IMPLEMENTAÇÃO E MAPEAMENTO (ANÁLISE DE RISCOS)

A implementação de um Programa de Compliance eficaz deve ocorrer dentro dos padrões e sob a análise da empresa. Maeda (2013) afirma que, a partir da análise dos elementos comuns contidos nos documentos acerca da empresa, torna-se possível verificar as convergências a traçar aspectos centrais que todo Programa de Compliance adequado e efetivo deve ter, sob pena de se tornar um mero “programa de papel” e, além de não poder gozar da atenuação da pena prevista na Lei Anticorrupção e nos mencionados diplomas estrangeiros, o programa não alcançará sua finalidade e objetivo, o de gerir a atividade empresarial e o ambiente de trabalho a fim de garantir status de “conformidade” e minimizar os riscos da atividade e os danos que uma atuação negligente pode trazer para a empresa e seus colaboradores.

O Decreto n° 8.840/15, conforme já mencionado no decorrer deste trabalho, estabelece em seu artigo 42 e seguintes, as métricas para estabelecer um programa de Compliance efetivo:

Art. 42. Para fins do disposto no § 4º do art. 5º, o programa de integridade será avaliado, quanto a sua existência e aplicação, de acordo com os seguintes parâmetros:

I - comprometimento da alta direção da pessoa jurídica, incluídos os conselhos, evidenciado pelo apoio visível e inequívoco ao programa;

II - padrões de conduta, código de ética, políticas e procedimentos de integridade, aplicáveis a todos os empregados e administradores, independentemente de cargo ou função exercidos;

III - padrões de conduta, código de ética e políticas de integridade estendidas, quando necessário, a terceiros, tais como, fornecedores, prestadores de serviço, agentes intermediários e associados;

IV - treinamentos periódicos sobre o programa de integridade;

V - análise periódica de riscos para realizar adaptações necessárias ao programa de integridade;

VI - registros contábeis que reflitam de forma completa e precisa as transações da pessoa jurídica;

VII - controles internos que assegurem a pronta elaboração e confiabilidade de relatórios e demonstrações financeiros da pessoa jurídica;

VIII - procedimentos específicos para prevenir fraudes e ilícitos no âmbito de processos licitatórios, na execução de contratos administrativos ou em qualquer interação com o setor público, ainda que intermediada por terceiros, tal como pagamento de tributos, sujeição a fiscalizações, ou obtenção de autorizações, licenças, permissões e certidões;

IX - independência, estrutura e autoridade da instância interna responsável pela aplicação do programa de integridade e fiscalização de seu cumprimento; X - canais de denúncia de irregularidades, abertos e amplamente divulgados a funcionários e terceiros, e de mecanismos destinados à proteção de denunciantes de boa-fé;

XI - medidas disciplinares em caso de violação do programa de integridade; XII - procedimentos que assegurem a pronta interrupção de irregularidades ou infrações detectadas e a tempestiva remediação dos danos gerados; [...] (BRASIL, 2015).

A avaliação do Compliance ocorrerá de acordo com os parâmetros supramencionados, alguns dos quais são reafirmados por Harumi (2015): Comprometimento da alta direção da pessoa jurídica, incluídos os conselhos; Estabelecimento de padrões de conduta, código de ética, políticas e procedimentos de integridade, para todos os empregados e administradores e também a terceiros, quando se fizer necessário; Realização de treinamentos periódicos sobre o Compliance; Efetivação de adaptações necessárias ao Programa, mediante análise periódica de riscos; Implantação de mecanismos no sentido de prevenir fraudes nos processos licitatórios, na execução de contratos administrativos ou em qualquer interação com o setor público; Manutenção de canais de denúncia de irregularidades, abertos e amplamente divulgados a funcionários e terceiros; Adoção de medidas disciplinares em caso de violação do Programa; Procedimentos que assegurem a eficaz interrupção de irregularidades ou infrações detectadas e a remediação dos danos gerados.

