Compliance nas Organizações

O termo “Compliance” deriva do verbo em inglês “to comply”, que significa “agir de acordo com”, “cumprir” ou “estar de acordo com”. Quando o utilizamos no contexto empresarial, a expressão “estar em conformidade” significa dizer que a empresa possui e segue um conjunto de regras e procedimentos para que atue em conformidade não só com as leis vigentes (trabalhistas, tributárias, previdenciárias etc.) mas também com padrões de comportamento esperados, dispostos em suas normas e políticas internas.

Esse conjunto de regras e procedimentos que visa promover uma cultura ética nas organizações e combater atos de corrupção, fraude e outras irregularidades de integridade é chamado de Programa de Compliance.

A necessidade de as organizações “estarem em conformidade” com normas e regulamentos de combate a atos de corrupção e possuírem um Programa de Compliance adveio em razão de dois principais movimentos:

(i) da necessidade de uma maior e mais eficaz regulamentação das atividades das instituições financeiras que culminou na criação do Federal Reserve (Banco Central Americano) em 1913; e

(ii) da edição da Lei de Práticas de Corrupção no Exterior ou, mais conhecida como a Foreign Corrupt Practices Act (FCPA), promulgada em 1977 com o objetivo de combater atos de corrupção e práticas de suborno no âmbito internacional e endurecer eventuais punições, caso identificada alguma dessas situações.

No Brasil, quando o país abriu, na década de 90, o mercado para negociações com empresas estrangeiras, houve uma necessidade de adequação aos padrões internacionais de ética e combate à corrupção e da observância pelas instituições bancárias do Brasil às diversas recomendações do Comitê de Basileia¹ que tem como objetivo reforçar a regulação, a supervisão e as melhores práticas bancárias para a promoção da estabilidade financeira.

No entanto, apesar de algumas normas brasileiras previrem o combate à corrupção e eventual penalização pela prática dessa conduta, como no Código Penal e Lei de Licitações, foi apenas em 2013, que houve a promulgação da Lei Anticorrupção brasileira n.º 12.846/2013 que dispõe sobre a responsabilização das empresas pela prática de atos lesivos contra a administração pública nacional ou estrangeira e impulsiona a promoção da ética, transparência e integridade.

Atualmente, muitas empresas brasileiras possuem um Programa de Compliance/Integridade implementado, seja porque participam de licitações e precisam estar em consonância com a legislação vigente que trata sobre o tema² e o edital divulgado pelo órgão governamental licitante, seja porque desejam realizar acordo de leniência³, atuam no exterior e precisam se adequar à determinada lei anticorrupção de determinado país, como por exemplo a FCPA dos EUA e a UK Bribery Act do Reino Unido, ou, simplesmente porque acompanham a crescente visão acerca da necessidade de transparência das organizações, desenvolvimento de uma cultura ética e comprometimento no combate à corrupção nas empresas.

Como criar um Programa de Compliance

Um Programa de Compliance está fundamentado em  sete  pilares que funcionam de forma integrada e sistêmica com a finalidade de prevenir, detectar e remediar as ocorrências de quebra de integridade dentro da organização.

São eles: (i) comprometimento da alta liderança; (ii) estrutura dedicada e com autonomia; (iii) análise de riscos; (iv) Código de Ética e políticas internas claras; (v) canal de denúncias; (vi) programa de conscientização e treinamento ; e (vii) processos de controle e monitoramento contínuos.

(i) Comprometimento da alta liderança

O Programa de Compliance deve ser aderido por todos da organização, especialmente pela alta liderança que deve dar o exemplo de uma atuação ética, além de apoiar e se envolver nas iniciativas de promoção de uma cultura  de integridade.

O Decreto n.º 11.129/2022 que regula a responsabilização das pessoas jurídicas pelos atos contra a administração pública nacional ou estrangeira, traz como critério em seu artigo 57, inciso I, a avaliação do Programa de Integridade das empresas quanto ao “comprometimento da alta direção da pessoa jurídica, incluídos os conselhos, evidenciando apoio visível e inequívoco ao programa (...)”.

