Escolar Documentos
Profissional Documentos
Cultura Documentos
© 2021 by Carolina Strobel Fábio Lopes Soares Marcelo Borowski Gomes Wagner Osti Pedro
Categoria: Direito Administrativo
Produção Editorial Livraria e Editora Lumen Juris Ltda.
Conversão Epub: Rosane Abel Diagramação: Rômulo Lentini
A LIVRARIA E EDITORA LUMEN JURIS LTDA.
não se responsabiliza pelas opiniões emitidas nesta obra por seu Autor.
É proibida a reprodução total ou parcial, por qualquer meio ou processo, inclusive quanto às características
gráficas e/ou editoriais. A violação de direitos autorais constitui crime (Código Penal, art. 184 e §§, e Lei nº
6.895, de 17/12/1980), sujeitando-se a busca e apreensão e indenizações diversas (Lei nº 9.610/98).
Todos os direitos desta edição reservados à Livraria e Editora Lumen Juris Ltda.
CIP-BRASIL. CATALOGAÇÃO-NA-FONTE
Compliance : Fundamentos e reflexões para integridade nas empresas / Organizador Fábio Lopes
Soares ; Carolina Strobel, Marcelo Borowski Gomes, Wagner Osti Pedro. – Rio de Janeiro :
Lumen Juris, 2021.
Epub 1940kb
ISBN 978-65-5510-775-3
1. Direito empresarial – Brasil. 2. Programas de compliance – Brasil. 3. Ética empresarial. I.
Soares, Fábio Lopes. II. Strobel, Carolina. III. Gomes, Marcelo Borowski. IV. Pedro, Wagner
Osti.
“A simplicidade é o último grau de sofisticação”
Leonardo da Vinci
Apresentação
A elaboração deste livro partiu de uma necessidade e sobretudo, vontade
motivada, de uma equipe de professores convidados da FGV – Fundação Getúlio
Vargas responsáveis pelo tema compliance nos cursos de pós-graduação, como
de sua relevante experiência em sua atividade profissional, com finalidade de
apoiar estudos e práticas de mercado.
O livro trata de um tema do mais atual e relevante para o controle e gestão das
empresas: compliance como parte de sistemas de integridade. Os autores,
especialistas com vasta experiência no mercado e professores em universidades
renomadas no Brasil e no exterior, contribuíram oferecendo uma visão
multidisciplinar sobre o processo de governança, risco e compliance,
culminando com o entendimento dos sistemas de integridade e tópicos
avançados aplicados a pequenas e médias empresas.
O conceito e histórico dos sistemas de controle são apresentados como uma
visão prática sobre ética e seu papel na transformação cultural da sociedade
moderna.
O livro se apresenta como um manual, dividido em três partes sequenciais em
que tanto o fundamento do compliance, seus pilares e programa foram
construídos com base nas legislações vigentes, oferecendo um guia prático para
elaboração e construção de um programa de integridade.
Alinhado a esse estudo, não somente a visão de GRC - Governança, Risco e
Compliance são desenvolvidos, como também ESG - Environmental, Social and
Governance, usado por diversas empresas e entendido como uma tendência e
necessidade a ser utilizada.
Tenho certo de que está obra representa uma importante contribuição não
somente a executivos e estudantes do tema, como também para aprimoramento
das melhores práticas, uma vez que inova oferecendo importante crítica
cientifica a pontos estratégicos, culminando em um guia de integridade para
quem entende que compliance não é apenas cumprir normas.
Bons estudos, pesquisas e prática de integridade.
Fábio Lopes Soares
Pós Doutor em Direito, advogado, consultor e professor
Sumário
Capa
Folha de rosto
Apresentação
Sumário
1. Integridade, Ética e Transparência nos Negócios
1.1 Contexto histórico internacional
1.2 Modelo brasileiro de compliance com foco na integridade
1.3 O papel ético e a responsabilidade jurídica do compliance officer
1.4 O dever ético e a necessidade de transparência nas tomadas de decisões
1.5 Governança de compliance e o ISE: Índice de Sustentabilidade Empresarial
2. Programa de Compliance
2.1 Pilares de um programa de compliance
2.2 Tone at the top
2.3 Comunicação e treinamento
2.4 Canal de denúncias
2.5 Melhoria contínua do programa de integridade
2.6 GRC: Governança, Risco e Compliance
3. Desafios Modernos de Compliance
3.1 Compliance empresarial
3.2 Desmistificando compliance para PMEs: Pequenas e Médias Empresas
3.3 Governança corporativa para startups
3.4 Desafios da LGPD para PMEs
3.5 ESG: Environmental, Social and Governance
1. Integridade, Ética e Transparência nos
Negócios
1.1 Contexto histórico internacional
Para entendermos sobre a importância (ou a falta) das práticas de integridade,
ética na condução dos negócios e transparência nas tomadas de decisão,
precisaremos voltar no tempo, mais precisamente no início do século XX.
Digno de nota registrarmos que as próximas páginas não almejam substituir a
profundidade do trabalho de qualquer pesquisador acadêmico ou historiador,
tampouco esgotar todos as normas que fomentam a integridade ou atos que
inibem os atos de corrupção. Nosso recorte se restringe em contextualizar a
temática, oferecendo em breves linhas uma noção temporal dos principais
acontecimentos normativos que corroboraram para o desenvolvimento da atual
cultura de compliance dentro das empresas.
As normas e programas de ética e compliance, historicamente, surgiram de
uma relação de consumo como forma de proteger a sociedade em relação a
segurança pública. Por exemplo, a agência que regula fármacos e alimentos nos
Estados Unidos (Food and Drug Administration), em 1906, aprovou a Pure
Food and Drugs Act (em português, lei da pureza de alimentos e medicamentos)
a fim de fornecer proteções básicas aos consumidores sobre os produtos e
medicamentos consumidos1.
Como primeiro corolário de uma necessidade de consumo, em 1913, criou-se
o Board of Governors of the Federal Reserve (em português, conselho dos
governantes da reserva federal), nos Estados Unidos, conselho que ditava
algumas regras de conduta do sistema financeiro naquele país. O intuito era
fornecer à nação estadunidense um sistema monetário e financeiro mais seguro,
flexível e estável para todos os usuários da cadeia2. Para alguns autores3, esse
conselho foi o primeiro indício de inúmeras normas de compliance que seriam
criavas nas próximas décadas.
Os mais desatentos ainda acreditam que o esforço legislativo sobre
compliance é assunto dos últimos vinte ou trinta anos, contudo, a disseminação
da necessidade de termos normas reguladoras, integridades nos negócios e
controle de riscos que conhecemos hoje cresceu juntamente com o avanço das
sociedades na era contemporânea4.
Após o fim da primeira grande guerra5, no final de 1918, o continente
europeu passava por um período de adaptação e reorganização interna. As
economias dos principais países saíram do conflito enfraquecidas, com um
índice baixo de consumo interno e uma inflação fora de controle. Apenas para
contextualizar, em 1923, na Alemanha, os preços duplicavam a cada 3 dias. Um
pão que custava 250 marcos em janeiro, passou a custar 200 bilhões de marcos
em novembro do mesmo ano6.
Em um ambiente completamente diferente estava os Estados Unidos. O
período Pós Guerra gerou um crescimento industrial e urbano acelerado e
aparentemente próspero. A taxa de desemprego caiu drasticamente e o PIB do
país se beneficiou com a exportação de bens industriais e de consumo para o
continente europeu. Os bancos americanos foram os protagonistas em financiar a
reconstrução de boa parte da economia europeia, com uma deflação próxima dos
10% no início da década de 19307.
Para demonstrar quão marcante foi a deflação da no período do pós guerra,
segue a ilustração abaixo8: Figura 1: Deflação no pós-guerra
A promessa da maior economia global se tornou “em uma era sombria, cujo
potencial de crescimento acelerado viu-se frustrado por uma série de
desastres”10.
Com o aumento de juros pelo FED11, as ações na bolsa de valores iniciaram
um movimento de queda livre em efeito dominó, que culminou no dia 24 de
outubro de 1929, a famosa “quinta-feira negra”, iniciando a maior crise
financeira dos Estados Unidos.
Com a quebra da bolsa e uma crise instaurada em todo o país, a confiança no
mercado de capitais precisava ser restaurada para frear os efeitos da Grande
Depressão. No período mais depressivo da história econômica norte-americana,
“centenas de empresas fecharam suas portas, outras tantas acorreram aos bancos
em busca de socorro financeiro, e milhares de produtores rurais endividados
foram despojados de suas terras. Mais de cinco milhões de norte-americanos, ou
um em cada nove homens em idade produtiva, passaram sem aviso a engrossar
as fileiras dos desempregados. Transcorridas algumas semanas, o processo
deflacionário extravasaria as fronteiras da América, arrastando consigo diversos
países mundo afora cuja retração correspondente não seria menos traumática.”12.
Nessa época, as taxas de desemprego dispararam e os salários diminuíram
drasticamente. O gráfico abaixo demonstra que entre os anos de 1932 e 1933 a
taxa de desemprego atingiu um a cada quatro americanos13.
Figura 2: Taxa de desemprego americano
Nesse contexto inquietante, em 1933, foi proposto o programa de
desenvolvimento chamado “New Deal”14, que consistia em uma série de
programas sócio econômicos para uma promissora retomada econômica, tais
como empréstimos aos bancos, criação do sistema de seguridade social,
decréscimo na taxa de desemprego, estímulo fiscal para produção agrícola.
Como as ações dos operadores bancários eram uma peça-chave para alavancar a
economia, o New Deal também incluiu novas restrições no setor bancário como
tentativa de aumentar a transparências das operações e inflar o mercado de forma
sustentável.
No mesmo ano, citamos a Securities Act (em português, Lei de valores
mobiliários) de 1933, que foi a primeira legislação federal usada para regular o
mercado de ações15. O ato tirou o poder dos estados e o colocou nas mãos do
governo federal, sob controle da recém-criada agência reguladora de mercado de
capitais U.S. Securities and Exchange Commission (SEC)16. Esta lei também
criou um conjunto uniforme de regras para proteger os investidores contra
fraudes do sistema financeiro, trazendo maior transparência às transações e
maior apetite para os investidores em relação aos títulos comercializados.
Logo na sequência, em 1940, foram publicadas as leis Investment Advisers
Act e Investment Company Act17 (em português, lei dos assessores de
investimentos e lei das companhias de investimentos), que tinham por objetivo
exigir que empresas de consultoria tivessem registro na SEC e regular os fundos
de investimentos disponíveis no mercado, respectivamente. Em breves linhas, os
Estados Unidos trabalhavam para proteger os investidores de possíveis fraudes.
Com a SEC em plena atividade, foi criada a Prudential Securities, em 1950,
“que passou a contratar advogados para acompanhar a legislação e monitorar as
atividades que envolviam valores mobiliários”18.
Duas décadas depois, em 1970, foi publicada uma lei federal para combater o
crime organizado nos Estados Unidos, a Racketeer Influenced and Corrupt
Organizations Act – RICO19 (em português, Lei de Organizações Corruptas e
Influenciadas por crimes organizados.) Esta lei dá embasamento legal para
penalizar civil e criminalmente empresas, com penas de prisão de até 20 anos e
multa.
Depois de uma série de escândalos envolvendo companhias famosas em atos
de corrupção20, o congresso norte americano decidiu, em 1977, então, promulgar
uma lei anticorrupção que serviria de referência para o mundo, a famigerada
Foreign Corrupt Practices Act (FCPA), ou, em português, Lei de Práticas de
Corrupção no Exterior.
Ainda em pleno vigor, esta lei visa combater a corrupção transnacional por
determinadas pessoas ou entidades relacionadas aos EUA, pois, segundo
especialistas, na época de sua aprovação, o pagamento indevido a funcionários
públicos estrangeiros era “uma prática relativamente comum”21. Seu foco é
dispor sobre as penalidades do suborno, tornando ilegais os pagamentos
efetuados a funcionários de governos estrangeiros ou candidatos, partidos
políticos, em troca de vantagens comerciais.
