo particularmente rigoroso. A LGPD se aplica a qualquer organização que colete dados de cidadãos da UE, independente de onde a organização esteja localizada. Também se aplica a dados sobre cidadãos não comunitários residentes em algum país da UE.

Por que a conformidade regulatória é importante

Os requisitos de conformidade continuam a aumentar à medida que mais governos e outros grupos refinam as regras existentes e adicionam novas para enfrentar as ameaças crescentes, muitas das quais são provocadas pelo avanço da tecnologia. Os processos e estratégias derivados da conformidade regulatória garantem que uma organização opere de acordo com todas as leis e regulamentos aplicáveis.  

Um subproduto da conformidade regulatória está ajudando as organizações a aprimorarem as operações. Os relatórios de auditoria relacionados aos requisitos de conformidade demonstram o compromisso de uma organização em seguir as regras e garantir o bem-estar daqueles com quem realiza negócios.  

A conformidade regulatória reforça a reputação das organizações pelo aumento da confiança e respeitabilidade.  

Os requisitos de conformidade também promovem a segurança e reduzem o risco em muitos setores. As regras criadas para abordar os riscos específicos do setor para as pessoas e o meio ambiente fazem uma diferença crucial. Os empregados, consumidores e o meio ambiente se beneficiam de proteções que reduzem as chances de acidentes, lesões e casos fatais no local de trabalho e protegem o público de produtos e práticas prejudiciais ou fraudulentas.

Em alguns casos, a importância da conformidade regulatória é essencial para que uma organização opere. Alguns requisitos devem ser cumpridos para que as operações sejam executadas legalmente. O descumprimento dos requisitos de conformidade regulatória pode resultar em multas ou até mesmo no fechamento de uma organização. 

Benefícios da conformidade regulatória

As organizações obtêm muitos benefícios quando alcançam e demonstram conformidade regulatória. A seguir estão vários dos benefícios frequentemente citados em curto prazo e por um longo período. 

Evitar problemas legais desnecessários e dispendiosos  A implementação e manutenção de programas de conformidade ajudam as organizações a evitar problemas legais caros e demorados que resultam da falta de conformidade. Isso ocorre porque as políticas de conformidade regulatória implementam estruturas para cumprir todas as obrigações necessárias.

Maior eficiência operacional, maior produtividade e custos reduzidos  A eficiência operacional é um subproduto bem documentado da adesão à conformidade regulatória. Devido aos requisitos para alcançar a conformidade, devem ser implementados processos e sistemas robustos e transparentes. Além de apoiar os requisitos de conformidade, isso resulta em procedimentos e processos simplificados que otimizam as operações, aumentam a produtividade e reduzem os custos.

Maior resiliência e continuidade de negócios   As organizações que apresentam conformidade são mais resilientes às mudanças nas regulamentações, pois já dispõem de sistemas implementados para atender às exigências regulatórias. Isso ajuda as organizações a planejarem melhor as mudanças futuras, o que permite melhor continuidade dos negócios.

Maior produtividade e retenção de funcionários   Com o apoio à priorização da segurança e equidade no local de trabalho, a conformidade regulatória tem o efeito residual de aumentar a satisfação dos funcionários, o que leva ao aumento da produtividade e à redução das taxas de rotatividade de funcionários.

Melhoria do equilíbrio do mercado  Um benefício menos considerado da conformidade regulatória é a eliminação de monopólios que podem dificultar a concorrência e resultar em mercados desequilibrados. Os regulamentos geralmente impulsionam práticas justas que dão a todas as organizações a chance de ter sucesso e incentivam a inovação.

Maior equidade e segurança no local de trabalho   A conformidade regulatória exige a implementação de regras que visam eliminar a discriminação e o assédio no local de trabalho. Além disso, a conformidade exige a aplicação de padrões e protocolos de segurança rigorosos que evitem acidentes e danos a pessoas e infraestrutura. Dessa forma, a conformidade regulatória pode promover um ambiente de trabalho que aumenta a produtividade, a eficiência e a satisfação geral.

Reputação positiva  O cumprimento das obrigações de conformidade pode aumentar a confiança nas organizações em seus setores, funcionários, clientes e público. Isso ocorre porque a demonstração de conformidade implica um compromisso com altos padrões profissionais e éticos. As organizações que mantêm a conformidade regulatória geralmente obtêm maior valor da marca e confiança das partes interessadas.

