Quais são os pilares de um programa de compliance?
Atualizado em 16 de maio de 24 | Geral por
Os pilares de um programa de compliance são fundamentais para estabelecer a base sólida necessária para garantir sua eficácia e correta implementação dentro da organização. Em termos simples, esses pilares representam os elementos estruturais que sustentam o objetivo principal do programa: a adoção de princípios éticos, integridade e transparência, aliados à conformidade com leis e regulamentos.
Assim, os pilares do programa de compliance funcionam como um norte para o Compliance Officer e outros profissionais envolvidos na sua implementação, auxiliando na criação de um programa sob medida para a empresa.
No Brasil, o compliance tem ganhado cada vez mais espaço e aplicabilidade prática devido à adaptação legal e regulatória a essa nova realidade, que vem ocorrendo após a publicação da Lei Anticorrupção. Além disso, as empresas estão cada vez mais conscientes sobre a necessidade de mitigar seus riscos, prevenindo e punindo comportamentos inadequados dos seus colaboradores.
Qualquer falha neste sentido pode comprometer a reputação e as atividades da organização, e, por outro lado, o programa de integridade também é requisito para a participação da empresa em processos licitatórios e outros certames públicos. Grande parte dos conceitos utilizados no Brasil sobre o tema, são inspirados em normas internacionais, como é o caso da United States Sentencing Guidelines for Organizations, que é uma lei federal americana criada para avaliar os danos causados em casos de ocorrência de fraudes contra o governo.
Essa lei contém as diretrizes essenciais de um programa de compliance eficaz, as quais servem de base para a criação dos pilares de um programa de integridade, o qual deve ser adequado às peculiaridades de cada organização.
Pilares de um programa de compliance
Confira a seguir quais são os pilares que norteiam um programa de integridade:
Suporte da alta administração
O suporte da alta administração é essencial para o sucesso de um programa de compliance. Este pilar envolve um compromisso visível por parte dos líderes da organização com os princípios éticos, integridade e conformidade com as leis e regulamentos. Isso demonstra a importância que a empresa atribui ao compliance, e estabelece um tom encorajador para todos os colaboradores.
Além do compromisso verbal, é fundamental que a alta administração aloque recursos adequados para a implementação e manutenção do programa de compliance, o que vai além dos recursos financeiros, mas também recursos humanos, como a nomeação de um Compliance Officer ou equipe responsável, que possua a autoridade e ainda os atributos necessários para liderar efetivamente o programa.
A nomeação de um Compliance Officer é um passo importante, pois é este profissional que é o responsável por coordenar todas as atividades relacionadas a conformidade dentro da organização. Ele atua como um ponto de apoio para todas as questões de compliance, facilitando a comunicação entre os diferentes departamentos e zelando para que as políticas e procedimentos sejam implementados de maneira consistente e uniforme em toda a empresa.
Além disso, é importante estabelecer canais de comunicação direta entre a alta administração e os responsáveis pelo compliance, para que os líderes estejam cientes dos desafios e progressos do programa, e haja um canal aberto para que eles ofereçam orientação e apoio conforme necessário.
Avaliação dos riscos
A avaliação dos riscos é um processo fundamental no desenvolvimento de um programa de compliance eficaz, uma vez que este pilar envolve a identificação, análise e avaliação dos riscos inerentes às atividades exercidas pela organização, com o objetivo de entender e mitigar essas ameaças de forma proativa e eficiente.
Neste contexto, para realizar uma avaliação de riscos eficaz, é importante considerar uma variedade de fatores, tais como os tipos de atividades realizadas pela empresa, os mercados em que ela opera, as regulamentações aplicáveis e as tendências do setor. Essa prática permite que a organização identifique os principais pontos de vulnerabilidade e as possíveis consequências financeiras, reputacionais e legais que tais riscos podem gerar.
Logo, uma vez identificados, os riscos devem ser avaliados em termos de sua probabilidade de ocorrência e impacto potencial no negócio, para que a empresa priorize seus esforços de mitigação e concentre recursos nos riscos mais urgentes.
