Considerações iniciais
O compliance ganhou o cenário jurídico, em especial o jurídico-penal, no final do século passado, quando foi visto como uma importante ferramenta para a contenção e prevenção de crises econômicas como as vivenciadas em 2002 — Enron e World.com — e 2008 — crise dos derivativos. A expressão possui conhecida origem anglo-saxã, proveniente do verbo to comply, e significa, basicamente, estar em conformidade com algo. A pura e simples semântica extraída da tradução não resume, no entanto, o fenômeno que ora se discorre, uma vez que, como já tratado por nós, em outra oportunidade[1], o significado que deve ser extraído da palavra compliance refere-se ao conjunto de medidas adotadas por uma sociedade empresarial com o fim de se ajustar às prescrições éticas e legais, evitando riscos reputacionais e jurídicos decorrentes da atividade empresarial.

No Brasil, embora seja possível observar previsões legais sobre o tema desde 1998 — Lei da Lavagem de Capitais —, o frisson em torno do assunto foi impulsionado com a Lei Anticorrupção e com a famigerada operação “lava jato”, que desvendou diversos esquemas de corrupção e relações espúrias entre o empresariado e o mundo político.

Seja no cenário internacional, seja no nacional, o que se deve ter em mente é que a notoriedade do compliance não está, nem de longe, associada à pura e simples vontade dos gestores empresariais de querer um mundo melhor e sem ilícitos econômicos. Ao revés, o avanço do tema é fruto das normas, tanto de hard law quanto de soft law, que o preveem como requisito de autorregulação empresarial[2]. Neste sentido, sendo a finalidade precípua do instituto a autorregulação empresarial com vistas a cumprir regulamentações estatais e, com isso, prevenir ilícitos, faz-se importante perquirir quais os elementos mínimos necessários ao correto funcionamento do programa que o tornam apto a prevenir a ocorrência de ilícitos e de sanções.

A premissa que se deve ter em mente, em relação ao estabelecimento do programa de compliance, é a de que a sua adequada implementação, por meio desses processos intraempresariais, deve respeitar a estrutura, a extensão, a missão e os valores da sociedade empresária, bem como o marco legal a que esta está adstrita, de modo que não há uniformização nos programas.

Em que pese não exista uma fórmula pronta para todos os programas de compliance em sociedades, é possível, com base em documentos legislativos e recomendações de órgãos supranacionais[3], estabelecer pilares ou requisitos básicos para a estruturação daqueles, esboçando o que se pode chamar de “teoria geral dos elementos essenciais dos programas de compliance”, nos termos que serão apresentados a seguir.

Em primeiro lugar, dada a necessidade de particularização e adequação do compliance à realidade concreta da sociedade que irá adotá-lo, faz-se imprescindível que, antes da implementação ou da revisão desse programa, proceda-se à análise do ambiente interno da sociedade empresária. Neste sentido, faz-se imprescindível o diagnóstico completo da realidade da sociedade, com o intuito de buscar as informações referentes à forma societária e estruturação administrativa, a composição do quadro diretivo e da hierarquia existente, bem com os critérios para a tomada de decisão. Além disso, é importante investigar a quantidade funcionários e o padrão de recursos humanos seguidos pela sociedade empresária, sobretudo em termos de progressão de carreira, com o objetivo de verificar qual a mensagem e os incentivos que são passados àqueles que atuam em nome daquela. É necessário avaliar, ainda, o âmbito de atuação territorial, para que se tenha dimensão do porte do programa a ser implementado. Por fim, outra questão que merece ser investigada é relacionada ao apetite de risco e ao nível de integridade do ambiente empresarial.

Todos esses fatores que dizem respeito às características internas de funcionamento da sociedade empresária devem ser levados em consideração antes da implementação do programa para que se estabeleça o escopo deste, os seus limites e complicações que a empresa enfrentará durante o processo. Em alguns casos, o padrão da sociedade empresária vai indicar o grau de mudança que será aceito no estabelecimento ou aprimoramento do compliance. Por certo, sociedades nas quais o apetite de riscos e a prática de irregularidades são mais frequentes apresentarão um ambiente corporativo mais hostil à estruturação do programa, fator que deve merecer a atenção, evitando assim que o cumprimento das normas não represente nem seja visto pelos funcionários como um conjunto de burocracias novas que atrapalham as atividades cotidianas. É possível, inclusive, que a implementação do programa tenha de ser paulatina, para não representar uma forma drástica e incompreensível na cultura corporativa, tendente ao fracasso e ao descaso.