Consequências do descumprimento

O descumprimento das obrigações de conformidade regulatória expõe as organizações ao risco de penalidades, como sanções e multas. As penalidades específicas variam de acordo com o regulamento, mas a seguir estão várias categorias amplas que fornecem uma visão geral do que pode acontecer no caso de violações.   

Penalidades financeiras   O descumprimento de obrigações de conformidade regulatória pode resultar em multas incapacitantes. Por exemplo, nos Estados Unidos, os requisitos da HIPAA relacionados a uma violação de dados estipulam as multas com base na gravidade do incidente. Na União Europeia, a LGPD tem dois níveis de penalizações, cada um com obrigações financeiras significativas para organizações fora de conformidade.

Impacto nas operações das organizações  As violações de conformidade podem resultar em uma redução na produtividade enquanto as organizações lidam com multas e outras penalidades. Em casos extremos, as organizações podem perder contratos, licenças ou autorizações devido ao descumprimento.

Por exemplo, o regulamento setorial PCI DSS (Payment Card Industry Data Security Standard) pode proibir o uso das redes de pagamento com cartão de crédito dos membros. Exemplos no governo são o FedRAMP (Federal Risk and Authorization Management Program) e o CMMC (Cybersecurity Maturity Model Certification), que podem fazer com que as organizações percam as certificações por descumprimento, resultando em sua incapacidade de operar.   

Responsabilidade legal  Nos casos em que o descumprimento dos requisitos de conformidade regulatória resultar em danos graves a indivíduos ou a uma organização, poderá haver implicações legais. A HIPAA e a LGPD exemplificam a gravidade das responsabilidades legais.

A HIPAA tem vários níveis de penalidades, incluindo prisão por violações graves ou fraude. As violações da LGPD também podem causar a prisão dos responsáveis. É desnecessário dizer que as despesas legais para a defesa são exorbitantes.  

Danos à reputação   Embora as multas sejam dolorosas, os danos às marcas e reputações causados pelo descumprimento regulatório são muito mais problemáticos.

Quando o descumprimento dos requisitos de conformidade resulta em um incidente, especialmente quando viola uma lei, o público pode ser implacável. 

As organizações correm o risco de perder participação de mercado e receita quando a confiança do público é perdida devido a um problema relacionado à falta de conformidade.

Políticas de conformidade regulatória 

Uma política de conformidade regulatória estabelece uma estrutura para cumprir as obrigações relacionadas. Ela também detalha os sistemas, processos e procedimentos para implementação, manutenção e relatórios associados a todos os controles de conformidade.  

Uma política de conformidade regulatória deve incluir: 

• Princípios orientadores que determinam todas as decisões e ações relacionadas à conformidade
• Sistemas, funções e procedimentos específicos necessários para garantir a conformidade  
• Detalhes sobre quais autoridades realizarão auditorias 
• Definição de papeis ou funções para monitoramento e revisão do status   
• Protocolos de documentação e comunicação relacionados à conformidade regulatória 
• Descrição dos requisitos de conformidade aplicáveis   

Embora os detalhes variem de acordo com a organização, as perguntas que devem ser levadas em consideração ao formular uma política de conformidade regulatória são: 

• Como a política será usada para diminuir o risco, promover a comunicação e instruir as partes interessadas? 
• A quem a política se aplica e em que capacidade? 
• Existem exceções ou limitações à forma como a política será usada?  
• Qual é o impacto da conformidade regulatória na organização?   
• Como as funções de conformidade serão equilibradas entre as diferentes equipes da organização (por exemplo, jurídica, auditoria, finanças)? 
• Como a política pode promover a conformidade em diferentes equipes e locais? 
• Quais sistemas devem monitorar, gerenciar e relatar a conformidade? 
• Como a política pode ajudar a medir o valor da conformidade regulatória, inclusive nas avaliações de desempenho dos funcionários? 

É importante que as organizações implementem políticas de conformidade regulatória porque permitem comunicações claras com funcionários, parceiros e reguladores sobre como alcançar a confirmidade. 

Em muitos casos, qualquer pessoa que esteja dentro da área de aplicação dos requisitos de conformidade regulatória deve confirmar que leu e entendeu as políticas.

Funções na conformidade regulatória 

A criação de funções dedicadas à conformidade regulatória ajuda as organizações a lidarem com obrigações e leis rigorosas e complexas e a cumpri-las. Como, muitas vezes, os agentes de conformidade são injustamente vistos com menosprezo por outras pessoas na organização, é importante que a liderança instrua os membros da equipe sobre o papel crítico que desempenham. Posicionar a equipe de conformidade regulatória como parceira ajuda os outros a vê-la de forma mais positiva

Com o aumento das regulamentações, muitas organizações criaram cargos dedicados a garantir que as regras sejam seguidas, como diretores, analistas e especialistas de conformidade. 

