Copyright

© 2021 by Carolina Strobel Fábio Lopes Soares Marcelo Borowski Gomes Wagner Osti Pedro
Categoria: Direito Administrativo
Produção Editorial Livraria e Editora Lumen Juris Ltda.

Conversão Epub: Rosane Abel Diagramação: Rômulo Lentini
A LIVRARIA E EDITORA LUMEN JURIS LTDA.
não se responsabiliza pelas opiniões emitidas nesta obra por seu Autor.
É proibida a reprodução total ou parcial, por qualquer meio ou processo, inclusive quanto às características
gráficas e/ou editoriais. A violação de direitos autorais constitui crime (Código Penal, art. 184 e §§, e Lei nº
6.895, de 17/12/1980), sujeitando-se a busca e apreensão e indenizações diversas (Lei nº 9.610/98).

Todos os direitos desta edição reservados à Livraria e Editora Lumen Juris Ltda.

CIP-BRASIL. CATALOGAÇÃO-NA-FONTE
 Compliance : Fundamentos e reflexões para integridade nas empresas / Organizador Fábio Lopes
Soares ; Carolina Strobel, Marcelo Borowski Gomes, Wagner Osti Pedro. – Rio de Janeiro :
Lumen Juris, 2021.
Epub 1940kb
ISBN 978-65-5510-775-3

1. Direito empresarial – Brasil. 2. Programas de compliance – Brasil. 3. Ética empresarial. I.
Soares, Fábio Lopes. II. Strobel, Carolina. III. Gomes, Marcelo Borowski. IV. Pedro, Wagner
Osti.
















“A simplicidade é o último grau de sofisticação”
Leonardo da Vinci
 Apresentação
A elaboração deste livro partiu de uma necessidade e sobretudo, vontade
motivada, de uma equipe de professores convidados da FGV – Fundação Getúlio
Vargas responsáveis pelo tema compliance nos cursos de pós-graduação, como
de sua relevante experiência em sua atividade profissional, com finalidade de
apoiar estudos e práticas de mercado.
O livro trata de um tema do mais atual e relevante para o controle e gestão das
empresas: compliance como parte de sistemas de integridade. Os autores,
especialistas com vasta experiência no mercado e professores em universidades
renomadas no Brasil e no exterior, contribuíram oferecendo uma visão
multidisciplinar sobre o processo de governança, risco e compliance,
culminando com o entendimento dos sistemas de integridade e tópicos
avançados aplicados a pequenas e médias empresas.
O conceito e histórico dos sistemas de controle são apresentados como uma
visão prática sobre ética e seu papel na transformação cultural da sociedade
moderna.
O livro se apresenta como um manual, dividido em três partes sequenciais em
que tanto o fundamento do compliance, seus pilares e programa foram
construídos com base nas legislações vigentes, oferecendo um guia prático para
elaboração e construção de um programa de integridade.
Alinhado a esse estudo, não somente a visão de GRC - Governança, Risco e
Compliance são desenvolvidos, como também ESG - Environmental, Social and
Governance, usado por diversas empresas e entendido como uma tendência e
necessidade a ser utilizada.
Tenho certo de que está obra representa uma importante contribuição não
somente a executivos e estudantes do tema, como também para aprimoramento
das melhores práticas, uma vez que inova oferecendo importante crítica
cientifica a pontos estratégicos, culminando em um guia de integridade para
quem entende que compliance não é apenas cumprir normas.
Bons estudos, pesquisas e prática de integridade.

Fábio Lopes Soares
Pós Doutor em Direito, advogado, consultor e professor
 Sumário
Capa
Folha de rosto
Apresentação
Sumário
1. Integridade, Ética e Transparência nos Negócios
1.1 Contexto histórico internacional
1.2 Modelo brasileiro de compliance com foco na integridade
1.3 O papel ético e a responsabilidade jurídica do compliance officer
1.4 O dever ético e a necessidade de transparência nas tomadas de decisões
1.5 Governança de compliance e o ISE: Índice de Sustentabilidade Empresarial
2. Programa de Compliance
2.1 Pilares de um programa de compliance
2.2 Tone at the top
2.3 Comunicação e treinamento
2.4 Canal de denúncias
2.5 Melhoria contínua do programa de integridade
2.6 GRC: Governança, Risco e Compliance
3. Desafios Modernos de Compliance
3.1 Compliance empresarial
3.2 Desmistificando compliance para PMEs: Pequenas e Médias Empresas
3.3 Governança corporativa para startups
3.4 Desafios da LGPD para PMEs
3.5 ESG: Environmental, Social and Governance
 1. Integridade, Ética e Transparência nos
Negócios
1.1 Contexto histórico internacional
Para entendermos sobre a importância (ou a falta) das práticas de integridade,
ética na condução dos negócios e transparência nas tomadas de decisão,
precisaremos voltar no tempo, mais precisamente no início do século XX.
Digno de nota registrarmos que as próximas páginas não almejam substituir a
profundidade do trabalho de qualquer pesquisador acadêmico ou historiador,
tampouco esgotar todos as normas que fomentam a integridade ou atos que
inibem os atos de corrupção. Nosso recorte se restringe em contextualizar a
temática, oferecendo em breves linhas uma noção temporal dos principais
acontecimentos normativos que corroboraram para o desenvolvimento da atual
cultura de compliance dentro das empresas.
As normas e programas de ética e compliance, historicamente, surgiram de
uma relação de consumo como forma de proteger a sociedade em relação a
segurança pública. Por exemplo, a agência que regula fármacos e alimentos nos
Estados Unidos (Food and Drug Administration), em 1906, aprovou a Pure
Food and Drugs Act (em português, lei da pureza de alimentos e medicamentos)
a fim de fornecer proteções básicas aos consumidores sobre os produtos e
medicamentos consumidos1.
Como primeiro corolário de uma necessidade de consumo, em 1913, criou-se
o Board of Governors of the Federal Reserve (em português, conselho dos
governantes da reserva federal), nos Estados Unidos, conselho que ditava
algumas regras de conduta do sistema financeiro naquele país. O intuito era
fornecer à nação estadunidense um sistema monetário e financeiro mais seguro,
flexível e estável para todos os usuários da cadeia2. Para alguns autores3, esse
conselho foi o primeiro indício de inúmeras normas de compliance que seriam
criavas nas próximas décadas.
Os mais desatentos ainda acreditam que o esforço legislativo sobre
compliance é assunto dos últimos vinte ou trinta anos, contudo, a disseminação
da necessidade de termos normas reguladoras, integridades nos negócios e
controle de riscos que conhecemos hoje cresceu juntamente com o avanço das
sociedades na era contemporânea4.
Após o fim da primeira grande guerra5, no final de 1918, o continente
europeu passava por um período de adaptação e reorganização interna. As
economias dos principais países saíram do conflito enfraquecidas, com um
índice baixo de consumo interno e uma inflação fora de controle. Apenas para
contextualizar, em 1923, na Alemanha, os preços duplicavam a cada 3 dias. Um
pão que custava 250 marcos em janeiro, passou a custar 200 bilhões de marcos
em novembro do mesmo ano6.
Em um ambiente completamente diferente estava os Estados Unidos. O
período Pós Guerra gerou um crescimento industrial e urbano acelerado e
aparentemente próspero. A taxa de desemprego caiu drasticamente e o PIB do
país se beneficiou com a exportação de bens industriais e de consumo para o
continente europeu. Os bancos americanos foram os protagonistas em financiar a
reconstrução de boa parte da economia europeia, com uma deflação próxima dos
10% no início da década de 19307.
Para demonstrar quão marcante foi a deflação da no período do pós guerra,
segue a ilustração abaixo8: Figura 1: Deflação no pós-guerra

Com esse frenesi econômico, popularizou-se a compra de ações na bolsa de

valores, pois empresas e pessoas comuns vendiam tudo que podiam para
comprar títulos de renda variável com o sonho de garantir a estabilidade
financeiras de sua e das próximas gerações. Afinal de contas, a realidade era que
a economia norte-americana disparava abruptamente e o retorno financeiro era
praticamente certo. O cenário socioeconômico era favorável o bastante para
aumentar o crédito privado da população e empresas. “A procura por
empréstimos era tão grande que a soma das dívidas existentes era maior do que
todo o dinheiro que circulava nos Estados Unidos à época.”9
Com a falta de interesse no armamento bélico, o continente europeu decidiu
se fechar economicamente, retomando sua produção interna, a fim de fomentar a
economia. Com isso, os Estados Unidos perderam seus principais clientes
importadores em poucos anos e período da bonança se foi repentinamente.
“O resultado disso foi um efeito cascata: sem vender, fazendas e indústrias não tinham como pagar
empréstimos tirados nos bancos, o lucro das instituições financeiras despencou, empresas
perderam valor com o agravamento da recessão, o desemprego se aprofundou drasticamente para
além dos Estados Unidos e milhares de acionistas perderam grandes somas de dinheiro. “

A promessa da maior economia global se tornou “em uma era sombria, cujo
potencial de crescimento acelerado viu-se frustrado por uma série de
desastres”10.
Com o aumento de juros pelo FED11, as ações na bolsa de valores iniciaram
um movimento de queda livre em efeito dominó, que culminou no dia 24 de
outubro de 1929, a famosa “quinta-feira negra”, iniciando a maior crise
financeira dos Estados Unidos.
Com a quebra da bolsa e uma crise instaurada em todo o país, a confiança no
mercado de capitais precisava ser restaurada para frear os efeitos da Grande
Depressão. No período mais depressivo da história econômica norte-americana,
“centenas de empresas fecharam suas portas, outras tantas acorreram aos bancos
em busca de socorro financeiro, e milhares de produtores rurais endividados
foram despojados de suas terras. Mais de cinco milhões de norte-americanos, ou
um em cada nove homens em idade produtiva, passaram sem aviso a engrossar
as fileiras dos desempregados. Transcorridas algumas semanas, o processo
deflacionário extravasaria as fronteiras da América, arrastando consigo diversos
países mundo afora cuja retração correspondente não seria menos traumática.”12.
Nessa época, as taxas de desemprego dispararam e os salários diminuíram
drasticamente. O gráfico abaixo demonstra que entre os anos de 1932 e 1933 a
taxa de desemprego atingiu um a cada quatro americanos13.
Figura 2: Taxa de desemprego americano
 Nesse contexto inquietante, em 1933, foi proposto o programa de
desenvolvimento chamado “New Deal”14, que consistia em uma série de
programas sócio econômicos para uma promissora retomada econômica, tais
como empréstimos aos bancos, criação do sistema de seguridade social,
decréscimo na taxa de desemprego, estímulo fiscal para produção agrícola.
Como as ações dos operadores bancários eram uma peça-chave para alavancar a
economia, o New Deal também incluiu novas restrições no setor bancário como
tentativa de aumentar a transparências das operações e inflar o mercado de forma
sustentável.
No mesmo ano, citamos a Securities Act (em português, Lei de valores
mobiliários) de 1933, que foi a primeira legislação federal usada para regular o
mercado de ações15. O ato tirou o poder dos estados e o colocou nas mãos do
governo federal, sob controle da recém-criada agência reguladora de mercado de
capitais U.S. Securities and Exchange Commission (SEC)16. Esta lei também
criou um conjunto uniforme de regras para proteger os investidores contra
fraudes do sistema financeiro, trazendo maior transparência às transações e
maior apetite para os investidores em relação aos títulos comercializados.
Logo na sequência, em 1940, foram publicadas as leis Investment Advisers
Act e Investment Company Act17 (em português, lei dos assessores de
investimentos e lei das companhias de investimentos), que tinham por objetivo
exigir que empresas de consultoria tivessem registro na SEC e regular os fundos
de investimentos disponíveis no mercado, respectivamente. Em breves linhas, os
Estados Unidos trabalhavam para proteger os investidores de possíveis fraudes.
Com a SEC em plena atividade, foi criada a Prudential Securities, em 1950,
“que passou a contratar advogados para acompanhar a legislação e monitorar as
atividades que envolviam valores mobiliários”18.
 Duas décadas depois, em 1970, foi publicada uma lei federal para combater o
crime organizado nos Estados Unidos, a Racketeer Influenced and Corrupt
Organizations Act – RICO19 (em português, Lei de Organizações Corruptas e
Influenciadas por crimes organizados.) Esta lei dá embasamento legal para
penalizar civil e criminalmente empresas, com penas de prisão de até 20 anos e
multa.
Depois de uma série de escândalos envolvendo companhias famosas em atos
de corrupção20, o congresso norte americano decidiu, em 1977, então, promulgar
uma lei anticorrupção que serviria de referência para o mundo, a famigerada
Foreign Corrupt Practices Act (FCPA), ou, em português, Lei de Práticas de
Corrupção no Exterior.
Ainda em pleno vigor, esta lei visa combater a corrupção transnacional por
determinadas pessoas ou entidades relacionadas aos EUA, pois, segundo
especialistas, na época de sua aprovação, o pagamento indevido a funcionários
públicos estrangeiros era “uma prática relativamente comum”21. Seu foco é
dispor sobre as penalidades do suborno, tornando ilegais os pagamentos
efetuados a funcionários de governos estrangeiros ou candidatos, partidos
políticos, em troca de vantagens comerciais.
Era notória a necessidade de a maior economia mundial garantir a segurança
do funcionamento dos mercados, local e global, com normas rígidas, sem
fronteiras. Nesse compasso, portanto, que nasceu o FCPA, “uma lei pioneira em
todo o mundo ao tornar ilegal e punir empresas domésticas por relações
mantidas com agentes públicos estrangeiros em mercados internacionais.”22.
Indiscutivelmente, a FCPA, posta em prática concomitantemente pela SEC e
pelo US Department of Justice - DOJ (em português, Departamento de Justiça
dos Estados Unidos) há mais de quatro décadas, influência até hoje os rumos dos
Programas de Integridade ao redor do mundo, iniciando-se geograficamente pelo
continente Europeu. O FCPA é considerado o propulsor da adoção de políticas
mais rígidas contra a corrupção, sendo considerado o berço de ouro das normas
de compliance e integridade.
“O FCPA reforçou o poder do Departamento de Justiça dos Estados Unidos e da SEC de processar
pessoas jurídicas de capital aberto, de qualquer nacionalidade, registradas na SEC e que possuam
ações nas bolsas de valores. Por conta dos escândalos precedentes de abrangência internacional, o
FCPA foi mais tarde a inspiração para a criação de convenções internacionais de combate à
corrupção.”23

Dentre tantas iniciativas de combate à corrupção, no mesmo ano, a SEC

lançou um programa de abertura de informações relevantes (disclosure), que
oferecia isenção de pena para empresas que assumissem pagamentos indevidos a
funcionários públicos em qualquer país. Como contrapartida, as empresas isentas
de multas deveriam adotar programas internos de compliance. De forma
surpreendente, “mais de 400 companhias participaram desse programa, entre as
quais as 100 maiores do mundo, confessaram ter pago propinas.”24.
Como os Estados Unidos era um dos membros ativos da organização para a
Cooperação e o Desenvolvimento Econômico (OCDE), isso foi o exemplo para
que outros países elaborassem programas similares com o intuito de coibir o
pagamento de propinas em transações internacionais. A partir de então, o assunto
de se fazer a coisa certa começou a ultrapassar as fronteiras norte americanas.
Na década seguinte, escândalos relacionados ao departamento de compras do
Departamento de Defesa dos Estados Unidos25 levaram à criação de uma ampla
iniciativa do setor que pressionou o governo para que criassem diretrizes éticas e
transparentes também no processo de seleção dos fornecedores.
“No final dos anos 1980, os Estados Unidos transformaram a lavagem de dinheiro em crime
federal, independente do antecedente. Dois anos mais tarde, em 1988, a convenção da ONU em
Viena, na Áustria, chancelou a adoção de medidas severas contra o tráfico de drogas internacional,
incluindo lavagem de dinheiro, assim como foi permitida a quebra de sigilo bancário, por
determinação legal ou comissão de investigação. O Brasil aderiu às medidas através do Decreto nº
154, de 1991.26”

Nos últimos dias no ano de 1988, o Comitê de Supervisão Bancária da

Basiléia27, uma organização internacional de supervisão bancária, criou a
“Declaração sobre a Prevenção de Crimes no Sistema Bancário para Fins de
Lavagem de Dinheiro” com o escopo de prevenir atividades ilícitas pelas
instituições financeiras, em especial a lavagem de dinheiro.
Nos dois anos seguintes, em 1990, mesmo sem ter força de lei, vale a pena
mencionarmos a publicação do Grupo de Ação Financeira (GAFI)28 que
publicou 40 recomendações a serem seguidas globalmente por outros governos
no combate à lavagem de dinheiro. Na sequência, com a mesma intenção de
combate à corrupção, foi criado o Caribbean Financial Action Task Force
(CFATF) para combater a lavagem de dinheiro nos paraísos fiscais do Caribe29.
Não menos importante, em 1991, a U.S. Sentencing Commission (em
português, a Comissão de Sentença dos EUA) publicado o effective compliance
and ethics program (em português, programa de compliance e ética efetivo), que
elenca alguns elementos essenciais que devem compor um bom programa de
integridade. São eles: cultura ética e engajamento da liderança; gestão de riscos;
políticas e procedimentos; comunicação e educação constante; canais de
denúncias; monitoramento e auditoria; gestão de terceiros, dentre outros
parâmetros30.
Seis anos depois, em 1997, tivemos dois importantes eventos. O primeiro foi
resultado de um encontro dos países da OCDE, na cidade de Paris, os quais se
comprometeram no a adotar medidas de anticorrupção31, o que foi seguido por
muitas empresas no início dos anos 2000. O outro evento, senão um dos mais
importantes da década de 90 para as práticas de compliance bancárias que
conhecemos, foi o documento chamado de core principles for effective banking
supervision (em português, princípios para efetividade da supervisão bancária)
que desenvolveu os princípios basilares da gestão de riscos e liquidez, destinados
a garantir uma maior supervisão e segurança das transações bancárias. A história
nos monstra que “foi a primeira vez que o compliance foi mencionado de forma
explícita pelo organismo financeiro.”32. Segue tradução livre do princípio de
número 1433: Princípio de n.º 14: Os supervisores da atividade bancária devem
certificar-se de que os bancos tenham controles internos adequados para a
natureza e escala de seus negócios. Estes devem incluir arranjos claros de
delegação de autoridade e responsabilidade: segregação de funções que
envolvam comprometimento do banco, distribuição de seus recursos e
contabilização de seus ativos e obrigações; reconciliação destes processos;
salvaguarda de seus ativos; e funções apropriadas e independentes de Auditoria
Interna e Externa e de Compliance para testar a adesão a estes controles, bem
como a leis e regulamentos aplicáveis.
Cerca de 3 anos mais tarde, em 2001, tivemos um ano que ficou marcado na
história mundial. Ninguém precisa ter sido um aluno nota dez nas aulas de
história para lembrar do ano de 2001 como o ano do ataque terrorista contra as
gigantes torres gêmeas na cidade de Nova Iorque, Estados Unidos e o início da
guerra do Afeganistão, ocorrência bélica que ainda mata inocentes em prol do
fanatismo religioso.
Entretanto, para os profissionais que atuam no mundo corporativo financeiro,
a quebra de outras duas gigantes também farão parte das lembranças do início
dos anos 2000, uma no ramo de energia e gás natural e outra no segmento de
auditoria. Não estamos relembrando uma empresa de médio porte que cometeu
uma fraude qualquer, mas, fazemos referência à sétima maior empresa
Americana por receita na época, com mais de 25 mil colaboradores, a famosa
Enron34, e a prestigiada Arthur Andersen, uma das cinco35 mais importantes
companhias de auditoria globais de todos os tempos36.
 Para dar mais contexto a esse caso emblemático, em agosto de 2000, o
mercado precificou as ações da Enron em mais de 90 dólares cada uma e, para o
espanto de todos, após se tornarem públicas as investigações, em dezembro de
2001, as mesmas ações estavam no valor de menos de 1 dólar. A Enron era o
segundo maior cliente da Arthur Andersen37 no mundo, com honorários de mais
de 1 milhão de dólares por semana de trabalho38.
Nesse ambiente valores exorbitantes, a Enron usou lacunas contábeis para
esconder bilhões de dólares de dívidas ao mesmo tempo em que inflacionava de
forma fictícia os ganhos da empresa perante seus investidores, os quais perderam
mais de 74 bilhões de dólares39. Como consequência, os executivos
comprovadamente envolvidos nas tomadas de decisões foram condenados pelas
autoridades competentes, inclusive com pena de prisão. “O fiasco da Enron não
é apenas a história de uma empresa que quebrou, mas a de um sistema que
fracassou. E o sistema não fracassou por descuido ou preguiça: ele foi
corrompido.”40
Lendo esse caso histórico pela primeira vez, talvez passe despercebida a
importância de um programa de integridade em uma empresa, pois todo esse
escândalo foi causado por questões meramente contábeis, certo? Ledo engano.
As manobras (ou melhor, fraudes) contábeis eram a consequência lógica de
diversos problemas relacionados a falta de ética e a falta de procedimentos
transparentes nos negócios, ao invés de ser a causa raiz do escândalo.
Diante desse incidente sem precedentes, ficaram expostas as fraquezas do
sistema financeiro, em especial sobre a credibilidade dos dados e expectativas de
ganhos que chegavam ao conhecimento dos investidores, sejam eles pessoas
físicas ou jurídicas. Nesse ambiente de incertezas, perdas e frustrações, chegava-
se a hora da maior potência econômica mundial se organizar novamente para
legislar normas rígidas de controle, almejando o retorno da confiança dos
investidores. O fato inconteste é que as empresas de auditoria enfrentavam um
ceticismo e descrédito nunca visto anteriormente.
Sem poder confiar nos balanços, os investidores perderam um dos principais
referenciais para saber se a compra de uma determinada ação valeria a pena em
curto, médio ou longo prazo. Com isso, as gigantes Enron e Arthur Andersen,
juntamente com os atentados terroristas, protagonizaram uma das maiores crises
no mercado financeiro da história.
Nesse período de busca incessante pelos causadores da queda das torres
gêmeas e ações globais contra o terrorismo, no mesmo ano do atentado, foi
aprovado o USA Patriot Act (em português, Lei Patriótica), que maximizou os
poderes de busca e vigilância das agências federais de fiscalização,
monitoramento e inteligência, incluindo restrições bancárias a fim de proteger a
população americana de eventuais futuros ataques.
No próximo ano do atentado, em 2002, foi promulgada a Lei Sarbanes-Oxley
(SOX) com o princípio de estabelecer regras rígidas de Governança Corporativa
para as empresas listadas na SEC. Com uma proposta legislativa41 de mitigação
de riscos, os processos de divulgação de informações sobre o balanço
patrimonial, despesas e receitas foram padronizadas, almejando a transparência,
controle e rastreabilidade da informação.
“Os Diretores, especialmente os Financeiros (nossos CFOs), ganham um papel ainda mais
importante perante a SOx. Isso porque a Lei Sarbanes-Oxley os torna totalmente responsáveis por
realizar o monitoramento dos controles internos no que diz respeito à divulgação de informações
dos relatórios financeiros. O Artigo 906, por exemplo, aumenta a responsabilidade da diretoria
sobre as demonstrações financeiras, bem como define as penalidades para as infrações42.”

As empresas, depois da SOX, passaram a necessitar ter programas de

avaliação de riscos e controles internos. Se antes da SOX os programas eram
meramente opcionais, depois dela os programas passaram a ganhar caráter de
obrigatoriedade, em inglês “mandatory compliance”43. Apenas para ilustrar quão
importante era a constituição de um programa de compliance em razão da SOX,
em 2004, o maior banco holandês foi multado em 80 milhões de dólares pela
falta de controles internos de qualidade44.
Em território europeu, um ano após a lei SOX, em 2005, o Comitê da Basileia
publicou o documento compliance and the compliance function in banks (em
português, compliance e funções de compliance bancárias), com a missão de
abordar, no formato de princípios, as principais recomendações sobre os
programas de compliance.
Um ano depois, em 2006, a Austrália foi protagonista em divulgar uma norma
(Australian Standard AS 3806) atualizada45 com princípios de formulação,
implementação e manutenção de programas de compliance eficazes em
organizações públicas e privadas. Esses princípios foram elaborados
cuidadosamente para ajudar, na prática, as organizações a identificar e corrigir
suas deficiências e desenvolver processos de melhoria contínua46. Esta norma
australiana serviu de inspiração para a criação da ISO (International
Organization for Standardisation) de número 19.600, tornando-se a mais nova
referência mundial para a padronização dos programas de ética e compliance. O
modelo da Austrália foi bastante utilizado pois destaca que os programas serão
distintos para cada instituição, ou seja, não existe uma fórmula mágica que sirva
de forma efetiva para todas as empresas. A ISO serviu de base para inúmeras
empresas multinacionais, pois havia uma padronização considerada global47.
Como podemos perceber revivendo algumas normas do passado, o assunto da
corrupção estava em voga entre os governantes globais e foi tema da Convenção
das nações unidas em 2006, com o compromisso das nações em estabelecer
mecanismos internos de proteção contra atos de corrupção.
Na Inglaterra, foi aprovada em abril de 2010 a “legislação anticorrupção mais
severa do mundo”48, o UK Bribery Act (em português, a Lei Anticorrupção do
Reino Unido). Em plena vigência jurídica somente em julho de 2011, a inédita
lei Britânica considerou como ato criminoso, não apenas suborno em si, como
também a falha em o evitar. Indo além, esta dispõe que as empresas são
responsáveis pelos atos de seus funcionários49, semelhante à nossa
responsabilidade objetiva, que dispensa a análise da culpabilidade, com multa de
até 250 mil dólares e até 5 anos de prisão para pessoas físicas.
“Embora subornos sejam ilegais no Reino Unido há muito tempo, a Lei representa uma mudança
significativa na legislação desse país nas áreas empresarial e de negócios. Ela foi introduzida
parcialmente em resposta à pressão da Organização para a Cooperação e o Desenvolvimento
Econômico (OCDE), bem como à crescente crítica internacional da deficiência percebida de o
Reino Unido colocar em vigor as leis anticorrupção existentes. A Lei atualmente é vista de
maneira mais ampla como uma das leis anticorrupção mais rígidas do mundo desenvolvido50.”

A norma do reino unido foi uma reposta legislativa à altura em razão da

relevância que o reino unido ocupava no contexto socioeconômico mundial,
introduzindo como novidade a criminalização da pessoa jurídica e a corrupção
provada. A partir do Bribery Act, esta legislação contra atos de corrupção tornou-
se de vanguarda e pronta para encarar a onda de atos de corrupção que eclodiam
no mundo, condizente com os compromissos internacionais em tratados e
convenções51.
1.2 Modelo brasileiro de compliance com foco na
integridade
Com foco no território nacional e dando sequência cronológica dos fatos que
remetem ao nascimento das principais normas de compliance, dez anos depois
de promulgada nossa constituição Federal de 1988, foi publicada a Lei nº
9.613/199852, a qual dispõe sobre os crimes de “lavagem”53 ou ocultação de
bens, direitos e valores, bem como dispõe sobre a utilização do sistema
financeiro para atividades ilícitas Como consequência da lei de prevenção à
lavagem de dinheiro, em ato posterior à lei, foi criado o Conselho de Controle de
Atividades Financeiras (COAF), cuja finalidade era disciplinar e aplicar penas
administrativas, recebendo e investigando qualquer transação com suspeita de
ilicitude54. Nesse momento, já existiam uma lei e um órgão de controle mínimos
para o controle das ilicitudes relacionadas à lavagem de dinheiro.
Em 1994, foi publicado o Decreto nº 1.171/1994, o qual aprovou o “Código
de Ética Profissional do Servidor Público Civil do Poder Executivo Federal”55,
estabelecendo que em todos os órgãos e entidades da Administração Pública
Federal ou em qualquer órgão ou entidade que exerça atribuições delegadas pelo
poder público, deverá ser criada uma Comissão de Ética, encarregada de orientar
e aconselhar sobre a ética profissional do servidor, no tratamento com as pessoas
e com o patrimônio público.
Já nos anos 2000, tivemos a publicação do decreto 3678/2000, que promulgou
a “Convenção sobre o Combate da Corrupção de Funcionários Públicos
Estrangeiros em Transações Comerciais Internacionais, concluída em Paris, no
final de em 17 de dezembro de 1997.”56. Nas próprias palavras da convenção “a
corrupção é um fenômeno difundido nas Transações Comerciais Internacionais”
e, diante desse contexto, mister se fez o Brasil a compartilhar a responsabilidade
de combater a corrupção nas Transações Comerciais Internacionais. Uma peça
essencial para a construção do emaranhado legislativo que temos de nos dias de
hoje.
No ano seguinte à queda das torres gêmeas, o Brasil publicou no Diário
Oficial da União o Decreto Legislativo 152/2002 que “aprova o texto final da
Convenção Interamericana contra a Corrupção, concluída originalmente em
Caracas, em 29 de março de 1996”57.
 Em âmbito nacional, o Brasil lançou um programa articulado entre dezenas de
órgãos e entidades no combate sistemático à lavagem de dinheiro e, por
consequência, para a desestruturação da criminalidade organizada - A Estratégia
Nacional de Combate à Corrupção e à Lavagem de Dinheiro (ENCCLA). Com
criação no ano de 2003, a ENCCLA “é a principal rede de articulação para o
arranjo e discussões em conjunto com uma diversidade de órgãos dos Poderes
Executivo, Legislativo e Judiciário das esferas federal e estadual e, em alguns
casos, municipal, bem como do Ministério Público de diferentes esferas, e para a
formulação de políticas públicas e soluções voltadas ao combate àqueles
crimes.”
Já em 2006, o Brasil, por meio do decreto presidencial 5687/2006, promulgou
“a Convenção das Nações Unidas contra a Corrupção, adotada pela Assembleia-
Geral das Nações Unidas em 31 de outubro de 2003 no México.” Dentre os
compromissos assumidos, o Brasil deveria implementar políticas contra a
corrupção efetivas que promovam a participação da sociedade e reflitam os
princípios do Estado de Direito tais como a integridade, a transparência e
accountability58, entre outros.
“A convenção contempla medidas de prevenção à corrupção não apenas no setor público, mas
também no setor privado. Entre elas: desenvolver padrões de auditoria e de contabilidade para as
empresas; prover sanções civis, administrativas e criminais efetivas e que tenham um caráter
inibidor para futuras ações; promover a cooperação entre os aplicadores da lei e as empresas
privadas; prevenir o conflito de interesses; proibir a existência de “caixa dois” nas empresas; e
desestimular isenção ou redução de impostos a despesas consideradas como suborno ou outras
condutas afins59.”

No mesmo ano, o Banco Central tornou pública a Resolução 3.380, que

“dispõe sobre a implementação da estrutura de gerenciamento do risco
operacional.”60. O propósito do CMN é que as entidades financeiras tenham uma
estrutura de riscos compatível com a natureza e a complexidade dos produtos,
serviços, atividades, processos e sistemas da instituição. A resolução define risco
operacional como “a possibilidade de ocorrência de perdas resultantes de falha,
deficiência ou inadequação de processos internos, pessoas e sistemas, ou de
eventos externos.”61.
Com a ideia de criarem em conjunto com dezenas de países nos 5
continentes62 um vínculo forte contra a corrupção, em 2011, o Brasil assinou a
declaração de governo aberto63 que visa combater atos de corrupção, bem como
a transparência e acesso à informação pública. Atualmente, 78 países integram
esta parceria sem fronteiras64. Como consequência desse compromisso entre
nações, foi sancionada a lei 12.527/201165, a conhecia lei de acesso à
informação. De forma inédita, depois dessa lei, tornou-se possível o direito de
receber dos órgãos públicos informações de seu interesse particular, ou de
interesse coletivo ou geral, sem a necessidade de um motivo aparente.
Mesmo não tendo como foco as questões concorrenciais, difícil seria discorrer
sobre programas de integridade sem fazer breves comentários sobre a lei 12.529
de 2011 que estruturou o Sistema Brasileiro de Defesa da Concorrência (CADE)
e dispôs sobre a prevenção e repressão às infrações contra a ordem econômica.
Esta mencionada lei foi protagonista de multas milionárias em nosso país.
Citamos como exemplo as condenações do cartel do metrô66, cartel internacional
de compressores herméticos67, Cartel das cargas aéreas68 e cartel no mercado de
produtos de PVC69, dentre tanas outras condenações milionárias impostas pelo
CADE, seja em acordos ou em sessões de julgamento.
Tamanha a necessidade de uma legislação atualizada que, em 2012, a Lei
9.613/1998 foi alterada pela Lei 12.683/2012 “para tornar mais eficiente a
persecução penal dos crimes de lavagem de dinheiro”70, seguindo uma tendência
global de combate a atos de corrupção.
Na sequência cronológica, os dois próximos anos, de 2013 e 2014, foram
marcantes em termos legislativos contra a prática de atos contra a administração
pública, nacional ou estrangeira. Nesses dois anos, tornaram-se vigentes as leis
de número 12.850/13 (Lei da delação Premiada) e a de número 12.846/13 (Lei
anticorrupção ou Lei da empresa limpa). A primeira tem como objetivo a
definição de “organização criminosa e dispõe sobre a investigação criminal, os
meios de obtenção da prova, infrações penais correlatas e o procedimento
criminal.”71. Esta lei trouxe como novidade ao tipificar de forma autônoma o
delito de organização criminosa, com procedimento diferenciado quando houver
participação de funcionário público.
A segunda, que teve sua vigência em 2014, foi publicada depois de muita
pressão da sociedade civil e de críticas da OCDE ao afirmar que o Brasil corria
sério risco de não estar seguindo os compromissos firmados internacionalmente.
As pressões de que os países membros não fizessem mais negócios com o Brasil
e os movimentos populares de junho de 201372, com milhões de pessoas nas ruas
pleiteando pela redução dos valores de transporte público, pela violência de
policiais militares, má qualidade de serviços públicos e, acima de tudo, à
corrupção, foram a força que o país precisava para promulgar a principal lei
sobre atos de corrupção do país. Se dúvida, um marco histórico brasileiro contra
a corrupção.
 Neste período, a sociedade brasileira passou a acompanhar de forma atenta
nos noticiários o que se passava nos bastidores dos relacionamentos público-
privados, especialmente nos ilícitos cometidos com pagamento de suborno.
Nesse ambiente de dúvidas e descrença no poder público em geral, em 1º de
agosto de 2013 foi promulgada a lei 12.846/13, considerada um divisor de águas
para o tema compliance para o Brasil e os programas de compliance nas
empresas aqui constituídas.
“A Lei Anticorrupção apresenta como penalidades a publicação extraordinária do crime por parte
da empresa, divulgando a punição com base nessa lei, e estabelece uma multa que pode chegar a
20% do faturamento bruto ou até R$ 60 milhões. Essa quantia pode ser abatida justamente com a
adoção de um programa de compliance em linha com as exigências da legislação73.”

Com as leis da delação premiada e anticorrupção em plena vigência, o ano de

2014 foi um marco histórico que será analisado pela nossa geração e posteriores,
especificamente contra a corrupção e lavagem de dinheiro em nosso país. Foi
quando o esquema criminoso do posto da Torre em Brasília-DF, do doleiro
Carlos Habib Charter, foi desmantelado pela Polícia Federal, deflagrando a
“Operação Lava Jato”74.
De início, a intenção da Polícia Federal e do Ministério Público era investigar
e processar organizações criminosas do mercado paralelo de câmbio, porém,
com o deslinde das investigações, para a surpresa até dos investigadores, a
Polícia Federal colheu provas de um imenso esquema criminoso de corrupção e
lavagem de dinheiro, inclusive fora do país, envolvendo uma das maiores
petroleiras do mundo, a famosa Petrobras. Segundo a própria Polícia Federal75,
[...] as empreiteiras se cartelizaram em um “clube” para substituir uma
concorrência real por uma aparente. Os preços oferecidos à Petrobras eram
calculados e ajustados em reuniões secretas nas quais se definia quem ganharia o
contrato e qual seria o preço, inflado em benefício privado e em prejuízo dos
cofres da estatal. O cartel tinha até um regulamento, que simulava regras de um
campeonato de futebol, para definir como as obras seriam distribuídas. Para
disfarçar o crime, o registro escrito da distribuição de obras era feito, por vezes,
como se fosse a distribuição de prêmios de um bingo.
Apenas para recordar alguns números, a “Operação Lava Jato” já recuperou
mais de R$14 bilhões de reais em delações premiadas, cumprindo com mais de
1.300 mandados de busca e apreensão e mais de 300 mandados de prisão
expedidos pela Justiça Federal76. Sem dúvida, ainda é a maior iniciativa de
combate a corrupção e lavagem de dinheiro da história do Brasil, com o
propósito de investigar e punir pessoas físicas e jurídicas no repasse de propina
entre empresários, políticos e executivos de grandes empreiteiras que se
relacionaram de forma direta ou indireta com empresas públicas77.
Um ano depois do início da “Operação Lava Jato”, em 2015, a ex-presidente
da república, Dilma Rousseff, no uso da atribuição que lhe confere a
Constituição Federal, publicou o decreto 8.420/2015 para regulamentar a lei
anticorrupção, enfatizando a necessidade de implementação de um programa de
integridade. Dentre os pontos mais marcantes, citamos a apuração de
responsabilidade, o cálculo da multa, programa de integridade, acordo de
leniência e cadastro das empresas punidas, todos eles descritos abaixo:

a. Apuração de responsabilidade: A lei confere à Controladoria-

Geral da União (CGU) competência exclusiva para instaurar, apurar
e julgar atos lesivos à administração pública nacional e estrangeira.
A CGU tem competência concorrente para instaurar e julgar os
Processos Administrativos de Responsabilização (PAR) e
competência exclusiva para avocar os processos instaurados para
exame de sua regularidade, inclusive promovendo a aplicação da
penalidade administrativa cabível e opinando sobre seu
arquivamento definitivo78.
b. O cálculo da multa: no capítulo II encontra-se as regras da
apuração dos atos lesivos contra a administração pública. Se
aplicável, depois da análise das provas e do princípio do devido
processo legal, uma multa pecuniária jamais poderá ser inferior ao
valor da vantagem auferida. Para o devido cálculo, há várias
variantes a serem consideradas, tais como o faturamento bruto da
pessoa jurídica do último exercício anterior ao da instauração do
PAR, a gravidade dos atos e sua reincidência, tendo como limite
máximo, “o menor valor entre vinte por cento do faturamento bruto
do último exercício anterior ao da instauração do PAR, excluídos os
tributos; ou três vezes o valor da vantagem pretendida ou
auferida”79. Caso seja impossível calcular o faturamento da empresa
investigada, “o valor da multa será limitado entre R$ 6.000,00 (seis
mil reais) e R$ 60.000.000,00 (sessenta milhões de reais)”80. Para os
fins previstos no Decreto, é a efetividade do programa de integridade
em relação ao ato lesivo objeto de apuração que será considerado
para a eventual atenuação da sanção.
c. O programa de integridade: A partir do decreto, ficam
 estabelecidas “a adoção, aplicação ou aperfeiçoamento de programa
de integridade”81. Ou seja, temos um ato normativo que versa sobre
o os “mecanismos e procedimentos internos de integridade, auditoria
e incentivo à denúncia de irregularidades e na aplicação efetiva de
códigos de ética e de conduta, políticas e diretrizes com objetivo de
detectar e sanar desvios, fraudes, irregularidades e atos ilícitos
praticados contra a administração pública.”82. Referido programa
deve ser customizado com a finalidade de atender as necessidades do
negócio, sendo aprimorado com ferramentas de melhoria contínua83.
A partir do Decreto fica evidente que compliance no Brasil não
representa somente ter um código de ética e algumas políticas, mas,
sim, mecanismos efetivos de mapeamento, execução,
monitoramento de atos considerados ilícitos ou fora dos padrões da
empresa.
d. O acordo de leniência: este instituto já esteve presente na lei n.º
10.149, nos anos 2000, lei que versa sobre a transformação do
“Conselho Administrativo de Defesa Econômica – CADE em
autarquia, além de versar sobre a prevenção e repressão às infrações
contra a ordem econômica.”84. O princípio deste acordo é que a
empresa infratora colabore efetivamente com a investigação,
trazendo mais materiais comprovatórios e demais envolvidos, a fim
de obter benefícios da pena a ser aplicada, tais como “isenção da
publicação da decisão sancionadora; isenção da proibição de receber
incentivos, subsídios, subvenções, doações de órgãos ou entidades
públicos, isenção ou atenuação de punições restritiva ao direito de
licitar e contratar e redução do valor da multa.”85. A depender dos
ilícitos provados, a CGU pode encaminhar os ilícitos a serem
apurados em outras instâncias, o relatório da investigação poderá ser
encaminhado ao Ministério Público, à Advocacia-Geral da União ou
ao órgão de representação judicial competente86. “A proposta do
acordo de leniência poderá ser feita até a conclusão do relatório a ser
elaborado no PAR.”87
e. O cadastro de empresas punidas: foram criados dois cadastros: o
primeiro é o Cadastro Nacional de Empresas Inidôneas e Suspensas
(CEIS); o segundo é o Cadastro Nacional de Empresas Punidas
(CNEP), com referência nos artigos 43 e 45 do Decreto. Ambos têm
a missão de ser uma fonte de consulta sobre práticas ilícitas. Dentre
 as sanções está a proibição de participar de licitações ou celebrar
contratos com a administração pública de qualquer esfera
federativa88.

