10 PILARES DE

UM PROGRAMA
DE COMPLIANCE
 10 PILARES DE UM PROGRAMA
DE COMPLIANCE
1º Pilar - Suporte da Alta Administração
O que é Suporte da Alta Administração?
O suporte da alta administração não é considerado o primeiro pilar de um programa de
Compliance à toa. Sem o suporte da alta direção para que as diretrizes de Compliance sejam
implementadas, a efetividade do programa pode ficar bastante abalada. São eles que dão o
tom que vem do topo, famoso “Tone at the top”.
O que eu preciso para implementar este pilar?
• Identificação de quem é a alta admin-
istração da empresa.
• Marcar uma reunião para apresentar
o que é o Compliance e entender o que a
alta administração espera da área.
• Informar sobre as leis que tangem o
Compliance, sejam elas locais ou internacio-
nais, e que afetam o segmento da empresa.
• Informar sobre as penalidades por
não ter um programa de Compliance imple-
mentado.
Como me comunicar com a alta administração?
• Mostre sempre indicadores – planil-
has e gráficos que demonstrem a evolução
do programa de Compliance chamam a at-
enção da alta administração.
• Faça apresentação clara e objeti-
va, utilize o power point para suas apre-
sentações, dividindo ela por tópicos.
• Faça reuniões periódicas com a alta
administração. Comece com reuniões sem-
anais ou quinzenais no início, e de acordo
Como saber se o pilar de Suporte da Alta
Administração está sendo efetivo?
• A alta administração incorpora o pro-
grama de Compliance no seu dia a dia, eles
são exemplo de boas práticas perante os co-
laboradores.
• A área de Compliance passa a ser en-
volvida em reuniões importantes, e é con-
sultada com frequência pela alta adminis-
tração.
2
• Informar os benefícios de ter uma
área de Compliance.
• Informar da importância do impacto
que a alta administração tem perante os de-
mais colaboradores, e que o apoio deles na
implementação do programa é um diferen-
cial.
• Levar casos práticos tangibilizam o
papel do Compliance na empresa.
com a maturidade do seu programa de Com-
pliance, estas reuniões podem ser mensais.
• Evidencie a evolução das atividades
de Compliance e o impacto na empresa. Por
exemplo: compare o mês anterior ao mês at-
ual.
• Tenha o hábito de emitir pareceres
para a alta administração e de guardar todas
as evidências dos casos tratados com eles.
• A alta administração comunica e as
principais mudanças / diretrizes da área de
Compliance. Exemplo: a alta administração é
o porta voz de uma comunicação sobre tre-
inamentos de Compliance para os colabora-
dores.
• A alta administração consegue visu-
alizar, inclusive financeiramente, o papel e a
importância do Compliance na companhia.
 10 PILARES DE UM PROGRAMA DE COMPLIANCE

2º Pilar – Avaliação de Riscos.

O que é uma avaliação de riscos?

Avaliação de riscos, ou mapeamento de riscos, é um dos momentos mais importantes na
construção de um programa de Compliance. Pois, ao fazer este mapeamento, você poderá ter
uma fotografia real da empresa. É nela que se conhece todos os riscos potenciais e seus im-
pactos para que a organização alcance seus objetivos. Afinal, cada empresa está sujeita a prob-
lemas diferentes, de acordo com seu tamanho, mercado de atuação e cultura organizacional.

O que eu preciso para implementar este pilar?

• Após realizar reuniões com a alta ad-
ministração e entender o cenário de acordo
com a ótica deles, identifique quais são as
áreas mais importantes da companhia, das
quais estejam expostas aos maiores riscos,
como a área jurídica, de controles internos
e até mesmo área de compras em algumas
empresas.
• Marque reunião com as áreas iden-
tificadas, entenda no detalhe quais são as
principais executadas por eles.
• Verifique se as áreas possuem políti-
cas e procedimentos escritos.
• Analise os riscos levando em consid-
eração sua severidade, seu impacto e sua
probabilidade.
• Após identificar se o risco é baixo,
médio ou alto, verifique se há algum con-
trole existente que mitigue tais riscos.
• No mapeamento de riscos é impor-
tante identificar o que é o risco inerente e o
risco residual.
• Tanto a alta administração, quanto as
áreas, deverão estar cientes dos riscos das
áreas e consequentemente da empresa.

