Curso Online:

Gestão e Auditoria em
Serviços de Saúde
Origem e evolução histórica do compliance........................................................2

Sistemas de gestão de compliance e antissuborno............................................4

Normas anticorrupção, antissuborno e compliance público................................6

Risk assessment e o papel da auditoria e da controladoria................................9

Política, cultura e pilares do compliance............................................................12

Código de ética e programas de integridade.....................................................14

Funções do compliance officer e comprometimento da alta direção.................16

Risk assessment, análise e controle de riscos..................................................18

Referências bibliográficas..................................................................................22

1
 ORIGEM E EVOLUÇÃO HISTÓRICA DO COMPLIANCE

No âmbito institucional e corporativo, compliance é o conjunto de disciplinas a

fim de cumprir e se fazer cumprir as normas legais e regulamentares, as
políticas e as diretrizes estabelecidas para o negócio e para as atividades
da instituição ou empresa, bem como evitar, detectar e tratar quaisquer desvios
ou inconformidades que possam ocorrer.

O termo compliance tem origem no verbo em inglês to comply, que significa

agir de acordo com uma regra, uma instrução interna, um comando ou um
pedido.

A ideia de programas de Compliance tem origens nos Estados Unidos, e pode

ser datada na virada do século XX, quando as agências
reguladoras começaram a emergir. Em 1906, com a promulgação do Food and
Drug Act e a criação do FDA, o governo norte-americano criou um modelo de
fiscalização centralizado, como forma de regular determinadas atividades
relacionadas à saúde alimentar e ao comércio de medicamentos.

Porém, foi devido às instituições financeiras que o compliance avançou. Em

1913, foi criado o Federal Reserve System (Banco Central dos EUA), o qual
teve como objetivo a criação de um sistema financeiro mais estável, seguro e
adequado às leis.

Em 1977, foi promulgado o FCPA (Foreign Corrupt Practices Act), a lei

anticorrupção transnacional norte-americana, obrigando as empresas a (a)
manter livros e registros que reflitam precisamente as suas transações e a (b)
estabelecer um sistema adequado de controles internos.

Na década seguinte, após um escândalo envolvendo a indústria de defesa, 32

empresas do setor criaram voluntariamente a DII (Iniciativa da Indústria de
Defesa), que estabeleceu um conjunto de princípios para práticas empresariais
éticas e de boa conduta.

Em 1991, a Comissão de Penas dos EUA publicou o documento Diretrizes

Federais para a Condenação de Organizações, articulando os elementos
específicos de um programa de Compliance e ética eficiente. Segundo esse

2
documento, as empresas que apresentarem tais programas terão penas mais
brandas.

O termo compliance saiu do meio universitário para ganhar as páginas de

jornais e marcar presença em reuniões de empresas. Em tempos de operações
da Polícia Federal, delações premiadas e combate à corrupção, muitas
companhias passaram a se preocupar com este e outros conceitos. Embora o
termo seja relacionado, especialmente pela imprensa, às leis e normas
anticorrupção, a abrangência dele é maior.

Compliance é o conjunto de medidas e procedimentos com o objetivo de evitar,

detectar e remediar a ocorrência de irregularidades, fraudes e corrupção.
Adotar posturas éticas está entre as principais preocupações de uma
corporação que almeja o sucesso, seja uma empresa privada, de capital aberto
ou até mesmo instituições associativas. Nos últimos anos, temos visto até
mesmo partidos políticos preocupados com a questão de compliance.

A lei brasileira define a responsabilidade da pessoa jurídica por atos contra a

administração pública. Tais atos incluem oferecer vantagem a agentes
públicos, financiar ou custear a prática de atos ilícitos, e ocultar interesses ou a
identidade dos beneficiários destes atos. A lei anticorrupção também define
penalidades, como a perda de bens, suspensão de atividades, proibição de
receber incentivos e doações, entre outras.

A equipe de compliance deve voltar aos conceitos de governança corporativa e

avaliar os valores e a conduta da empresa. É preciso cruzar as informações do
Código de Conduta com os demais instrumentos de governança, criando
ferramentas de monitoramento, de avaliação e de controle para não perder de
vista os possíveis riscos e conflitos de interesse. Também é preciso criar
políticas escritas, fazer inspeções e testes, oferecer treinamentos. Ações
disciplinares são fundamentais para que práticas irregulares sejam
identificadas e punidas de imediato, evitando que tomem proporções maiores e
ameacem a reputação da companhia.

Após um período de monitoramento e a partir de informações obtidas, o time

de compliance é capaz de avaliar riscos e adotar medidas cabíveis. Se a
empresa está firmando contratos de alto risco de corrupção, por exemplo, pode
ser necessário intensificar ações de monitoramento e incluir novas práticas no
Código de Conduta.

3
 SISTEMAS DE GESTÃO DE COMPLIANCE E ANTISSUBORNO

Devido ao número crescente de regulações, os Programas de Compliance de

uma instituição podem abranger inúmeros temas, zelando pelo cumprimento de
normas derivadas de diversas áreas do Direito, como antilavagem de
dinheiro, controle de exportações, Direito Ambiental e sanções econômicas.

