Tipos de Programas de Compliance e como Implementar

Por Alvaro Rocha

Em um cenário jurídico e social que exige cada vez mais integridade nas organizações, a implementação de programas de compliance tornou-se, já há algum tempo, uma necessidade estratégica do ponto de vista de negócio.

Este artigo detalha o que são os programas de compliance, seu contexto legal no Brasil e como sua empresa pode implementar um sistema eficaz, pautado nos pilares da legislação e adaptado à sua realidade.

1. Introdução: A Essência do Compliance e qual o benefício além do óbvio para a sua empresa

i. Contexto Geral: O que o Empresário Precisa Saber

Um programa de compliance, em sua essência, é um conjunto articulado de documentos, procedimentos e atividades corporativas que visa desenvolver e manter uma cultura de conformidade dentro da organização. É o sistema que garante que a empresa esteja agindo de acordo com as leis, regulamentos internos e externos, bem como princípios éticos.

Para o empresário, no entanto, ir além da mera conformidade significa transformar o compliance em um verdadeiro ativo reputacional e financeiro. Ter um programa de integridade efetivo significa:

a)     Conquistar Mais Clientes: Empresas com a etiqueta de um programa de compliance é um sinal de destaque sobre a sua reputação sólida em integridade, são vistas como parceiras mais confiáveis, atraem novos negócios e clientes que valorizam a ética.
b)    Acessar Níveis de Clientes Maiores: Grandes empresas e multinacionais, por exemplo, frequentemente exigem que seus fornecedores e parceiros possuam programas de compliance robustos. Um programa bem estruturado abre portas para contratos significativos que, sem o compliance, seriam inacessíveis.
c)     Solidificar e Elevar a Marca: A integridade se torna parte da identidade da marca, diferenciando-a no mercado e construindo uma imagem de responsabilidade e confiança, o que se traduz em lealdade de clientes e talentos.
d)    Conquistar Mais Contratos: Em um mercado cada vez mais exigente, um programa de compliance funciona como um diferencial competitivo único. Muitas empresas, antes de formalizar parcerias ou contratos, realizam diligências para verificar a existência e a efetividade dos programas de integridade de seus potenciais contratados.

No fim do dia, o empresário precisa possuir elementos, tanto documentalmente quanto culturalmente, que comprovem que sua organização vive a ética e a integridade. É essa evidência de conformidade e a cultura de integridade enraizada que transformam o compliance de um custo em um investimento estratégico com retorno tangível.

ii. O Que é um Programa de Integridade (Compliance)?

Em um cenário jurídico e social que exige cada vez mais integridade das organizações, a implementação de programas de compliance robustos tornou-se uma alavanca para o crescimento e a sustentabilidade dos negócios.

Este artigo abordará linhas gerais sobre o que são os programas de compliance, seu contexto legal no Brasil e como sua empresa pode implementar um sistema eficaz, pautado nos pilares da legislação e adaptado à sua realidade.

Em sua essência, compliance, derivado do verbo inglês "to comply" (estar em conformidade, cumprir, não é uma tradução de forma literal, mas o sentido para o qual o termo americano foi criado).

Compliance é “programa” (não no sentido técnico, mas do ponto de vista contextual). Um programa de Integridade é um sistema de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades, além da aplicação efetiva de códigos de ética e conduta, políticas e diretrizes as quais, quando implementadas em conjunto, alcançam o objetivo das bases elementares legais conforme a lei anticorrupção e seu decreto regulamentar, que são, no caso, evitar eventos que causem a responsabilização objetiva de pessoas jurídicas por atos lesivos contra a administração pública, nacional ou estrangeira.

Seu objetivo primordial é detectar e sanar desvios, fraudes, irregularidades e atos ilícitos praticados contra a administração pública, nacional ou estrangeira.

iii. A base elementar de um programa de compliance no Brasil - Lei Anticorrupção e o Decreto Regulamentar

No Brasil, o arcabouço legal para o compliance possui como diretriz ampla a Lei nº 12.846/2013, conhecida como Lei Anticorrupção. Essa lei estabeleceu a responsabilização objetiva de pessoas jurídicas por atos lesivos contra a administração pública, nacional ou estrangeira.

Posteriormente, a Lei Anticorrupção foi regulamentada por dois decretos. Inicialmente, pelo Decreto nº 8.420/2015, e, mais recentemente, pelo Decreto nº 11.129/2022, que o revogou. O novo decreto trouxe atualizações e um detalhamento mais rigoroso sobre os critérios de avaliação da efetividade dos programas de integridade.

iv. Responsabilidade Objetiva e Benefícios de um Programa Efetivo

A responsabilidade objetiva imposta pela Lei Anticorrupção significa que a empresa pode ser responsabilizada pelos atos ilícitos de seus funcionários, independentemente de culpa ou dolo da própria pessoa jurídica.