Era notória a necessidade de a maior economia mundial garantir a segurança
do funcionamento dos mercados, local e global, com normas rígidas, sem
fronteiras. Nesse compasso, portanto, que nasceu o FCPA, “uma lei pioneira em
todo o mundo ao tornar ilegal e punir empresas domésticas por relações
mantidas com agentes públicos estrangeiros em mercados internacionais.”22.
Indiscutivelmente, a FCPA, posta em prática concomitantemente pela SEC e
pelo US Department of Justice - DOJ (em português, Departamento de Justiça
dos Estados Unidos) há mais de quatro décadas, influência até hoje os rumos dos
Programas de Integridade ao redor do mundo, iniciando-se geograficamente pelo
continente Europeu. O FCPA é considerado o propulsor da adoção de políticas
mais rígidas contra a corrupção, sendo considerado o berço de ouro das normas
de compliance e integridade.
“O FCPA reforçou o poder do Departamento de Justiça dos Estados Unidos e da SEC de processar
pessoas jurídicas de capital aberto, de qualquer nacionalidade, registradas na SEC e que possuam
ações nas bolsas de valores. Por conta dos escândalos precedentes de abrangência internacional, o
FCPA foi mais tarde a inspiração para a criação de convenções internacionais de combate à
corrupção.”23
Mas tudo isso deve ser muito custoso para a empresa contratante, correto? “Se
você acha que compliance é caro, tente não estar em compliance”. Essa
afirmação do advogado norte-americano e ex-procurador-geral adjunto dos
Estados Unidos Paul McNulty102 resume de uma forma didática a necessidade
de um programa efetivo de integridade corporativa ou, dito de outra forma,
programa de compliance empresarial. Empresas multinacionais tais como a
Siemens, Alstom, Odebrecht103, Ambev104 experimentaram desse custo após
serem multadas por atos que fugiam às políticas internas de compliance das
companhias e à FCPA.
A responsabilidade do compliance officer é de criar e manter constantemente
atualizadas as diretrizes necessárias para que cada integrante da empresa
conheça as normas externas e internas para desenvolver sua atividade e, diante
de qualquer inconformidade, o compliance officer deve possuir ferramentas para
que possa apurar e corrigir eventual conduta, com a finalidade de manter a
empresa em conformidade com o marco regulatório e livre de qualquer questão
reputacional.
Para ilustrar o quão amplo é o monitoramento de riscos por parte de um
compliance officer, segue a ilustração elaborada pela KPMG105 abaixo: Figura
3: Riscos monitorados pelo compliance officer
Outro conceito similar é o do Triple Bottom Line, conhecido por 3Ps (People,
Planet e Profit). Na língua portuguesa, a tradução seria PPL (Pessoas, Planeta e
Lucro). Uma possível figura seria a disposta abaixo: Sustentabilidade
empresarial e o Triple Bottom Line
Fonte:https://www.teraambiental.com.br/blog-da-
teraambiental/sustentabilidade-empresarial-os-caminhos-percorridos-para-
tornar-sua-empresa-ambientalmente-correta Para o Ibovespa, o ISE B3 “é uma
ferramenta para análise comparativa da performance das empresas listadas na B3
sob o aspecto da sustentabilidade corporativa, baseada em eficiência econômica,
equilíbrio ambiental, justiça social e governança corporativa.”169.
“A mais recente carteira do ISE B3 foi anunciada em 01 de dezembro de 2020 e vigora no período
de 04 de janeiro de 2021 a 30 de dezembro de 2021. A atual carteira do índice reúne 46 ações de
39 companhias. Além disso, representa 15 setores e soma R$ 1,8 trilhão em valor de mercado.
Esse montante equivale a 38% do total do valor de mercado das companhias com ações
negociadas na B3, com base no fechamento de 25/11/2020170.”
O comitê de ética deve assumir também uma função estratégica, junto com o
responsável pelo compliance, de dar sua contribuição para a melhoria contínua
do programa de compliance, tópico que será tratado no final deste capítulo.
2.3 Comunicação e treinamento
Todas as partes interessadas/impactadas pelo programa de compliance têm
que conhecer o “Norte”!
Comunicar bem o que se espera, à luz das políticas estabelecidas, é ponto
vital para o sucesso do programa de compliance.
Como já mencionado anteriormente, a macroetapa de implantação do
programa “treinamento e comunicação” tem um papel de decisivo para a
implantação (e manutenção) do compliance. A participação, a partir do
conhecimento da visão e da identidade da organização, é imprescindível para o
engajamento dos envolvidos e consequente bom funcionamento de todo o
sistema.
O planejamento da comunicação precisa ser feito de forma profissional para,
então, colocar em ação todo um encadeamento de treinamento e interlocução
com todas as partes interessadas. A figura 10, a seguir, demonstra as etapas
básicas desde a planificação até a medição de efetividade de todo o processo,
passando pela estratégia criativa, plano de ativação e as ondas de comunicação.
Figura 10: Ciclo de comunicação e treinamento
Cada empresa tem suas particularidades e regras para a escolha dos recursos e
instrumentos de comunicação interna. A diversificação com o uso simultâneo de
diversos formatos tornará a comunicação corporativa mais dinâmica e
interessante. Aqui, são indicados alguns exemplos práticos com foco para o
compliance:
Intranet e internet: o uso da rede digital privada já é uma realidade na maioria das empresas,
não somente para o tema comunicação, mas também para concentrar documentação e
procedimentos. A intranet tem sido, inclusive, utilizada com o conceito de “landing page”
193, para chamar a atenção dos funcionários para campanhas, brindes atrelados à
participação e gincanas, a fim de engajá-los no tema de integridade e ética. Já a internet tem
uma função informativa importantíssima na comunicação com a sociedade e com as partes
interessadas externas à companhia. A publicização, via site, por exemplo, do código de
conduta e políticas de integridade estendidas a terceiros (fornecedores, prestadores de
serviço, agentes intermediários e associados) é a forma mais simples e eficiente de dar
acesso aos conteúdos de compliance e de demonstrar a aderência da empresa aos
parâmetros descritos pelo decreto 8.420/15;
reuniões recorrentes: a participação da área de compliance em reuniões ordinárias é uma
das iniciativas de comunicação mais importantes para manter o canal de diálogo sempre
aberto com todas as áreas da empresa. Para tal, é preciso fazer um levantamento em quais
reuniões (e com qual finalidade) o compliance deveria estar presente e, então, negociar a
participação com o responsável por aquele espaço. Esse canal é bidirecional e servirá para
passar e receber informações “direto com a fonte”;
publicações internas: revistas e informativos internos de publicação periódica são meios
que atingem todos os funcionários de forma coletiva. É, portanto, uma ferramenta de
comunicação massiva que, para ser efetiva, necessita ter temas recorrentes interessantes que
capturem sempre a curiosidade do público. Sem essa premissa, há o risco da perda de
interesse. Além disso, exige uma estrutura fixa para fazer o planejamento para captação,
elaboração, revisão, aprovação e divulgação dos conteúdos
campanhas: campanhas de comunicação sobre o programa, normalmente com um foco
específico, voltada para os funcionários. Para esse tipo de ação, são desenhadas peças de
comunicação contendo a identidade visual da área, texto e diagramação, com as mensagens-
chave escolhidas para essa iniciativa;
e-mails: manter as caixas de e-mail sob controle é um desafio no mundo de hoje. Portanto,
o envio sequencial de e-mails deve ser muito bem planejado para que as mensagens da área
de compliance não acabem por virar spam194. Assim, o planejamento de envio de e-mails
deve, antes de tudo, conhecer bem o mailing, para personalizar o máximo possível os
conteúdos que serão enviados, tornando-os atrativos para quem os recebe. A customização
dos conteúdos deve seguir a mesma lógica já descrita no início, em que assuntos muito
técnicos devem ser direcionados para quem for diretamente relacionado ao tema. Outras
regras, já amplamente divulgadas, para se escrever e-mails devem, é claro, ser seguidas, tais
como: ater-se ao tema sem tergiversações; utilizar chamadas interessantes e ser assertivo e
animado nas mensagens;
vídeos: os vídeos talvez sejam, dentre todas as ferramentas de comunicação, aqueles que
podem gerar o maior impacto (positivo ou negativo) em uma ativação de campanha de
compliance. Hoje, é extremamente fácil gravar e colocar vídeos na internet (basta ter um
celular). Justamente por isso, para se ter uma entrega profissional, é preciso preocupar-se
com a produção do conteúdo e com a finalização do filme. A personalização dos
treinamentos, depois de fechado o briefing195, começa com a definição do roteiro que deve
ser feito a quatro mãos, em conjunto com um profissional que tenha conhecimentos do tema
compliance. Um belo vídeo que impacte profundamente a população, mas com um conceito
errado pode destruir toda a ação de comunicação;
treinamentos: a necessidade de aprofundamento para qualquer dos temas do compliance,
quer por necessidade de capacitação, quer com objetivos de melhorar qualidade e
competências, programa de aprendizado e evolução profissional, tornam inevitável a
existência de um programa de treinamento. A matriz de planejamento normalmente divide
os treinamentos entre os presenciais e a distância (ao vivo e gravados) e entre os sugeridos e
os obrigatórios;
treinamentos presenciais e a distância: os treinamentos on-line e o home-office196 ganharam
muita força depois do agravamento da pandemia do COVID-19. As avaliações das
organizações e de quem já passou por treinamento a distância têm mostrado que a negação
inicial para aceitar as aulas, via internet, vem mudando significativamente para melhor.
Tanto os professores/expositores que têm melhorado muito nas técnicas de uso das diversas
ferramentas disponíveis para a interação com o seu público, quanto quem recebe o
treinamento tem percebido os benefícios dessa modalidade, tais como: agilidade para
acesso aos conteúdos, não precisar de deslocamento, horários flexíveis (para os cursos
gravados) e redução de custos. O treinamento presencial, com certeza, traz em seu favor a
questão da pessoalidade que, na interação via internet, se perde em grande medida.
Especialmente para aqueles treinamentos de compliance, nos quais temas confidenciais e
sensíveis são tratados, o benefício de fazer-se “face a face” é inequívoco;
treinamentos obrigatórios: esse é um dos pontos mais críticos quando se trata de
capacitação. Os treinamentos obrigatórios, por um lado, são uma ferramenta poderosa para
mitigação de risco nas empresas; mas, por outro, podem tornar o tema compliance “mal
falado” dentro da organização, por impor tarefas obrigatórias aos funcionários. O ganho
para a empresa, entretanto, é alto e assim tudo o que puder ser feito para acelerar o processo
de engajamento ao treinamento deve ser colocado em prática. Em especial, a definição da
correlação “público x treinamento obrigatório” é fundamental. Aquele funcionário que for
chamado para, obrigatoriamente, passar por um treinamento tem que ter claro o porquê de
ter sido convocado. Essa tarefa é feita, normalmente, por uma análise de risco que
determinará o nível de exposição daquela função e sua respectiva necessidade de
capacitação. O engajamento da alta direção e dos líderes, suportados pela área de
compliance, no acompanhamento e exigência da execução do treinamento, ponto chave
para o sucesso da iniciativa;
treinamentos de integração: aqui, vale a máxima do compliance de que todos os
funcionários precisam conhecer os valores éticos e de conduta da empresa e como se
comportarem quando confrontados com riscos de compliance. Sendo assim, a integração de
novas pessoas à organização tem que ser bem estruturada para buscar a meta 100%. No dia
a dia, cada vez mais o uso de ferramentas digitais, como vídeos de integração e
treinamentos EAD197 (gravados) têm sido utilizados para essa tarefa. Isso para poder
responder à flexibilidade necessária, objetivando treinar pessoal a qualquer momento, em
qualquer lugar, com qualidade e de forma padronizada. A disponibilização de um canal para
tirar dúvidas e a utilização de encontros presenciais adicionais (por exemplo, um “Encontro
Mensal de Compliance com Novos Colaboradores”) também são extremamente importantes
para abrir um diálogo e completar esse processo de forma efetiva.