Por força da Lei nº 12.683/12, que alterou a Lei de Lavagem de Dinheiro (Lei nº
9.613), determinadas pessoas jurídicas "deverão adotar políticas,
procedimentos e controles internos, compatíveis com seu porte e volume de
operações, que lhes permitam atender ao disposto neste artigo e no art. 11, na
forma disciplinada pelos órgãos competentes", ou seja, um programa de
Compliance Antilavagem.

"O citado artigo determina a comunicação ao Conselho de Controle de

Atividades Financeiras (COAF) o nome de qualquer pessoa, no prazo de 24
horas, que formule proposta ou realize transações em moeda nacional ou
estrangeira, títulos e valores mobiliários, títulos de crédito, metais e qualquer
ativo passível de ser convertido em dinheiro que ultrapassar limite fixado pela
Autoridade competente e nos termos das instruções por elas expedidas. As
empresas identificarão seus clientes e manterão cadastro atualizado, devendo,
porem, preservar o sigilo das informações prestadas".

A norma NBR 19600:2014, popularmente conhecida como ISO Compliance,

recomenda, no item 8.2, que a organização, ao implementar seu Sistema de
Gestão de Compliance, estabeleça marcos de controle interno para gerir
obrigações e os riscos a elas inerentes, visando, com isto, alcançar o
comportamento desejado por gestores, líderes, colaboradores, parceiros,
fornecedores e demais partes interessadas no negócio.

A norma faz alusão, portanto, aos famosos controles internos, os quais podem
ser definidos como a conjunção bem sucedida de pessoas e ferramentas,
formando um ambiente em que todos sabem o que fazer, por que fazer e como
fazer, atentando aos limites e responsabilidades de suas competências
técnicas.

Publicada em dezembro de 2014, a ISO 19600, estabelece as diretrizes

do sistema de gestão de compliance e foi embasada nos padrões

4
internacionais mais rigorosos, além de uma norma já existente na Austrália (AS
8306), país responsável pelo seu desenvolvimento.

A norma internacional dispõe de instruções para o estabelecimento,

desenvolvimento, implementação, avaliação, manutenção e melhoria
do sistema de gestão da conformidade, visando garantir eficiência dentro da
corporação.

Baseia-se também, nos princípios da boa governança, proporcionalidade,

transparência e sustentabilidade, sendo aplicáveis a empresas de qualquer
porte, desde que observadas sua estrutura, natureza e complexidade, para
garantir que sua essência seja preservada, tendo em vista que a norma foi
gerada com o intuito de orientar e não de certificar, possibilitando que as
organizações criem um sistema de gestão para atender apenas suas
necessidades dentro de suas possibilidades.

Para se falar de Política Antissuborno é importante definir o que é uma política.

Política é algo que orienta, que guia a forma como organização é conduzida.

É a arte ou ciência da direção.

A Política Antissuborno é um dos documentos exigidos na ABNT NBR ISO

37001:2017 Sistema de Gestão Antissuborno. Assim como o Sistema de
Gestão da Qualidade exige uma Política de Qualidade, a Antissuborno exige
uma Política Antissuborno. Em ambos os casos, a Alta Direção é responsável
por prover os recursos e manter a política da organização.

A Política Antissuborno deve estar disponível de forma documentada e seu

acesso deve ser garantido a todos da organização. Entende-se “todos” como
as partes interessadas. Parceiros de negócio e fornecedores são um exemplo
de partes interessadas.

5
NORMAS ANTICORRUPÇÃO, ANTISSUBORNO E COMPLIANCE PÚBLICO

Em junho de 2009, a CGU e o Instituto Ethos publicaram o documento "A

Responsabilidade Social das Empresas no Combate à Corrupção", o primeiro
guia brasileiro para orientar as ações das empresas que se preocupam em
contribuir para a construção de um ambiente íntegro e de combate à corrupção.

O primeiro diploma legal brasileiro a regulamentar programas de Compliance

foi a Lei nº 12.846/2013 (Lei da Empresa Limpa), estabelecendo
a responsabilidade objetiva de pessoas jurídicas pela prática de atos contra a
Administração Pública, com multas no valor de até 20% de seu faturamento
bruto anual. O decreto nº 8.420/2015, que regulamenta a lei, estipula que as
pessoas jurídicas que possuírem e aplicarem um programas de
integridade poderão receber até 20% de desconto no valor da multa.

Em abril de 2015, a CGU, através da Portaria CGU nº 909/2015, definiu

critérios para avaliação dos programas de integridade das empresas como
requisito para concessão de redução no valor da multa, estabelecendo três
faces de análise no cumprimento dos requisitos. Inicialmente, a empresa
deverá comprovar que o programa de integridade foi construído de acordo com
o seu tamanho, perfil de atuação e posicionamento no mercado. Também
deverá ficar comprovado o histórico de aplicação do programa com resultados
alcançados anteriormente na prevenção de atos lesivos. A terceira linha de
avaliação será a demonstração de que o programa foi aplicado no próprio ato
lesivo em questão, tendo funcionado como prevenção contra um dano maior ou
na reparação do prejuízo causado.

O Despacho Aduaneiro Expresso - Linha Azul é um procedimento especial de

facilitação aduaneira, criado pela Receita Federal do Brasil que consiste no
tratamento de despacho aduaneiro expresso nas operações de importação,
exportação e trânsito aduaneiro, mediante habilitação prévia da empresa
interessada junto à Receita Federal.