Nesse contexto, um programa de compliance bem estruturado e efetivo oferece benefícios como:

a)     Atenuação de Penalidades: A existência e aplicação de um programa de integridade são critérios expressamente previstos para a atenuação de multas e outras sanções administrativas em caso de ocorrência de atos lesivos. O Decreto nº 11.129/2022, inclusive, aumentou o percentual máximo de redução da multa de 4% para 5% para programas que sejam anteriores à prática do ato lesivo.
b)    Prevenção de Riscos: Ajuda a identificar e mitigar riscos de corrupção, fraudes e outras irregularidades, protegendo a empresa de prejuízos financeiros, reputacionais e legais.
c)     Melhora da Reputação: Demonstra compromisso com a ética e a integridade, fortalecendo a imagem da empresa junto a clientes, investidores, parceiros e órgãos públicos.
d)    Vantagem Competitiva: Em licitações públicas, por exemplo, o programa de integridade pode ser um critério de desempate e, em contratações de grande vulto, sua implementação é obrigatória.

v. Critérios de Avaliação da Efetividade

A simples existência de um programa de integridade não garante vantagens em grandes concorrências e nem a atenuação de sanções. O Decreto nº 11.129/2022 estabelece parâmetros objetivo e realistas para a verificação da maturidade de um programa de compliance.

vi. Visão Geral dos Pilares do Art. 57 do Decreto nº 11.129/2022

O Art. 57 do Decreto nº 11.129/2022 detalha os 12 parâmetros que serão considerados na avaliação dos programas de integridade, que, somados aos seus desdobramentos, totalizam os "15 pilares" para um programa de compliance eficaz. Esses pilares servem como um guia prático para as empresas que buscam desenvolver ou aprimorar suas estruturas de conformidade através do que o mercado corporativo ao longo dos anos tem nomeado de “Pilares dos programas de compliance”.

2. Os Pilares Essenciais para um Programa de Compliance Efetivo (Art. 57 do Decreto nº 11.129/2022)

O Art. 57 do Decreto nº 11.129/2022 é a bussola que orienta o Chief Compliance Officer (CCO) sobre o que é de fato necessário implementar em uma organização para que a tão perseguida cultura de integridade seja de fato algo a ser percebido na realidade do dia a dia corporativo. O artigo descreve elementos que, de forma documental e culturalmente, a companhia deve possuir para demonstrar seu compromisso com a integridade ao regulador e aos clientes interessados em negociar.

Examinemos a letra da lei, e após, vamos explorar um pouco de cada tópico:

Art. 57.  Para fins do disposto no inciso VIII do caput do art. 7º da Lei nº 12.846, de 2013, o programa de integridade será avaliado, quanto a sua existência e aplicação, de acordo com os seguintes parâmetros:
I - comprometimento da alta direção da pessoa jurídica, incluídos os conselhos, evidenciado pelo apoio visível e inequívoco ao programa, bem como pela destinação de recursos adequados;
II - padrões de conduta, código de ética, políticas e procedimentos de integridade, aplicáveis a todos os empregados e administradores, independentemente do cargo ou da função exercida;
III - padrões de conduta, código de ética e políticas de integridade estendidas, quando necessário, a terceiros, tais como fornecedores, prestadores de serviço, agentes intermediários e associados;
IV - treinamentos e ações de comunicação periódicos sobre o programa de integridade;
V - gestão adequada de riscos, incluindo sua análise e reavaliação periódica, para a realização de adaptações necessárias ao programa de integridade e a alocação eficiente de recursos;
VI - registros contábeis que reflitam de forma completa e precisa as transações da pessoa jurídica;
VII - controles internos que assegurem a pronta elaboração e a confiabilidade de relatórios e demonstrações financeiras da pessoa jurídica;
VIII - procedimentos específicos para prevenir fraudes e ilícitos no âmbito de processos licitatórios, na execução de contratos administrativos ou em qualquer interação com o setor público, ainda que intermediada por terceiros, como pagamento de tributos, sujeição a fiscalizações ou obtenção de autorizações, licenças, permissões e certidões;
IX - independência, estrutura e autoridade da instância interna responsável pela aplicação do programa de integridade e pela fiscalização de seu cumprimento;
X - canais de denúncia de irregularidades, abertos e amplamente divulgados a funcionários e terceiros, e mecanismos destinados ao tratamento das denúncias e à proteção de denunciantes de boa-fé;
XI - medidas disciplinares em caso de violação do programa de integridade;
XII - procedimentos que assegurem a pronta interrupção de irregularidades ou infrações detectadas e a tempestiva remediação dos danos gerados;
XIII - diligências apropriadas, baseadas em risco, para:
a) contratação e, conforme o caso, supervisão de terceiros, tais como fornecedores, prestadores de serviço, agentes intermediários, despachantes, consultores, representantes comerciais e associados;
b) contratação e, conforme o caso, supervisão de pessoas expostas politicamente, bem como de seus familiares, estreitos colaboradores e pessoas jurídicas de que participem; e
c) realização e supervisão de patrocínios e doações;
XIV - verificação, durante os processos de fusões, aquisições e reestruturações societárias, do cometimento de irregularidades ou ilícitos ou da existência de vulnerabilidades nas pessoas jurídicas envolvidas; e
XV - monitoramento contínuo do programa de integridade visando ao seu aperfeiçoamento na prevenção, na detecção e no combate à ocorrência dos atos lesivos previstos no art. 5º da Lei nº 12.846, de 2013.
§ 1º  Na avaliação dos parâmetros de que trata o caput, serão considerados o porte e as especificidades da pessoa jurídica, por meio de aspectos como:
I - a quantidade de funcionários, empregados e colaboradores;
II - o faturamento, levando ainda em consideração o fato de ser qualificada como microempresa ou empresa de pequeno porte;
III - a estrutura de governança corporativa e a complexidade de unidades internas, tais como departamentos, diretorias ou setores, ou da estruturação de grupo econômico;
IV - a utilização de agentes intermediários, como consultores ou representantes comerciais;
V - o setor do mercado em que atua;
VI - os países em que atua, direta ou indiretamente;
VII - o grau de interação com o setor público e a importância de contratações, investimentos e subsídios públicos, autorizações, licenças e permissões governamentais em suas operações; e
VIII - a quantidade e a localização das pessoas jurídicas que integram o grupo econômico.
§ 2º  A efetividade do programa de integridade em relação ao ato lesivo objeto de apuração será considerada para fins da avaliação de que trata o caput.