As funções de gerenciamento de conformidade regulatória abrangem várias áreas, entre elas: 

Consultoria  As funções de conformidade regulatória ajudam as organizações a aderirem a regras e regulamentos por meio de supervisão e aconselhamento sobre as modificações necessárias em sistemas ou processos. Além disso, quando surgem problemas, os consultores dispõem de conhecimento e experiência para garantir uma correção rápida e eficaz. Os membros da equipe de conformidade também aconselham sobre a preparação e o fornecimento de documentação de auditoria.

Classificação de dados Uma função importante da equipe de conformidade regulatória é apoiar a governança de dados, especificamente a classificação. A classificação precisa dos dados armazenados permite que os requisitos de conformidade sejam atendidos com mais facilidade e que as auditorias sejam conduzidas com mais rapidez e sem percalços.

Monitoramento  As equipes de monitoramento de conformidade regulatória ajudam as organizações a acompanhar as regras novas e que mudam constantemente. Como sempre estão surgindo novos regulamentos, é importante ter uma equipe dedicada a determinar como eles afetam a organização e adotar medidas para garantir que sejam feitas todas as alterações ou atualizações necessárias.

Prevenção  Evitar erros de conformidade evita não apenas penalidades, mas também interrupções nas operações. As equipes de conformidade regulatória criam e implementam programas que evitam que as organizações tenham problemas causados por falhas no cumprimento das diversas regras e reduzam o risco geral.

Resolução  Se ocorrer o infortúnio de uma violação dos controles de conformidade regulatória, é necessária uma resposta rápida. Resolver os problemas em tempo hábil minimiza os danos e pode mitigar interrupções, danos e penalidades.

Responsabilidade Ter membros da equipe focados na conformidade regulatória coloca a responsabilidade em uma pessoa ou equipe. Assumir a responsabilidade pela conformidade permite que as equipes ou pessoas dediquem o tempo necessário para alcançar uma compreensão profunda das regras e de como elas afetam a empresa. Isso inclui ajudar outros departamentos a fazer sua parte para garantir a conformidade e mantê-los atualizados sobre as revisões das regras existentes ou novas.

Melhores práticas de conformidade regulatória 

Para atender aos requisitos de conformidade regulatória, as organizações devem entender quais leis e regulamentos se aplicam a elas. Como muitos regulamentos têm um alcance amplo, especialmente aqueles originários de fora dos Estados Unidos (por exemplo, LGPD), isso requer um profundo conhecimento das responsabilidades da organização.  

A seguir estão enumeradas as melhores práticas que devem ser consideradas ao avaliar como atender aos requisitos de conformidade. 

Atribuir funções a pessoas em departamentos relevantes para apoiar a manutenção, relatórios e auditoria de conformidade.

Determinar os requisitos de conformidade regulatória em todos os mandatos aplicáveis e desenvolver planos para garantir a adesão.

Desenvolver e manter um código de conduta para inculcar uma cultura de conformidade em toda a organização.

Documentar os processos de conformidade, com instruções explícitas para manter a conformidade, para garantir que todas as regras sejam seguidas e que a organização esteja preparada para auditorias.

Identificar os regulamentos aplicáveis para determinar quais regras se aplicam à organização com base em sua presença geográfica, setor e operações.

Monitorar as mudanças nos requisitos de conformidade regulatória continuamente para saber mais sobre as atualizações que podem se aplicar à organização.

Agendar treinamento regular para manter a equipe e outras pessoas atualizadas sobre os requisitos e a melhor forma de manter a conformidade.

A conformidade regulatória traz muitos benefícios

Embora a conformidade regulatória às vezes seja vista como um fardo, ela beneficia a empresa e a sociedade. À medida que os requisitos continuam a se expandir em todo o mundo, há um esforço para alinhá-los para criar um grau de padronização.  

Para as pessoas, o resultado desses requisitos de conformidade é favorável, porque o mínimo denominador comum leva as organizações a aderirem aos padrões mais rígidos como nível mínimo. Isso oferece benefícios que vão desde produtos mais seguros e melhores controles ambientais até maior privacidade de dados e proteção contra fraudes.  

Para as organizações, a conformidade regulatória fornece um conjunto uniformizado de regras que se aplicam a todos, criando condições equitativas em termos de regras.