A habilitação é concedida a empresa que possua os requisitos e condições

estabelecidos nas normas da Receita Federal do Brasil, que adote os
procedimentos que demonstrem a qualidade de seus controles internos que

6
visam o cumprimento das obrigações tributárias e aduaneiras e permitam o
monitoramento permanente pela fiscalização aduaneira.

Atualmente a Linha Azul baseia-se na exigência da empresa demonstrar a

qualidade na gestão das suas atividades de comércio exterior, efetuando
regularmente auditorias internas para monitoramento desta qualidade, além de
possuir um controle corporativo informatizado, integrado à contabilidade, para
controle dos estoques de mercadorias nacionais, de procedência estrangeira e
as destinadas à exportação. Em contrapartida a estas exigências, o beneficiário
da Linha Azul obtém da Receita Federal a aplicação de "Despacho Aduaneiro
Expresso" que consiste na adoção de procedimentos especiais que facilitam e
agilizam os trâmites relacionados às suas operações de comércio exterior,
realizadas em qualquer lugar do território nacional.

A ISO 37001 Sistemas de gestão antissuborno - Requisitos com orientação de

uso, é uma norma de sistema de gestão publicada pela International
Organization for Standardization (ISO) em 2016. Como o título sugere, esta
norma estabelece os requisitos para o estabelecimento, implementação,
operação, manutenção e melhoria contínua de um sistema de gestão
antissuborno (ABMS). Ele também fornece orientação sobre as ações e
abordagens que as organizações podem adotar para cumprir os requisitos
desta norma.

Este padrão de sistema de gerenciamento foi desenvolvido pelo ISO Project

Committee ISO / PC 278, Anti-subibery management systems. Mais
recentemente, o comitê técnico ISO / TC 309 Governança de organizações foi
criado e a manutenção e o futuro desenvolvimento da ISO 37001 serão
realizados pelos membros deste comitê.

Um sistema de gestão antissuborno visa auxiliar as organizações no combate

ao suborno, estabelecendo procedimentos, políticas e controles que ajudem a
fomentar uma cultura de integridade, transparência e compliance.

A ISO 37001 é aplicável apenas ao suborno, e o ABMS tem como objetivo

melhorar a capacidade da organização de prevenir, detectar e responder ao
suborno e cumprir as leis antissuborno e os compromissos que a organização
teve de cumprir. Além disso, a ISO 37001 não trata especificamente de fraude,
cartéis, lavagem de dinheiro ou outras atividades relacionadas a práticas
corruptas.

O sistema de gestão antissuborno pode ser um sistema autônomo ou integrado

a um sistema de gestão já implementado, como o Sistema de Gestão da
Qualidade ISO 9001. Uma organização pode optar por implementar o sistema

7
de gestão antissuborno em conjunto ou como parte de outros sistemas , como
os relativos à qualidade, meio ambiente e segurança.

No Brasil, nos últimos anos, notou-se que fomentar uma postura íntegra do
corpo funcional promove impactos positivos tendentes a perdurar no ambiente
organizacional, impactando na construção de relacionamentos mais saudáveis,
ganho de eficiência, produtividade e aumento da credibilidade da instituição.

Tem-se que a integridade começou como prática gerencial no setor privado. A

partir da década de 1970 o debate em torno da ética empresarial ganhou muita
força e, ao longo dos anos, consolidou-se a ideia de que o comportamento
íntegro de uma empresa reforça sua boa imagem no mercado, o que
representa vantagem competitiva.

A Constituição Federal elencou, em seu artigo 37, caput, os princípios regentes

da Administração Pública, quais sejam, legalidade, impessoalidade,
moralidade, publicidade e eficiência. Tomadas em conjunto, essas máximas
acabam por prescrever uma atuação íntegra por parte da administração
pública.

Este trabalho consiste avaliar as medidas de integridade e compliance

adotadas pela administração pública, especialmente no que tange à Lei
12.846/13, tendo em vista que diversas dessas medidas dialogam com o direito
administrativo sancionador, tendo ainda o escopo de promover uma gestão
mais ética e eficiente, em respeito aos preceitos constitucionais que devem
direcionar a atuação dos administradores na gestão da coisa pública.

As ações de integridade e compliance aplicáveis a administração pública em

geral, especialmente no que tange à Lei 12.846/13, em especial:

Demonstrar as ações de integridade aplicáveis aos entes públicos;

Levantar a legislação e instrumentos existentes;

Avaliar os desdobramentos dos programas de integridade e ações de

compliance em alguns Estados.

8
RISK ASSESSMENT E O PAPEL DA AUDITORIA E DA CONTROLADORIA

Compliance Intelligence (CI) ou Inteligência de Conformidade, é Atividade de

Inteligência aplicada ao Compliance, monitoramento de riscos e auditorias
preventivas da organização para exercício da atividade econômica em
conformidade com a lei. É um Programa de Integridade e Auditoria para
prevenção de corrupção, fraudes corporativas e inconformidades por meio da
coleta sistemática de informações no ambiente corporativo e no mercado. São
sistemas informatizados ou métodos de coleta de dados e informação
estratégica para a aplicação da lei, a fim de garantir a sustentabilidade do
negócio.

