LEC – Compliance

Parte online

Módulo 1

COMPLIANCE OVERVIEW

Origem do compliance foi no caso Watergate (estudar sobre).

FCPA – Lei americana.
Caso ENRON: Em 2001 foi constatado que a empresa fazia “contabilidade criativa”, contabilizando como
resultado negócios futuros que não deveriam o ser, e não pagando impostos sobre os valores que declarava
ter em caixa (e que não tinha, de fato). Ações da empresa foram de USD 80 para USD 0,30 em 2001.
Em 2002, surgiu a SOX (estudar sobre). Com isso, começou-se a exigir das empresas que atuam nas bolsas
americanas outros controles.
Caso SIEMENS: Havia um sistema de corrupção interno muito grande na empresa, que costumava pagar
propina aos governos, para divulgação e compra de seus produtos. Estima-se que USD 1,4 bi foram pagos em
propina pela SIEMENS a oficiais de governo ao redor do mundo. SIEMENS foi multada em aproximadamente
USD 1,8 bi nos EUA e na Alemanha em função da corrupção, sendo o primeiro caso de punição à empresa
estrangeira, feito pelo governo americano.
Compliance nasce como defensivo.
Pilares do compliance: prevenir, detectar e responder. O ideal é prevenir, se não conseguir, deve poder
detectar e responder de maneira rápida e adequada. Estes pilares são aplicáveis a todo e qualquer programa
de compliance.

Triângulo da fraude:

OPORTUNIDADE + NECESSIDADE + RACIONALIZAÇÃO

Diamante da fraude:
Posição de autoridade + compreender e explorar e burlar os sistemas de controle interno + confiança do
fraudador de que não será detectado ou, se for, sairá da situação com facilidade + capacidade de lidar com o
estresse quando o fraudador comete o ato reprovável.
 FRAUDE E CORRUPÇÃO

KPMG – Perfil do fraudador: entre 36 e 55 anos, mais de 6 anos de casa e, na maioria das vezes, ocupa
funções nas áreas executiva, financeira, operacional, vendas ou marketing.

Programa de compliance vai muito além de anticorrupção, também combate fraude, estabelece
procedimentos corretos e éticos aos colaboradores da empresa.

Consequências da corrupção:
- Danos à imagem;
- Monitoramento governamental;
- Mudanças legislativas;
- Multas milionárias;
- Redução do ROI (Retorno do Investimento);
- Perda de confiança dos investidores.

Corrupção tem reflexos sociais: Valores desviados deixam de ser investidos em políticas públicas.

CORRUPÇÃO E CONFLITO DE INTERESSES

Elementos do conflito de interesses na empresa:

- Agente;
- Interesse pessoal extraprofissional;
- Nexo de causalidade;
- Efeito.

PRESENTES, REFEIÇÕES E CORTESIAS COMERCIAIS

Fazem parte da atividade empresarial. Devem ser disciplinados no Código de Conduta e em política apartada.
Guia padrão de conduta de acordo com a Convenção das Nações Unidas (1966) e em melhores práticas de
compliance.

Agentes: art. 332 do Decreto Lei nº 2.848/40 (LOBBY). Ideal investigar o agente (due diligence) antes da
contratação.

Insider trading: utilização de informação relevante sobre a qual deveria manter sigilo, ainda não revelada ao
mercado, para obter vantagem indevida, para si ou para outrem, mediante negociação com valores
mobiliários (art. 27-D da Lei 6.385/76).

PILARES DO PROGRAMA DE COMPLIANCE

O suporte da alta administração da empresa é o pilar fundamental de um programa de compliance.

Requisitos principais para um bom programa de compliance:

- Autonomia para o profissional de compliance, para evitar que as decisões do profissional sejam
questionadas;
- Recurso financeiro, para viabilizar a implementação do necessário para o programa de compliance;
- Acesso à informação, para que o profissional de compliance consiga identificar mais rápido eventuais riscos
em novos projetos ou diretrizes da empresa.
Profissional de compliance deve se apresentar como parte da solução e junto à diretoria, não antes ou
depois, nem mais ou menos importante que outras áreas.

Risk assessment (análise de risco) também é um pilar de um programa de compliance, e deve ser desenhado
sob medida para cada empresa, de acordo com os riscos que cada empresa efetivamente enfrenta.
Importante relativizar os riscos, ou seja, colocar um diante do outro e priorizar o que de fato é mais grave ou
menos grave. Dar mais atenção e recursos aos riscos mais importantes e graves.

Políticas de compliance como normas internas de como agir.

Código de Conduta: Primeira política de compliance, tanto interna quanto externa (abrange fornecedores,
além dos colaboradores), que vai definir diretrizes, leis aplicáveis, e vai reger as atitudes e relações. Código
de conduta devem introduzir TODOS os tópicos de compliance, que serão detalhados em outra política.

Código de Ética traz os valores da empresa (integridade, cumprimento da lei, tratamento a clientes),
enquanto o Código de Conduta traz as diretrizes para os colaboradores e parceiros de como agir em seu
dia-a-dia, baseado nos valores do Código de Ética. Código de Conduta busca aderência dos colaboradores,
deve ser conciso e introdutório, deve ser acessível, tanto pela linguagem, tanto para pessoas com deficiência.

Profissional de compliance deve explicar o motivo pelo qual as políticas de compliance existem, para que
todos entendam o que devem ou não fazer, interpretando as situações reais, não apenas seguindo um
manual de “do” e “don’t”, que é limitado.

Importante que nos treinamentos de compliance haja a presença de executivos da empresa, para aumentar a
aderência, mostrando que o “chefe” está dando treinamento e assinando embaixo do que está sendo ali
falado.

Monitoramento é fundamental para verificar o funcionamento e aderência do programa de compliance.

Importante monitorar treinamentos, políticas, assim como monitorar constantemente os riscos, se estão de
acordo com os planejados originalmente, ou se houve alguma mudança nos riscos, que é o monitoramento
transacional. Monitorar estando presente, vendo, ouvindo e acompanhando a realidade da empresa, falando
com as pessoas, não somente ficando sentado na sala. O monitoramento pode ser feito diretamente pelo
profissional de compliance.

Auditoria deve ser externa, ou feita por um outro grupo da empresa, e vai avaliar tudo que está sendo feito,
inclusive o trabalho do compliance officer, de modo a validar os trabalhos.

Due diligence: Auditoria que deve ser feita nos fornecedores e parceiros externos da empresa, de modo a
averiguar os riscos no trabalho do fornecedor, e identificar todas as características necessárias pré e pós
contratação. Verificar doações políticas, sócios, área de negócio, histórico, etc, além da aderência do
fornecedor às políticas da empresa, verificando compatibilidades e incompatibilidades.

Canais de comunicação de denúncias:

Quase mandatório, atualmente, haver um canal de denúncias independentes e externos. Deve zelar pela
confidencialidade e ter o conceito de “não retaliação” muito claro, para que as pessoas que vierem a reportar
não sofrerem perseguições.