A implementação de mecanismos de compliance (seguir o que está escrito) e

de integridade (seguir o que é o certo) passam por uma diferença fundamental
onde o primeiro tem o objetivo primário de defesa e o segundo o de levar a
conscientização dos envolvidos de fazer o certo, simplesmente porque é ético,
íntegro e transparente.
Nos programas de compliance, as ações dos stakeholders serão implantadas e
controladas para seguir a lei e às políticas internas. Quando se trata de um
programa de integridade, não infringir a lei ou as políticas internas é mera
consequência de se fazer o certo, pois a integridade é mais abrangente do que
“apenas” seguir o que está padronizado nos murais dos corredores, mas ter uma
boa governança, uma conduta ética enraizada, transparência nos negócios e
lisura organizacional Como podemos perceber, em tese e respeitando a boa
técnica, um programa de integridade vai além de um programa que compliance
propriamente dito, pois agrega às regras que regem as atividades comerciais um
eficiente controle interno e mapeamento dos riscos operacionais. Para isso
acontecer, é preciso ter conhecimento de todo o negócio, com uma gestão e
governança diligente.
No artigo 42, existem dezesseis incisos que dão base jurídica para as
autoridades competentes avaliarem se uma empresa investigada tem um
programa de integridade robusto e eficaz. Os parâmetros são: a) suporte da alta
administração; b) código de ética, conduta, políticas e procedimentos; c) gestão
de riscos; d) controles internos; e) treinamentos e comunicação; f) canais de
denúncias; g) investigações internas; h) due diligencie e i) monitoramento e
auditoria. Esses parâmetros serão abordados mais a fundo nas próximas páginas.
Chegando-se ao fim dessa jornada histórica sobre as origens e
desenvolvimento das normas de compliance ao redor do mundo e no Brasil,
terminamos no ano de 2015 com a publicação da cartilha da CGU, órgão ligado
à Presidência da República, responsável por políticas anticorrupção, acerca de
um programa ideal de integridade para empresas privadas89.
Indo ao encontro do Decreto nº 8.420 e da Lei 12.846, a CGU enumera cinco
pilares, no mínimo, que devem ser seguidos pelas empresas que desejam
implementar um programa de integridade em suas operações. São eles:
Comprometimento e apoio da alta direção; Instância responsável; Análise de
perfil e riscos; Estruturação das regras e Comunicação e treinamento90. Em
2017, a CGU também lançou uma cartilha para empresas públicas, com o nome
de “Manual para implementação de programas de integridade” que vai no
mesmo sentido91.
Por fim, no setor bancário, também no ano de 2017, tivemos a Resolução nº
4.595/2017, emitida pelo Bacen, regulamentando “sobre a política de
conformidade (compliance) das instituições financeiras e demais instituições
autorizadas a funcionar pelo Banco Central do Brasil.”92.
Sem dúvida, a quantidade de tantas normas sobre o assunto impressiona com
o passar dos anos, mas há um propósito maior em comum em todos nesses textos
supra citados: o fomento de programa de integridade, assunto que discorreremos
a seguir nos próximos capítulos, iniciando-se com a figura essencial do
compliance officer.
1.3 O papel ético e a responsabilidade
jurídica do compliance officer
Vigilante, espião, polícia, auditor. Não é raro escutarmos no ambiente
corporativo uma analogia do papel do compliance officer com outras profissões,
especialmente a de auditor, fato este que evidencia a necessidade de
entendimento dessa função, isso sem mencionarmos os adjetivos de mal gosto e
insipientes que são proferidos em momentos de distração.
De início, mister se faz conhecer que a posição de compliance officer93 não
foi desenvolvida para ser o cão de guarda da empresa, muito menos uma pessoa
em que não se possa confiar. O compliance officer tem a função de, a partir do
entendimento do ambiente dos negócios em que está inserido e à luz dos valores
e princípios éticos determinados pela mais alta direção94, desenhar um mapa de
controle a respeito do marco regulatório a que empresa empregadora está
exposta, criando um mapa de risco com indicadores objetivos a fim de
demonstrar o nível de risco95 corporativo.
O compliance officer deve criar e organizar normas internas que descrevam o
comportamento esperado de todos os quadros da hierarquia corporativa, desde os
acionistas, passando pelo presidente do conselho de administração, a diretoria
executiva até os cargos operacionais na base da pirâmide de cargos e funções
(isso em grandes empresas). Muitos vão além e até criam diretrizes para
terceiros. O compliance officer pode prestar um ótimo serviço na criação e
divulgação de sistemas de comunicação e denúncia acessível aos empregados e a
todos os stakeholders, além de proporcionar sistemas de investigação de
eventual fato levado ao seu conhecimento.
Determinadas atividades que desafiam o marco regulatório vigente ou alguma
política interna, seja pela necessidade imediata de inovação ou por um aumento
significativo de fluxo de caixa, devem ser reportadas com uma metodologia
aprovada pelo CO96, de forma independente e sem filtros. Também é recorrente
que o compliance officer desenvolva um sistema de reporte periódico e
comunique diretamente à alta direção97.
Dentre as atividades exercidas, de forma ilustrativa, citamos98: - preparação
ou aperfeiçoamento de um código de conduta;
- mapeamento dos processos da empresa em todos os setores;
- elaboração de atividades que promovam transparência nos processos da empresa;
- monitoramento de regulamentações e atividades da empresa em consonância com as leis;
 - controle interno de atividades;
- fortalecer rotinas de inspeção e fiscalização de atividades;
- criação e implementação de canais internos anônimos para denúncias (ouvidoria);
- prevenção de fraudes;
- segurança da informação;
- contabilidade internacional, fiscal e gerencial;
- análise de riscos operacionais da área de atuação da empresa;
- auditoria interna e externa;
- atuar na cultura organizacional da empresa, estimulando a integridade entre gestores e
colaboradores;
- zelar pela imagem da empresa frente ao público a mídia.

O perfil de um compliance officer, assim como acontece nos Estados

Unidos99, é de ser um exemplo ético, moral, com perfil de liderança, com
credibilidade e autonomia. COs devem, primordialmente, considerar alternativas
para antecipar e mitigar riscos relacionados com a ética, conformidade das leis e
diretrizes internas.
Idealmente, o compliance officer deveria reportar diretamente ao o conselho
de administração, pois isso evitaria um eventual conflito de interesse ou
favoritismo, beneficiando a autonomia e a lisura das decisões. Entretanto, isso
não é a realidade da grande maioria das empresas que estão operando, pois,
infelizmente, as pequenas e médias ou não tem um responsável por um programa
de integridade ou o canal de denúncias e tomada de decisões são ligados a um
gerente, diretor ou o próprio dono do negócio100. Por exemplo, como a empresa
vai conquistar a credibilidade do programa e do papel de um compliance officer
perante todos os colaboradores se o guardião do programa reporta para um
diretor financeiro e este, regularmente, quebra a política de presentes e
entretenimento? Refutar esses desafios é fugir da realidade e ficar em uma zona
apenas teórica. Dito de outra forma, as questões éticas de uma empresa, com ou
sem a participação do compliance officer é uma decisão de gestão. Dado a essa
falta de conhecimento e desafios operacionais, muitos negócios decidem por
terceirizar toda a administração dos programas.
“Pequenas companhias com enxutos quadros de colaboradores podem não comportar uma área de
compliance autônoma, seja em razão do custo fixo, seja em razão da ausência de demanda a
justificar a criação de tal área. A própria CGU reconhece tal condição em suas cartilhas e,
inclusive, reconhece como valida a terceirização da função de compliance101.”

Mas tudo isso deve ser muito custoso para a empresa contratante, correto? “Se
você acha que compliance é caro, tente não estar em compliance”. Essa
afirmação do advogado norte-americano e ex-procurador-geral adjunto dos
Estados Unidos Paul McNulty102 resume de uma forma didática a necessidade
de um programa efetivo de integridade corporativa ou, dito de outra forma,
programa de compliance empresarial. Empresas multinacionais tais como a
Siemens, Alstom, Odebrecht103, Ambev104 experimentaram desse custo após
serem multadas por atos que fugiam às políticas internas de compliance das
companhias e à FCPA.
A responsabilidade do compliance officer é de criar e manter constantemente
atualizadas as diretrizes necessárias para que cada integrante da empresa
conheça as normas externas e internas para desenvolver sua atividade e, diante
de qualquer inconformidade, o compliance officer deve possuir ferramentas para
que possa apurar e corrigir eventual conduta, com a finalidade de manter a
empresa em conformidade com o marco regulatório e livre de qualquer questão
reputacional.
Para ilustrar o quão amplo é o monitoramento de riscos por parte de um
compliance officer, segue a ilustração elaborada pela KPMG105 abaixo: Figura
3: Riscos monitorados pelo compliance officer

Nesse ambiente de políticas de conduta, é quase que impossível não ocorrer

dilemas éticos nas tomadas de decisão. A notoriedade das transações comerciais
nos mostram que empresas são criadas todos os dias com uma finalidade: gerar
lucro aos seus investidores/sócios, excluindo, por óbvio, as Organizações em fins
lucrativos, que foge da proposta desta obra.
 Para o desenvolvimento do negócio na hierarquia corporativa várias áreas
independentes e com escopo distintos deveriam interagir de forma síncrona e
harmônica para a comercialização do produto e/ou serviço. Por exemplo, a área
comercial atuará para vender, o marketing para divulgar as qualidades do
produto e convencer o consumidor final, o financeiro para contabilizar os
resultados de forma maximizadora, o jurídico para viabilizar legalmente os
negócios criados pelas áreas e o time de compliance para entender os riscos de
cada área e criar normas de controle para o desenvolvimento sustentável de todo
o negócio.
Por óbvio, nesse emaranhado de intenções e objetivos diversos, inevitável
serão os conflitos de gestão de pessoas, ética nos negócios e interesse difusos
dos departamentos. Há, sim, pelo menos nos murais dos corredores das
empresas, uma convergência final traçada pela alta liderança (visão, missão,
objetivos, valores), mas cada área tem suas metas de forma independente e o
conflito ético nasce desta interrelação do como, quando e a que custo.
De forma positiva, entendemos que o Brasil vem realizando avanços
históricos em direção à quebra do paradigma do famoso “jeitinho brasileiro” e
do fim da tolerância com a tão impregnada mania de “levar vantagem em tudo”.
Grande parte dessa evolução é mérito dos bons compliance officers,
principalmente àqueles que estudaram nos Estados Unidos ou Europa, pois esses
profissionais entenderam que essa nova realidade do certo, justo, transparente
acarreta muito mais do que uma mudança de cultura e paradigmas, mas também
uma vantagem competitiva que agrada a todos os tomadores de decisão. Segue
ilustração com foco nessa vantagem competitiva sustentável106.
Figura 4: Vantagem competitiva sustentável
 Nesse ambiente de controle interno vs. lucratividade imediata do negócio, o
compliance officertem um papel essencial, pois é ele quem tem o dever de
resguardar a credibilidade do programa de integridade e servir de exemplo ético
para toda a organização, pois, sabemos que não existe empresa com um
programa eficaz se o compliance officer for uma pessoa desprovida de ética,
integridade e parcialidade nas tomadas de decisão.
É cediço que ninguém gosta de ser perseguido ou monitorado, isso é verdade,
por isso não podemos confundir o papel do compliance officer com operações
“caça às bruxas”. O escopo do compliance officer não é isso e nunca foi. O
compliance officer não é para ser auditor, recursos humanos, jurídico ou o “faz
tudo” da empresa. Esse profissional deve, acima de tudo, maximizar a gestão de
riscos, garantindo a legalidade do negócio, sempre alertando os tomadores de
decisão com o intuito de melhorar da visão do negócio em execução. Dentre suas
responsabilidades, os compliance officers de destaque conseguem até descobrir o
quase imprevisível, o pouco provável, analisando a fundo os detalhes a fim de
resguardar os interesses da companhia em curto, médio e longo prazo.
 Analogicamente, a equipe de compliance deve atuar de forma preventiva para
que a empresa não tenha perdas, mas também como departamento consultivo
para eventuais sanções para a empresa e seus indivíduos, sendo uma área de
suporte estratégico, sempre reportando para a alta direção, em camadas e filtros
burocráticos. Segundo doutrina estrangeira (tradução livre), “O papel de um
compliance officer, às vezes chamado de gerente de compliance, é garantir que
uma empresa esteja conduzindo seus negócios em pleno cumprimento de todas
as leis e regulamentos nacionais e internacionais que dizem respeito à sua
indústria particular, bem como padrões profissionais, práticas comerciais aceitas
e padrões internos. Os compliance officers devem ter um conhecimento inato e
intuitivo dos objetivos e cultura da empresa, bem como da maior que atua e do
direito empresarial. Eles são responsáveis não apenas por manter os negócios de
uma empresa eticamente sólidos e legalmente impecáveis, mas de educar toda a
empresa e instituir práticas que garantirão o mais alto nível possível de
conformidade107.”
Se o CO não tiver voz ativa e autonomia para reportar tudo que investigar, o
programa de ética e governança não passará de um papel em um mural
(compliance de papel), um hotline inoperante, um programa para “inglês ver”.
Para um programa de compliance ser eficiente e contribuir para os bons
resultados da empresa, não pode haver hierarquia para investigações, muito
menos um compliance officer que tenha vínculos pessoais fortes (parentesco
direto, sócios em outros negócios, relacionamento amoroso) com cargos
superiores ou pessoas influentes na cadeia108. Nesses casos, os Cos devem
levantar a possibilidade de se considerar parcial, impedido de atuar em uma
eventual investigação e ser ético, transparente diante das pessoas que o cercam
no ambiente de trabalho.
Não raro são os investigados terem ojeriza ou repúdio aos compliance
officers, mas estes devem ser habilidosos o suficiente para administrar os
desafios da função de uma forma ética e serena, endereçando os comportamentos
ou negócios que se enquadram fora das políticas internas e/ou contra a legislação
aplicável. Para isso, mister se faz um perfil com habilidades de pensamento
analítico, probo, negociador, com inteligência emocional109.
O que não pode acontecer, é confundirmos a posição de compliance officer
com a de gatekeeper. Segundo John C. Coffee Jr, professor de direito da
Columbia Law School110, o termo da língua inglesa gatekeeper tem sido usado
pela Comissão de Valores Mobiliários americana (US Securities and Exchange
Commission – SEC) para descrever profissionais independentes que se dedicam
para assistir aos investidores na preparação, auditoria, análise, assessorando as
informações de mercado antes de uma consultoria de investimentos.
Ainda citando o referido artigo, o gatekeeper ideal seria um profissional que
combina três elementos, tais como ter mandato para atuar em nome do mandante
no mercado de capitais; ter significativo senso de responsabilidade para detectar
e impedir uma transação ilegal e, por fim, ter ganhos modestos para dar seu
parecer.
O tradicional gatekeeper exerce uma função além das atribuições do CO, pois
por meio de um mandato ele age em nome do mandante, com poder e
responsabilidade para detectar e impedir uma transação ilegal, ou seja, ele tem
poder decisório, “ele tem a chave na mão”, ao contrário do compliance officer,
cujas atribuições são de desenvolver um sistema de controle, orientar,
conscientizar, investigar, analisar, propor solução e reportar. O compliance
officer deve manter o alto escalão da empresa da companhia ciente dos
acontecimentos que estão fora das políticas internas e padrões éticos, mas o
verdadeiro poder de decisão é tarefa que está, em regra, além da sua autonomia e
job description111.
Precisamos deixar claro que o compliance officer não deveria ser contratado
para tomar decisões em nome da empresa, pois o escopo da sua função é a de
evitar riscos, gerenciar crises e reportar os acontecimentos aos tomadores de
decisão com poderes legais (seja pelo contrato social, estatuto ou por
procuração). Estes, por sua vez, têm a incumbência para tomarem as decisões de
negócio e não deveriam terceirizar essa responsabilidade.
A equipe de compliance conscientiza a empresa a respeito das normas
internas e externas aplicáveis sobre as atividades, advertindo sobre as
consequências das escolhas e, idealmente, deveria ter poder de veto em situações
perante um caso antiético ou antijurídico. O compliance officergerencia a vida
empresarial de uma pessoa jurídica, não de uma pessoa física, não podendo ser
confundido com o papel de um investigador de polícia. Se a ação investigada
estiver a tempo de ser paralisada ou dependendo da forma/gravidade da
transgressão, as autoridades (polícia, ministério público, autoridades
consumeristas) devem ser comunicadas e as vítimas reparadas.
Em suma, reforça-se que a decisão não está com o compliance officer, mas
sim com os gestores que foram contratados e são pagos para isso (muitos tem
remuneração extra devido a esta incumbência). Se alguém tem que tomar uma
decisão estratégica, este deveria ser o executivo principal do negócio e,
consequentemente, ser remunerado e prestigiado por isso.
 Como bem enfatizado pela Associação Brasileira de Bancos (ABBC), entre os
diferenciais da função de um compliance officer “está a aplicação da matriz de
risco, em que o profissional deve explorar impactos e probabilidades, além de
praticar o Control Self Assessment no processo de gestão, aumentando a eficácia
e a segurança do controle interno pela própria área”112.
Considerando que a existência de objetivos e metas é condição sine qua non
para a existência dos controles internos, há várias ferramentas e técnicas que
podem ser aplicadas pelo compliance officer na busca de um mapa de calor de
riscos. Apenas a título exemplificativo, mencionamos o Committee of
Sponsoring Organizations of the Treadway Commission (COSO), o qual propõe
um padrão de entendimento, avaliação e aperfeiçoamento de controles internos,
em cinco componentes Ambiente de Controle; Avaliação de Riscos; Atividades
de Controle; Informações e Comunicações e Monitoramento, sempre auxiliando
o compliance officer “quanto a princípios e melhores práticas de controle
interno, em especial para assegurar a produção de relatórios financeiros
confiáveis e prevenir fraudes”113.
Sobre a responsabilidade Ono direito brasileiro, iniciamos esse debate com as
palavras do promotor de justiça do Tribunal do Júri do Estado de São Paulo: “o
crime compensa no Brasil”114. Apesar da forte e direta mensagem publicada em
um dos jornais de grande circulação do país, essa afirmativa expressa mais do
que um apelo e nos faz refletir quanto à penalização aplicada à antijuricidade de
um ato executado por um administrador de uma empresa e, além disso, se esse
ato vale à pena, diante das nossas fragilizadas ferramentas punitivas.
Antes de adentrarmos nas possibilidades de responsabilização de um
compliance officer pelos atos ilícitos cometidos pela empresa a qual presta
serviço, mister se faz, sumariamente, relembrarmos alguns pontos jurídicos
sobre a responsabilidade de um administrador de empresa.
Como é sabido, tomar decisões é a principal função de um administrador de
empresa. Para se chegar a uma decisão estratégica, deve-se passar por algumas
etapas, tais como identificação do problema, recursos necessários, pessoas
capacitadas e mensuração dos riscos (para a empresa e pessoas). Após essas
análises de cunho técnico e operacional, o executivo com poderes legais tenta
antever as consequências para tomar, segundo seus ideais e melhor previsão
possível, a decisão mais coerente diante de um problema concreto naquele exato
momento. A maior dificuldade em se tomar uma decisão em nome de uma
empresa é que uma vez consumada, a decisão é irreversível. Certamente, as
consequências virão, sejam benéficas, tais como aumento da lucratividade e bem
estar coletivo ou, talvez, maléficas, de cunho criminal ou apenas financeiros.
Nesse contexto, não é raro na prática jurídica advogados criminalistas terem
contato com administradores que os contratam para emitir pareceres sobre os
riscos jurídicos e dos reflexos da antijuridicidade dos seus atos visando apenas a
lucratividade em curto prazo. Por se tratar de uma decisão em prol dos
acionistas, que visam a cada ano maior lucratividade, o administrador decidirá
em tomar uma decisão que vai ao encontro ou de encontro à legislação e das
políticas de compliance internas. Isso sempre será uma decisão que nenhum
compliance officer deveria ser responsável, pois eventual ilicitude vai além das
suas ingerências e responsabilidades.
Uma eventual antijuridicidade das decisões acarreta para os administradores,
na teoria, três consequências. A primeira consequência é a reputação da empresa,
seus produtos, suas marcas; a segunda os reflexos na esfera civil (contratual ou
extracontratual) e a terceira a responsabilidade na esfera penal.
No direito civil, o administrador pode tomar uma ação infringindo uma
cláusula contratual ou causando danos a outrem115. Para esse tipo de
comportamento existem as cláusulas penais contratuais, devidamente expostas
no Código Civil, comumente conhecidas e chamadas de simplesmente “multa”.
Essa referida cláusula tem como objetivo estipular, previamente, o valor da
indenização que deverá ser paga pela parte contratante que não cumpriu a
obrigação.
Sua natureza é de obrigação acessória, que pode estar embutida no contrato
principal em outro instrumento separado. Há dois tipos de cláusula penal no
Brasil, com finalidades diametralmente análogas: a compensatória e a
moratória116, diferenças estas que fogem da proposta desta obra117. De acordo
com a teoria da responsabilidade civil brasileira, observam-se pelo menos três
aspectos ao estipular o valor de uma eventual indenização: a extensão do dano
causado, a condição econômica das partes e o efeito pedagógico a ser
alcançando contra o agente causador do dano.
Já na esfera penal, como consequência de um movimento recente de
investigação das relações entre público e privado, no Brasil, conduzido pelo
Ministério Público Federal, há uma tendência mais forte de punir severamente
crimes cometidos pelas classes sociais mais abastadas da nossa sociedade. Nas
últimas décadas, os crimes de colarinhos brancos passaram a ser coagidos de
forma nunca vista anteriormente. Exemplo disso, são as implicações e
condenações de altos executivos em ações penais conhecidas como o
“Mensalão” e na “Lava Jato”, o que desperta na sociedade a rigidez na conduta
com os poderes públicos e influência, de forma geral, empresas a implantarem
um sistema de compliance e integridade robusto e uma postura comportamental
mais ética.
Nesse sentido, buscando iluminar a discussão a respeito da responsabilidade
do compliance officer, a Lei n. 12.846/2013 nos arts. 2o e 3o, parágrafo 2o, prevê,
respectivamente, a responsabilidade objetiva da pessoa jurídica e a
responsabilidade subjetiva na medida da sua culpabilidade, que depende da
prova da culpa dos dirigentes e administradores. Nenhuma menção sobre a
responsabilidade objetiva de pessoas físicas foi disposta na referida lei.
Na mesma linha de raciocínio, no art. 5 o estão relacionados os atos contrários
à administração pública, que caracterizam práticas efetivas. Tais ilícitos são
ações que circunscrevem, de forma geral, atos de corrupção, fraude, inexistindo
qualquer responsabilidade por falha ou omissão quanto a ações de um
compliance officer. Ou seja, não há responsabilidade para as pessoas físicas,
dirigentes ou administradores na lei Anticorrupção, especialmente para o
compliance officer, por um ato omissivo sem a análise da culpabilidade.
Acerca das funções do compliance officer, o art. 7o da Lei de Anticorrupção
Empresarial trata a implantação para os fins de aplicação de sanções “a
existência de mecanismos e procedimentos internos de integridade, auditoria e
incentivo à denúncia de irregularidades e a aplicação efetiva de códigos de ética
e de conduta no âmbito da pessoa jurídica”. Por esses atos, um compliance
officer só poderia ser responsabilizado se agiu de forma típica, antijurídica e
culpável, contribuindo para o resultado de uma ilicitude (não meio), com
poderes de garante, com dolo efetivo, com vantagem pessoalmente por ele
auferida. Do contrário, qualquer condenação será totalmente questionada perante
as leis vigentes que temos à nossa disposição.
Tentar esticar a responsabilidade de um administrador para um compliance
officer foge a boa técnica do direito penal, pois a teoria do dever jurídico serve
ao empresário do alto escalão da empresa, com poderes legais e na posição de
garante para tomar uma decisão individual em nome da empresa, fato este que
não pode ser o papel de um compliance officer. Esse expansionismo não pode
prosperar em nossos tribunais, pois todo compliance officer deve ser
responsável, no máximo, pela montagem, execução e controle interno dos
programas de ética e integridade visando um negócio mais sustentável. Como
podemos perceber, é muito difícil estabelecer uma relação direta, com nexo de
causalidade, entre a conduta de um compliance officer e o resultado lesivo para
um terceiro ou para a sociedade.
 Mesmo tentando enquadrar o compliance officer nos crimes omissivos
impróprios, que são aqueles cometidos quando o agente não faz o que pode fazer
ou não faz o que deve fazer, não há previsão legal em nosso ordenamento
jurídico. Nessa linha de raciocínio, enxergamos que somente os empresários com
poder de garantidores teriam um dever jurídico, Opela lei, não podem ter essa
responsabilização. A relação de responsabilidade de um compliance officer é
uma relação contratual, nele especificando os seus poderes, funções e
responsabilidades, de acordo com o salário ofertado.
“Cumpre salientar que a jurisprudência brasileira procura distanciar funções intrínsecas de garante
da responsabilidade criminal. É o caso de manifestação contrária à responsabilização objetiva de
profissional que exaure parecer técnica, de acordo com sua atividade, e venha a ser
incriminado.”118

Se fosse admitido em nosso ordenamento jurídico a responsabilização dos

Cos pelos atos ilícitos das pessoas jurídicas, os administradores teriam a
oportunidade de terceirizar para os compliance officersO “laranjas” toda a
responsabilidade. Para se comprovar a concepção tripartida do delito, como a
condita típica, antijurídica e culpável, o poder judiciário não pode incriminar um
CO simplesmente com base na sua posição celetista ou contratual na empresa
que ocupa. Essa é a posição do nosso Superior Tribunal de Justiça119,
rechaçando a responsabilidade objetiva, inclusive nos casos em que o ato ilícito
foi cometido por um sócio120.
Diante dessa análise, considerando a regra geral de responsabilização no
direito civil, enfatizamos que “não há tipo penal específico para a incriminação
do compliance officer”121, pois a mera falha de boa-fé em seu dever de
prevenção não pode caracterizar a posição de garantidor ou representante legal,
porque a implementação do sistema de compliance é uma prática para fins de
redução de eventual sanção; ao contrário do que já ocorreu nos Estados Unidos,
em que há um dever positivo na sua implementação. Vejamos abaixo o direito
comparado.
Nos Estados Unidos, em maio de 2017, a corte distrital do Estado de
Minnesota, julgou o caso emblemático do ex-compliance officer122, condenando-
o pessoalmente nas esferas civil e criminal por não implementar ferramentas
efetivas de controle de riscos, especialmente sobre lavagem de dinheiro em uma
empresa que opera no mercado financeiro, especialmente com a remessa de
valores entre países.
Essa ação foi proposta pelo tesouro do governo americano (United States
Department of the Treasury) contra Thomas E. Haider, réu e ex-compliance
officer da empresa MoneyGram International Inc., na corte distrital do sul da
cidade de Nova York em dezembro de 2014.
O Departamento de Crimes Financeiros do Tesouro Americano (FinCEN)
reconheceu que o referido compliance officer não tomou as medidas suficientes
para cessar a ilegalidade, conduziu auditorias incompletas, culminando nas
práticas tipificadas como lavagem de dinheiro e infringindo a lei de sigilo
bancário americana. O FinCEN multou em um milhão de dólares a pessoa física,
protocolando petição para recolhimento da multa. Além do prejuízo financeiro, o
Thomas Haider ficou suspenso de exercer atividade financeira profissional por
dez anos123.
Dando sequência nos ritos processuais, a punição foi objeto de recurso,
culminando em maio de 2017 na multa para o ex-compliance officer no valor de
duzentos e cinquenta mil dólares americanos, com proibição de atuar no
mercado financeiro por três anos.
Por fim, o juiz federal David Doty aplicou a legislação bancária de sigilo que
se aplica para “parceiros, diretores, gestores (officers) ou empregados”, deixando
um precedente para que futuros compliance officer sejam condenados por
negligência profissional, mesmo se o empregado já tenha sido demitido ou se
afastado voluntariamente da empresa a qual foi investigada.
Thomas Haider foi condenado por falhar enquanto compliance officer nas
seguintes atividades: por não ter implementado adequadamente uma política
contrária à lavagem de dinheiro; por não ter conduzido adequadamente
investigações sobre operações suspeitas; por não ter encerrado os
estabelecimentos da MoneyGram que apresentaram sérios indícios de fraudes
perpetradas por consumidores.
No Brasil não há na jurisprudência cível ou criminal a respeito de um caso
semelhante a este ocorrido nos Estados Unidos, até porque, como já tratado, a
experiência massiva com a função compliance é recente, ou seja, ainda há um
caminho de jurisprudências para ser construído. Data vênia a outros profissionais
do ramo, uma das poucas formas de se condenar um compliance officer pelos
erros de implementação de um programa de integridade seria se fosse provado a
ilicitude de um ato na medida da sua culpabilidade, na condição de garante e
auferindo vantagens pessoais124.
Nessa esteira, em uma decisão de 2013 nosso STF decidiu pela condenação
de alguns executivos, mesmo “que não tivessem participado diretamente do ato
executório, mas que tivessem detido, de alguma forma, o domínio final do fato,
com o controle da execução sob seu comendo.”125. O ponto jurídico desse caso
emblemático foi a menção do compliance officer e sua responsabilização.
O professor de direito penal Cézar Bittencourt nos ensina que “para que se
configure o domínio do fato é necessário que o autor tenha absoluto controle
sobre o executor do fato, e não apenas ostentar uma posição de superioridade ou
de representatividade institucional, como se chegou a interpretar na
jurisprudência brasileira”126.
Essa teoria foi desenvolvida pelo criminalista alemão Claus Roxin, que nos
ensina que
“A teoria do domínio do fato reconhece a figura do autor mediato, desde que a realização da
figura típica, apresente-se como obra de sua vontade reitora, que é reconhecido como o “homem
de trás”, e controlador do executor. A teoria do domínio do fato tem as seguintes consequências:
1ª) a realização pessoal e plenamente responsável de todos os elementos do tipo fundamenta [sic]
sempre a autoria; 2ª) é autor quem executa o fato utilizando a outrem como instrumento (autoria
mediata); 3ª) é autor o coautor que realiza uma parte necessária do plano global (“domínio
funcional do fato”) 127.”

Acabando com muitos burburinhos jurídicos e discussões vagas sobre o

assunto, o próprio Claus Roxin, em entrevista ao Jornal Folha de São Paulo, na
época do julgamento da ação penal 470, explicou sobre a aplicação da teoria do
domínio do fato no Brasil: “É possível usar a teoria para fundamentar a
condenação de um acusado supondo sua participação apenas pelo fato de sua
posição hierárquica? Não, em absoluto. A pessoa que ocupa a posição no topo de
uma organização tem também que ter comandado esse fato, emitido uma ordem.
Isso seria um mau uso. O dever de conhecer os atos de um subordinado não
implica em corresponsabilidade? A posição hierárquica não fundamenta, sob
nenhuma circunstância, o domínio do fato. O mero ter que saber não basta. Essa
construção [“dever de saber”] é do direito anglo-saxão e não a considero correta.
No caso do Fujimori, por exemplo, foi importante ter provas de que ele
controlou os sequestros e homicídios realizados128.”
Em suma, diante de todo o exposto, o contexto das atividades do CO não
determina a sua responsabilidade sobre os atos de inconformidade que forem
identificados na estrutura empresarial da qual faça parte, pois

a. sua autonomia está associada à decisão da alta direção;

b. sua função tem escopo mais preventivo e de monitoramento;
c. inexiste determinação legal acerca do dever positivo de implementar
um programa de integridade eficaz;
d. o controle sobre o cronograma de execução e questões orçamentárias
 estão com alta direção;
e. sua atividade é de meio e não de fim.

O fato inconteste é que a cultura de compliance no Brasil dá seus primeiros

sinais de sucesso e acreditamos em um cenário cada vez mais otimistas e
normatizados dos programas de integridade e da profissão do compliance officer.
Por outro lado, sabemos que ainda há um longo caminho evolutivo que inicia
com a compreensão do escopo de tais atividades, especialmente a compreensão
do time de compliance como um business partner ao negócio, pois atua junto a
todas as áreas para identificar quais são os possíveis impactos nocivos, com o
uso de indicadores.
As ações do compliance officer influenciam a empresa, pois é uma área vital
para a saúde reputacional, financeira e jurídica. A sincronicidade do time de
compliance com as outras áreas é o primeiro passo para se entender até onde vai
a responsabilidade de cada influenciador. Se pensarmos que a função do
compliance officer está estritamente ligada à apuração de crimes de corrupção e
afins, corre-se o risco de perder a sua finalidade principal que é garantir a ética e
integridade empresarial, visando a sustentabilidade no longo prazo.
A responsabilidade do compliance officer precisa ser compreendida pelos
tomadores de decisão, bem como pelo poder judiciário a fim de evitarmos
decisões que fogem à boa técnica jurídica penal. Infelizmente, em muitas
empresas, ele é considerado apenas um ator coadjuvante da cena empresarial,
ator que tem o poder de despertar a consciência dos protagonistas, daqueles que
têm o poder decisório de dizer sim ou não para os atos de não conformidade.
Na medida em que o ambiente de negócio evolui a patamares mais éticos, que
é o que se espera depois de todas essas operações conduzidas pelo Ministério
Público e a Polícia Federal a respeito de corrupção, a função compliance se
tornará cada vez mais relevante nas organizações, como ocorre em países de
primeiro mundo. Assim, antes de se discutir quanto custa um compliance officer,
os tomadores de decisão devem ser perguntar se realmente sabem o que ele faz e
a limitação de sua responsabilidade.
1.4 O dever ético e a necessidade de transparência nas
tomadas de decisões
Com tanta mudança, em pouco tempo, é impossível não se questionar acerca
do modo como os negócios vêm se adaptando para se adequar a esse darwinismo
ético, desde o simples pagamento dos impostos diários, à recusa de um
pagamento de facilitação para um agente público até um dilema ético-moral que
pode prejudicar inocentes.
O fato inconteste é que “os negócios são a maior instituição da sociedade
civil”129, maior que governos, igrejas, instituições educacionais e devem, sob a
ótica da moralidade social, andar junto da ética em todas as tomadas de decisões.
Os benefícios de mercado com os negócios éticos são observados minuto a
minuto, pois aumentam a prosperidade da sociedade, reduz a pobreza, aumentam
a liberdade de escolha de produtos e serviços, trazem uma menor influência do
poder público ou da religião, dentre tantas outras vertentes.
Se existe uma área da filosofia que ainda continua tormentosa, e em constante
aprimoramento, é a da ética, mormente aos negócios, em que se busca o lucro,
na maioria das vezes, a qualquer custo, infelizmente. Nesse ambiente difuso,
com múltiplas possibilidades de entendimentos, muitos tomadores de decisão
tendem a manter certa distância desse debate, pois em alguns casos as
conclusões filosóficas na relação humana vão de encontro aos próprios interesses
comerciais. Com isso, não é raro nos depararmos com pronunciamentos nos
códigos de éticas que são abstratos e podem até ser sinceros, mas não exercem
impacto nas operações concretas que focam em aumentar a fatia de mercado ou
retardar um concorrente em ascensão. Isso sem falar nos emblemáticos discursos
éticos ou políticos que foram inspirados (para não dizer copiados) de outras
pessoas130.
Como é sabido, os negócios são uma ciência humana que padece por ser
reduzida a uma ciência empírica. E, na condição de ciência empírica, estão
limitados a um conjunto de procedimentos, sejam irracionais ou racionais, que,
se seguidos por todos, tendem a produzir lucros. Com isso, “a ética humana se
torna uma lista do que fazer e do que não fazer para percorrer a fórmula de
negócios em direção ao sucesso.”131. A conclusão dessa relação entre ética e
lucro constante é mais complexa do que o próprio estudo da filosofia moral,
pois, além de considerar a universalidade dos valores, a fundamentação
religiosa132, as condutas que vêm de dentro (o eu) para fora (a sociedade), outros
elementos dos negócios devem ser postos em discussão.
Com isso, inevitável depararmo-nos com dilemas éticos na vida profissional.
Como dilema ético, para fins acadêmicos, entendemos que é uma suposição
intrínseca considerada como correta para aquele que toma a decisão ou a
“vivência de uma tensão entre os possíveis caminhos de ação moral na busca
pela melhor decisão em determinada circunstância, sendo a circunstância vista
pela perspectiva daquele que interage com o dilema moral”133.
Um dilema, ao ser adjetivado como moral, está relacionado às questões de
normas, princípios, comandos, proibições, valores e ideias de uma sociedade134,
ou seja, o dilema torna-se moral quando a sua resolução implica reflexão sobre o
significado moral da escolha a ser feita. Consequentemente, para sua existência,
é necessário o aspecto social de compartilhamento da moral vivida. O
importante, para que seja aceito como dilema, é que se trate de um conflito de
possíveis caminhos de ação em que todas as opções sejam consideradas
aceitáveis. Aqui, não estamos falando de atos ilegais ou antijurídicos, mas atos
que, a depender da cultura e da sociedade em que o indivíduo se desenvolveu,
podem parecer corretos para uns e errados para outros.
“O debate sobre dilemas morais perpassa a história da Filosofia e Ética. Seus conceitos e temáticas
são centrais desde a Antiguidade, quando os escritores gregos usavam conflitos morais nas
tragédias e epopeias e os filósofos buscavam refletir sobre essas questões. Atualmente, um dos
casos de dilema moral mais famoso e debatido por filósofos de todo o mundo é o “Trolley
Problem”, traduzido em português como dilema do trem ou do bonde135.”