Concluindo, é importante ressaltar que à medida que as condições internas e externas mudam, os riscos também podem mudar, ou seja, todo o processo é altamente dinâmico, exigindo uma revisão e atualização periódica da avaliação de riscos para que o programa de compliance mantenha sua eficácia mesmo com as constantes mudanças de cenários.
Código de conduta e políticas internas
O código de conduta e as políticas internas são a espinha dorsal de um programa de compliance eficaz, porque são estes documentos que estabelecem os princípios éticos e os padrões de comportamento esperados de todos os colaboradores da organização, independentemente de seu cargo ou função. Ou seja, abrangem desde o colaborador operacional até a alta administração.
Diante disso, o código de conduta contém uma ampla gama de tópicos, sobretudo tratando sobre temas como ética nos negócios, conflitos de interesse, presentes e entretenimento, comunicação de informações privilegiadas, prevenção de assédio e discriminação, entre outros.
Em outras palavras, este documento funciona como uma base sólida para o comportamento ético e a tomada de decisões dentro da organização, servindo como um guia claro e acessível para todos os colaboradores.
Além do código de conduta, as políticas internas detalham as práticas específicas que devem ser seguidas em diferentes áreas de operação da empresa, tais como políticas relacionadas a compras, vendas, contabilidade, recursos humanos, saúde e segurança, entre outros. As políticas servem de norte para os colaboradores conduzirem suas atividades diárias dentro dos padrões de conformidade com as leis e regulamentos aplicáveis.
Vale frisar que é importante que o código de conduta e as políticas internas sejam comunicados de maneira eficaz a todos os colaboradores da organização, por meio de treinamentos presenciais ou online, comunicações regulares, materiais impressos e digitais, entre outros. Desta forma, quanto mais acessível e compreensível for o código de conduta e as políticas internas, maior será a probabilidade de que sejam seguidos e incorporados à cultura organizacional.
Saiba tudo sobre este tema em nosso artigo Código de ética e conduta: o que é e como implementá-lo na sua empresa?
Controles internos
Os controles internos constituem um componente fundamental do programa de compliance, sendo responsáveis pela sua eficácia, ou seja, pela efetiva conformidade das operações da organização, uma vez que são estabelecidos para mitigar os riscos identificados durante a avaliação de riscos e nortear a condução das políticas e procedimentos internos de maneira consistente.
Dentro do contexto do compliance, os controles internos estão presentes em uma ampla gama de áreas, tais como contabilidade financeira, gestão de riscos, conformidade regulatória, segurança da informação, dentre outras. O seu papel é detectar e prevenir atividades fraudulentas, erros, irregularidades e violações de políticas antes que possam causar danos à organização.
A implementação de controles internos eficazes envolve a identificação e documentação de processos críticos, a designação de responsabilidades claras, a implementação de medidas de segurança e proteção de ativos, a realização de revisões e conciliações periódicas, entre outras práticas.
Além disso, os controles internos devem ser continuamente avaliados e aprimorados para acompanhar as mudanças nas operações da empresa e no ambiente regulatório.
Canais de denúncia
Os canais de denúncia são mecanismos estabelecidos para permitir que os colaboradores relatem preocupações, irregularidades, violações de políticas ou comportamentos antiéticos de forma confidencial e sem medo de retaliação.
Por esse motivo, eles são fundamentais para promover uma cultura de integridade e transparência dentro da organização, incentivando os colaboradores a se manifestarem sobre questões que possam afetar a ética e a conformidade da empresa.
Os canais podem ser linhas telefônicas dedicadas, endereços de e-mail confidenciais, formulários online e até mesmo a possibilidade de denúncias anônimas. Uma vez recebidas as denúncias, elas devem ser tratadas de maneira justa, imparcial e confidencial.
Treinamento e comunicação
O treinamento e a comunicação são uma das faces mais relevantes de um programa de compliance eficaz, pois fornecem aos colaboradores as habilidades, conhecimentos e recursos necessários para entender e cumprir as políticas e procedimentos estabelecidos pela organização.