O compliance officer deve criar uma cultura que torne normal e certo o ato de “dedurar”. A denúncia deve
ser feita de uma maneira simples, ou seja, não devem ser criadas barreiras para um colaborador informar
uma não conformidade em algum negócio da empresa.
A investigação interna é uma apuração de fatos. O investigador não decide nada, apenas averigua. Deve ser
discreto, inteligente, imparcial. O antes e o depois da investigação são ainda mais importantes que a
investigação em si.

Se não houver uma punição/consequência, uma vez detectada a falha, o programa de compliance fica com a
imagem de fraco ou inútil, desacreditando os colaboradores.

LEGISLAÇÃO ANTICORRUPÇÃO

U. S. Foreign Corrupt Practices Act

Histórico:
Caso Watergate (1972)
SEC cria programa de reporte voluntário (1975)
Criação do FCPA (1977)

Quem está sujeito ao FCPA?

- “Issuers”: Empresas de capital aberto, americanas ou estrangeiras, registradas junto à SEC, ou com
obrigatoriedade de apresentar relatórios periódicos;
- “Domestic concerns”: Pessoa nascida ou residente nos EUA e qualquer sociedade (personificada ou não),
com o principal local de negócios nos EUA ou organizada segundo as leis americanas;
- “Foreign nationals and entities”: Qualquer pessoa física ou jurídica que cometa, enquanto nos EUA, ato em
prol da violação.
DIRIGENTES, DIRETORES, ACIONISTAS, FUNCIONÁRIOS OU DOS ACIMA TAMBÉM ESTÃO SUJEITOS.

Anticorrupção

Pagamento, oferecimento, promessa ou autorização de pagamento de qualquer soma em dinheiro (ou coisa
de valor:
- Simples promessa ou oferecimento não é suficiente;
- Lei não define o que é “coisa de valor”;
- Benefícios tangíveis ou intangíveis;
- Não há exceção para pequenos valores.

A funcionário público internacional, partido político e seus dirigentes ou candidatos:

- Funcionário público como definição ampla;
- Controle acionário: empresa pública / economia mista;
- Membros do conselho indicados pelo governo / poder de veto do governo;
- U. S. vs Joel Esquenazi and Carlos Rodriguez.

Direta ou indiretamente:
- Indiretamente requer “knowlege” (sabe que pagamento irá ocorrer ou tem probabilidade de ocorrer);
- Cegueira deliberada “willful blindness”;
- Especial atenção com terceiros;
- Incentivo ao due diligence.

Com intenção de corrompe-los:

- Influenciar ato ou decisão em sua função oficial;
- Não é necessário saber que está violando o FCPA;
- “Dolo” em fazer algo genericamente ilegal;
- Provas circunstanciais.
A fim de obter novos negócios ou manter os existentes:
- Interpretação ampla;
- Aplicável não somente à concessão ou à renovação de um contrato;
- U. S. vs Kay (Kay II).

Dispositivos contábeis e controles internos

Aplicáveis aos “issuers”.

Não é necessário existir corrupção.

Ver USAM 9-47.120 de 2017.

LEI ANTICORRUPÇÃO, COMPLIANCE E COMPLIANCE NA ADMINISTRAÇÃO PÚBLICA

Antes de 2013:

CF, art. 37, XXII, § 4º (LIMPE)

CP, art. 317 a 333
Lei 8.429/92 (Lei de Improbidade Administrativa)
Lei 8.666/93 (Lei de Licitações)

Em 2013: Lei 12.846/13.

LEGISLAÇÃO BRASILEIRA ANTICORRUPÇÃO

Lei 12.846/2013 (Lei Anticorrupção Brasileira). Regulamentação federal só veio em março de 2015 (Dec.
8.420/15).

Objetivo da Lei Anticorrupção é punir empresas pela prática de atos lesivos à administração pública (nacional
ou estrangeira). Sua consequência é a responsabilização administrativa e civil das empresas. Se aplica a
empresas com sede, filial ou representação no Brasil de qualquer porte ou tipo, a seus controladores,
controladas, coligadas ou consorciadas. Empresas coligadas respondem solidariamente no limite da
reparação do dano e pagamento da multa. Responsabilização da empresa, na Lei Anticorrupção, é objetiva.

Atos lesivos:
- Negociar vantagem indevida com agente público ou terceiro relacionado;
- Custear a prática de atos ilícitos previstos na Lei Anticorrupção;
- Valer-se de terceiro para dissimular interesses e beneficiários;
- Dificultar ou intervir na fiscalização ou investigação realizada por agentes/órgãos públicos;
- Fraudar, impedir, manipular e obter vantagem indevida em licitações ou contratos relacionados.

Processo Administrativo de Responsabilização (PAR):

- Autoridade máxima de cada órgão do respectivo Poder ou a CGU (competência concorrente), e CGU
apenas, em caso de autoridade estrangeiras, possuem competência para instaurar e julgar o PAR;
- A condução da investigação é feita por comissão designada, formada por dois servidores estáveis;
- O prazo do processo é de 180 dias (prorrogáveis), para apresentação de relatório conclusivo, mais 30 dias
para o investigado se manifestar;
- Podem ser tomadas medidas cautelares no curso do processo, tais como busca e apreensão, suspensão
cautelar do ato investigado e desconsideração da personalidade jurídica da empresa.
Consequências do PAR:
- Reparação do dano;
- Inscrição da empresa nos cadastros negativos (Cadastro Nacional de Empresas Punidas – CNEP e Cadastro
Nacional de Empresas Inidôneas e Suspeitas – CEIS);
- Multa de até 20% do faturamento bruto do ano anterior à instauração do processo ou R$ 60 milhões (nunca
inferior à vantagem obtida);
- Publicação da decisão condenatória em meio de comunicação de grande circulação sob as expensas da
condenada.

Acordo de Leniência:
- Acordo feito pela empresa com a administração pública;
- Pode permitir a isenção das penas de publicação da decisão condenatória e vedação ao recebimento de
incentivos, além da redução da multa em até 2/3;
- Empresa deve ser a primeira a se manifestar, se reportando à Administração Pública, confessando o ato de
improbidade, cessar seu envolvimento no ato lesivo e cooperar pena e permanentemente com investigações;
- Sanções específicas em caso de descumprimento do acordo de leniência (impedimento para celebrar outro
acordo por 3 anos e validação das informações e documentos entregues pela empresa, podendo se converter
em desfavor dela);
- IN 74/2015: TCU é responsável pela fiscalização dos acordos de leniência celebrados com a administração
pública federal (para formular o acordo de leniência, pela lei, autoridade máxima, pelo decreto, CGU).

Processo Judicial de Responsabilização (PJR):

- Competência é das Advocacias Públicas e Ministérios Públicos;
- Sanções são mais severas que no PAR, como bloqueio cautelar de bens para garantia do pagamento da
multa, perdimento de bens, direitos e valores que decorram dos atos lesivos, proibição de receber incentivos,
subsídios, subvenções, doações ou até empréstimos públicos por 5 anos, suspensão ou interdição parcial das
atividades da empresa, ou até a dissolução compulsória da empresa.