176 Nota dos autores: gaps são avaliados de forma sistêmica por meio de análise de risco e compliance
assessment feitos normalmente no Brasil à luz da Lei 12.846/13, o Decreto 8.420/15 que a regulamentou,
bem como à FCPA norte-americana e às melhores práticas de mercado com foco na efetividade de seus
processos e elementos.
177 Nota dos autores: as documentações, para as condutas esperadas, devem conter o desenho de processos
de compliance e a definição de controles que assegurem a sua efetividade, incluindo os registros
pertinentes, com a finalidade de demonstrar o completo cumprimento dos requisitos e a existência de um
mecanismo robusto de integridade.
178 Nota dos autores: os treinamentos e o plano de comunicação cumprem papel fundamental, esclarecendo
os riscos à empresa e aos funcionários, propiciando a esses a opção de fazer a “escolha certa”, tanto em
relação às suas atitudes, quanto na realização dos processos e consecução dos negócios.
179 Nota dos autores: os processos do programa de compliance devem ser executados com monitoramento
sistêmico que apure o seu desempenho e/ou sua adequação na definição das medidas disciplinares que se
configuram em aspectos críticos e sensíveis no funcionamento de um programa de compliance.
180 Disponível em: <https://www.coso.org/Documents/Compliance-Risk-Management-Applying-the-
COSO-ERM-Framework.pdf>. Acesso em: 28 dez. 2020.
181 Nota dos autores: engenheiro eletricista, formado pela Escola Politécnica da USP, com pós-graduação
em Gestão Ambiental, Black Belt na metodologia Six Sigma e Master Coach formado pelo Integrated
Coaching Institute. Ex-diretor de compliance da Siemens no Brasil e sócio-fundador da compliance Total
Ltda. Autor do livro compliance – A Excelência na Prática, publicado em 2014. Coordena também o
Comitê Técnico da DSC 10.000, primeira norma brasileira para certificação de Sistemas de compliance.
182 Lei nº 12.846, de 1º de agosto de 2013: Dispõe sobre a responsabilização administrativa e civil de
pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira, e dá outras
providências. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-
2014/2013/lei/l12846.htm>. Acesso em: 28 dez. 2020.
183 Nota dos autores: a lei nº 12.846, de 1º de agosto de 2013, usa a nomenclatura “programas de
integridade”. A tradução da palavra compliance por integridade foi feita pela lei já na sua promulgação e
amplia o entendimento do termo compliance para além do simples atendimento legal. Neste capítulo foi
utilizada a nomenclatura compliance, visto ser o termo mais comumente usado no mercado, o que traz
pouca ou nenhuma influência sobre as análises feitas no contexto desta obra.
184 O decreto nº 8.420, de 18 de março de 2015, regulamenta a Lei nº 12.846, de 1º de agosto de 2013, que
dispõe sobre a responsabilização administrativa de pessoas jurídicas pela prática de atos contra a
administração pública, nacional ou estrangeira e dá outras providências.
Disponível em: < http://www.planalto.gov.br/CCIVIL_03/_Ato2015-2018/2015/Decreto/D8420.htm>.
Acesso em: 28 dez. 2020.
185 Nota dos autores: o STF proibiu financiamento eleitoral por empresas em 2015 e esse procedimento,
desde então, não é permitido, por entendimento majoritário da suprema corte (8 votos a 3). Pessoas
físicas, por outro lado, têm a possibilidade legal de fazer doações eleitorais limitadas a um % da renda
bruta anual do contribuinte.
186 Nota dos autores: DDI são pesquisas reputacionais que têm o propósito de identificar fatos ou indícios
incoerentes com a ética e integridade, os quais podem expor a contratante a riscos dos mais variados.
187 Nota dos autores: em administração de empresas, coloquialmente, top-down significa que as ordens do
que deve ser feito, emana do(s) executivo(s) da mais alta hierarquia sendo, na sequência, transmitido
para os demais níveis da empresa.
188 Standford Encyclopedia of Philosophy. Disponível em: <https://plato.stanford.edu/entries/confucius/>.
Acesso em: 28 dez. 2020.
189 Código das melhores práticas de governança corporativa. 5.ed./Instituto Brasileiro de Governança
Corporativa. - São Paulo, SP: IBGC, 2015.
190 O Instituto Brasileiro de Governança Corporativa (IBGC) é uma organização sem fins lucrativos,
referência nacional e internacional em governança corporativa. O instituto contribui para o desempenho
sustentável das organizações por meio da geração e disseminação de conhecimento das melhores práticas
em governança corporativa, influenciando e representando os mais diversos agentes, visando a uma
sociedade melhor. Disponível em: <https://www.ibgc.org.br/quemsomos>. Acesso em: 13 jan. 2021.
191 Código das melhores práticas de governança corporativa. 5.ed./Instituto Brasileiro de Governança
Corporativa. - São Paulo, SP: IBGC, 2015, p. 96.
“Fundamento
É órgão executivo encarregado de implementação, disseminação, treinamento, revisão e atualização do
código de conduta e dos canais de comunicação. O comitê é subordinado ao conselho de administração
ou a quem este último delegar.”.
192 Nota dos autores: ROI (Return on Investment) ou retorno sobre o investimento, em finanças, é a relação
obtida (ganho ou perda) entre o dinheiro investido e o ganho com aquela atividade. Aqui, neste contexto,
não estamos nos referindo a um retorno monetário diretamente, mas sim ao retorno no investimento feito
pela empresa na prevenção efetiva de risco, melhoria do ambiente de trabalho etc.
193 Nota dos autores: Tradução livre: página de aterrissagem. Muito utilizada em marketing digital para a
conversão do internauta, em oportunidade de venda ou cliente.
194 Nota dos autores: Spam é uma palavra utilizada para se referir a mensagens eletrônicas que são
enviadas em massa com conteúdo de propaganda ou sem utilidade.
195 Nota dos autores: briefing: explicação de forma resumida sobre o objetivo de um projeto ou uma tarefa
a ser realizada.
196 Nota dos autores: tradução livre: escritório em casa. É a modalidade de se trabalhar fora do endereço
formal da empresa em que se é funcionário, normalmente em endereço residencial.
197 Nota dos autores: Ensino a Distância: como o nome já diz, é a modalidade de treinamento, na qual
quem ensina está fisicamente separado de quem aprende. Hoje, são utilizadas as tecnologias digitais para
mediar esse contato.
198 Nota dos autores: métricas de avaliação de treinamentos: o objetivo deste livro não é o de esgotar esse
tema, que é bastante amplo, e sim trazer a reflexão sobre a atividade de mensuração, que é essencial para
o êxito do projeto de comunicação, e, depois, para realimentar o ciclo com sugestões de melhoria.
199 Aceitação e interesse de participar ativamente e dar suporte a algo (como, por exemplo, um projeto ou
política).
200 Lei nº 13.460, de 26 de junho de 2017: Dispõe sobre participação, proteção e defesa dos direitos do
usuário dos serviços públicos da administração pública. Disponível em: <http://
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2017/lei/l13460.htm>. Acesso em: 28 jan. 2021.
201 Lei nº 12.527, de 18 de novembro de 2011: Regula o acesso a informações previsto no inciso XXXIII
do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº
8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº
8.159, de 8 de janeiro de 1991; e dá outras providências. Disponível em:
<http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm>. Acesso em: 28 jan. 2021.
202 Controladoria-Geral da União. Disponível em: <https://www.gov.br/cgu/pt-br/assuntos/ouvidoria>.
Acesso em: 28 jan. 2021.
203 Bacen Resolução nº 4567, de 27 de abril de 2017: Dispõe sobre a remessa de informações relativas aos
integrantes do grupo de controle e aos administradores das instituições financeiras e das demais
instituições autorizadas a funcionar pelo Banco Central do Brasil e sobre a disponibilização de canal para
comunicação de indícios de ilicitude relacionados às atividades da instituição.
<http://www.bcb.gov.br/pre/normativos/busca/downloadNormativo.asp?
arquivo=/Lists/Normativos/Attachments/50369/Res_4567_v1_O.pdf>. Acesso em: 28 jan. 2021.
204 Lei nº 13.303, de 30 de junho de 2016.
Dispõe sobre o estatuto jurídico da empresa pública, da sociedade de economia mista e de suas
subsidiárias, no âmbito da União, dos Estados, do Distrito Federal e dos Municípios.
<http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/lei/l13303.htm>. Acesso em: 28 jan. 2021.
205 Tradução livre: faça ou compre. É o processo decisório de uma empresa por fazer uma determinada
atividade, internamente, ou comprá-la de um terceiro.
206 A Contato Seguro é uma empresa que atua em mais de 30 países; pioneira especializada na
implementação e gestão de canais de ética. <<https://www.canaldaetica.com.br/quemsomos/ Acesso em:
28 jan. 2021.
207 A Deloitte é líder em serviços de Auditoria, Consultoria, Assessoria Financeira, Risk Advisory,
Consultoria Tributária e serviços relacionados. Disponível em:
<https://www2.deloitte.com/br/pt/footerlinks/about-deloitte.html>. Acesso em: 28 jan. 2021.
208 A ICTS Outsourcing é uma empresa de serviços relacionados à gestão de riscos e compliance. Opera
serviços de Canal de Denúncias. <https://icts.com.br/quemsomos>. Acesso em: 28 jan. 2021.
209 Bacen Resolução nº 4567, de 27 de abril de 2017: Dispõe sobre a remessa de informações relativas aos
integrantes do grupo de controle e aos administradores das instituições financeiras e das demais
instituições autorizadas a funcionar pelo Banco Central do Brasil e sobre a disponibilização de canal
para comunicação de indícios de ilicitude relacionados às atividades da instituição. Disponível em:
<http://www.bcb.gov.br/pre/normativos/busca/downloadNormativo.asp?
arquivo=/Lists/Normativos/Attachments/50369/Res_4567_v1_O.pdf>. Acesso em: 28 jan. 2021.
210 A Fundação Nacional da Qualidade, ou FNQ, é uma instituição brasileira sem fins lucrativos, cuja
finalidade é desenvolver os Fundamentos da Excelência da Gestão. Disponível em:
<https://fnq.org.br/sobre-a-fnq/>. Acesso em: 29 jan. 2021.
211 O Modelo de Excelência da Gestão® (MEG) estimula e apoia as organizações brasileiras no
desenvolvimento e na evolução de sua gestão para que se tornem sustentáveis, cooperativas e gerem
valor para a sociedade e outras partes interessadas. O MEG é composto por oito Fundamentos da
Excelência. Disponível em: https://fnq.org.br/sobre-o-meg/. Acesso em: 29 jan. 2021.
212 Trabalho desenvolvido com apoio e participação das diretorias de compliance e alta direção das
empresas EDP Energias do Brasil; Grupo Promon; Hospital Albert Einstein; Kantar Ibope Media;
Neoenergia; Sabesp; Siemens; Staples e 3M do Brasil.
213 A publicação Gestão Transparente e Sistemas de Integridade – Compliance traz um conteúdo inédito de
boas práticas corporativas voltadas para uma governança eficaz, com cases de sucesso de compliance de
diversas empresas. Disponível em: <https://fnq.org.br/comunidade/product/livro-gestao-transparente-e-
sistemas-de-integridade-compliance/. Acesso em: 29 jan. 2021.
214 O Instituto Brasileiro de Governança Corporativa (IBGC) é uma organização sem fins lucrativos,
referência nacional e internacional em governança corporativa. O instituto contribui para o desempenho
sustentável das organizações, por meio da geração e disseminação de conhecimento das melhores
práticas em governança corporativa, influenciando e representando os mais diversos agentes, visando a
uma sociedade melhor. Disponível em: <https://www.ibgc.org.br/quemsomos>. Acesso em: 13 jan. 2021.
