Especialistas apontam que bons programas de compliance fortalecem a governança corporativa, protegem a perenidade dos negócios e atraem investidores

O termo “compliance” vem do verbo inglês “to comply”, que quer dizer estar de acordo ou em conformidade, seja com leis, regulamentações ou políticas internas, por exemplo. No mundo dos negócios, o compliance tem uma enorme importância e se refere às medidas que as empresas implementam com o objetivo de mitigar riscos e aumentar a segurança de seus processos, sendo um pilar para a governança corporativa.

“Em linhas gerais, compliance poderia significar simplesmente estar de acordo com leis ou regulamentações aplicáveis àquela empresa, mas essa visão é geral demais”, afirma Raphael Soré, sócio de Compliance da KPMG no Brasil. “Quando falamos em programa de compliance, nos referimos às medidas que uma empresa implementa para mitigar riscos de compliance. Esses riscos podem incluir os riscos regulatórios, tributários, trabalhistas, concorrenciais e reputacionais, mas são principalmente os riscos de integridade do negócio, relacionados a fraude, corrupção e criminalidade corporativa”, diz.

Jefferson Kiyohara, diretor de Compliance & Sustentabilidade na ICTS Protiviti e professor da FIA, acrescenta que o programa de compliance foi criado para auxiliar na criação de uma cultura corporativa de integridade. “O compliance, de um modo geral, serve para proteger a reputação de uma empresa e garantir sua perenidade. Quanto custaria para uma empresa ser envolvida em um escândalo? As empresas podem perder muito dinheiro e ter impacto na imagem. É mais barato e eficiente agir de forma preventiva e por isso o compliance não deve ser considerado um custo, mas sim um investimento.”

Crescimento

O compliance vem ganhando cada vez mais relevância entre as empresas brasileiras nos últimos anos. A Lei 12.846, conhecida como Lei Anticorrupção, que entrou em vigor em 2014, aumentou o debate acerca do tema e fez com que empresas corressem para investir em áreas de compliance. No primeiro momento, no entanto, os programas não eram efetivos.

“Várias empresas acabaram por implementar aquilo que chamamos de ‘programa de papel’, que é somente formal e não funciona. Mas, com o tempo, temos visto evolução das empresas brasileiras e uma maior maturidade desses programas. Nos últimos anos, há um efetivo aumento do investimento das empresas brasileiras em construir e reformar os seus programas de compliance para que eles fiquem mais eficientes”, diz Soré, da KPMG.

O movimento das empresas não ocorre de modo igual em todo o mercado, segundo Soré, sendo visto primeiro em empresas maiores, especialmente as que têm negócios nos Estados Unidos, onde a legislação é mais rigorosa. Com isso, porém, outras empresas, grandes, médias ou pequenas, também precisaram evoluir.

“É o ciclo virtuoso do compliance. Empresas que têm programas de compliance robustos começam a olhar com lupa quem são as empresas com quem elas fazem negócios, fiscalizando como esses possíveis parceiros lidam com seus programas de compliance, para que não sejam responsabilizadas ou afetadas por algo de errado que esses terceiros façam. É o ‘know your supplier’, conheça seu fornecedor, que também ajuda a impulsionar a evolução do compliance no mercado”, afirma Soré.

Segundo os especialistas, durante a pandemia do novo coronavírus, novos riscos surgiram com o trabalho remoto, como a maior dificuldade de conduzir investigações internas e treinamentos, além das questões de cibersegurança. Isso também fez com que os programas de compliance tivessem que ser adaptados e fortalecidos para fazer frente a esses novos riscos.

Implementação

Para que seja implementado um programa de compliance eficaz em uma empresa, é preciso, em um primeiro momento, conhecer a complexidade do negócio. Uma padaria com poucos funcionários, por exemplo, não precisa ter um compliance officer (profissional responsável pelo compliance), mas pode ter um código de conduta que fique à vista dos funcionários e pode disponibilizar uma caixinha de denúncias. Já empresas maiores e mais complexas precisam de estruturas mais robustas.

Outro passo inicial é o mapeamento dos riscos, para que sejam determinados a quais riscos a empresa está exposta e como eles devem ser mitigados. “E quando falamos em risco, estamos falando de um risco que pode efetivamente atrapalhar a continuidade do negócio. Casos de discriminação racial, de corrupção, de assédio sexual, por exemplo, podem afetar a imagem da empresa e também ter um impacto financeiro. Há empresas que realmente foram à falência por conta de problemas de compliance, outras tiveram que mudar de nome”, diz Soré.

Os programas de compliance se baseiam em três pilares: a prevenção, a detecção e a resposta.

Prevenção: Estabelecimento de códigos de conduta, políticas internas e procedimentos, além da condução de treinamentos para que funcionários e terceiros conheçam e entendam as normas e o que a empresa espera deles.

Detecção: O programa de compliance precisa ter instrumentos para diagnosticar rapidamente se algo de errado está acontecendo. O canal de denúncia é considerado muito importante para a detecção, já que é um mecanismo por meio do qual a empresa recebe avisos quando as pessoas enxergam o descumprimento de alguma regra, por exemplo. Sua existência também auxilia na prevenção, já que pode inibir atos que ferem os princípios da empresa. Outros instrumentos de detecção são as auditorias internas e outros sistemas que hoje já usam a inteligência artificial para verificar riscos.

Resposta: Quando é detectado algo fora do comum, é preciso que a empresa dê consequência àquilo que foi diagnosticado. É preciso haver procedimentos estabelecidos para a investigação interna e, se for o caso, a punição ou reeducação de um funcionário ou terceiro, garantindo a mitigação do risco de que aquilo volte a ocorrer.

Em empresas mais complexas, o recomendado é haver um departamento dedicado ao programa de compliance, que disponha de adequada independência da administração para poder aplicar o programa. A área deve ser responsável por implementar todos os processos, entender os riscos da empresa, escrever e revisar as políticas, conduzir treinamentos, realizar investigações e aplicar medidas disciplinares. Jefferson Kiyohara, da ICTS Protiviti, destaca a importância também do profissional de compliance.