DECRETO 8.420/2015
Regulamentou a Lei Anticorrupção

- Define o rito do PAR;

- Estabelece parâmetros para aplicação de sanções administrativas (dosimetria da pena);
- Define critério para Programa de Compliance;
- Dispõe as informações divulgadas pelo CNEP e pelo CEIS;
- Prevê os requisitos para a celebração de acordo de leniência na esfera federal.
- Caso a empresa não cumpra voluntariamente a sanção, este crédito vai para a Dívida Ativa, com
consequente Execução Fiscal do mesmo.
Acordo de leniência e colaboração premiada no Dec. 8.420/2015:
- A proposta do acordo poderá ser feita até a conclusão do relatório a ser elaborado no PAR, recebendo
tratamento sigiloso, salvo se acordado de maneira diversa entre as partes;
- A negociação da proposta de acordo deverá ser concluída no prazo de 180 dias, contados da data de
apresentação da proposta, prorrogável a critério da CGU;
- A colaboração da pessoa jurídica deverá resultar na (i) identificação dos demais envolvidos na infração
administrativa, e (ii) obtenção rápida de informações e documentos que comprovem a infração em apuração.

Efeitos pós acordo de leniência:

- Isenção da publicação extraordinária da decisão administrativa sancionadora;
- Isenção da proibição de receber incentivos e subsídios;
- Redução do valor final da multa aplicável em até 2/3;
- Isenção ou atenuação das sanções administrativas previstas nos art. 86 a 88 da Lei 8.666/93.
Os efeitos do acordo se estendem às pessoas jurídicas integrantes do grupo econômico, desde que tenham
firmado o acordo em conjunto.

PORTARIA 909/2015 – CGU

- Disciplina a avaliação dos programas de compliance, definindo o conteúdo do Relatório de Perfil e do
Relatório de Conformidade do programa;
- Relatório de perfil: Área de atuação da empresa, responsáveis por sua administração, quantitativo de
empregados, estrutura organizacional e o nível de relacionamento com o setor público (principais
autorizações e licenças governamentais, valor aproximado dos contratos celebrados e quais agentes
intermediários foram usados nesse relacionamento);
- Relatório de Conformidade: Funcionamento das medidas de integridade adotadas e como contribuem para
a prevenção, detecção ou solução de eventuais atos lesivos objeto de apuração.
- Programas meramente formais, sem qualquer tipo de aplicação e ineficazes, ou criados após o ato
investigado, não serão considerados para redução da multa.

PORTARIA 910/2015 – CGU

- Estabelece critérios e procedimento para celebração de acordo de leniência previsto na Lei Anticorrupção;
- Ratifica sobre a competência concorrente da CGU com os demais órgãos e entidades do Poder Executivo
Federal para instaurar o PAR em casos de maior complexidade, repercussão e relevância, ou acompanhar e
supervisionar PAR instaurado no âmbito do Poder Executivo Federal;
- Detalha os procedimentos do PAR em âmbito federal:
> Instauração: competência do Secretário-Executivo da CGU por meio de publicação de portaria indicando
nome, cargo e matrícula dos membros integrantes e indicação do membro que presidirá a comissão e prazo
para conclusão do processo. Intimação do Requerido;
> Instrução: cabíveis todos os meios de prova admitidos em lei. Intimação para defesa e provas no prazo de
30 dias;
> Relatório Final: sugestão das sanções a serem aplicadas ou de arquivamento do PAR;
> Julgamento: pela autoridade competente, do qual caberá pedido de reconsideração.

INSTRUÇÃO NORMATIVA 1/2015 – CGU

- Estabelece a metodologia para apuração do faturamento bruto e dos tributos a serem excluídos, para fins
do cálculo da multa.

INSTRUÇÃO NORMATIVA 2/2015 – CGU

- Regula o registro de informações no CEIS e CNEP, em sistema mantido pela própria CGU;
- Possibilita a inclusão de informações sobre sanções por órgãos estrangeiros (banco de dados internacional).

PORTARIA CONJUNTA 2.279/2015 – CGU e SMPE

- Empresas de pequeno porte e microempresas;
- Regras mais simples e menor rigor formal;
- Comprovação das ações e pilares de compliance: documentos oficiais, e-mails, manuais e relatórios.

ATENÇÃO
- Responsabilidade objetiva, ou seja, a mera prática do ato lesivo justifica a punição;
- A responsabilização administrativa e civil da empresa não exclui a responsabilização individual de dirigentes
e administradores (civil e criminal);
- A Lei Anticorrupção não exclui a aplicação de outras leis;
- Prescrição: 5 anos

COMPLIANCE NA ADMINISTRAÇÃO PÚBLICA (Lei das Estatais – 13.303/2016)

- É norma de Direito Administrativo, pois dispõe sobre o estatuto jurídico da empresa pública, sociedade de
economia mista e suas subsidiárias.
- Disciplina a exploração direta de atividades econômicas pelo Estado, por intermédio de suas empresas
públicas e sociedades de economia mista (art. 173, CF/88).

Art. 3º e 4º:
- Empresa pública: pessoa jurídica de direito privado com criação autorizada por lei e com patrimônio
próprio, cujo capital social é integralmente detido pela União, Estados, DF ou Municípios. Pode ter
participação de outras PJ de direito público interno e de outras entidades da administração pública indireta,
desde que a maioria do capital pertença à União, Estados, DF ou Municípios.
- Sociedade de economia mista: pessoa jurídica de direito privado com criação autorizada por lei, sob forma
de sociedade anônima, cujas ações com direito à voto pertençam, em sua maioria, à União, Estados, DF ou
Municípios, ou à entidade da administração indireta.

Art. 1º:
- Todas as empresas públicas ou sociedades de economia mista federais, estaduais, distritais ou municipais.
- Não faz distinção em relação a empresas exploradoras de atividade econômica e prestadoras de serviço, ou
seja, independente da área, a norma é aplicável.
- Empresa pública ou sociedade de economia mista que participe de consórcio na condição de operadora.
- Sociedade controlada por empresa pública ou sociedade de economia mista, inclusive SPE.
- Algumas disposições não se aplicam a empresa pública ou sociedade de economia mista com receita
operacional bruta inferior a R$ 90M no exercício anterior.

Art. 6º - Regras de compliance

- Governança corporativa;
- Transparência;
- Gestão de riscos;
- Controle interno;
- Composição da Administração;
- Proteção aos acionistas.

Art. 8º - Transparência:
- Elaboração de Carta Pública Anual com objetivos de políticas públicas, interesse coletivo, ou segurança
nacional, justificativa de criação e impactos econômicos objetivos;
- Adequação do Estatuto à legislação que a criou;
- Divulgação de estrutura de controle, fatores de risco, dados econômico-financeiros, comentários dos
administradores sobre desempenho, políticas e práticas de governança corporativa, composição e
remuneração;
- Elaboração de políticas de divisão de dividendos, divulgação de melhores práticas, de transações e
competitividade.