215 O COSO® (Committee of Sponsoring Organizations of the Treadway Commission) é uma organização
sem fins lucrativos que foi criada nos Estados Unidos, inicialmente, para prevenir fraudes em processos
de empresas da área financeira. Disponível em: <https://www.coso.org/Pages/aboutus.aspx>. Acesso em:
21 fev. 2021.
216 A ABNT é o Foro Nacional de Normalização por reconhecimento da sociedade brasileira desde a sua
fundação, em 28 de setembro de 1940, e confirmado pelo governo federal, por meio de diversos
instrumentos legais. Disponível em: <http://www.abnt.org.br/abnt/conheca-a-abnt>. Acesso em: 21 fev.
2021.
217 Disponível: <https://www.coso.org/Documents/NCFFR.pdf>. Acesso em: 22 fev. 2021.
218 U.S. Securities and Exchange Commission. Agência federal independente de regulamentação e controle
dos mercados financeiros nos Estados Unidos.
219 Disponível em: <https://www.coso.org/documents/COSO-Fraud-Risk-Management-Guide-Executive-
Summary.pdf>. Acesso em: 22 fev. 2021.
220 Disponível em: <https://www.coso.org/Pages/ERM-Framework-Purchase.aspx>. Acesso em: 22 fev.
2021.
221 Disponível em: <https://conhecimento.ibgc.org.br/Paginas/Publicacao.aspx?PubId=22121-
Summary.pdf>. Acesso em: 22 fev. 2021.
222 Disponível em: <https://www.abntcatalogo.com.br/norma.aspx?ID=392334>. Acesso em: 22 fev. 2021.
223 Disponível em: <https://www.abntcatalogo.com.br/norma.aspx?ID=359340>. Acesso em: 22 fev. 2021.
224 Disponível em: <https://committee.iso.org/sites/tc309/home/projects/ongoing/ongoing-3.html>. Acesso
em: 22 fev. 2021.
225 Disponível: <https://www.iso.org/home.html>. Acesso em: 22 fev. 2021.
226 “ESG é uma sigla em inglês que significa environmental, social and governance e corresponde às
práticas ambientais, sociais e de governança de uma organização. O termo foi cunhado em 2004 em uma
publicação do Pacto Global, em parceria com o Banco Mundial, chamada Who Cares Wins. Surgiu de
uma provocação do secretário-geral da ONU Kofi Annan a 50 CEOs de grandes instituições financeiras,
sobre como integrar fatores sociais, ambientais e de governança no mercado de capitais.”. Disponível
em: <https://www.pactoglobal.org.br/pg/esg>. Acesso em: 22 fev. 2021.
227 Disponível: <https://conhecimento.ibgc.org.br/Paginas/Publicacao.aspx?PubId=21794>. Acesso em: 22
fev. 2021.
228 Disponível: <https://conhecimento.ibgc.org.br/Paginas/Publicacao.aspx?PubId=23486>. Acesso em: 22
fev. 2021.
229 Disponível: <https://www.coso.org/Documents/COSO-WBCSD-ESGERM-Guidance-Full.pdf>.
Acesso em: 22 fev. 2021.
230 Disponível em: <https://www.coso.org/Documents/Compliance-Risk-Management-Applying-the-
COSO-ERM-Framework.pdf>. Acesso em: 22 fev. 2021.
3. Desafios Modernos de Compliance
3.1 Compliance empresarial
Com a evolução natural do ambiente de negócios para patamares mais éticos,
o compliance tem ampliado a sua atuação e, cada vez mais, é visto como
ferramenta essencial para o desenvolvimento de uma empresa sustentável a
longo prazo, sendo um dos protagonistas no processo de tomada de decisões
corporativas, especialmente da qual se exige praticidade e pragmatismo. O papel
do compliance torna-se ainda mais crucial em momentos desafiadores, como
aqueles em que os empresários estão tomando decisões estratégicas de forma
acelerada, quando empresas estão se reinventando e readaptando para mitigar o
impacto de crises, mudanças de modelos de negócio e regulamentação.
Mas essa evolução do compliance tem desafios importantes como, por
exemplo, o alinhamento adequado das interações do compliance officer com os
tomadores de decisão. Essa orientação repaginada do compliance officer exige
um apoio contínuo à cultura geral de compliance da empresa e, ao mesmo
tempo, um planejamento adequado para os riscos e desafios emergentes. A
primeira consequência é a necessidade imediata de adaptação da capacidade de
resposta do compliance officer para as necessidades de mitigar riscos e apoio à
estratégia de negócios.
Dentro desse contexto, as análises de risco contínuas e dinâmicas, alinhadas
às estratégias macro da empresa são essenciais. São elas as principais
promotoras de um ambiente onde políticas são implementadas e revisitadas com
a urgência requerida, além de conciliar os avanços tecnológicos com o dia a dia
empresarial.
Essa “ampliação” evolutiva da área de atuação do compliance depende,
muitas vezes, de escolhas que viabilizem a efetividade do programa de
compliance. Afinal, nem sempre existe tempo e orçamento disponíveis para
realizar a cobertura integral dos riscos empresariais. Na prática, é natural que,
para uma melhor eficiência de recursos, o programa tenha uma tônica que o
torne mais adequado ao formato e às condições financeiras de cada indústria e
empresa. Por isso, além de tamanho e disponibilidade de recursos, algumas
características específicas da indústria, estrutura societária, modelo de negócios,
dentre outras, precisam ser consideradas antes de se estabelecer a extensão e as
prioridades de um programa de compliance.
O setor no qual determinada empresa está inserida, por exemplo, pode exigir
uma complexidade maior de um programa de compliance; afinal, indústrias
altamente regulamentadas exigem muita sofisticação e cuidados meticulosos.
Vejamos: instituições financeiras, setor petrolífero, fábricas de alimentos,
provedores de serviços essenciais e de saúde, dentre outros, são submetidos a um
nível de escrutínio normativo muito superior aos demais. Naturalmente, o
cuidado com o compliance segue essa mesma regra. Até porque a
responsabilização, por vezes até pessoal dos administradores, leva a empresa a
desenvolver sistemas redundantes para a redução de riscos. Afinal, são casos em
que o compliance tem um papel que vai além do simples cumprimento da
norma; assume um caráter social de zelar pelo bem-estar do consumidor e da
própria sociedade.
A estrutura societária de uma empresa também é um fator a ser considerado,
afinal, uma empresa de capital aberto, ou seja, com ações negociadas em bolsas
de valores, submete-se a exigências de mercado bem mais altas do que uma
empresa de capital fechado. Não apenas o número de stakeholders, ou partes
interessadas, que irão cobrar um desempenho é maior em uma empresa de
capital aberto, mas também, a própria CVM231 tem exigências normativas
específicas a serem observadas, às quais estruturas societárias de capital fechado
não se submetem.
O perfil dos proprietários de uma empresa é outro ponto que influencia o
sistema de compliance corporativo. Empresas com controladores, ou seja, grupos
ou pessoas que possuam acima de 50% da propriedade das ações de uma
empresa, os chamados “sócios de referência”, naturalmente possuem uma
posição de poder superior aos demais. Nesse, um programa de compliance acaba
por refletir preocupações de mercado, como operações entre partes relacionadas
e a remuneração do principal executivo ou de membros da família dos sócios de
referência. Já empresas com controle difuso, aquelas em que não existe um sócio
controlador, tendem a ter programas de compliance mais detalhados, até pela
exigência das partes interessadas, para que haja um olhar meticuloso sobre as
operações da empresa.
Enfim, além de diferenças práticas citadas acima, sabemos que cada programa
de compliance tem natureza única. Aliás, são vários os atos normativos que
determinam a parametrização da análise de cumprimento das exigências
regulamentares, de acordo com características específicas de cada empresa
como, por exemplo, o estabelecido pelo Decreto nº 8.420/2015.
Também, é assim, quando falamos em modelos de negócio. Os clássicos
B2B232 e B2C233 possuem características únicas que fazem com que os
programas de compliance desenvolvam focos mais particulares, voltados à
eficiência de recursos dentro dos desafios específicos de cada um deles. Apesar
de a divisão entre B2B e B2C ser uma simplificação234 em face da existência de
vários outros modelos como o C2C235, B2B2C236, D2C237, dentre outras “sopas
de letrinhas”, a título de praticidade, vamos focar na análise dos mais usuais:
B2B e B2C.
Apesar de este estudo não ter a intenção de exaurir as preocupações de um
programa de compliance, no âmbito de B2B e B2C, buscamos demonstrar como
o programa de compliance reflete e acompanha as mudanças estratégicas e
corporativas em cada modelo de negócio. O gráfico da figura 14 B2B e B2C,
abaixo, tem por objetivo ilustrar a diferença de dinâmica hipotética entre esses
dois modelos, considerando-se empresas com um mesmo resultado financeiro e
parâmetros fictícios de 0 - 100.
Este tipo de visão auxilia o direcionamento de recursos em um programa de
compliance e pode ser uma ferramenta muito interessante, também, quando
executado com base em outras variáveis específicas de cada situação em
particular.
Figura 14: B2B e B2C
Em se observando a linha cinza clara da ilustração B2B e B2C, de imediato
vê-se que, comparativamente, o número de usuários é naturalmente menor em
uma empresa B2B. Por ter menos usuários, uma empresa B2B investe em um
número inferior de processos e ações de marketing, para conhecer e impactar os
seus clientes, comparativamente ao de uma B2C. De forma geral, os processos
internos ocorrem de modo mais prático nas empresas B2B, pois os cadastros de
clientes, nesse tipo de modelo, são preexistentes e recorrentes.
O número de operações em modelos B2B é menor do que em empresas B2C,
entretanto, os valores financeiros por operação são, em geral, muito superiores,
exigindo processos financeiros meticulosos, muitas vezes incluindo sistemas
com múltiplas conferências.
Assim, programas de compliance de empresas B2B têm um foco expressivo
na prevenção de fraudes, racionalização de processos internos e na agilidade de
departamentos internos; além de se concentrar mais profundamente no processo
de análise e manutenção da contratação de terceiros, reduzindo riscos na cadeia
de suprimentos.
O programa de compliance, para empresas com o modelo B2C, naturalmente
exige um foco intenso no relacionamento com os clientes, um público de maior
número, em geral menos sofisticado e que exige um processo de compra mais
simples e curto em comparação ao B2B. Ou seja, o compliance precisa participar
de análises profundas e contínuas em ações de marketing e processos de compra.
Em ambos os modelos, B2B e B2C, soma-se à equação de riscos, estratégias
para o aumento ou diminuição da demanda de produtos ou serviços, criação de
novos fluxos e processos de informação de dados, além da atenção a um dos
maiores riscos desta era: os ataques cibernéticos.
Dentro do contexto atual, no qual as principais indústrias estão sendo forçadas
a reduzir o número de lojas físicas, especialmente com o aumento das vendas on-
line, o alto engajamento digital e o crescimento ostensivo dos canais de
comércio eletrônico, o compliance em modelos B2C tem ênfase nas análises de
cadeia de fornecedores, no risco das responsabilidades potenciais inerentes às
transações on-line e da capacidade e titularidade sobre o uso de dados e
privacidade com relação a consumidores individuais.
Já as empresas B2B estão sendo pressionadas a revisitar os seus modelos de
negócio e a considerar a alavancagem de seus produtos, serviços e recursos
existentes, para otimizar as vendas de e-commerce, lançando operações e
incorporando estratégias B2C; isso para atender com eficácia seus compradores
B2B existentes. Empresas B2B, em todas as indústrias e setores, têm reavaliado
a sua dependência de canais e formato de relacionamento com clientes finais,
seguindo uma tendência originária das flutuações na oferta e demanda e a rápida
evolução do comportamento do comprador.