2.1. Comprometimento da Alta Direção (Art. 57, inciso I)

O "tom vindo do topo" (tone from the top) é o pilar fundamental de qualquer programa de integridade. O comprometimento da alta direção deve ser visível e inequívoco, evidenciado desde o apoio manifestamente expresso ao programa de compliance, seja através de falas publicas, no dia a dia alocando recursos financeiros, equipes e tecnologia que o CCO necessite para implementar o programa, seja também e não menos importante, pelo exemplo.

O que o CCO pode fazer para demonstrar este pilar: elaborar e arquivar atas de reunião, comunicações internas, relatórios de atividades do compliance com envolvimento da alta gestão, demonstrativos de investimento no programa.

2.2. Código de Ética, Padrões e Políticas Internas (Art. 57, incisos II e III)

Perceba que o legislador não enumerou os incisos de forma lógica de acordo com uma implementação do ponto de vista de gestão de projetos clássico, o que a meu deve ser aplicado aqui. Isso porque, os incisos II e III do artigo 57 aqui em exame, abordam o código de ética e demais políticas logo no começo do inciso. Há algum problema nisso? De fato, não.

Entretanto, é corolário que apenas se inicia um programa deste tipo após se ter efetuado uma auditoria e/ou uma avaliação de riscos. Caso a empresa ou profissional para o qual foi incumbida a missão de implementar o programa não possuir boas noções de gestão de projetos, pode ocorrer alguns desafios de desorganização diante da ampla gama e capitalidade de tarefas e a teia eclética de departamentos e profissionais que envolvem a empreitada (já vimos isso algumas vezes após sermos chamados para “colocar ordem nas casas”).

Neste sentido, entendo que não ser recomendado simplesmente iniciar o desenvolvimento de políticas e da política mãe, o código de ética, sem entender onde há maior exposição a risco que devam ser objeto de maior atenção para ajuste de prevenção, por conseguinte, temas a serem abordados nas políticas. Sem uma análise de risco anterior, não há como saber quais riscos existem.

Em todo caso, é o que temos nesta etapa.

Um programa de compliance deve ter regras claras e acessíveis preferencialmente na forma de políticas corporativas que guiem a conduta de todos, como, pelo menos:

a)     Estrutura e Conteúdo Essencial: O Código de Ética e Conduta deve ser um documento vivo, com princípios e valores da empresa, regras de conduta para situações diversas (conflito de interesses, brindes, doações, etc.).
b)    Políticas Internas: Desenvolver políticas específicas (ex: anticorrupção, antilavagem de dinheiro, de proteção de dados) aplicáveis a todos os colaboradores, em todos os níveis.
c)     Extensão a Terceiros: É fundamental que as regras de integridade se estendam a terceiros, como fornecedores, parceiros e intermediários, por meio de cláusulas contratuais e códigos de conduta específicos.
d)    Comunicação Efetiva: A comunicação constante e clara desses documentos é vital para que sejam compreendidos e internalizados.