“Percebemos que, no mundo corporativo, muita gente ainda nem sabe qual a função do profissional de compliance. Há o debate sobre como combater o assédio sexual e moral, o racismo, a corrupção nas empresas, por exemplo, sem envolver o profissional de compliance. E há a procura por outros profissionais. Mas é o profissional de compliance que estuda isso e é especializado nisso e, por isso, deve ser incluído”, aponta.

Outro ponto importante do compliance é o apoio da alta gestão. É imprescindível que a diretoria e o conselho de administração demonstrem a importância do compliance, tanto por meio de declarações, como de ações, criando mecanismos independentes para o programa de compliance, investindo na área, contratando pessoas especializadas e aplicando medidas disciplinares quando elas têm que ser aplicadas.

Benefícios

Segundo os especialistas, os principais benefícios trazidos por um bom sistema de compliance são:

– Proteção da empresa, garantindo a continuidade dos negócios, por meio da identificação e mitigação de riscos;
– Prevenção de danos reputacionais e financeiros;
– Contribuição para o fortalecimento da governança corporativa, com a criação de uma cultura corporativa íntegra e baseada na ética;
– Garantia de melhores parceiros de negócios, por meio da fiscalização de fornecedores e outros terceiros;
– Transparência e clareza para stakeholders (todas as partes interessadas na empresa, incluindo funcionários, acionistas, clientes e comunidade), demonstrando que a empresa segue leis e regulamentações;
– Atração de investidores, por meio da demonstração de que a empresa tem credibilidade e os negócios são sólidos.

* Jefferson Kiyohara é diretor de Compliance & Sustentabilidade na Protiviti

Há profissões com amplo histórico e que são de conhecimento da grande maioria da população. É incomum, por exemplo, ter a necessidade de explicar o que faz um motorista, um policial ou um professor. As pessoas sabem o que estes profissionais fazem e quando procurá-los. E na hora que é preciso buscar um especialista para combater a corrupção, para proteger as organizações de fraudes e ilícitos, para lutar contra o assédio e a discriminação e para promover uma cultura de integridade? Nestes casos, é necessário buscar um especialista de Compliance.

O nome vem do verbo em inglês “to comply”, que significa estar de acordo com as leis, regulamentações e políticas da organização. Mas o papel do Compliance deve ir e vai além.

Esse especialista tem um papel muito importante e, curiosamente, recebe pouca atenção por parte de decisores, influenciadores, políticos e da população em geral. Mas, quando há falta de atuação desse profissional, os impactos são visíveis. O paciente que morre porque não tem médico ou remédio, a criança que passa fome porque não tem merenda ou o cidadão que é vítima de um assalto porque falta iluminação e de policiamento são todos vítimas da corrupção. Da mesma forma, é vítima o profissional que perde o emprego porque a empresa precisou pagar multas por ter feito algo errado ou por ter sofrido uma fraude.

Analisando de maneira mais ampla, não há como falar em gerar empregos, oferecer saúde, educação, moradia, segurança e outras necessidades básicas sem o Compliance. Não há empresa que perenize os seus negócios e os seus lucros sem atuar com ética e conformidade. Não se combate a corrupção e as falcatruas sem o Compliance. É importante desconfiar dos que querem passar a imagem de honestos e corretos, mas não se preocupam com este quesito e não defendem a fiscalização, o controle e a transparência, ou seja, não agem contra o conflito de interesses e os favorecimentos indevidos.

Seja no âmbito público, privado ou terceiro setor, o especialista em Compliance prova o seu valor ao proteger a reputação das organizações e ao evitar, ou minimizar, impactos de sanções e danos por meio da estruturação e gestão de um Programa de Compliance (ou de Integridade). Mas, para funcionar e ser efetivo, é fundamental ter o apoio autêntico da alta liderança, os recursos necessários e a participação de todo público envolvido e impactado.

A atuação do profissional de Compliance deve ser vista em vários âmbitos de nossa sociedade, como nas empresas que atuamos, nas instituições de ensino, nas organizações nas quais consumimos os bens e serviços, em nosso time de futebol de coração, no partido político que votamos e nos locais que frequentamos. Você sabe se nessas instituições, a ética e o Compliance se fazem presentes? É importante observar para que saibamos quais caminhos percorremos com as nossas escolhas: de conivência com ações incorretas ou de apoio às iniciativas de Compliance para que elas cresçam e se fortaleçam, ajudando a criar um futuro mais justo e íntegro que tanto almejamos.

* Jefferson Kiyohara é diretor de Compliance & Sustentabilidade na Protiviti Brasil

Fonte: Legis Compliance

A jornada ESG (Ambiental, Social e Governança, em português) é uma tendência que tem crescido de forma exponencial e convida as empresas a reestruturarem seus processos de acordo com as melhores práticas de sustentabilidade econômica, ambiental e social. A Protiviti, reconhecida pela sua metodologia, experiência de implantação e inovação no mercado na jornada ESG das empresas, agora, apresenta a plataforma Risk Check como uma das vias que otimiza o processo, a maturidade e a consolidação de critérios ESG.

O que é o Risk Check

O Risk Check é uma ferramenta robusta e ampla que permite uma companhia avaliar e monitorar os riscos de empresas e pessoas com as quais se relaciona de forma segura e precisa. Ao mesmo tempo que otimiza o tempo de análise, ela permite aprofundar buscas, investigações e levantamento adicionais de temas como corrupção, LGPD, ambiental, trabalhista, reputação, entre outros.

Nesse sentido, o Risk Check agiliza e robustece o caminho da sustentabilidade definindo critérios prévios de busca em relação aos terceiros. É válido relembrar que ESG é caracterizado como “capitalismo de stakeholders”, o que demonstra a importância da rede de relações para mensurar gaps e definir estratégias que consolidem a trajetória sustentável.

Ambiental

Em relação ao critério ambiental, por exemplo, uma das preocupações é como identificar e monitorar os riscos ambientais da cadeia de fornecedores, como emissão de gases de efeito estufa. A plataforma consulta mais de 1700 fontes de risco nacionais e internacionais, portanto, consegue identificar as vulnerabilidades desse terceiro e, indiretamente, ao próprio negócio da empresa. Ao mesmo tempo, essa gestão pode ser acrescida de auditoria remota, avaliação de processos e controles e averiguação dos riscos identificados pela ferramenta.