O passo seguinte refere-se à identificação, análise e avaliação dos riscos a que a empresa está sujeita, relacionando-os, obviamente, com a atividade exercida. Trata-se de um requisito mencionado, por exemplo, pela norma técnica estabelecida pelo ISO 19600:2014, na qual se recomenda especial atenção às leis e regulamentos a que a empresa está sujeita no local em que realiza suas atividades[4] para dimensionar quais as ofensas que podem advir da atividade realizada. Um exemplo dessa análise de risco com foco no marco regulatório (leis, decretos, bem como as interpretações doutrinárias e jurisprudenciais relacionadas a estes) e na atividade exercida diz respeito aos casos de políticas anticorrupção, as quais devem focar no grau de interação da sociedade com o poder público.

As recomendações tratam, ainda, do comprometimento da alta direção da sociedade com o programa e as práticas a serem adotadas. Esse compromisso envolve desde a incorporação da ética e das práticas nos discursos dos membros da alta cúpula até a demonstração concreta de conformidade por meio de ações, bem como o esforço na aplicação de sanções aos transgressores, independentemente da posição hierárquica assumida na sociedade. Inclui, outrossim, a disponibilização de meios econômicos e estruturais ao programa de cumprimento.

Outro requisito importante refere-se à existência de políticas escritas de conformidade, a exemplo do Código de Ética — que reúne os valores éticos, a missão e os direitos e deveres a serem seguidos —, bem como os códigos de procedimentos específicos e, ainda, os que estabeleçam as sanções aplicáveis em caso de desvio, bem como o procedimento de imposição destas. Um programa de compliance que não puna os transgressores das disposições assemelha-se a “papel molhado”, não sendo adequado a atingir os seus fins. Por óbvio que tais documentos não devem servir, apenas, de enfeite normativo, de modo que é recomendável a existência de treinamentos específicos, com linguagem adequada e, preferencialmente, verificação de aprendizagem.

Impende ressaltar, ainda, que deve ser designado ao menos um agente responsável pelo monitoramento do programa, figura denominada na doutrina como compliance officer. Trata-se do sujeito ou grupo de sujeitos que atuará como “promotor da ética” na sociedade, avaliando o funcionamento e o cumprimento das normas estabelecidas pelo programa. Esse órgão interno necessita de autonomia financeira e administrativa para que possa exercer adequadamente as suas posições. Os sujeitos que atuam nessa condição devem contar, ainda, com estabilidade funcional, para que possam realizar suas atividades sem receios.

Merecem destaque, outrossim, as previsões relacionadas aos canais de denúncia (facultativos para microempresas e EPP, no Brasil), às investigações internas e aos whistleblowers. Os primeiros, também conhecidos como hotlines, são canais de comunicação, disponíveis ao público interno ou externo, para a denúncia de irregularidades passadas ou presentes relacionadas à sociedade empresária, seus funcionários ou diretores. Devem ser acessíveis pelos mais variados meios (e-mail, telefone, fax, aplicativos etc.), garantir a confidencialidade das denúncias e permitir a notificação de quaisquer fatos e/ou pessoas relacionadas à sociedade. Canais de denúncia excessivamente complicados, que restringem o objeto ou os sujeitos da investigação e que não garantem a confidencialidade tendem a ser inócuos, pois desincentivam o reporte, seja pela burocracia e/ou pelo medo de represálias. É mister, além disso, que haja a previsão, nos procedimentos escritos, de proteção aos whistleblowers internos, como a garantia à confidencialidade relativa (enquanto dura a apuração interna), bem como afastamento de represálias[5].

Por fim, é imprescindível que as denúncias recebidas sejam levadas a sério, com a realização de investigações internas[6], sobretudo naquelas hipóteses em que se trate de fatos habituais ou continuados ou de atos preparatórios de ilicitudes. A investigação é recomendável, ainda, nos casos em que auxilie na correção de algum defeito do programa e naquelas hipóteses prévias à aplicação de sanções. Mesmo nos casos em que houver investigação externa, por órgãos do Estado, o procedimento interno tem o seu valor, notadamente pela facilidade de acesso às provas e demais elementos de informação. Importante assinalar que as investigações internas devem estar previstas nos documentos escritos e o seu procedimento deve respeitar os direitos fundamentais dos envolvidos, a exemplo da intimidade, do contraditório e da ampla defesa e da presunção de inocência.