2.3. Treinamentos e Comunicação (Art. 57, inciso IV)

A informação e a capacitação são ferramentas poderosas para disseminar a cultura de integridade. As equipes sabem que as políticas estão ali, vão assinar que leram as políticas e vão expressar comprometimento quanto a seu conteúdo. Mas acredite, ninguém leu.

Por isso, o legislador foi muito feliz em inserir os treinamentos como um dos parâmetros que avaliam a efetividade do programa de compliance.

O que temos visto na prática é que treinamentos via plataformas on-line de vídeo aulas com o conteúdo das políticas tem alta aceitação. Isso é positivo porque em praticamente todas as certificações conhecidas de programas de compliance há este quesito a ser demonstrada a sua aplicação e histórico.

Um pouco de como você pode organizar isso:

a)     Plano de Capacitação: Desenvolver um plano de treinamentos periódicos e reciclagem, adaptado às diferentes áreas e níveis hierárquicos da empresa.
b)    Formatos Diversos: Utilizar diferentes formatos (presencial, online, e-learning, campanhas de conscientização) para atingir a todos de forma eficaz.
c)     Promoção da Cultura Ética: Os treinamentos devem ir além da mera transmissão de informações, buscando engajar os colaboradores e fortalecer a cultura ética.
d)    Indicadores de Eficácia: Avaliar a efetividade dos treinamentos por meio de testes, pesquisas de satisfação e acompanhamento de incidentes.

2.4. Gestão de Riscos de Compliance (Art. 57, inciso V)

E então chegamos naquele que deveria ser o segundo inciso. Primeiro, o comprometimento da alta administração, segundo a AIR (Análise Interna de Risco) para atender tudo o que falamos no item 2.2.

A identificação e gestão dos riscos são centrais para um programa proativo.

Sobre a equipe e profissional designado

Para viabilizar uma AIR efetiva, isenta de conflitos de interesse e bem operacionalizada, seremos pragmáticas em afirmar e recomendar fortemente que a AIR seja conduzida por um departamento interno de gestão de riscos, caso a empresa paciente o possua, ou, alternativamente e preferencialmente, por uma consultoria externa especializada.​

Não é um serviço de baixo custo. Muitas vezes, o empresário ou até o próprio CCO tende a pensar: “é apenas uma análise de riscos, eu mesmo faço”. É um equívoco relevante, pois a atividade demanda metodologia, independência e domínio técnico específicos. Vemos isso acontecer muito em empresas de todos os tamanhos e setores.​

Os principais frameworks mundialmente utilizados para análises e gestão de riscos decorrem de normas amplamente reconhecidas, como a ABNT NBR ISO 31000 – Gestão de Riscos e o framework COSO ERM – Enterprise Risk Management, bem como estruturas de segurança da informação, a exemplo da ISO/IEC 27001 e de referenciais como NIST e CIS Controls, quando pertinente.

Esses referenciais disciplinam princípios, processos e boas práticas para identificação, análise, avaliação, tratamento e monitoramento contínuo dos riscos, servindo de base técnica e de governança para o desenho da AIR.​

Além desses frameworks gerais, caso a empresa esteja inserida em setores da economia altamente regulados, como mercado financeiro, saúde, aviação, energia ou infraestrutura crítica, é comum que haja normas técnicas e regulatórias específicas que complementam ou detalham a gestão de riscos para aquele segmento.

Essas regras setoriais frequentemente dialogam com ISO 31000 e COSO ERM, mas exigem controles adicionais, maior granularidade na avaliação de riscos e evidências mais robustas de mitigação, o que torna ainda mais indispensável o uso de metodologias formais e equipes especializadas para a condução da AIR.​

Em síntese, a AIR é um serviço de alta sofisticação, que será necessariamente escrutinado por auditorias internas e externas, investidores, órgãos reguladores e contratantes cujo nível de tolerância a risco é baixo. O documento produzido será avaliado em conjunto com o mapeamento dos riscos da empresa e com o registro das medidas efetivamente adotadas para sua mitigação, de forma alinhada às melhores práticas internacionais de governança, risco e conformidade (GRC).​

2.5. Registros Contábeis e Controles Internos (Art. 57, incisos VI e VII)

Do ponto de vista do compliance estratégico, a escrituração contábil passa a funcionar como mecanismo de governança, viabilizando rastreabilidade, prestação de contas e accountability perante sócios, reguladores, investidores e demais partes interessadas. Lembre-se que o compliance enquanto nossa visão, é um ativo estratégico de negócio, é para conquistar voos altos para a empresa.