Social

Outro exemplo são os riscos sociais, como conformidade trabalhista e trabalho análogo à escravo.  Nesse sentido, a plataforma automatiza a consulta de processos em tribunais, listas de sanções internacionais e mídias negativas, permitindo análise de histórico, conhecimento e avaliação de clientes e fornecedores.

Governança

Por fim, a governança pode associar-se a riscos atrelados à corrupção e à reputação. Nessa medida, a plataforma fornece um Background Check onde permite expandir as buscas e a correlação de empresas que estão indevidas naquela análise, permitindo o acompanhamento da exposição ao risco e prevenção de problemas futuros.

O Risk Check, portanto, vai além de uma simples coleta de dados. Ele integra riscos, automação e inteligência artificial à tomada de decisões mais assertivas e ágeis. Portanto, investiga, comunica e potencializa as empresas que estejam engajadas e atentas às mudanças rápidas que jornadas sustentáveis exigem.

Rayhanna Oliveira é gerente de ESG & Sustentabilidade.

A ética e a transparência são princípios fundamentais que devem fazer parte do dia a dia das empresas. A condução dos negócios baseada nesses princípios proporciona um crescimento saudável, continuidade e reconhecimento no mercado. Além disso, os stakeholders e instituições financeiras se sentem mais seguros em realizar os seus investimentos em empresas reconhecidas por possuírem práticas éticas e transparentes. E o treinamento de compliance é um assunto importante a ser tratado.

Sendo assim, uma das melhores formas dos colaboradores conhecerem e aplicarem os princípios e valores de uma organização em seu dia-a-dia é por meio de treinamento de compliance e comunicação eficaz e efetiva.

O principal objetivo do treinamento de compliance deve ser conscientizar os colaboradores sobre os comportamentos, regras internas, valores, princípios previstos no código de conduta ou políticas internas. Deve, também, reforçar que qualquer atitude antiética pode impactar a imagem da empresa e a carreira do próprio colaborador.

Importância de um treinamento de compliance

O treinamento de compliance é um elemento imprescindível dentro dos pilares de um Programa de Compliance. Por meio dos treinamentos, a empresa direciona a forma que os seus funcionários devem atuar conforme as estratégias e objetivos definidos e aprovados pelo Comitê de Ética ou Alta Administração.

Podemos dizer que o treinamento de compliance é uma ação de prevenção e orientação ao funcionário das condutas esperadas. É, também, a disseminação da cultura de compliance. Dessa forma, a participação de toda a companhia é fundamental para garantir que todos estejam alinhados.  

Sendo assim, considerando a efetividade do Programa de Compliance, seguem algumas dicas que devem ser observadas sobre como realizar um bom plano de treinamentos de compliance.

1) Crie o seu plano de comunicação e treinamento de compliance

Toda empresa deve elaborar o seu plano de treinamento, definir o formato e metodologia além de estabelecer a quantidade adequada, formato, público-alvo, tema, área e cargos.

Este plano deve ser simples e eficaz, e abordar temas relevantes para a empresa e para cada público. A aprovação dos planos pela área de Compliance é obrigatória. 

2) Utilize as denúncias recebidas para definir temas para treinamento de compliance e comunicação 

As denúncias recebidas podem ser utilizadas e exploradas nos treinamentos e comunicação da empresa, desde que seja respeitada a confidencialidade.

O objetivo do uso das denúncias como tema é para reforçar as diretrizes da empresa previstas no Código de Conduta ou políticas internas, e em nenhuma hipótese, poderá expor envolvidos nas situações.

3) Conheça o seu público-alvo

Para iniciar o planejamento do seu treinamento, é imprescindível conhecer o seu público e a cultura deste público. Cada localidade (país/estado/cidade) possui uma cultura própria.

O respeito a essas diferentes culturas no momento da elaboração do treinamento irá garantir que mensagem de conscientização para os colaboradores seja repassada da melhor forma.

4) Defina a metodologia e abordagem a serem aplicados

Após conhecer o público-alvo, é o momento de definir qual metodologia e abordagem se enquadram a esse público. Treinamentos presenciais são importantes, mas esbarram em limitação de espaço e capilaridade, principalmente para operações pulverizadas.

Treinamento de compliance online e ao vivo vêm se mostrando eficientes para minimizar estas questões. Outra opção é capacitar multiplicadores, que podem agir em diferentes geografias.

E-learning é uma boa opção para conteúdo mais massificados e conceituais, onde a interação com o apresentador e com os demais colaboradores não é o mais importante.

Baseado nestas definições, deve-se desenvolver o conteúdo dos slides, pois estes sempre devem ser focado para cada público e formato. Além disso, os slides devem ser “limpos” e de preferência contendo mais figuras ao invés de longos textos.

As imagens costumam marcar a memória dos participantes e facilita a associação em futuras situações. Inclua também frases ou perguntas provocativas para que os colaboradores se envolvam mais nos treinamentos. Utilizar vídeos e cases com opções de respostas ajudam a manter um maior engajamento dos participantes, sendo muito úteis no caso de e-learnings.

5) Tenha uma linguagem agradável e adequada ao público alvo

A linguagem utilizada durante o treinamento deve ser simples e agradável para o ouvinte. Por exemplo, a mensagem de um treinamento com a utilização somente de termos técnicos pode não ser bem absorvida pelo público.

A linguagem deve aproximar o público ao conteúdo do treinamento, por isso, a utilização de figuras, reportagens, vídeos, ou dinâmicas pode ajudar para que a mensagem repassada seja assertiva e atrativa. 

6) Apresente cases para discussão

O uso de dilemas éticos é uma ótima forma de reter atenção do público. Uma dica para esse momento é dividir os participantes em grupos, solicitar que o dilema ético seja discutido e que uma solução seja encontrada.

O ponto de atenção é para a definição dos cases, pois, devem ser adequados para o público ouvinte e relacionados aos negócios da empresa. Os cases também podem ser utilizados em e-learning, com animações e opções de repostas, mostrando as consequências de cada uma.