Por fim, o sucesso do programa depende do seu constante monitoramento e revisão. O primeiro, para verificar o cumprimento e a adequação do programa à realidade interna; o segundo, para aprimorar as falhas, bem como para proceder à atualização necessária, fruto de novos conhecimentos ou de alteração no marco regulatório.

Despiciendo reiterar que este é um esboço abstrato dos requisitos, que deve sofrer influências do marco regulatório, do risco a ser assumido e, sobretudo, das características e porte da organização. Além disso, programas voltados à políticas específicas, a exemplo da corrupção e lavagem de capitais[7], devem, ainda, observar outros requisitos, que o espaço deste ensaio não permite digressões.

Caso o programa seja avaliado como efetivo aos fins a que se propõe, é possível haver atenuação (como previsto na Lei Anticorrupção brasileira) ou exclusão (conforme disposições do FCPA dos EUA) da responsabilidade da sociedade. Nos termos do Decreto 8.420/2015, o percentual de redução da multa nos casos de responsabilidade administrativa por atos lesivos previstos na Lei Anticorrupção pode variar entre 1% e 4%. Um programa eficaz pode, ainda, mitigar ou excluir a responsabilidade das pessoas físicas gestoras da sociedade, seja por delimitar o risco permitido da atividade, nos crimes comissivos, seja por afastar os requisitos de atribuição do resultado, nos crimes omissivos[8].

Verifica-se, portanto, que, para gestores e sociedades que queiram se adequar à ética e à legalidade, é imprescindível ter um programa em conformidade com os princípios mínimos, sob pena da existência de um mero adorno na cultura empresarial.

*Este texto é uma versão resumida de artigo a ser publicado em obra específica sobre compliance, pela editora D. Placido.

---

[1] Ver: LUZ, Ilana Martins. Compliance e omissão imprópria.Belo Horizonte: D’Plácido, 2018, p. 23-29.
[2] Idem ibid p. 49 a 53 .
[3] Ver, neste sentido: COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION; PRICEWATERHOUSECOOPERS. Gerenciamento de riscos corporativos: estrutura integrada. [S.l.]: COSO, 2007.; INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO 19600: compliance management systems : guidelines. Geneva, 2014; [3]UNITED STATES OF AMERICA. Department of Justice. Securities and Exchange Commission. A resource guide to the U.S. Foreign Corrupt Practices Act. [Washington, D.C.]; BRASIL. Controladoria-Geral da União. Programa de integridade: diretrizes para empresas privadas. Brasília, 2015;
ITALIA. Decreto legislativo 8 giugno 2001, n. 231. Disciplina della responsabilita’ amministrativa delle persone giuridiche, delle societa’ e delle associazioni anche prive di personalita’ giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300. Gazzetta Ufficiale, Roma, n. 140, 19 giugno 2001; REGIERUNGSKOMMISSION DEUTSCHER CORPORATE GOVERNANCE KODEX. German corporate governance code. Germany, 2014.; BRASIL. Secretaria da Micro e Pequena Empresa. Secretaria de Racionalização e Simplificação. Departamento de Registro Empresarial e Integração. Instrução normativa DREI n. 24, de 4 de junho de 2014; BRASIL. Decreto n. 8.420, de 18 de março de 2015. Regulamenta a Lei nº 12.846, de 1º de agosto de 2013, que dispõe sobre a responsabilização administrativa de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira e dá outras providências.
[4] INTERNATIONAL ORGANIZATION FOR STANDARDIZATION, 2014, p. 7.
[5] Para maior aprofundamento, ver: VALLÈS, Ramon Ragués. Whistleblowing: una aproximación desde el derecho penal. Madrid, Marcial Pons, 2013, passim.
[6] Ver, neste sentido, NIETO, Adam. Investigaciones internas. Em: NIETO, Adam (org) Manual de cumplimiento penal em la empresa. Tirant lo blanch, Valencia, 2015, pp. 231 a 272.
[7] Ver: LUZ, Ilana Martins. Compliance e omissão imprópria.Belo Horizonte: D’Plácido, 2018, p. 143 a 173.
[8] Ver LUZ, Ilana Martins. Op. cit, p. 239 a 293 e ESTELLITA, Heloisa. Responsabilidade penal de dirigentes de empresas por omissão Estudo sobre a responsabilidade omissiva imprópria de dirigentes de sociedades anônimas, limitadas e encarregados de cumprimento por crimes praticados por membros da empresa. 1ª. São Paulo: Marcial Pons, 2017, passim.

Fonte: https://www.conjur.com.br/2018-mar-16/ilana-martins-esboco-elementos-compliance-eficaz