Empresas de Compliance & Mitigação de riscos como PwC, NICE Actimize,

Montax, THOMPSON e ICTS Protiviti, ou mesmo de Tecnologia da Informação
como a Oracle, utilizam serviços de Inteligência, recursos tecnológicos e
experiência em investigações corporativas para implementar programas de
integridade nas organizações.

Exemplo histórico de Inteligência de Conformidade era o "Informi Rosso"

(Relatório Vermelho) da Santa Aliança, o serviço secreto da Igreja Católica no
século XVI. Era um sistema simples de coleta de informações da rede de
espiões que depositavam pergaminhos em um vaso de bronze com denúncias
de heresia e ameaças do protestantismo inglês em expansão.

A integridade pública deve ser compreendida como “o conjunto de arranjos

institucionais que visam a fazer com que a Administração Pública não se
desvie de seu objetivo precípuo: entregar os resultados esperados pela
população de forma adequada, imparcial e eficiente”. Ou seja, uma instituição
íntegra é aquela que consegue manter, em todas as suas atividades, coerência
e conformidade com seus princípios e valores.

Se por um lado a persecução da integridade pública é um dever da

Administração, por outro, a sua efetivação é direito dos cidadãos, que exercem
controle social das políticas públicas, conforme estabelece a “Lei de
responsabilidade fiscal-LRF” (Lei Complementar nº 101/2000), aprimorada pela
“Lei da Transparência” (Lei Complementar nº 131/2009) e a “Lei de Acesso à
Informação” (Lei n°12.527/2011).

9
A regulamentação do artigo 7º, inciso VIII da Lei 12.846/13, por parte dos entes
públicos mostra-se eficaz para implementar a cultura de governança
corporativa de conformidade.

As Leis Lei 7.753/2017 (RJ) e Lei nº 6.112/2018 (DF) que estabelecem como
exigência para contratação pública (dispensável para participar da licitação)
com o ente federado, a implantação de um programa de integridade
(compliance).

Recentemente Pernambuco sancionou a Lei de Integridade nas Contratações

Públicas (16.722/2019), com objetivo de promover a política de integridade e
buscar prevenir a prática da corrupção.

Também temos o exemplo do Estado de Minas Gerais que através do Decreto

47.185/2017, dispôs sobre o Plano Mineiro de Promoção da Integridade.
Cumpre destacar que o Estado de Minas Gerais disponibiliza em um hotsite
todas as informações relativas ao PMPI.

Os programas de compliance, embora relativamente recentes no Brasil,

surgiram há mais de meio século nos Estados Unidos, mais precisamente, de
acordo com Gabardo e Castella (2015, p. 134), em 1950, através da criação
da Prudential Securities e da regulação, em 1960, da Securities and Exchange
Comission, na qual há menção expressa acerca da necessidade de
institucionalização de programas de compliance.

No plano internacional, a Organização para a Cooperação e Desenvolvimento

Econômico - OCDE tem desenvolvido uma agenda voltada para governança
pública e a Organização das Nações Unidas - ONU busca estabelecer
diretrizes para promover a integridade e a ética nos negócios.

A ISO 37001: 2016 adota a "Estrutura de alto nível ISO (HSL)" em 10 cláusulas
principais na seguinte divisão:

1 escopo

2 referências normativas

3 termos e definições

4 Contexto da organização

5 Liderança

6 Planejamento

7 suporte

10
8 operação

9 Avaliação de desempenho

10 Melhoria

O padrão trata apenas de sistemas de gerenciamento e não é um padrão

abrangente de anti-fraude ou anti-corrupção. Ele também contém uma grande
dose de subjetividade, já que muitos requisitos são qualificados por termos
como "apropriado" e "razoável". Portanto, o significado real e a relevância da
certificação ISO 37001 dependem em grande parte do rigor do organismo de
certificação.

Fabricantes e fornecedores de produtos e serviços contam com essa

certificação, incluindo a listagem no site do organismo de certificação, para
garantir a qualidade ao usuário final e que os fornecedores concorrentes estão
no mesmo nível. Além dos vários tipos de teste, as atividades de teste de
conformidade relacionadas incluem:

 Vigilância
 Inspeção
 Auditoria
 Certificação
 Acreditação

O teste de conformidade é aplicado em vários setores onde um produto ou

serviço deve atender a padrões específicos de qualidade e / ou
regulamentares. Isso inclui áreas como:

 prova de biocompatibilidade
 engenharia de protocolo de dados e comunicações
 engenharia de documentos
 engenharia eletrônica e elétrica
 prova de procedimento médico
 embalagem farmacêutica
 Engenharia de software
 construção civil (incêndio)

Em todos esses testes, o objeto do teste não é apenas a conformidade formal

em aspectos de integridade das provas arquivadas, validade dos certificados
referidos e qualificação da equipe operacional. Em vez disso, ele também se
concentra fortemente nas condições operacionais, físicas e ambientes de teste
aplicados. Por extensão, os testes de conformidade levam a um vasto conjunto
de documentos e arquivos que permitem reiterar todos os testes realizados.

11
 POLÍTICA, CULTURA E PILARES DO COMPLIANCE

Cada vez mais empresas brasileiras estão aderindo ao compliance. Isso

acontece tanto pela preocupação em estar de acordo com as leis quanto pelo
valor agregado ao negócio ao se adotar condutas éticas.