7) Metodologia de storytelling e gamificação

A metodologia de storytelling é uma ferramenta utilizada para falar sobre temas no geral por meio de uma história contada. Nesse contexto, os personagens são criados e há um engajamento maior do público alvo.

Essa técnica ativa a atenção, criatividade, curiosidade, interesse sobre o assunto abordado e a facilidade para repassar a mensagem pretendida. Além do storytelling, a gamificação também é uma maneira didática de repassar o conteúdo. Ele ajuda a envolver e engajar o público durante o treinamento para a solução de dilemas do dia a dia utilizando-se jogos.

8) Avaliação da qualidade do treinamento

A avaliação final dos treinamentos pelos participantes é fundamental para identificar os pontos de melhoria e garantir que a metodologia dos próximos se enquadrem no perfil daquele público. Além disso, por meio da avaliação também poderá ser mensurado a retenção dos colaboradores.

Como conclusão, reforço que um treinamento de compliance com a ausência de apoio da alta direção, por meio do exemplo (walk the talk), será um investimento sem retorno esperado para a empresa.

Não existirá mudança de cultura ou engajamento dos colaboradores em participar dos treinamentos de compliance se os membros da Alta Administração não forem o exemplo e caminharem de acordo com a ética e valores da empresa.

Esse conteúdo foi útil para você? Então assine nossa newsletter e receba mais dicas como essa em seu e-mail.

*Patricia Gobbi é Gerente de Compliance na Protiviti

O U.S. Foreign Corrupt Practices Act – FCPA trata-se de um marco normativo norte-americano que, pela primeira vez, reuniu diretrizes para confrontar o problema da corrupção, sendo aplicável a pessoas físicas ou jurídicas do próprio território e de qualquer outro país que se utilize de meios situados nos Estados Unidos para incorrer em atos de corrupção junto a funcionários públicos estrangeiros. 

Atuação da FCPA

É previsto formalmente que sua jurisdição se estende a ações que se valham dos “meios de comércio interestadual”, assim entendidos como ligações telefônicas, e-mails ou qualquer tipo de transmissão de mensagens para ou pelo os Estados Unidos, ou, ainda, transferências bancárias que se amparem em sistemas financeiros do país e viagens através de suas fronteiras.

Contudo, apesar de o instrumento normativo¹  já ter evocado a legitimidade de se aplicar o FCPA sobre o uso de sistemas de comunicação e servidores e a realização de transações bancárias nos EUA, este ponto ainda não é pacífico. Isto ocorre por envolver a definição criteriosa do próprio conceito de “comércio interestadual” (“interstate commerce”, tal como dito na norma). A publicação recente da nova edição desse instrumento, como comentado adiante, buscou elucidar melhor essa questão, esmiuçando detalhes sobre a aplicação extraterritorial.

História da FCPA

Não foi de uma hora para outra a iniciativa de se estabelecer um regramento para categorizar, coibir e punir ações desviantes e antiéticas.

Na década de 1970, os EUA estavam às voltas com o escândalo de Watergate, quando eclodiram informações sobre um grande esquema de corrupção global envolvendo empresas norte-americanas e doações políticas ilícitas.

Imagem: rarenewspapers.com

Em poucas palavras, favorecimentos ilegais eram concedidos a agentes de governos estrangeiros a fim de garantir negócios nestes países. Este episódio demonstrou – em grandes proporções – o impacto dos atos corruptos na reputação, imagem e credibilidade das empresas envolvidas.

Como desdobramento, o escândalo sinalizou ao Congresso norte-americano quanta instabilidade a corrupção traria aos negócios. Neste cenário, ganharam proporção discussões sobre um modelo de responsabilização cível e criminal, o que abriu caminho para a aprovação, em 1977, da primeira lei americana de combate a atos de corrupção no estrangeiro: “U.S. Foreign Corrupt Practices Act- FCPA”².

O ato, uma vez referendado, proibiu oferecimento, promessa, pagamento ou autorização de pagamento de vantagens ou somas em dinheiro por empresas americanas a dirigentes, oficiais e funcionários de governo estrangeiro, bem como candidatos políticos estrangeiros e partidos políticos, de maneira direta ou indireta, responsabilizando-os de forma objetiva.

Ademais, sob um viés contábil, determinou que empresas emissoras de títulos mobiliários mantivessem documentos contábeis – como livros e registros – aptos a demonstrar de forma clara e detalhada a integridade das transações e disposições dos ativos alcançados.

Na esfera dos dispositivos antissuborno, a fiscalização e consequente aplicação de potenciais penalidades cabe, sobretudo, ao Departamento de Justiça dos EUA (“DOJ”). Já a apuração das infrações contábeis fica a cargo principalmente da Comissão de Valores Mobiliários dos EUA (“SEC”).

O ato não seguiu isento de críticas no panorama internacional, sendo alvo sobretudo dos conglomerados americanos operantes em mercados globais. Ainda assim, foi um pontapé para que se tornasse imperativo debater a questão e iniciar a elaboração de normas com essa abordagem.

FCPA e a influência nas leis brasileiras

Assim foi no Brasil. Há alguns motivos fundamentais para que o estudo do FCPA seja relevante em nosso país.

Primeiramente, uma empresa brasileira pode estar sujeita à sua jurisdição, devendo observar suas prescrições e precedentes. Além disso, o país integra organizações internacionais, sendo signatário de convenções em relação às quais os EUA possuem grande influência de poder decisório, a exemplo da Convenção OCDE sobre o Combate da Corrupção de Funcionários Públicos Estrangeiros em Transações Comerciais Internacionais e a Convenção das Nações Unidas contra a corrupção.

Além disso, as leis brasileiras de combate à corrupção: Lei nº 12.846/2013 e Decreto nº 8.420/2015 (que, por sua vez, inspiraram uma série de normas estaduais sobre o mesmo tema) foram influenciadas pelo FCPA e pela evolução de sua aplicação em território estrangeiro, inclusive no que diz respeito aos critérios que discorrem sobre a verdadeira efetividade de programas de compliance, a exemplo do Guia produzido pelo DOJ/SEC: “Resource Guide to the USA Foreign Corrupt Practices”³.