Do ponto de vista do CCO, porém, há um desafio conhecido: nem sempre a empresa paciente concede a abertura necessária aos números. Em alguns casos, há, de fato, a intenção de ocultar informações do compliance officer, em outros, a própria contabilidade ainda não está devidamente concluída, seja por questões operacionais, seja por entraves alheios à vontade da gestão. Nesses cenários, o risco é que o programa de integridade se torne “cego” sem o seu consentimento justamente em relação a um de seus pilares mais críticos.

Por isso, o papel do CCO inclui documentar de forma clara – em pareceres, comunicações internas, atas e relatórios – a necessidade de que a contabilidade esteja adequada, tempestiva e bem suportada. Essa postura serve tanto para sensibilizar a alta administração e o contador acerca da centralidade desse pilar, quanto para evidenciar, em eventual auditoria ou fiscalização, que o responsável por compliance apontou formalmente as fragilidades e as medidas recomendadas.

Quanto aos controles internos...

Os controles internos representam a tradução operacional do que se faz na empresa e o programa de integridade precisa ter isso documentado, pois deixam claro quem faz o quê, quando, como e com qual documentação de suporte. Quando estão bem desenhados, reduzem espaço para decisões excessivamente discricionárias, padronizam procedimentos críticos e criam rastreabilidade, o que facilita a detecção de desvios, erros e fraudes.​

É necessária a construção de fluxogramas de trabalho bem detalhados, descrevendo etapas, responsáveis, sistemas utilizados, prazos, documentos gerados e pontos de aprovação ou revisão. Essa visualização do processo permite comparar, a qualquer momento, o “dever ser” com o “como está sendo feito”, tornando possível identificar gargalos, inconsistências e riscos operacionais ou de compliance.​

O que não se mede não se controla, e o que não se controla não se corta nem se corrige. Sem indicadores, checkpoints, reconciliações e registros confiáveis, qualquer discurso sobre controles internos permanece apenas no plano teórico, motivo pelo qual o mapeamento de processos, a definição de evidências mínimas e o acompanhamento sistemático de resultados passam a ser condições indispensáveis para que a administração e o CCO tenham visão real do negócio e capacidade efetiva de intervenção.​

2.6. Prevenção de Fraudes e Relação com o Setor Público (Art. 57, inciso VIII)

Empresas que interagem com o setor público assumem, por definição, uma camada adicional de risco que precisa ser identificada, avaliada e gerenciada de forma contínua. Esse risco pode variar bastante conforme o setor de atuação, o modelo de negócio e o grau de dependência de licenças, autorizações, contratos administrativos, incentivos fiscais ou outros atos praticados por órgãos e agentes públicos.​

Em segmentos altamente regulados ou intensivos como obras e infraestrutura, construção civil pesada, mineração, saneamento ou concreteiras que precisam abrir novas usinas por exemplo. O processo de obtenção de licenças de operação, licenças ambientais, autorizações urbanísticas, registros em conselhos e outros atos administrativos gera uma série de pontos de contato com servidores públicos, despachantes, consultores e terceiros que muitas vezes atuam como intermediários.

Cada um desses pontos de contato representa, em maior ou menor grau, um potencial vetor de fraude ou corrupção.​

Nesse contexto, a empresa deve estruturar regras claras de prevenção de fraudes em licitações e contratos, bem como na fase pré-contratual e na execução contratual. Isso inclui procedimentos objetivos para participação em certames, registro formal de comunicações com a Administração, critérios transparentes de formação de preços, mecanismos de controle sobre aditivos e reequilíbrios econômicos, além de trilhas documentais que permitam demonstrar, a qualquer tempo, a lisura das decisões tomadas.​

A interação ética com o setor público exige normas internas e treinamentos que definam como os executivos, colaboradores e representantes devam se relacionar com agentes públicos.

Devem, necessariamente constar dessas políticas proibições de práticas como oferecimento de vantagens indevidas, presentes de valor desproporcional, patrocínios disfarçados, pagamentos de “facilitação” ou qualquer outra conduta que tenha por objetivo acelerar, direcionar ou facilitar a emissão de licenças, autorizações ou liberações burocráticas. Ao mesmo tempo, é preciso vedar a aceitação de solicitações indevidas formuladas por servidores, mesmo quando apresentadas como algo “usual” ou “necessário para destravar o processo”.​

Por isso a famosa cláusula que trata de presentes e brindes deve ser bem metrificada para operacionalizar racionalmente a prevenção desses delitos.