Art. 9º - Áreas Internas (previstas em Estatuto):

- Controles internos e gestão de risco: vinculada ao diretor-presidente, liderada por diretor estatutário, para
implementação e fiscalização de controle interno para administradores e empregados e gestão de risco;
- Compliance: reporte direto ao Conselho de Administração, responsável pela implementação e cumprimento
de obrigações de integridade;
- Auditoria Interna: vinculada ao Conselho de Administração, diretamente ou por meio de Comitê de
Auditoria Estatutário, para aferir o controle interno, gerenciamento de riscos, processos de governança e
confiabilidade das demonstrações financeiras;
- Conformidade: comitê estatutário para verificar a conformidade para indicações de membros os Conselho
de Administração e Conselho Fiscal.

Art. 9º, §1º - Medidas de Integridade:

- Código de Conduta com princípios, valores e missão, contendo prevenção de conflito de interesses e
vedação de atos de corrupção e fraude;
- Instâncias internas responsáveis pela atualização e aplicação do Código de Conduta e Integridade;
- Canal de Denúncias;
- Mecanismos de proteção ao denunciante;
- Sanções aplicáveis em caso de violação às regras;
- Previsão de treinamento periódico, ao mínimo 1 vez ao ano, sobre Código de Conduta e Integridade
(empregados e administradores) e política de gestão de risco (administradores).

COMPARATIVO:

Módulo 2

SUPORTE DA ALTA ADMINISTRAÇÃO

É o principal e PRIMEIRO pilar de um programa de Compliance, já que sem ele o programa não existe. Mostra
o comprometimento da administração com o compliance.
O reporte da área de Compliance, via de regra, é feito para a alta administração (C-Level).
Sem o comprometimento da alta administração, não pode haver comprometimento dos demais funcionários.

Guia da OCDE / UKBA Guidance / FCPA Guide trazem o que esperam do comprometimento da alta
administração.

Guias Nacionais: Diretrizes CGU / Guia compliance CADE / DSC 10.000.

DSC 10.000: Criado para avaliação e certificação em compliance. É mais procedimental que os demais guias.
Fala que a alta direção deve fornecer evidência de seu envolvimento e comprometimento com o programa
de compliance.
Compliance é ligado diretamente à cultura corporativa, seja a existente ou a que será criada.

O responsável por compliance (não há exigência que haja uma área dedicada a isto, mas deve haver
responsável pelas funções) deve ter autonomia e independência, ou seja, o compliance deve ser vivo e estar
envolvido nas estratégias, assim como a alta administração participa do compliance. O responsável por
compliance deve ter o poder de influenciar as decisões da empresa, não pode ser meramente figurativo.

A alta administração deve garantir a investigação de denúncias, mesmo que haja envolvimento de seus
membros, garantir o reporte direto e mecanismos contra punições indevidas da área de compliance.

A alta administração deve dar ao compliance a autonomia necessária para a implantação, treinamento e
providências que porventura devam ser tomadas pela área, assim como incentivar a transparência na
empresa, sem apontar o denunciante como traidor.

A alta administração deve garantir a coerência, ou seja, tratar problemas iguais de forma igual, não podendo
adotar a política “dois pesos e duas medidas”.

Podem ser incluídos na avaliação de desempenho critérios de compliance, ou seja, o quanto o empregado
participa e incentiva o compliance e os códigos de ética e conduta da empresa. Nunca deve a empresa
promover alguém que está sob investigação interna, já que passa um péssimo exemplo.

Pode ser criado um incentivo (brindes, viagens, etc) por participação de funcionários em compliance, quando
se destacarem.

Como comprovar o compromisso da alta administração?

- Incorporar o compliance nos discursos e manifestos da alta administração (atas de reuniões e
comunicados);
- Incluir a efetividade das ações de compliance como pauta permanente, inclusive na média gerência;
- Declaração pública sobre a importância dos valores da corporação;
- Supervisão e acompanhamento do programa de compliance;
- Participação dos membros da alta administração em treinamentos e palestras.

Participação da alta administração em ilícitos pode majorar penalidades.

RISK ASSESSMENT

Avaliação de riscos como 1º pilar de um programa de compliance.

Importante conhecer o modelo de negócios da empresa, de modo a realizar a correta e acertada avaliação de
riscos.

1ª ETAPA – Entrevista (bate-papo): identificar as áreas principais e profissionais-chave. Perguntar a tais

profissionais sobre rotina, problemas, riscos, etc. Montar um plano de ação. Fazer um roteiro com perguntas
prévias, como forma de guia. Pedir para a pessoa contar a história dela na empresa e dividir algum risco de
ética e integridade corporativa que ela entenda que exista em suas tarefas.

Após entrevistas, construir um relatório com os riscos e a forma de mitigação de cada um.

2ª ETAPA – Verificar e construir POPs (Procedimentos Operacionais Padrão): analisar os normativos já

existentes, verificando se atendem aos riscos identificados, de modo a ter políticas aderentes ao caso
concreto.
3ª ETAPA – Verificação das contas sensíveis / Testes nas notas fiscais
Financeiro como grande parceiro do Compliance Officer.
Categorização de terceiros, de modo a entender se pode haver fraude ou corrupção. Ver as empresas que
emitiram notas sensíveis.

Serviços de consultoria como notas sensíveis. Analisar a empresa, por meio de banco de dados públicos,
procurando investigações em nome da empresa. Verificar o preço justo de mercado, analisando se o preço
pago para a consultoria em questão está fora do mercado, salvo se por motivo bastante plausível.

Verificar a relação contratual das empresas das notas sensíveis. Há cláusulas anticorrupção? O contrato está
assinado?

4ª ETAPA – Categorização de terceiros / Faxina no cadastro

Verificação se há necessidade de tantos terceiros. Criar os filtros para a faxina, baseado no caso concreto.
Categorizar os terceiros em alto, médio e baixo risco e, com isso, descobrir quem requer maior atenção e
uma due diligence mais aprofundada (DDI – Due Diligence de Integridade).

DOCUMENTAR COMO A COISA MAIS IMPORTANTE PARA O COMPLIANCE.