De forma global, a dependência dos modelos de negócio tradicionais está sob
pressão e a adoção de operações e estratégias diversificadas, e até originalmente
utilizadas por outros modelos de negócio, tem sido uma saída comum para
sobreviver e prosperar na economia do e-commerce.
O fato é que todos os modelos de negócio tradicionais enfrentam hoje um
cenário sem precedentes, mediante os crescentes desafios de estoque e produção,
cadeias de suprimentos inflexíveis e distribuidores incapazes de manterem-se
atualizados em ambientes que se tornam cada vez mais imprevisíveis e
interdependentes.
A despeito de qualquer característica específica dos diferentes modelos de
negócio com relação ao compliance, o elo comum a todos é o cuidado com a
reputação. Essa é a palavra-chave para qualquer estrutura comercial de sucesso e
deve ser o maior foco de um programa de compliance. Apenas um compromisso
contínuo para promover e manter uma cultura ética dentro de qualquer situação é
capaz de proteger esse que é o maior ativo de uma empresa.
3.2 Desmistificando compliance para PMEs: Pequenas
e Médias Empresas
Apesar de o compliance ser uma realidade dentro das multinacionais e
grandes corporações, quando se analisa o universo atual das PMEs, parece
existir um número menor de empresas com programas de compliance efetivos;
hipoteticamente, esse fato pode ser reflexo de um ponto de vista, no qual a
implementação e a continuidade de um programa de integridade são
consideradas caras, burocráticas e pouco efetivas; um equívoco comum que
acaba por prejudicar as PMEs, que enxergam a existência de um sistema de
integridade efetivo como algo frívolo, ou inatingível, viável apenas para
empresas grandes e sofisticadas. São vários os relatos de profissionais de
compliance de grandes empresas, indicando que a estruturação das áreas de
compliance em PMEs tem evoluído de forma gradual, mas ainda é considerada
como exceção238.
Claramente, em comparação com grandes corporações, PMEs enfrentam uma
série de desafios no estabelecimento e na manutenção de um programa de ética e
conformidade: os recursos disponíveis e a disponibilidade de tempo são parcos e
a gestão da empresa, muitas vezes, tem o seu olhar voltado à parte comercial e
financeira da empresa.
Nesse contexto, a implementação de programas de integridade em PMEs
precisa ser promovida como ferramenta essencial para o desenvolvimento de um
negócio saudável e sustentável, constituindo uma importante proteção contra
possíveis responsabilizações, objetiva, civil e administrativa, por atos de
corrupção, conforme previsto pela lei brasileira de anticorrupção, Lei
12.846/2013, em seu artigo 7º, inciso VIII, “do Programa de Integridade”.
Ademais, programas estruturados de compliance não apenas criam um ganho
reputacional, mas também trazem diversas vantagens financeiras: ampliam a
possibilidade de abertura de novos negócios; aumentam a confiança do mercado;
atuam de forma preventiva, mapeando e prevendo riscos e fraudes; otimizam
processos e controles internos, além de serem um diferencial importante de
mercado; afinal, conhecer os riscos inerentes ao seu negócio e prevenir litígios é
bem menos custoso do que se aventurar na imprevisibilidade da via judicial ou
ficar à mercê dos processos administrativos.
Sob o ponto de vista comercial, na prática, os processos de negociação das
PMEs com grandes corporações que possuem programas de compliance bem
institucionalizados, requerem um alinhamento das PMEs a preceitos éticos e de
transparência, assim como a conformidade com as normas legais vigentes. Ou
seja, a fim de que possa vender para, ou ser contratada por corporações, a PME
precisa comprovar que possui controles e atua em conformidade com a lei.
Afinal, a partir do momento em que uma PME entra na cadeia da produção de
uma grande empresa, o nome dessa companhia também está em jogo,
independentemente da titularidade da responsabilização jurídica; o que vale é a
reputação. Empresas de grande porte, que atuam como protagonistas no fomento
e apoio no programa de compliance de seus fornecedores e parceiros, estimulam
a adoção de práticas consistentes com os valores de ética e integridade, até
porque a adoção de determinadas ferramentas e procedimentos também serve
como elemento relevante de defesa e, na hipótese em que os riscos sejam
materializados, esses fatores podem ser determinantes para demonstrar a eficácia
do seu programa de compliance, podendo inclusive afastar ou reduzir a
incidência de multas, prisões, além de danos à imagem e à reputação das
empresas.
Corporações que fazem parte de indústrias, como agricultura e pecuária, por
exemplo, realizam verificações de conformidade nas PMEs fornecedoras de
insumos; até porque essas corporações, em geral, responsabilizam-se legalmente
por toda a cadeia de fornecedores. Se um supermercado vende um produto
laticínio estragado dentro da validade, a empresa que o produz é também
responsável perante o consumidor final239. Indústrias que envolvem esse nível
de responsabilidade, naturalmente, precisam saber com quem se relacionam,
conhecer os participantes da cadeia e fazer parte do ecossistema local.
Em geral, essas estruturas de verificação são compostas por funcionários da
própria corporação, designados para visitar e avaliar as PMEs fornecedores,
analisando se elas atuam de acordo com os critérios exigidos, mesmo quando
não existe a expectativa de que tais PMEs tenham um programa de compliance
eficiente, ou até mesmo instituído, mesmo porque, em inúmeros casos, são
empresas familiares pequenas. Assim, a própria corporação, que depende dessa
cadeia de insumos, acaba se responsabilizando por realizar checklists e
treinamentos de conformidade com as PMEs. Cuidados, como a existência de
PPEs (Pessoas Politicamente Expostas) que possam influenciar o recebimento de
benefícios por parte da PME também são, naturalmente, objeto de monitoria e
treinamento por parte das corporações que não querem se ver envolvidas em
escândalos relacionados ao tema.240
Aliás, não apenas as negociações comerciais privadas podem se beneficiar
com a instituição de um programa de compliance, mas também as que envolvam
a administração pública, afinal, a cada ano aumenta o número de estados que
exigem um programa de integridade para as empresas que celebram uma relação
contratual com a administração pública como, por exemplo, o artigo 37 da Lei
15.228/2018, do Rio Grande do Sul241.
Essa exigência governamental, de que as empresas contratadas pelo poder
público tenham um programa de compliance, impactou significativamente e vem
fazendo com que as PMEs fornecedoras da administração pública, ou que assim
o desejem ser, organizem-se rapidamente para ter um programa de compliance
que possa ser adequadamente comprovado e auditado, a fim de manter relações
comerciais com o poder público.
Mais, ainda, o compliance tem sido uma requisição de consumidores
millennials, conectados à responsabilidade e ao impacto social, bem como dos
investidores, refletindo uma tendência de mercado, no qual as empresas
aumentam de valor ao atenderem a pautas vinculadas ao ESG, um conceito
relativamente novo no Brasil, mas um dos assuntos mais importantes do setor
corporativo e que está revolucionando o mundo dos investimentos. Aliás, PMEs
em geral possuem pouca, ou nenhuma, visibilidade sobre o seu posicionamento
em termos de ESG e muitas delas ficariam surpresas com o impacto e o valor
que já criam, de forma natural.
O fato é que as PMEs precisam mover os programas de ética e compliance
para o primeiro plano estratégico, seja por exigência de parceiros comerciais
públicos ou privados, pela existência de normas ou mesmo pela oportunidade de
receber investimentos, pois a demanda pela implantação de programas de
compliance em PMEs está cada vez mais maior.
Os tomadores de decisão de uma PME precisam estar alinhados com o
conceito que um projeto de compliance não pode ser considerado uma despesa,
mas sim um investimento que garante o valor, a sustentabilidade e o
desenvolvimento do negócio a longo prazo.
Pragmaticamente, uma parte considerável das PMEs já possui algum tipo de
política de governança e compliance, mesmo que informais e sem
sistematização, apesar de, na maioria das vezes, tais empresas não se darem
crédito suficiente pelo que já estão fazendo. Pois bem, os controles internos que
as PMEs têm para controlar os sistemas básicos de negócios são uma parte
importante de seus esforços de compliance e precisam ser considerados como
parte de um programa já existente.
Assim, um balanço e a sistematização do que cada empresa já tem em vigor,
além de uma análise mais estratégica e holística sobre riscos, já permite com que
uma PME comece o seu projeto de compliance, tornando o resto do processo
bem mais gerenciável. Aliás, essa é uma forma de criar uma conexão cultural
rápida com um novo sistema que se pretende implementar, aliando práticas já
existentes como um primeiro “guia” para o desenvolvimento do novo programa
de compliance.
Não se pode esquecer que a criação de um programa de integridade em PMEs
precisa considerar suas regulamentações específicas como, por exemplo, a
Portaria 2.279/15, da Controladoria Geral da União, que determina quais os
critérios de aplicação específicos dessa categoria, inclusive indicando qual a
empresa que se submete a tais critérios.
Uma análise de riscos com mapeamento adequado ao tamanho, indústria e
situação societária da empresa é um passo importante para um programa de
compliance efetivo e parametrizado, de acordo com as disponibilidades de
pessoal e financeiras de cada empresa. Essa verificação das vulnerabilidades
inerentes às áreas de atuação da empresa e seus riscos específicos (os famosos
heat maps242) é a base para o direcionamento adequado de recursos do
programa.
Também é importante considerar que todo programa de compliance tem base
eminentemente cultural e a sua implementação depende, em grande parte, das
pessoas envolvidas. Por esse motivo, o incentivo dos tomadores de decisão de
uma empresa, ou seja, o tone from the top é essencial para a sua efetividade. Da
mesma maneira, a comunicação aos colaboradores é outro ponto importante e
que precisa ser planejado com cautela para que se imprima a importância do
tema, bem como a sua acessibilidade.
Nesse quesito, métodos de economia simples podem ser implementados
como, por exemplo, uma caixinha de denúncias e sugestões em vez de um call
center; o importante é que o meio consiga trazer os resultados esperados,
independentemente do seu valor e sofisticação. Esse exemplo mostra como, a
despeito da forma utilizada, as PMEs conseguem, por meio da criatividade,
formar seus programas de compliance, que irão evoluir de acordo com o
crescimento da própria empresa. O importante é estar atento aos sete principais
vetores, abaixo descritos, que fazem parte de uma sugestão para a criação e
implementação de um programa de compliance simplificado para PMEs:
Definir papéis e responsabilidades:
Como já esclarecemos, o compliance precisa ser visto como uma função
integrada às demais e não à parte de outros processos e sistemas de negócios.
Além disso, deve mostrar alinhamento com operações eficientes e eficazes.
Programas eficazes de ética devem ser estabelecidos paralelamente e como parte
de outros sistemas de negócios importantes. Por isso, é muito importante
designar alguém para ser o compliance officer da empresa.
Em uma PME é natural que esse cargo seja incorporado por um colaborador
da empresa que já possua outro cargo (ou até cargos), o que está longe do ideal,
mas, dentro do conceito de uma pequena empresa, ter alguém que receba essa
responsabilidade, desde o início, é mais importante do que aguardar até que se
contrate alguém com tempo de dedicação integral para o tema.
O melhor perfil para encaixar-se como compliance officer é alguém que seja
visto como respeitado, confiável, acessível e organizado pelos demais
colaboradores da empresa. Diante da situação de parcos recursos, é importante
que fique claro, para o restante da administração, que se espera que a ela também
execute o que for necessário para apoiar o compliance officer e o projeto em
geral.
Além disso, embora seja essencial atribuir responsabilidade (e recursos) a
uma pessoa, essa não é uma tarefa de apenas um colaborador. Todos os demais
tomadores de decisão precisam entender que fazem parte da função de
compliance e devem participar ativamente na avaliação de risco em suas áreas
funcionais, garantindo que os controles estejam em vigor e respeitando a
independência do compliance officer.