Essa postura é a base do conceito “tone at the top” que significa “o exemplo que vem de cima” e demonstra não só para aqueles que trabalham e fazem parte do quadro de empregados de uma organização mas, também, para o público externo, que a empresa possui uma liderança engajada que apoia e se preocupa com uma atuação ética, transparente e em conformidade com as leis e regulamentos.

(ii) Estrutura dedicada e com autonomia

Possuir um departamento específico e responsável pela implementação e gerenciamento do Programa de Compliance e com recursos adequados, sejam eles materiais, financeiros e/ou humanos, para o melhor desempenho de suas atribuições, permitindo o monitoramento  ininterrupto do Programa, especialmente dos riscos de integridade aos quais a Companhia possa estar exposta.

Essa estrutura dedicada deve contar com um Compliance Officer⁴ ou uma equipe responsável pelo Programa e ser dotado de autonomia para que possa com  imparcialidade, realizar recomendações para a tomada de decisões.

Além disso, as pessoas que coordenam o Programa de Compliance devem possuir um canal aberto com a alta direção da empresa para que todos estejam cientes dos riscos de integridade identificados das ações a serem implantadas e dos resultados relativos  ao Programa de Compliance.

(iii) Avaliação de Riscos

Para que o Programa de Compliance seja eficaz é necessária uma avaliação de riscos (também conhecido como “risk assessment”) de integridade aos quais a empresa esteja ou possa estar vulnerável e, com isso, elaborar um plano de ação para prevenção e/ou mitigação dos riscos identificados.

Conforme “Manual para Implementação de Programas de Integridade” da Controladoria Geral da União (CGU), entende-se como risco “toda possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos de uma organização”.

Portanto, a análise de riscos deverá levar em consideração (i) o perfil da empresa; (ii) as áreas vulneráveis a riscos de integridade; e (iii) a probabilidade de ocorrência de evento de integridade e do impacto nas operações da empresa  caso o evento ocorra.

Com essa avaliação, os operadores do Programa de Compliance poderão realizar, a classificação dos diferentes riscos de integridade identificados⁵ e, com isso, será feita uma priorização, por meio de um plano de ação, para tratamento desses riscos.

A ordem de prioridade para tratamento dos riscos poderá ser dividida em quatro categorias:

1. aceitar: significa não fazer nada em relação ao risco considerando que a probabilidade e o impacto são tão baixos que não justificam a criação de um controle ou os controles existentes são suficientes para resguardar a empresa;
2. mitigar: demanda uma atuação da empresa para reduzir a probabilidade e/ou impacto do risco, tornando-o menor ou removendo-o da lista dos principais riscos;
3. evitar: demanda uma atuação rápida e direta da empresa para eliminar a ameaça, pois as consequências podem ser críticas; ou
4. transferir: a probabilidade e o impacto do risco são tão altos (não podem ser evitados ou mitigados completamente) que a empresa não pode suportá-lo e o transfere para terceiros, como nos casos em que a organização contrata um seguro para mitigar danos maiores.

(iv) Código de Ética e Políticas internas claras

O Código de Ética e Conduta ou Código de Ética é o mais importante instrumento de integridade de uma empresa, pois promove uma cultura de integridade ao estabelecer os princípios éticos e padrões de comportamento esperados de todos aqueles que fazem parte da organização, independentemente do cargo ou função que ocupam.

Temas como (i) missão, visão e valores; (ii) diversidade; (iii) postura profissional; (iv) proteção de informações confidenciais e de propriedade intelectual; (v) transparência; (vi) relacionamento com fornecedores; (vii) interações com órgãos e agentes públicos; (viii) canal de denúncias, entre outros, podem (inclusive é aconselhável) ser inseridos no Código de Ética da empresa.