Gostamos do exercício de perguntas e respostas para ajudar as pessoas a

tomarem uma decisão no ambiente de trabalho, quando estão em dúvida se um
ato será considerado ético ou antiético. Por exemplo:

a. “O ato é legal ou ilegal de acordo com nossa legislação?”;

b. “Se o ato for publicado nos jornais, você ficaria envergonhado? Por
quê?”;
c. “Você contaria o ato a um amigo ou parente próximo sem nenhum
problema?”;
d. “Algum indivíduo inocente ou a sociedade poderá ser penalizado?”;
e. “O que seu íntimo lhe diz?”;
f. “Se a frequência do ato se multiplicar, isso mudaria sua decisão? Por
quê?”.
 Depois de respondidas e refletidas, as respostas serão como uma seta
norteadora para saber como tomar a decisão diante de um dilema ético-moral.
Muitos empresários tentam se esconder da ética atrás de uma pessoa jurídica,
seja ela de pequeno, médio ou grande porte. Nas palavras de Milton Friedman,
ganhador do Prêmio Nobel em 1976, “o único propósito de uma empresa é gerar
lucro para os acionistas”136, pois eles são os donos da corporação e têm uma
relação diversa dos outros integrantes. Então, se o objetivo principal de uma
empresa é gerar lucros aos seus acionistas, o maior desafio nasce dessa relação
entre lucro e ética nos negócios, visto que nem sempre a um ato ético, em curto
prazo, trará, necessariamente, mais lucro para aqueles se comprometeram
investir de uma forma ética. Em comunhão com nossos pensamentos, lembramos
o ensinamento de Robert. C. Solomon, em sua obra: A better way to think about
the business,
[...] quando os negócios são separados dos outros empreendimentos humanos, em slogans como
“negócio é negócio”, por exemplo, os cínicos sugerem que o simplesmente não é verdade. Os
negócios não são “apenas negócios”. Não são autossuficientes, com princípios próprios, regras
próprias e sua própria razão de existir. Em essência, fazem parte da vida humana e da comunidade
humana137.

De tal modo, para construir-se um ambiente ético, mister faz-se a contratação

de pessoas com valores morais, pois são os valores das pessoas que comporão a
imagem e o futuro da empresa. Sem dúvida, os valores de uma empresa
manifestam-se em todos os aspectos de suas operações e, assim, se faz uma
cultura, com os padrões aceitáveis ou não, tanto sob a ótica jurídica ou ética. Há
quem considere a cultura organizacional como apenas uma atividade sem
retorno, algo frívolo, mas, de fato, é esse aglomerado de valores e
comportamentos que difundem os negócios éticos com o passar dos tempos.
Ética diz respeito à disciplina, e pessoas disciplinadas com os valores certos
tendem a produzir mais e, com mais segurança, atuar em suas funções.
Nas palavras de James Collins e Jerry Porras, os valores organizacionais são
“própria estrutura da organização – em metas, estratégias, táticas, políticas,
processos, práticas culturais, comportamentos administrativos, formação de
planos sistemas de pagamento, sistemas de contabilidade, projeto de trabalho –
em tudo o que a empresa faz.”138.
Dentre tantos valores essenciais139, que incitam a ética nos negócios,
destacamos a transparência. Uma gestão transparente na condução dos negócios
significa que as informações não ficarão limitadas a alguns privilegiados na
pirâmide hierárquica. Aliás, a própria pirâmide perde um pouco de valor na hora
de repassar o que acontece em uma organização, pois todos devem ter ciência do
que acontece, principalmente em relação aos resultados financeiros ou qualquer
outro fato relevante140. Quanto mais transparentes forem os atos de negócio,
menor a chance de haver casos de corrupção ou antiéticos.
A transparência não é um fim em si mesmo, e sim um instrumento auxiliar da
população para o acompanhamento do que acontece em uma empresa privada ou
pública. A transparência revela as fraquezas, conecta as pessoas e processos,
habilita o desenvolvimento de ideias e melhora o clima organizacional. A
transparência é a base da confiança, clareza, coerência e credibilidade. Sem ela,
não há comprometimento, engajamento, esforço em equipe e diríamos até que
não há um bom programa de compliance.
Nosso direito pátrio também se baseou no princípio da transparência em
diversas oportunidades141. Mais especificamente no direito público, nossa
Constituição Federal traz o dever de informação para os órgãos públicos142. Em
complemento, a Lei Complementar nº 101/2000 já estimulava a “transparência
na gestão fiscal” como um dos eixos de execução dos orçamentos públicos. E,
com base em tal fundamento, o Supremo Tribunal Federal (STF) compreendeu
que “a criação dos Portais de Transparência dos diversos entes estatais, nos
diversos níveis de governo, tem proporcionado a experimentação social da
relação cidadão-Estado e o exercício do controle social dos gastos públicos em
novas perspectivas.”143.
Impossível discorrer sobre transparência sem mencionar a “lei da
transparência” (Lei nº 12.527/2011), também conhecida como Lei do Acesso à
Informação. “Este atual diploma legal veio para formar um novo marco jurídico
com aplicação direta à Administração Pública, em sentido amplo e possui grande
potencial para gerar desdobramentos de relevo na sociedade brasileira.”144. Esta
lei obriga a União, os estados e os municípios a divulgar seus gastos na internet
em tempo real, visando regular a relação jurídica que se compõe do direito à
informação dos cidadãos e do dever de prestação de informações por parte do
Poder Público.
Já no campo do direito privado145, a lei 8.078/90, mais conhecida como
Código de Defesa do Consumidor, prescreve a total “transparência e harmonia
das relações de consumo”146, além de considerar como direito básico do
consumidor receber informações adequadas e claras sobre qualquer tipo de
produto ou serviço em oferta147. Indo mais adiante nos exemplos, nos contratos
em que uma das partes seja um consumidor hipossuficientes, os contratos de
adesão devem serem escritos em termos claros148. Em consonância com nosso
CDC, o Código Civil (Lei 10.406/2002), em seu artigo 422, considera como um
dever para as partes contratantes antes, durante e após a celebração do negócio o
dever de dever de informação, dever de cooperação, dever de lealdade e o
famigerado dever de transparência.
Como se pode observar nos parágrafos acima, a transparência está
disseminada em nossa legislação, desde nossa constituição federal, até nos
contratos mais simples do cotidiano. Dizer que o dever de transparência é algo
que nasceu com a lei anticorrupção ou apenas para os programas de compliance
é fugir da boa-técnica jurídico-legislativa. A transparência tem a obrigação de
tornar visível e compreensível uma atividade empresarial e o racional das
tomadas de decisões para o público de interesse.
Na prática, a transparência é caracterizada pelo seu lado proativo, ou seja, de
um modo geral, os cidadãos não precisam pedir ou buscar pelas informações.
Essa atitude positiva tem trazido benefícios para as empresas, pois melhora o
fluxo de informações de gestão com os stakeholders, aumenta a eficiência das
ações internas, engrandece o relacionamento com o governo e fortalece a
governança em todos os sentidos. Todavia, interessante ressaltar que a mera
publicação de dados não torna uma organização transparente de imediato. O
processo deve ser transparente desde a coleta de dados, tratamento das
informações, metodologia de linguagem, canal de comunicação, até chegar aos
destinatários interessados. A título meramente explicativo, segue como a
empresa Mapfre149 encara a questão da transparência em suas atividades: Por
meio das práticas de transparência, procuramos nos assegurar de que todos os
stakeholders com quem a empresa se relaciona recebem as informações
necessárias sobre o andamento da empresa para tomarem suas decisões. E, ainda,
que as recebam a tempo e de forma compreensível e que essas informações
possam ser acessadas pela sociedade. [..] Uma empresa transparente é aquela que
transmite sua gestão de forma clara e compreensível para todos os agentes com
os quais se relaciona, para que eles possam avaliar a empresa de uma maneira
mais objetiva. Só assim pode-se aspirar a obter sua confiança. Mas transparência
não é apenas contar, vai mais além; é transformar a empresa, introduzir novas
práticas […]. Deve fazer parte do DNA da gestão, de sua comunicação, de sua
forma de se relacionar... E isso deve ser feito de forma coerente com a cultura da
empresa.
Existem, ainda, questões relacionadas com a preparação e a qualificação do
destinatário interessado e como e quando a empresa vai disponibilizar os dados.
Essas questões devem ser estudadas por pessoas competentes, alinhadas com a
governança, pois requerem ferramentas de avaliação sistemáticas que permitem
ao tomador de decisão avaliar o avanço da transparência como um valor
intangível em sua gestão. Geralmente, empresas transparentes tendem a se
valorizar mais em médio e curto prazos. Daí a importância de uma boa
governança estratégica que consiga se comunicar com os interessados, para que
entendam que a transparência deva ser analisada como vantagem competitiva, de
alto valor agregado. Vamos explicar melhor.
Um acionista qualquer precisa ter confiança nos administradores das
empresas em que vai investir seu dinheiro. Essa confiança só vai existir se os
administradores dessas empresas apresentarem práticas de tomada de decisões
sólidas, com credibilidade e transparência; o que deve ser assegurado e cumprido
pela governança corporativa. Como é possível notar, gestão transparente tem
uma forte relação com a governança corporativa. Uma das melhores práticas de
tomada de decisão é, justamente, a transparência, que fortalece a confiança entre
stakeholders e administradores150.
1.5 Governança de compliance e o ISE:
Índice de Sustentabilidade Empresarial
Por definição, e em termos bem simples, “compliance é um sistema que ajuda
a preservar e gerar valor a longo prazo. Para se adotar as melhores práticas de
governança corporativa, a existência e a manutenção de um sistema de
compliance são151 de extrema relevância.”152. Desde o final da década de 90, os
estudos sobre a governança corporativa têm crescido e se aperfeiçoado,
tornando-se tema importante no meio empresarial e acadêmico. O interesse por
esse tema cresceu tanto que é pesquisado em diversas áreas do conhecimento,
tais como: Administração, Direito e Finanças.
De acordo com o Instituto Brasileiro de Governança Corporativa (IBGC)153,
“governança corporativa é o sistema pelo qual as empresas e demais
organizações são dirigidas, monitoradas e incentivadas, envolvendo os
relacionamentos entre sócios, conselho de administração, diretoria, órgãos de
fiscalização e controle e demais partes interessadas.”154.
Em se partindo desse conceito abrangente, os benefícios de ter-se uma boa
governança em uma empresa é “preservar e otimizar o valor econômico de longo
prazo da organização, facilitando seu acesso a recursos e contribuindo para a
qualidade da gestão da organização, sua longevidade e o bem comum.”155. Os
princípios básicos que norteiam a governança são: transparência, equidade,
prestação de contas (accountability) e responsabilidade corporativa156.
Muito já se falou sobre o que é e quais os benefícios de se ter uma governança
corporativa estruturada e transparente, mas, em raras ocasiões, se fala sobre a
origem do tema. De uma forma acessível, o tema da governança nasceu de uma
relação de conflito de interesses entre os gestores de empresa que, ao mesmo
tempo, eram tomadores de decisão e acionistas das empresas. Esse assunto foi
brilhantemente abordado em 1932 pelos autores Adolf Berle, economista, e
Gardiner Means, advogado, no livro “A moderna sociedade Anônima e a
Propriedade Privada”, oriundo de um projeto de pesquisa pela universidade de
Colúmbia, em Nova Iorque, EUA157. Dessa relação entre controle e propriedade
estava o fato de que “aumentando a quantidade de donos, aumentaria o poder
dos gestores e isso poderia fazer com que eles agissem, prioritariamente, para
atender aos seus interesses, e não dos acionistas.”158.
 Mesmo com regras mínimas padronizadas internacionalmente, cada país pode
adotar um modelo de governança corporativa que seja mais adequada para
atender às necessidades e aos desafios das condições culturais, pois, nesse
assunto, não existe uma fórmula pronta e acabada a ser seguida sem alterações.
“Ao longo do século 20, a economia dos diferentes países tornou-se cada vez mais marcada pela
integração aos dinamismos do comércio internacional, assim como pela expansão das transações
financeiras em escala global. Neste contexto, as companhias foram objeto de sensíveis
transformações, uma vez que o acentuado ritmo de crescimento de suas atividades promoveu uma
readequação de sua estrutura de controle, decorrente da separação entre a propriedade e a gestão
empresarial. A origem dos debates sobre governança corporativa remete a conflitos inerentes à
propriedade dispersa e à divergência entre os interesses dos sócios, executivos e o melhor interesse
da empresa159.”

No Brasil, as discussões acadêmicas e práticas sobre governança corporativa

iniciaram-se, em 1995, com a criação do IBGC, instituto amplamente conhecido,
nacional e internacionalmente, que ocupa posição de destaque nos debates
temáticos na América Latina. No início, o foco eram as empresas listadas na
bolsa de valores Ibovespa, mas outras empresas de capital fechado também
entenderam os benefícios de uma governança estruturada, a fim de atrair novos
investimentos e confiança dos stakeholders. Mas, afinal de contas, qual o efeito
da adoção de boas práticas de sustentabilidade e de governança corporativa no
valor de mercado de uma empresa160?
Com o tempo, as pessoas descobriram que os investidores estão dispostos a
pagar preços mais altos por empresas que adotam boas práticas de governança
corporativa, e essa prática não é benéfica apenas para os interesses dos
proprietários, mas também para a longevidade da empresa. Em um estudo da
consultoria McKinsey, foi descoberto que os investidores estão dispostos a pagar
um prêmio de 18% a 28% maior pelas ações de empresas com maior
transparência e prestação de contas161. Ou seja, descobriu-se que a questão da
confiança e credibilidade é um ativo intangível de alto valor agregado; e
iniciaram-se movimentos de grandes empresas162 em olhar para a questão da
governança como investimento e não, simplesmente, como custo.
Nesse momento, abre-se espaço para discussão do tradicional (quiçá arcaico)
conceito liberalista em que o lucro é o único objetivo de uma empresa163 e
gastos na implementação e manutenção de uma governança seriam apenas gastos
frívolos (conceito de shareholders) para um novo conceito de “stakeholders”.
Nesse novo ambiente, a governança ampliou seu foco para as demais partes
interessadas (funcionários, fornecedores, clientes), pois “aqueles que detêm o
poder de decisão dentro das grandes empresas são atores que têm o potencial de
gerar desenvolvimento e transformação econômicos e sociais, direta ou
indiretamente.”164.
A empresa deixa de ser algo singular para ser uma peça multidisciplinar em
sociedade, com uma obrigação socioeconômica e bem-estar alheio, pois os
custos da responsabilidade social corporativa são mínimos, perto do todo, e a
empresa pode se beneficiar diretamente dessas ações socialmente responsáveis.
“Atualmente a aceitação deste segundo argumento está crescendo, ficando como
desafio a resposta sobre o quanto este argumento é válido no longo prazo.”165
Assim, o equilíbrio dos interesses da sociedade como um todo, com sua gama
de interesses diversos, é que deve ser o objetivo principal das decisões tomadas
pela empresa, aumentando o enredamento do tema. Como se percebe, o assunto
da governança vai muito além de um programa de compliance. Governança
corporativa é um conceito mais amplo, que diz respeito à melhor maneira de
uma empresa ser gerida, com eficiência, imparcialidade, transparência e
impessoalidade na administração. Já o compliance é a ferramenta para que as
organizações estejam em conformidade com leis, normas internas, ética e boas
práticas do segmento em que atua, a fim de atestar sua integridade ante o
mercado e prevenir riscos. Somos ousados em dizer que o programa de
compliance é um instrumento da governança.
Na concepção moderna de que “a governança é um conjunto de práticas que
visam reforçar a confiança entre stakeholders e administradores”166, os
administradores devem tomar decisões que beneficiem todas as partes
envolvidas, e não apenas a si mesmos, bem como garantir que as outras partes
interessadas saibam que as decisões tomadas seguem rígidos parâmetros de
controle. Para guiar esse alto padrão de conduta, por parte dos tomadores de
decisão, recomendam-se conceitos gerais de conduta (ou princípios) que devem
guiar a liderança executiva. A transparência é um quesito essencial na tomada de
decisão, conforme já discorremos, mas não deve ser o único. Outros bons
exemplos são a ética, a equidade, a responsabilidade social, a diversidade.
“As empresas que se propõem a adotar práticas de governança corporativa tendem a tornarem-se
mais atrativas, e com isso aumentam a sua capacidade de captação de recursos, além de reduzir o
risco e consequentemente o seu custo de capital. Portanto, espera-se um aumento do preço das
suas ações e consequentemente o seu valor de mercado167.”

Já que as ações extrínsecas do negócio têm um valor intangível agregado,

como os investidores conseguem saber o quanto a empresa está comprometida
em questões de externas ao próprio business como, por exemplo, as demandas
sustentáveis e as responsabilidades éticas em sociedade? Para isso, foram criados
índices de monitoramento de empresas de capital aberto em diversos países. O
pioneiro nessa iniciativa foram os Estados Unidos, em 1999, quando
inauguraram o Dow Jones Sustainability Indexes (DJSI – índice de
sustentabilidade Dow Jones). Na sequência, tivemos a mesma iniciativa na
Inglaterra, em 2001, (FTSE4Good) e na África do Sul (JSE), em 2003. A bolsa
de valores brasileira (Ibovespa) foi a quarta a criar um Índice de Sustentabilidade
Empresarial (ISE), em 2005; inicialmente, composto 28 empresas avaliadas
como as mais avançadas em práticas sustentáveis economicamente.
Segundo a obra de Reinaldo Dias168, sustentabilidade pode ser encarada sob
três perspectivas de responsabilidades distintas.

a. a econômica: tem que dar lucro aos acionistas. Cuidado extremo

com a gestão dos ativos e controle minucioso das finanças;
b. a social: tem que proporcionar condições de trabalho dignas,
combate ao desemprego, inclusão social, respeito à diversidade. A
empresa deve tomar decisões justas e éticas para todos os
stakeholders interessados;
c. a ambiental: tem que ser eficiente no manuseio de produtos
químicos, na emissão de gases poluentes, sempre com o menor
impacto ambiental possível.

Outro conceito similar é o do Triple Bottom Line, conhecido por 3Ps (People,
Planet e Profit). Na língua portuguesa, a tradução seria PPL (Pessoas, Planeta e
Lucro). Uma possível figura seria a disposta abaixo: Sustentabilidade
empresarial e o Triple Bottom Line
 Fonte:https://www.teraambiental.com.br/blog-da-
teraambiental/sustentabilidade-empresarial-os-caminhos-percorridos-para-
tornar-sua-empresa-ambientalmente-correta Para o Ibovespa, o ISE B3 “é uma
ferramenta para análise comparativa da performance das empresas listadas na B3
sob o aspecto da sustentabilidade corporativa, baseada em eficiência econômica,
equilíbrio ambiental, justiça social e governança corporativa.”169.
“A mais recente carteira do ISE B3 foi anunciada em 01 de dezembro de 2020 e vigora no período
de 04 de janeiro de 2021 a 30 de dezembro de 2021. A atual carteira do índice reúne 46 ações de
39 companhias. Além disso, representa 15 setores e soma R$ 1,8 trilhão em valor de mercado.
Esse montante equivale a 38% do total do valor de mercado das companhias com ações
negociadas na B3, com base no fechamento de 25/11/2020170.”

Na data de publicação desta obra, a carteira ISE B3171 contava com as

seguintes empresas: Carteira ISE B3 de 2021
 Fonte: <http://iseb3.com.br/o-que-e-o-ise>.
Existe uma ideia por parte dos acionistas de que, no curto prazo, os custos de
implementação das boas práticas afetem, negativamente, os resultados da
empresa, pois neste primeiro momento estão sendo criadas as estruturas de
controle, e deve ser considerado um período de investimentos. Porém, com o
passar do tempo, elas começam a trazer resultados positivos. No médio e no
longo prazo, existem pesquisas americanas172 que apontam que uma empresa
com boas práticas de governança corporativa passa a valer, pelo menos, 20% a
mais do que antes da adoção dessas práticas.
“O tema sustentabilidade empresarial está na lista dos principais temas em discussão, considerado
de grande relevância, tanto na esfera empresarial, como na acadêmica. O conceito amplia o escopo
da responsabilidade socioambiental, englobando além das questões estritamente ambientais e
sociais, também as questões de governança corporativa e desenvolvimento econômico. A prática
destas ações já é uma realidade em boa parte das empresas brasileiras e o que se busca é o
comprometimento com ações sustentáveis para com os seus acionistas, comunidade e sociedade
como um todo173.”