Como construir uma matriz de riscos?

• Liste todos os riscos em uma planilha.
• Identifique qual a área afetada
• Identifique qual a probabilidade de o
risco identificado acontecer.
• Identifique se há perda financeira
com aquele risco
• Classifique a severidade do risco iner-
ente, ou seja, o risco que pode acontecer
caso não haja qualquer controle sobre ele.
• Identifique os fatores que mitigariam
o risco.
• Caso não exista um fator mitigante,
verifique se existe um plano de ação em an-
damento.
• Após a identificação do fator miti-
gante ou de um plano de ação, você poderá
calcular seu risco residual, que é o risco que
“sobra” após os controles.
• Com tudo mapeado, você poderá
criar o seu gráfico, ou a sua matriz de riscos,
colocando os riscos nos quadrantes, pensan-
do em impacto x probabilidade, conforme
figura abaixo :

3
 10 PILARES DE UM PROGRAMA DE COMPLIANCE

Como saber se o pilar de Mapeamento de Riscos

está sendo efetivo?

• A alta administração está ciente dos • Melhorias na empresa sejam visíveis

riscos e trabalha para achar soluções para após a identificação dos riscos.
que os riscos não se materializem. • Controles preventivos são criados e
• Os planos de ação identificados estão identificados pelas áreas.
sendo executados.

4
 10 PILARES DE UM PROGRAMA DE COMPLIANCE

3º Pilar – Código de Conduta e Políticas de Compliance

O que é um Código de Conduta e o que são

políticas de Compliance?
Código de Conduta é um documento que dita as “regras da casa” de uma empresa. Este é
um documento que dita as diretrizes da empresa, as políticas que devem ser adotadas, bem
como o comportamento esperado por seus colaboradores.

O que eu preciso para implementar este pilar?

• Crie um código de conduta que reflita
a realidade da empresa.
• Se possível, torne o Código de Condu-
ta público, ou elabore um código que pos-
sa ser compartilhado com seus cliente, for-
necedores e terceiros.
• Utilize linguagem clara, objetiva, para
que todos entendam o objetivo do código de
conduta.
• Deixe claro quais os objetivos e os
comportamentos éticos que são esperados
por seus colaboradores.
• Identifique quais as legislações que
tangem o segmento da sua empresa.
• Crie políticas que sejam tangíveis e
com regras que possam de fato serem exe-
cutadas.
• Identifique se áreas específicas pre-
cisam de políticas específicas.

Quais as políticas que toda empresa precisa ter?

• Código de Conduta • Conflito de Interesses
• Brindes e Hospitalidades • Due Diligence
• Prevenção a Lavagem de Dinheiro • Gestão de Terceiros
• Combate à Corrupção • Relacionamento com órgãos públicos
• Diretrizes do Canal de Denúncias

Como saber se o Código de Conduta e as políticas

de Compliance estão sendo efetivas?
• O Código de Conduta está comunica-
do de forma adequada para todos os colab-
oradores, clientes, fornecedores e terceiros.
• A alta administração reforça e incen-
tiva que seus colaboradores sigam as dire-
trizes de Compliance.
• As políticas são seguidas e respeita-
das pelos colaboradores.
• As políticas cobrem todos os riscos
mapeados, bem como as legislações que im-
pactam o negócio.

5
 10 PILARES DE UM PROGRAMA DE COMPLIANCE

4º Pilar – Controles Internos

O que são Controles Internos?