5ª ETAPA – Relatório final de risco

Incluir todos os riscos encontrados e recomendações para mitigação de tais riscos. Importante haver um
índice no relatório, para facilitar a leitura.
Fazer sumário executivo, resumindo as principais red flags encontradas, para facilitar a visualização pela alta
administração.
Pontuar detalhadamente todos os riscos.
Pontuar as principais recomendações de mitigação dos riscos encontrados.
Não esquecer de pontuar pessoas entrevistadas, documentos analisados, etc.
Concluir o relatório com os próximos passos a serem tomados pela corporação, com base no que foi
explanado no documento.
Fazer planilha abaixo (Matriz de Riscos):

RISK ASSESSMENT NA PRÁTICA

BASES LEGAIS:
- FCPA (Consultar “A Resource Guide to the U.S. Foreign Corrupt Practices Act”): Capítulo 5 do Guide diz que,
no âmbito da FCPA, o Risk Assessment é obrigatório.
- UKBA (Consultar “Guidance about procedures which relevant comercial organisations can put into place to
prevent...): Risk Assessment como terceiro princípio para prevenção de corrupção.
- Lei 12.846/13 > Dec. 8.420/15: Art. 42 define os parâmetros de avaliação de um programa de integridade, e
um destes é o Risk Assessment periódico. A análise periódica do risco pode reduzir a pena em um PAR de 1 a
4% do faturamento.
- CGU (Diretrizes): 3º pilar é a análise de perfil e riscos.

SINGULARIDADE E PERIODICIDADE:
Não há programas de compliance iguais, logo, não há Risk Assessment iguais. Cada um é singular e tem que
ser feito baseado nos riscos efetivos de cada organização.
Também não pode ser feito o Risk Assessment uma única vez, pois os riscos são mutáveis ao longo do tempo,
o que faz com quem o Risk Assessment deve ser periódico, para que seja mantido sempre atualizado e
aplicável à rotina empresarial.
O Risk Assessment periódico pode levar a atualização de POPs, criação de novos controles, identificação de
necessidade de treinamentos, mudanças de estratégia, etc.

CONCEITO:
Processo destinado a identificar os riscos de Compliance aos quais a empresa está exposta, quais os fatores
de risco existentes, qual o impacto potencial na organização e a probabilidade de materialização, quais as
medidas mitigatórias já existentes, quais devem ser aprimoradas ou criadas (ou suprimidas), qual o plano de
implantação dos ajustes às medidas mitigatórias e como este será monitorado pela Unidade de Compliance.
NA PRÁTICA:

0- Conheça sua organização, sua atividade, perfil dos funcionários, seus clientes e fornecedores, os riscos já
materializados, o que eventualmente já foi trazido pela ouvidoria ou canal de denúncias, a realidade do
mercado e outros elementos relevantes.

1- Conheça sua jurisdição/fontes: leis às quais a organização está sujeita, sejam nacionais ou internacionais,
código de conduta da empresa, materiais de treinamento, relatórios de auditoria, etc.

2- Elaboração de grade de riscos/fatores de risco: elencar os riscos, seu grupo de risco (corrupção, etc),
impacto e probabilidade.

3- Matriz de Impacto e Probabilidade:

4- Apurar o grau de risco inerente: analisa os graus de risco aos quais a corporação já está naturalmente
exposta, pela sua simples existência. Desconsidera controles mitigatórios já existentes e considera apenas a
cultura e o ambiente.

5- Planejar as entrevistas: identificar os donos de processos das diversas áreas da corporação. Correlacionar
as áreas com os fatores de risco aos quais elas estão expostas. Avaliar quantas entrevistas e com quais temas
deverá realizar. Realizar as entrevistas: donos de processos vão criticar as classificações do risco inerente e
apontas as medidas mitigatórias existentes. Entrevistador + entrevistado = risco residual ou atual + plano de
ação para medidas mitigatórias.
Risco residual = grau de risco ao qual a organização está exposta considerando as medidas mitigatórias já em
prática.

6- Estratégias de tratamento de riscos:

- Evitar: risco muito acentuado e de difícil mitigação. Interromper a atividade que materializa o risco;
- Reduzir: há estratégia viável para reduzir impacto e/ou probabilidade. Necessita de plano de ação;
- Transferir/Compartilhar: quando é possível a transferência o compartilhamento do risco com terceiros
(seguros ou transporte de valores por empresa especializada);
- Aceitar: risco residual já em padrões desejáveis ou aceitáveis, ou quando as ações de mitigação não são
viáveis em uma avaliação custo x benefício.

7- Montar a matriz de risco desejável ou target

Matriz que representa o impacto e a probabilidade desejáveis para cada risco. Situar, lado a lado, as 3
matrizes (inerente, residual e desejável), com identificação visual de (i) status atual em relação aos riscos e
(ii) para quais níveis a organização será levada com as medidas de mitigação.

8- Monitoramento da execução do plano de ação

Não basta montar o plano de ação, mas é necessário acompanha-lo e auxiliar na sua efetividade, ajustando o
plano, caso necessário, ao longo do tempo. Necessária implementação de controles para monitoramento e
monitorar tais controles.

CRIAR EVIDÊNCIAS DO PROCESSO DE RISK ASSESSMENT. CRIAR ATAS DE REUNIÕES, ENTREVISTAS. REGISTRAR
O AVANÇO DE CADA PASSO DO PLANO DE AÇÃO.
Como priorizar:
- Por relevância de riscos (mais econômico e rápido): começar pelos riscos mais severos e ir até os mais leves.
- Por relevância de áreas (quando alguns setores concentram maior risco): decisão a ser tomada apenas no
passo 5.

Chief Compliance Officer não pode se isolar da liderança! Sempre se reportar à liderança. Mostrar trabalho e
resultados.

POLÍTICAS E PROCEDIMENTOS DE COMPLIANCE

Motivos:
- Formalização do programa de compliance, do que é importante dentro do programa;
- Criar uma referência que vai guiar os funcionários em suas atitudes e decisões diárias.

Políticas devem ser simples e bem explicados, pois se aplicam a todos os funcionários da empresa e todos
precisam saber ler e entender por conta própria.

Políticas são o topo da pirâmide, normas vêm abaixo, e procedimentos operacionais padrão abaixo.

Quais são as políticas de compliance?

- 1º Grupo: Tópicos de compliance (se o risco de corrupção é alto, trabalha-se com uma política
anticorrupção, etc). O Código de Conduta é o principal e inicial documento deste Grupo.
Ética X Conduta
Ética é sinônimo de valores. Não há como haver um código de ética, pois valores são pessoais e não há como
estipular as mesmas por um código.
Conduta é como agir. Não está ligada aos valores, pois a conduta é como você vai agir, não necessariamente
como pensa relativamente a um assunto. A conduta é possível de ser determinada.

Código de Conduta: dá o “Norte” aos funcionários da empresa sobre padrões de comportamento esperado.
Deve dar o pontapé inicial para os diversos tópicos de compliance, que serão detalhados em outras políticas.
Deve ser curto o suficiente para ser lembrado. Deve ser de fácil entendimento. Deve ser único, ou seja,
apenas um código para a empresa toda. Não pode ser composto de “juridiquês”. Exemplificar e explicar. Deve
estar acessível, tanto para pessoas com deficiência, quanto para estrangeiros, em caso de operações em
outros países. Deve haver relação entre as políticas de compliance e os tópicos do código de conduta, não
pode estar faltando, nem um, nem outro. Deve funcionar para a realidade da corporação, ou seja, o que
funciona para a empresa.

