Em 18 de março de 2015 foi publicado o Decreto n.º 8.420, regulamentando a Lei n.º 12.846/13, conhecida como Lei Anticorrupção e que dispõe sobre a responsabilização objetiva de pessoas jurídicas por atos contra a administração pública.
Esse Decreto inova e surpreende ao estabelecer os requisitos (pilares) para avaliação de programas de compliance, alinhados a algumas das principais legislações estrangeiras sobre o tema, como o FCPA dos EUA e o UK Bribery Act. No Brasil, há o antecedente da Lei de Lavagem de Dinheiro (Lei nº 9.613/98), que obriga as pessoas jurídicas a adotarem programas de compliance.
Entretanto, a Lei de Lavagem de Dinheiro não detalha o que seriam os parâmetros de tais programas, legando aos setores econômicos, amparados por fóruns diversos e regulamentos específicos, a definição do que atualmente se pratica nas organizações relativamente a Prevenção à Lavagem de Dinheiro. Some-se a isso a atuação das auditorias e da fiscalização de órgãos reguladores e tem-se um arcabouço de melhores práticas amplamente divulgado sobre esse assunto.
Nesse aspecto podem as instituições se beneficiar em sua busca por conformidade à Lei Anticorrupção. Tudo o que foi consolidado como prática empresarial contra a lavagem de dinheiro, desde 1998, pode, em certa medida, servir de base, ou paradigma (no sentido emprestado da Filosofia da Ciência) para cumprimento da Lei Anticorrupção e do Decreto que a regulamenta.
Ressalte-se que o Decreto incentiva, e não necessariamente obriga, a adoção de programas de compliance pelas empresas. Não se pretende aqui tratar de todos os vários aspectos da legislação anticorrupção: já está disponível na mídia razoável produção de análises. O presente artigo pretende muito brevemente comentar alguns aspectos dos pilares do programa de compliance elencados no Decreto que regulamenta a Lei Anticorrupção, com base em práticas de Prevenção à Lavagem de Dinheiro, governança corporativa, gerenciamento de riscos e ambiente regulatório prudencial – especialmente a supervisão bancária.
De acordo com a lei, a punição às instituições pode variar desde multa sobre o faturamento até o fechamento das atividades. A importância desses programas está no fato de que se as empresas demonstrarem sua existência e bom funcionamento, tendo envidado todos os melhores esforços para evitar a ocorrência de transgressões, elas poderão ser beneficiadas com abrandamento da pena e até deixar de sofrer punição. É, assim, um legítimo mecanismo de defesa das organizações, além de configurar uma boa prática para o ambiente empresarial do país.
O termo “compliance” significa conformidade às leis e regulamentos, e ganhou bastante relevância dentro das Instituições Financeiras a partir de um normativo do Conselho Monetário Nacional (Resolução 2.554/98). Essa regulamentação estabelece que os bancos devem ter controles adequados às suas atividades. A aderência às leis e regulamentos é um dos itens desse normativo, o que implica que Compliance é uma atividade de Controles Internos. Ou seja, todas as ferramentas de controles de uma organização podem, e devem, ser utilizadas também com o propósito de assegurar que ela esteja em compliance.
Os programas de compliance têm uma abordagem imediata: permitem verificar o quanto um determinado assunto ou tema relevante está em conformidade legal. Isso é feito através de testes diretos de controles, independentemente de estarem eles devidamente mapeados ou listados nos catálogos de processos da empresa. Ressalte-se que muitos desses controles, que mitigam riscos legais, demandam acompanhamento normativo e rápido acesso à legislação atualizada, algo que ainda não é trivial dado o ordenamento jurídico do país. Além disso, é imperioso também acompanhar a jurisprudência, assim como a tendência dos tribunais e o posicionamento setorial das empresas frente às inúmeras controvérsias geradas por regulamentos cada vez mais específicos mas nem sempre em sintonia com os propósitos das linhas de negócio.
Um Programa de Compliance pode ser composto por uma sequência de assertivas para as quais deve-se verificar o grau de conformidade. Em alguns casos é requerida seleção de amostras para análise. O resultado é uma avaliação global que mede o grau de conformidade da instituição em relação àquele assunto. Uma característica desses programas é a diferença entre sua elaboração e sua execução. Enquanto que na elaboração é fundamental a total participação dos gestores de negócio, com eventual apoio de setores jurídicos, na execução qualquer funcionário é capaz de realizar a verificação das assertivas, que são descritas de forma simples e com pouca margem a questionamentos.
Os resultados dos Programas de Compliance podem ser acompanhados periodicamente em Comitês. Daí a importância de os processos organizacionais terem sido objeto de gestão de qualidade: só se deve acompanhar métricas de eficiência em processos otimizados quanto às suas etapas, observando-se itens como retrabalho, segregação de atribuições e identificação e avaliação de riscos e controles.
Voltando ao Decreto n.º 8.420, é no Capítulo IV que ele trata do Programa de Compliance, elencando em seu Art. 42 os parâmetros que serão considerados. Optou-se por organizar esses itens em pilares de gerenciamente de riscos, e pretende-se aqui brevemente comentar somente alguns detalhes cruciais para o êxito na elaboração e aplicação de um programa anticorrupção.