Atualização e futuro da FCPA

A respeito do tema da efetividade dos programas, em especial, vale destacar que, em junho de 2020, foi publicada a atualização do Guia de Avaliação dos Programas Corporativos de Compliance (“The Evaluation of Corporate Compliance Programs”⁴⁾, por meio da qual o Departamento de Justiça ressaltou que devem ser considerados o dinamismo da evolução dos programas de Compliance, bem como as falhas e as infrações identificadas desde a vigência do referido programa na corporação.

Recomendações práticas estabelecidas pelo guia são muito importantes para nortear profissionais de Compliance em nosso país, já quem elencam boas práticas de prevenção e remediação de desvios. Isso auxilia no aculturamento da organização em princípios de integridade nos negócios – logo, a longo prazo, em sua própria sustentabilidade.

Nesse sentido, a última atualização conferiu grande importância a fatores como:

(i) realização de avaliação de riscos de forma periódica como maneira de subsidiar, com os gaps, controles, políticas e procedimentos da empresa;

(ii) transparência na mensagem transmitida através dos normativos internos, de maneira que sejam efetivamente acessíveis;

(iii) fortalecimento de treinamentos corporativos e desenvolvimentos de métodos que consigam atestar a aderência dos ensinamentos no cotidiano empresarial;

(iv) visão de melhoria contínua, devendo a empresa assimilar falhas identificadas em seu histórico e desenvolver mecanismos para evitar que sejam recorrentes;

(v) reforço da autonomia da figura do profissional/departamento de Compliance, e

(vi) a importância de processos de due diligence para uma congruência entre os programas da empresa adquirente e adquirida (casos de M&A) e na contratação e gestão de terceiros.

Ademais, no mês de julho de 2020, foi lançada a Segunda Edição do próprio Guia sobre o FCPA pelo DOJ e SEC: “A Resource Guide to the U.S. Foreign Corrupt Practices Act – Second Edition”⁵ . O instrumento não havido passado por atualização desde a publicação original, em novembro de 2012.

Dentre as diversas atualizações trazidas, ressalte-se:

• Definições sobre a quem, de fato, se sujeitam as disposições anticorrupção e contábeis do FCPA e sobre quem pode ser considerado “funcionário público estrangeiro”;
• A aplicação extraterritorial do FCPA;
• A responsabilidade sucessora em processos de M&A;
• As características que ditam a efetividade dos programas de Compliance;
• As reprimendas de ordem civil e criminal aplicáveis em caso de violações ao ato;
• Os fatores relevantes para que DOJ e SEC desencadeiem investigações;
• O conceito de reporte voluntário;
• A importância da colaboração com as autoridades como medida de reparação em caso de desvios identificados, reduzindo-se ou até mesmo afastando-se penalidades previstas.

Além disso, a nova versão se preocupou em expor jurisprudência e casos hipotéticos, dando contornos mais práticos à análise da aplicação do FCPA e esclarecimento de dúvidas que subsistiam desde a origem do Guia, em 2012.

Adicionalmente a estes diplomas mencionados, e não menos importante, há outro fator que demonstra a conexão e influência da lei americana no território nacional: o fato de que as autoridades brasileiras se comprometeram formalmente com o escopo americano de combate à corrupção através de instrumentos de cooperação com as autoridades daquele país.

É sabido que a corrupção desvia recursos que deveriam ser direcionados para a implementação e aprimoramento de políticas públicas, impactando a sociedade e a atividade empresarial como um todo.

A iniciativa americana de compilar normas para detectar condutas corruptas estabeleceu um importante marco inicial no combate ao problema com base uma estrutura jurídica organizada, uma teia normativa de efeitos internacionais em busca de um cenário mais claro e sólido de fortalecimento das instituições e proteção de seus respectivos ativos.

É importante que o Brasil se comprometa continuamente com princípios de conformidade representados por essas normas e que não vacile em aprender com as falhas, aperfeiçoando e customizando práticas inspiradas no cenário global e devolvendo-as em forma de solidez e integridade a toda a sociedade.

Gostou do conteúdo? Assine nossa newsletter e receba mais textos como esse em seu e-mail.

1. Resource Guide to the U.S. Foreign Corrupt Practices Act – https://www.sec.gov/spotlight/fcpa/fcpa-resource-guide.pdf (p.11).
2. https://www.justice.gov/criminal-fraud/foreign-corrupt-practices-act.
3. Resource Guide to the U.S. Foreign Corrupt Practices Act – https://www.sec.gov/spotlight/fcpa/fcpa-resource-guide.pdf.
4. https://www.justice.gov/criminal-fraud/page/file/937501/download#:~:text=The%20starting%20point%20for%20a,the%20program%20devotes%20appropriate%20scrutiny.
5. https://www.justice.gov/criminal-fraud/file/1292051/download.

A “Avaliação de Programas de Compliance Corporativos” (Guia de Orientação do Programa de Compliance) atualiza a orientação divulgada anteriormente em 8 de fevereiro de 2017 e fornece às empresas maior clareza na avaliação do governo americano sobre programas de Compliance.

O Guia de Orientação do Programa de Compliance expande as “questões fundamentais” previamente fornecidas para os procuradores para avaliar se um programa de Compliance está adequadamente identificando e prevenindo a conduta indevida.

Perguntas fundamentais sobre os programas de Compliance

1. O programa de Compliance da corporação é bem projetado?
2. O programa está sendo aplicado com honestidade e de boa fé? Em outras palavras, o programa está sendo implementado de forma efetiva?
3. O programa de Compliance funciona na prática?

Notavelmente, embora os principais fatores relevantes para a análise por um procurador permaneçam os mesmos, este Guia enfatiza que não existe uma abordagem única para avaliar o programa de Compliance de uma empresa. Em vez disso, “o perfil de risco de cada empresa e as soluções para reduzir seus respectivos riscos determinam a realização de uma avaliação particularizada/individualizada”. Com o objetivo de realizar a mencionada avaliação individualizada, o Guia de Orientação do Programa de Compliance fornece um conjunto organizado de tópicos com os quais a performance e o programa de Compliance de uma empresa serão avaliados.