Com a missão de “Apoiar os investidores na tomada de decisão de

investimentos socialmente responsáveis e induzir as empresas a adotarem as
melhores práticas de sustentabilidade empresarial.”174, o ISE B3, em parceria
com a KPMG, restou-se comprovado que “empresas sustentáveis têm
rentabilidade maior que as empresas não sustentáveis. Os resultados mostraram
diferenças entre os retornos das empresas que fizeram parte do ISE, quando
comparados com as demais empresas do mercado, os chamados grupos de
controle, ao nível de significância de 5%”175.
 Em suma, os resultados mapeados pelo Ibovespa indicam-nos que os
investidores e os consumidores em geral têm preferência por empresas com boas
práticas de governança e sustentáveis empresarialmente. Dessa forma, o papel
dos gestores é expandido, pois se tornam agentes de mudança em sociedade,
podendo implementar ajustes estruturais para equilibrar as forças nos campos
ambiental, econômico e social. Para as empresas com pensamento estratégico,
isso já se tornou uma vantagem competitiva sobre os concorrentes e, até mesmo,
um fator de redução de custos nos médio e longo prazos
1 Disponível em: <https://www.convergepoint.com/compliance-software-sharepoint/a-guide-to-compliance-
a-brief-history/>
2 Disponível em: <https://www.federalreserve.gov/aboutthefed/fract.htm>
3 MANZI, Vanessa Alessi. Compliance no Brasil: consolidação e perspectivas. 1. ed. São Paulo: Editora
Saint Paul, 2008. p. 27.
4 Abordaremos somente as normas do mundo contemporâneo com foco em compliance. Outros períodos da
história, tais como Idade Antiga e Idade Média, foram propositadamente descartados, pois fogem da
proposta desta obra.
5 A Primeira Grande Guerra Mundial iniciou-se em 28 de julho de 1914 e durou até 11 de novembro de
1918.
6 Disponível em: <https://www.bbc.com/portuguese/internacional-45358463#:~:
text=4.,Alemanha%2C%201923&text=A%20derrota%20na%20Primeira%20Guerra,custos%20para%20reconstruir%20o%
7 Disponível em: <https://pt.khanacademy.org/economics-finance-domain/old-macroeconomics/inflation-
topic-old/cost-of-living-tutorial/a/how-the-u-s-and-other-countries-experience-inflation-
cnx#:~:text=Resumo,e%20na%20d%C3%A9cada%20de%201970>.
8 Disponível em: <https://tradingeconomics.com/united-states/inflation-
cpi#:~:text=Inflation%20Rate%20in%20the%20United,percent%20in%20June%20of%201921>.
9 Disponível em: <https://www.sunoresearch.com.br/noticias/crise-de-1929-90-anos/>.
10 MADDlSON, Angus. 1998. Monitoring the world economy 1820-1992. Paris, OECDI Development
Centre Studies. p. 65.
11 FED significa Federal Reserve System, órgão norte-americano que regula questões relacionadas à
economia do país, incluindo a fiscalização das instituições bancárias.
12 Disponível em:
<https://edisciplinas.usp.br/pluginfile.php/4181925/mod_resource/content/1/EUA%20e%20Economia%20MUndial%20pa
13 Disponível em: <https://www.economicshelp.org/blog/162985/economics/unemployment-during-the-
great-depression/>.
14 Esse programa foi implementado no governo do presidente democrata Franklin Delano Roosevelt (1933-
1945).
15 Essa norma foi assinada pelo presidente americano Franklin D. Roosevelt.
16 A U.S. Securities and Exchange Commission é uma agência independente do governo federal dos
Estados Unidos que foi criada para regular e proteger os investidores e o sistema bancário nacional.
17 Foi aprovada como Lei Pública dos Estados Unidos, em 22 de agosto de 1940, e codificada às 15 U.S.C.
§§ 80a-1–80a-64.
18 REIS, Marianne Yumi Sato Felix. O compliance e a sua relação com o direito. p. 74. Disponível em:
<https://revistas.pucsp.br/index.php/DIGE/article/download/44016/29206>.
19 Disponível em: <https://www.govinfo.gov/content/pkg/STATUTE-84/pdf/STATUTE-84-Pg922-3.pdf>.
20 Exxon, Northrop, Gulp Oil, Mobil Oil, Lockheed, Aircrat Corporation.
21 PAGOTTO, Leopoldo. Esforços globais anticorrupção e seus reflexos no Brasil. In: DEBBIO,
Alessandra Del; MAEDA, Bruno Carneiro; AYRES, Carlos Henrique da Silva (Coord.). Temas de
Anticorrupção e Compliance. Rio de Janeiro: Elsevier, 2013.
22 CARVALHO, André Castro; BERTOCCELLI, Rodrigo de Pinho et al. (Coord.). Manual de compliance.
Rio de Janeiro: Editora Forense, 2018. p. 45.
23 CARVALHO, André Castro; BERTOCCELLI, Rodrigo de Pinho et al. (Coord.). Manual de compliance.
Rio de Janeiro: Editora Forense, 2018. p. 45.
24 Interact Solutions. Capítulo Programas de Integridade e suas Normativas: Aline Becker Delwing,
Evandro Weisheimer e Henrique Piccinini. 2. ed. Lajeado, dez. 2019. p. 11. Disponível em:
<https://d335luupugsy2.cloudfront.net/cms/files/46746/1576081609Compliance_Handbook_da_Interact_-
_v2_pt.pdf. p. 16>.
25 A título ilustrativo, foi evidenciado que o governo americano pagou 600 dólares por assentos sanitários.
26 Interact Solutions. Capítulo Programas de Integridade e suas Normativas: Aline Becker Delwing,
Evandro Weisheimer e Henrique Piccinini. 2. ed. Lajeado, dez. 2019. p. 11. Disponível em:
<https://d335luupugsy2.cloudfront.net/cms/files/46746/1576081609Compliance_Handbook_da_Interact_-
_v2_pt.pdf. P. 16>.
27 Segundo o site do Banco Central do Brasil, “O Comitê de Basileia para Supervisão Bancária (Basel
Committee on Banking Supervision – BCBS) é o fórum internacional para discussão e formulação de
recomendações para a regulação prudencial e cooperação para supervisão bancária, composto por 45
autoridades monetárias e supervisoras de 28 jurisdições. O Comitê de Basileia – criado em 1974 no
âmbito do Banco de Compensações Internacionais (Bank for International Settlements – BIS), tem por
objetivo reforçar a regulação, a supervisão e as melhores práticas bancárias para a promoção da
estabilidade financeira.”. Disponível em:
<https://www.bcb.gov.br/estabilidadefinanceira/recomendacoesbasileia>. Acesso em: 19 dez. 2020.
28 Segundo o site oficial do governo brasileiro, “Grupo de Ação Financeira (GAFI) é uma entidade
intergovernamental criada em 1989 pelos Ministros das jurisdições membros. A função do GAFI é
definir padrões e promover a efetiva implementação de medidas legais, regulatórias e operacionais para
combater a lavagem de dinheiro, o financiamento do terrorismo e o financiamento da proliferação, além
de outras ameaças à integridade do sistema financeiro internacional relacionadas a esses crimes. Em
colaboração com outros atores internacionais, o GAFI também trabalha para identificar vulnerabilidades
nacionais com o objetivo de proteger o sistema financeiro internacional do uso indevido.”. Disponível
em: http://www.fazenda.gov.br/orgaos/coaf/arquivos/as-recomendacoes-gafi. Acesso em: 19 dez. 2020.
29 Interact Solutions. Capítulo Programas de Integridade e suas Normativas: Aline Becker Delwing,
Evandro Weisheimer e Henrique Piccinini. 2. ed. Lajeado, dez. 2019. p. 11. Disponível em:
<https://d335luupugsy2.cloudfront.net/cms/files/46746/1576081609Compliance_Handbook_da_Interact_-
_v2_pt.pdf. p. 19>.
30 Disponível em: <https://compliancecosmos.org/components-effective-compliance-and-ethics-program>.
31 O Brasil promulgou a convenção com o Decreto nº 3.678, em 2000.
32 Interact Solutions. Capítulo Programas de Integridade e suas Normativas: Aline Becker Delwing,
Evandro Weisheimer e Henrique Piccinini. 2. ed. Lajeado, dez. 2019. p. 11. Disponível em:
<https://d335luupugsy2.cloudfront.net/cms/files/46746/1576081609Compliance_Handbook_da_Interact_-
_v2_pt.pdf. p. 20>.
33 Documento original disponível em: https://www.bis.org/publ/bcbs30a.pdf. O texto original é “14.
Banking supervisors must determine that banks have in place internal controls that are adequate for the
nature and scale of their business. These should include clear arrangements for delegating authority and
responsibility; separation of the functions that involve committing the bank, paying away its funds, and
 accounting for its assets and liabilities; reconciliation of these processes; safeguarding its assets; and
appropriate independent internal or external audit and compliance functions to test adherence to these
controls as well as applicable laws and regulations.”.
34 Para entender melhor como era a estrutura e importância da empresa Enron, recomendamos o
documentário americano Enron: The Smartest Guys in the Room, de 2005, dirigido por Alex Gibney.
35 Deloitte, PricewaterhouseCoopers (PwC), Ernst & Young (EY), KPMG e Arthur Andersen.
36 Além da Enron, tivemos outros casos marcantes de corrupção nos Estados Unidos, tais como os das
empresas Wordlcom, Tyco, Xeros, Adelphia.
37 Arthur Andersen também foi a auditora dos resultados da empresa WorldCom, a qual entrou em falência,
nos Estados Unidos, em julho 2002, por fraldar os resultados financeiros.
38 Disponível em: <https://www.britannica.com/event/Enron-scandal>.
39 Disponível em: <http://fenacon.org.br/noticias/os-9-maiores-escandalos-contabeis-do-mundo-2609/>.
40 KRUGMAN, Paul. Fiasco da Enron mostra que o sistema foi corrompido. Folha de S.Paulo, São Paulo,
19 jan. 2002. Disponível em: <https://www1.folha.uol.com.br/fsp/dinheiro/fi1901200211.htm>.
41 Assinada pelo senador Paul Sarbanes e pelo deputado Michael Oxley.
42 Disponível em: <https.//www.treasy.com.br/blog/sox-lei-sarbanes-oxley/>
43 CASTRO, Rafael Guedes de. Compliance Criminal: autorregulação, gerenciamento do risco e impactos
na atividade econômica empresarial. Dissertação de mestrado. Programa de Pós-Graduação em Direito
da Pontifícia Universidade Católica do Paraná. Curitiba, 2016. p. 33.
44 Disponível em: <https://www.federalreserve.gov/boarddocs/press/enforcement/
2005/20051219/default.htm>.
45 A primeira versão foi criada em 1998.
46 Disponível em: <http://aeaecompliance.com/images/documentos/AS-3806-2006-Compliance-
Standard.pdf>.
47 A última versão da ISSO 19.600 data de 2015. Disponível em: <https://www.standards.org.au/standards-
catalogue/sa-snz/publicsafety/qr-017/as--iso--19600-colon-2015>.
48 InteractSolutions. Capítulo Programas de Integridade e suas Normativas: Aline Becker Delwing,
Evandro Weisheimer e Henrique Piccinini. 2. ed. Lajeado, dez. 2019. p. 11. Disponível em:
<https://d335luupugsy2.cloudfront.net/cms/files/46746/1576081609Compliance_Handbook_da_Interact_-
_v2_pt.pdf. p. 27>.
49 Texto original da Lei: Failure of commercial organisations to prevent bribery (1)A relevant commercial
organisation (“C”) is guilty of an offence under this section if a person (“A”) associated with C bribes
another person intending—(a)to obtain or retain business for C, or (b)to obtain or retain an advantage
in the conduct of business for C. (2)But it is a defence for C to prove that C had in place adequate
procedures designed to prevent persons associated with C from undertaking such conduct. (3) For the
purposes of this section, A bribes another person if, and only if, A— (a)is, or would be, guilty of an
offence under section 1 or 6 (whether or not A has been prosecuted for such an offence), or (b)would be
guilty of such an offence if section 12(2)(c) and (4) were omitted. Disponível em:
<https://www.legislation.gov.uk/ukpga/2010/23/contents>. Acesso em: 26 dez. 2020.
50 Disponível em: <https://www.pwc.com.br/pt/forensics/assets/uk-bribery.pdf>.
51 CARVALHO, André Castro; BERTOCCELLI, Rodrigo de Pinho et al. (Coord.). Manual de Compliance.
Rio de Janeiro: Editora Forense, 2018. p. 47.
52 Disponível em: <http://www.planalto.gov.br/ccivil_03/leis/l9613.htm>.
53 Sobre a origem da expressão “lavagem de dinheiro”, ela originou-se nos EUA, na década de 20, pois na
época, grupos mafiosos adquiriam lavanderias para ocultar o produto de seus crimes, fato atrelado ao
mafioso Al Capone, que no ano de 1928 possivelmente tenha adquirido uma cadeia de lavanderias em
 Chicago, onde teria montado uma empresa de fachada cujo nome era Sanitary Cleaning Shops.
Informação disponível em: <https://jus.com.br/artigos/55017/lavagem-de-dinheiro-e-a-teoria-da-
cegueira-deliberada-no-ambito-juridico-brasileiro>.
54 Lei 9613. Art. 14. Fica criado, no âmbito do Ministério da Economia, o Conselho de Controle de
Atividades Financeiras - Coaf, com a finalidade de disciplinar, aplicar penas administrativas, receber,
examinar e identificar as ocorrências suspeitas de atividades ilícitas previstas nesta Lei, sem prejuízo das
competências de outros órgãos e entidades.
55 Disponível em: <http://www.planalto.gov.br/ccivil_03/decreto/d1171.htm>.
56 Disponível em: <http://www.planalto.gov.br/ccivil_03/decreto/d3678.htm>.
57 Disponível em: <https://www2.camara.leg.br/legin/fed/decleg/2002/decretolegislativo-152-25-junho-
2002-459890-convencao-1-pl.html>.
58 Tradução livre: controle, fiscalização, responsabilização, ou prestação de contas.
59 Disponível em: <https://www.unodc.org/lpo-brazil/pt/corrupcao/convencao.html>.
60 Disponível em: <https://www.bcb.gov.br/pre/normativos/res/2006/pdf/res_3380_v2_l.pdf>.
61 Art. 2 da Resolução 3380, de 2016.
62 Segundo site oficial, de 20 dez. 2020, 78 países já se consideravam membros, incluindo o Brasil.
Disponível em: <https://www.opengovpartnership.org/our-members/>.
63 Em inglês, Open Governament Partnerhip e, em espanhol, La Alianza.
64 Disponível em: <https://www.opengovpartnership.org/>.
65 Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm>.
66 Disponível em: <https://www.em.com.br/app/noticia/politica/2020/08/26/interna_politica,1179549/cade-
conclui-julgamento-de-recursos-do-cartel-do-metro-e-reduz-multas.shtml>
67 Disponível em: <https://www.istoedinheiro.com.br/noticias/economia/20160316/cade-aplica-multa-
empresas-individuos-por-cartel-refrigeradores/353295>.
68 Disponível em: <http://g1.globo.com/economia/noticia/2013/08/cade-condena-4-empresas-aereas-por-
cartel-em-transporte-de-carga.html>.
69 Disponível em: <https://www.sunoresearch.com.br/noticias/cade-condena-cartel-pvc-multa/>.
70 Disponível em: <http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12683.htm>.
71 Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12850.htm>.
72 Também conhecidos como Manifestações dos 20 centavos, Manifestações de Junho ou Jornadas de
Junho.
73 Interact Solutions. Capítulo Programas de Integridade e suas Normativas: Aline Becker Delwing,
Evandro Weisheimer e Henrique Piccinini. 2. ed. Lajeado, dez. 2019. p. 11. Disponível em:
<https://d335luupugsy2.cloudfront.net/cms/files/46746/081609Compliance_Handbook_da_Interact_-
_v2_pt.pdf. p. 31>.
74 Disponível em: <https://paranaportal.uol.com.br/destaque-2/numeros-mostram-por-que-lava-jato-e-
maior-operacao-contra-corrupcao-da-historia/>.
75 Disponível em: <https://www.mpf.mp.br/grandes-casos/lava-jato/entenda-o-caso>.
76 Disponível em: <http://www.pf.gov.br/imprensa/lava-jato/numeros-da-operacao-lava-jato>.
77 Números da “Operação Lava Jato” atualizados disponíveis em: <http://www.pf.gov.br/imprensa/lava-
jato/numeros-da-operacao-lava-jato>.
78 Decreto 8420 de 2015: Art. 2º A apuração da responsabilidade administrativa de pessoa jurídica que
possa resultar na aplicação das sanções previstas no art. 6º da Lei nº 12.846, de 2013, será efetuada por
meio de Processo Administrativo de Responsabilização - PAR.
 Art. 3º A competência para a instauração e para o julgamento do PAR é da autoridade máxima da
entidade em face da qual foi praticado o ato lesivo, ou, em caso de órgão da administração direta, do seu
Ministro de Estado.
Parágrafo único. A competência de que trata o caput será exercida de ofício ou mediante provocação e
poderá ser delegada, sendo vedada a subdelegação.
Art. 4º A autoridade competente para instauração do PAR, ao tomar ciência da possível ocorrência de ato
lesivo à administração pública federal, em sede de juízo de admissibilidade e mediante despacho
fundamentado, decidirá: I - pela abertura de investigação preliminar;
II - pela instauração de PAR; ou
III - pelo arquivamento da matéria.
79 Art. 20. A existência e quantificação dos fatores previstos nos art. 17 e art. 18, deverá ser apurada no
PAR e evidenciada no relatório final da comissão, o qual também conterá a estimativa, sempre que
possível, dos valores da vantagem auferida e da pretendida.
§ 1º Em qualquer hipótese, o valor final da multa terá como limite:
I - mínimo, o maior valor entre o da vantagem auferida e o previsto no art. 19; e
II - máximo, o menor valor entre:
a) vinte por cento do faturamento bruto do último exercício anterior ao da instauração do PAR, excluídos
os tributos; ou b) três vezes o valor da vantagem pretendida ou auferida.
80 Art. 22. Caso não seja possível utilizar o critério do valor do faturamento bruto da pessoa jurídica no ano
anterior ao da instauração ao PAR, os percentuais dos fatores indicados nos art. 17 e art. 18 incidirão: I -
sobre o valor do faturamento bruto da pessoa jurídica, excluídos os tributos, no ano em que ocorreu o ato
lesivo, no caso de a pessoa jurídica não ter tido faturamento no ano anterior ao da instauração ao PAR; II
- sobre o montante total de recursos recebidos pela pessoa jurídica sem fins lucrativos no ano em que
ocorreu o ato lesivo; ou III - nas demais hipóteses, sobre o faturamento anual estimável da pessoa
jurídica, levando em consideração quaisquer informações sobre a sua situação econômica ou o estado de
seus negócios, tais como patrimônio, capital social, número de empregados, contratos, dentre outras.
Parágrafo único. Nas hipóteses previstas no caput, o valor da multa será limitado entre R$ 6.000,00 (seis
mil reais) e R$ 60.000.000,00 (sessenta milhões de reais).
81 Art. 37. O acordo de leniência conterá, entre outras disposições, cláusulas que versem sobre: IV - a
adoção, aplicação ou aperfeiçoamento de programa de integridade, conforme os parâmetros
estabelecidos no Capítulo IV.
82 Art. 41. Para fins do disposto neste Decreto, programa de integridade consiste, no âmbito de uma pessoa
jurídica, no conjunto de mecanismos e procedimentos internos de integridade, auditoria e incentivo à
denúncia de irregularidades e na aplicação efetiva de códigos de ética e de conduta, políticas e diretrizes
com objetivo de detectar e sanar desvios, fraudes, irregularidades e atos ilícitos praticados contra a
administração pública, nacional ou estrangeira.
83 Art. 41, Parágrafo Único. O programa de integridade deve ser estruturado, aplicado e atualizado de
acordo com as características e riscos atuais das atividades de cada pessoa jurídica, a qual por sua vez
deve garantir o constante aprimoramento e adaptação do referido programa, visando garantir sua
efetividade.
84 “Art. 35-B. A União, por intermédio da SDE, poderá celebrar acordo de leniência, com a extinção da
ação punitiva da administração pública ou a redução de um a dois terços da penalidade aplicável, nos
termos deste artigo, com pessoas físicas e jurídicas que forem autoras de infração à ordem econômica,
desde que colaborem efetivamente com as investigações e o processo administrativo e que dessa
colaboração resulte:
85 Disponível em: <http://enccla.camara.leg.br/noticias/lei-anticorrupcao-entenda-os-cinco-pontos-do-
decreto>.
86 Art. 9. § 5º Caso seja verificada a ocorrência de eventuais ilícitos a serem apurados em outras instâncias,
o relatório da comissão será encaminhado, pela autoridade julgadora: I - ao Ministério Público;
II - à Advocacia-Geral da União e seus órgãos vinculados, no caso de órgãos da administração pública
direta, autarquias e fundações públicas federais; ou III - ao órgão de representação judicial ou
equivalente no caso de órgãos ou entidades da administração pública não abrangidos pelo inciso II.
87 Art. 30, § 2º.
88 Art. 43, caput. O Cadastro Nacional de Empresas Inidôneas e Suspensas - CEIS conterá informações
referentes às sanções administrativas impostas a pessoas físicas ou jurídicas que impliquem restrição ao
direito de participar de licitações ou de celebrar contratos com a administração pública de qualquer
esfera federativa, entre as quais.
89 Disponível em: <https://www.gov.br/cgu/pt-br/centrais-de-
conteudo/publicacoes/integridade/arquivos/manual_profip.pdf>.
90 Disponível em: <https://www.gov.br/cgu/pt-br/centrais-de-
conteudo/publicacoes/integridade/arquivos/programa-de-integridade-diretrizes-para-empresas-
privadas.pdf>.
91 Disponível em: <https://www.gov.br/cgu/pt-br/centrais-de-
conteudo/publicacoes/integridade/arquivos/manual_profip.pdf>.
92 Disponível em: <https://www.bcb.gov.br/pre/normativos/busca/downloadNormativo.asp?
arquivo=/Lists/Normativos/Attachments/50427/Res_4595_v1_O.pdf>.
93 Kathleen M. Griffin. Muitos profissionais ainda desconhecem esse nome, mas ela marcou a profissão
dos compliance officers pelo mundo a fora. Nos anos 2010 ela foi a primeira encarregada pelos
programas de ética e compliance da SEC. Seu posto de trabalho foi criado com a finalidade de reforçar
os programas internos de compliance daquele órgão governamental de tamanha importância para o
mercado financeiro mundial.
94 Pode estar dentre as atividades do CO a estruturação da Missão, Visão e Valores da empresa, todavia, a
elaboração derivará do alto comando da empresa, que dependerá da estrutura societária e da regulação de
mercado, casos seja uma companhia aberta.
95 O conceito de risco não está vinculado ao cumprimento de um ato normativo. Esse conceito aqui exposto
é amplo e diz respeito aos eventos que podem impactar a atividade desenvolvida pela empresa. Por
exemplo, no mapa de risco de todas as empresas está o “Risco País” que prevê como indicadores o
percentual de inflação, a avaliação do país, o percentual de juros e outros eventos que podem impactar a
atividade empresarial exercida. Para o time de compliance risco é todo o evento que possa influenciar de
forma decisiva a operação de uma empresa.
96 A Controladoria-Geral da União (CGU), baseando-se na lei nº 12.846/2013, lançou em 2015, o guia
orientativo “Programa de Integridade: diretrizes para empresas privadas”, com o objetivo de auxiliar a
iniciativa privada a implantar o programa de compliance: Disponível em:
<http://www.cgu.gov.br/Publicacoes/etica-e-integridade/arquivos/programa-de-integridade-diretrizes-
para-empresas-privadas.pdf>.
97 Nas companhias abertas, seria o conselho de administração.
98 Jornal Contábil. Disponível em <https://www.jornalcontabil.com.br/compliance-saiba-o-que-e-o-que-
faz-e-as-possibilidades-de-atuacao/>. Acesso em: 13 jul. 2020.
99 Disponível em: <https://www.robertwalters.us/blog/the-role-of-a-compliance-officer.html>.
100 Opiniões baseadas nas experiências dos autores.
101 CARVALHO, André Castro; BERTOCCELLI, Rodrigo de Pinho et al. (Coord.). Manual de
compliance. Rio de Janeiro: Editora Forense, 2018. p. 18.
102 CORNELIUS, D. McNulty Keynote on a table of two sectors. Compliance Building. 4 jun. 2009.
Disponível em: <http://www.compliancebuilding.com/2009/06/04/mcnulty-keynote-on-a-tale-of-two-
 sectors/>. Acesso em: 31 maio 2017.
103 Por infração à lei federal americana Foreign Corrupt Practices Act (FCPA), a empresa alemã Siemens
recebeu multa de US$ 800 milhões em 2008; a francesa Alstom de US$ 777 milhões, em 2014 e a
empresa brasileira Odebrecht de US2,6 bilhões, em 2017. Disponível em:
<http://compliancebrasil.org/um-ato-de-corrupcao-duas-punicoes/> e
<http://exame.abril.com.br/negocios/odebrecht-pagara-us-26-bi-a-brasil-suica-e-eua-decide-juiz/>
104 Disponível em: <https://www.terra.com.br/economia/cade-aplica-multa-de-r-352-milhoes-a-ambev-por-
cartel,45a617a7adc4b310VgnCLD200000bbcceb0aRCRD.html>.
105 Pesquisa: Maturidade de Compliance no Brasil. Disponível em:
<https://cndl.org.br/politicaspublicas/wp-
content/uploads/estudos/Maturidade%20do%20compliance%20no%20Brasil%20-%20KPMG.pdf>.
Acesso em: 13 jul. 2020.
106 Pesquisa: Maturidade de Compliance no Brasil. Disponível em:
<https://cndl.org.br/politicaspublicas/wp-
content/uploads/estudos/Maturidade%20do%20compliance%20no%20Brasil%20-%20KPMG.pdf>.
Acesso em: 13 jul. 2020.
107 Texto retirado do site <https://www.robertwalters.us/blog/the-role-of-a-compliance-officer.html. Acesso
em: 13 jul. 2020. Texto original: The role of a compliance officer, sometimes called a compliance
manager, is to make sure that a company is conducting its business in full compliance with all national
and international laws and regulations that pertain to its particular industry, as well as professional
standards, accepted business practices, and internal standards.
Compliance officers must have an innate and intuitive knowledge of the company’s goals and culture, as
well as of the greater industry and standard business law. They are charged not just with keeping a
company’s business dealings ethically sound and legally pristine, but with educating the entire company
and instituting practices that will ensure the highest possible level of compliance.
108 Exemplo de que não pode haver hierarquia em relação aos investigados, cita-se o caso do ex-CEO da
empresa Booking.com que renunciou ao cargo depois de ter infringido a política de personal relationship.
Segundo o site Reuters <http://www.reuters.com> e o próprio site do grupo econômico da Priceline
<pricelinegroup.com>, o ex-CEO envolveu-se diretamente com um(a) empregado(a) do grupo, indo
contra o código de conduta e as expectativas do conselho administrativo.
109 Lunenburg, Fred. Devil’s Advocacy and Dialectical Inquiry: Antidotes to Groupthink. 2012.
International Journal of Scholarly Academic Intellectual Diversity. v. 14, nº 1.
110 COFFEE, JR. John C. The attorney as gatekeeper: an agenda for the SEC. Columbia Law School. April
2003. Columbia Law and Economics Working Paper, n. 221.
111 Pode haver CO com poder de decisão, que exerce o papel de gatekeeper, todavia, de regra geral, o
poder decisório está nas mãos das áreas gestoras e na alta direção.
112 CANDELORO, Ana Paula. Você conhece a função do Compliance Officer? Associação Brasileira de
Bancos (ABBC), 2015. Disponível em: < http://www.abbc.org.br/cursos/artigo.asp?id=13>
113 Disponível em: <https://portal.tcu.gov.br/planejamento-governanca-e-gestao/gestao-de-riscos/politica-
de-gestao-de-riscos/modelos-de-referencia.htm>.
114 ANTUNES, Rodrigo Merli. O crime compensa no Brasil. Jornal O Estadão, São Paulo, 18 fev. 2017.
Disponível em: <http://politica.estadao.com.br/blogs/fausto-macedo/quer-ganhar-algum-dinheiro-entao-
pratique-um-crime/>. Acesso em: 12 jun. 2017.
115 Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.
116 No sistema jurídico brasileiro, mormente nos artigos 408 e seguintes do Código Civil, a cláusula penal
compensatória reflete a função ressarcitória, como uma indenização para o credor no caso de
descumprimento absoluto ou substancial culposo do devedor, sem necessidade de comprovação de
 danos. Seu principal objetivo é evitar as dificuldades que o credor teria no momento de provar o valor do
prejuízo com a inadimplência do contrato, como uma prefixação do dano. Essa cláusula, por vezes
temida pelas partes, é um acessório contratual que impõe uma pena financeira para a parte que inadimplir
a execução da obrigação. Diametralmente oposta da anterior, a cláusula penal moratória, estipulada para
desestimular o devedor de incorrer em mora ou para evitar que deixe de cumprir determinada cláusula
especial da obrigação principal. É uma “punição” pelo retardamento no cumprimento da obrigação.
117 Para se aprofundar no assunto, recomendamos o livro “A Função Coercitiva da Cláusula Penal e Uma
Crítica ao Art. 412 do Código Civil de 2002”, de Pedro Amaral Salles, publicado em 2014.
118 CARVALHO, André Castro; BERTOCCELLI, Rodrigo de Pinho et al. (Coord.). Manual de
Compliance. Rio de Janeiro: Editora Forense, 2018. p. 278.
119 HC 108.985/DF, Rel. Min. Laurita Vaz, DJe de 15 jun. 2009.
120 STJ - HC 435048 GO 20180020896-1.
121 CARVALHO; BERTOCCELLI, op. cit., p. 280.
122 Para maiores informações: <<https://www.justice.gov/usao-sdny/pr/manhattan-us-attorney-sues-
thomas-e-haider-former-chief-compliance-officer-moneygram>.
123 U.S. Department of the Treasury, Plaintiff, v. Thomas E. Haider, Defendant. United States District
Court, D. Minnesota. January 8, 2016. Disponível em: < http://www.leagle.com>. Acesso em: 26 maio
2016.
124 Art. 5o da Lei Anticorrupção.
125 CARVALHO, André Castro; BERTOCCELLI, Rodrigo de Pinho et al. (Coord.). Manual de
compliance. Rio de Janeiro: Editora Forense, 2018. p. 283.
126 BITENCOURT, Cezar Roberto. Tratado de Direito Penal, Parte Geral. 18. ed. São Paulo: Saraiva,
2012. v. 1, p. 549-550.
127 Apud PUIG, Santiago Mir. Derecho Penal, loc. cit., p. 313.
128 Entrevista de Claus Roxin concedida às repórteres Cristina Grillo e Denise Menche, da Folha de
S.Paulo, São Paulo, 11 nov. de 2012.
129 GENE, Ahner. Ética nos negócios: construir uma vida, não apenas ganhar a vida. São Paulo: Paulinas,
2009, p. 72.
130 Sobre o tema, recomendamos a leitura: <http://g1.globo.com/mundo/eleicoes-nos-
eua/2016/noticia/2016/07/melania-trump-e-acusada-de-plagiar-discurso-de-michelle-obama-em-
2008.html>.
131 GENE, Ahner. Ética nos negócios: construir uma vida, não apenas ganhar a vida. São Paulo: Paulinas,
2009, p. 15.
132 Não é raro encontrarmos passagens na Bíblia, pois o dilema da moralidade tem longa história na
tradição cristã. Citamos em específico os livros de Mateus (Mt), Lucas (Lc), Jó (Jo) e Hebreus (Hb). A
ética também se faz presente na filosofia judaica e no budismo.
133 SANTOS, Laís Silveira. A ética da gestão pública à luz da abordagem da racionalidade: os dilemas
morais vivenciados na gestão de riscos e desastres em Santa Catarina. Disponível em:
<https://sistemabu.udesc.br/pergamumweb/vinculos/000079/00007916.pdf. p. 52>.
134 MARTÍNEZ, Emílio. Ética. São Paulo: Loyola, 2005.
135 SANTOS, Laís Silveira, op. cit., p. 47.
136 Disponível em: <https://www.mitsloanreview.com.br/post/o-unico-proposito-de-uma-empresa-e-gerar-
lucro-para-os-acionistas>. Acesso em: 16 mar. 2021.
137 SOLOMON, Robert C. A better way to think about business: how personal integrity leads to corporate
success. New York; Oxford: Oxford University Press, 1999.
138 COLLINS, James C.; PORRAS, Jerry I. Built to last: successful habits of visionary companies. New
York: HaperBusiness, 1994. p. 201.
139 Honestidade, Empatia, Solidariedade, Altruísmo, Diversidade, Respeito, Integridade, Lealdade.
140 Segundo a Instrução 358, da Comissão de Valores Imobiliários, são alguns exemplos: assinatura de
acordo ou contrato de transferência de controle acionário, ingresso ou saída de sócios, decisão de
promover o cancelamento do registro de companhia aberta, renegociação de dívidas, desdobramento ou
grupamento de ações, lucro ou prejuízo da companhia, pagamento de dividendos, modificação de
projeções ou pedido de recuperação judicial.
141 O direito norte-americano também já considerou o dever da transparência como requisito para se
assinar um acordo de leniência. Disponível o julgado completo em:
<https://www.justice.gov/atr/speech/cornerstones-effective-leniency-program>.
142 Art. 5, XXXIII - todos têm direito a receber dos órgãos públicos informações de seu interesse
particular, ou de interesse coletivo ou geral, que serão prestadas no prazo da lei, sob pena de
responsabilidade, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do
Estado.
143 (STF/Suspensão de Segurança nº 3.902-4).
144 Disponível em:
<https://www.stj.jus.br/internet_docs/ministros/Discursos/0001182/LEI%20DA%20TRANSPAR%C3%8ANCIA%20E%2
Acesso em: 16 mar. 2021.
145 Há correntes doutrinárias que entendem que o direito do consumidor possui tanto elementos de Direito
Público quanto do Direito Privado.
146 Art. 4º - A Política Nacional das Relações de Consumo tem por objetivo o atendimento das
necessidades dos consumidores, o respeito à sua dignidade, saúde e segurança, a proteção de seus
interesses econômicos, a melhoria da sua qualidade de vida, bem como a transparência e harmonia das
relações de consumo, atendidos os seguintes princípios: (Redação dada pela Lei nº 9.008, de 21.3.1995)
147 Art.6, III - III - a informação adequada e clara sobre os diferentes produtos e serviços, com
especificação correta de quantidade, características, composição, qualidade, tributos incidentes e preço,
bem como sobre os riscos que apresentem. (Redação dada pela Lei nº 12.741, de 2012).
148 Art. 54, § 3o Os contratos de adesão escritos serão redigidos em termos claros e com caracteres
ostensivos e legíveis, cujo tamanho da fonte não será inferior ao corpo doze, de modo a facilitar sua
compreensão pelo consumidor. (Redação dada pela nº 11.785, de 2008).
149 Disponível em: <https://www.elmundodemapfre.com/revista92/informe-revista92-pt.html>.
150 Disponível em: <https://fsense.com/pt/gestao-transparente-entenda-a-importancia-e-saiba-como-
fazer/>. Acesso em: 16 mar. 2021.
151 “No original: a existência e a manutenção de um sistema de compliance é [sic] de extrema relevância.”
152 Disponível em: <https://www.ibgc.org.br/blog/pesquisa-IBGC-compliance-empresas-capital-fechado>.
153 Segundo informações do próprio site, <https://www.ibgc.org.br/>, o IBGC foi “fundado em 27 de
novembro de 1995, o Instituto Brasileiro de Governança Corporativa (IBGC), organização da sociedade
civil, é referência nacional e uma das principais no mundo em governança corporativa. Seu objetivo é
gerar e disseminar conhecimento a respeito das melhores práticas em governança corporativa e
influenciar os mais diversos agentes em sua adoção, contribuindo para o desempenho sustentável das
organizações e, consequentemente, para uma sociedade melhor. A principal publicação do IBGC é o
Código das Melhores Práticas de Governança Corporativa, lançado em 1999 e, atualmente, em sua
quinta edição.”.
154 Disponível em: <https://www.ibgc.org.br/conhecimento/governanca-corporativa#:~:
text=Governan%C3%A7a%20corporativa%20%C3%A9%20o%20sistema,controle%20e%20demais%20partes%20interes
Acesso em 12 mar. 2021.
155 Disponível em: <https://www.ibgc.org.br/conhecimento/governanca-corporativa#:~:
text=Governan%C3%A7a%20corporativa%20%C3%A9%20o%20sistema,controle%20e%20demais%20partes%20interes
156 INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Código das melhores práticas de
governança corporativa. 5. ed. - Instituto Brasileiro de Governança Corporativa. - São Paulo, SP: IBGC,
2015.
157 BERLE, Adolf A. & MEANS, Gardiner C. The modern corporation and private property. New York:
Transaction Publishers, 1932. p. 81-112, 86.
158 BARBOSA JUNIOR, Roberto Flavio Ottoni. O efeito das boas práticas de sustentabilidade e
governança no valor de mercado das empresas listadas na B3. Dissertação apresentada à Escola
Brasileira de Administração Pública e de Empresas da Fundação Getúlio Vargas, para a obtenção do
título de Mestre em Administração. Orientador: Prof. Lars Norden, D.Sc. Rio de Janeiro: 2009, p. 28.
159 Disponível em: <https://www.ibgc.org.br/conhecimento/governanca-corporativa#:~:
text=Governan%C3%A7a%20corporativa%20%C3%A9%20o%20sistema,controle%20e%20demais%20partes%20interes
Acesso em: 9 mar. 2021.
160 Essa foi a pergunta-problema de uma dissertação de mestrado do aluno Roberto Flavio Ottoni Barbosa
Junior, pela Fundação Getúlio Vargas, em 2019. Disponível em:
<http://bibliotecadigital.fgv.br/dspace/bitstream/handle/10438/28644/Dissertacao_RobertoOttoni_Sustentabilidade_e_GC_
sequence=1&isAllowed=y>. Acesso em: 10 mar. 2021.
161 MCKINSEY & COMPANY. Investor opinion survey on corporate governance. New York, June, 2000.
162 Por exemplo, Banco, Petrobras, Weg, Minerva, Klabin, Suzano, Banco Bradesco, Marfrig.
163 FRIEDMAN, Milton. Capitalism and freedom. University of Chicago, 1962.
164 Disponível em: <https://www.aasp.org.br/em-pauta/muito-mais-que-compliance/>.
165 BARBOSA JUNIOR, Roberto Flavio Ottoni. O efeito das boas práticas de sustentabilidade e
governança no valor de mercado das empresas listadas na B3. Dissertação apresentada à Escola
Brasileira de Administração Pública e de Empresas da Fundação Getúlio Vargas, para a obtenção do
título de Mestre em Administração. Orientador: Prof. Lars Norden, D.Sc. Rio de Janeiro: 2009, p. 14.
166 Disponível em: <https://fsense.com/pt/gestao-transparente-entenda-a-importancia-e-saiba-como-
fazer/>. Acesso em: 16 mar. 2021.
167 BARBOSA JUNIOR, Roberto Flavio Ottoni. O efeito das boas práticas de sustentabilidade e
governança no valor de mercado das empresas listadas na B3. Dissertação apresentada à Escola
Brasileira de Administração Pública e de Empresas da Fundação Getúlio Vargas para a obtenção do título
de Mestre em Administração. Orientador: Prof. Lars Norden, D.Sc. Rio de Janeiro: 2009, p. 16.
168 DIAS, R. Gestão ambiental responsabilidade social e sustentabilidade. 2. ed. São Paulo: Atlas S.A.,
2011.
169 Disponível em: <http://iseb3.com.br/o-que-e-o-ise>. Acesso em: 10 mar. 2021.
170 Disponível em: <http://iseb3.com.br/o-que-e-o-ise>. Acesso em: 10 mar. 2021.
171 O relatório completo da 16ª carteira do ISE B3 está disponível em: <https://iseb3-
site.s3.amazonaws.com/Release_2020.pdf>.
172 COOMBES, P. and WATSON, M. Three surveys of corporate governance. McKinsey Quarterly, 4
(Spring 2000): 74-77.
173 BARBOSA JUNIOR, Roberto Flavio Ottoni. O efeito das boas práticas de sustentabilidade e
governança no valor de mercado das empresas listadas na B3. Dissertação apresentada à Escola
Brasileira de Administração Pública e de Empresas da Fundação Getúlio Vargas, para a obtenção do
título de Mestre em Administração. Orientador: Prof. Lars Norden, D.Sc. Rio de Janeiro: 2009, p. 14.
174 Disponível em <http://iseb3.com.br/o-que-e-o-ise>. Acesso em: 10 mar. 2021.
175 BARBOSA JUNIOR, Roberto Flavio Ottoni, op. cit., p. 7.
 2. Programa de Compliance
2.1 Pilares de um programa de compliance
A crescente demanda dos negócios por profissionalização e transparência
criou a necessidade, muitas vezes obrigatória por lei ou como pré-requisito
básico para a entrada em novos mercados, da implantação de um programa de
compliance nas empresas. Nos últimos anos, companhias privadas e estatais
incluíram, em seus planejamentos estratégicos, ações nesse sentido, nos quais
declaram ter, em seus programas, seus objetivos estratégicos, entre eles: o
fortalecimento da confiança em suas marcas, a busca de incremento da eficiência
e da transparência com o mercado e a segurança jurídica.
Para a adoção efetiva de condutas de integridade e assegurar as melhores
práticas de compliance, empresas e consultorias de ponta têm ido além da
implementação de uma governança com controles internos e gestão de riscos.
Em especial, tem merecido muita atenção, e será tratada a seguir, a necessidade
de forte mudança cultural das empresas. O sucesso de mudar o mindset
fortalece o viés do programa de compliance na empresa como gerador de valor e
melhoria contínua, mais do que simplesmente mecanismo de proteção e controle.
Impactar positivamente e transformar, de verdade, organizações inteiras na
adoção de novos hábitos mais éticos e transparentes em direção a condutas
íntegras, independentemente do contexto de negócios, é tarefa que exige muita
disciplina da alta direção da empresa, passando necessariamente pela análise
crítica da maturidade do grupo e de um trabalho organizado para transição em
direção às mudanças imprescindíveis no ambiente de trabalho.
Em se considerando o aspecto técnico (ver figura 5), pode-se elencar,
resumidamente, quatro macroetapas da mudança, sendo a primeira a de descobrir
em que posição a empresa se encontra e quais os seus gaps176; a segunda,
descrever quais são as novas condutas177 para mitigar ou mesmo eliminar as
lacunas encontradas; a terceira, como fazer com que essa nova forma de atuação
seja do conhecimento e entendimento178 da maioria expressiva do grupo
(idealmente 100%) e, por fim, que todos entendam as consequências179
individuais e para a empresa da implantação do programa de compliance.
 Figura 5: Macroetapas para implantação
de um programa de compliance

Mais particularidades dessas quatro etapas serão desenvolvidas ainda neste

capítulo, quando forem abordados os temas do papel da alta direção, os detalhes
da comunicação e treinamento e o programa de compliance como mecanismo de
melhoria contínua. As quatro etapas seguem uma trajetória clássica de mudança
que é a de enfrentar o problema, logo na primeira etapa, ao fazer a análise de
riscos de compliance de forma detalhada. Há vasta bibliografia disponível para
aplicação e de análise e gerenciamento de riscos.
Em novembro de 2020, foi lançado o guia “ERM - Compliance Risk
Management: Applying the COSO ERM Framework”180 que detalha a aplicação
da metodologia COSO com foco em compliance, sendo bastante útil nessa etapa
da implantação do programa de compliance.
Na prática, a análise deve passar pelos aspectos relativos às leis aplicáveis no
mercado da empresa, riscos dos processos, relacionamentos externos e internos e
particularidades relativas a fatores humanos (pessoas e posições que ocupam).
Os principais pontos dessa macroetapa (ver figura 6) passam pelo detalhamento
dos riscos de cada um desses aspectos nos diversos departamentos e funções
chaves da empresa; qual a probabilidade; severidade e definição de medidas de
mitigação. Ao término dessa fase, a maioria das organizações enfrenta um
momento difícil que é o de reconhecer seus problemas e ameaças
organizacionais, muitas delas mantidas escondidas por muito tempo, e a dúvida
se há recursos (pessoas, financeiros e desejo da liderança), para promover a
transformação necessária de mudança.
Figura 6: Análise de gaps e riscos

Passada essa primeira fase, inicia-se a macroetapa 2, com o desenho das

novas condutas esperadas para a empresa, ligadas intrinsicamente à mitigação
dos riscos levantados na etapa anterior. Estes documentos, normalmente o
código de conduta, políticas e procedimentos de compliance, têm o objetivo de
trazer a clareza necessária para a organização do que “pode” e do que “não
pode” ser feito no dia a dia. A tarefa de desenhar o código de conduta e as
políticas de compliance deve ser cuidadosa, no sentido de levar em consideração
todos os riscos que foram apontados na macroetapa 1 e mitigá-los; porém, sem
criar um documento que fuja da realidade da operação e do dia a dia da empresa.
Esse equilíbrio será fundamental nas etapas seguintes, quando as novas condutas
terão que ser colocadas em prática.
Implementar a mudança, na prática, é o objetivo da terceira macroetapa. A
preparação cuidadosa de um plano de comunicação e de treinamento será
fundamental para vencer a natural resistência que ocorre, na maioria das vezes
por parte dos funcionários, para a adoção de novas condutas e procedimentos. A
estruturação da macroetapa 3, sozinha, poderia escrever um capítulo inteiro do
livro, pois demanda um detalhamento minucioso, não somente do público-alvo a
ser atingido, mas também do conteúdo, dos objetivos da empresa, da medição de
efetividade dos treinamentos e entendimento das campanhas de comunicação e,
por fim, a medição do engajamento dos funcionários da empresa para as novas
condutas do programa de compliance.
 A comunicação e o treinamento que trata dos temas de integridade e ética,
pela natureza dos assuntos, abordarão temas sensíveis que mexem, em primeiro
lugar, com os valores das pessoas e, por consequência, da empresa e do ambiente
de mercado em que ela se encontra. Os objetivos de uma campanha de
comunicação e treinamento devem ser planejados para ser capaz de atender a
todos os públicos da empresa, desde a alta direção até a força de trabalho terceira
(se houver) que trabalha na operação da companhia. Quando se trata de uma
campanha que tratará de compliance, os objetivos específicos que normalmente
aparecem são:

sensibilizar e engajar sobre a importância do tema;

informar sobre conteúdos-chaves relativos ao tema, em linha com o nível de maturidade da
empresa quanto ao compliance;
massificar os conceitos do compliance;
desmistificar o compliance e disseminar a cultura da ética e integridade;
posicionar o compliance como um parceiro do dia a dia que, em última instância, deve
resguardar o bom ambiente de trabalho longe de ilicitudes, assédios e preconceitos de toda
a espécie.

A dosagem e a aplicação de cada item dependerão da maturidade e do

engajamento dos funcionários para o tema compliance e determinará a
necessidade de qual(is) tópico(s) anterior(es) deve(m) ser mais explorado(s). Os
públicos-alvo dividem-se em três grandes blocos: os internos em geral (alta
direção, diretores, gerentes, funcionários administrativos e produtivos); públicos
especiais que são mais expostos a riscos de compliance, especialmente aqueles
que ser relacionam com concorrentes, fornecedores e parceiros comerciais e,
finalmente, os públicos externos que têm relacionamento direto com a empresa.
Importante frisar que a estruturação do planejamento de comunicação descrita
aqui não leva em consideração momentos de crise reputacional, quando
eventualmente haverá necessidade de se comunicar diretamente com a sociedade
de forma massiva, especialmente se o objetivo for de recuperar a imagem da
empresa desgastada por um eventual escândalo de compliance. Nesse caso a
dinâmica da comunicação seria completamente diferente. Mais à frente, ainda
neste capítulo, a estratégia de comunicação e treinamento será detalhada.
A macroetapa 4, para implantação de um programa de compliance efetivo,
tem o objetivo de fazer funcionar toda a engrenagem que dará ao mecanismo a
capacidade de identificar e corrigir os problemas que porventura existam na
organização. Nesse momento, terá que entrar em operação o fluxo de detecção e
correção de desvios com a operacionalização do canal de denúncias, a
sistemática de investigação, a implantação de comitê de ética e a governança
(interfaces, aprovações, reuniões etc.) responsáveis por gerar o ciclo virtuoso de
melhoria contínua do programa dentro da empresa. Particularidades sobre esses
pontos serão detalhadas no capítulo específico, mais a frente, sobre o”
compliance como sistema de melhoria contínua”.
Há, hoje, no mercado consultorias e treinamentos para implantação de
programas de compliance que apresentam muitos modelos de diferentes
metodologias com seus pilares e conceitos. Aqui, abordaremos um dos mais
antigos e reconhecidos deles que é o modelo que parte da prevenção, passando
pelos processos que vão detectar e dar consequência para aquelas irregularidades
e desvios nos quais a prevenção não foi suficientemente forte para impedi-las.
Este modelo representa uma visão conceitual do que deverá ser constituído e
como irá funcionar de forma efetiva o programa de compliance. Na figura 7,
vemos a concepção de como esse mecanismo deverá ser estruturado.
Figura 7: Modelo prevenção-detecção-resposta

Antes de escolher o sistema dos três pilares, é importante ressaltar que

qualquer modelo escolhido para implantação de um mecanismo deve,
primeiramente, levar em consideração a cultura da empresa, suas dicotomias e
ter clareza dos objetivos estratégicos da nova organização de compliance.
 A implantação do modelo prevenção-detecção-resposta pressupõe a
construção do programa a partir de uma decisão sólida e inequívoca da alta
direção da empresa, com vistas a dar o suporte e principalmente agir sempre
alinhada com as diretrizes e os padrões que serão comunicados para todos na
organização. O compliance precisa ser um valor prioritário para os negócios.
Esse comportamento esperado (mais do que discursos vazios) é conhecido pelo
mercado como tone at the top, ou seja, a liderança alinhada às práticas da ética e
integridade. Um outro estrangeirismo muito utilizado para descrever essa
necessidade é o walk the talk, ou seja, em uma tradução livre, fazer o que se fala.
Na base de toda essa construção está a organização/departamento de
compliance. Diferentemente do que se pode pensar, essa área deve ser criada
sempre com a missão de gerar valor para a empresa, não só na estruturação e
gerenciamento dos temas relativos à ética e à integridade, mas de fato
contribuindo para os negócios da companhia na medida que for atuar
diretamente na garantia da reputação da marca, da melhoria do ambiente
corporativo, na atração e retenção de talentos, entre outros.
Quanto aos três pilares:

prevenção – é a coluna estratégica que tem a meta de buscar o alinhamento de todos os

funcionários com as diretrizes que vêm da alta direção. Seu grande objetivo será o de
transformar a visão estratégica em ações éticas e íntegras no dia a dia da empresa. Para
encarar esse desafio, terá que, além de desenhar com precisão toda a documentação, como o
código de conduta e suas políticas, ser bastante efetivo na aplicação de um plano de
comunicação e treinamento, como já comentado no subtítulo anterior;
detecção – esse pilar, na prática, é necessário, pois não há como garantir a eliminação de
todos os riscos de compliance. Um mecanismo de detecção para encontrar os
comportamentos que são incompatíveis com a prioridade pela ética, definida pela alta
direção, é, portanto, fundamental para a efetividade do programa. As ferramentas mais
utilizadas para essa tarefa são o canal de denúncias, as investigações que serão colocadas
em ação por conta das manifestações oriundas do canal, auditorias e os controles do
departamento de compliance;
resposta – A melhoria contínua é o principal objetivo dessa coluna. Essa mensagem
necessita ser clara para todos dentro da empresa. O compliance não deve ser criado com o
objetivo de punir, mas para melhorar os processos que ainda insistem em não respeitar os
princípios éticos da empresa. As medidas disciplinares que eventualmente venham a ser
aplicadas, na realidade, são consequências para o cometimento de atos desalinhados com a
visão da empresa e até, em alguns casos, contra as leis brasileiras. Em seu livro de 2014,
“Compliance - A excelência na prática”, Wagner Giovanini181 apresenta, no capítulo III, a
ideia que reforça esta tese: “[...] Desta forma, não é concebível esse departamento funcionar
como uma “polícia repressora” e, sim, necessitará convencer toda a organização: ser
“compliant” é uma vantagem para todos... é um lugar seguro... traz conforto... gera
satisfação.”
 Ao tratar do tema de quais são os pilares para implantação de um programa de
compliance efetivo, é necessário passar pela promulgação, em 1º de agosto de
2013, da lei 12.846/13182, a “Lei da Empresa Limpa”, que foi um divisor de
águas para o tema compliance.
A legislação, além das multas e eventual dissolução das empresas envolvidas
em ilícitos, tem um cunho “pedagógico”, pois dispõe sobre dois pontos que se
destacam: a responsabilidade objetiva e a atenuação e proteção das empresas que
provarem ter implantados, em sua governança, os programas de Integridade183
com aplicação efetiva.
A responsabilidade objetiva de que trata a lei, explicada de uma forma
bastante simples, significa que serão aplicadas sanções administrativas nas
empresas que se beneficiarem da corrupção, sem a necessidade de se provar a
culpa ou dolo. Basta ficar demonstrada a vantagem auferida no cometimento do
ilícito.
Esse ponto é de fundamental importância para a aplicação das consequências
da lei, pois torna muito mais difícil a “terceirização” da prática criminosa para,
por exemplo, despachantes ou os conhecidos “laranjas”. Já a atenuação e
proteção para empresas com programas de compliance efetivamente
implementados, certamente, é o ponto mais “educativo” da lei para as empresas
privadas no Brasil. A Lei 12.846/13, em seu artigo 7º inciso VIII descreve: “ Art.
7º Serão levados em consideração na aplicação das sanções:
I - a gravidade da infração;
II - a vantagem auferida ou pretendida pelo infrator;
III - a consumação ou não da infração;
IV - o grau de lesão ou perigo de lesão;
V - o efeito negativo produzido pela infração;
VI - a situação econômica do infrator;
VII - a cooperação da pessoa jurídica para a apuração das infrações;
VIII - a existência de mecanismos e procedimentos internos de integridade, auditoria e
incentivo à denúncia de irregularidades e a aplicação efetiva de códigos de ética e de conduta
no âmbito da pessoa jurídica; [...]”