Além do mapeamento de riscos, um dos mecanismos para assegurar um programa de

Compliance, são os controles que mitigam os riscos da companhia. A empresa deve criar me-
canismos de controle para assegurar que os riscos sejam minimizados, tanto no nível interno
quanto no externo.

O que eu preciso para implementar este pilar?

• Mapear os tipos de controles que
precisam ser realizados: preventivos, detec-
tivos, de evidenciação.
• Identificar quais os controles e para
que eles servem na empresa.
• Os controles precisam ser estabeleci-
dos de acordo com a cultura organizacional
da empresa.
• Criar controles que façam sentido
para a empresa.
• Verificar a eficiência e a eficácia das
operações da organização, desde suas me-
tas financeiras e operacionais, até a pro-
teção de ativos contra perdas.

Quais são alguns dos controles que toda

empresa precisa ter?
• Controle de parceiros e fornecedores
• Controle de Brindes e Hospitalidades
• Controle de Conflito de Interesses
• Controle de Operações Financeiras
• Controle de férias
• Controle de viagens corporativas
• Controle de horas extras
• Controle de treinamentos de compliance

Como saber se os controles internos estão

sendo efetivos?
• Conhecimento do negócio, bem
como seus riscos pelos colaboradores
• Colaboradores respeitando as nor-
mas, bem como as suas regras internas e
externas.
• Alta e média gestão responsáveis
pela implementação de um sistema de con-
trole interno eficaz
• Colaboradores atendendo todas as
exigências dos controles estabelecidos e ca-
pazes de identificar as vulnerabilidades ou
falhas, a fim de propor e colocar em prática
melhorias e um funcionamento adequado
dos controles internos.

6
 10 PILARES DE UM PROGRAMA DE COMPLIANCE

5º Pilar – Treinamento e Comunicação

O que é o pilar de treinamento e comunicação?

O pilar de treinamento e comunicação de Compliance é um dos pilares mais importantes
de um programa de Compliance, pois garante que o colaborador coloque em prática as re-
gras e diretrizes de Compliance da Companhia. É um meio comprobatório de que todos os
colaboradores estejam cientes e em conformidade com todas as políticas de Compliance da
companhia. Os treinamentos podem ser realizados de forma presencial, online ou por meio de
gamificação, ou seja, na forma de um jogo.

O que eu preciso para implementar este pilar?

• Conheça o perfil da sua empresa, tre-
inamentos precisam falar a mesma língua da
empresa.
• Obtenha apoio da alta administração.
• Elabore junto ao RH um “road map”,
ou seja, um mapa desses treinamentos e
quem de fato precisa realizá-los.
• Entenda o quanto de verba você pos-
sui para a criação destes treinamentos.
• Enumere quais as políticas de Com-
pliance que existem na sua empresa.
• Entenda o que o seu regulador solic-
ita em relação à programa de Compliance e
sobre o pilar de treinamento e comunicação,
incluindo treinamento e comunicação para
terceiros.
• Seja criativo e elabora treinamentos
faseados, pois um alto volume de treina-
mentos pode vir a cansar o colaborador e
a efetividade deste treinamento passa a ser
baixa.
• Faça comunicações periódicas na
companhia, pensando sempre em qual o
melhor canal a ser usado de acordo com o
assunto, a severidade, e o alcance da infor-
mação.

Quais os treinamentos devem ser realizados:

• Diretrizes do Código de Conduta • Prevenção à Lavagem de Dinheiro
• Brindes e Hospitalidades • Combate à corrupção
• Conflito de Interesses • Diretrizes do Canal de Denúncias

Como saber se os treinamentos e a comunicação

está sendo efetiva?
• A alta administração suporta a área
de Compliance e está presente nas comuni-
cações mais importantes da companhia.
• As diretrizes da empresa estão claras
para todos os colaboradores.
• Os colaboradores estão atualizados
sobre os temas de Compliance, e realizam
os treinamentos periódicos dentro do prazo.
• Os colaboradores podem replicar os
ensinamentos de Compliance e as diretrizes
da empresa.