O DOJ sinaliza que não está atrás de um “checklist” de esforços de Compliance, mas que espera que as empresas construam um programa de Compliance individualizado, que aborde os riscos reais e específicos enfrentados por este negócio e que seja adequadamente implementado para garantir que o mesmo seja verdadeiramente efetivo.

O Guia de Orientação do Programa de Compliance enfatiza que as empresas têm flexibilidade para construir/desenvolver e melhorar o programa de Compliance, com o objetivo de assegurar que o mesmo seja adaptado e direcionado para os riscos que as empresas enfrentam devido o atual ambiente normativo e legal. A alta direção da empresa deve ser envolvida e também ser responsável pelo processo de avaliação das áreas de alto risco.

Além disso, a empresa também deve contar com o apoio dos times de negócios para identificar as maiores áreas de risco, auxiliar no desenvolvimento de canais apropriados e eficazes de comunicação e garantir que as políticas, procedimentos, treinamentos e controles internos adicionais irão funcionar efetivamente no âmbito da estrutura da empresa e sua respectiva cultura. Cada empresa deve considerar os tipos de mas condutas que tenham maior probabilidade de ocorrer em seus negócios e mensurar se o programa de Compliance de sua empresa está projetado/desenvolvido para identificar, detectar e prevenir condutas impróprias, a priorização de áreas de alto risco, as atividades adicionais de Compliance serão voltadas para as atividades particularmente sensíveis.

Além disso, quando os procuradores estão avaliando como um programa de Compliance é estruturado e se existem suficiente quantidade e qualidade de funcionários e recursos dedicados ao programa de Compliance para promover os desenvolvimento e objetivos, os procuradores irão levar em conta características específicas de cada empresa, como “tamanho, estrutura e perfil de risco”. O Guia de Orientação do Programa de Compliance enfatiza que os procuradores devem garantir que o programa de Compliance de uma empresa não seja bom apenas no papel, mas que seja “projetado/desenvolvido para detectar os tipos específicos de condutas improprias mais prováveis de ocorrer na linha de negócios de uma empresa em particular”.

Alta direção das empresas

A alta direção de cada uma das empresas também deve demonstrar de maneira visível a liderança e o compromisso com uma cultura de Compliance por meio de ações concretas. O Guia de Orientação do Programa de Compliance instrui os procuradores a buscarem provas concretas de exemplos de como a alta gestão está definindo tom de Compliance para o restante dos funcionários da empresa e como esta sendo comunicado aos funcionários que a alta administração realmente tem seriedade em relação ao programa de Compliance.

A alta direção deve ir além de apenas enviar mensagens e, de fato, fazer ações concretas para modelar e incentivar o comportamento adequado. Isso deve incluir o ato de “ não incentivar os funcionários a agir de forma antiética para atingir um objetivo comercial”.

O Guia de Orientação do Programa de Compliance enfatiza que os procuradores devem questionar se a expertise de Compliance tem estado disponível para o conselho da empresa. Isso inclui se o conselho se reuniu individualmente com o Compliance Officer e seu time (se aplicável) e outras funções de controles, quais foram os os tipos de documentos e informações que foram disponibilizados para o conselho, incluindo no que diz respeito a áreas onde violações de políticas da empresa ocorreram. As empresas devem considerar como será endereçada a questão da supervisão do conselho em relação ao Compliance Officer e sua equipe e como essa supervisão foi documentada ao longo do tempo.

O Guia de Orientação do Programa de Compliance novamente reforça os princípios que o DOJ, por longa data, tem requerido em relação a um programa de Compliance efetivo, especificamente, o departamento de Compliance da empresa deve ter orçamento adequado e possuir os recursos, autoridade e apoio da alta administração para efetivamente avaliar, investigar e sugerir medidas disciplinares para violações.

As empresas devem garantir que as investigações internas sejam conduzidas no tempo e de forma adequada. Por exemplo, o Guia coloca em prática procedimentos para assegurar que as “investigações sejam independentes, objetivas, apropriadamente conduzidas e adequadamente documentadas”. Caso uma conduta indevida seja identificada, o Guia de Orientação do Programa de Compliance estabelece a obrigatoriedade que a empresa realize uma análise adequada e honesta de causa raiz da conduta indevida, com o objetivo de entender: (i) o que contribuiu para tenha ocorrido a má conduta; e (ii) o grau de remediação necessária para prevenir que eventos semelhantes ocorram novamente no futuro. Ao fazer isso, as empresas não apenas estão reagindo a conduta indevida, mas, de fato, lidando com a conduta inadequada em questão ao utilizar a investigação como uma oportunidade para identificar a causa raiz da má conduta e quaisquer pontos fracos no programa de Compliance e/ou nos controles internos da empresa. A empresa terá a oportunidade realizar melhorias onde for necessário baseado no conceito de “lições aprendidas”.

O Guia de Orientação do Programa de Compliance também aconselha aos procuradores a questionar se a empresa realizou testes nos controles e fez análises de dados em áreas de riscos de Compliance e, quando os sinais de riscos são identificados se seguiu adiante com entrevistas com funcionários visando detectar a causa raiz em sua essência.

O DOJ também sugere aos procuradores para que eles devam examinar com que frequência e de que forma a empresa está mensurando sua própria cultura de Compliance, através de imputs de funcionários de toda a organização sobre suas respectivas percepções sobre o compromisso da alta administração com o programa de Compliance. Em outras palavras, em vez de simplesmente confiar nas informações fornecidas por meio dos canais de denúncias da empresa sobre potenciais violações de conduta, as empresas devem buscar informações dos funcionários sobre a cultura de Compliance da empresa antes que as violações sejam relatadas.

Principal lição

A principal lição deste Guia seja que, mais do que nunca, que as empresas devem realizar um cálculo do risco que querem e/ou devam enfrentar ao decidir quanto irão investir em um programa de Compliance que seja realmente efetivo. Com maior ênfase, o DOJ expressou a opinião de que “programas de Compliance de papel” não são suficientes, e que o DOJ está se tornando muito mais sofisticado em sua abordagem para determinar a efetividade ou não de um programa de Compliance.