Notadamente, o incentivo explícito da legislação para implantação de

programas efetivos é um ponto que passa, a partir de então, a incentivar a adoção
desse tipo de mecanismo nas empresas privadas no Brasil.
Em 18 de março de 2015, foi sancionado o decreto nº 8.420184 , que
regulamentou a Lei 12.846/13. Dentro de seu capítulo IV, foram estipulados 16
parâmetros que definem, segundo a visão da lei, os pilares necessários para
avaliação da existência e do funcionamento de programa de compliance efetivo.
 São eles:
“I - comprometimento da alta direção da pessoa jurídica, incluídos os conselhos, evidenciado pelo
apoio visível e inequívoco ao programa; II - padrões de conduta, código de ética, políticas e
procedimentos de integridade, aplicáveis a todos os empregados e administradores,
independentemente de cargo ou função exercidos; III - padrões de conduta, código de ética e
políticas de integridade estendidas, quando necessário, a terceiros, tais como: fornecedores,
prestadores de serviço, agentes intermediários e associados; IV - treinamentos periódicos sobre o
programa de integridade;
V – análise periódica de riscos para realizar adaptações necessárias ao programa de integridade;
VI - registros contábeis que reflitam de forma completa e precisa as transações da pessoa jurídica;
VII - controles internos que assegurem a pronta elaboração e confiabilidade de relatórios e
demonstrações financeiros da pessoa jurídica; VIII - procedimentos específicos para prevenir
fraudes e ilícitos no âmbito de processos licitatórios, na execução de contratos administrativos ou
em qualquer interação com o setor público, ainda que intermediada por terceiros, tal como
pagamento de tributos, sujeição a fiscalizações, ou obtenção de autorizações, licenças, permissões
e certidões; IX - independência, estrutura e autoridade da instância interna responsável pela
aplicação do programa de integridade e fiscalização de seu cumprimento; X - canais de denúncia
de irregularidades, abertos e amplamente divulgados a funcionários e terceiros, e de mecanismos
destinados à proteção de denunciantes de boa-fé; XI - medidas disciplinares em caso de violação
do programa de integridade;
XII - procedimentos que assegurem a pronta interrupção de irregularidades ou infrações
detectadas e a tempestiva remediação dos danos gerados; XIII - diligências apropriadas para
contratação e, conforme o caso, supervisão, de terceiros, tais como: fornecedores, prestadores de
serviço, agentes intermediários e associados; XIV - verificação, durante os processos de fusões,
aquisições e reestruturações societárias, do cometimento de irregularidades ou ilícitos ou da
existência de vulnerabilidades nas pessoas jurídicas envolvidas; XV - monitoramento contínuo do
programa de integridade, visando seu aperfeiçoamento na prevenção, detecção e combate à
ocorrência dos atos lesivos previstos no art. 5º da Lei nº 12.846, de 2013; e XVI - transparência da
pessoa jurídica quanto a doações para candidatos e partidos políticos185.”
Os 16 pontos são praticamente autoexplicativos e guardam uma correlação
clara com o tripé prevenção-detecção-resposta. Nesses casos, o inciso I refere-se
ao tone at the top; os incisos II, III, IV, V, VI, VIII, XIII, XIV e XVI, ao pilar de
prevenção; os incisos VII, IX e X, ao pilar de detecção e os incisos XI, XII, XV,
ao pilar de resposta.
Como pode ser visto pela concentração dos pilares, em 9 dos 16 parâmetros
acima, o foco maior da lei foi para as medidas de prevenção. Em resumo, eles
exigem definições de padrões de conduta para além das fronteiras internas,
estendidas para fornecedores e parceiros comerciais, treinamentos, análise
periódica de riscos e due diligences de integridade (DDI186).
Na detecção, o decreto deu ênfase à existência de controles para detectar
problemas e então garantir a confiabilidade de demonstrações financeiras, canais
de denúncias efetivos (de conhecimento púbico e que garantam a proteção contra
retaliações) e, não menos importante, que haja uma instância interna capaz (com
liberdade e autonomia) de fiscalizar o cumprimento do programa.
No pilar de resposta, o decreto foi claro no sentido de que um programa de
compliance efetivo deve dispor de medidas disciplinares, em caso de infrações e
pronta interrupção e remedição nesses casos. Outro ponto importante, e que faz
toda a diferença para que um sistema funcione bem, é a obrigação de
monitoramento contínuo para melhoria contínua.
Em resumo, como já citado no primeiro capítulo deste livro, esses dezesseis
incisos dão a base jurídica para que autoridades possam avaliar a efetividade de
um programa de compliance. A Lei 12.846/13 e seu decreto, de forma objetiva,
podem (do ponto de vista gerencial) e devem (do ponto de vista jurídico) ser
uma das referências utilizadas, como guia, para implantação de qualquer modelo
de programa de compliance no Brasil.
2.2 Tone at the top
Diferentemente do que pode acontecer para outros processos de
transformação, como por exemplo programas de redução de custo, aumento de
produtividade ou melhoria de clima organizacional, na qual a mudança pode
nascer da gerência média e, gradativamente, espalhar-se pela empresa, a
mudança cultural necessária para a implantação de um programa de compliance
efetivo só acontecerá a partir de uma posição genuína e inequívoca da mais alta
liderança da empresa. É, portanto, um processo top-down187 em sua essência.
“Uma imagem vale mais que mil palavras” é um ditado popular, atribuído ao
pensador Confúcio, aproximadamente em 500 a.C., em que ele já dava a
dimensão da força muitas vezes maior da cena e da personificação ante uma
simples verbalização ou declaração escrita de uma conduta. A prática do
comportamento, que na sequência leva ao hábito, segundo ele188, traria a
possibilidade real de a doutrina transformar-se em harmonia.
A decisão “radical” de que somente transações “limpas” devem fazer parte do
portfólio de negócios da empresa não basta ser verbalizada e escrita nas
declarações de estratégia, missão e valores da companhia. Ela tem que ser
praticada no dia a dia. A alta direção tem função dupla neste caso: declarar a
visão e vivê-la na prática.
Por outro lado, o descompasso entre o discurso e a prática, especialmente da
liderança, tem um efeito destruidor para o engajamento dos funcionários aos
preceitos éticos e de conduta declarados pela organização.
Vencida essa etapa, a liderança, a partir do pacto com todos os membros
executivos, deve colocar em prática seu plano de transformação cultural e de
negócios da empresa. Na figura 8, a seguir, pode-se visualizar as etapas de um
modelo de transformação; nesse caso, aplicado à implantação de um programa
de compliance, composto de sete fases: Figura 8: Implantação de compliance –
transformação cultural
A. Definir o que é necessário mudar. Essa etapa, patrocinada pela alta
direção, compõe-se de dois momentos: o da análise de risco de
compliance, já citada anteriormente, e o de definição das ações para
evitá-lo. É o momento em que a alta direção deve exercer o seu
mandato e, de forma top-down, definir claramente o que deve ser
feito para levar a organização em direção à nova visão ética e de
integridade. O “como” fazer não faz parte dessa etapa.
B. Nessa fase, a alta direção tem a meta de envolver e sensibilizar as
pessoas que compõem a primeira linha de executivos ligados a ela.
Nesse momento não estará mais em questão “o que” fazer, mas sim
porque fazê-lo. Cada empresa terá suas próprias razões e demandas
para implantar o programa de compliance. O que importa, nesse
momento do projeto de mudança, é deixar claro para o(a)s líderes
mais próximo(a)s à alta direção o porquê é importante para a
empresa e que o engajamento dele(a)s é obrigatório.
C. Nessa etapa, o projeto deve ser estruturado, definida a liderança
responsável pela implantação do programa, treinados os
componentes da equipe que ainda não estiverem familiarizados com
o tema e detalhado o cronograma do plano que compõe, entre outros,
o desenho dos processos e controles, canal de denúncias e os
processos de investigação, aplicação de medidas disciplinares e
interrupção de irregularidades.
 D. Nessa fase, inicia-se a etapa de comunicação e treinamento. O
grande objetivo aqui é o de buscar o engajamento de todos. É a
massa crítica necessária para a mudança. O papel da alta direção,
nesse momento, é fundamental ao demonstrar que patrocina e
participa do processo de transformação como qualquer um dos
funcionários da empresa.
E. O gerenciamento do projeto deve ser pauta de reportes regulares para
a alta direção que, por sua vez, deve atuar como suporte à liderança,
destravando eventuais barreiras que possam surgir ao longo do
projeto.
F. Todo o processo de implantação passará por necessidade de
realinhamento em função da realidade dos fatos; nem sempre
idênticas ao que foi planejado. Os pontos principais a serem alvos de
alinhamento são, principalmente, a necessidade de novos recursos e
os atrasos e entraves no dia a dia do projeto.
G. Terminada a implantação, vem a fase de gerenciar o programa e dar a
ele processos que garantam a melhoria contínua, não só do sistema,
mas da sua contribuição para a empresa como um todo. Veremos
essa fase, detalhadamente, mais à frente neste mesmo capítulo.

Ainda não existe no mercado uma visão unânime de qual a posição do

compliance dentro das empresas, dado que as visões de cada organização
tendem, desde o momento de implantar e depois durante a atuação da área na
empresa, a dar uma perspectiva de maior interesse, dependendo das necessidades
momentâneas de cada companhia. Por exemplo, a relevância do compliance
poderá ser maior para a área financeira se o foco da empresa for combater
lavagem de dinheiro ou fraudes; na área de RH, se a ênfase for a de lidar contra
assédios, temas éticos e comportamentais; na área jurídica, em caso de aspectos
relativos a conter problemas de cumprimentos de leis e normas, e assim por
diante.
Entretanto, segundo o Código das Melhores Práticas de Governança189 do
IBGC190 , o compliance deve ir além da responsabilidade individual de uma área
exclusiva. Todos os agentes de governança devem: “[...] assegurar que toda a
organização esteja em conformidade com os seus princípios e valores, refletidos
em políticas, procedimentos de controle e normas internas, e com as leis e os
dispositivos regulatórios a que esteja submetida.”.
 Em se partindo desse princípio de que a efetividade de um mecanismo de
compliance depende, dentre outros, da harmonização da conduta de todas as
áreas à visão ética da empresa, da necessidade de autonomia do departamento
responsável pelo tema e da importância da integridade corporativa, recomenda-
se que o departamento de compliance tenha uma ligação direta com o principal
executivo da companhia (presidente/CEO). São vários os sinais organizacionais
positivos transmitidos para a empresa a partir dessa indicação hierárquica, tais
como: autonomia, atenção da alta direção ao tema, empoderamento e
credibilidade.
Em conjunto, a área de compliance e o comitê de ética191 devem zelar pela
efetividade do sistema. A figura 9, a seguir, mostra um desenho organizacional
típico que segue esta orientação de se ter a área de compliance em uma ligação
direta com o principal executivo e o comitê de ética atuando de forma
independente com ligação ao conselho de administração.
Figura 9: Governança corporativa e compliance

O comitê de ética, diferentemente da indicação dos demais comitês que

possam ser formados também com conselheiros externos, é um órgão que ganha
credibilidade e representatividade quando formado por componentes internos da
organização, especialmente o próprio responsável pelo compliance,
representante da área de recursos humanos e do setor jurídico. A presença,
também, de diretores das áreas de operação pode trazer para as discussões do
grupo a visão de negócios que ajudará bastante para que as decisões tomadas
pelos representantes sejam equilibradas, passando pelo aspecto legal (de
proteção da empresa), do ponto de vista do desenvolvimento humano, ambiente
corporativo e de negócios.
A posição do compliance, no comitê, será sempre a de lembrar que a visão
ética e a integridade devem ser ponto pacífico e inequívoco para todas as
tomadas de decisão.
O comitê de ética precisa ter liberdade para defender o alinhamento dos
processos e do comportamento da organização aos princípios éticos e ao código
de conduta, tendo como funções básicas:

no pilar de resposta, definir os critérios para aplicação de medidas disciplinares e aplicá-las,

de forma efetiva, a partir da análise das manifestações e relatos do canal de denúncias. A
observância das deliberações do comitê deve ser efetuada pelas respectivas gerências;
na coluna de detecção, coordenar as investigações dos eventuais desvios revelados pelos
processos de auditoria e de compliance e implantar os controles necessários para assegurar
a efetividade do programa de compliance. É o principal canal entre o conselho de
administração e a camada de execução da empresa;
com o foco na prevenção, definir medidas, em conjunto com a empresa (treinamentos e
comunicação), que garantam a adesão e o engajamento da organização aos princípios do
programa de compliance e, assim, mitigar ao máximo os riscos que porventura possam
desviar dos objetivos de ter-se uma empresa ética e, consequentemente, proteger a imagem
e a reputação da companhia no mercado e na sociedade como um todo.

O comitê de ética deve assumir também uma função estratégica, junto com o
responsável pelo compliance, de dar sua contribuição para a melhoria contínua
do programa de compliance, tópico que será tratado no final deste capítulo.
2.3 Comunicação e treinamento
Todas as partes interessadas/impactadas pelo programa de compliance têm
que conhecer o “Norte”!
Comunicar bem o que se espera, à luz das políticas estabelecidas, é ponto
vital para o sucesso do programa de compliance.
Como já mencionado anteriormente, a macroetapa de implantação do
programa “treinamento e comunicação” tem um papel de decisivo para a
implantação (e manutenção) do compliance. A participação, a partir do
conhecimento da visão e da identidade da organização, é imprescindível para o
engajamento dos envolvidos e consequente bom funcionamento de todo o
sistema.
O planejamento da comunicação precisa ser feito de forma profissional para,
então, colocar em ação todo um encadeamento de treinamento e interlocução
com todas as partes interessadas. A figura 10, a seguir, demonstra as etapas
básicas desde a planificação até a medição de efetividade de todo o processo,
passando pela estratégia criativa, plano de ativação e as ondas de comunicação.
Figura 10: Ciclo de comunicação e treinamento

Como demonstrado na figura, há que se contextualizar, inicialmente, o

momento da empresa para entender o ponto de partida e o nível de maturidade
do público que será impactado. Esse diagnóstico é importante para fornecer os
dados de entrada que definirão os objetivos da campanha e dos treinamentos.
Nessa etapa, precisarão ficar bem claras as diretrizes, as mensagens e as novas
condutas a serem transmitidas.
A partir dos objetivos claros, apesar de o tema compliance ser denso, é
preciso debruçar-se na estratégia criativa, justamente para tornar o tema mais
“palatável” para os diferentes públicos-alvo da empresa. Os treinamentos e as
ações de esclarecimento do “o que é compliance” não precisam ser complexos,
nem tão sisudos. Há vários exemplos no mercado de atividades que levam o
tema ao público de forma divertida, sem perder a seriedade que o tema exige,
nem a sua importância para a organização.
Tamanhos diferentes de empresas exigirão planos de comunicação igualmente
diferentes. A planificação de como e quando colocar em prática a estratégia
criativa é imprescindível. É nesse momento que os responsáveis pelo plano irão
desenhar o cronograma, com prazos e responsáveis, levando em conta os
recursos que existem na companhia. Essa atividade precisará ser alinhada com
toda a empresa, pois definirá o cruzamento dos conteúdos a serem customizados
para os diferentes departamentos e público.
A execução do plano de comunicação e dos treinamentos deverá ser aplicada
em ondas que “se conversam” e têm uma lógica própria para aumentar as
chances de que o entendimento dos temas seja o maior possível.
As ondas, como veremos daqui a pouco, devem levar em consideração a
relação de público x conteúdo, quais serão as atividades previstas (mídia,
reuniões, palestras etc.) e os objetivos de tempo e engajamento.
No dia a dia das empresas, é bastante comum, por falta de um planejamento
adequado, a aplicação de treinamentos sem a preocupação de se ter métricas
claras para saber se o investimento feito deu o retorno esperado para a
organização. Essa medição é fundamental, não somente para saber o “ROI”192,
mas também para coletar os feedbacks necessários para planejar, de forma
inteligente, o próximo ciclo de comunicação que se iniciará tão logo esse
termine.
O ciclo de comunicação, como mostra a figura 10 tem as seguintes etapas,
descritas, a partir de agora, em mais detalhes.
Na etapa de “contextualização – visão e objetivo”, é preciso entender o
momento em que a empresa se encontra e como se espera que o programa de
compliance deva ser implementado. Em outras palavras, qual o estágio atual e
qual deverá ser o novo patamar depois que todo o ciclo da figura 10 for
executado. Sem a pretensão de esgotar o assunto, que é vasto e com muito
material disponível para estudo, na prática deverão ser avaliados, pelo menos,
dois pontos fundamentais que servirão, ao final do processo, para medir o
sucesso da iniciativa de comunicação. São eles: o entendimento dos conteúdos a
serem transmitidos e o engajamento dos funcionários para a nova política da
empresa (em última instância, com o programa de compliance).
Empresas que estão na sua primeira rodada de divulgação do programa
precisarão passar em detalhes, nessa etapa, por todos os pontos intermediários
que levarão ao tão esperado entendimento e engajamento. Serão necessárias
discussões sobre a adaptação da rodada de comunicação à realidade da empresa;
alcance desejado, levando em conta quais assuntos serão tratados e com qual
prioridade, bem como qual será a profundidade para os diferentes públicos-alvo
envolvidos. Aquelas que já passaram para ciclos posteriores de melhoria poderão
aproveitar as lições aprendidas nas primeiras rodadas, ficando assim mais fácil
definir a quantidade de recursos, sua aplicação e proposta de cronograma.
Estratégia é vital, mas a criatividade vem, cada vez mais, sendo a palavra do
momento na hora de elaborar a estratégia criativa. Neste momento do ciclo, a
etapa de “comunicação – estratégia criativa”, mesmo empresas grandes, no
passado com grandes orçamentos de comunicação interna, têm exigido de suas
áreas de compliance que façam “mais com menos”. Isso não significa abdicar da
efetividade para garantir o entendimento e o engajamento da ampla maioria do
público-alvo.
A estratégia de comunicação do compliance começa pela definição de qual
tema deve ser transmitido para qual público e com qual profundidade. A
aplicação por conteúdo, com segmentação da audiência, traz um ganho enorme
para a efetividade da comunicação.
Alguns temas são de interesse de todos e assim devem ser comunicados;
porém, há alguns assuntos que são muito técnicos e devem, portanto, fazer parte
de um treinamento específico. Seguem alguns exemplos de temas x audiência:
Código de Conduta: todos os funcionários, sem distinção;
Canal de Denúncias: todos os funcionários, sem distinção, quando se trata de como acessá-
lo, seus objetivos de melhoria do ambiente corporativo e funcionamento básico. Para a
direção, participantes do comitê de ética e gerência, há que se entrar em mais detalhes de
como as denúncias serão separadas e selecionadas até chegar ao comitê de ética, dando
ênfase para as políticas de garantia da confidencialidade (se essa for a decisão da empresa)
e o cuidado com a não retaliação;
Política Antitruste: alta direção, funcionários que participam em fóruns e associações com a
participação de concorrentes, profissionais de vendas e que fazem ofertas comerciais;
Investigação: todos os funcionários, sem distinção, para dar ciência de como as denúncias
 serão investigadas. Para os funcionários que farão parte do time interno de investigações (se
houver), será necessário fazer um treinamento específico com detalhes de como realizar
entrevistas, conduta do investigador, análise de documentação, emissão de relatórios, dentre
outros detalhes.

Cada empresa tem suas particularidades e regras para a escolha dos recursos e
instrumentos de comunicação interna. A diversificação com o uso simultâneo de
diversos formatos tornará a comunicação corporativa mais dinâmica e
interessante. Aqui, são indicados alguns exemplos práticos com foco para o
compliance:

Intranet e internet: o uso da rede digital privada já é uma realidade na maioria das empresas,
não somente para o tema comunicação, mas também para concentrar documentação e
procedimentos. A intranet tem sido, inclusive, utilizada com o conceito de “landing page”
193, para chamar a atenção dos funcionários para campanhas, brindes atrelados à
participação e gincanas, a fim de engajá-los no tema de integridade e ética. Já a internet tem
uma função informativa importantíssima na comunicação com a sociedade e com as partes
interessadas externas à companhia. A publicização, via site, por exemplo, do código de
conduta e políticas de integridade estendidas a terceiros (fornecedores, prestadores de
serviço, agentes intermediários e associados) é a forma mais simples e eficiente de dar
acesso aos conteúdos de compliance e de demonstrar a aderência da empresa aos
parâmetros descritos pelo decreto 8.420/15;
reuniões recorrentes: a participação da área de compliance em reuniões ordinárias é uma
das iniciativas de comunicação mais importantes para manter o canal de diálogo sempre
aberto com todas as áreas da empresa. Para tal, é preciso fazer um levantamento em quais
reuniões (e com qual finalidade) o compliance deveria estar presente e, então, negociar a
participação com o responsável por aquele espaço. Esse canal é bidirecional e servirá para
passar e receber informações “direto com a fonte”;
publicações internas: revistas e informativos internos de publicação periódica são meios
que atingem todos os funcionários de forma coletiva. É, portanto, uma ferramenta de
comunicação massiva que, para ser efetiva, necessita ter temas recorrentes interessantes que
capturem sempre a curiosidade do público. Sem essa premissa, há o risco da perda de
interesse. Além disso, exige uma estrutura fixa para fazer o planejamento para captação,
elaboração, revisão, aprovação e divulgação dos conteúdos
campanhas: campanhas de comunicação sobre o programa, normalmente com um foco
específico, voltada para os funcionários. Para esse tipo de ação, são desenhadas peças de
comunicação contendo a identidade visual da área, texto e diagramação, com as mensagens-
chave escolhidas para essa iniciativa;
e-mails: manter as caixas de e-mail sob controle é um desafio no mundo de hoje. Portanto,
o envio sequencial de e-mails deve ser muito bem planejado para que as mensagens da área
de compliance não acabem por virar spam194. Assim, o planejamento de envio de e-mails
deve, antes de tudo, conhecer bem o mailing, para personalizar o máximo possível os
conteúdos que serão enviados, tornando-os atrativos para quem os recebe. A customização
dos conteúdos deve seguir a mesma lógica já descrita no início, em que assuntos muito
técnicos devem ser direcionados para quem for diretamente relacionado ao tema. Outras
regras, já amplamente divulgadas, para se escrever e-mails devem, é claro, ser seguidas, tais
como: ater-se ao tema sem tergiversações; utilizar chamadas interessantes e ser assertivo e
animado nas mensagens;
vídeos: os vídeos talvez sejam, dentre todas as ferramentas de comunicação, aqueles que
podem gerar o maior impacto (positivo ou negativo) em uma ativação de campanha de
compliance. Hoje, é extremamente fácil gravar e colocar vídeos na internet (basta ter um
celular). Justamente por isso, para se ter uma entrega profissional, é preciso preocupar-se
com a produção do conteúdo e com a finalização do filme. A personalização dos
treinamentos, depois de fechado o briefing195, começa com a definição do roteiro que deve
ser feito a quatro mãos, em conjunto com um profissional que tenha conhecimentos do tema
compliance. Um belo vídeo que impacte profundamente a população, mas com um conceito
errado pode destruir toda a ação de comunicação;
treinamentos: a necessidade de aprofundamento para qualquer dos temas do compliance,
quer por necessidade de capacitação, quer com objetivos de melhorar qualidade e
competências, programa de aprendizado e evolução profissional, tornam inevitável a
existência de um programa de treinamento. A matriz de planejamento normalmente divide
os treinamentos entre os presenciais e a distância (ao vivo e gravados) e entre os sugeridos e
os obrigatórios;
treinamentos presenciais e a distância: os treinamentos on-line e o home-office196 ganharam
muita força depois do agravamento da pandemia do COVID-19. As avaliações das
organizações e de quem já passou por treinamento a distância têm mostrado que a negação
inicial para aceitar as aulas, via internet, vem mudando significativamente para melhor.
Tanto os professores/expositores que têm melhorado muito nas técnicas de uso das diversas
ferramentas disponíveis para a interação com o seu público, quanto quem recebe o
treinamento tem percebido os benefícios dessa modalidade, tais como: agilidade para
acesso aos conteúdos, não precisar de deslocamento, horários flexíveis (para os cursos
gravados) e redução de custos. O treinamento presencial, com certeza, traz em seu favor a
questão da pessoalidade que, na interação via internet, se perde em grande medida.
Especialmente para aqueles treinamentos de compliance, nos quais temas confidenciais e
sensíveis são tratados, o benefício de fazer-se “face a face” é inequívoco;
treinamentos obrigatórios: esse é um dos pontos mais críticos quando se trata de
capacitação. Os treinamentos obrigatórios, por um lado, são uma ferramenta poderosa para
mitigação de risco nas empresas; mas, por outro, podem tornar o tema compliance “mal
falado” dentro da organização, por impor tarefas obrigatórias aos funcionários. O ganho
para a empresa, entretanto, é alto e assim tudo o que puder ser feito para acelerar o processo
de engajamento ao treinamento deve ser colocado em prática. Em especial, a definição da
correlação “público x treinamento obrigatório” é fundamental. Aquele funcionário que for
chamado para, obrigatoriamente, passar por um treinamento tem que ter claro o porquê de
ter sido convocado. Essa tarefa é feita, normalmente, por uma análise de risco que
determinará o nível de exposição daquela função e sua respectiva necessidade de
capacitação. O engajamento da alta direção e dos líderes, suportados pela área de
compliance, no acompanhamento e exigência da execução do treinamento, ponto chave
para o sucesso da iniciativa;
treinamentos de integração: aqui, vale a máxima do compliance de que todos os
funcionários precisam conhecer os valores éticos e de conduta da empresa e como se
comportarem quando confrontados com riscos de compliance. Sendo assim, a integração de
novas pessoas à organização tem que ser bem estruturada para buscar a meta 100%. No dia
a dia, cada vez mais o uso de ferramentas digitais, como vídeos de integração e
treinamentos EAD197 (gravados) têm sido utilizados para essa tarefa. Isso para poder
responder à flexibilidade necessária, objetivando treinar pessoal a qualquer momento, em
 qualquer lugar, com qualidade e de forma padronizada. A disponibilização de um canal para
tirar dúvidas e a utilização de encontros presenciais adicionais (por exemplo, um “Encontro
Mensal de Compliance com Novos Colaboradores”) também são extremamente importantes
para abrir um diálogo e completar esse processo de forma efetiva.

No estágio de “realização – plano de ativação” (ver figura 10), fazer a

ativação das atividades de comunicação e treinamento, mais do que desenhar um
cronograma, pressupõe “colocar no papel” os passos para cumprir as tarefas,
passando pelo sequenciamento (chamamos aqui, no livro, de “ondas de
comunicação”) e deixar clara a visão de como serão atingidas as metas definidas
pela etapa de contextualização.
Em outras palavras, o plano de ativação deverá passar por, no mínimo, três
detalhamentos, sua extensão (cobertura dos conteúdos e público), proposta de
prazos e meios necessários para execução (financeiros e de pessoal) e as
métricas para analisar a performance do projeto.
Por exemplo, se uma das metas for a de dar conhecimento geral do código de
conduta para todos os funcionários, o detalhamento da extensão do plano iniciar-
se-ia com a listagem de todos os pontos importantes do código a serem
comunicados e quais deles seriam informados com mais ênfase para cada um dos
públicos-alvo. A cobertura, nesse caso, seria a empresa inteira e, eventualmente,
a comunicação poderia dar ênfase aos pontos do código que têm mais relação
com determinado público. A área financeira poderia receber o treinamento com
mais tempo dedicado aos pontos que tratam de lavagem de dinheiro e
contabilização, enquanto a área de compras receberia mais ênfase aos temas de
presentes e hospitalidades e conflito de interesses.
O planejamento de prazos e meios, nesse exemplo, deveria levar em conta a
abrangência da empresa toda (inclusive a integração de novos funcionários) e
precisaria definir com quais instrumentos iria atingir o público-alvo. Intranet,
vídeos e treinamentos a distância provavelmente seriam avaliados para atender
ao público que já está na empresa e àquele que está por vir.
As métricas de avaliação198 para uma ação que envolve todos os
colaboradores devem levar em consideração, além das medidas tradicionais de
percentual de pessoas que participaram/realizaram e o nível de satisfação com o
treinamento, indicadores para avaliar o entendimento e engajamento.
Para o entendimento, nesse caso, pode-se aplicar perguntas simples ao final
dos vídeos e/ou treinamentos ao vivo, a fim de mensurar a compreensão do que
foi apresentado. E para o engajamento, uma pesquisa ao final da série de
treinamentos poderia medir com perguntas diretas (de preferência com respostas
anônimas) se o participante de fato acredita no código de conduta e se passará a
agir de acordo com ele.
O plano de ativação, depois de pronto, deve ser apresentado e aprovado pela
alta direção da empresa. Junto com a autorização, a área de compliance deve
buscar também o compromisso da alta direção da presença e o respectivo suporte
para convencimento da participação ativa dos funcionários. (Ver tone at the top e
walk the talk).
Com o plano aprovado em mãos, na etapa de “execução – ondas de
comunicação”, chega a hora da “transpiração” para garantir a execução do
projeto.
A aplicação do plano de comunicação deve ser encadeada, levando-se em
consideração pelo menos duas dimensões, a saber, por nível hierárquico e por
sequência lógica entre assuntos que exijam interdependência de conhecimento.
Esse sequenciamento das ondas de comunicação maximizará o entendimento
e, por consequência, o engajamento do público-alvo.
Existem conteúdos em que as ondas de treinamento, por exemplo, precisam
respeitar uma sequência de pré-requisitos entre eles. Na prática, haverá baixo
entendimento de um treinamento de “Regimentos para o Comitê de Ética”, se
antes os participantes não tiverem adquirido os conhecimentos ministrados pelos
cursos de “Canal de Denúncias e Investigações”. Há que respeitar uma
correlação entre os treinamentos, para não frustrar as pessoas com conteúdos
técnicos que demandem conhecimento prévio.
Outro sequenciamento relevante é o de nível hierárquico. As boas práticas,
nesses casos, mostram que, idealmente, a ordem dos treinamentos deveria
começar pelas lideranças e então seguir para a parte administrativa operacional,
chegando a todos os funcionários (para aqueles treinamentos destinados a todos
– exemplo do código de conduta). A razão para essa preferência é a de conseguir
primeiro o buy-in199 da liderança, que na sequência irá apoiar a iniciativa e
cobrar de seus liderados a participação ativa.
Com o cronograma pronto, caberá à área de compliance gerir a ativação das
mídias escolhidas e a aplicação dos treinamentos sempre “medindo a
temperatura” dos clientes internos quanto ao grau de satisfação e à qualidade dos
conteúdos transferidos para o público. Caberá ao compliance, também, manter
os registros adequadamente armazenados. As ações do plano de comunicação
evidenciarão o atendimento de, pelo menos, seis dos 16 itens do decreto
8.420/15, a saber:
 comprometimento da alta direção evidenciado pelo apoio inequívoco ao programa (item I);
existência de padrões de conduta, código de ética, políticas e procedimentos de integridade,
aplicáveis a todos os empregados e administradores, independentemente de cargo ou função
exercidos e, quando necessário, estendidos a terceiros (itens II e III);
treinamentos periódicos sobre o programa de integridade (item IV);
independência da estrutura de compliance responsável pela aplicação do programa e
fiscalização do seu cumprimento (item IX);
monitoramento do programa de compliance, visando a seu aperfeiçoamento na prevenção
de ocorrências dos atos lesivos previstos na Lei Anticorrupção (item XV).

No estágio de “gestão – medição da efetividade”, a supervisão do plano de

comunicação faz parte de uma das medidas necessárias para saber se a área de
compliance é efetiva de forma geral. Como foi citado anteriormente, não há
como impulsionar a mudança cultural dentro da empresa sem um bom
desempenho da macroetapa comunicação e treinamento.
Como demonstrado na figura 10, a medição da efetividade do projeto de
comunicação serve de dado de entrada para fechar o ciclo e realimentar todo o
processo de forma que se procure a melhoria contínua para os próximos
períodos. A medição precisa levar em consideração diversos parâmetros para
conseguir se ter uma visão holística e não somente das atividades individuais do
projeto.
Sob o ponto de vista do programa de comunicação, a avaliação deve levar em
consideração, pelo menos, três aspectos: o grau de cobertura das atividades em
relação à lista de assuntos e ao público-alvo que se pretendia impactar; a
eficiência na execução das atividades, quanto aos prazos e custos planejados, e
as medidas de entendimento dos conteúdos ministrados e o impacto no
engajamento do público para com os procedimentos e condutas ministradas.
Se esses três grupos de medidas forem adequadamente implementados, serão
eles que servirão de base, dando o “norte” aos próximos ciclos de planejamento.
A partir deles, a área de compliance, junto com a alta direção da empresa, poderá
revisitar e melhorar sua estratégia e os processos de comunicação.
2.4 Canal de denúncias
O Canal de Denúncias é, na prática e por força de lei, a principal ferramenta
do pilar de detecção no quotidiano de um programa de compliance.
Para entender em qual contexto este subcapítulo irá discorrer sobre o assunto,
é necessário, inicialmente, pontuar a diferença entre ouvidoria com regulação
federal (como definido pela promulgação, em 26 de junho de 2017, da Lei nº
13.460200) e canais de denúncias (conforme o decreto nº 8.420/15 que
regulamentou a Lei 12.846/13 – já citado anteriormente em Pilares Jurídicos –
O decreto da “Lei da Empresa Limpa”).
O tema de transparência de informações, melhoria e acesso da comunicação
das empresas públicas com a sociedade e direito do cidadão ao usar o serviço da
administração pública é recorrente e, juridicamente, tem um de seus pilares na
Lei nº 12.527201, de 2011, que dispõe sobre os procedimentos a serem
observados pela União, Estados, Distrito Federal e Municípios, com o objetivo
de, dentre outros, implantar e manter canais de atendimento às reclamações,
sugestões e denúncias dos cidadãos, em especial, para serviços públicos. Em
2017, a Lei 13.460/17 oficializou as ouvidorias como um dos canais entre o
serviço público e seus usuários Por exemplo, na CGU202: “Uma ouvidoria
pública atua no diálogo entre o cidadão e a Administração Pública, de modo que
as manifestações decorrentes do exercício da cidadania provoquem contínua
melhoria dos serviços públicos prestados. A Ouvidora-geral da União, ligada à
Controladoria-Geral da União (CGU), é responsável por receber, examinar e
encaminhar denúncias, reclamações, elogios, sugestões, solicitações de
informação e pedidos de simplificação referentes a procedimentos e ações de
agentes públicos, órgãos e entidades do Poder Executivo Federal”.
Já os canais de denúncias, objeto de estudo deste livro, são aqueles, parte de
um programa de compliance, implementados de forma corporativa com
aderência jurídica à “Lei da Empresa Limpa” ou mesmo às normas setoriais
como, por exemplo, a resolução do Bacen nº 4567203, do Banco Central do
Brasil, e a Lei das Estatais nº 13.303/16204, em seu Art. 9º, § 1º, inciso III.
Não há como ter um programa de compliance efetivo sem um canal de
denúncias, que inclusive faz parte de um importante sistema de governança de
compliance das ouvidorias reguladas.
Essa constatação, mais do que simplesmente atender ao requisito do capítulo
IV, item X do decreto 8.420/15, é praticamente uma unanimidade entre os
responsáveis por programas de compliance de empresas de qualquer porte.
Hoje, existem muitas soluções e diversos formatos para a sua implantação, os
quais serão detalhados neste subcapítulo. Uma das primeiras perguntas que
surgem é se o canal de denúncias pode ser interno ou se deve ser contratado
externamente. Não há qualquer obrigação legal para terceirizar esse serviço.
Essa é uma decisão de negócios do tipo make-or-buy205. Entretanto, a
quantidade de ofertas existente no mercado, atualmente, é enorme. Serviços de
todos os preços e de diferentes escopos tornam difícil de justificar a manutenção
dos serviços de um canal de denúncias (com atendimento profissional)
internamente. Fatores como a necessidade de se manter pessoal especializado
disponível para receber e tratar a denúncia; o custo de atendimento (estrutura,
pessoal e horário de funcionamento); sistemas de registro; acompanhamento e
medição; independência da área que receberá o chamado/manifestação e
credibilidade para incentivar o engajamento dos funcionários para fazer a
denúncia mostram que há uma tendência da escolha externa, quando a empresa
pretende ter um canal que, de fato, traga à tona a realidade da empresa.
Dados de empresas conceituadas que fornecem esse serviço no mercado
mostram que canais terceirizados profissionais trazem benefícios concretos, tais
como:

“na migração de um canal interno para um canal externo o incremento no recebimento de

denúncias é de 6 vezes.” (Fonte: Contato Seguro Ltda206.);
“perdas médias decorrentes de fraude 59% inferiores àquelas que não possuem canal de
denúncias implantado.” (Fonte: Deloitte S.A. 207);
“63% das denúncias qualificadas para apuração são confirmadas.” (Fonte: ICTS
Outsourcing208).

Esses poucos dados mostram que a existência do canal de denúncias efetivo

na construção de um programa de compliance “conversa” diretamente com a
melhoria dos resultados de negócios, tais como:

redução de fraudes com mitigação do risco de multas e sanções;

ganho de transparência na gestão, redução de assédios e melhoria do ambiente de trabalho;
identificação proativa de riscos com diminuição de ameaças à reputação da empresa;
melhoria do sistema de controles, redução de roubos internos e aderência às leis e às
normas setoriais.