7
 10 PILARES DE UM PROGRAMA DE COMPLIANCE

6º Pilar – Canal de Denúncias

O que é o pilar de Canal de Denúncias?

Uma vez que os colaboradores estejam cientes das diretrizes da empresa, se faz necessário
um canal onde os colaboradores possam reportar possíveis infrações do Código de Conduta
da empresa.

O que eu preciso para implementar este pilar?

• Criar um canal onde todos os colab-
oradores e terceiros possam realizar uma
denúncia em segurança.
• Se possível, ter um canal que seja ad-
ministrado por um terceiro, mas isso não é
primordial na implementação de um canal
de denúncias.
• Identificar qual a melhor maneira de
implementar isso na sua companhia, um
canal de denúncias pode ser uma simples
caixa com um cadeado no banheiro.
• Realizar comunicações e treinamen-
tos sobre como utilizar o canal de maneira
correta.
• Garantir que os colaboradores pos-
sam fazer as denúncias de forma anônima.
• É preciso que a empresa seja trans-
parente e que não permita qualquer tipo de
retaliação sobre quem realizou a denúncia.

O que é imprescindível para a criação de um canal

de denúncias?
• Garantir a confiabilidade do canal.
• Ser transparente durante todo o pro-
cesso da denúncia, e se o denunciante se
identificar, ele precisa ser informado sobre
todo o andamento do processo.
• Garantir que ele seja aberto e amp-
lamente divulgado para colaboradores, e se
necessário para terceiros.
• O responsável pelo canal deverá
tratar as denúncias de forma totalmente
confidencial.

Como saber se o canal de denúncias está sendo efetivo?

• Os colaboradores entendem as dire-
trizes e usam o canal de forma correta.
• O canal de denúncias pode servir
como mecanismo de prevenção para detec-
tar possíveis assuntos e infrações que este-
jam acontecendo na empresa.
• Os colaboradores demonstram que
confiam no canal e também incentivam que
os outros colaboradores utilizem o canal
quando necessário.

8
 10 PILARES DE UM PROGRAMA DE COMPLIANCE

7º Pilar – Investigações Internas

O que é o pilar de Investigações Internas?

Após a realização de uma denúncia, seja ela por um descumprimento de uma diretriz in-
terna (políticas ou código de conduta), ou alguma infração legal, é necessário que uma investi-
gação interna se inicie. Em seguida, deve-se tomar as providências necessárias, com as devidas
correções e, conforme o caso, punições.

O que eu preciso para implementar este pilar?

• Possuir um canal de denúncias que
permita que colaboradores e terceiros pos-
sam realizar denúncias.
• Ter mecanismos para reunir todas as
evidências para o início de uma investigação.
• Identificar a veracidade das infor-
mações denunciadas.
• Elaborar o exato escopo da investi-
gação.
• Elaborar um plano de investigação
efetivo.
• Realizar a investigação de forma im-
parcial, precisa, sem especulações ou gener-
alizações, identificar os pontos fortes e fra-
cos das evidências.
• Utilizar de recursos de dentro da em-
presa quando necessário.

O que é imprescindível para uma investigação interna?

• Determinar quais os fatos serão in-
vestigados
• Determinar qual o período de tempo
relevante para a investigação
• Realizar entrevistas com os envolvi-
dos.
• Todas as entrevistas devem ser real-
izadas em caráter confidencial.
• Todos os dados da investigação pre-
cisam ser preservados.
• O formato do reporte da investigação
vai depender do objetivo e da audiência.

Alguns eventos que podem dar início a uma investigação:

• Canal de Denúncias • Due Diligence
• Auditoria externa e interna • Investigações do governo
• Entrevista de desligamento • Notícia que saiu na mídia

Como saber se a condução da investigação

interna foi efetiva?
• Processo é conduzido de manei-
ra confidencial, sem expor nenhuma das
partes.
• Os documentos são armazenados de
forma segura, e os dados dos envolvidos é
preservado.
• A investigação é capaz de identificar
uma infração e prevenir perdas futuras.
• Caso a denúncia não seja proceden-
te, os investigadores conseguem distinguir e
encerrar o caso com precisão.