- 2º Grupo: Definição dos processos internos de compliance. Descrever cada pilar do programa de
compliance com uma política.

RISCOS E CONTROLES INTERNOS

Risco: Evento negativo que pode influir no atingimento de um objetivo.

Gerenciar riscos é identificar e mensurar riscos, definindo a estratégia para lidar com eles.

Controle interno é processo implementado pela organização que é formado por programas, pessoas, coisas,
sistemas, de forma permanente. Dá uma razoável segurança de que os riscos estão sob controle.

Controle interno pode ser preventivo (garante que o risco não irá se materializar) ou detectivo (identifica
erros que já ocorreram).
Controle preventivo e automatizado é o mais eficaz, mas também o mais caro. É ideal medir o tamanho e
preço do risco para definir o melhor controle, seja preventivo ou detectivo, automatizado ou manual.

Controles podem ser aprovações, análises, segregação de função em compras, relatórios de análise de
tendências.

O controle interno permite monitorar o programa de compliance, de forma a verificar se o que foi
estabelecido está sendo feito na prática. O controle deve ser bem desenhado e bem executado.

Monitoramento e detecção.

TREINAMENTO E COMUNICAÇÃO

- Guia da OCDE;
- Guia do UKBA;
- Guia do FCPA;
- Guia da CGU;
- Guia do CADE;
- DSC 10.000.

Todos os guias acima mencionam o treinamento e a comunicação como necessários para o programa de
compliance.

Sem comunicação e informação, cada um faz o que bem entende, da maneira que deseja.

Comunicação deve ser direta e clara, e repetitiva.

A alta administração deve ser comunicada sempre de tudo que acontece no programa de compliance e deve
ser treinada separadamente, um treino específico para eles, assim como participar do treinamento dado aos
demais colaboradores, para mostrar o apoio ao processo.

É importante comunicar o plano da análise de riscos, de modo a conseguir a melhor colaboração de todos.

Essencial comunicar acerca do monitoramento, como é feito, e etc.

Treinamento:
- Meta de 100% das pessoas treinadas;
- Importante ter atenção total dos treinados, ou seja, fazer de forma leve e didática.

O treinamento pode ser feito em nichos, ou seja, algumas partes do treinamento podem ser dadas somente
para as áreas que lidam com aqueles riscos. A parte geral do treinamento, sobre linhas gerais do programa,
deve ser aplicada a todos os funcionários.
Denúncias:
- Comunicação deve acabar com a imagem de que a denúncia é ruim;
- Treinar as pessoas para que saibam identificar as bandeiras vermelhas / sinais de alerta;
- Identificar, caso aplicável, como colocar os incentivos ao compliance dentro do contexto.

Investigação e medidas disciplinares:

- Não exceder a privacidade do investigado, ao comunicar os resultados de investigações;
- Caso os dados sejam sigilosos, tentar sempre anonimizar os resultados.

Compliance e comunicação devem trabalhar de forma integrada.

CRIMINAL COMPLIANCE

XXXXXXXXXXXXXXXXXXXXX

MONITORAMENTO E AUDITORIA

Auditoria e monitoramento são essenciais para saber o que está funcionando ou não, e o que precisa
melhoria, ou não. Isto permite a implementação de ações para corrigir falhas.
Falta de profissionais qualificados, tanto em compliance quanto em auditoria, é um grande desafio.

Monitoramento e auditoria potencializam e garantem a efetividade do Programa de Compliance.

Auditoria é diferente de monitoramento, assim como seus elementos e resultados.

Auditoria é independente, ágil, e focada no cumprimento de normas e políticas internas. Faz testes baseados
em amostras.

Monitoramento é contínuo, para identificar possíveis violações de forma rápida, e corrigir as falhas, podendo
ser automatizado, inclusive.
Após a SOX, os auditores se voltaram muito para o lado financeiro/contábil, se esquecendo os aspectos de
compliance e qualidade.

Metodologia mais usada para auditoria e monitoramento é do COSO.

Auditoria com foco em risco:

1- Planejamento Estratégico
- Entender estratégias e metas;
- Avaliar os fatores de riscos internos e externos;
- Aproveitar as informações de controles internos e avaliações externas;
- Construir mapa de riscos.

2- Execução
- Planejar trabalho de campo;
- Executar o trabalho;
- Amostragem e testes;
- Avaliação global dos resultados;
- Pontos de auditoria;
- Comunicação de resultados (sumário executivo e relatório).

3- Conclusão
- Follow-up da resposta ao relatório;
- Avaliação do plano de ação;
- Acompanhamento e avaliação da implementação.

Testes de monitoramento e auditoria:

- Walkthrough test (acompanhar um item do começo ao fim), que pode detectar falhas nos desenhos dos
controles internos;
- Reperformance (refazer uma transação de maneira simulada);
- Entrevistas;
- Circularização (enviar cartas solicitando saldos a bancos, fornecedores e clientes, e confrontar com
relatórios e informações internas).

A seleção de amostras para os testes pode ser direcionada, aleatória ou com data analytics.

INVESTIGAÇÃO E REPORTE

Lei Anticorrupção traz o conceito de cooperação. A cooperação é levada em conta no momento da sanção,
podendo reduzi-la.

A investigação visa interromper e remediar o fato ilícito, bem como entender o que ocorreu, para ajustar o
programa de compliance para evitar que o ilícito ocorra novamente.

No FCPA, o reporte da empresa às autoridades também gera benefício nas penas.

Investigação Interna:
- Deve ser muito bem planejada, para garantir a independência e a credibilidade da investigação;
- Notícias, procedimentos administrativos e judiciais, canal de denúncia, auditoria, entrevista de
desligamento, due diligence, investigações do governo, entre outros, podem dar início a uma investigação
interna;
- Deve haver discrição para a obtenção das informações necessárias para a averiguação dos fatos;
- Deve ser envolvido o Departamento Jurídico, quando houver indícios de corrupção;
- Verificar as leis aplicáveis ao caso concreto;
- Deve ser definido no início o escopo da investigação, sendo certo que tal escopo pode e deve ser atualizado
ao longo do tempo, dependendo do que for sendo encontrado na investigação, aumentando ou diminuindo o
escopo, além de definir o intervalo de tempo a ser investigado;
- Deve ser definido o reporte da investigação, sempre sendo um canal independente. Caso haja participação
da diretoria, é importante haver reporte para o Conselho de Administração ou para um conselho de
auditoria, por exemplo;
- O envolvimento do Jurídico (interno ou externo – a investigação conduzida por advogados externos dá mais
credibilidade, na visão das autoridades) na investigação é benéfico, sobretudo pelo sigilo da profissão, que
torna opcional a entrega da informação obtida às autoridades competentes;
- Preservação de documentos (físicos e eletrônicos) é a primeira medida a ser tomada, no início da
investigação. A empresa deve ter regras claras de TI que deixem claro que todo o material de trabalho está
sujeito a monitoramento;
- Deve-se cessar a conduta ilegal suspendendo contratos, demitindo funcionários, etc;