A deliberação por ter um canal aberto para os funcionários, parceiros e

fornecedores poderem manifestar livremente e, preferencialmente, de forma
anônima qualquer indício de desvio em relação aos preceitos éticos da empresa
(notadamente os descritos no seu código de conduta) é uma decisão top-down.
Quando uma empresa se pré-dispõe, genuinamente, a abrir esse “diálogo” com
todas as partes interessadas, ela sinaliza claramente sua intenção de não ter medo
de descobrir seus problemas (“levantar o tapete”) para, em seguida, remediá-los.
Naturalmente, não se trata apenas de se ter a porta de entrada para os
manifestantes, mas sim todo o processo estruturado desde a denúncia até a
aplicação das medidas disciplinares (quando for o caso).
São necessários alguns requisitos básicos para colocar em prática esse
processo, a saber: 1. da existência do canal; 2. quem é o responsável por geri-lo e
dar tratamento adequado; 3. prazos para dar encaminhamento às manifestações;
4. qualidade de confidencialidade e não retaliação; 5. necessidade de se ter
indicadores; 6. do envolvimento da alta direção; 7. da existência de regulamento
interno próprio e 8. publicização para os manifestantes.
Por exemplo, em sua resolução nº 4567209, de 27 de abril de 2017, o Banco
Central do Brasil (Bacen) ilustra, de forma bastante pragmática e didática, os
requisitos mais importantes para a implantação de um canal de denúncias,
necessário para as instituições financeiras e outras autorizadas a operar pelo
Banco. Nesse caso, o objetivo do Bacen é o de receber toda e qualquer
informação que possa afetar as reputações, sejam dos controladores e detentores
da licença de operação ou dos responsáveis estatuários e contratuais designados
por eles.
O documento citado passa por todas as etapas básicas da implantação de um
canal de denúncias efetivo, sendo:

disponibilização de canal de comunicação para todas as partes interessadas, ou seja,

funcionários, colaboradores, clientes, usuários, parceiros ou fornecedores;
possibilidade de reportarem irregularidades sem a necessidade de se identificarem;
nomeação de estrutura organizacional responsável por receber e encaminhar a manifestação
para a área competente para tratamento do relato;
a estrutura em questão deve ter assegurada independência, imparcialidade e isenção;
é exigida uma estrutura de governança com reportes regulares e indicadores mínimos (no
caso, o número de manifestações recebidas, suas naturezas, as áreas responsáveis pelo
tratamento da denúncia, o prazo médio de tratamento e as medidas adotadas);
os relatórios, segundo a governança a ser estabelecida, deve ser apresentada ao conselho de
administração ou àquela área por ela indicada e registros mantidos por cinco anos;
os processos, assim como a forma de acesso, devem ser publicados na internet, na página
principal da organização.
 Na figura 11, a seguir, há um fluxograma que mostra um exemplo da
implantação do canal de denúncias em sua forma completa, com três
possibilidades de acesso para o manifestante (telefone com atendimento ao vivo,
via internet por site, e por meio de aplicativo, via smartfone ou tablet), análise
crítica na recepção da manifestação quanto à urgência do chamado,
encaminhamento ao comitê de ética para o tratamento da
denúncia/reclamação/sugestão e a possibilidade de emissão de relatórios com
indicadores. Não será tópico de aprofundamento neste livro; porém, vale o
registro que boa parte das denúncias precisarão de investigações, com o objetivo
de validar (ou não) o registro do manifestante e, então, dar mais subsídios para
que os representantes do comitê possam deliberar sobre as eventuais medidas
corretivas.
Um dos pontos importantes para o ciclo recebimento-investigação-
deliberação pelo comitê de ética é a possibilidade de manter o diálogo com o
manifestante, para esclarecer eventuais dúvidas que venham a trazer a verdade à
tona e, então, tornar as decisões do comitê de ética mais justas. Só assim a
empresa irá conseguir atingir o principal objetivo de todo esse processo, que não
é punir funcionários e sim o de tornar a empresa mais ética e melhorar o seu
ambiente organizacional.
Para atingir esses objetivos, é relevante que o processo possa extrair
informações que ajudem a gestão a fazer análises críticas, como classificação de
relatos por categorias, ter históricos dos estágios das manifestações e retirada de
indicadores.
Figura 11: Fluxo de atendimento e tratamento de denúncias
2.5 Melhoria contínua do
programa de integridade
Quando se fala de aprendizado organizacional, uma das mais importantes
referências nacionais é a FNQ210 que, há quase 30 anos, se dedica à busca de
excelência e transformação na gestão de empresas no Brasil. O Modelo de
Excelência da Gestão®211 (MEG) é uma referência em modelos de aprendizado
corporativo e, em 2018, foi analisado sob a ótica do compliance212, com base
nos Fundamentos da Gestão para Excelência (já na sua 21ª edição). A conclusão
foi a de um alinhamento natural dos fundamentos dos sistemas de integridade ao
modelo MEG, em especial aos pilares, já descritos aqui, do decreto 8.420/15. As
dimensões que foram analisadas são: 1. Adaptabilidade; 2. Desenvolvimento
Sustentável; 3. Pensamento Sistêmico; 4. Compromisso com as Partes
Interessadas; 5. Geração de Valor; 6. Liderança Transformadora; 7. Orientação
por Processos e 8. Aprendizado Organizacional e Inovação. Os resultados do
trabalho estão registrados na publicação “Gestão Transparente e Sistemas de
Integridade – Compliance213”. Isso posto para evidenciar que o programa de
compliance não deve ser uma área “à parte” dos negócios, mas sim um processo
que, quando bem conduzido, gera real valor à empresa.
O comitê de ética, em função de sua posição hierárquica e também pela
senioridade de seus representantes, é a área que tem as melhores condições de
assumir o papel central no processo de melhoria contínua do programa de
compliance. Além das suas atribuições habituais, os integrantes do comitê
devem assumir o papel de conselheiros do responsável pelo compliance para as
análises críticas periódicas que impulsionarão a área para um ciclo virtuoso de
melhoria. Nesse sentido, o comitê passa a ter as seguintes responsabilidades com
foco na melhoria contínua do programa de compliance da organização:
participação na apresentação do planejamento estratégico da área de compliance pelo
responsável da área com a alta direção;
definição, em conjunto com o responsável do compliance, dos indicadores e metas do
programa;
avaliação da performance e dos indicadores do plano de comunicação;
colaborar com o desenvolvimento do plano de treinamentos de compliance;
acompanhar, sistematicamente, o progresso do contexto jurídico (leis e regulamentos
setoriais), para manter o programa de compliance sempre atualizado;
manter análise crítica periódica sobre os processos relativos ao acompanhamento de
 parceiros comerciais e fornecedores. (due diligencies e contratos);
acompanhamento do progresso dos temas relativos ao canal de denúncias (indicadores),
investigações e medidas disciplinares;
controle, via reporte do responsável pelo compliance, do orçamento da área (custos,
pessoal, investimentos);
controle dos níveis de engajamento do público-alvo (funcionários e terceiros) aos preceitos
éticos definidos pela empresa.

Em resumo, toda a transformação organizacional, que exija mudanças

comportamentais, passa por ciclos de maturidade e autorreconhecimento da
empresa de forma contínua. A participação do comitê de ética no exercício
dessas atribuições, por sua posição privilegiada na governança corporativa, irá
colaborar de forma decisiva para a melhoria contínua do programa de
compliance.
O impacto da transformação ética na implementação efetiva de um programa
de compliance não fica circunscrita somente à empresa, mas avança para dentro
das casas e passa a fazer parte da consciência familiar de seus funcionários. O
legado ético e de difusão do tema integridade que um movimento dessa natureza
pode atingir na sociedade é incalculável. A experiência bem sucedida de diversas
empresas, que passaram por momentos de crise reputacional e conseguiram
“virar o jogo”, mostra que o caminho é longo, mas vale a pena. A mudança, que
inicialmente é rejeitada por sentimentos como dúvida, negação e raiva, acontece
se as partes interessadas perceberem seriedade no propósito de se fazer o certo
porque é o certo a fazer.
O compromisso de todos com o programa, que é possível e acaba
acontecendo, é precedido por um bom período de acompanhamento, exploração
e entendimento do processo de mudança e transformação proposta pelo
programa de compliance e suas medidas de “saneamento” em direção à ética e
integridade.
2.6 GRC: Governança, Risco e Compliance
O departamento de compliance não é e não deve ser considerado como “a”
área responsável pela integridade corporativa de uma empresa. Pelo contrário,
publicações consagradas que descrevem as melhores práticas de governança
corporativa dão indicações claras de que os processos de tomada de decisão, que
mitigam os riscos de atitudes antiéticas de forma mais efetiva, são aqueles que
reúnem de forma alinhada e estruturada, além do compliance, as áreas de gestão
de riscos e governança corporativa; sigla conhecida como GRC: Governança,
Risco e Compliance.
Em uma perspectiva de quase 40 anos de história, é sabido que a gestão de
riscos e o desenvolvimento dos conceitos de governança foram impulsionados,
entre outras razões, a partir das necessidades de mitigar os riscos de fraudes em
relatórios financeiros e pela pressão dos interesses dos acionistas por
transparência e controle nas organizações. A figura 12 , a seguir, mostra essa
evolução, a partir do desenvolvimento de normas e publicações de organizações
de reconhecimento nacional e internacional: o IBGC214, o COSO215 e a
ABNT216.
Figura 12: Evolução da governança,
análise de riscos e compliance

Na década de 80, vários escândalos, relativos à gestão de riscos de crédito e

erros crassos em auditorias, impulsionaram a criação da NCFFR (National
Commission on Fraudulent Financial Reporting), com o objetivo de estudar as
causas para tais fraudes e gerar recomendações de controles internos para
empresas. Essa comissão foi a semente que criou o COSO, logo em seguida. Em
1985, o primeiro reporte publicado, o Report217 of the National Commission on
Fraudulent Financial Reporting, trouxe recomendações para empresas públicas,
para a comissão de valores mobiliários dos Estados Unidos, a SEC218, e outros
órgãos reguladores. O relatório já traz orientações de governança que fazem
ligação direta com programas de compliance, como a necessidade do tone at the
top, auditorias de conformidade e revisão nos padrões e obrigatoriedade do
compliance.
Em 1992, ainda com o intuito de gerar controles e gestão de riscos com foco
em fraudes, o COSO lança o Guia de Gerenciamento de Riscos (Fraud Risk
Management Guide219) que se tornou rapidamente uma referência no mundo
inteiro para a estruturação de gestão de riscos com cinco componentes, a saber:
1. Organização e Controle (criação e comunicação do Programa de Gestão de
Risco); 2. Análise de Risco (sistema corporativo de avaliação, identificação e
mitigação de riscos); 3. Processos de Controle (implementação de controles com
foco em detecção e mitigação de forma tempestiva); 4. Detecção (processo para
obter informações sobre potenciais riscos, investigação e ação corretiva) e 5.
Processos de Monitoramento (avaliações periódicas da performance do
Programa de Gestão de Risco). Em 2013, o COSO incorpora, na revisão do
Guia, 17 princípios associados aos cinco componentes, detalhando cada um
deles e dando, assim, mais robustez ao manual.
No início do século, o comitê lança, em 2004, o ERM Enterprise Risk
Management Network, guia para avaliação de riscos, incluindo, além de fraudes,
riscos de mercado e operacionais. Esse documento já foi atualizado em 2017,
trazendo adicionalmente aspectos relativos à estratégia e negócios, o guia ERM
Enterprise Risk Management Network - Integrating with Strategy and
Performance220. Pelo histórico, fica nítido o aumento do escopo da análise de
riscos, iniciando por fraudes, então, evoluindo para gestão dos riscos financeiros
e chegando a uma visão integrada. No Brasil, nessa mesma época, o IBGC lança,
em 2007, o “Caderno de governança 3 - Guia de Orientação para Gerenciamento
de Riscos Corporativos221”, que traz os conceitos de governança corporativa
interrelacionados à gestão de riscos, ou seja, como implementar de forma efetiva
e alinhada, segundo a visão do instituto, o “G” e o “R” do GRC.
No campo normativo, a ABNT lança, em 2009 e 2014, duas normas que
trazem diretrizes de gestão de risco e compliance. Em 2009, a NBR ISO
31000222 (depois revisada em 2018) e, em 2014, a ISO 19600223, que versa
sobre a gestão de sistemas de compliance. Tanto uma norma quanto a outra são
documentos de diretrizes (recomendações) e não de requisitos (exigências) e,
portanto, não são certificáveis. Atualmente, na ABNT, a única norma
internacional certificável para compliance é a NBR ISO 37001:2017, que trata
exclusivamente de sistemas de gestão antissuborno. Há uma previsão224
liberada, enquanto este livro é escrito, pela ISO225 (International Organization
for Standardization) que, entre abril e maio de 2021, poderá ser publicada a
primeira norma internacional certificável com os requisitos necessários para
implantação de um sistema efetivo de compliance, a ISO 37301. Até lá, ficam
valendo as recomendações da ISO 19600.
Nos últimos três anos, as diretrizes de GRC avançaram em direção ao
compliance e à ESG226 (Environmental, Social and Governance), levando em
conta também os fatores de riscos ambientais e sociais, além dos de governança.
Nesse sentido, em 2017, o IBGC publicou duas diretrizes que são muito
utilizadas hoje como referência GRC, pois trata das três letras do acrônimo,
governança, riscos e compliance. O “Caderno 19 – Riscos Corporativos:
Governança e Estratégia227” e “Compliance à Luz da Governança228”. Em 2018
e 2020, o COSO segue a mesma trilha de compliance e governança e lança
“ERM: Applying ESG Related Risks229” e “ERM Framework: Guidance on
Compliance Risk Management230”, adicionando na publicação, de 2018, o novo
conceito de ESG ao gerenciamento de riscos. As diretrizes mostram a inequívoca
exigência do mercado por orientações para aprimorar os processos GRC como
um todo, tanto para o gerenciamento de risco quanto ao de compliance com o
enfoque da estrutura organizacional na prática, ou seja, como é desenhado e
como é operado.
Estamos em um livro que trata de compliance, então vamos tomar a liberdade
e inverter, momentaneamente, as letras “G” e “C” do acrônimo e iniciar com
“CRG”. Os riscos e a própria área de compliance devem ser gerenciados com o
objetivo final de atingir os objetivos maiores da empresa e não de se fechar
dentro da “redoma” da área de ética e integridade. Já os departamentos das
companhias que tratam de riscos lidam no seu dia a dia com uma miríade de
riscos de mercado, operacionais, estratégicos e mais, recentemente, os relativos à
estrutura ESG. O conceito GRC, portanto, traz como uma de suas visões alinhar
e integrar o gerenciamento dos riscos e da área de compliance ao “framework”
da gestão de riscos, que versa sobre a identificação, análise, avaliação,
tratamento, registros, monitoramento e análise crítica dos riscos e aos principais
componentes da governança, tais como: missão, valores, estratégia, objetivos de
negócio, implementação e performance e valor agregado (ver figura 13) Figura
13: GRC

As boas práticas de governança promovem o uso do arcabouço de diretrizes

de gerenciamento corporativo, com recomendações, entre outros, das obras já
citadas aqui, IBGC, COSO, ABNT. Todas elas destacam a relevância das
decisões éticas nas empresas; nesse contexto, já levando em consideração o atual
cenário de negócios em nosso mundo globalizado. Negócios “limpos” viabilizam
(na letra “G”) o atingimento dos objetivos de negócio, as ações alinhadas com os
valores da empresa, melhoria de performance e, na última linha, agrega valor
para o negócio. Existem algumas vertentes que caracterizam a discussão ética a
uma mera discussão secundária, não estratégica e, portanto, desconectada das
políticas que definem a visão da empresa e sua perenidade no mercado. A matriz
da figura 13 mostra o contrário, que há de fato uma ligação forte do “C” com o
“G” na busca pela integridade, mudança cultural e imagem da organização.
O compliance relaciona-se com todas as áreas da empresa, o que traz, mais
uma vez, a visão do alinhamento entre as três disciplinas. Os conceitos da
integração GRC, do compliance e do o gerenciamento de riscos acabam por
influenciar diretamente a liderança e os agentes de governança na direção de
uma conduta ética. A importância (na letra “G”) do conselho de administração é
primordial (ver, neste capítulo, o tone at the top). A organização precisa garantir
o apoio para que todos os níveis estejam aderentes às condutas estabelecidas.
Por fim, o aperfeiçoamento das práticas éticas e de integridade (“C”), de
governança corporativa (“G”) e de gestão de riscos (“R”) ganhará mais destaque
quanto mais a sociedade passar a dar valor às empresas engajadas com a
integridade. A partir do momento em que houver o entendimento de que o
mercado irá dar valor competitivo às ações que privilegiem o bem da sociedade
(inclusive o ESG), as organizações irão fazer seus planejamentos estratégicos e
planos de ação nessa direção.

176 Nota dos autores: gaps são avaliados de forma sistêmica por meio de análise de risco e compliance
assessment feitos normalmente no Brasil à luz da Lei 12.846/13, o Decreto 8.420/15 que a regulamentou,
bem como à FCPA norte-americana e às melhores práticas de mercado com foco na efetividade de seus
processos e elementos.
177 Nota dos autores: as documentações, para as condutas esperadas, devem conter o desenho de processos
de compliance e a definição de controles que assegurem a sua efetividade, incluindo os registros
pertinentes, com a finalidade de demonstrar o completo cumprimento dos requisitos e a existência de um
mecanismo robusto de integridade.
178 Nota dos autores: os treinamentos e o plano de comunicação cumprem papel fundamental, esclarecendo
os riscos à empresa e aos funcionários, propiciando a esses a opção de fazer a “escolha certa”, tanto em
relação às suas atitudes, quanto na realização dos processos e consecução dos negócios.
179 Nota dos autores: os processos do programa de compliance devem ser executados com monitoramento
sistêmico que apure o seu desempenho e/ou sua adequação na definição das medidas disciplinares que se
configuram em aspectos críticos e sensíveis no funcionamento de um programa de compliance.
180 Disponível em: <https://www.coso.org/Documents/Compliance-Risk-Management-Applying-the-
COSO-ERM-Framework.pdf>. Acesso em: 28 dez. 2020.
181 Nota dos autores: engenheiro eletricista, formado pela Escola Politécnica da USP, com pós-graduação
em Gestão Ambiental, Black Belt na metodologia Six Sigma e Master Coach formado pelo Integrated
Coaching Institute. Ex-diretor de compliance da Siemens no Brasil e sócio-fundador da compliance Total
Ltda. Autor do livro compliance – A Excelência na Prática, publicado em 2014. Coordena também o
Comitê Técnico da DSC 10.000, primeira norma brasileira para certificação de Sistemas de compliance.
182 Lei nº 12.846, de 1º de agosto de 2013: Dispõe sobre a responsabilização administrativa e civil de
pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira, e dá outras
providências. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-
2014/2013/lei/l12846.htm>. Acesso em: 28 dez. 2020.
183 Nota dos autores: a lei nº 12.846, de 1º de agosto de 2013, usa a nomenclatura “programas de
integridade”. A tradução da palavra compliance por integridade foi feita pela lei já na sua promulgação e
amplia o entendimento do termo compliance para além do simples atendimento legal. Neste capítulo foi
utilizada a nomenclatura compliance, visto ser o termo mais comumente usado no mercado, o que traz
pouca ou nenhuma influência sobre as análises feitas no contexto desta obra.
184 O decreto nº 8.420, de 18 de março de 2015, regulamenta a Lei nº 12.846, de 1º de agosto de 2013, que
dispõe sobre a responsabilização administrativa de pessoas jurídicas pela prática de atos contra a
administração pública, nacional ou estrangeira e dá outras providências.
Disponível em: < http://www.planalto.gov.br/CCIVIL_03/_Ato2015-2018/2015/Decreto/D8420.htm>.
Acesso em: 28 dez. 2020.
185 Nota dos autores: o STF proibiu financiamento eleitoral por empresas em 2015 e esse procedimento,
desde então, não é permitido, por entendimento majoritário da suprema corte (8 votos a 3). Pessoas
físicas, por outro lado, têm a possibilidade legal de fazer doações eleitorais limitadas a um % da renda
bruta anual do contribuinte.
186 Nota dos autores: DDI são pesquisas reputacionais que têm o propósito de identificar fatos ou indícios
incoerentes com a ética e integridade, os quais podem expor a contratante a riscos dos mais variados.
187 Nota dos autores: em administração de empresas, coloquialmente, top-down significa que as ordens do
que deve ser feito, emana do(s) executivo(s) da mais alta hierarquia sendo, na sequência, transmitido
para os demais níveis da empresa.
188 Standford Encyclopedia of Philosophy. Disponível em: <https://plato.stanford.edu/entries/confucius/>.
Acesso em: 28 dez. 2020.
189 Código das melhores práticas de governança corporativa. 5.ed./Instituto Brasileiro de Governança
Corporativa. - São Paulo, SP: IBGC, 2015.
190 O Instituto Brasileiro de Governança Corporativa (IBGC) é uma organização sem fins lucrativos,
referência nacional e internacional em governança corporativa. O instituto contribui para o desempenho
sustentável das organizações por meio da geração e disseminação de conhecimento das melhores práticas
em governança corporativa, influenciando e representando os mais diversos agentes, visando a uma
sociedade melhor. Disponível em: <https://www.ibgc.org.br/quemsomos>. Acesso em: 13 jan. 2021.
191 Código das melhores práticas de governança corporativa. 5.ed./Instituto Brasileiro de Governança
Corporativa. - São Paulo, SP: IBGC, 2015, p. 96.
“Fundamento
É órgão executivo encarregado de implementação, disseminação, treinamento, revisão e atualização do
código de conduta e dos canais de comunicação. O comitê é subordinado ao conselho de administração
ou a quem este último delegar.”.
192 Nota dos autores: ROI (Return on Investment) ou retorno sobre o investimento, em finanças, é a relação
obtida (ganho ou perda) entre o dinheiro investido e o ganho com aquela atividade. Aqui, neste contexto,
não estamos nos referindo a um retorno monetário diretamente, mas sim ao retorno no investimento feito
pela empresa na prevenção efetiva de risco, melhoria do ambiente de trabalho etc.
193 Nota dos autores: Tradução livre: página de aterrissagem. Muito utilizada em marketing digital para a
conversão do internauta, em oportunidade de venda ou cliente.
194 Nota dos autores: Spam é uma palavra utilizada para se referir a mensagens eletrônicas que são
enviadas em massa com conteúdo de propaganda ou sem utilidade.
195 Nota dos autores: briefing: explicação de forma resumida sobre o objetivo de um projeto ou uma tarefa
a ser realizada.
196 Nota dos autores: tradução livre: escritório em casa. É a modalidade de se trabalhar fora do endereço
formal da empresa em que se é funcionário, normalmente em endereço residencial.
197 Nota dos autores: Ensino a Distância: como o nome já diz, é a modalidade de treinamento, na qual
quem ensina está fisicamente separado de quem aprende. Hoje, são utilizadas as tecnologias digitais para
mediar esse contato.
198 Nota dos autores: métricas de avaliação de treinamentos: o objetivo deste livro não é o de esgotar esse
tema, que é bastante amplo, e sim trazer a reflexão sobre a atividade de mensuração, que é essencial para
o êxito do projeto de comunicação, e, depois, para realimentar o ciclo com sugestões de melhoria.
199 Aceitação e interesse de participar ativamente e dar suporte a algo (como, por exemplo, um projeto ou
política).
200 Lei nº 13.460, de 26 de junho de 2017: Dispõe sobre participação, proteção e defesa dos direitos do
usuário dos serviços públicos da administração pública. Disponível em: <http://
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2017/lei/l13460.htm>. Acesso em: 28 jan. 2021.
201 Lei nº 12.527, de 18 de novembro de 2011: Regula o acesso a informações previsto no inciso XXXIII
do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº
8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº
8.159, de 8 de janeiro de 1991; e dá outras providências. Disponível em:
 <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm>. Acesso em: 28 jan. 2021.
202 Controladoria-Geral da União. Disponível em: <https://www.gov.br/cgu/pt-br/assuntos/ouvidoria>.
Acesso em: 28 jan. 2021.
203 Bacen Resolução nº 4567, de 27 de abril de 2017: Dispõe sobre a remessa de informações relativas aos
integrantes do grupo de controle e aos administradores das instituições financeiras e das demais
instituições autorizadas a funcionar pelo Banco Central do Brasil e sobre a disponibilização de canal para
comunicação de indícios de ilicitude relacionados às atividades da instituição.
<http://www.bcb.gov.br/pre/normativos/busca/downloadNormativo.asp?
arquivo=/Lists/Normativos/Attachments/50369/Res_4567_v1_O.pdf>. Acesso em: 28 jan. 2021.
204 Lei nº 13.303, de 30 de junho de 2016.
Dispõe sobre o estatuto jurídico da empresa pública, da sociedade de economia mista e de suas
subsidiárias, no âmbito da União, dos Estados, do Distrito Federal e dos Municípios.
<http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/lei/l13303.htm>. Acesso em: 28 jan. 2021.
205 Tradução livre: faça ou compre. É o processo decisório de uma empresa por fazer uma determinada
atividade, internamente, ou comprá-la de um terceiro.
206 A Contato Seguro é uma empresa que atua em mais de 30 países; pioneira especializada na
implementação e gestão de canais de ética. <<https://www.canaldaetica.com.br/quemsomos/ Acesso em:
28 jan. 2021.
207 A Deloitte é líder em serviços de Auditoria, Consultoria, Assessoria Financeira, Risk Advisory,
Consultoria Tributária e serviços relacionados. Disponível em:
<https://www2.deloitte.com/br/pt/footerlinks/about-deloitte.html>. Acesso em: 28 jan. 2021.
208 A ICTS Outsourcing é uma empresa de serviços relacionados à gestão de riscos e compliance. Opera
serviços de Canal de Denúncias. <https://icts.com.br/quemsomos>. Acesso em: 28 jan. 2021.
209 Bacen Resolução nº 4567, de 27 de abril de 2017: Dispõe sobre a remessa de informações relativas aos
integrantes do grupo de controle e aos administradores das instituições financeiras e das demais
instituições autorizadas a funcionar pelo Banco Central do Brasil e sobre a disponibilização de canal
para comunicação de indícios de ilicitude relacionados às atividades da instituição. Disponível em:
<http://www.bcb.gov.br/pre/normativos/busca/downloadNormativo.asp?
arquivo=/Lists/Normativos/Attachments/50369/Res_4567_v1_O.pdf>. Acesso em: 28 jan. 2021.
210 A Fundação Nacional da Qualidade, ou FNQ, é uma instituição brasileira sem fins lucrativos, cuja
finalidade é desenvolver os Fundamentos da Excelência da Gestão. Disponível em:
<https://fnq.org.br/sobre-a-fnq/>. Acesso em: 29 jan. 2021.
211 O Modelo de Excelência da Gestão® (MEG) estimula e apoia as organizações brasileiras no
desenvolvimento e na evolução de sua gestão para que se tornem sustentáveis, cooperativas e gerem
valor para a sociedade e outras partes interessadas. O MEG é composto por oito Fundamentos da
Excelência. Disponível em: https://fnq.org.br/sobre-o-meg/. Acesso em: 29 jan. 2021.
212 Trabalho desenvolvido com apoio e participação das diretorias de compliance e alta direção das
empresas EDP Energias do Brasil; Grupo Promon; Hospital Albert Einstein; Kantar Ibope Media;
Neoenergia; Sabesp; Siemens; Staples e 3M do Brasil.
213 A publicação Gestão Transparente e Sistemas de Integridade – Compliance traz um conteúdo inédito de
boas práticas corporativas voltadas para uma governança eficaz, com cases de sucesso de compliance de
diversas empresas. Disponível em: <https://fnq.org.br/comunidade/product/livro-gestao-transparente-e-
sistemas-de-integridade-compliance/. Acesso em: 29 jan. 2021.
214 O Instituto Brasileiro de Governança Corporativa (IBGC) é uma organização sem fins lucrativos,
referência nacional e internacional em governança corporativa. O instituto contribui para o desempenho
sustentável das organizações, por meio da geração e disseminação de conhecimento das melhores
práticas em governança corporativa, influenciando e representando os mais diversos agentes, visando a
 uma sociedade melhor. Disponível em: <https://www.ibgc.org.br/quemsomos>. Acesso em: 13 jan. 2021.
215 O COSO® (Committee of Sponsoring Organizations of the Treadway Commission) é uma organização
sem fins lucrativos que foi criada nos Estados Unidos, inicialmente, para prevenir fraudes em processos
de empresas da área financeira. Disponível em: <https://www.coso.org/Pages/aboutus.aspx>. Acesso em:
21 fev. 2021.
216 A ABNT é o Foro Nacional de Normalização por reconhecimento da sociedade brasileira desde a sua
fundação, em 28 de setembro de 1940, e confirmado pelo governo federal, por meio de diversos
instrumentos legais. Disponível em: <http://www.abnt.org.br/abnt/conheca-a-abnt>. Acesso em: 21 fev.
2021.
217 Disponível: <https://www.coso.org/Documents/NCFFR.pdf>. Acesso em: 22 fev. 2021.
218 U.S. Securities and Exchange Commission. Agência federal independente de regulamentação e controle
dos mercados financeiros nos Estados Unidos.
219 Disponível em: <https://www.coso.org/documents/COSO-Fraud-Risk-Management-Guide-Executive-
Summary.pdf>. Acesso em: 22 fev. 2021.
220 Disponível em: <https://www.coso.org/Pages/ERM-Framework-Purchase.aspx>. Acesso em: 22 fev.
2021.
221 Disponível em: <https://conhecimento.ibgc.org.br/Paginas/Publicacao.aspx?PubId=22121-
Summary.pdf>. Acesso em: 22 fev. 2021.
222 Disponível em: <https://www.abntcatalogo.com.br/norma.aspx?ID=392334>. Acesso em: 22 fev. 2021.
223 Disponível em: <https://www.abntcatalogo.com.br/norma.aspx?ID=359340>. Acesso em: 22 fev. 2021.
224 Disponível em: <https://committee.iso.org/sites/tc309/home/projects/ongoing/ongoing-3.html>. Acesso
em: 22 fev. 2021.
225 Disponível: <https://www.iso.org/home.html>. Acesso em: 22 fev. 2021.
226 “ESG é uma sigla em inglês que significa environmental, social and governance e corresponde às
práticas ambientais, sociais e de governança de uma organização. O termo foi cunhado em 2004 em uma
publicação do Pacto Global, em parceria com o Banco Mundial, chamada Who Cares Wins. Surgiu de
uma provocação do secretário-geral da ONU Kofi Annan a 50 CEOs de grandes instituições financeiras,
sobre como integrar fatores sociais, ambientais e de governança no mercado de capitais.”. Disponível
em: <https://www.pactoglobal.org.br/pg/esg>. Acesso em: 22 fev. 2021.
227 Disponível: <https://conhecimento.ibgc.org.br/Paginas/Publicacao.aspx?PubId=21794>. Acesso em: 22
fev. 2021.
228 Disponível: <https://conhecimento.ibgc.org.br/Paginas/Publicacao.aspx?PubId=23486>. Acesso em: 22
fev. 2021.
229 Disponível: <https://www.coso.org/Documents/COSO-WBCSD-ESGERM-Guidance-Full.pdf>.
Acesso em: 22 fev. 2021.
230 Disponível em: <https://www.coso.org/Documents/Compliance-Risk-Management-Applying-the-
COSO-ERM-Framework.pdf>. Acesso em: 22 fev. 2021.
 3. Desafios Modernos de Compliance
3.1 Compliance empresarial
Com a evolução natural do ambiente de negócios para patamares mais éticos,
o compliance tem ampliado a sua atuação e, cada vez mais, é visto como
ferramenta essencial para o desenvolvimento de uma empresa sustentável a
longo prazo, sendo um dos protagonistas no processo de tomada de decisões
corporativas, especialmente da qual se exige praticidade e pragmatismo. O papel
do compliance torna-se ainda mais crucial em momentos desafiadores, como
aqueles em que os empresários estão tomando decisões estratégicas de forma
acelerada, quando empresas estão se reinventando e readaptando para mitigar o
impacto de crises, mudanças de modelos de negócio e regulamentação.
Mas essa evolução do compliance tem desafios importantes como, por
exemplo, o alinhamento adequado das interações do compliance officer com os
tomadores de decisão. Essa orientação repaginada do compliance officer exige
um apoio contínuo à cultura geral de compliance da empresa e, ao mesmo
tempo, um planejamento adequado para os riscos e desafios emergentes. A
primeira consequência é a necessidade imediata de adaptação da capacidade de
resposta do compliance officer para as necessidades de mitigar riscos e apoio à
estratégia de negócios.
Dentro desse contexto, as análises de risco contínuas e dinâmicas, alinhadas
às estratégias macro da empresa são essenciais. São elas as principais
promotoras de um ambiente onde políticas são implementadas e revisitadas com
a urgência requerida, além de conciliar os avanços tecnológicos com o dia a dia
empresarial.
Essa “ampliação” evolutiva da área de atuação do compliance depende,
muitas vezes, de escolhas que viabilizem a efetividade do programa de
compliance. Afinal, nem sempre existe tempo e orçamento disponíveis para
realizar a cobertura integral dos riscos empresariais. Na prática, é natural que,
para uma melhor eficiência de recursos, o programa tenha uma tônica que o
torne mais adequado ao formato e às condições financeiras de cada indústria e
empresa. Por isso, além de tamanho e disponibilidade de recursos, algumas
características específicas da indústria, estrutura societária, modelo de negócios,
dentre outras, precisam ser consideradas antes de se estabelecer a extensão e as
prioridades de um programa de compliance.
O setor no qual determinada empresa está inserida, por exemplo, pode exigir
uma complexidade maior de um programa de compliance; afinal, indústrias
altamente regulamentadas exigem muita sofisticação e cuidados meticulosos.
Vejamos: instituições financeiras, setor petrolífero, fábricas de alimentos,
provedores de serviços essenciais e de saúde, dentre outros, são submetidos a um
nível de escrutínio normativo muito superior aos demais. Naturalmente, o
cuidado com o compliance segue essa mesma regra. Até porque a
responsabilização, por vezes até pessoal dos administradores, leva a empresa a
desenvolver sistemas redundantes para a redução de riscos. Afinal, são casos em
que o compliance tem um papel que vai além do simples cumprimento da
norma; assume um caráter social de zelar pelo bem-estar do consumidor e da
própria sociedade.
A estrutura societária de uma empresa também é um fator a ser considerado,
afinal, uma empresa de capital aberto, ou seja, com ações negociadas em bolsas
de valores, submete-se a exigências de mercado bem mais altas do que uma
empresa de capital fechado. Não apenas o número de stakeholders, ou partes
interessadas, que irão cobrar um desempenho é maior em uma empresa de
capital aberto, mas também, a própria CVM231 tem exigências normativas
específicas a serem observadas, às quais estruturas societárias de capital fechado
não se submetem.
O perfil dos proprietários de uma empresa é outro ponto que influencia o
sistema de compliance corporativo. Empresas com controladores, ou seja, grupos
ou pessoas que possuam acima de 50% da propriedade das ações de uma
empresa, os chamados “sócios de referência”, naturalmente possuem uma
posição de poder superior aos demais. Nesse, um programa de compliance acaba
por refletir preocupações de mercado, como operações entre partes relacionadas
e a remuneração do principal executivo ou de membros da família dos sócios de
referência. Já empresas com controle difuso, aquelas em que não existe um sócio
controlador, tendem a ter programas de compliance mais detalhados, até pela
exigência das partes interessadas, para que haja um olhar meticuloso sobre as
operações da empresa.
Enfim, além de diferenças práticas citadas acima, sabemos que cada programa
de compliance tem natureza única. Aliás, são vários os atos normativos que
determinam a parametrização da análise de cumprimento das exigências
regulamentares, de acordo com características específicas de cada empresa
como, por exemplo, o estabelecido pelo Decreto nº 8.420/2015.
Também, é assim, quando falamos em modelos de negócio. Os clássicos
B2B232 e B2C233 possuem características únicas que fazem com que os
programas de compliance desenvolvam focos mais particulares, voltados à
eficiência de recursos dentro dos desafios específicos de cada um deles. Apesar
de a divisão entre B2B e B2C ser uma simplificação234 em face da existência de
vários outros modelos como o C2C235, B2B2C236, D2C237, dentre outras “sopas
de letrinhas”, a título de praticidade, vamos focar na análise dos mais usuais:
B2B e B2C.
Apesar de este estudo não ter a intenção de exaurir as preocupações de um
programa de compliance, no âmbito de B2B e B2C, buscamos demonstrar como
o programa de compliance reflete e acompanha as mudanças estratégicas e
corporativas em cada modelo de negócio. O gráfico da figura 14 B2B e B2C,
abaixo, tem por objetivo ilustrar a diferença de dinâmica hipotética entre esses
dois modelos, considerando-se empresas com um mesmo resultado financeiro e
parâmetros fictícios de 0 - 100.
Este tipo de visão auxilia o direcionamento de recursos em um programa de
compliance e pode ser uma ferramenta muito interessante, também, quando
executado com base em outras variáveis específicas de cada situação em
particular.
Figura 14: B2B e B2C
 Em se observando a linha cinza clara da ilustração B2B e B2C, de imediato
vê-se que, comparativamente, o número de usuários é naturalmente menor em
uma empresa B2B. Por ter menos usuários, uma empresa B2B investe em um
número inferior de processos e ações de marketing, para conhecer e impactar os
seus clientes, comparativamente ao de uma B2C. De forma geral, os processos
internos ocorrem de modo mais prático nas empresas B2B, pois os cadastros de
clientes, nesse tipo de modelo, são preexistentes e recorrentes.
O número de operações em modelos B2B é menor do que em empresas B2C,
entretanto, os valores financeiros por operação são, em geral, muito superiores,
exigindo processos financeiros meticulosos, muitas vezes incluindo sistemas
com múltiplas conferências.
Assim, programas de compliance de empresas B2B têm um foco expressivo
na prevenção de fraudes, racionalização de processos internos e na agilidade de
departamentos internos; além de se concentrar mais profundamente no processo
de análise e manutenção da contratação de terceiros, reduzindo riscos na cadeia
de suprimentos.
O programa de compliance, para empresas com o modelo B2C, naturalmente
exige um foco intenso no relacionamento com os clientes, um público de maior
número, em geral menos sofisticado e que exige um processo de compra mais
simples e curto em comparação ao B2B. Ou seja, o compliance precisa participar
de análises profundas e contínuas em ações de marketing e processos de compra.
Em ambos os modelos, B2B e B2C, soma-se à equação de riscos, estratégias
para o aumento ou diminuição da demanda de produtos ou serviços, criação de
novos fluxos e processos de informação de dados, além da atenção a um dos
maiores riscos desta era: os ataques cibernéticos.
Dentro do contexto atual, no qual as principais indústrias estão sendo forçadas
a reduzir o número de lojas físicas, especialmente com o aumento das vendas on-
line, o alto engajamento digital e o crescimento ostensivo dos canais de
comércio eletrônico, o compliance em modelos B2C tem ênfase nas análises de
cadeia de fornecedores, no risco das responsabilidades potenciais inerentes às
transações on-line e da capacidade e titularidade sobre o uso de dados e
privacidade com relação a consumidores individuais.
Já as empresas B2B estão sendo pressionadas a revisitar os seus modelos de
negócio e a considerar a alavancagem de seus produtos, serviços e recursos
existentes, para otimizar as vendas de e-commerce, lançando operações e
incorporando estratégias B2C; isso para atender com eficácia seus compradores
B2B existentes. Empresas B2B, em todas as indústrias e setores, têm reavaliado
a sua dependência de canais e formato de relacionamento com clientes finais,
seguindo uma tendência originária das flutuações na oferta e demanda e a rápida
evolução do comportamento do comprador.
De forma global, a dependência dos modelos de negócio tradicionais está sob
pressão e a adoção de operações e estratégias diversificadas, e até originalmente
utilizadas por outros modelos de negócio, tem sido uma saída comum para
sobreviver e prosperar na economia do e-commerce.
O fato é que todos os modelos de negócio tradicionais enfrentam hoje um
cenário sem precedentes, mediante os crescentes desafios de estoque e produção,
cadeias de suprimentos inflexíveis e distribuidores incapazes de manterem-se
atualizados em ambientes que se tornam cada vez mais imprevisíveis e
interdependentes.
A despeito de qualquer característica específica dos diferentes modelos de
negócio com relação ao compliance, o elo comum a todos é o cuidado com a
reputação. Essa é a palavra-chave para qualquer estrutura comercial de sucesso e
deve ser o maior foco de um programa de compliance. Apenas um compromisso
contínuo para promover e manter uma cultura ética dentro de qualquer situação é
capaz de proteger esse que é o maior ativo de uma empresa.
3.2 Desmistificando compliance para PMEs: Pequenas
e Médias Empresas
Apesar de o compliance ser uma realidade dentro das multinacionais e
grandes corporações, quando se analisa o universo atual das PMEs, parece
existir um número menor de empresas com programas de compliance efetivos;
hipoteticamente, esse fato pode ser reflexo de um ponto de vista, no qual a
implementação e a continuidade de um programa de integridade são
consideradas caras, burocráticas e pouco efetivas; um equívoco comum que
acaba por prejudicar as PMEs, que enxergam a existência de um sistema de
integridade efetivo como algo frívolo, ou inatingível, viável apenas para
empresas grandes e sofisticadas. São vários os relatos de profissionais de
compliance de grandes empresas, indicando que a estruturação das áreas de
compliance em PMEs tem evoluído de forma gradual, mas ainda é considerada
como exceção238.
Claramente, em comparação com grandes corporações, PMEs enfrentam uma
série de desafios no estabelecimento e na manutenção de um programa de ética e
conformidade: os recursos disponíveis e a disponibilidade de tempo são parcos e
a gestão da empresa, muitas vezes, tem o seu olhar voltado à parte comercial e
financeira da empresa.
Nesse contexto, a implementação de programas de integridade em PMEs
precisa ser promovida como ferramenta essencial para o desenvolvimento de um
negócio saudável e sustentável, constituindo uma importante proteção contra
possíveis responsabilizações, objetiva, civil e administrativa, por atos de
corrupção, conforme previsto pela lei brasileira de anticorrupção, Lei
12.846/2013, em seu artigo 7º, inciso VIII, “do Programa de Integridade”.
Ademais, programas estruturados de compliance não apenas criam um ganho
reputacional, mas também trazem diversas vantagens financeiras: ampliam a
possibilidade de abertura de novos negócios; aumentam a confiança do mercado;
atuam de forma preventiva, mapeando e prevendo riscos e fraudes; otimizam
processos e controles internos, além de serem um diferencial importante de
mercado; afinal, conhecer os riscos inerentes ao seu negócio e prevenir litígios é
bem menos custoso do que se aventurar na imprevisibilidade da via judicial ou
ficar à mercê dos processos administrativos.
 Sob o ponto de vista comercial, na prática, os processos de negociação das
PMEs com grandes corporações que possuem programas de compliance bem
institucionalizados, requerem um alinhamento das PMEs a preceitos éticos e de
transparência, assim como a conformidade com as normas legais vigentes. Ou
seja, a fim de que possa vender para, ou ser contratada por corporações, a PME
precisa comprovar que possui controles e atua em conformidade com a lei.
Afinal, a partir do momento em que uma PME entra na cadeia da produção de
uma grande empresa, o nome dessa companhia também está em jogo,
independentemente da titularidade da responsabilização jurídica; o que vale é a
reputação. Empresas de grande porte, que atuam como protagonistas no fomento
e apoio no programa de compliance de seus fornecedores e parceiros, estimulam
a adoção de práticas consistentes com os valores de ética e integridade, até
porque a adoção de determinadas ferramentas e procedimentos também serve
como elemento relevante de defesa e, na hipótese em que os riscos sejam
materializados, esses fatores podem ser determinantes para demonstrar a eficácia
do seu programa de compliance, podendo inclusive afastar ou reduzir a
incidência de multas, prisões, além de danos à imagem e à reputação das
empresas.
Corporações que fazem parte de indústrias, como agricultura e pecuária, por
exemplo, realizam verificações de conformidade nas PMEs fornecedoras de
insumos; até porque essas corporações, em geral, responsabilizam-se legalmente
por toda a cadeia de fornecedores. Se um supermercado vende um produto
laticínio estragado dentro da validade, a empresa que o produz é também
responsável perante o consumidor final239. Indústrias que envolvem esse nível
de responsabilidade, naturalmente, precisam saber com quem se relacionam,
conhecer os participantes da cadeia e fazer parte do ecossistema local.
Em geral, essas estruturas de verificação são compostas por funcionários da
própria corporação, designados para visitar e avaliar as PMEs fornecedores,
analisando se elas atuam de acordo com os critérios exigidos, mesmo quando
não existe a expectativa de que tais PMEs tenham um programa de compliance
eficiente, ou até mesmo instituído, mesmo porque, em inúmeros casos, são
empresas familiares pequenas. Assim, a própria corporação, que depende dessa
cadeia de insumos, acaba se responsabilizando por realizar checklists e
treinamentos de conformidade com as PMEs. Cuidados, como a existência de
PPEs (Pessoas Politicamente Expostas) que possam influenciar o recebimento de
benefícios por parte da PME também são, naturalmente, objeto de monitoria e
treinamento por parte das corporações que não querem se ver envolvidas em
escândalos relacionados ao tema.240
Aliás, não apenas as negociações comerciais privadas podem se beneficiar
com a instituição de um programa de compliance, mas também as que envolvam
a administração pública, afinal, a cada ano aumenta o número de estados que
exigem um programa de integridade para as empresas que celebram uma relação
contratual com a administração pública como, por exemplo, o artigo 37 da Lei
15.228/2018, do Rio Grande do Sul241.
Essa exigência governamental, de que as empresas contratadas pelo poder
público tenham um programa de compliance, impactou significativamente e vem
fazendo com que as PMEs fornecedoras da administração pública, ou que assim
o desejem ser, organizem-se rapidamente para ter um programa de compliance
que possa ser adequadamente comprovado e auditado, a fim de manter relações
comerciais com o poder público.
Mais, ainda, o compliance tem sido uma requisição de consumidores
millennials, conectados à responsabilidade e ao impacto social, bem como dos
investidores, refletindo uma tendência de mercado, no qual as empresas
aumentam de valor ao atenderem a pautas vinculadas ao ESG, um conceito
relativamente novo no Brasil, mas um dos assuntos mais importantes do setor
corporativo e que está revolucionando o mundo dos investimentos. Aliás, PMEs
em geral possuem pouca, ou nenhuma, visibilidade sobre o seu posicionamento
em termos de ESG e muitas delas ficariam surpresas com o impacto e o valor
que já criam, de forma natural.
O fato é que as PMEs precisam mover os programas de ética e compliance
para o primeiro plano estratégico, seja por exigência de parceiros comerciais
públicos ou privados, pela existência de normas ou mesmo pela oportunidade de
receber investimentos, pois a demanda pela implantação de programas de
compliance em PMEs está cada vez mais maior.
Os tomadores de decisão de uma PME precisam estar alinhados com o
conceito que um projeto de compliance não pode ser considerado uma despesa,
mas sim um investimento que garante o valor, a sustentabilidade e o
desenvolvimento do negócio a longo prazo.
Pragmaticamente, uma parte considerável das PMEs já possui algum tipo de
política de governança e compliance, mesmo que informais e sem
sistematização, apesar de, na maioria das vezes, tais empresas não se darem
crédito suficiente pelo que já estão fazendo. Pois bem, os controles internos que
as PMEs têm para controlar os sistemas básicos de negócios são uma parte
importante de seus esforços de compliance e precisam ser considerados como
parte de um programa já existente.
Assim, um balanço e a sistematização do que cada empresa já tem em vigor,
além de uma análise mais estratégica e holística sobre riscos, já permite com que
uma PME comece o seu projeto de compliance, tornando o resto do processo
bem mais gerenciável. Aliás, essa é uma forma de criar uma conexão cultural
rápida com um novo sistema que se pretende implementar, aliando práticas já
existentes como um primeiro “guia” para o desenvolvimento do novo programa
de compliance.
Não se pode esquecer que a criação de um programa de integridade em PMEs
precisa considerar suas regulamentações específicas como, por exemplo, a
Portaria 2.279/15, da Controladoria Geral da União, que determina quais os
critérios de aplicação específicos dessa categoria, inclusive indicando qual a
empresa que se submete a tais critérios.
Uma análise de riscos com mapeamento adequado ao tamanho, indústria e
situação societária da empresa é um passo importante para um programa de
compliance efetivo e parametrizado, de acordo com as disponibilidades de
pessoal e financeiras de cada empresa. Essa verificação das vulnerabilidades
inerentes às áreas de atuação da empresa e seus riscos específicos (os famosos
heat maps242) é a base para o direcionamento adequado de recursos do
programa.
Também é importante considerar que todo programa de compliance tem base
eminentemente cultural e a sua implementação depende, em grande parte, das
pessoas envolvidas. Por esse motivo, o incentivo dos tomadores de decisão de
uma empresa, ou seja, o tone from the top é essencial para a sua efetividade. Da
mesma maneira, a comunicação aos colaboradores é outro ponto importante e
que precisa ser planejado com cautela para que se imprima a importância do
tema, bem como a sua acessibilidade.
Nesse quesito, métodos de economia simples podem ser implementados
como, por exemplo, uma caixinha de denúncias e sugestões em vez de um call
center; o importante é que o meio consiga trazer os resultados esperados,
independentemente do seu valor e sofisticação. Esse exemplo mostra como, a
despeito da forma utilizada, as PMEs conseguem, por meio da criatividade,
formar seus programas de compliance, que irão evoluir de acordo com o
crescimento da própria empresa. O importante é estar atento aos sete principais
vetores, abaixo descritos, que fazem parte de uma sugestão para a criação e
implementação de um programa de compliance simplificado para PMEs:
 Definir papéis e responsabilidades:
Como já esclarecemos, o compliance precisa ser visto como uma função
integrada às demais e não à parte de outros processos e sistemas de negócios.
Além disso, deve mostrar alinhamento com operações eficientes e eficazes.
Programas eficazes de ética devem ser estabelecidos paralelamente e como parte
de outros sistemas de negócios importantes. Por isso, é muito importante
designar alguém para ser o compliance officer da empresa.
Em uma PME é natural que esse cargo seja incorporado por um colaborador
da empresa que já possua outro cargo (ou até cargos), o que está longe do ideal,
mas, dentro do conceito de uma pequena empresa, ter alguém que receba essa
responsabilidade, desde o início, é mais importante do que aguardar até que se
contrate alguém com tempo de dedicação integral para o tema.
O melhor perfil para encaixar-se como compliance officer é alguém que seja
visto como respeitado, confiável, acessível e organizado pelos demais
colaboradores da empresa. Diante da situação de parcos recursos, é importante
que fique claro, para o restante da administração, que se espera que a ela também
execute o que for necessário para apoiar o compliance officer e o projeto em
geral.
Além disso, embora seja essencial atribuir responsabilidade (e recursos) a
uma pessoa, essa não é uma tarefa de apenas um colaborador. Todos os demais
tomadores de decisão precisam entender que fazem parte da função de
compliance e devem participar ativamente na avaliação de risco em suas áreas
funcionais, garantindo que os controles estejam em vigor e respeitando a
independência do compliance officer.