Já as políticas internas, tratarão de questões e procedimentos internos específicos, como por exemplo, políticas de brindes, política de governança corporativa, política de licitações, caso a empresa lide com órgãos e agentes públicos etc.

Considerando que os riscos são mutáveis, conforme o crescimento e direcionamento das atividades de uma organização, tanto o Código de Ética quanto às políticas internas devem ser atualizadas sempre que preciso, a fim de refletirem as mudanças nos processos e controles da companhia.

(v) Canal de Denúncias

Até setembro de 2022, a obrigatoriedade de se ter um canal de denúncias era voltado, especialmente, para instituições bancárias, empresas que (i) operavam no exterior, como nos EUA e Reino Unido; (ii) desejavam realizar acordos de leniência⁶; e (iii) participavam ou desejam participar de licitações⁷.

No entanto, a partir de 2022 com o advento da Lei n.º 14.457/2022 que instituiu o Programa Empresa + Mulheres, é obrigatório que todas as empresas brasileiras, sem exceção, contem com canais de denúncias, com vistas à prevenção e ao combate ao assédio sexual e às demais forma de violência no ambiente de trabalho.

Esses canais devem ser seguros e confidenciais e permitir o recebimento de relatos anônimos ou identificados, a fim de que a organização possa ter ciência sobre eventuais irregularidades de integridade para que possa agir de forma dedicada, ágil e efetiva nessas situações.

Os tipos de canais de denúncia são diversos, como número de telefone, endereços de e-mails confidenciais, plataforma específica para realização de um relato de integridade e formulários online.

Com a escolha do canal de denúncias, a organização deverá definir o procedimento das investigações internas, como: (i) quem receberá e tratará as denúncias; (ii) quem procederá com as investigações das denúncias realizadas; (iii) quem realizará as entrevistas necessárias no decorrer da investigação; (iv) se haverá algum escritório de advocacia ou consultoria externos para auxiliar; (v) quem elaborará o relatório da investigação; (vi) com quem será dividido o relatório da investigação; (vii) quem será o responsável pela tomada de decisão ao final da investigação (uma pessoa? um comitê?); e (viii) quem comunicará o relator da denúncia acerca da decisão final da investigação e o denunciado (a depender da decisão).

(vi) Treinamentos contínuos

Com o intuito de mitigar os riscos de integridade aos quais a companhia está sujeita, promover uma cultura ética dentro da organização e o respeito ao Código de Ética e demais políticas internas, é fundamental a realização regular de treinamentos para toda a empresa, o que pode incluir palestras, divulgação de vídeos, cartilhas, manuais de referência, entre outros.

A Lei n.º 14.457/2022 que instituiu o Programa Empresa + Mulheres, determina que as empresas, pelo menos a cada 12 (doze) meses, promovam ações de capacitação, orientação e sensibilização dos empregados, independentemente do sexo e nível hierárquico, sobre temas relacionados à violência, ao assédio, à igualdade e à diversidade no âmbito do trabalho.

(vii) Processos de controle e monitoramento

Diante da mutabilidade dos riscos relativos à integridade, para que o Programa de Compliance seja efetivo e adequado, os responsáveis pelo Programa devem, anualmente, proceder com a análise e revisão da matriz de riscos de integridade com o intuito de (i) verificar se os riscos identificados no ano anterior foram alterados e/ou se há novos riscos de integridade; (ii) adequar o Plano de Ações, se necessário; e (iii) adequar o Código de Ética e Conduta, políticas, procedimentos e treinamentos, se necessário.