Condução da Investigação:
- Revisão de documentos. É importante ter noção da legislação de proteção de dados;
- Buscar a maior quantidade possível de fonte de informações (e-mails, contratos, processos administrativos
e judiciais) para auxiliar na investigação;
- Montar critérios de revisão (intervalo temporal, palavras-chave);
- Entrevistas devem ser realizadas após a revisão dos documentos, de modo a já haver um entendimento
maior dos fatos, o que melhora a condução das entrevistas. Entrevistas devem ser presenciais, com o menor
número de participantes possível, não ser conduzida por uma única pessoa (fazer em duplas), se o
entrevistado for mulher, ter mulher na equipe de entrevistas. Utilizar roteiros, mas não se prender a eles.
Não pedir para o entrevistado assinar um termo com suas declarações ou gravar as entrevistas, pois o
objetivo é conseguir o maior número de informações, e “coagir” o entrevistado não é uma boa maneira;
- Relatório: Deve descrever os fatos que geraram a investigação e as informações disponíveis naquele
momento inicial. Após, sumário executivo. Descrever a metodologia adotada na investigação. Fazer um
resumo do que foi identificado na investigação. Após, descrever as implicações legais do que foi descoberto.
Por fim, descrever as medidas de remediação tomadas ao longo do processo e fazer as recomendações para
evitar que os mesmos fatos ocorram novamente.
- Fazer relatórios periódicos ao longo da investigação, se reportando a quem de direito.
- Deve-se ser imparcial, reportando os fatos, sem tomar partido de nada.

Otimização de gastos na investigação:

- Definir o escopo exato da investigação;
- Elaborar um plano de investigação efetivo;
- Utilizar recursos internos quando apropriados;
- Obter regularmente o relatório de custos;
- Considerar relatórios em formado Power Point.

Medidas de remediação:
- Cláusulas de compliance e auditoria em contratos, possibilitando a saída fácil em caso de crise;
- Demissão de funcionários envolvidos. Se por justa causa, é perigoso porque, ao questionar a justa causa, o
funcionário pode fazer com que a empresa se exponha, mostrando, na ação trabalhista, o ato ilícito que
ensejou a justa causa.

Reporte para as autoridades ao fim da investigação????

- Não existe a obrigatoriedade de a empresa reportar os atos ilícitos (salvo em alguns casos ambientais);

DUE DILIGENCE

Due Diligence de Terceiros:

64% dos casos de corrupção envolvem terceiros, segundo a OCDE.
É importante para mitigar ou excluir os riscos de sanções em algumas situações específicas, caso a due
diligence tenha sido robusta e o terceiro cometa ato ilícito.
Pessoa Jurídica pode ser responsabilizada por atos ilícitos cometidos em seu interesse ou benefício.
Caso o terceiro tenha relação com entes públicos, a investigação deve ser muito mais profunda. Caso não
tenha, pode ser feita uma due diligence mais leve.
Só começar a utilizar o terceiro quando a due diligence estiver concluída e for aprovada.
Procedimentos:
- Não ser dificultoso ou que demande muito tempo, deve ser relativamente simplificado;
- Fazer pesquisa independente (internet, banco de dados públicos, etc);
- Enviar formulários solicitando informações e documentos (estrutura empresarial, quadro societário, com a
identificação de todas as pessoas físicas, experiência profissional, capacidade técnica e dados sobre
investigações em que o terceiro esteja envolvido);
- Visitar o terceiro in-loco e fazer algumas entrevistas.
- A due diligence deve ser toda formalizada por escrito, com descrição de todas as etapas realizadas e todos
os achados dessas etapas. Documentar eventuais reg flags e suas soluções (caso haja).
- Manter o relatório de due diligence durante todo o tempo de relação com o terceiro e por 5 anos
adicionais, após o término da relação, além de renovar periodicamente a due diligence.

Mitigação de riscos:
- Formalizar o contrato por escrito;
- Descrição clara e objetiva dos serviços e pagamentos, no contrato;
- Colocar cláusulas de compliance no contrato (obrigação de reportar certos acontecimentos, não violou o
violará as Leis Anticorrupção e alteração no quadro societário);
- Colocar cláusula de auditoria de A em B, descrevendo quem arcará com os custos, quem fará a auditoria,
etc.

Due Diligence em M&A:

Importante em virtude da responsabilidade sucessória.

Procedimento:
- Pesquisa independente;
- Envio de formulários solicitando informações e documentos;
- Visita in-loco e entrevistas.

Se não houver problemas ou red flags não solucionadas:

- Prosseguimento da operação;
- Fornecimento de declarações de Compliance da empresa;
- Implementação de plano pós-compra;
- Implementação e aperfeiçoamento de programas de Compliance.

Se forem identificados eventuais passivos anticorrupção:

- Necessidade de análise crítica e realista;
- Verificar se certas medidas serão aptas e mitigar os riscos, como:
 ● Cessar violações;
● Implementação ao aprimoramento do programa de Compliance da empresa comprada;
● Demissão de funcionários;
● Rescisão de contratos obtidos em violação de Leis Anticorrupção;
● Corrigir registros.
- Desistir da operação (risco de sanções cíveis e criminais, inviabilidade econômica, danos à imagem).

DOCUMENTAR o processo de due diligence de M&A inteiro, detalhadamente.

COMPLIANCE DIGITAL

Leis de proteção de dados.

Marco civil da Internet.

Monitoramento de empregados:
Não há lei que trate do assunto, apenas jurisprudências.
Em 2003, houve decisão que equiparava o monitoramento da empresa ao empregado era violação de
privacidade, equiparando a um grampo telefônico.
Em 2005, o TST decidiu que o e-mail corporativo era o único que poderia ser monitorado, desde que o
empregado soubesse que tal controle existiria e o e-mail privado acessado pela rede corporativa
permaneceria privado.
Em 2014, o TST decidiu que acesso a Messenger particular do empregado, mesmo que em computador e
rede corporativos, era prova inválida, mesmo que ali fosse encontrada conduta ilícita, pois era invasão de
privacidade.

BYPO (Bring Your Own Device):

Como controlar informações em dispositivos que não são da empresa?
Não há respostas para a questão. O Judiciário ainda está se deparando com os primeiros casos nesta linha.
Se a empresa quiser 100% de controle e proteção, deve dar todos os dispositivos e programas necessários ao
trabalho do empregado.
Para instalar programas da empresa em dispositivos do empregado, este último deve autorizar por escrito tal
instalação. Há o “container”, que é instalado pela empresa no dispositivo do empregado e a empresa se
compromete a apenas controlar e monitorar aquele container.
Problemas:
- Segurança da informação;
- Assédio moral (mensagens trocadas em grupo de Whatsapp em que um supervisor ofende um
funcionário da empresa);
- Prova da hora extra (e-mails utilizados judicialmente para provar trabalho fora do horário de trabalho).
Documentos obrigatórios:
- Regulamento Interno de Segurança da Informação (RISI) que atribui responsabilidades, direitos e
expectativas de acesso, penalidades e criação de cultura de proteção de sistemas. DEVE SER PÚBLICO PARA
TER VALOR.
- Termo de Uso de Sistemas de Informação (TUSI) que comprova que o empregado está ciente das regras de
TI da empresa, recebeu cópia do regulamento e está ciente do monitoramento, a fim de convalidar a prova
obtida por meio eletrônico.