Embora o tamanho e a forma variem, toda empresa deve se perguntar se está lidando com cada um dos elementos de um programa de Compliance de forma efetiva e foram dedicados recursos suficientes para endereçar/ lidar com as atividades de negócios de maior risco, não somente em bases reativas, mas antecipando que a violação ao programa de Compliance pode ocorrer.

A aversão a vamos prevenir/evitar “problemas no futuro”, embora muitas vezes difícil de ser financeiramente avaliada sob o ponto de vista do retorno sobre o investimento, é provavelmente o maior incentivo para as empresas que investem e implementam programas de Compliance efetivos.

Passadas as eleições, podemos acompanhar pelos noticiários que as ações das autoridades contra a corrupção e crimes financeiros permanecem, assim como se fortalecem as ações a favor do respeito à diversidade e nas relações pessoais no ambiente de trabalho. Ganha cada vez mais relevância a temática segurança de informações e privacidade de dados. Neste sentido, destacamos os cinco principais pontos de atenção em compliance para 2019 que as empresas precisam observar. A lista contém temas macros, que vão impactar os programas de compliance nas organizações em 2019. O risco de reputação se faz presente, e por isto a importância do tema ter a devida atenção pelos executivos e líderes responsáveis por Programas de Compliance, de modo que as ações de prevenção e mitigação sejam tomadas.

1) Segurança de informações e privacidade de dados

O mundo virtual faz parte do mundo real. Dados se tornaram um ativo valioso, sendo base de muito modelos de negócios. A diferença é que o valor da informação se tornou maior com a lei 13.709/18, conhecida como Lei Geral de Proteção de Dados. Ela traz regras de consentimento, obrigações na proteção de dados, diretrizes para segurança de informação e reporte de incidentes, sanções que as organizações podem sofrer na ordem de 2% do faturamento até o limite de 50 milhões de reais, entre outros.

Neste contexto, é fundamental que os executivos das organizações busquem ações de conscientização sobre a nova lei e patrocinem o diagnóstico sobre qual será o impacto nos negócios. Posteriormente, é fundamental promover as melhorias necessárias, pois a lei passará a vigorar em fevereiro de 2020, o que na prática coloca 2019 como o ano para a adoção das novas práticas. E é essencial prever os recursos e orçamento para que isto aconteça, uma vez que dados pessoais é algo presente em todas as organizações.

2) Ampliação do universo de riscos de compliance

O combate à corrupção continua, bem como a promoção da cultura ética e o combate ao assédio. Vimos movimentos importantes de pactos setoriais anticorrupção se consolidando em 2018, e outros devem tomar forma em 2019. E tal movimento deve ser incentivado e ampliado. Mas não há como restringir a atuação dos Programas de Compliance a apenas estes temas. O universo de riscos de compliance abrangido pelo Programa deve ser ampliado. Além do tema segurança de informações e privacidade de dados, questões como prevenção à lavagem de dinheiro, práticas concorrenciais, e outros devem entrar no radar, inclusive como resultado do mapeamento de riscos de compliance realizado.

Contudo, vale lembrar que pesquisas recentes mostram que mais da metade das empresas nunca realizaram um mapeamento de riscos de compliance. Neste caso, este primeiro e importante passo deve ser realizado.

3) Promoção de ações de respeito à diversidade e de combate ao assédio

É muito importante a parceria das áreas de RH e Compliance das organizações para promover um ambiente de trabalho saudável e respeitoso. Uma recente pesquisa da ICTS Outsourcing mostra um aumento das denúncias de assédio moral nos últimos anos, que pode ser explicado pela maior conscientização dos colaboradores, empoderamento dos mesmos, regras claras providas pelas empresas através do código de ética e a adoção de ferramentas como o canal de denúncias.

Identificar e tratar estes casos, permite que uma empresa obtenha economia mensurável ao evitar a judicialização, numa média de quase 21 mil reais por processo, de acordo com esta mesma pesquisa.

Para isto, não basta realizar ações pontuais de comunicação, ou treinamentos que sejam vistos como obrigação pelos colaboradores. As ações devem ser efetivas e recorrentes. Um bom diagnóstico pode ser obtido através do processo de auditoria de cultura de compliance, prática ainda pouco adotada pelas empresas no Brasil.

E é preciso ir além da questão de prevenção ao assédio. Pesquisa da McKinsey and Co publicada no início de 2018, mostra a correlação entre diversidade e resultados. Sem a promoção de respeito e empatia no ambiente de trabalho, não será possível promover a diversidade, tampouco otimizar os resultados esperados. Num mercado competitivo, as organizações não podem se dar ao luxo de perder talentos, nem de desperdiçar recursos.

4) Ampliação do uso de tecnologias

A adoção de soluções tecnológicas como aliadas dos Programas de Compliance continua. Os treinamentos e-learning e o uso de analytics nas auditorias são uma realidade, e devem continuar sua evolução de aplicação no próximo ano.

É visível os diversos e distintos níveis de maturidade existentes no quesito tecnologia nos Programas de Compliance das empresas que atuam no Brasil. O uso de algoritimos e soluções automatizadas nos controles internos é uma prática em evolução, e o RPA (robotic process automation) é ainda pouco disseminado, mas deve iniciar um movimento de adoção pelo Compliance para 2019. A aposta na inteligência artificial continua, em especial no suporte à dúvidas sobre a aplicação de regras e na identificação de fraudes em potencial.

5) Amadurecimento dos Programas de Compliance

Muitas das iniciativas iniciadas em 2013 e 2014 estão se consolidando, e se refletem em Programas que atingiram a maturidade em termos de existência dos elementos e de ter algum histórico em 2017 e 2018. Como consequência, a busca por ações de reconhecimento público cresceram em 2018, movimento que tende a continuar em 2019. São exemplos de reconhecimento a iniciativa Empresa Pró-Ética e a certificação ISO 37.001, de sistema de gestão antissuborno.

Contudo, vale destacar que por outro lado, 1 em cada 4,3 empresas ainda possuem baixo nível de maturidade. Parte das empresas deste grupo devem iniciar as ações de compliance para 2019, seguindo o movimento do mercado.