Preparar materiais:
Depois dos passos acima, o compliance officer já tem condições de
desenvolver e distribuir uma política geral, descrevendo o programa de
compliance e tendo a certeza de que os problemas que apresentam maior risco já
estão cobertos. Todos os procedimentos básicos que deverão guiar o programa
de integridade precisam estar incluídos dentro deste planejamento: código de
conduta, outras políticas específicas, programa de treinamento, gerenciamento
de relatórios e, até mesmo, o detalhamento da função do compliance officer.
Em termos de conteúdo, quanto mais simples melhor. O pragmatismo e a
simplicidade ao criar um código de ética e conduta empresarial são o primeiro
passo para o sucesso de sua implementação.
Vale, também, recomendar aos tomadores de decisão que seja realizada uma
reunião sobre o novo programa de compliance em cada uma das áreas da
empresa, na qual cada pessoa do time possa receber esses documentos e
políticas, além de esclarecer as suas dúvidas. Todos os colaboradores devem se
comprometer a cumprir as políticas; por isso, seja de forma física, ou virtual, é
preciso um “aceite” de cada um deles, especialmente, nas áreas de maiores
riscos, conforme o mapeamento já realizado.
Por último, é preciso instituir e divulgar uma linha direta, ou outra estrutura
de denúncia interna anônima, para que suspeitas, alegadas violações do código
ou outra conduta imprópria possam ser denunciadas.
Implementar treinamentos e
caprichar na comunicação:
O planejamento de comunicações internas e externas, a respeito do programa
de compliance, precisa ser realizado de maneira rápida e eficiente, veiculando as
principais mensagens do programa de integridade aos colaboradores, diretos e
indiretos. Aqui vale usar e abusar da tecnologia com métodos de assinatura
eletrônica e confirmação de presença e aceite.
O importante é que se estabeleça um programa de treinamento para novos
colaboradores e um programa de treinamento e atualizações periódicas para os
colaboradores já existentes. Não complique demais; siga o código de conduta e
mantenha uma lista de presença física ou virtual - isso já é o suficiente.
O importante é saber que não se espera que uma PME tenha, a princípio, um
programa de integridade comparável ao de uma grande corporação, ou
multinacional. A expectativa é que haja um sistema simples, mas que conte com
políticas adequadas ao porte e risco da empresa, demonstrando a sua evolução
em termos de sofisticação e cobertura.
O perfeccionismo, nesse caso, pode protelar a execução de um projeto de
compliance. Pior ainda, pode conduzir a empresa a um estado de paralisia. Ao se
desenvolver um programa de compliance para PMEs não se pode deixar que o
ótimo seja inimigo do bom.
3.3 Governança corporativa para startups
Governança corporativa é o conjunto de sistemas de regras, práticas e
processos pelos quais as empresas são governadas, ou seja, a distribuição de
direitos e responsabilidades por todos os participantes da organização. Faz parte
de uma série de fatores que demonstram para acionistas, clientes, fornecedores,
governo e colaboradores que a empresa é confiável. A governança é uma
ferramenta que garante que todos em uma organização sigam processos de
tomada de decisão adequados e transparentes, como também faz com que os
interesses de todas as partes interessadas (acionistas, gestores, funcionários,
fornecedores, clientes, entre outros) sejam protegidos, mas é bem mais do que a
simples atribuição de funções para o conselho, ou mesmo a criação de comitês;
faz parte de um planejamento estratégico mais amplo que contribui para a
longevidade de uma empresa: é a fluência dos poderes e agentes dentro de uma
empresa.
A necessidade de uma governança corporativa adequada para startups, ou
seja, aquelas empresas em estágio inicial que buscam desenvolver e validar um
modelo econômico escalável, está se tornando amplificada. Mais do que isso,
uma exigência para o seu desenvolvimento. No entanto, o assunto ainda é pouco
explorado em comparação com empresas maiores. Afinal, é natural que startups
tenham que enfrentar uma série de desafios, pois estão diante de escolhas
maiores e bem mais complicadas do que uma empresa já estabelecida.
Para uma empresa que está, constantemente, lutando pela sua sobrevivência,
priorizando financiamentos, time e ajuste de produto ao mercado, o market fit, as
melhores práticas de governança corporativa tendem a estar bem abaixo na lista
de prioridades. Entretanto, apesar de os recursos limitados de tempo e
experiência do time de uma startup não favorecerem a implementação, desde
cedo, de uma boa governança corporativa, isso não a torna menos importante,
pelo contrário. Temos inúmeros casos de startups, inclusive “unicórnios”, ou
seja, empresas privadas de tecnologia, avaliadas em mais de US $1 bilhão de
dólares americanos, que sofreram danos significativos relacionados a fraudes e
rupturas na cultura corporativa, ética e compliance, além de enfrentarem falhas
graves de governança que levaram a consideráveis perdas financeiras e de
reputação.
Um caso clássico é a Uber, que teve o seu CEO e cofundador, Travis
Kalanick, afastado pelo conselho da empresa em junho de 2017. Uma medida
que foi resultado de vários meses repletos de escândalos: denúncias de políticas
machistas, assédio sexual e moral, chamados falsos para os carros da sua
concorrente Lyft, além de terem seguido seus próprios clientes por meio de
softwares, mesmo depois de eles terem fechado o aplicativo da Uber. O caso foi
tão grave que, enquanto a Uber discutia com as autoridades locais de táxi sobre a
legalidade do seu serviço, a empresa chegou ao ponto de usar uma ferramenta
chamada Greyball, disfarçando a localização de seus carros e mostrando uma
versão falsa do aplicativo para os fiscais públicos. Como o CEO afastado
controlava a maioria das ações com direito a voto da empresa e a maioria das
vagas do conselho ficou no comando por muito mais tempo do que a boa
governança corporativa aconselha, a empresa não só perdeu muito mais do que
valores financeiros, mas também a sua reputação.243
Outro caso interessante é o da Theranos, uma startup que chegou a ter um
valor de U$9 bilhões, mas virou pó. Elizabeth Holmes, fundadora e CEO da
empresa, teve a visão de criar uma tecnologia que supostamente tornava
laboratórios tradicionais capacitados para a testagem sanguínea, portáteis: uma
picada no dedo, uma gota de sangue e a tecnologia chamada “Edison” poderia
realizar 200 tipos de testes.
Elisabeth abandonou a Universidade de Stanford aos 19 anos e começou a
trabalhar na missão Theranos, desde 2003. Para promover seus objetivos, ela
começou a levantar dinheiro e, em 2005, arrecadou cerca de U$6 bilhões. Em
2010, ela conseguiu firmar parcerias com a Walgreens e a Safeway, duas
importantes varejistas americanas. No início de 2012, a Theranos iniciou um
projeto beta realizando testes de sangue na clínica de saúde de funcionários da
Safeway, mesmo após protestos de cientistas de todo o mundo, que não
acreditavam na capacidade da empresa em entregar resultados confiáveis. A
Theranos foi avaliada em U$9 bilhões, em fevereiro de 2014. Pouco depois, a
CEO afastou todos os executivos de alto escalão e manteve-se sozinha no poder.
O mercado, porém, logo percebeu que as afirmações que ela fez sobre a
tecnologia estavam aquém da realidade, o “Edison” não tinha capacidade para
realizar os 200 testes prometidos. Além disso, a tecnologia tinha imprecisões e a
Theranos depositava patentes referentes a uma tecnologia que não era eficaz na
entrega de resultados, especialmente em razão das brechas no sistema de
patentes dos Estados Unidos, que permitia que a CEO atraísse investidores
potenciais para uma empresa construída em torno de patentes baseadas em um
vazio tecnológico. Com uma política de segredos comerciais rígida, os cientistas
da própria Theranos começaram a suspeitar das promessas de automação e
miniaturização e de uma tecnologia revolucionária que poderia realizar cerca de
70 testes diferentes com apenas uma gota de sangue.
O fim de uma empresa de US$9 bilhões de dólares começou em 2015. A
Theranos (ver figura 16), que começou com tanto entusiasmo e uma evolução
tecnológica tão benéfica para o mundo, não terminou bem. A empresa começou
os procedimentos para o fechamento em 2018. Com uma vida útil de cerca de 15
anos, a Theranos enganou todas as partes interessadas. A CEO usou todas as
oportunidades para tirar vantagem de todas as brechas que o sistema de patentes
dos Estados Unidos tinha a oferecer. Em 2018, a SEC acusou a Theranos, sua
CEO e um executivo de fraude. Holmes perdeu o controle da Theranos,
devolveu milhões de ações até que, em setembro de 2018, a empresa foi
encerrada definitivamente e Holmes acusada de 11 crimes, incluindo fraude
eletrônica e conspiração244.
Figura 16: Theranos
Exemplos como esses ilustram a importância da governança corporativa para
startups e fazem com que empresas e conselhos de administração examinem
mais de perto suas práticas gerais de governança, que podem ter sido esquecidas,
especialmente ao cumprir o mantra da escala das startups: crescer a todo custo.
A escala exigida para o sucesso das startups precisa da governança corporativa
como um dos seus principais pilares, sendo vários os impactos positivos que ela
pode trazer para todas as partes interessadas.
Alguns dos impactos positivos da governança corporativa:
Sistemas de gerenciamento
de riscos e informação:
Essa velocidade, decorrente da mudança dos comportamentos e interesses das
partes interessadas, exige a adoção de soluções que unifiquem e gerenciem
processos e informações, mantendo a agilidade e a colaboração características de
uma startup. A empresa precisa ter um sistema que proporcione meios para
demonstrar a existência e eficácia dos processos, com abertura e flexibilidade
para esclarecer perguntas e atender a diferentes demandas. A governança de uma
startup precisa ser um instrumento fluido e transparente, permeando toda a
empresa, sem engessar a criatividade e a naturalidade típica dessas empresas.
Diversidade de mentores,
consultores e conselheiros:
O conselho de uma startup nem sempre é formalizado, mas é importante que,
dentro da estrutura de governança, haja algum suporte de mentoria e
aconselhamento para o CEO e seus principais executivos. Algumas empresas
optam por começar com um comitê consultivo central, informando aos
acionistas que esse grupo irá ajudar na tomada de decisões. O formato não é
relevante no começo: o importante é criar um espaço no qual as pessoas possam
se reunir, para pensar estrategicamente sobre o futuro de uma empresa. Muitas
startups não têm recursos para contratar um consultor ou advogado experiente e,
por vezes, na prática, é o conselho consultivo que desempenha um papel crítico
no aconselhamento e na orientação da tomada de decisões societárias e jurídicas.
Conselheiros, mentores e investidores de startups devem ter perfis muito ligados
aos fundamentos do negócio e conhecer bem os pontos fortes e fracos da
empresa, além, de claro, serem flexíveis, com uma visão ampla da indústria e
resiliência para enfrentar a montanha russa de emoções, que é embarcar em uma
viagem dentro de uma startup.
A chave para um conselho de administração bem-sucedido em uma startup é
a disposição dos integrantes em dedicar tempo aos fundadores, ajudá-los a
acompanhar o ambiente de negócios em constantes mudanças e sempre agir de
acordo com o melhor interesse da empresa a longo prazo. Além disso, vários
estudos apontam que a multiplicidade de pensamentos, na tomada de decisão,
leva a melhores resultados; por isso, a diversidade é tão importante para o
sucesso de uma empresa. Assim, não desconsidere a importância de um time de
mentores, consultores e conselheiros que aliem diferentes pontos de vista ao
sucesso da startup e aos seus objetivos estratégicos.
Depois de um mapeamento das prioridades que devem ser endereçadas na
construção de um programa de governança corporativa, a startup precisa focar
em diferentes pilares, a depender de cada fase e mercado em que se encontra.
Claro que estas fases não são estanques, mas sim dinâmicas e dependem da
velocidade do business da própria startup. Existem inúmeras maneiras de se
determinar as fases da evolução de uma startup, para efeitos deste estudo, vamos
considerar quatro momentos clássicos: Ideação, Validação, Tração e Escala (ver
figura 17).