Analisar controles existentes e legislação aplicável:

Inicialmente, é preciso fazer um balanço dos controles que já estão sendo
praticados pela empresa. É importante reunir os tomadores de decisão e
identificar todos os controles existentes, bem como os que necessitariam de
melhorias. Legislações e instrumentos contratuais precisam ser revisitados, a fim
de mapear exigências normativas e cláusulas que possam apresentar grandes
riscos.
Em segundo lugar, o compliance officer precisa verificar todos os documentos
de orientação disponíveis sobre programas de ética e conformidade existentes na
empresa e, também, na indústria. Várias entidades focadas em compliance,
escritórios de advocacia e consultorias com experiência nessa área têm materiais
públicos disponíveis e que podem ajudar as PMEs a descobrir um caminho com
mais facilidade. Grandes corporações também têm seus materiais postados on-
line. Esses materiais, junto com o conhecimento específico de cada indústria e
particularidades de cada empresa, podem, e devem, ser usados para a construção
de um programa, desde que, é claro, não se faça uma cópia deles.

Desenvolver um mapeamento de riscos básico:

O CO precisa organizar e implementar uma avaliação de riscos básica para
priorizar quais questões ele precisa abordar com maior urgência. Sobre esse
ponto, vale notar que as autoridades legislativas consideram muito importante a
existência de uma avaliação de risco como aspecto definidor de um programa de
integridade efetivo. Por isso, além de essencial para trazer eficiência ao
programa, esse é um item que precisa estar muito bem documentado por
qualquer empresa.

Preparar materiais:
Depois dos passos acima, o compliance officer já tem condições de
desenvolver e distribuir uma política geral, descrevendo o programa de
compliance e tendo a certeza de que os problemas que apresentam maior risco já
estão cobertos. Todos os procedimentos básicos que deverão guiar o programa
de integridade precisam estar incluídos dentro deste planejamento: código de
conduta, outras políticas específicas, programa de treinamento, gerenciamento
de relatórios e, até mesmo, o detalhamento da função do compliance officer.
Em termos de conteúdo, quanto mais simples melhor. O pragmatismo e a
simplicidade ao criar um código de ética e conduta empresarial são o primeiro
passo para o sucesso de sua implementação.
Vale, também, recomendar aos tomadores de decisão que seja realizada uma
reunião sobre o novo programa de compliance em cada uma das áreas da
empresa, na qual cada pessoa do time possa receber esses documentos e
políticas, além de esclarecer as suas dúvidas. Todos os colaboradores devem se
comprometer a cumprir as políticas; por isso, seja de forma física, ou virtual, é
preciso um “aceite” de cada um deles, especialmente, nas áreas de maiores
riscos, conforme o mapeamento já realizado.
 Por último, é preciso instituir e divulgar uma linha direta, ou outra estrutura
de denúncia interna anônima, para que suspeitas, alegadas violações do código
ou outra conduta imprópria possam ser denunciadas.

Implementar treinamentos e
caprichar na comunicação:
O planejamento de comunicações internas e externas, a respeito do programa
de compliance, precisa ser realizado de maneira rápida e eficiente, veiculando as
principais mensagens do programa de integridade aos colaboradores, diretos e
indiretos. Aqui vale usar e abusar da tecnologia com métodos de assinatura
eletrônica e confirmação de presença e aceite.
O importante é que se estabeleça um programa de treinamento para novos
colaboradores e um programa de treinamento e atualizações periódicas para os
colaboradores já existentes. Não complique demais; siga o código de conduta e
mantenha uma lista de presença física ou virtual - isso já é o suficiente.

Planejar monitoramentos e testes de controle:

Reconhecer que o compliance em uma PME é um processo em evolução e
que o nível de detalhamento e sofisticação das políticas deve acompanhar as
diferentes versões do Programa de Integridade é o primeiro passo para reduzir a
ansiedade e administrar melhor os principais riscos do negócio. O compliance
officer precisa estabelecer metas claras de cumprimento das políticas de
compliance como, por exemplo, uma redução do número de fraudes. Além disso,
precisa, também, evoluir essas métricas com o tempo e promover mudanças
processuais que impeçam essas fraudes de acontecer.
Estabelecer métodos e procedimentos básicos para responder a denúncias de
má conduta ou violações, também, faz parte do processo de métricas. Nesses
casos, o ideal é manter sistemas simples, até que a empresa possa considerar a
possibilidade de contratar um escritório de advocacia para ajudar com relatos de
conduta imprópria grave, por exemplo.

Demonstrar os resultados para

os tomadores de decisão:
 Depois de todas essas ações, é preciso estabelecer um processo de relato, em
que o compliance officer se reporte ao CEO e ao Conselho, se a empresa tiver
um, de maneira periódica, com a apresentação de dados que demonstrem a
evolução do programa.
Após esses primeiros passos, as PMEs podem desenvolver o programa com
itens mais sofisticados, a longo prazo, dentre elas:

estabelecer um sistema de controle interno e procedimentos para facilitar a descoberta e

divulgação de conduta imprópria;
realizar revisões periódicas (anuais ou semestrais) das políticas e procedimentos relativos à
conduta empresarial;
estabelecer um processo de avaliação de risco periódico (e talvez mais robusto);
certificar-se de que haja consequências adequadas para os funcionários e a gestão
relacionadas ao programa de ética e conformidade (ou seja, disciplina para violações e
reforço positivo para comportamento compatível);
adicionar políticas, conforme necessário, para atender aos requisitos especiais de
contratação da administração pública e desenvolver módulos de treinamento para educar a
força de trabalho.

O importante é saber que não se espera que uma PME tenha, a princípio, um
programa de integridade comparável ao de uma grande corporação, ou
multinacional. A expectativa é que haja um sistema simples, mas que conte com
políticas adequadas ao porte e risco da empresa, demonstrando a sua evolução
em termos de sofisticação e cobertura.
O perfeccionismo, nesse caso, pode protelar a execução de um projeto de
compliance. Pior ainda, pode conduzir a empresa a um estado de paralisia. Ao se
desenvolver um programa de compliance para PMEs não se pode deixar que o
ótimo seja inimigo do bom.
3.3 Governança corporativa para startups
Governança corporativa é o conjunto de sistemas de regras, práticas e
processos pelos quais as empresas são governadas, ou seja, a distribuição de
direitos e responsabilidades por todos os participantes da organização. Faz parte
de uma série de fatores que demonstram para acionistas, clientes, fornecedores,
governo e colaboradores que a empresa é confiável. A governança é uma
ferramenta que garante que todos em uma organização sigam processos de
tomada de decisão adequados e transparentes, como também faz com que os
interesses de todas as partes interessadas (acionistas, gestores, funcionários,
fornecedores, clientes, entre outros) sejam protegidos, mas é bem mais do que a
simples atribuição de funções para o conselho, ou mesmo a criação de comitês;
faz parte de um planejamento estratégico mais amplo que contribui para a
longevidade de uma empresa: é a fluência dos poderes e agentes dentro de uma
empresa.
A necessidade de uma governança corporativa adequada para startups, ou
seja, aquelas empresas em estágio inicial que buscam desenvolver e validar um
modelo econômico escalável, está se tornando amplificada. Mais do que isso,
uma exigência para o seu desenvolvimento. No entanto, o assunto ainda é pouco
explorado em comparação com empresas maiores. Afinal, é natural que startups
tenham que enfrentar uma série de desafios, pois estão diante de escolhas
maiores e bem mais complicadas do que uma empresa já estabelecida.
Para uma empresa que está, constantemente, lutando pela sua sobrevivência,
priorizando financiamentos, time e ajuste de produto ao mercado, o market fit, as
melhores práticas de governança corporativa tendem a estar bem abaixo na lista
de prioridades. Entretanto, apesar de os recursos limitados de tempo e
experiência do time de uma startup não favorecerem a implementação, desde
cedo, de uma boa governança corporativa, isso não a torna menos importante,
pelo contrário. Temos inúmeros casos de startups, inclusive “unicórnios”, ou
seja, empresas privadas de tecnologia, avaliadas em mais de US $1 bilhão de
dólares americanos, que sofreram danos significativos relacionados a fraudes e
rupturas na cultura corporativa, ética e compliance, além de enfrentarem falhas
graves de governança que levaram a consideráveis perdas financeiras e de
reputação.
Um caso clássico é a Uber, que teve o seu CEO e cofundador, Travis
Kalanick, afastado pelo conselho da empresa em junho de 2017. Uma medida
que foi resultado de vários meses repletos de escândalos: denúncias de políticas
machistas, assédio sexual e moral, chamados falsos para os carros da sua
concorrente Lyft, além de terem seguido seus próprios clientes por meio de
softwares, mesmo depois de eles terem fechado o aplicativo da Uber. O caso foi
tão grave que, enquanto a Uber discutia com as autoridades locais de táxi sobre a
legalidade do seu serviço, a empresa chegou ao ponto de usar uma ferramenta
chamada Greyball, disfarçando a localização de seus carros e mostrando uma
versão falsa do aplicativo para os fiscais públicos. Como o CEO afastado
controlava a maioria das ações com direito a voto da empresa e a maioria das
vagas do conselho ficou no comando por muito mais tempo do que a boa
governança corporativa aconselha, a empresa não só perdeu muito mais do que
valores financeiros, mas também a sua reputação.243
Outro caso interessante é o da Theranos, uma startup que chegou a ter um
valor de U$9 bilhões, mas virou pó. Elizabeth Holmes, fundadora e CEO da
empresa, teve a visão de criar uma tecnologia que supostamente tornava
laboratórios tradicionais capacitados para a testagem sanguínea, portáteis: uma
picada no dedo, uma gota de sangue e a tecnologia chamada “Edison” poderia
realizar 200 tipos de testes.
Elisabeth abandonou a Universidade de Stanford aos 19 anos e começou a
trabalhar na missão Theranos, desde 2003. Para promover seus objetivos, ela
começou a levantar dinheiro e, em 2005, arrecadou cerca de U$6 bilhões. Em
2010, ela conseguiu firmar parcerias com a Walgreens e a Safeway, duas
importantes varejistas americanas. No início de 2012, a Theranos iniciou um
projeto beta realizando testes de sangue na clínica de saúde de funcionários da
Safeway, mesmo após protestos de cientistas de todo o mundo, que não
acreditavam na capacidade da empresa em entregar resultados confiáveis. A
Theranos foi avaliada em U$9 bilhões, em fevereiro de 2014. Pouco depois, a
CEO afastou todos os executivos de alto escalão e manteve-se sozinha no poder.
O mercado, porém, logo percebeu que as afirmações que ela fez sobre a
tecnologia estavam aquém da realidade, o “Edison” não tinha capacidade para
realizar os 200 testes prometidos. Além disso, a tecnologia tinha imprecisões e a
Theranos depositava patentes referentes a uma tecnologia que não era eficaz na
entrega de resultados, especialmente em razão das brechas no sistema de
patentes dos Estados Unidos, que permitia que a CEO atraísse investidores
potenciais para uma empresa construída em torno de patentes baseadas em um
vazio tecnológico. Com uma política de segredos comerciais rígida, os cientistas
da própria Theranos começaram a suspeitar das promessas de automação e
miniaturização e de uma tecnologia revolucionária que poderia realizar cerca de
70 testes diferentes com apenas uma gota de sangue.
O fim de uma empresa de US$9 bilhões de dólares começou em 2015. A
Theranos (ver figura 16), que começou com tanto entusiasmo e uma evolução
tecnológica tão benéfica para o mundo, não terminou bem. A empresa começou
os procedimentos para o fechamento em 2018. Com uma vida útil de cerca de 15
anos, a Theranos enganou todas as partes interessadas. A CEO usou todas as
oportunidades para tirar vantagem de todas as brechas que o sistema de patentes
dos Estados Unidos tinha a oferecer. Em 2018, a SEC acusou a Theranos, sua
CEO e um executivo de fraude. Holmes perdeu o controle da Theranos,
devolveu milhões de ações até que, em setembro de 2018, a empresa foi
encerrada definitivamente e Holmes acusada de 11 crimes, incluindo fraude
eletrônica e conspiração244.
Figura 16: Theranos
 Exemplos como esses ilustram a importância da governança corporativa para
startups e fazem com que empresas e conselhos de administração examinem
mais de perto suas práticas gerais de governança, que podem ter sido esquecidas,
especialmente ao cumprir o mantra da escala das startups: crescer a todo custo.
A escala exigida para o sucesso das startups precisa da governança corporativa
como um dos seus principais pilares, sendo vários os impactos positivos que ela
pode trazer para todas as partes interessadas.
 Alguns dos impactos positivos da governança corporativa:

garante que a gestão tenha acesso às informações com transparência;

viabiliza perspectivas para um crescimento econômico de longo prazo;
mantém a confiança dos investidores e ajuda a ampliar o acesso ao capital;
melhora o controle sobre os sistemas de gerenciamento de risco e informação;
orienta os gestores sobre as prioridades dos objetivos estratégicos;
minimiza desperdícios, corrupção, riscos e má gestão; e
ajuda a criar uma reputação positiva no mercado.

Na prática, as startups “passam de fase” no jogo da governança corporativa,

de acordo com cada rodada de investimento, pois novos acionistas e investidores
começam a fazer parte da equação e incluem exigências de reporte e KPIs245, as
quais, antes, não faziam parte do dia a dia. A implementação de uma boa
governança corporativa em uma startup diferencia-se de empresas maiores, pois
ela é aprendida e aprimorada ao longo do caminho.
Startups são empresas que precisam ter muito foco, definir e executar
prioridades rapidamente. O desenvolvimento de estruturas de governança
desempenha um papel muito importante nesse processo. No entanto, no agitado
ambiente do processo de ideação, MVP246, etc., a governança raramente recebe a
prioridade que merece; por isso, provavelmente a startup estará longe de um
ambiente que cumpra as melhores práticas nesse tema. A postergação do modelo
perfeito, entretanto, não deve ser necessariamente encarada como algo negativo
e sim como parte do processo de melhoria contínua. A startup deve fazer o que é
possível, dentro da sua estrutura, para ter uma boa governança, no seu início, e
evoluir, com o tempo, para níveis mais sofisticados, para isso é muito importante
mapear prioridades de governança corporativa e olhar para:

Objetivos de curto e longo prazo:

Startups, em geral, são excelentes para prever resultados com mais facilidade
e resolver assuntos de maneira rápida, usando todos os recursos disponíveis, de
forma ágil, para a solução de apenas um problema por vez. No entanto, esse
comportamento não pode fazer com que a ideia do objetivo estratégico a longo
prazo se perca. Por isso, é importante ter em mente que um planejamento de
governança corporativa depende de um mapeamento inicial de objetivos, de
curto e longo prazo, que indiquem um caminho a ser trilhado de forma
acelerada, mas na direção certa.
 Interação entre as partes interessadas:
A importância de uma boa governança aumenta linearmente, de acordo com o
tamanho da empresa e o número de acionistas. Definir o quadro completo das
tensões verticais e horizontais de governança entre as diferentes partes
interessadas, especialmente entre fundadores, empresários, acionistas e
administradores, é essencial para entender quais os pontos a serem observados
com cautela na construção dessa governança. Essa é uma questão extremamente
mutável nas startups e tende a multiplicar-se conforme o negócio evolui e a
complexidade de sua estrutura de capital cresce. Essa inconstância surge porque
as startups geralmente não são lucrativas, enquanto desenvolvem produtos ou
serviços inovadores, e estão, com frequência (de acordo com a sua queima de
caixa) buscando investimentos.
Cada nova rodada de financiamento pode trazer investidores com diferentes
termos e interesses para a estrutura de capital. Além disso, os colaboradores de
uma startup são contratados de forma contínua, acompanhando o crescimento
das operações. Da mesma forma, novas contratações de pessoal podem criar
diferentes benefícios, como opções de compra de ações a preços de exercício
diferentes. Em resumo, à medida que uma startup amadurece, mudam as partes
interessadas, o que afeta profundamente a sua governança. Por isso, esse é um
assunto que deve ser constantemente monitorado.

Sistemas de gerenciamento
de riscos e informação:
Essa velocidade, decorrente da mudança dos comportamentos e interesses das
partes interessadas, exige a adoção de soluções que unifiquem e gerenciem
processos e informações, mantendo a agilidade e a colaboração características de
uma startup. A empresa precisa ter um sistema que proporcione meios para
demonstrar a existência e eficácia dos processos, com abertura e flexibilidade
para esclarecer perguntas e atender a diferentes demandas. A governança de uma
startup precisa ser um instrumento fluido e transparente, permeando toda a
empresa, sem engessar a criatividade e a naturalidade típica dessas empresas.

Transparência e a comunicação eficiente:

 Parte importante da construção da governança na prática. Todos precisam
entender o sistema pelo qual a empresa é administrada, e a aplicação de uma
abordagem padrão à governança, geralmente, não funciona, até porque, a
depender do tipo de organização, estrutura de propriedade, estágio da empresa,
base de investidores, tamanho, geografia ou setor, diferentes regras poderão ser
aplicadas. Cuidados financeiros e jurídicos: Por mais que o espírito criativo e
livre seja uma característica das startups, existe sempre a necessidade de
gerenciar e controlar a empresa por meio de instrumentos como orçamentos,
relatórios, atas, balanços etc.. Dada a natureza das startups, o financiamento das
necessidades de capital de longo prazo precisa ser objeto de atenção contínua,
pois os recursos financeiros estão sempre próximos do limite, o que exige um
controle estrito e planejamento cuidadoso. Esse passo, bem como os trâmites
legais de constituição da empresa, além de inevitáveis, economizam muita dor
de cabeça no futuro. A dedicação aos diferentes cenários financeiros e jurídicos
da empresa é, certamente, o melhor investimento a ser feito em termos de
governança.
Tradicionalmente, as startups brasileiras financiadas por capital de risco são
estruturadas como sociedades limitadas ou anônimas. Em geral, a partir da
evolução de novas séries de investimento, essas estruturas migram para outros
países, como Delaware e Cayman (por motivos que vão além do escopo deste
livro). O desenho da governança inicial deve enfocar principalmente os direitos e
as responsabilidades entre os três principais pilares de poder dentro de uma
startup: administração, conselho de administração e acionistas. Claro que outras
partes interessadas, como colaboradores, clientes, fornecedores, credores, meio
ambiente, comunidade etc. também podem ser considerados nessa equação, mas
essa é uma decisão que precisa ser tomada pelos três pilares acima, para ser
posteriormente refletida no planejamento de governança.

Diversidade de mentores,
consultores e conselheiros:
O conselho de uma startup nem sempre é formalizado, mas é importante que,
dentro da estrutura de governança, haja algum suporte de mentoria e
aconselhamento para o CEO e seus principais executivos. Algumas empresas
optam por começar com um comitê consultivo central, informando aos
acionistas que esse grupo irá ajudar na tomada de decisões. O formato não é
relevante no começo: o importante é criar um espaço no qual as pessoas possam
se reunir, para pensar estrategicamente sobre o futuro de uma empresa. Muitas
startups não têm recursos para contratar um consultor ou advogado experiente e,
por vezes, na prática, é o conselho consultivo que desempenha um papel crítico
no aconselhamento e na orientação da tomada de decisões societárias e jurídicas.
Conselheiros, mentores e investidores de startups devem ter perfis muito ligados
aos fundamentos do negócio e conhecer bem os pontos fortes e fracos da
empresa, além, de claro, serem flexíveis, com uma visão ampla da indústria e
resiliência para enfrentar a montanha russa de emoções, que é embarcar em uma
viagem dentro de uma startup.
A chave para um conselho de administração bem-sucedido em uma startup é
a disposição dos integrantes em dedicar tempo aos fundadores, ajudá-los a
acompanhar o ambiente de negócios em constantes mudanças e sempre agir de
acordo com o melhor interesse da empresa a longo prazo. Além disso, vários
estudos apontam que a multiplicidade de pensamentos, na tomada de decisão,
leva a melhores resultados; por isso, a diversidade é tão importante para o
sucesso de uma empresa. Assim, não desconsidere a importância de um time de
mentores, consultores e conselheiros que aliem diferentes pontos de vista ao
sucesso da startup e aos seus objetivos estratégicos.
Depois de um mapeamento das prioridades que devem ser endereçadas na
construção de um programa de governança corporativa, a startup precisa focar
em diferentes pilares, a depender de cada fase e mercado em que se encontra.
Claro que estas fases não são estanques, mas sim dinâmicas e dependem da
velocidade do business da própria startup. Existem inúmeras maneiras de se
determinar as fases da evolução de uma startup, para efeitos deste estudo, vamos
considerar quatro momentos clássicos: Ideação, Validação, Tração e Escala (ver
figura 17).
Figura 17: Fases da STARTUP X Focos de Governança247
 Ideação: O primeiro passo da startup; aquela fase cheia de entusiasmo,
quando os problemas são mapeados e soluções viáveis começam a ser
descobertas. Esse é o período em que muita coisa ainda pode dar errado, mas a
ideia passa a ser secundária em relação à sua execução. O investimento de tempo
e esforço precisa ser maior na elaboração de uma estratégia que viabilize a ideia
e a coloque no mercado; por isso, uma pesquisa de mercado e um plano de
negócios devem ser o foco nessa fase. Nesse primeiro estágio, em que a ideia é
solidificada em um plano executável, os empreendedores iniciais, ou fundadores,
usam recursos pessoais, familiares e de amigos. Em geral, ainda não existe uma
entidade empresarial constituída, mas é preciso delimitar adequadamente qual a
contribuição que cada um dos sócios deve realizar, tanto em termos financeiros
como em dedicação, alinhar as expectativas e entender as limitações de
tecnologia e questões de propriedade intelectual.
Validação: Quando uma ideia de negócio começa a ganhar força, a startup
passa ao próximo estágio, a fase de desenvolvimento, com a concepção e a
prototipagem de um produto ou serviço. É nesse momento que, em geral, se
inicia a criação da entidade legal que representará a empresa. Ainda que não haja
nenhum ativo construído, já que a empresa, nesse estágio, não tem solução para
oferecer, muito menos clientes, é o momento de idealizar a estrutura jurídica e
comercial que irá arquitetar esse início. Mesmo sem a expectativa de sucesso
nesse momento, a startup precisa seguir acreditando no resultado e o time deve
se concentrar em preparar bases sólidas que facilitarão o resultado final
desejado. Essa é a fase em que alguns investidores-anjo podem começar a se
interessar em fazer parte da empresa, por meio de estruturas financeiras como
empréstimos conversíveis em ações, por exemplo.
Tração: Em seguida, vem a fase na qual os primeiros clientes começam a
chegar, mas ainda não estão gerando resultados suficientes para pagar as contas -
ou mesmo uma boa parte delas. Essencialmente, a startup está começando a
provar o seu conceito. Esse é o momento em que é preciso focar na experiência,
na jornada e no tratamento do cliente, pois a continuidade dos projetos depende
principalmente disso. Essa fase é talvez a mais desafiadora, mental e
fisicamente, pois a intensidade de dedicação do time é muito alta, já que a
startup começa a ter um faturamento em ritmo mais constante, apesar de ainda
estar longe de ter fluxo de renda seguro o suficiente para fazer as contratações
necessárias e reduzir a carga de trabalho do time. Nessa fase, a startup começa a
contratar empregados-chave para funções essenciais, como aquelas voltadas ao
cliente. Têm início as preocupações com plano e opção de compra de ações,
controles para prestação de contas, para terceiros e investidores. Com uma
proposta de valor comprovada e modelo de negócios e processos operacionais
que funcionam, investidores de venture capital começam a interessar-se em
participar por meio de empréstimos conversíveis e participações acionárias.
Também é a hora de preocupar-se com processos de sucessão e não
concorrência248 dos sócios.
Escala: Esse é o momento em que a startup tem um número de clientes
suficiente para permitir que sejam feitas todas as contratações básicas essenciais.
Mas, nem por isso, os desafios acabam, pelo contrário. A accountability249
aumenta a cada novo passo dado e o esforço agora é direcionado à instalação e à
execução impecável de processos. O crescimento exige processos replicáveis e
documentados, foco em marketing e vendas, habilidades de gerenciamento de
pessoal e planejamento detalhado. É nesse ponto que a startup pode multiplicar
o seu valor de mercado de maneira exponencial. Nessa fase, a atenção à
governança corporativa precisa ser maior em face da movimentação acionária de
fundadores, investidores e acionistas. A perspectiva da entrada de investidores
maiores, como fundos de private equity, começa a ser desenhada.
O fato é que startups com boa governança têm mais sucesso ao levantar
capital com investidores, nos resultados financeiros e nos contratos comerciais.
A governança é a espinha dorsal da geração de valor em uma empresa e como
este conceito será traduzido e interpretado depende de situações individuais e da
necessidade de sofisticação de cada uma delas. Não se pode, entretanto, esperar
que, desde o seu início, a startup tenha um nível de excelência comparável a
uma corporação. A governança corporativa nas startups é um processo em
evolução e cresce em sofisticação na medida que a startup evolui e não pode, em
momento algum, criar uma estrutura engessada que inviabilize a fluidez dos seus
objetivos - ela precisa acomodar, de forma dinâmica, cada pivotagem250, nova
rodada de investimento e a entrada de novas partes interessadas.
3.4 Desafios da LGPD para PMEs
A Lei Geral de Proteção de Dados foi aprovada no Brasil, em 2018, e entrou
em vigor em 18/09/2020, seguindo uma tendência global de proteção da
privacidade individual, que visa garantir ao titular dos dados que esses estejam
seguros, atualizados e sendo usados de forma correta e de acordo com o
consentimento fornecido.
O fato de as penalidades, referentes à LGPD, terem sido postergadas e
diferidas para 2021 não impede a atuação do Ministério Público e de órgãos de
defesa do consumidor para a proteção dos dados pessoais, especialmente com
base em outros mecanismos de proteção de dados como, em especial, o Código
de Defesa do Consumidor e o Marco Civil da Internet. Além disso, com a
entrada em vigor da LGPD, empresas e organizações estarão expostas a
possíveis ações judiciais, individuais ou coletivas, pleiteando reparação de danos
decorrentes de violações da lei, independentemente de as sanções
administrativas somente serem aplicáveis a partir de agosto de 2022.
O tema de proteção de dados corporativos é um dos mais importantes no
mundo atual, em que ameaças cibernéticas e violações de dados são questões
recorrentes e não afetam apenas o departamento de tecnologia da informação: o
impacto pode ter um efeito propagador em toda a organização. Nesse contexto, a
LGPD surgiu como resposta a uma tendência de aumento dos direitos dos
titulares de dados, reforçando o dever das empresas para proteção dos dados de
funcionários, fornecedores e clientes, e foi modelada com base no GDPR251,
sendo quase idêntica em termos de escopo e aplicabilidade, mas com
penalidades financeiras menos severas. Com a publicação dessa lei, o Brasil
uniu-se a um grupo de países que promovem uma legislação rígida de
privacidade de dados; tendência nas economias mundiais em todo o mundo.
Apenas a título de exemplo, estes são alguns dos países que adotaram, ou
estão perto de adotar, leis de privacidade de dados semelhantes: Estados Unidos,
Austrália, Japão, Coreia do Sul, Tailândia, Chile, Nova Zelândia, Índia, África
do Sul252, China e Canadá.
Como toda legislação nova, a LGPD ainda causa muita incerteza, pois
existem inúmeras zonas cinzentas referentes à sua aplicação. A Autoridade
Nacional de Proteção de Dados (ANPD), citada mais de 50 vezes pela legislação
e responsável pela fiscalização e aplicação de sanções, na hipótese de tratamento
de dados em descumprimento com a LGPD, dentre outras funções, foi
recentemente constituída e tem muitos desafios à frente, inclusive a falta de
recursos para lidar com um país de tamanho continental. Com tamanha
insegurança sobre os critérios de aplicação e a falta de respostas absolutas, não é
surpresa que falte confiança a empresas e indivíduos acerca das consequências
dessa legislação, mesmo tendo a GDPR e a jurisprudência europeia como guias
naturais.
Apesar de as leis de privacidade globais, em sua maioria, não distinguirem
entre os tamanhos das empresas, não se pode negar que o impacto dessa
legislação em PMEs253 e em uma corporação é bem diferente. A exigência da
estruturação de processos internos consideráveis dentro do compliance e da
governança corporativa e a criação de novas atividades como PPO (Privacy
Process Owners e DPO (Data Protection Officer), bem como a implementação
de mecanismos de monitoria para garantir o cumprimento das exigências da
LGPD e as sanções vinculadas ao (faturamento) da empresa, são muito mais
pesadas para empresas em seus estágios iniciais e sem tantos recursos
financeiros.
Ainda assim, apesar do esforço inicial, implementar os requisitos exigidos
pela LGPD pode ser realmente benéfico para startups, especialmente em uma
época em que o desenvolvimento iterativo se torna cada vez mais popular, pois
essa lei explicita quais as empresas são responsáveis pelos dados pessoais,
obrigando-as a pensar e projetar o ciclo de vida dos dados de uma forma
minimalista e com accountability. Além disso, existem outros ótimos motivos
para cumprir a LGPD: 1 Atender aos requisitos normativos: empresas que não
implementam proteção de privacidade enfrentam penalidades e multas pesadas.
As organizações também correm o risco de perder relacionamentos comerciais
valiosos por não cumprir seus requisitos contratuais de proteção de privacidade.
2 Evitar violações que possam prejudicar a empresa e os titulares de
dados: a implementação de fortes salvaguardas de segurança, para proteger
dados pessoais, reduzem o número de incidentes de segurança, resultando em
violações de privacidade. Com a diminuição das violações, os processos da
empresa tornam-se mais confiáveis, e ela deixa de perder clientes e contratos.
Historicamente, as organizações não se preocupavam em ter controles de
segurança de dados consistentes e abrangentes, implementados por toda a
empresa e em todos os dispositivos. Ao implementar controles de segurança para
dados pessoais, as violações que afetam negativamente os titulares dos dados
serão evitados.
 3 Manter e melhorar o valor da marca: organizações que deixam claro que
proteger a privacidade de seus consumidores é um dos seus objetivos principais
e que se preocupam com a privacidade de seus consumidores e apoiam o
cumprimento dessa meta com práticas de privacidade transparentes e
consistentes, constroem conexões emocionais, o que incrementa o valor da
marca.
4 Aumentar o número de clientes: as empresas que implementam proteções
de privacidade, fornecendo controles transparentes e adequados, fortalecem e
expandem seus negócios, pois são preferidas pelos consumidores em relação a
seus concorrentes que não fornecem esses controles.
5 Apoiar atitudes éticas: a maioria das empresas possui políticas de ética
empresarial ou um código de conduta. Essas políticas, em geral, indicam que as
informações confidenciais serão tratadas com responsabilidade, não sendo
usadas em atividades comerciais que possam causar danos e apenas dentro dos
fins comerciais indicados.
6 Manter a confiança de todas as partes interessadas: indivíduos, cujos
dados pessoais são violados, perdem a confiança na organização que provocou
tal violação (seja diretamente, ou como resultado de uma violação em um de
seus fornecedores contratados), e buscam outras empresas concorrentes.
Organizações que não implementam proteções de privacidade e,
subsequentemente, sofrem violações, perderão a confiança, o que, por sua vez,
resultará em lucros menores e menos clientes.
7 Apoiar a inovação: apesar de muitas pessoas afirmarem que incorporar
controles de segurança e privacidade em novas tecnologias, produtos e serviços
sufocam a inovação, quando a privacidade é abordada propositadamente em
novos processos e produtos inovadores, ela torna-se um vetor de crescimento de
inovação. A privacidade não deve ser vista apenas como um diferencial, ou mais
um requisito a ser cumprido, mas sim uma exigência padrão para qualquer nova
tecnologia ou serviço que envolva dados pessoais.
Considerando-se o cenário atual, torna-se prioritário que as PMEs entendam
os critérios de aplicação da lei e suas sanções para que possam se planejar
estrategicamente ao enfrentar este desafio, lembrando que a LGPD se aplica a
qualquer pessoa física ou jurídica, empresa pública ou privada, que realiza
processos de tratamento de dados pessoais, ou seja, exerça atividades em que se
utilizem dados (coleta, armazenamento, compartilhamento, exclusão, etc.) e tem
escopo extraterritorial, ou seja, aplica-se aos dado de indivíduos brasileiros,
independentemente de onde a empresa esteja sediada.
 Figura 18: Aplicação da LGPD
✓ X