A capacitação da alta administração e dos executivos que lidam diretamente com órgãos públicos é fundamental. O empresário e CCO vão sentir em algum momento que óbvio precisa ser dito, e precisa realmente. Esses profissionais devem ser relembrados com exemplos práticos sobre os riscos de incorrer em crimes como corrupção ativa ou passiva, fraude em licitação, tráfico de influência, advocacia administrativa, entre outros. Treinamentos periódicos acerca das políticas escritas, códigos de conduta específicos para interação com o setor público e canais de orientação prévia (para tirar dúvidas antes de reuniões, almoços, visitas técnicas etc.) são ferramentas que reduzem significativamente o espaço para alegações de desconhecimento ou “erro de interpretação”.​

2.9. Medidas Disciplinares e Remediação (Art. 57, incisos XI e XII)

A resposta a irregularidades deve ser simultaneamente firme, proporcional e educativa, sob pena de o programa de integridade ser percebido como mera formalidade sem consequências práticas. Medidas disciplinares e ações de remediação são o elo entre a detecção do problema e a efetiva correção de rotas, demonstrando para toda a organização que condutas incompatíveis com a integridade geram respostas concretas.​

O ponto de partida é a definição de procedimentos de investigação interna transparentes, imparciais e eficientes. Isso envolve critérios claros de abertura de apurações, definição de responsáveis, preservação de provas, respeito ao contraditório interno e registro formal de todas as etapas, desde a denúncia ou sinal de alerta até a conclusão do caso. Um sistema claro de tipificação de infrações e gradação de sanções disciplinares internas (advertência, suspensão, desligamento, outras medidas) reduz subjetividade, confere previsibilidade às decisões e reforça a percepção de justiça interna.​

Qualquer decisão disciplinar ou de remediação deve se apoiar em registros probatórios robustos. A empresa precisa documentar a materialidade dos fatos, o vínculo com a conduta do colaborador ou terceiro, as análises realizadas e os motivos da sanção aplicada, tanto para evitar responsabilização indevida quanto para demonstrar, em eventual fiscalização ou litígio, que agiu com diligência.

2.10. Due Diligence de Terceiros, Pessoas Politicamente Expostas (PEPs) e Doações (Art. 57, inciso XIII, alíneas a, b e c)

Entre todos os pilares de integridade, a due diligence de terceiros é provavelmente o mais conhecido, a ponto de muitas pessoas o confundirem com o próprio compliance. Não vamos entrar em tecnicidades sobre quais as diferenças entre KYC, Due Diligence, KYP, KYT, etc.

Ao final do dia são quase a mesma coisa, isto é, servem para você conhecer quem são, o que já fizeram de bom (ou não), o quê estão fazendo, com o fizeram, na sua ou para a sua empresa, e finalmente, saber se faz sentido iniciar ou continuar as relações com aquele parceiro, funcionário ou prestador de serviço.

É bastante comum empresários em consulta conosco expressarem que “já possuem compliance”, e ao examinar, o que existe na companhia é apenas o KYC.

Para que o leitor entenda muito bem isso, faço uma analogia com certa frequência, por exemplo, uma tela de televisão. O KYC (ou due diligence, e tantos outros procedimentos análogos) são apenas um pixel de uma grande tela. Essa tela é o programa de integridade como um todo, que envolve governança, cultura, controles internos, investigações, treinamento e diversos outros pilares que estamos abordando aqui, e como o leitor já percebeu, eles extrapolam a simples análise cadastral.​

A due diligence deve ser pensada como um processo prévio e contínuo. Antes da contratação, fornecedores, parceiros comerciais, distribuidores, representantes e demais terceiros precisam ser avaliados sob a lente de risco corporativo, da integridade. Isso leva em conta o histórico, reputação, sanções, processos judiciais relevantes, estruturas societárias e eventual vínculo com o setor público. Depois de iniciada a relação, esse monitoramento deve prosseguir de forma periódica, pois o perfil de risco de um terceiro pode se alterar ao longo do tempo, seja por entrada de novos sócios, mudança de controle, envolvimento em escândalos ou alteração de seu mercado de atuação.​

Especial atenção deve ser empregada quanto as Pessoas Politicamente Expostas (PEPs). É essencial que a empresa disponha de procedimentos muito claros para identificá-las e avaliar os riscos associados. Isso inclui PEPs diretas e indiretas (familiares, relacionamentos próximos), bem como pessoas jurídicas ligadas a esses indivíduos. Relações com PEPs não são necessariamente proibidas, mas exigem maior escrutínio, aprovação em nível hierárquico adequado, registro reforçado de justificativas e monitoramento diferenciado, sob pena de exposição a riscos de corrupção, tráfico de influência e conflitos de interesse.​