Figura 17: Fases da STARTUP X Focos de Governança247
Ideação: O primeiro passo da startup; aquela fase cheia de entusiasmo,
quando os problemas são mapeados e soluções viáveis começam a ser
descobertas. Esse é o período em que muita coisa ainda pode dar errado, mas a
ideia passa a ser secundária em relação à sua execução. O investimento de tempo
e esforço precisa ser maior na elaboração de uma estratégia que viabilize a ideia
e a coloque no mercado; por isso, uma pesquisa de mercado e um plano de
negócios devem ser o foco nessa fase. Nesse primeiro estágio, em que a ideia é
solidificada em um plano executável, os empreendedores iniciais, ou fundadores,
usam recursos pessoais, familiares e de amigos. Em geral, ainda não existe uma
entidade empresarial constituída, mas é preciso delimitar adequadamente qual a
contribuição que cada um dos sócios deve realizar, tanto em termos financeiros
como em dedicação, alinhar as expectativas e entender as limitações de
tecnologia e questões de propriedade intelectual.
Validação: Quando uma ideia de negócio começa a ganhar força, a startup
passa ao próximo estágio, a fase de desenvolvimento, com a concepção e a
prototipagem de um produto ou serviço. É nesse momento que, em geral, se
inicia a criação da entidade legal que representará a empresa. Ainda que não haja
nenhum ativo construído, já que a empresa, nesse estágio, não tem solução para
oferecer, muito menos clientes, é o momento de idealizar a estrutura jurídica e
comercial que irá arquitetar esse início. Mesmo sem a expectativa de sucesso
nesse momento, a startup precisa seguir acreditando no resultado e o time deve
se concentrar em preparar bases sólidas que facilitarão o resultado final
desejado. Essa é a fase em que alguns investidores-anjo podem começar a se
interessar em fazer parte da empresa, por meio de estruturas financeiras como
empréstimos conversíveis em ações, por exemplo.
Tração: Em seguida, vem a fase na qual os primeiros clientes começam a
chegar, mas ainda não estão gerando resultados suficientes para pagar as contas -
ou mesmo uma boa parte delas. Essencialmente, a startup está começando a
provar o seu conceito. Esse é o momento em que é preciso focar na experiência,
na jornada e no tratamento do cliente, pois a continuidade dos projetos depende
principalmente disso. Essa fase é talvez a mais desafiadora, mental e
fisicamente, pois a intensidade de dedicação do time é muito alta, já que a
startup começa a ter um faturamento em ritmo mais constante, apesar de ainda
estar longe de ter fluxo de renda seguro o suficiente para fazer as contratações
necessárias e reduzir a carga de trabalho do time. Nessa fase, a startup começa a
contratar empregados-chave para funções essenciais, como aquelas voltadas ao
cliente. Têm início as preocupações com plano e opção de compra de ações,
controles para prestação de contas, para terceiros e investidores. Com uma
proposta de valor comprovada e modelo de negócios e processos operacionais
que funcionam, investidores de venture capital começam a interessar-se em
participar por meio de empréstimos conversíveis e participações acionárias.
Também é a hora de preocupar-se com processos de sucessão e não
concorrência248 dos sócios.
Escala: Esse é o momento em que a startup tem um número de clientes
suficiente para permitir que sejam feitas todas as contratações básicas essenciais.
Mas, nem por isso, os desafios acabam, pelo contrário. A accountability249
aumenta a cada novo passo dado e o esforço agora é direcionado à instalação e à
execução impecável de processos. O crescimento exige processos replicáveis e
documentados, foco em marketing e vendas, habilidades de gerenciamento de
pessoal e planejamento detalhado. É nesse ponto que a startup pode multiplicar
o seu valor de mercado de maneira exponencial. Nessa fase, a atenção à
governança corporativa precisa ser maior em face da movimentação acionária de
fundadores, investidores e acionistas. A perspectiva da entrada de investidores
maiores, como fundos de private equity, começa a ser desenhada.
O fato é que startups com boa governança têm mais sucesso ao levantar
capital com investidores, nos resultados financeiros e nos contratos comerciais.
A governança é a espinha dorsal da geração de valor em uma empresa e como
este conceito será traduzido e interpretado depende de situações individuais e da
necessidade de sofisticação de cada uma delas. Não se pode, entretanto, esperar
que, desde o seu início, a startup tenha um nível de excelência comparável a
uma corporação. A governança corporativa nas startups é um processo em
evolução e cresce em sofisticação na medida que a startup evolui e não pode, em
momento algum, criar uma estrutura engessada que inviabilize a fluidez dos seus
objetivos - ela precisa acomodar, de forma dinâmica, cada pivotagem250, nova
rodada de investimento e a entrada de novas partes interessadas.
3.4 Desafios da LGPD para PMEs
A Lei Geral de Proteção de Dados foi aprovada no Brasil, em 2018, e entrou
em vigor em 18/09/2020, seguindo uma tendência global de proteção da
privacidade individual, que visa garantir ao titular dos dados que esses estejam
seguros, atualizados e sendo usados de forma correta e de acordo com o
consentimento fornecido.
O fato de as penalidades, referentes à LGPD, terem sido postergadas e
diferidas para 2021 não impede a atuação do Ministério Público e de órgãos de
defesa do consumidor para a proteção dos dados pessoais, especialmente com
base em outros mecanismos de proteção de dados como, em especial, o Código
de Defesa do Consumidor e o Marco Civil da Internet. Além disso, com a
entrada em vigor da LGPD, empresas e organizações estarão expostas a
possíveis ações judiciais, individuais ou coletivas, pleiteando reparação de danos
decorrentes de violações da lei, independentemente de as sanções
administrativas somente serem aplicáveis a partir de agosto de 2022.
O tema de proteção de dados corporativos é um dos mais importantes no
mundo atual, em que ameaças cibernéticas e violações de dados são questões
recorrentes e não afetam apenas o departamento de tecnologia da informação: o
impacto pode ter um efeito propagador em toda a organização. Nesse contexto, a
LGPD surgiu como resposta a uma tendência de aumento dos direitos dos
titulares de dados, reforçando o dever das empresas para proteção dos dados de
funcionários, fornecedores e clientes, e foi modelada com base no GDPR251,
sendo quase idêntica em termos de escopo e aplicabilidade, mas com
penalidades financeiras menos severas. Com a publicação dessa lei, o Brasil
uniu-se a um grupo de países que promovem uma legislação rígida de
privacidade de dados; tendência nas economias mundiais em todo o mundo.
Apenas a título de exemplo, estes são alguns dos países que adotaram, ou
estão perto de adotar, leis de privacidade de dados semelhantes: Estados Unidos,
Austrália, Japão, Coreia do Sul, Tailândia, Chile, Nova Zelândia, Índia, África
do Sul252, China e Canadá.
Como toda legislação nova, a LGPD ainda causa muita incerteza, pois
existem inúmeras zonas cinzentas referentes à sua aplicação. A Autoridade
Nacional de Proteção de Dados (ANPD), citada mais de 50 vezes pela legislação
e responsável pela fiscalização e aplicação de sanções, na hipótese de tratamento
de dados em descumprimento com a LGPD, dentre outras funções, foi
recentemente constituída e tem muitos desafios à frente, inclusive a falta de
recursos para lidar com um país de tamanho continental. Com tamanha
insegurança sobre os critérios de aplicação e a falta de respostas absolutas, não é
surpresa que falte confiança a empresas e indivíduos acerca das consequências
dessa legislação, mesmo tendo a GDPR e a jurisprudência europeia como guias
naturais.
Apesar de as leis de privacidade globais, em sua maioria, não distinguirem
entre os tamanhos das empresas, não se pode negar que o impacto dessa
legislação em PMEs253 e em uma corporação é bem diferente. A exigência da
estruturação de processos internos consideráveis dentro do compliance e da
governança corporativa e a criação de novas atividades como PPO (Privacy
Process Owners e DPO (Data Protection Officer), bem como a implementação
de mecanismos de monitoria para garantir o cumprimento das exigências da
LGPD e as sanções vinculadas ao (faturamento) da empresa, são muito mais
pesadas para empresas em seus estágios iniciais e sem tantos recursos
financeiros.
Ainda assim, apesar do esforço inicial, implementar os requisitos exigidos
pela LGPD pode ser realmente benéfico para startups, especialmente em uma
época em que o desenvolvimento iterativo se torna cada vez mais popular, pois
essa lei explicita quais as empresas são responsáveis pelos dados pessoais,
obrigando-as a pensar e projetar o ciclo de vida dos dados de uma forma
minimalista e com accountability. Além disso, existem outros ótimos motivos
para cumprir a LGPD: 1 Atender aos requisitos normativos: empresas que não
implementam proteção de privacidade enfrentam penalidades e multas pesadas.
As organizações também correm o risco de perder relacionamentos comerciais
valiosos por não cumprir seus requisitos contratuais de proteção de privacidade.
2 Evitar violações que possam prejudicar a empresa e os titulares de
dados: a implementação de fortes salvaguardas de segurança, para proteger
dados pessoais, reduzem o número de incidentes de segurança, resultando em
violações de privacidade. Com a diminuição das violações, os processos da
empresa tornam-se mais confiáveis, e ela deixa de perder clientes e contratos.
Historicamente, as organizações não se preocupavam em ter controles de
segurança de dados consistentes e abrangentes, implementados por toda a
empresa e em todos os dispositivos. Ao implementar controles de segurança para
dados pessoais, as violações que afetam negativamente os titulares dos dados
serão evitados.
3 Manter e melhorar o valor da marca: organizações que deixam claro que
proteger a privacidade de seus consumidores é um dos seus objetivos principais
e que se preocupam com a privacidade de seus consumidores e apoiam o
cumprimento dessa meta com práticas de privacidade transparentes e
consistentes, constroem conexões emocionais, o que incrementa o valor da
marca.
4 Aumentar o número de clientes: as empresas que implementam proteções
de privacidade, fornecendo controles transparentes e adequados, fortalecem e
expandem seus negócios, pois são preferidas pelos consumidores em relação a
seus concorrentes que não fornecem esses controles.
5 Apoiar atitudes éticas: a maioria das empresas possui políticas de ética
empresarial ou um código de conduta. Essas políticas, em geral, indicam que as
informações confidenciais serão tratadas com responsabilidade, não sendo
usadas em atividades comerciais que possam causar danos e apenas dentro dos
fins comerciais indicados.
6 Manter a confiança de todas as partes interessadas: indivíduos, cujos
dados pessoais são violados, perdem a confiança na organização que provocou
tal violação (seja diretamente, ou como resultado de uma violação em um de
seus fornecedores contratados), e buscam outras empresas concorrentes.
Organizações que não implementam proteções de privacidade e,
subsequentemente, sofrem violações, perderão a confiança, o que, por sua vez,
resultará em lucros menores e menos clientes.
7 Apoiar a inovação: apesar de muitas pessoas afirmarem que incorporar
controles de segurança e privacidade em novas tecnologias, produtos e serviços
sufocam a inovação, quando a privacidade é abordada propositadamente em
novos processos e produtos inovadores, ela torna-se um vetor de crescimento de
inovação. A privacidade não deve ser vista apenas como um diferencial, ou mais
um requisito a ser cumprido, mas sim uma exigência padrão para qualquer nova
tecnologia ou serviço que envolva dados pessoais.
Considerando-se o cenário atual, torna-se prioritário que as PMEs entendam
os critérios de aplicação da lei e suas sanções para que possam se planejar
estrategicamente ao enfrentar este desafio, lembrando que a LGPD se aplica a
qualquer pessoa física ou jurídica, empresa pública ou privada, que realiza
processos de tratamento de dados pessoais, ou seja, exerça atividades em que se
utilizem dados (coleta, armazenamento, compartilhamento, exclusão, etc.) e tem
escopo extraterritorial, ou seja, aplica-se aos dado de indivíduos brasileiros,
independentemente de onde a empresa esteja sediada.