Dados pessoais de indivíduos localizados no Dados provenientes e destinados a outros

Brasil e quando o tratamento dos mesmos países, que apenas transitem pelo território
ocorrer dentro do Brasil nacional

Quando houver oferta de bens e serviços Quando o uso dos dados for pessoal, não
para indivíduos no Brasil comercial, para fins jornalísticos,
acadêmicos, segurança pública

Os dados protegidos pela LGPD estão dentro de 3 categorias:

Dados Pessoais (LGPD, art. 5o, I) permitem identificar uma pessoa ou torná-
la identificável, como nome, endereço, números únicos identificáveis (RG, CPF,
CNH), geolocalização, hábitos de consumo, exames médicos, dados referentes à
saúde, biometria, currículo, perfil cultural, dentre outros.
Dados Pessoais Sensíveis por sua relevância e importância, demandam mais
proteção do que um dado pessoal comum. Incluem dados sobre origem racial ou
étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização
de caráter religioso, filosófico ou político, referentes à saúde ou à vida sexual,
genético ou biométrico, sempre que vinculado a um indivíduo.
Dados Anonimizados relativos ao indivíduo, mas que não podem ser
identificados, apenas em se considerando a utilização de meios técnicos
razoáveis e disponíveis exigindo um processo de tratamento, ou seja, toda
operação realizada com os dados pessoais, como a coleta, produção, recepção,
classificação, utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação ou
controle da informação, modificação, comunicação, transferência, difusão ou
extração.
Figura 19: Partes envolvidas
Elementos e exigências da LGPD que
requerem especial atenção:
 A LGPD determina as seguintes funções e responsabilidades:
ANPD: órgão federal com funções de natureza normativo-interpretativa,
fiscalizatória e integrativa com competência para:
Editar normas e procedimento sobre a proteção de dados pessoais;
Requisitar informações aos controladores e operadores de dados pessoais;
Fiscalizar e aplicar sanções na hipótese de tratamento de dados em descumprimento com a
legislação;
Promover ações de cooperação com autoridades de proteção de dados pessoais de outros
países; e
Editar normas e procedimentos diferenciados de modo a facilitar adequação à LGPD para
as empresas de pequeno porte e microempresas.

Operador de Dados pessoa natural ou jurídica, de direito público ou privado,

que realiza o tratamento de dados pessoais em nome do controlador.
Controlador de dados: pessoa natural ou jurídica, de direito público ou
privado, a quem compete as decisões referentes ao tratamento de dados pessoais.
Pela condição do controlador ser o responsável pelas decisões a respeito do
tratamento de dados, um dos seus deveres é a elaboração de relatório de impacto
à proteção de dados pessoais, documentação que deverá conter a descrição dos
processos de tratamento dos dados pessoais que poderiam gerar riscos às
liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e
mecanismos de mitigação de risco.
Processador de dados: qualquer pessoa ou entidade jurídica envolvida no
processamento de dados pessoais em nome do controlador. Por exemplo, uma
empresa online pode coletar informações do usuário por meio de seu site e
armazená-las usando um serviço de nuvem de terceiros. Nesse cenário, a
empresa online é a controladora dos dados e a organização que executa o serviço
em nuvem é a processadora dos dados. Os processadores de dados devem ser
nomeados oficialmente por meio de um Contrato de Processamento de Dados.
Titular dos dados: Indivíduo cujos dados pessoais são processados por um
controlador ou processador.
Figura 19: Direitos dos Titulares de Dados
 Figura 20: Princípios do Tratamento de Dados

Figura 21: Principais Obrigações e Melhores Práticas

 Instituir o privacy by default, assegurando que a proteção de dados seja
considerada desde o início do planejamento do projeto e da arquitetura de dados.
Isso significa que as configurações de privacidade devem ser padronizadas como
“altas” e medidas devem ser implementadas para garantir que o ciclo de vida do
processamento dos dados esteja de acordo com os requisitos da lei. Os direitos
dos titulares de dados incluem itens como o “Direito a ser informado” e o
“Direito ao apagamento”254, pontos que precisam ser levados em consideração
no processo de design para garantir que esses requisitos possam ser atendidos
(privacy by design).
Utilizar ferramentas que garantam a proteção dos dados, adequando as
ferramentas utilizadas no armazenamento e tratamento dos dados para garantir
os termos previstos na lei. É importante avaliar se os sistemas estão
armazenando as informações corretamente, se o banco de dados possui níveis de
proteção adequados, se os registros referentes ao tratamento estão sendo
guardados, enfim, todo o caminho dos dados dentro da empresa, mapeando todo
o fluxo da informação e garantir um sistema à prova de balas.
Incluir uma avaliação de impacto sobre a proteção de dados, ou Data
Protection Impact Assessment (DPIA) dentro de um processo de avaliação de
risco pode ser muito eficaz para encontrar e corrigir problemas de
desenvolvimento e design em um estágio inicial. Apesar do DPIA nem sempre
ser uma exigência, é uma ferramenta extremamente útil para garantir a eficácia
do cumprimento da LGPD e o privacy by default.
Constituir um Data Protection Officer (DPO), nos termos dos arts. 5, VIII, e
41 da LGPD, que terá como funções primordiais (a) aceitar reclamações e
comunicações dos titulares, prestar esclarecimentos e adotar providências; (b)
receber comunicações da autoridade nacional e adotar providências; (c) orientar
os funcionários e os contratados a respeito das práticas a serem tomadas em
relação à proteção de dados pessoais; e (d) executar as demais atribuições
determinadas pelo controlador ou estabelecidas em normas complementares.
Determinar políticas para a notificação de violação de dados, incidente de
dados, ou qualquer atividade ou conduta que afete a confidencialidade,
integridade ou disponibilidade de dados pessoais. A empresa tem a obrigação de
notificar a ANPD e os titulares de dados afetados imediatamente após tomar
conhecimento de uma violação de dados a menos que a mesma tenha sido
protegida por criptografia (onde os dados foram tornados absolutamente
ilegíveis para o intruso), ou quando a violação não possa resultar em risco.
Registros abrangentes relacionados a tais violações precisam ser mantidos para
comprovação e monitoria.
Revisar o seu aviso de privacidade, a declaração legal ou o documento que
divulga as informações necessárias relacionadas a como e por que os dados do
titular são processados, mais comumente chamada de política de privacidade.
Mesmo antes da LGPD entrar em vigor, as políticas de privacidade eram um
requisito legal na maioria das legislações locais e internacionais, mas agora
precisam ser revistas para explicitar todas as formas de uso dos dados, da
maneira mais clara e transparente possível.
Analisar e registrar as bases legais do tratamento dos dados, explicando a
justificativa legal para o seu processamento. Os titulares dos dados podem ter
mais ou menos direitos, a depender da base jurídica aplicada. Uma das bases
jurídicas mais comuns é o consentimento. No entanto, o consentimento pode não
ser a melhor base legal para todos os casos. Por exemplo, se você estiver
processando dados de colaboradores, a base jurídica pode ser o cumprimento de
uma obrigação legal.
Geralmente, determinar a melhor base jurídica aplicável pode ser complicado
e é altamente recomendável que você consulte um profissional jurídico
habilitado. O monitoramento, ou seja, o contexto de traçar o perfil de uma
pessoa física, especialmente para tomar decisões a respeito dela ou para analisar
ou prever suas preferências pessoais, comportamentos e atitudes, pode exigir o
consentimento dos usuários que se reservam o direito de contestar ou restringir
esse tipo de processamento. A base legal para o tratamento dos dados, ou melhor,
a justificativa para deter os mesmos, pode consistir em:

Consentimento pelo Titular;

Cumprimento de obrigação legal ou regulatória pelo controlador;
Execução de políticas públicas;
Estudos por órgão de pesquisa;
Execução de contrato;
Exercício regular de direitos em processo judicial, arbitral ou administrativo;
Para a proteção da vida ou da integridade física;
Para a tutela da saúde;
Legítimo interesse; ou
Para a proteção do crédito.

Figura 22: Penalidades em caso de

Descumprimento da LGPD
Recomendações de Etapas Práticas para Cumprimento da LGPD:

1. Atualização de políticas e avisos de privacidade para os produtos e serviços mais críticos,

nos termos do art. 9º da LGPD, notificando usuários, clientes, parceiros comerciais e
fornecedores sobre a nova versão. Os documentos devem refletir adequadamente quem tem
acesso aos dados dos titulares.
2. Implementação de canal de comunicação (por e-mail, SAC ou outros sistemas), por meio
do qual titulares de dados podem exercer seus direitos, nos termos dos arts. 18 e 19 da
LGPD.
3. Nomeação do Encarregado de proteção de dados (Data Protection Officer – DPO).
4. Mapeamento da coleta e determinação das bases legais e tratamento de dados, o
consentimento deve ser fornecido por escrito ou por outro meio que demonstre a
manifestação de vontade do titular, de maneira inequívoca, seja por meio físico ou
eletrônico. É importante que a finalidade da captação do dado esteja bem definida ao
requisitar o consentimento. Quanto mais tipos de dados processados, maior a carga e a
responsabilidade da empresa.
5. Treinamentos para a alta administração, colaboradores e fornecedores.
6. Estabelecimento de processos para atender às solicitações dos titulares, pois é necessário
retorno imediato aos titulares de dados sobre a inexistência de registro, os critérios
utilizados e a finalidade do tratamento dos mesmos.
7. Revisão de contratos críticos visando a alocação de responsabilidades entre as partes e a
mitigação de riscos. É muito importante ter um acordo de processamento de dados em vigor
que defina os termos e responsabilidades de todos os processadores nomeados (terceiros),
pois a LGPD considera toda a cadeia de processamento de dados na atribuição de
responsabilidades.
8. Ajuda e aconselhamento com entidades setoriais e de classe, além de mentores, consultores
e conselho de administração. Muitas entidades estão trabalhando com escritórios
especializados para criar documentações e melhores práticas para setores específicos, vale a
pena se informar e participar destas iniciativas comunitárias.
9. Anonimização de dados. Dados anonimizados, são aqueles que, apesar de originariamente,
serem relativos a um titular, passaram por etapas que garantiram a desvinculação dos
mesmos com relação a esta pessoa. Se um dado for anonimizado, tecnicamente, a LGPD
não se aplicará a ele.
10. Retenção apenas dos dados essenciais. Analise o investimento efetuado na captura,
processamento e monetização versus o gasto na proteção dos dados. Equalize as prioridades
e busque ferramentas tecnológicas de proteção para ajudar a prevenir e remediar eventuais
vazamentos.
 A LGPD reflete uma tendência global de transparência, responsabilidade e
accountability, unificando conceitos de ESG, característica da grande maioria
das legislações modernas255. Um marco legislativo evolutivo que obriga todas as
empresas, independentemente de seu tamanho, que lidam com dados pessoais de
brasileiros, a repensar a forma como tal gerenciamento está sendo executado,
garantindo que os sistemas certos estejam em funcionamento para gerenciar
direitos dos titulares e dados com segurança. Resta aguardar como as sanções
serão aplicadas pelas autoridades, afinal, a dosimetria e o tratamento desigual
dos desiguais é chave para manter o equilíbrio entre as diferentes situações das
empresas envolvidas, salvaguardando os direitos de todas as partes interessadas.
3.5 ESG: Environmental, Social and Governance
ESG é um conjunto de padrões usados nas operações de uma empresa que
considera fatores ambientais, sociais e de governança na análise e no processo de
tomada de decisão. É uma tendência mundial, engajando diferentes perspectivas
em um mundo em que as expectativas da sociedade com relação às empresas são
crescentes. A incorporação dos aspectos sociais e ambientais às estratégias e
práticas de governança corporativa ganha cada vez mais importância,
proporcionando vantagem competitiva às organizações, uma vez que o seu papel
na sociedade passa a ser uma questão crítica à sua criação de valor de longo
prazo e atrai cada vez mais a atenção de investidores e demais stakeholders.
Cada vez mais governos, empresas e instituições passaram a apostar em ideias
disruptivas e ações em favor do equilíbrio entre o desenvolvimento econômico e
a responsabilidade social.
Apesar de a agenda de ESG ter começado a se desenvolver globalmente há
mais de 20 anos, somente agora ela alça voos mais altos. De certa forma, foi
preciso tempo para que a consolidação de metodologias, formas de mensuração
de impacto e mesmo o efeito real nos portfólios fossem observados. Além da
vantagem competitiva que discutimos acima, o desempenho financeiro também
tem reflexos positivos256 que podem ser vinculados ao desempenho de ESG.
Ademais, as empresas, ao seguirem estes padrões, também se tornam mais bem
preparadas para gerenciar riscos operacionais e específicos, tornando seus
resultados menos voláteis. Por apresentarem menor risco e menor volatilidade,
consequentemente têm menor custo de capital, resultando em avaliações
financeiras mais altas.
Ao integrar fatores de responsabilidade social em suas análises, os
investidores buscam, além da simples mitigação de risco, considerar fatores mais
amplos, além de indicadores financeiros de curto prazo óbvios. Garantir o bom
desempenho em questões ESG é importante não apenas para os investidores,
mas também para o público em geral e apoia um forte desempenho financeiro de
longo prazo. É fundamental para a relevância de uma empresa em um mundo
que sofre cada vez mais com crises relacionadas aos fatores de ESG.
Cada vez mais valorizadas, as práticas ambientais, sociais e de governança
despontam como aliadas importantes para favorecer um contexto global e
empresarial mais justo, ético e saudável, mas este é um conceito que vai além. O
ESG também traz maior competitividade e garante solidez às companhias. E
conquistou tamanha relevância que, nos últimos três anos, os Estados Unidos
viram que os investimentos em fundos de empresas adequados às normas do
ESG praticamente quadruplicaram.
No Brasil, a tendência ganhou mais força no final do ano de 2019 e passou a
ser vista como trunfo estratégico financeiro das marcas nacionais. Líderes se
tornaram protagonistas na missão de engajar uma cultura organizacional voltada
ao pensar de forma sustentável para impactar de verdade a vida das pessoas.
Uma quebra de paradigmas que nos revela uma evolução no processo de
impulsionar ações de impactos positivos que realmente fazem a diferença.
Mas o que significa cada um destes fatores?
Uma gestão ambiental efetiva (“E”) busca a redução do impacto das
atividades operacionais no planeta, de modo que o uso dos recursos naturais
respeite a capacidade da natureza de se regenerar. Trata-se do consumo adequado
de energia, gestão de recursos naturais (água, solo, madeira, florestas, recursos
minerais), da emissão de gases de efeito estufa, qualidade do ar, do tratamento
dado aos animais, do manejo de resíduos, impacto ecológico, dentre outros.
Para avaliar o quão exposta e engajada a empresa está com esses fatores
ambientais é necessário:

1. Avaliar a quantidade e quais gases estão sendo emitidos pela empresa de forma direta e
indireta (inventário de emissões de GEE) e metas para reduzir ou mitigar (além do CO2
também existem outras formas de poluição, como óxido de nitrogênio, óxido de enxofre,
metano, pesticidas, fertilizantes);
2. Determinar a dependência das empresas de combustíveis fósseis e as iniciativas tomadas
para fazer a transição para uma economia de baixo carbono;
3. Verificar a eficiência das empresas no uso da energia e das fontes de energia utilizadas;
4. Analisar a quantidade e a forma como as empresas destinam seus resíduos (resíduos tóxicos
nos setores produtivos e em fim de vida do produto e sua embalagem nos setores que se
encontram no final da cadeia) e quais são suas políticas de reciclagem;
5. Investigar a dependência das empresas de produtos escassos (especialmente minerais) ou
produtos regulamentados;
6. Verificar, caso haja descarte de água, se ela é tratada antes do descarte, se a empresa está
preservando rios e nascentes localizados em suas terras; e
7. Entender qual o impacto do desmatamento, contaminação do solo e erosão.

Os aspectos sociais (“S”) consideram de forma holística a qualidade das

relações das empresas com a sociedade e os stakeholders - fornecedores,
colaboradores, parceiros, clientes e comunidades e buscam garantir que seu
modelo de negócio e produtos gerem valor e impacto para a sociedade. Trata-se
de temas relacionados a direitos humanos e relações comunitárias, privacidade
do cliente, segurança de dados, acesso e preço, qualidade e segurança do
produto, bem-estar do cliente, práticas de venda e rotulagem de produtos,
práticas trabalhistas, saúde e segurança do colaborador, engajamento,
diversidade e inclusão.
Inclui também aspectos referentes a geração de empregos, renda, arrecadação
de impostos, saúde, segurança e bem estar de funcionários, condições de
trabalho adequadas, dentre outros aspectos. O posicionamento em mídias sociais
por meio da transparência, confiabilidade e coerência nas informações
divulgadas ao mercado é também um tema relevante a ser considerado (social
media risk) na implementação das práticas (“S”) de ESG.
Alguns fatores a serem considerados ao analisar essas categorias são:

Como as empresas tratam seus funcionários (estatísticas de rotatividade), condições de

trabalho, exposição a insalubridade, índices de acidentes de trabalho e fatalidade, indícios
de escravidão / trabalho infantil na entidade ou em sua cadeia de suprimentos, diversidade
na força de trabalho da empresa, clareza nos processos de promoção, alinhamento da
remuneração às práticas de mercado, políticas de atração e retenção de talentos, gestão da
probabilidade de greves, gestão da segurança durante pandemias;
Preocupações com o risco de reputação da marca, aderindo aos padrões de segurança,
rastreabilidade de origem adequada, segurança do produto e garantia de qualidade
(especialmente verdadeiro no caso de produtos de alimentos e bebidas, mas não apenas),
gestão, rastreamento e auditoria de cadeias de abastecimento, recall de produto quando
preciso;
Conhecer o cliente e suas preferências (aceitação de alimentos transgênicos, por exemplo),
acompanhar possíveis mudanças no comportamento do cliente, podendo satisfazê-lo e retê-
lo. Existência de políticas de inclusão (no sistema bancário e segmento farmacêutico, por
exemplo), fornecendo informações claras e transparentes sobre os produtos vendidos e as
condições dos serviços oferecidos e capacidade de atender às reclamações dos clientes;
Investimentos em educação e desenvolvimento regional, gestão de situações de
desapropriação de terras; prevenção de acidentes que possam impactar a comunidade,
tratando adequadamente os conflitos gerados pelo intenso turismo regional;
Design de produto e gerenciamento do ciclo de vida;
Resiliência do modelo de negócios;
Gerenciamento da cadeia de suprimentos, fornecimento e eficiência de materiais; e
Ética empresarial, comportamento competitivo, gestão do jurídico e regulamentar Meio
ambiente, gerenciamento de riscos de incidentes críticos e gerenciamento de riscos
sistêmicos, como:

composição do conselho em termos de diversidade e independência, métricas para

remuneração do conselho (curto e longo prazo)
relevância das reivindicações dos acionistas minoritários, ética empresarial no trato com as
partes interessadas em geral
práticas contábeis e de transparência, força dos controles e processos internos, transações
com partes relacionadas
 resiliência do modelo de negócio, considerando ameaças de novos entrantes e produtos
substitutos, atualizado quanto às novas tecnologias e produtos de forma a manter a
competitividade do negócio;
impacto da mudança climática no modelo de negócios e nas etapas que a empresa está
tomando para passar por este ciclo (a cadeia de suprimentos também está preparada para a
transição?) e análise de tendências no ambiente legal e regulatório para avaliar se o
mercado pode ser afetado de alguma forma no futuro.

A implementação de boas práticas de governança corporativa (“G”) auxiliam

as corporações a utilizarem seu capital de maneira eficaz, levando em conta os
interesses de todos os stakeholders e endereçando aos conselhos e aos executivos
a responsabilidade de adotarem práticas ESG efetivas perante a empresa e a
sociedade.
A forma como as questões ESG são estruturadas e discutidas pelos órgãos de
governança, bem como incorporadas no plano estratégico é essencial para a
perenidade e criação de valor da organização no longo prazo. O alinhamento do
conselho de administração com a gestão é fundamental, não apenas sobre a
definição do termo, mas com relação à aplicação prática de ESG pela
organização, afinal, um setor corporativo sustentável começa pelo topo, com o
apoio dos executivos principais de uma corporação.
Após se tornar uma tendência em 2020, o movimento ESG terá que provar
que veio para ficar, mas pesquisas indicam que a percepção de que a atuação
socioambiental impacta diretamente todas as partes interessadas fará com que
empresas levem a agenda ESG a sério, tornando os temas ambientais, sociais e
de governança uma prioridade, especialmente em um contexto de pós-
pandemia257.
Sugestões para a inclusão e permanência da agenda de ESG nas empresas:
Garantir que a pauta de ESG esteja integrada na cultura e na estratégia de negócios da
empresa, tanto em termos de riscos a serem gerenciados quanto de oportunidades a serem
desenvolvidas.
Pensar de forma sustentável, garantindo que a empresa tenha uma estratégia de
sustentabilidade incorporada à sua estratégia de negócios, alinhados a KPIs e incorporados
aos planos de trabalho e remuneração dos executivos.
Analisar questões de ESG de forma holística e a longo prazo exercitando a empatia e
enxergando por meio da perspectiva das diferentes partes interessadas. Considerando
sempre a impermanência das realidades, cada vez mais fluidas e mutáveis.

ESG não é mera tendência, mas sim um pilar importante da construção de

uma nova realidade corporativa, sendo ferramenta insubstituível para enfrentar
os desafios de um novo mundo, onde todos os stakeholders são chamados a
colaborar e trazer resultados. Entretanto, a palavra resultado tem uma conotação
muito mais ampla do que o simples cálculo contábil de despesas e receitas, pois,
no conceito de capitalismo moderno, lucro e propósito fazem parte de uma
mesma equação, estão entrelaçados e intrínsecos ao sucesso e reconhecimento de
uma empresa258. Iniciativas de ESG são, cada vez mais, valorizadas por
investidores e clientes que atuam dentro de uma percepção de que a geração de
riqueza só é sustentável quando pautada no bem coletivo. ESG é uma obrigação
de todos nós.

231 A Comissão de Valores Mobiliários (CVM) é uma entidade autárquica, em regime especial, vinculada
ao Ministério da Fazenda, criada pela Lei nº 6.385, de 07 de dezembro de 1976, com a finalidade de
disciplinar, fiscalizar e desenvolver o mercado de valores mobiliários.
232 B2B é a abreviação de Business to Business, ou seja, de empresa para empresa. Dentro dessa
modalidade, as operações comerciais ocorrem por meio da venda de produtos ou serviços de uma pessoa
jurídica para outra. Assim, quando uma empresa de confecção de roupas vende produtos para uma loja,
ela realiza uma operação dentro do modelo B2B, ou seja, atacado.
233 B2C significa Business to Consumer, ou seja, de empresa para consumidor. Aqui, a consumação das
operações sempre envolve uma pessoa jurídica e um consumidor pessoa física. Seguindo o exemplo
acima, quando uma loja de roupas vende para o consumidor, ela atua dentro de um modelo B2C, ou
melhor, varejista.
234 Existe uma vertente de executivos que sugere que um único modelo deveria existir, o B2I, ou seja, o
Business for individual, ou seja, que toda a empresa possui um cliente no final da cadeia e deve tomar
todos os cuidados possíveis para manter esse relacionamento de forma íntegra. (Peter Schwartz: The Art
of the Long View: Planning for the Future in an Uncertain World).
235 C2C significa Customer to Customer, ou seja, de consumidor para consumidor. Nessa categoria, ficam
as empresas que viabilizam plataformas com pessoas físicas em ambas as pontas. Por exemplo, um site
que permita a venda de roupas usadas por pessoas físicas diretamente para compradores pessoas físicas.
236 Com o advento de plataformas digitais, criou-se um conceito híbrido, o B2B2C, Business to Business to
Consumer, ou seja, uma operação comercial de uma pessoa jurídica para uma pessoa física, mas com a
intermediação de outra pessoa jurídica. Esse modelo é muito utilizado em negócios que usam a venda
pela internet, por exemplo, muito conhecido como marketplace.
237 D2C significa Digital to Consumer, ou seja, do digital para o consumidor. Modalidade em que os
fabricantes (as indústrias) comercializam seus produtos diretamente para o usuário, sem a necessidade de
utilizar as revendas e os distribuidores para isso.
238 Disponível em: <https://lec.com.br/blog/cresce-o-Compliance-nas-pequenas-emedias-empresas/>.
Acesso em: 20 dez 2020.
239 “O fornecedor ou fabricante que causa dano ao consumidor só se exime da responsabilidade quando
consegue provar que não colocou o produto no mercado, ou que, embora tenha colocado, este não possui
defeito que o torne impróprio para uso ou, ainda, que a culpa é exclusiva do consumidor ou de terceiro.”
(parágrafo 3º do artigo 12 do Código do Consumidor).
240 Disponível em: <https://lec.com.br/blog/cresce-o-Compliance-nas-pequenas-emedias-empresas/>.
Acesso em: 20 dez. 2020.
241 RJ e DF, dentre outros municípios, também possuem legislações semelhantes.
242 Mapa de priorização de riscos de compliance, também chamado de mapa de calor.
243 Disponível em: <https://hbrbr.com.br/quando-os-fundadores-passam-dos-limites/>. e
<https://www.beCompliance.net.br/ex-diretor-da-uber-que-encobriu-ataques-hackers-pode-pegar-oito-
anos-de-prisao>. Ambos acessados em: 20 dez. 2020.
244 Disponível em: <https://canaltech.com.br/startup/startup-medica-theranos-fecha-as-portas-apos-
descoberta-de-fraude-
121898/#:~:text=J%C3%A1%20em%20mar%C3%A7o%20deste%20ano,o%20fim%20de%20sua%20carreira
Acesso em: 20 dez. 2020.
245 KPI é uma métrica altamente relevante para a mensuração do desempenho de uma estratégia e de
processos de gestão. O Key Performance Indicator também pode ser conhecido como: Indicador-Chave
de Desempenho
246 Produto mínimo viável (MVP) é um conceito do Lean Startup que enfatiza o impacto do aprendizado
no desenvolvimento de novos produtos. Eric Ries definiu um MVP como a versão de um novo produto
que permite a uma equipe coletar o máximo de aprendizado validado sobre os clientes com o mínimo
esforço. Esse aprendizado validado vem na forma de saber se seus clientes realmente comprarão o seu
produto.
247 Disponível em: <https://conhecimento.ibgc.org.br/Paginas/Publicacao.aspx?PubId=24050>. Acesso
em: 20 dez. 2020.
248 Não concorrência, ou non compete, é uma cláusula contratual que visa impedir que um colaborador, ou
fundador que saiu de uma empresa, seja contratado por uma concorrente direta ou, ainda, comece um
negócio novo com a intenção de competir diretamente com a empresa em que trabalhava.
249 Accountability é quando um indivíduo ou departamento sofre consequências para seu desempenho ou
ações. A responsabilidade é essencial para uma organização e para uma sociedade. Sem isso, é difícil
fazer com que as pessoas assumam a responsabilidade por suas próprias ações, porque acreditam que não
enfrentarão quaisquer consequências. Disponível em:
<https://www.investopedia.com/terms/a/accountability.asp>. Acesso em: 20 dez. 2020.
250 Pivotar é mudar de modelos de negócios ou áreas de atividade. O termo pivoting foi introduzido por
Eric Ries na publicação, em 2011, de seu livro The Lean Startup.
251 O Regulamento Geral de Proteção de Dados (UE) 2016/679 (GDPR) é um regulamento da legislação
da UE sobre proteção de dados e privacidade na União Europeia (UE) e no Espaço Econômico Europeu
(EEE). Também aborda a transferência de dados pessoais para fora das áreas da UE e do EEE. O objetivo
principal do GDPR é dar aos indivíduos o controle sobre seus dados pessoais e simplificar o ambiente
regulatório para negócios internacionais, unificando a regulação dentro da UE.
252 A Lei de Proteção de Informações Pessoais da África do Sul (POPIA) entrou em vigor em 1º de julho
de 2020 com um período de carência de exatamente um ano. As organizações que já estão em
conformidade com o GDPR certamente terão uma vantagem inicial para tornarem-se compatíveis com o
POPIA, mas os dois regulamentos não são idênticos. Em alguns aspectos, o GDPR é mais rígido do que
o POPIA, enquanto, em outras situações, ocorre o oposto. Por exemplo, o GDPR tem certas isenções
para PMEs, como os requisitos para ter um oficial de proteção de dados dedicado e manutenção de
registros, enquanto o POPIA se aplica a todas as empresas, independentemente do tamanho. Por outro
lado, o GDPR tem requisitos que regem o direito ao esquecimento e a portabilidade dos dados, enquanto
o POPIA não. Por fim, no que diz respeito às penalidades por incumprimento, os dois regulamentos são
bastante diferentes e a questão de “o que é pior” depende da sua perspectiva. O GDPR tem multas
significativamente mais altas (a multa mais alta para o POPIA é de 10 milhões de ZAR ou cerca de
500.000 euros), mas sem acusações criminais, enquanto o POPIA inclui acusações criminais.
253 Com algumas exceções, como a África do Sul.
254 Sobre este tema, veja que o direito ao apagamento, conforme descrito na legislação brasileira, é
diferente do direito ao esquecimento da legislação europeia. A questão gira em torno do termo
“esquecimento” que parece tratar do dever de remoção de conteúdo ilícito na internet, assunto passível
 de discussão no processo que trata da constitucionalidade do artigo 19 do Marco Civil da Internet (MCI).
Admitir um direito ao esquecimento, pode ser visto como “uma restrição excessiva às liberdades de
expressão e de manifestação de pensamento dos autores e ao direito que todo cidadão tem de se manter
informado a respeito de fatos relevantes da história social.” Voto do Excelentíssimo Ministro Dias
Toffoli. Disponível em: <https://www.jota.info/coberturas-especiais/liberdade-de-expressao/direito-ao-
esquecimento-e-incompativel-com-a-constituicao-afirma-dias-toffoli-04022021?
utm_campaign=jota_info__ultimas_noticias__destaques__04022021&utm_medium=email&utm_source=RD+Station
Acesso em: 20 dez. 2020.
255 Texto da carta anual de 2021 do Larry Fink, CEO de um dos fundos de Private Equity de maior sucesso
global, mostrando que as empresas atualmente possuem uma função social que transcende o conceito
individualista: “Acreditamos que todos os investidores, junto com reguladores, seguradoras e o público,
precisam de uma imagem mais clara de como as empresas estão gerenciando as questões relacionadas à
sustentabilidade. Esses dados devem se estender além do clima para questões sobre como cada empresa
atende seu conjunto completo de partes interessadas, como a diversidade de sua força de trabalho, a
sustentabilidade de sua cadeia de suprimentos ou quão bem ela protege os dados de seus clientes. As
perspectivas de crescimento de cada empresa são inextricáveis de sua capacidade de operar de forma
sustentável e atender a todo o conjunto de interessados. A importância de servir as partes interessadas e
abraçar o propósito está se tornando cada vez mais central para a forma como as empresas entendem seu
papel na sociedade. Disponível em: <https://www.blackrock.com/corporate/investor-relations/larry-fink-
ceo-letter>. Acesso em: 20 dez. 2020.
256 Em um estudo MSCI de 2017, Foundations of ESG Investing, que examinou o impacto do ESG nas
avaliações, risco e desempenho de 1.600 ações globalmente e vantagens potenciais para empresas com
bom envolvimento ESG, os resultados mostraram que as empresas que aderem aos princípios ESG
podem, em geral, ser mais competitivas, gerando maior fluxo de caixa e maior lucratividade e pagamento
de dividendos.
257 A conclusão é de uma pesquisa do Global Network of Directors Institutes (GNDI), grupo que congrega
22 institutos de governança ao redor do mundo. No Brasil, o GNDI é representado pelo Instituto
Brasileiro de Governança Corporativa (IBGC), principal instituição de fomento às boas práticas de
governança do país.
258 Larry Fink, CEO da BlackRock, um dos maiores fundos de investimento globais, em sua carta de 2019
aos CEOs. Disponível em: <https://www.blackrock.com/americas-offshore/en/2019-larry-fink-ceo-
letter>. Acesso em: 20 dez. 2020.