2.11. Compliance em Fusões e Aquisições (Art. 57, inciso XIV)

No item anterior foi abordada a due diligence de terceiros no contexto cotidiano de fornecedores, parceiros e PEPs. No mercado, porém, o termo due diligence é muito mais associado às operações de Fusões e Aquisições (M&A), que possuem natureza, alcance e riscos bem distintos da análise rotineira para novos prestadores de serviços. Cada operação de M&A tem sua própria complexidade, nível de sofisticação e apetite de risco dos players envolvidos, e a due diligence precisa ser calibrada a essa realidade, sob pena de ser superficial demais para o tamanho da exposição envolvida.​

Não se pode tratar uma due diligence em M&A como se fosse o mesmo procedimento aplicado a um fornecedor cotidiano cujo valor do contrato seja considerado baixo ou o resultado de sua avaliação de risco tenha sido médio ou baixo impacto estratégico. Em M&A, a análise costuma ser muito mais ampla e profunda, pois envolve avaliar a cultura da empresa-alvo, seus históricos de investigações, contratos sensíveis, relacionamento com o setor público, passivos regulatórios, contingências judiciais e eventuais padrões de conduta que possam comprometer a reputação da parte interessada.

Embora em nosso entendimento tecnicamente não se trate, necessariamente de um “pilar” clássico do programa de compliance, muitos profissionais o enxergam assim, especialmente em consultorias e boutiques focadas em M&A, nas quais a due diligence é, na prática, o coração do serviço prestado, isso porque não é todo dia que um programa de compliance interno se depara com uma operação de M&A.​

Sob a ótica do artigo 57, inciso XIV, o foco está em incorporar a avaliação de integridade à lógica da operação, identificando passivos de compliance e riscos de sucessão de responsabilidades antes da conclusão do negócio, bem como planejando a integração cultural e os planos de remediação pós-fechamento. Avaliação prévia de integridade, compreensão dos riscos herdados, desenho de ações corretivas e manutenção de procedimentos de auditoria e monitoramento após o closing formam um ciclo que protege o adquirente contra a internalização inadvertida de práticas ilícitas ou de um passivo oculto que possa comprometer valor, licenças, contratos estratégicos e a própria continuidade da operação.​

2.12. Monitoramento Contínuo e Aprimoramento do Programa (Art. 57, inciso XV)

Um programa de compliance eficaz é dinâmico e deve ser buscado a sua melhoria constante. Embora o inciso XV trate o monitoramento contínuo como um pilar, sob a ótica de gestão de projetos ele funciona como uma etapa avançada do ciclo de vida do programa, pois apenas se monitora e se aprimora aquilo que já foi minimamente estruturado e posto em funcionamento.

Assim, quando o programa atinge um grau de implementação que permite falar em monitoramento contínuo, o passo seguinte recomendado é submeter essa estrutura a um teste de maturidade, capaz de metrificar o seu avanço e chamamos isso de grau de maturidade.​

i. Pacto Brasil pela Integridade Empresarial

No contexto brasileiro, esse movimento de avaliação pode – e recomendamos fortemente – que seja feito por meio do Pacto Brasil pela Integridade Empresarial. Trata-se de iniciativa da Controladoria Geral da União (CGU) que oferece um referencial concreto para medir a aderência do programa às boas práticas e aos parâmetros da legislação anticorrupção.

ii. Selo Pró-Ética

Ao responder ao questionário do pacto, a empresa obtém dados realistas sobre o nível de maturidade do seu programa de compliance e, a depender da pontuação e dos critérios atendidos, passa a se habilitar para pleitear o reconhecimento no âmbito do Pró-Ética.

Em linhas gerais, o Pró-Ética é um programa de reconhecimento público às empresas que demonstram compromisso efetivo com a integridade, por meio da adoção voluntária de medidas para prevenir, detectar e remediar corrupção, fraudes, violações socioambientais e desrespeito a direitos humanos, tornando-se um selo reputacional relevante no mercado.​

Ao longo dos anos, o Pró-Ética foi sendo aprimorado, com atualização de metodologia, ampliação das áreas de avaliação e criação de sistemas como o SAMPI para tornar o processo mais estruturado e transparente. Isso fez com que o programa se consolidasse como referência nacional e recebesse reconhecimento internacional de organismos como OEA, OCDE e UNODC, passando a inspirar iniciativas semelhantes em outros países.

Desse modo, o monitoramento contínuo deixa de ser um item formal do art. 57 e passa a operar como mecanismo vivo de gestão, capaz de fortalecer, ao longo do tempo, uma cultura de ética e integridade que se autorregula e se aprimora de forma permanente.​

3. Adequação a Pequenas e Médias Empresas (PMEs) e à Realidade Brasileira​

Recomendo que os parâmetros do art. 57 do Decreto nº 11.129/2022 sejam aplicados com proporcionalidade, levando em conta porte, complexidade operacional, exposição ao setor público, número de funcionários e capacidade financeira da pessoa jurídica.