Os Objetivos e a Tolerância ao Risco
A alta administração deve dispor de um processo pelo qual possa claramente definir os objetivos do programa bem como o apetite a riscos da organização. A empresa deve permitir a manifestação do comprometimento inequívoco da alta direção ao programa, através de foros adequados (conselhos e comitês) e de políticas (de acesso público) e outros normativos internos. Cada foro e política deve ter seus elementos explicitamente definidos: composição, periodicidade, responsabilidades etc.
Atividades de Controle
Através da sua governança, a instituição aprova suas políticas e procedimentos que asseguram que as respostas aos riscos de descumprimento à lei estejam eficazes. É necessário, também, que alguma área independente, geralmente de Compliance, seja responsável por ministrar treinamentos periódicos a todos os colaboradores, com controle de participação executado pelo setor de Recursos Humanos. Ainda que o treinamento possa ter vários formatos, é boa prática que seja segmentado conforme o envolvimento do público com os riscos considerados, e que tenha validade de um ano.
Identificação de Eventos
A origem dos eventos que podem influenciar o programa de compliance deve considerar não somente os atos dos funcionários, mas também os praticados por terceiros tais como fornecedores ou prestadores de serviço e seus prepostos. Organizações com alto grau de maturidade na gestão de riscos operacionais possuem uma base de dados de eventos. Nesses casos, é recomendável criar uma subcategoria de risco legal relacionada à anticorrupção.
Avaliação de Riscos
O Decreto institui a obrigação de diligências para contratação e, conforme o caso, supervisão de terceiros. Prática também conhecida como KYP (“know your partner”) - regras, procedimentos e controles internos para identificação e aceitação de parceiros comerciais, a recomendação consiste na adoção de uma abordagem baseada em risco. Nem todos os terceiros ou parceiros possuem o mesmo grau de risco de corrupção, exigindo, para cada classificação de risco definida, controles adequados e proporcionais. Para os de mais alto risco, diligências aprofundadas de avaliação (tais como “due diligence”) com alçadas específicas de aprovação. Especial atenção requerem os processos de fusões, aquisições e reestruturações societárias, cujos fluxos devem estar documentados e os riscos perfeitamente identificados e avaliados para a definição de controles e atividades de monitoramento.
Controles: a resposta ao risco
Dentre os controles o destaque fica para os procedimentos específicos para prevenir fraudes e ilícitos em processos licitatórios bem como na execução de contratos administrativos ou em qualquer interação com o setor público, mesmo que com a intermediação de terceiros em qualquer nível. Além disso, todos os controles devem ser testados periodicamente, com frequência proporcional à avaliação dos riscos por eles mitigados.
Informação e Comunicação
Os lançamentos contábeis devem refletir de forma completa e precisa a realidade das operações da empresa. Os controles internos devem assegurar a pronta elaboração e confiabilidade de relatórios e demonstrações financeiros da pessoa jurídica. Figuram como novidades: a exigência de transparência nas doações realizadas a partidos políticos, o que pode requerer políticas internas com especificações claras sobre como e quando a organização fará esse tipo de operação e o estabelecimento de canais de denúncia de irregularidades, para utilização de funcionários e terceiros, instituto também conhecido como “whistleblowing” e bastante consolidado no exterior.
Monitoramento
Todas as matrizes de riscos e controles devem ser monitoradas continuamente. Isso permite que o próprio programa de compliance seja continuamente ajustado. Há duas formas de realização do monitoramento: através da utilização contínua por parte dos gestores dos processos envolvidos e por avaliações independentes – tanto das equipes de Controles Internos e Compliance quanto pela Auditoria, seja ela interna ou externa. O grande ponto de atenção é a exigência de procedimentos específicos que garantam a pronta interrupção de irregularidades ou infrações detectadas e a tempestiva remediação dos danos gerados. Ou seja, além do aspecto preventivo, há a preocupação de que os casos alertados tenham planos de ação tanto para correção dos processos internos quanto para “remediação”, com enfoque imediato no bloqueio da transação, qualquer que seja ela. Todos os casos devem ser apresentados em comitês definidos em política, preferencialmente de riscos e controles internos.
Ambiente de Controles e Riscos
O grande objetivo do programa de compliance é estabelecer um ambiente interno, feito pelos colaboradores (funcionários e terceiros), com visão de gerenciamento de riscos. Isso compreende a integridade, os valores éticos e os padrões de conduta, expressos no código de ética e nas políticas de integridade. É o cumprimento do que foi estabelecido o resultado de uma empresa ética e em conformidade com o espírito da lei. Como parte do programa, deve haver uma instância interna responsável pela sua aplicação, fiscalização e aperfeiçoamento, estruturada e independente. E, de acordo com a governança da empresa, é crucial a previsão e aplicação de medidas disciplinares para os casos de desrespeito ao programa de compliance.
Por fim, cabe ressaltar que todo o desenho do programa deve levar em conta o porte e as especificidades de cada instituição, assim como o setor em que atua e o seu grau de interação com o Poder Público, dentre outros fatores. Procurou-se, assim, apontar alguns aspectos mais peculiares para cumprimento à Lei Anticorrupção, cujo Decreto que a regulamenta pode ser considerado um marco regulatório prudencial relativo a compliance no Brasil.