A lei anticorrupção brasileira demonstra ter contribuído para o amadurecimento

do compliance no Brasil. Todos esses casos de prisões e investigações que
estão sendo realizadas, com grande impacto político e econômico, também
ocupam um importante papel neste cenário.

Estude sobre a importância de se adotar medidas preventivas e punitivas em

relação a fraudes e comportamentos antiéticos.

Benefícios de um programa de compliance, como:

 aumento de controle sobres os riscos;

 identificação de fraudes;
 prevenção de assédios;
 aumento de credibilidade e a expansão de mercado.

Os pilares da compliance:

 Suporte da alta administração

 Avaliação de riscos
 Código de conduta e políticas de compliance
 Controles internos
 Treinamento e comunicação
 Canais de denúncia

12
  Investigações internas
 Due diligence
 Auditoria e monitoramento

As boas práticas de governança corporativa e compliance constituem um pilar

de sustentação para os nossos negócios. Nossa prioridade é atuar sempre
orientados pela ética, pela integridade e pela transparência.

A Diretoria de Governança e Conformidade é responsável por orientar e

promover a aplicação das normas, diretrizes e procedimentos de governança e
conformidade; coordenar a gestão de conformidade e dos controles internos
necessários, incluindo os aspectos de fraude e corrupção; acompanhar os
desdobramentos relativos ao canal de denúncias da companhia e assegurar o
reporte das violações identificadas e seus resultados à Diretoria Executiva e ao
Conselho de Administração.

Prevenção: visa identificar, avaliar e mitigar o risco de ocorrência de desvios

éticos.

Detecção: contempla mecanismos capazes de, tempestivamente, identificar e

interromper eventual desvio ético que porventura não tenha sido evitado pelas
ações de prevenção, possibilitando a responsabilização dos envolvidos.

Correção: estabelece a responsabilização e a penalidade aplicável a cada

caso de desvio ético comprovado, bem como possibilitar o aperfeiçoamento
das fragilidades que originaram o respectivo desvio e a recuperação de
eventuais prejuízos.

A natureza da cultura de uma organização é crucial para o sucesso ou falha de

um sistema de gestão (…).” De acordo com este trecho da Norma ABNT NBR
ISO 37001, a cultura de Compliance é tão importante e relevante que deve
influenciar a todos colaboradores e parceiros de negócio. A Alta Direção é
responsável por promover essa cultura e prover os recursos necessários.
Entende-se por cultura de Compliance o compromisso e envolvimento da
organização em aderir conceitos e normas de integridade, desde leis até
regulamentos internos.

13
 CÓDIGO DE ÉTICA E PROGRAMAS DE INTEGRIDADE

Cada organização é única, logo seus riscos de Compliance são específicos. A

melhor forma de lidar com riscos é através do seu mapeamento.

A Portaria CGU n° 1.089, de 2018, dispõe sobre a necessidade de expandir o

alcance do programa de integridade para as políticas públicas e para
fornecedores e organizações públicas ou privadas com as quais os órgãos e
entidades públicos mantenham relação.

Os empreendimentos não estão separados da sociedade, as mudanças de

rumo de um país e a implantação de novas leis também impactam as suas
ações. No Brasil, por exemplo, a Lei 12.846/2013, conhecida como Lei
Anticorrupção, abriu espaço para uma forma de Compliance mais específica,
voltada para implantação de medidas anticorrupção, o chamado Programa de
Integridade.

Este programa teve seu surgimento com o Decreto 8.420/2015, que

regulamentou a Lei Anticorrupção. Segundo o decreto, o Programa de
Integridade “consiste, no âmbito de uma pessoa jurídica, no conjunto de
mecanismos e procedimentos internos de integridade, auditoria e incentivo à
denúncia de irregularidades e na aplicação efetiva de códigos de ética e de
conduta, políticas e diretrizes com objetivo de detectar e sanar desvios,
fraudes, irregularidades e atos ilícitos praticados contra a administração
pública, nacional ou estrangeira.”

Integridade é uma qualidade, uma virtude de pessoas que atuam de forma

honrada e justa.

14
Para o sucesso do programa é necessário o desenvolvimento de cinco ações
ou pilares, que devem ser realizadas simultaneamente, de forma integrada.
Elas funcionam como os pilares de uma construção, em que quando não existe
um, a construção não para em pé.

São eles:

 Comprometimento e apoio da alta direção;

 Instância responsável;
 Análise de perfil e riscos;
 Estruturação das regras e instrumentos;
 Estratégias de monitoramento contínuo.

Política Anticorrupção: Criada a partir da edição da Lei Anticorrupção (lei nº

12.846/2013) e regulamentada em 2015, por meio do decreto nº 8.420/15. A
política estabelece regras de prevenção e correções.

Comprometimento e apoio da alta direção: é fundamental, para o sucesso do

programa, o apoio total daqueles que ocupam o topo da hierarquia da empresa.
Começa por eles a vivência de uma cultura ética, de respeito às leis e às
determinações do Programa de Integridade.

Instância Responsável: o programa necessita de um grupo de pessoas

voltadas para esta função, com total autonomia e independência para realizar
suas atividades, tendo acesso a todos os campos da empresa (inclusive os de
direção), sem deixar de contar com recursos humanos, materiais e financeiros.