Quanto a esse ponto, ressalte-se o disposto no manual de avaliação de programas de compliance, denominado de “Evaluation of Corporate Compliance Programs”,  revisado em setembro de 2024 pelo Departamento de Justiça (DOJ) dos EUA e que visa a orientar os Procuradores do referido país quanto à análise dos programas  de compliance das empresas:

“O ponto de partida para a avaliação de um promotor sobre se uma empresa possui um programa de conformidade bem estruturado é entender o negócio da empresa de uma perspectiva comercial, como a empresa identificou, avaliou e definiu seu perfil de risco, incluindo fatores específicos que mitigam o risco da empresa, e o grau em que o programa dedica a devida atenção e recursos ao espectro restante de riscos. Essa avaliação deve levar em consideração riscos emergentes à medida que as circunstâncias internas e externas que impactam o perfil de risco da empresa evoluem. Em resumo, os promotores devem se esforçar para entender por que a empresa optou por configurar o programa de conformidade da maneira que fez e por que e como o programa de conformidade da empresa evoluiu ao longo do tempo.”⁸

Além dos sete pilares mencionados acima, não é incomum ver outros alicerces que sustentam um Programa de Compliance, como: diversidade e inclusão, responsabilidade econômica e socioambiental, auditoria externa, entre outros. Tudo vai depender da atividade exercida pela empresa, suas especificidades e os riscos aos quais possa estar exposta.

A importância do Compliance nas organizações

O Programa de Compliance tem enfoque preventivo, pois visa garantir a conformidade/observância de aspectos legais, regulamentos internos e dos melhores padrões éticos e, com isso, mitigar a ocorrência de práticas ilegais ou antiéticas, litígios, multas (contratuais ou legais) e danos à imagem das companhias.

Um programa robusto traz diversos benefícios para as organizações, como: (i) mitigação de eventuais descumprimentos de leis vigentes e regulamentos; (ii) promoção de seus valores e de uma cultura organizacional ética; (iii) identificação de riscos de integridade e implantação dos respectivos controles para proteção da organização ; (iv) mitigação de riscos e consequente aumento de seu valor; (v) proteção de sua reputação; (vi) garantia/aumento de sua credibilidade; e (vii) aumento da vantagem competitiva para atendimento de requisitos de seus clientes que tem obrigação de manter uma cadeia de fornecimento ética.

De acordo com o levantamento realizado pela Deloitte na pesquisa “Integridade Corporativa no Brasil - Evolução do compliance e das boas práticas empresariais nos últimos anos”, realizada em 2022 com 113 empresas, três pontos se destacaram quando o questionamento foi direcionado para as iniciativas de gestão de riscos e os motivos pelos quais as iniciativas foram adotadas pelas organizações: 80% entende que a gestão de riscos aumenta a sustentabilidade do negócio; 72% entende que evita riscos à imagem da empresa; e 69% acha que a gestão de riscos cria um programa estruturado de Compliance.

Além disso, constatou-se que 37% dos respondentes enxergam que o Compliance contribuiu muito para a melhora do resultado financeiro da Companhia e 52% entendem que o Programa de Compliance contribuiu para tal melhora.

Justamente em linha com os motivos pelos quais as empresas entrevistadas informaram terem adotados medidas de gestão de riscos, 73% delas responderam que no período de 2022 a 2024 planejam investir em treinamentos sobre integridade corporativa e práticas anticorrupção e em um canal independente de denúncias.

Conclusão

Percebe-se que, seja em decorrência das atividades exercidas pela empresa, do local onde atua ou da intenção da organização quanto à sua imagem ética, os Programas de Compliance têm um papel estratégico nos negócios, pois demonstram a maturidade de gestão da companhia e sua preocupação no combate a atos de corrupção e outros riscos de integridade.

É fundamental que as empresas fomentem um comportamento ético no ambiente de trabalho, a fim de que cresçam de forma sustentável e segura, passem uma imagem positiva para o mercado e estejam em conformidade com as legislações vigentes, evitando, assim, eventuais responsabilizações.

‍

–––––––––––––––––––––

¹ O Comitê de Basiléia foi criado em 1974 no âmbito do Banco de Compensações Internacionais (Bank for International Settlements – BIS) e o Brasil é membro do referido Comitê.