Figura 18: Aplicação da LGPD
✓ X
Quando houver oferta de bens e serviços Quando o uso dos dados for pessoal, não
para indivíduos no Brasil comercial, para fins jornalísticos,
acadêmicos, segurança pública
1. Avaliar a quantidade e quais gases estão sendo emitidos pela empresa de forma direta e
indireta (inventário de emissões de GEE) e metas para reduzir ou mitigar (além do CO2
também existem outras formas de poluição, como óxido de nitrogênio, óxido de enxofre,
metano, pesticidas, fertilizantes);
2. Determinar a dependência das empresas de combustíveis fósseis e as iniciativas tomadas
para fazer a transição para uma economia de baixo carbono;
3. Verificar a eficiência das empresas no uso da energia e das fontes de energia utilizadas;
4. Analisar a quantidade e a forma como as empresas destinam seus resíduos (resíduos tóxicos
nos setores produtivos e em fim de vida do produto e sua embalagem nos setores que se
encontram no final da cadeia) e quais são suas políticas de reciclagem;
5. Investigar a dependência das empresas de produtos escassos (especialmente minerais) ou
produtos regulamentados;
6. Verificar, caso haja descarte de água, se ela é tratada antes do descarte, se a empresa está
preservando rios e nascentes localizados em suas terras; e
7. Entender qual o impacto do desmatamento, contaminação do solo e erosão.
231 A Comissão de Valores Mobiliários (CVM) é uma entidade autárquica, em regime especial, vinculada
ao Ministério da Fazenda, criada pela Lei nº 6.385, de 07 de dezembro de 1976, com a finalidade de
disciplinar, fiscalizar e desenvolver o mercado de valores mobiliários.
232 B2B é a abreviação de Business to Business, ou seja, de empresa para empresa. Dentro dessa
modalidade, as operações comerciais ocorrem por meio da venda de produtos ou serviços de uma pessoa
jurídica para outra. Assim, quando uma empresa de confecção de roupas vende produtos para uma loja,
ela realiza uma operação dentro do modelo B2B, ou seja, atacado.
233 B2C significa Business to Consumer, ou seja, de empresa para consumidor. Aqui, a consumação das
operações sempre envolve uma pessoa jurídica e um consumidor pessoa física. Seguindo o exemplo
acima, quando uma loja de roupas vende para o consumidor, ela atua dentro de um modelo B2C, ou
melhor, varejista.
234 Existe uma vertente de executivos que sugere que um único modelo deveria existir, o B2I, ou seja, o
Business for individual, ou seja, que toda a empresa possui um cliente no final da cadeia e deve tomar
todos os cuidados possíveis para manter esse relacionamento de forma íntegra. (Peter Schwartz: The Art
of the Long View: Planning for the Future in an Uncertain World).
235 C2C significa Customer to Customer, ou seja, de consumidor para consumidor. Nessa categoria, ficam
as empresas que viabilizam plataformas com pessoas físicas em ambas as pontas. Por exemplo, um site
que permita a venda de roupas usadas por pessoas físicas diretamente para compradores pessoas físicas.
236 Com o advento de plataformas digitais, criou-se um conceito híbrido, o B2B2C, Business to Business to
Consumer, ou seja, uma operação comercial de uma pessoa jurídica para uma pessoa física, mas com a
intermediação de outra pessoa jurídica. Esse modelo é muito utilizado em negócios que usam a venda
pela internet, por exemplo, muito conhecido como marketplace.
237 D2C significa Digital to Consumer, ou seja, do digital para o consumidor. Modalidade em que os
fabricantes (as indústrias) comercializam seus produtos diretamente para o usuário, sem a necessidade de
utilizar as revendas e os distribuidores para isso.
238 Disponível em: <https://lec.com.br/blog/cresce-o-Compliance-nas-pequenas-emedias-empresas/>.
Acesso em: 20 dez 2020.
239 “O fornecedor ou fabricante que causa dano ao consumidor só se exime da responsabilidade quando
consegue provar que não colocou o produto no mercado, ou que, embora tenha colocado, este não possui
defeito que o torne impróprio para uso ou, ainda, que a culpa é exclusiva do consumidor ou de terceiro.”
(parágrafo 3º do artigo 12 do Código do Consumidor).
240 Disponível em: <https://lec.com.br/blog/cresce-o-Compliance-nas-pequenas-emedias-empresas/>.
Acesso em: 20 dez. 2020.
241 RJ e DF, dentre outros municípios, também possuem legislações semelhantes.
242 Mapa de priorização de riscos de compliance, também chamado de mapa de calor.
243 Disponível em: <https://hbrbr.com.br/quando-os-fundadores-passam-dos-limites/>. e
<https://www.beCompliance.net.br/ex-diretor-da-uber-que-encobriu-ataques-hackers-pode-pegar-oito-
anos-de-prisao>. Ambos acessados em: 20 dez. 2020.
244 Disponível em: <https://canaltech.com.br/startup/startup-medica-theranos-fecha-as-portas-apos-
descoberta-de-fraude-
121898/#:~:text=J%C3%A1%20em%20mar%C3%A7o%20deste%20ano,o%20fim%20de%20sua%20carreira
Acesso em: 20 dez. 2020.
245 KPI é uma métrica altamente relevante para a mensuração do desempenho de uma estratégia e de
processos de gestão. O Key Performance Indicator também pode ser conhecido como: Indicador-Chave
de Desempenho
246 Produto mínimo viável (MVP) é um conceito do Lean Startup que enfatiza o impacto do aprendizado
no desenvolvimento de novos produtos. Eric Ries definiu um MVP como a versão de um novo produto
que permite a uma equipe coletar o máximo de aprendizado validado sobre os clientes com o mínimo
esforço. Esse aprendizado validado vem na forma de saber se seus clientes realmente comprarão o seu
produto.
247 Disponível em: <https://conhecimento.ibgc.org.br/Paginas/Publicacao.aspx?PubId=24050>. Acesso
em: 20 dez. 2020.
248 Não concorrência, ou non compete, é uma cláusula contratual que visa impedir que um colaborador, ou
fundador que saiu de uma empresa, seja contratado por uma concorrente direta ou, ainda, comece um
negócio novo com a intenção de competir diretamente com a empresa em que trabalhava.
249 Accountability é quando um indivíduo ou departamento sofre consequências para seu desempenho ou
ações. A responsabilidade é essencial para uma organização e para uma sociedade. Sem isso, é difícil
fazer com que as pessoas assumam a responsabilidade por suas próprias ações, porque acreditam que não
enfrentarão quaisquer consequências. Disponível em:
<https://www.investopedia.com/terms/a/accountability.asp>. Acesso em: 20 dez. 2020.
250 Pivotar é mudar de modelos de negócios ou áreas de atividade. O termo pivoting foi introduzido por
Eric Ries na publicação, em 2011, de seu livro The Lean Startup.
251 O Regulamento Geral de Proteção de Dados (UE) 2016/679 (GDPR) é um regulamento da legislação
da UE sobre proteção de dados e privacidade na União Europeia (UE) e no Espaço Econômico Europeu
(EEE). Também aborda a transferência de dados pessoais para fora das áreas da UE e do EEE. O objetivo
principal do GDPR é dar aos indivíduos o controle sobre seus dados pessoais e simplificar o ambiente
regulatório para negócios internacionais, unificando a regulação dentro da UE.
252 A Lei de Proteção de Informações Pessoais da África do Sul (POPIA) entrou em vigor em 1º de julho
de 2020 com um período de carência de exatamente um ano. As organizações que já estão em
conformidade com o GDPR certamente terão uma vantagem inicial para tornarem-se compatíveis com o
POPIA, mas os dois regulamentos não são idênticos. Em alguns aspectos, o GDPR é mais rígido do que
o POPIA, enquanto, em outras situações, ocorre o oposto. Por exemplo, o GDPR tem certas isenções
para PMEs, como os requisitos para ter um oficial de proteção de dados dedicado e manutenção de
registros, enquanto o POPIA se aplica a todas as empresas, independentemente do tamanho. Por outro
lado, o GDPR tem requisitos que regem o direito ao esquecimento e a portabilidade dos dados, enquanto
o POPIA não. Por fim, no que diz respeito às penalidades por incumprimento, os dois regulamentos são
bastante diferentes e a questão de “o que é pior” depende da sua perspectiva. O GDPR tem multas
significativamente mais altas (a multa mais alta para o POPIA é de 10 milhões de ZAR ou cerca de
500.000 euros), mas sem acusações criminais, enquanto o POPIA inclui acusações criminais.
253 Com algumas exceções, como a África do Sul.
254 Sobre este tema, veja que o direito ao apagamento, conforme descrito na legislação brasileira, é
diferente do direito ao esquecimento da legislação europeia. A questão gira em torno do termo
“esquecimento” que parece tratar do dever de remoção de conteúdo ilícito na internet, assunto passível
de discussão no processo que trata da constitucionalidade do artigo 19 do Marco Civil da Internet (MCI).
Admitir um direito ao esquecimento, pode ser visto como “uma restrição excessiva às liberdades de
expressão e de manifestação de pensamento dos autores e ao direito que todo cidadão tem de se manter
informado a respeito de fatos relevantes da história social.” Voto do Excelentíssimo Ministro Dias
Toffoli. Disponível em: <https://www.jota.info/coberturas-especiais/liberdade-de-expressao/direito-ao-
esquecimento-e-incompativel-com-a-constituicao-afirma-dias-toffoli-04022021?
utm_campaign=jota_info__ultimas_noticias__destaques__04022021&utm_medium=email&utm_source=RD+Station
Acesso em: 20 dez. 2020.
255 Texto da carta anual de 2021 do Larry Fink, CEO de um dos fundos de Private Equity de maior sucesso
global, mostrando que as empresas atualmente possuem uma função social que transcende o conceito
individualista: “Acreditamos que todos os investidores, junto com reguladores, seguradoras e o público,
precisam de uma imagem mais clara de como as empresas estão gerenciando as questões relacionadas à
sustentabilidade. Esses dados devem se estender além do clima para questões sobre como cada empresa
atende seu conjunto completo de partes interessadas, como a diversidade de sua força de trabalho, a
sustentabilidade de sua cadeia de suprimentos ou quão bem ela protege os dados de seus clientes. As
perspectivas de crescimento de cada empresa são inextricáveis de sua capacidade de operar de forma
sustentável e atender a todo o conjunto de interessados. A importância de servir as partes interessadas e
abraçar o propósito está se tornando cada vez mais central para a forma como as empresas entendem seu
papel na sociedade. Disponível em: <https://www.blackrock.com/corporate/investor-relations/larry-fink-
ceo-letter>. Acesso em: 20 dez. 2020.
256 Em um estudo MSCI de 2017, Foundations of ESG Investing, que examinou o impacto do ESG nas
avaliações, risco e desempenho de 1.600 ações globalmente e vantagens potenciais para empresas com
bom envolvimento ESG, os resultados mostraram que as empresas que aderem aos princípios ESG
podem, em geral, ser mais competitivas, gerando maior fluxo de caixa e maior lucratividade e pagamento
de dividendos.
257 A conclusão é de uma pesquisa do Global Network of Directors Institutes (GNDI), grupo que congrega
22 institutos de governança ao redor do mundo. No Brasil, o GNDI é representado pelo Instituto
Brasileiro de Governança Corporativa (IBGC), principal instituição de fomento às boas práticas de
governança do país.
258 Larry Fink, CEO da BlackRock, um dos maiores fundos de investimento globais, em sua carta de 2019
aos CEOs. Disponível em: <https://www.blackrock.com/americas-offshore/en/2019-larry-fink-ceo-
letter>. Acesso em: 20 dez. 2020.