Análise de perfil e riscos: a empresa precisa se entender, conhecer seus

processos e estrutura organizacional. Desta forma, pode realizar uma avaliação
de riscos ligada ao mercado no qual atua, mantendo um mapeamento periódico
destes.

Inovação para enfrentar problemas complexos e persistentes. Grandes

avanços só são possíveis com iniciativas inovadoras.

15
 FUNÇÕES DO COMPLIANCE OFFICER E COMPROMETIMENTO

DA ALTA DIREÇÃO

A chamada Lei Anticorrupção ou Lei da Empresa Limpa (Lei Federal nº

12.846/2013 e Decreto Federal nº 8.420/2015) estabeleceu uma série de
medidas para prevenir atos lesivos contra a administração pública. A legislação
representa um marco importante e orientador para as empresas se
relacionarem de forma ética e correta com o parceiro público no
desenvolvimento de suas atividades.

As diretrizes seguem um dos dez princípios universais do Pacto Global das

Nações Unidas (ONU) contra corrupção, segundo o qual “As empresas devem
combater a corrupção em todas as suas formas, inclusive extorsão e propina”.
Outros temas importantes também são abordados, como direitos humanos,
princípios e direitos fundamentais do trabalho, meio ambiente e
desenvolvimento.

O chief compliance officer ( CCO ) de uma empresa é o principal responsável

por supervisionar e gerenciar questões de conformidade regulatória dentro de
uma organização. O CCO geralmente se reporta ao CEO .

A função existe há muito tempo em empresas que operam em setores

altamente regulamentados, como serviços financeiros e saúde . Para outras
empresas, a onda de escândalos contábeis dos anos 2000 , a Lei Sarbanes-
Oxley e as recomendações das Diretrizes de Sentenciamento Federal dos
Estados Unidos levaram a nomeações adicionais de CCO.

O compliance officer é o profissional responsável por garantir que todos os

regulamentos internos e externos à empresa sejam cumpridos.

A palavra “compliance” vem do verbo em inglês “comply”, que significa

“cumprir”. Ou seja, é aquele que verificará o cumprimento das regras
estabelecidas por clientes, fornecedores e órgãos regulamentadores.

Sua principal função é criar e gerenciar um programa de integridade de uma

companhia, garantindo a ética na conduta da empresa. Essa responsabilidade

16
exige o conhecimento de questões jurídicas, portanto, é muito comum que
advogados ocupem essa função, seja como funcionário ou consultor externo.

Inicialmente, o profissional de compliance deve conhecer as atividades diárias

da empresa, seus funcionários e investigar a que tipo de situações de risco ela
está exposta, como, por exemplo, um risco financeiro. Isso faz com que o cargo
seja de confiança, exigindo atuação com a diretoria da empresa.

O CCO é responsável por gerir tecnicamente a legislação de um negócio, o

que exige autoridade. Mas ele não deve ser visto como um inimigo pela
empresa, ou seja, aquele que só sabe aplicar leis e não defende a companhia.

O termo compliance remete ao vocábulo “conformidade”. Conformidade essa

que está atrelada ao estrito cumprimento de normas internas e externas por
parte das organizações e de seus colaboradores, objetivando, assim,
assegurar a lisura e eficácia das operações, mitigar riscos e coibir desvios de
condutas que destoam dos padrões de conformidade.

Concomitantemente, o compliance tem o condão de fomentar e propagar a

cultura de integridade dentro da organização.

Para que se obtenha êxito no cumprimento dessa empreitada, faz-se

necessário implementar um robusto programa de compliance, o qual deve
ocupar uma posição-chave dentro da estrutura organizacional da empresa,
alinhando-se com seus diversos departamentos e contando, principalmente,
com o suporte da alta administração (tone at the top), norteada pelos princípios
da governança corporativa.

Apesar da recente disseminação no meio empresarial, o chief compliance

officer não é uma função nova. Considerando apenas as atribuições – e não o
título –, esse profissional surgiu em 1929, depois da quebra da bolsa de valores
de Nova York. “Começou a se tornar exigência que tudo o que era previsto em
lei e em regulamentos pudesse ser controlado e validado”.

17
 RISK ASSESSMENT, ANÁLISE E CONTROLE DE RISCOS

Para as atividades de Auditoria Interna e Compliance o Risk Assessment se

torna o grande norte para a execução do trabalho.

Obviamente existem centenas de livros, artigos e cursos para se ensinar como

se montar uma análise de riscos eficiente.

“Os riscos são fatos ou acontecimentos cuja probabilidade de ocorrência é

incerta. A transcendência do risco, no âmbito do controle interno, baseia-se na
sua provável manifestação e no impacto que pode causar na organização,
ameaçando a consecução dos objetivos da entidade”.

(escritor José Miguel de Aguilera Avalos em seu livro “Auditoria e gestão de

riscos” )

Em termos gerais, uma avaliação de risco é o esforço combinado de:

 identificar e analisar eventos potenciais (futuros) que podem impactar

negativamente os indivíduos, ativos e / ou o meio ambiente (isto é,
análise de risco); e
 fazer julgamentos "sobre a tolerabilidade do risco com base em uma
análise de risco" enquanto considera os fatores de influência (isto é,
avaliação de risco).