9
 10 PILARES DE UM PROGRAMA DE COMPLIANCE

8º Pilar – Due Diligence

O que é o pilar de Due Diligence?

Quando fazemos negócios com terceiros, é de tamanha importância que saibamos com
quem estamos fazendo negócio, para preservar a reputação de ambas as partes. O progra-
ma de Compliance não pode ficar restrito ao comportamento da organização. Fornecedores,
representantes, distribuidores e outros parceiros devem ser submetidos a uma rigorosa due
diligence. Ou seja, é importante avaliar o histórico de cada um deles antes de se estabelecer
uma relação contratual.

O que eu preciso para implementar este pilar?

• Conhecer a organização e entender
seu modelo de negócio.
• Definir o escopo de atuação: fornece-
dores, parceiros, clientes, prestadores de
serviço.
• Priorizar os maiores riscos nos quais
a empresa está exposta.
• Verifique quais sistemas estão dis-
poníveis para realizar as análises.
• Verifique os aspectos legais que pre-
cisam ser considerados nas análises de due
diligence, e se haverá diferença de análise
de acordo com o risco da operação.
• Analisar os resultados de forma críti-
ca e analítica.
• Redigir pareceres de acordo com o
que foi encontrado na análise, e quais os
pontos positivos e negativos para início da
parceria.

O que deve ser verificado numa análise de

due diligence?
• Nome completo dos players
• Data de nascimento
• Nacionalidade
• Posição societária
• Base PEP – verificar se aquela pessoa
é politicamente exposta.
• Pesquisa de mídia – verificar se existe
alguma notícia desabonadora.
• Processos legais, principalmente na
esfera criminal.
• World check para verificar se há im-
pedimentos em outros países
• Portal da Transparência
• Consulta de CPF / CNPJ
• Outras ferramentas como: Serasa /
Boa Vista

Como saber se o pilar de due diligence está sendo efetivo?

• Áreas confiam no parecer da área
de Compliance, compreendem os riscos ex-
postos e tendem a concordar com a decisão
sugerida.
• Parcerias sólidas e com empresas /
pessoas, que não expõe a companhia ao ri-
sco.
• Cultura organizacional bem definida
perante este pilar.
• Tema reputacional como parte do
código de conduta e presente nas cláusulas
de contrato dos parceiros de negócio.

10
 10 PILARES DE UM PROGRAMA DE COMPLIANCE

9º Pilar – Auditoria e Monitoramento

O que é o pilar de auditoria e monitoramento?

Este é o pilar que, após colocar em prática todos os ensinamentos acima, funciona como
manutenção do programa de Compliance. O monitoramento de indicadores, de políticas e de
atividades, é essencial para verificar se a empresa, colaboradores e terceiros, estão cumprindo
com as diretrizes estabelecidas.

O que eu preciso para implementar este pilar?

Monitoramento:
• Listar os maiores riscos, políticas que • Criar métricas e indicadores de
necessitam de controles e monitoramento. performance, riscos e controles, também
• Conhecer os mecanismos de Con- chamados de KPIs, KRIs, KCIs.
troles de Riscos
Auditoria:
• Acompanhar os indicadores de cada
• Mapear os processos
um dos riscos.
• Identificar os riscos
• Avaliar periodicamente a eficiência,
eficácia e coerência dos controles estabele- • Qualificar os riscos
cidos. • Identificar os controles
• Acompanhar quais os pontos falhos • Testar as transações realizadas pela
dos controles levantados pela auditoria. companhia.

O que é essencial em uma auditoria?