² A Lei de Licitações n.º 14.133/2021, dispõe ser obrigatória a existência de um Programa de Compliance (ou Integridade) para as empresas vencedoras de licitação relativa a obras, serviços e fornecimentos de grande vulto (casos que superam R$ 239.624.058,14, em 2024 - valor atualizado anualmente).

³ O acordo de leniência é celebrado entre a CGU e uma pessoa jurídica, que colabora, de livre e espontânea vontade, entregando informações e provas sobre os atos de corrupção de que tem conhecimento e sobre os quais assume a sua responsabilidade objetiva (sem necessidade de comprovação de culpa ou dolo). 

Para celebrar esse tipo acordo, o artigo 45, inciso IV, do Decreto n.º 11.129/2022, dispõe que:

“Art. 45. O acordo de leniência conterá, entre outras disposições, cláusulas que versem sobre:

(...)

IV - a adoção, a aplicação ou o aperfeiçoamento de programa de integridade, conforme os parâmetros estabelecidos no Capítulo V, bem como o prazo e as condições de monitoramento;”.

⁴ Profissional responsável por desenvolver o Programa de Compliance.

⁵ A CGU classifica os riscos em quatro categorias: (i) muito baixa – baixíssima possibilidade de o evento ocorrer; (ii) baixa – o evento ocorre raramente; (iii) média – o evento já ocorreu algumas vezes e pode voltar a ocorrer; e (iv) alta – o evento já ocorreu repetidas vezes e provavelmente voltará a ocorrer muitas vezes. Vide p. 31, do mencionado “Manual para Implementação de Programas de Integridade”.

⁶ De acordo com dados da CGU, atualizados até setembro/2024, já foram recebidas 93 propostas de acordo de leniência. Dessas propostas, 2 estão em juízo de admissibilidade, 29 já tiveram acordos celebrados, 22 estão em negociação e 40 foram encerradas sem acordo.

Além disso, o montante de R$ 18.704.244.586,99, se refere ao valor total acordado dos 29 acordos celebrados. Deste montante, 49,20% já foi pago, ou seja, R$ 9.455.464.138,98. Dados disponíveis em: https://app.powerbi.com/view?r=eyJrIjoiZTU2MWI0MjYtY2EzOS00NzYyLTg3MWQtYWE3MmFiMmY0ODM4IiwidCI6IjY2NzhkOWZlLTA5MjEtNDE3ZC04NDExLTVmMWMxOGRlZmJiYiJ9. Acesso em 17/10/2024.

⁷ Conforme nota de rodapé n.º 2, empresas participantes de licitação devem ter um Programa de Compliance. Vale mencionar que, ainda que a licitação não seja relativa a obras, serviços e fornecimentos de grande vulto (casos que superam R$ 239.624.058,14, em 2024 - valor atualizado anualmente), não é incomum ver essa obrigatoriedade de a empresa ter um Programa de Compliance, no próprio edital a ser disponibilizado pelo ente público. O tema é bastante debatido na esfera judicial e administrativa, considerando que um edital não se trata de lei, tampouco pode ir contra ao disposto em legislação específica.

⁸ Original: “The starting point for a prosecutor’s evaluation of whether a company has a well-designed compliance program is to understand the company’s business from a commercial perspective, how the company has identified, assessed, and defined its risk profile, including specific factors that mitigate the company’s risk, and the degree to which the program devotes appropriate scrutiny and resources to the remaining spectrum of risks. This evaluation should account for emerging risks as internal and external circumstances impacting the company’s risk profile evolve. In short, prosecutors should endeavor to understand why the company has chosen to set up the compliance program the way that it has, and why and how the company’s compliance program has evolved over time.” 

‍

–––––––––––––––––––––

Maria Cecília Guerra Lourenço Prozzi é advogada, Pós-graduada em Direito do Trabalho.

‍