Em termos mais simples, uma avaliação de risco determina possíveis

acidentes, sua probabilidade e consequências e as tolerâncias para tais
eventos. Os resultados deste processo podem ser expressos de

18
forma quantitativa ou qualitativa. A avaliação de risco é uma parte inerente de
uma estratégia de gerenciamento de risco mais ampla para ajudar a eliminar
quaisquer consequências potenciais relacionadas ao risco.

A avaliação de risco também pode ser feita em uma escala de "sistemas" muito
maior, por exemplo, avaliando os riscos de uma usina nuclear (um sistema
mecânico, eletrônico, nuclear e humano complexo interativo) ou um furacão
(um sistema meteorológico e geográfico complexo). Os sistemas podem ser
definidos como lineares e não lineares (ou complexos), onde os sistemas
lineares são previsíveis e relativamente fáceis de entender, dada uma mudança
na entrada, e os sistemas não lineares, imprevisíveis quando as entradas são
alteradas. Como tal, as avaliações de risco de sistemas não lineares /
complexos tendem a ser mais desafiadoras.

Na engenharia de sistemas complexos, avaliações sofisticadas de risco são

frequentemente feitas na engenharia de segurança e engenharia de
confiabilidade quando se trata de ameaças à vida, ao meio ambiente ou ao
funcionamento da máquina. As indústrias agrícola, nuclear, aeroespacial,
petrolífera, ferroviária e militar têm uma longa história de lidar com avaliação de
risco. Além disso, médico, hospital, serviço social, e indústrias de alimentos
controlar os riscos e realizar avaliações de risco em uma base contínua. Os
métodos de avaliação de risco podem diferir entre os setores e se se referem a
decisões financeiras gerais ou avaliação de risco ambiental, ecológico ou de
saúde pública.

A rápida mudança tecnológica, o aumento da escala dos complexos industriais,

o aumento da integração do sistema, a competição de mercado e outros
fatores mostraram aumentar o risco para a sociedade nas últimas
décadas. Como tal, as avaliações de risco tornam-se cada vez mais críticas
para mitigar acidentes, melhorar a segurança e melhorar os resultados. A
avaliação de risco consiste em uma avaliação objetiva de risco em que as
premissas e incertezas são claramente consideradas e apresentadas. Isso
envolve a identificação do risco (o que pode acontecer e por quê), as
consequências potenciais, a probabilidade de ocorrência , a tolerabilidade ou
aceitabilidade do risco e as formas de mitigar ou reduzir a probabilidade do
risco. Idealmente, também envolve a documentação da avaliação de risco e
seus resultados, implementação de métodos de mitigação e revisão da
avaliação (ou plano de gerenciamento de risco), juntamente com atualizações
quando necessário. Às vezes, os riscos podem ser considerados aceitáveis, o
que significa que o risco "é compreendido e tolerado ... geralmente porque o
custo ou a dificuldade de implementar uma contramedida eficaz para a
vulnerabilidade associada excede a expectativa de perda."

19
Parte da dificuldade no gerenciamento de risco é que as quantidades em que a
avaliação de risco está envolvida - perda potencial e probabilidade de
ocorrência - podem ser muito difíceis de medir. A chance de erro na medição
desses dois conceitos é alta. O risco com uma grande perda potencial e uma
baixa probabilidade de ocorrência é frequentemente tratado de forma diferente
daquele com uma baixa perda potencial e uma alta probabilidade de
ocorrência. Em teoria, ambos têm prioridade quase igual, mas na prática pode
ser muito difícil administrar quando confrontado com a escassez de recursos -
especialmente de tempo - para conduzir o processo de gerenciamento de risco.

A Análise Dose-Resposta consiste em determinar a relação entre a dose e o

tipo de resposta adversa e / ou probabilidade ou incidência do efeito (avaliação
dose-resposta). A complexidade desta etapa em muitos contextos deriva
principalmente da necessidade de extrapolar os resultados de animais
experimentais (por exemplo , camundongo , rato ) para humanos e / ou de altas
para doses mais baixas, incluindo de níveis ocupacionais agudos altos a níveis
ambientais crônicos baixos. Além disso, as diferenças entre os indivíduos
devido à genética ou outros fatores significam que o perigo pode ser maior para
grupos específicos, chamados de populações suscetíveis. Uma alternativa para
a estimativa de dose-resposta é determinar uma concentração improvável de
produzir efeitos observáveis, ou seja, umsem concentração de efeito . No
desenvolvimento de tal dose, para levar em conta os efeitos amplamente
desconhecidos de extrapolações de animais para humanos, maior variabilidade
em humanos ou dados ausentes, uma abordagem prudente é frequentemente
adotada incluindo fatores de segurança ou incerteza na estimativa da dose
"segura", normalmente um fator de 10 para cada etapa desconhecida.

A Quantificação da Exposição , visa determinar a quantidade de um

contaminante (dose) que indivíduos e populações receberão, seja como nível
de contato (por exemplo, concentração no ar ambiente) ou como ingestão (por
exemplo, dose diária ingerida da água de beber). Isso é feito examinando os
resultados da disciplina de avaliação da exposição . Como diferentes locais,
estilos de vida e outros fatores provavelmente influenciam a quantidade de
contaminante que é recebida, uma faixa ou distribuição de valores possíveis é
gerada nesta etapa. Um cuidado especial é tomado para determinar a
exposição da (s) população (ões) suscetível (s).