Como foi possível compreender o que falamos até aqui, o programa tem relevante complexidade na gestão da empresa, então é importante que os esforços sejam realistas para não frustrar o CCO e o empresário, de modo a fazer o que é possível dentro do seu contexto e que seja experimentado o resultado na prática efetuando testes quanto ao nível de maturidade do programa, porque isso que importa.

Nas pequenas empresas, é comum que as funções de compliance fiquem concentradas no próprio sócio, no administrador principal ou em um gerente de confiança, muitas vezes apoiado por consultoria externa. Nesses casos, um Código de Ética mais conciso, treinamentos objetivos e uma gestão de riscos focada nos riscos mais evidentes do setor já podem gerar ganhos significativos de integridade, desde que tudo esteja minimamente documentado e aplicado na prática.​

Em médias empresas, tende a ser viável a designação de um profissional responsável por compliance ou mesmo de um pequeno comitê interno, com maior formalização de processos. Aqui, a due diligence de terceiros passa a ter papel central, assim como a existência de um canal de denúncias funcional e de políticas escritas que orientem o dia a dia. O objetivo, em qualquer cenário, é maximizar o impacto com recursos limitados, garantindo que os elementos-chave do programa estejam presentes, proporcionais e comprováveis.​

4. Compliance em Mercados Regulados e Outras Necessidades. Outros Pilares?

Além dos pilares gerais estabelecidos pelo Decreto nº 11.129/2022, a realidade de cada empresa pode exigir a criação de pilares adicionais de compliance, voltados a regulamentações específicas do setor ou a áreas de risco mais sensível.

Esses “tipos de programas de compliance” se somam à base anticorrupção e de integridade, resultando em uma estrutura mais abrangente, coerente com o ambiente regulatório e de negócios em que a organização está inserida.​

Em mercados altamente regulados, como financeiro, saúde, telecomunicações, energia ou aviação, é comum a existência de um pilar regulatório específico, dedicado a assegurar o cumprimento das normas de órgãos como Banco Central, ANVISA, ANATEL, ANEEL, ANAC, entre outros.

Esse pilar envolve gestão de licenças e autorizações, atendimento a exigências técnicas, cumprimento de regras prudenciais e relacionamento estruturado com reguladores, funcionando em diálogo permanente com o programa geral de integridade.​

Outros pilares também ganham relevância conforme o perfil da empresa. O pilar de tecnologia e proteção de dados (LGPD) organiza o compliance de privacidade, tratando do ciclo de vida dos dados pessoais e da conformidade com a legislação de proteção de dados. O pilar trabalhista volta-se à prevenção de passivos judiciais, assédio, discriminação e outras violações de direitos de trabalhadores, enquanto o pilar ambiental foca em normas ambientais, licenças e práticas sustentáveis.

Juntos, esses pilares evidenciam que o compliance é uma disciplina modular e adaptável, que deve ser construída sob medida para cada organização, a partir de seus riscos específicos e de seu contexto regulatório.​

Ativos Virtuais

Nosso escritório tem sido pioneiro na implementação regulatória e de programas de compliance no mercado dos ativos virtuais recentemente regulado pelo banco central do Brasil.

Temos acompanhado a regulação deste mercado desde o seu início, acesse o que temos falado neste link: https://alvarorocha.com.br/toda-a-legislacao-dos-criptoativos-atual-e-como-implementar-o-compliance-nas-exchanges/

5. Riscos de não ter um Programa de Compliance

Hoje, integridade deixou de ser diferencial e passou a funcionar como critério de seleção silencioso em licitações, crédito, investimentos e parcerias. Empresas sem programa minimamente estruturado, ou com compliance “de fachada”, tendem a perder espaço, acumular riscos e descobrir fragilidades apenas quando já estão diante de fiscalização, crise reputacional ou disputa judicial.​

Como programa de integridade não se constrói de um dia para o outro, adiar a adequação reduz a margem de escolha e aumenta o custo da correção de rota. Quem se antecipa estrutura a casa com calma.

6. Conclusão, Foco e Próximos Passos

Este conteúdo foi pensado para quem busca um programa de integridade proporcional, tecnicamente consistente e alinhado ao art. 57 do Decreto nº 11.129/2022, e não um modelo genérico de prateleira.

O escritório atua de focada e seletivamente, avaliando o contexto e o estágio de maturidade antes de aceitar cada projeto, para garantir envolvimento real e resultados concretos.​

Entre em contato conosco para avaliar as possibilidades da implementação em seus negócios.

Sucesso,

Alvaro Rocha.

Perguntas frequentes