Ainda nas palavras de Harumi (2015):

Na avaliação destes parâmetros serão considerados o porte e especificidades da pessoa jurídica, tais como a quantidade de funcionários, empregados e colaboradores, a complexidade da hierarquia interna e a quantidade de departamentos, diretorias ou setores, a utilização de agentes intermediários como consultores ou representantes comerciais; o setor do mercado em que atua; os países em que atua, direta ou indiretamente; o grau de interação com o setor público e a importância de autorizações, licenças e permissões governamentais em suas operações; a quantidade e a localização das pessoas jurídicas que integram o grupo econômico; e o fato de ser qualificada como microempresa ou empresa de pequeno porte. (Harumi, 2015).

Dentro dessas análises é que ocorre a adequação do Programa para determinada corporação/empresa, criando um programa aos moldes do que se verifica necessário.

O Decreto nº 8.420/15 prevê que a efetividade do Compliance para fins de avaliação de micro e pequenas empresas poderá ser objeto de regulamentação do Ministro de Estado Chefe da Secretaria da Micro e Pequena Empresa e do Ministro de Estado Chefe da Controladoria-Geral da União, cabendo a este último a expedição de normas e procedimentos complementares referentes à avaliação do programa de integridade também em grandes empresas.

É importante que no momento de optar pelo programa Compliance na corporação/empresa, seja criado um comitê ou um departamento na própria empresa, para que este fique responsável pela aplicação efetiva e funcionamento no dia a dia. O Departamento de Compliance, afirma Marques (2016) é o responsável por garantir o cumprimento de todas as leis, regras e regulamentos aplicáveis, tendo uma vasta gama de funções dentro da empresa (monitoramento de atividades, prevenção de conflitos de interesses e outras), atuando como a política interna de uma empresa.

Para que o departamento de compliance seja efetivo, são necessários vários funcionários para realizar as análises de riscos, o controle interno da empresa e também o das auditorias externas e internas. Ser participativo é a principal característica do profissional do compliance, que deve passar ar de segurança aos demais colaboradores, como se ele estivesse ali para ser um consultor e não um “chefe carrasco” (MARQUES, 2016).

De acordo com a revista Exame (2019) a gestão de Compliance não é de responsabilidade exclusiva de determinado setor, mas de cada um na organização,

visando contribuir para a eficiência de todos os processos da empresa, protegendo-a de atos ilegais ou irregulares, e protegendo a si próprio, fortalecendo assim a reputação e a credibilidade no mercado e assegurando sua longevidade com os mais elevados padrões éticos.

Assim que ocorre o comprometimento com a alta direção da empresa, e a criação do departamento, o mapeamento (análise de riscos) é o próximo passo para a implementação do Programa Compliance.

Em suma, o mais adequado é que o programa seja desenvolvido pela própria empresa, levando em consideração fatores específicos que a diferenciam das demais como tamanho, porte da operação, área de atuação, e os riscos ligados à natureza sua atividade. Desta forma, Verissimo (2017) esclarece que a primeira medida é também a identificação e a análise dos riscos aos quais ela está sujeita (seja na qualidade autora ou de vítima), levando em consideração aspectos específicos da empresa. Devem ser analisados os riscos legais e reputacionais que poderão advir da ocorrência de atos ilícitos, e que o Programa de Compliance pretenderá mitigar.

A abordagem baseada no risco é necessária já que as empresas não possuem recursos para fiscalizar todas as operações, setores e clientes de modo efetivo, com o mesmo grau de intensidade. Por isso, a abordagem baseada no risco é o enfoque recomendado para a formulação de qualquer Programa de Compliance.

Ainda menciona Verissimo:

Os riscos devem ser avaliados em razão de seu significado, frequência, tipo e alcance de possíveis danos (prejuízos), sendo organizados em uma escala, em razão de sua intensidade (alto risco, risco moderado, baixo risco). (VERISSIMO, 2017, p. 276).

A autora supracitada complementa que a identificação e a avaliação desses riscos devem ser revistas e atualizadas com alguma frequência, para garantir que modificações na situação sejam levadas em conta no Programa de Compliance.