Provas Eletrônicas:
Problemas:
- Integridade (foi adulterado?);
- Autenticidade (quem é o autor?);
- Cadeira de custódia (qual a forma de coleta?).
Prova eletrônica por ata notarial (art. 384 NCPC).

Perícia forense computacional:

Útil para que a empresa possa investigar internamente e até levar ao Judiciário.
Deve ter metodologia não invasiva.
Preservação dos originais.

PREVENÇÃO À LAVAGEM DE DINHEIRO

Entre 2% e 5% do PIB mundial é perdido com lavagem de dinheiro.

Lavagem de dinheiro é disfarçar a origem ilegal de quantias.

Para existir lavagem de dinheiro é necessária a existência de crime ou contravenção anterior.

Como lavar dinheiro:

- Colocação: colocar os recursos ilícitos em algum lugar, normalmente uma instituição financeira ou algum
setor obrigado pela lei. O recurso é fracionado, seja em pequenos depósitos, seja uma pequena aplicação ou
aquisição de pequenos bens.
- Ocultação: dificultar o rastreamento contábil dos recursos ilícitos. Utiliza-se laranjas, contas ocultas, contas
em offshores (paraísos fiscais), podendo estas últimas serem abertas em nome de pessoas físicas ou de
empresas, já que não é possível saber quem é o titular da conta.
- Integração: transformar os recursos ilícitos em aparentemente lícitos, geralmente se utilizando de
estacionamentos, lava jatos, salões de cabeleireiro, restaurantes, ou seja, negócios em que haja bastante
utilização de pagamento em espécie, de modo a ser fácil a manipulação do faturamento.

Terrorismo:
Prática de atos por razões de xenofobia, discriminação ou preconceito de raça, cor, religião, etc.
Programa de Prevenção à Lavagem de dinheiro deve estar ligado ao Programa de Prevenção de
Financiamento ao Terrorismo.

Lei de Lavagem de Dinheiro nº 9613/98 alterada pela Lei nº 12.683/2012

Novidades implementadas em 2012:
- Ampliação do rol de pessoas obrigadas;
- Eliminação do rol taxativo de infrações antecedentes, podendo, agora, qualquer crime ou contravenção
penal configurar crime antecedente de lavagem de dinheiro;
- Aumento do valor máximo da multa de R$ 20.000,00 para R$ 20.000.000,00 (pode ser por ato).

Setores obrigados a terem programa de prevenção à lavagem:

- Sistema Financeiro (já estava desde 98);
- Factoring (Resolução nº 21 de 2012 do COAF e Manual da ANFAC);
- Seguradoras e corretoras de seguro;
- Imobiliárias;
- Juntas comerciais e registros públicos;
- Gestoras ou criadoras de sociedade de qualquer natureza, fundações ou fundos fiduciários;
- Quem promova ou comercialize obras de arte ou antiguidades, joias, pedras preciosas ou artigos de luxo em
geral (Resolução nº 23 de 2012 do COAF e Guia do IBGM), bens de alto valor de origem rural ou animal,
direitos sobre contratos relacionados a atividades desportivas, artísticas, exposições ou eventos similares;
- Quem preste assessoria, consultoria, auditoria, aconselhamento ou assistência em qualquer dos temas
acima (Resolução nº 24 de 2013 do COAF);
- Quem comercializa bens de luxo ou alto valor (Resolução nº 25 de 2013 do COAF) (bens de luxo são os com
valor unitário a partir de R$ 10.000,00);
- Empresas de guarda e transporte de valores.

Setor de comercialização de atletas é mencionado na lei, mas não tem regulamentação própria.
Setor de advocacia é obrigado pela legislação, mas a OAB defende que não haja programa de prevenção à
lavagem, em virtude do sigilo profissional.

Programa de prevenção à lavagem de dinheiro em si deve:

- Desenvolver e implementar políticas, procedimentos específicos e controles internos compatíveis com o
volume das operações (“Conheça seu cliente, funcionário, fornecedor, parceiro”, avaliação de novos produtos
e serviços – para avaliar se os novos produtos e serviços não podem ser utilizados para lavar dinheiro e, caso
possam, devem ser criadas políticas para evitar tais atos);
- Identificar e manter atualizados os dados cadastrais do cliente;
- Manutenção do registro e monitoramento das operações;
- Prestar informações requisitadas pelas autoridades financeiras;
- Comunicar a prática de operações suspeitas ou simplesmente de valor para os órgãos;
- Treinamentos;
- Auditoria periódica, de modo a ver se o programa está atualizado e adequado à realidade da empresa.

“Conheça seu cliente” (KYC):

- Busca reduzir a possibilidade da organização se tornar veículo ou vítima de crime.
- Aplicação de procedimentos e políticas internas relacionadas à aceitação e cadastramento dos clientes.
- Verificação da adequação da documentação dos clientes e compatibilidade das operações, bem como a
manutenção da atualização de dados e documentos cadastrais.
- Background checking, que pode ser manual ou automatizado, e deve ser confrontado com as informações
fornecidas pelo cliente nos formulários por ele preenchidos.

- Verificar o beneficiário final, não somente o cliente direto que vai interagir, de modo a verificar tudo o
acima e, inclusive, se o beneficiário final é pessoa física e PEP (Pessoa Politicamente Exposta).
- Assim como PEP, é importante verificar se o cliente se trata de Agentes Público ou seus parentes (laranjas).
- Quando identificado um PEP, ou termina-se a relação com o cliente, ou se for manter a relação, a empresa
deve comunicar ao COAF, em 24h da ciência do fato ou transação. O cliente não deve ser avisado da
comunicação.
- DEVE-SE MANTER REGISTRO DAS OPERAÇÕES POR 5 ANOS, SEJAM AS COMUNICADAS OU NÃO.

Penalidades:
- Advertência;
- Multa pecuniária não superior ao (i) dobro do valor da operação; (ii) dobro do lucro real obtido ou que
presumivelmente seria obtido pela realização da operação; ou (iii) valor de R$ 20M;
- Cassação ou suspensão da autorização para o exercício da atividade, operação ou funcionamento;
- Inabilitação temporária, pelo prazo de até 10 anos, para exercício do cargo de administrador das pessoas
jurídicas obrigadas (responsabilidade dos gestores, até criminal, por serem participantes do crime de
lavagem de dinheiro, principalmente nos casos de omissão).