Os resultados dessas etapas são combinados para produzir uma estimativa de

risco. Devido às diferentes suscetibilidades e exposições, esse risco varia
dentro de uma população. Uma análise de incerteza geralmente é incluída em
uma avaliação de risco à saúde.

20
Agradecemos por escolher a iEstudar.

Blog https://iestudar.com/blog/

Site https://iestudar.com/

21
Referências Bibliográficas

Wikipédia, a enciclopédia livre.Compliance.

Disponível em:

https://pt.wikipedia.org/wiki/Compliance

Geovana Donella.COMPLIANCE.

Disponível em:

https://capitalaberto.com.br/secoes/explicando/o-que-e-compliance/

QMS. Roberta Volpato. A importância dos Controles Internos em Sistemas de

Gestão de Compliance e Antissuborno.

Disponível em:

https://antissuborno.com.br/a-importancia-dos-controles-internos-em-sistemas-
de-gestao-de-compliance-e-antissuborno/

CBF Cargo.Sistema De Gestão de Compliance e Antissuborno.

Disponível em:

https://cbfcargo.com.br/iso37001-19600-sistema-de-gestao-de-compliance-e-
antissuborno/

RBNACONSULT. O QUE É POLÍTICA ANTISSUBORNO?

Disponível em:

https://rbnaconsult.com/o-que-e-politica-
antissuborno/#:~:text=%C3%89%20a%20arte%20ou%20ci%C3%AAncia,Antiss
uborno%20exige%20uma%20Pol%C3%ADtica%20Antissuborno.

22
Wikipédia, a enciclopédia livre. ISO 37001.

Disponível em:

https://en.wikipedia.org/wiki/ISO_37001

Conteúdo Jurídico. LARISSA SILVEIRA COSTA.

Disponível em:

https://conteudojuridico.com.br/consulta/artigos/54922/compliance-no-direito-
pblico

Wikipédia, a enciclopédia livre. Teste de conformidade.

Disponível em:

https://en.wikipedia.org/wiki/Conformance_testing

Redação LEC. [INFOGRÁFICO] OS 9 PILARES DE UM PROGRAMA DE

COMPLIANCE.

Disponível em:

https://lec.com.br/blog/os-9-pilares-de-um-programa-de-compliance/

Petrobras. COMPLIANCE, ÉTICA E TRANSPARÊNCIA.

Disponível em:

https://petrobras.com.br/pt/quem-somos/perfil/compliance-etica-e-
transparencia/?gclid=Cj0KCQjwtZH7BRDzARIsAGjbK2ZbJJ71r9XwMaGoFIj3q
2vqshsFjcZ2ySZud9Bvo9P9ZG7eUxG_hi0aAlwUEALw_wcB

RBNACONSULT.CULTURA DE COMPLIANCE – COMO PRATICAR NA SUA

EMPRESA.

Disponível em:

23
https://rbnaconsult.com/cultura-de-
compliance/#:~:text=A%20Alta%20Dire%C3%A7%C3%A3o%20%C3%A9%20r
espons%C3%A1vel,desde%20leis%20at%C3%A9%20regulamentos%20intern
os.

Ministério da Justiça e Segurança Pública. Portaria CGU n° 1.089.

Disponível em:

https://www.justica.gov.br/Acesso/governanca/integridade

AML. Lei 12.846/2013 e Decreto 8.420/2015.

Disponível em:

https://www.amlreputacional.com.br/editorial/voce-sabe-a-diferenca-entre-
programa-de-compliance-e-programa-de-
integridade/#:~:text=Segundo%20o%20decreto%2C%20o%20Programa,com%
20objetivo%20de%20detectar%20e

CAIXA. Integridade.

Disponível em:

http://www.caixa.gov.br/sobre-a-caixa/governanca-
corporativa/integridade/Paginas/default.aspx

Diretoria Viva Rio, 15/08/2017.Programa de Ética e Integridade do Viva Rio.

Disponível em:

http://vivario.org.br/

Wikipédia, a enciclopédia livre.Diretor de conformidade.

Disponível em:

https://en.wikipedia.org/wiki/Chief_compliance_officer

24
Content Team Direito Profissional.Confira agora as principais informações a
carreira de Compliance Officer.

Disponível em:

https://www.direitoprofissional.com/compliance-officer/

Consultor Jurídico. Nelson Kenzo Gonçalves Fujino. Advogado é profissional

adequado para a função de compliance officer.

Disponível em:

https://www.conjur.com.br/2019-jan-20/nelson-kenzo-advogado-compliance-
officer

Época Negócios. ARIANE ABDALLAH.

Disponível em:

https://epocanegocios.globo.com/Inspiracao/Carreira/noticia/2015/09/conheca-
o-chief-compliance-officer.html

Linkdin. Alexandre Simões, DPO. Desmistificando o Risk Assessment na

Auditoria Interna.

Disponível em:

https://www.linkedin.com/pulse/desmistificando-o-risk-assessment-na-auditoria-
interna-sim%C3%B5es

Wikipédia, a enciclopédia livre.Avaliação de risco.

Disponível em:

https://en.wikipedia.org/wiki/Risk_assessment

25