A Lei de Proteção de Dados Europeia (GDPR), atuante desde 25 de maio, e a Lei de Proteção de Dados (LGPD ou PLC 53/2018), que entrará em vigor em fevereiro de 2020, atualmente criam um movimento intense em plataformas e aplicativos da internet no que tange à atualização dos termos e condições de uso, onde também estão presentes as políticas de privacidade de dados.

Em linhas gerais, ambas as leis regulamentam como as empresas devem tratar os dados pessoais de seus usuários e estabelece punições para condutas abusivas. Mas qual a relação da aprovação destas leis com este movimento de atualização das políticas de privacidade? O que, afinal de contas, é alterado nestes termos e por quê?

Para responder tais perguntas, segue uma análise dos principais aplicativos e redes sociais, para que você conheça as mudanças. O resultado desta comparação surpreendeu justamente pela ausência de mudanças substanciais.

As mudanças

Embora não haja uma pesquisa específica a esse respeito, há uma percepção geral de que a maioria dos usuários nunca lê os “Termos de Uso” destas plataformas e, como consequência, não leem também a “Política de Privacidade”. Tanto é verdade que alguns dos serviços analisados sequer disponibilizam uma versão em português – como é o caso do LinkedIn, Waze e WhatsApp.

Existem, até mesmo, sites especializados em resumir e apresentar os principais tópicos destes termos para facilitar a vida dos usuários – como no caso do site https://tosdr.org (tosdr = Terms Of Service Didn’t Read), cujo próprio nome brinca com o fato de que as pessoas não lêem estes termos.

De fato, a vida dos usuários não é fácil quando se trata de garantir sua privacidade. Além de muito extensas e cansativas, as políticas de privacidade não dão a opção de continuar utilizando o serviço plenamente sem que o usuário autorize o uso das informações coletadas. A única alternativa para não concordar com o uso é cancelar sua conta e deixar de utilizar o serviço – como mostra o aviso abaixo:

“A continuação do uso de nossos serviços ratifica sua aceitação de nossa Política de Privacidade e alterações posteriores. Caso você não concorde com a Política de Privacidade revisada, pare de utilizar os Serviços. Consulte nossa Política de Privacidade periodicamente”. (WhatsApp)

Então, alguém poderia dizer: “Eu não quero me expor. Portanto, não vou usar estes aplicativos”. Mas você sabia que mesmo assim seus dados podem estar sendo coletados?

O Facebook e todas as empresas do grupo, por exemplo, coletam dados sobre você mesmo sem ter uma conta com eles. Sim, é isso! O Facebook estabelece inúmeras parcerias com outros serviços on-line, tais como jogos, portais de compras e vários outros produtos virtuais os quais estabelecem uma relação de compartilhamento dos dados dos usuários. O aviso a seguir aponta isso:

“Esses parceiros fornecem informações sobre suas atividades fora do Facebook, inclusive informações sobre seu dispositivo, os sites que você acessa, as compras que faz, os anúncios que visualiza e sobre o uso que faz dos serviços deles – independentemente de ter ou não uma conta ou de estar conectado ao Facebook.” (Texto extraído da última versão da política de dados do Facebook divulgada em 19 de abril de 2018.)

Como se não bastasse esse tipo de parceria, temos também um outro elemento importante que pode permitir que os aplicativos acessem dados sobre você. Por mais que você não esteja conectado a nenhuma dessas redes, caso alguma pessoa que você conheça e que o tenha em sua lista de contatos tenha compartilhado esta informação com os aplicativos, minimamente estes aplicativos terão acesso ao seu nome, número de telefone e qualquer outro dado que esta pessoa tenha registrado sobre você – como e-mail, endereço, empresa em que trabalha, etc.

Portanto, concluímos que o único jeito de não ter seus dados compartilhados na internet seria estar completamente desconectado da civilização moderna, sequer fazendo uso de boa parte dos serviços públicos ou cumprindo com suas obrigações de cidadão.

Mas se você não tiver vocação para se tornar um ermitão, você pode, opcionalmente, entender o que, afinal de contas, essas empresas fazem com seus dados pessoais. E é neste sentido que as novas Políticas de Privacidade se aprimoraram. Estão, de maneira geral, deixando mais clara a forma como os dados são coletados e utilizados.

As semelhanças sobre as empresas analisadas

Um consenso evidente entre as empresas analisadas – dentre as quais Facebook, iFoof, Waze, Uber, Twitter e Instagram – é o fato de todas elas compartilharem suas informações, seja com parceiros, afiliados ou com prestadores de serviço. Ainda na onda do compartilhamento, estas empresas também recebem outros dados, não informados por você, mas compartilhados por outros aplicativos ou provedores de serviço.

Outro ponto percebido foi a modificação nas novas políticas quanto à forma de divulgação de futuras alterações. Em alguns casos, os aplicativos comunicavam as alterações apenas por um aviso em suas páginas. Já nas novas políticas, as empresas se comprometem a comunicar novas versões de maneira mais enfática, seja enviando e-mail ou utilizando outras formas de mensagens para os usuários – como no exemplo abaixo, do iFood:

“Se fizermos alguma alteração na política em termos materiais, colocaremos um aviso no nosso site, juntamente com a Política de Privacidade atualizada.” (iFood versão anterior) versus “Se fizermos alguma alteração na política em termos materiais, podemos colocar um aviso no nosso website, aplicativo ou te enviar um e-mail, juntamente com a Política de Privacidade atualizada. Por isso, é sempre importante manter seus dados de contato atualizados.” (iFood versão atualizada)

Mas se no final das contas poucos leem estes termos, de que vai adiantar avisar sobre as novas versões, com a entrada da LGPD? Na prática, não vai mudar muita coisa, assim como a essência das políticas também não mudou muita coisa ainda. Os aplicativos continuarão coletando seus dados, compartilhando e fazendo uso deles para as inúmeras análises sobre o comportamento dos usuários.

O que a nova lei de proteção de dados nos oferece, portanto, é a punição para eventuais casos de abuso no uso dos dados. Empresas que não estiverem em conformidade com a nova lei poderão arcar com multas e punições severas, o que pode criar uma barreira de entrada para “aventureiros” nesta área.