Além disso, é importante que os programas de treinamento e comunicação sejam contínuos e adaptados às necessidades específicas dos colaboradores e das operações da empresa.
Por isso, é recomendada a realização de treinamentos regulares, bem como a comunicação proativa de mudanças nas políticas e regulamentos, além da disponibilização de recursos extras, como manuais e materiais de referência, para apoiar os colaboradores em suas funções.
Investigações internas
As investigações internas são uma parte essencial do programa de compliance, pois permitem que a organização responda eficazmente a denúncias de irregularidades, comportamentos antiéticos ou violações de políticas. Essas investigações devem ser conduzidas de forma objetiva e imparcial, com o objetivo de obter informações detalhadas sobre os incidentes relatados e determinar a extensão dos danos e quais medidas corretivas são necessárias.
Durante uma investigação interna, é importante seguir procedimentos consistentes e bem definidos, incluindo a coleta de provas, entrevistas com as partes envolvidas, análise de documentos relevantes e avaliação das políticas e procedimentos pertinentes. As investigações devem ser conduzidas por pessoal treinado e independente, zelando assim pela integridade do processo e a confiabilidade dos resultados.
Após a conclusão da investigação, as descobertas devem ser tratadas com seriedade e medidas corretivas apropriadas devem ser implementadas. Assim, ações como a imposição de disciplina aos responsáveis pelas violações, a revisão e atualização das políticas e procedimentos relevantes, a implementação de controles adicionais para prevenir futuras violações e a comunicação transparente sobre as conclusões e as ações tomadas são exemplos comuns do que deve ser feito ao final da investigação.
Due diligence
A due diligence é um processo de investigação e avaliação realizada pela organização para averiguar os riscos associados a terceiros, como fornecedores, parceiros de negócios, clientes e colaboradores, visando a tomada de decisões informadas e conscientes ao se envolver com essas partes e que, portanto, minimiza o risco de exposição a atividades ilegais, antiéticas ou prejudiciais.
Durante o processo de diligência prévia são realizadas várias atividades, incluindo a verificação de antecedentes, a revisão de registros financeiros e comerciais, a avaliação da reputação e integridade das partes envolvidas, e a análise de potenciais riscos legais, regulatórios e de conformidade, visando identificar quaisquer preocupações ou problemas que possam afetar sua relação com os terceiros e a tomar decisões informadas sobre como proceder.
Diversidade e inclusão
É a promoção de um ambiente de trabalho que valorize e respeite a diversidade de gênero, raça, etnia, orientação sexual, idade, habilidades e outras características individuais, bem como a adoção de políticas e práticas que incentivem a equidade, a igualdade de oportunidades e a inclusão de todos os colaboradores, contribuindo para uma cultura organizacional mais justa e representativa.
Conclusão
É de suma importância ressaltar que os pilares do programa de compliance são fundamentais para direcionar o seu planejamento e implantação realmente eficaz.
No Brasil, a nova regulamentação da Lei Anticorrupção por meio do Decreto n.º 11.129/2022, também trata de alguns requisitos para garantir a efetividade do programa. Segundo o decreto mencionado, qualquer programa de compliance deve possuir uma estrutura mínima para prevenir, detectar e sanar irregularidades, e esta estrutura deve considerar a atividade da empresa.
Além disso, a atualização das políticas e controles internos considerando os riscos da respectiva atividade, que se modificam com o passar do tempo e conforme a própria dinâmica do mercado, também é um requisito da nova regulamentação para garantir a efetividade do programa. Diante da complexidade da implementação e execução de um programa de Compliance, a utilização de uma plataforma inteligente, bem como de ferramentas que auxiliem na criação de dossiês de pesquisa, também são uma forma de garantir a sua efetividade.
Gabriela B. Maluf é Founder & CEO da Thebesttype, empreendedora, escritora, advogada com 18 anos de experiência, especialista em Compliance Trabalhista, Relações Trabalhistas, Sindicais e Governamentais, Direito Público e Previdenciário, palestrante com mais de 200 eventos realizados e produtora de conteúdo técnico otimizado em SEO para sites e blogs.