• Ser independente e objetiva
• Não participar dos processos de negócio
• Pode ser um time próprio ou terceirizado
• Deve emitir pareceres de acordo
com as amostras avaliadas dos controles ex-
istentes, levando em consideração sua eficá-
cia, eficiência e relevância para o processo.

Quais monitoramentos são essenciais num

programa de Compliance?
• Monitoramento do relacionamento • Monitoramento do controle de via-
de parceiros e fornecedores. gens corporativas.
• Monitoramento dos conflitos de in- • Monitoramento do controle de trein-
teresses da empresa. amentos de Compliance.
• Monitoramento do controle de Oper-
ações Financeiras.

Como expor os resultados do monitoramento

e auditoria para a alta administração?
• Crie painéis demonstrando seus indi- • Atenção aos gráficos que serão uti-
cadores. lizados para expor uma informação.
• Procure criar uma história com seus • Evite utilizar muitas cores no seu ma-
indicadores. terial, isto pode confundir sua audiência.
• Evidencie indicadores que miram nos
objetivos da audiência.

11
 10 PILARES DE UM PROGRAMA DE COMPLIANCE
10º Pilar – Diversidade e Inclusão
O que é o pilar de diversidade e inclusão?
Este é o mais novo pilar do programa de Compliance. Este pilar deve dar diretrizes sobre a
gestão da implementação de um programa de diversidade e inclusão na empresa.
O que eu preciso para implementar este pilar?
• Entender com a alta administração
qual é a abordagem que será utilizada per-
ante o tema.
• Mapear o perfil dos colaboradores da
sua empresa, entender qual o cenário atual
da sua empresa.
• Revisar o código de conduta da com-
panhia e inserir tópicos de diversidade e in-
clusão, principalmente no que tange o tema
respeito .
O que comunicar?
• Divulgar os indicadores de diversi-
dade e inclusão da companhia e evidencie a
importância de ter uma empresa mais diver-
sa e inclusiva.
• Faça ações e treinamentos sobre
ações afirmativas, vieses inconscientes, es-
tereótipos.
Como comunicar?
• A alta administração precisa ser pro-
tagonista e encabeçar as comunicações so-
bre o tema.
• Crie pílulas de conhecimento sobre o
tema, distribua para todos os colaboradores,
seja de forma física ou virtual.
• Promova encontros de discussões
Como saber se o pilar está sendo efetivo?
• Os colaboradores seguem o que diz o
código de conduta, e promovem o respeito
ao próximo.
• Quando o código de conduta é desre-
speitado, o canal de denúncias é acionado.
• A alta administração lidera a mu-
dança cultural e promove ações que vem do
topo para baixo.
12
• Promover a conscientização dos co-
laboradores sobre o tema.
• Ser claro e transparente quanto à
conduta esperada pelos colaboradores.
• Ter um tópico do canal de denúncias
dedicado ao tema de diversidade e inclusão.
• Dar apoio a área de Comunicação da
empresa, enfatizando que essa é uma das
diretrizes da empresa.
• Deixe claro que todos possuem sua
individualidade, e que o respeito ao próximo
é uma das condutas esperadas.
• Divulgue que no seu canal de denún-
cias tem um tópico dedicado ao tema, e que
existem pessoas preparadas para tratá-los.
sobre o tema. Se possível, traga alguém es-
pecializado no tema para falar com os colab-
oradores.
• Faça comunicações periódicas sobre
o tema, diversificando os canais de comuni-
cação (e-mail, mural, redes sociais internas)
• Políticas de RH, incluindo temas de
remuneração são revistas, inclusive a políti-
ca de remuneração.
• A empresa trata o tema de forma ma-
dura, e uma vez que o tema esteja enraizado
na cultura organizacional, uma política de di-
versidade e inclusão poderá ser criada.
 DESCUBRA COMO SE DESTACAR NO
NOVO MERCADO DE COMPLIANCE

CLIQUE AQUI

Para acessar a página do evento

contato@lec.com.br +55 11 3259-2837 www.lec.com.br/xpto