1

CRIMINAL COMPLIANCE
2

Sumário

INTRODUÇÃO ............................................................................................................3
COMPLIANCE E CRIMINAL COMPLIANCE...............................................................5
DESENVOLVIMENTO HISTÓRICO ............................................................................9
DEVERES DE COMPLIANCE................................................................................... 28
DOS PROGRAMAS DE COMPLIANCE .................................................................... 33
Prevenção, detecção e reação .................................................................................. 33
Pilares ....................................................................................................................... 37
Cultura do cumprimento e estabelecimento de objetivos empresariais (códigos de
ética e de conduta) .................................................................................................... 38
Avaliação e controle de riscos (risk assessment e due diligences) ........................... 41
Sistemas internos de comunicação ........................................................................... 45
Sistemas de supervisão e sanção ............................................................................. 46
REFERÊNCIAS ......................................................................................................... 48
3

INTRODUÇÃO

Vivemos uma era pós moderna marcada por uma sequência de eventos,
transformações e mudanças de pensamento e comportamento social acorrentados ao
ritmo acelerado do desenvolvimento da tecnologia, do capitalismo, das atividades
econômico- financeiras e da difusão de informações, oriundos do modelo globalizante.
Talvez nunca se viu uma alteração tão veloz de um quadro social em pouquíssimas
décadas que, por sinal, está longe de cessar.
Esse cenário aliado a outros fatores favoreceu o surgimento de uma nova
escala de antissocialismo que, à beira da criminalidade clássica, deram origem à
formação de uma criminalidade mais evoluída, capaz de extrapolar os limites do
território nacional, uma vez que se move por razões econômicas à nível global e
envolve a participação de pessoas jurídicas ou se serve de sua estrutura empresarial.
Com efeito, essa criminalidade se revela como macroeconômica, ante a sua extensa
lesão à ordem econômica que por seu turno se apresenta como um bem jurídico
supraindividual posto que engloba uma série de valores sociais.
Isso provocou profundamente o Direito Penal, pois até meados do século XXI
se ocupava da missão de combater uma criminalidade que se restringia a ofender
interesses individuais e agora precisa encontrar meios para responder a essa nova
realidade.
Enquanto isso, no mundo dos negócios, vem se destacando o compliance que
consiste em um instrumento administrativo de gestão que foi introduzido no esquema
de governança corporativa para que no ambiente interno das pessoas jurídicas, junto
ao gerenciamento de riscos, controladoria e auditoria, se construísse um modelo com
procedimentos e processos que permitisse afastar da empresa as condutas
indesejadas.
A preocupação das empresas com as condutas indesejadas é pela
potencialidade de desencadearem em crimes. O compliance é uma ferramenta que
auxilia a repeli-los, reduzindo a probabilidade de sua ocorrência no espaço
empresarial. Para tanto, desenvolve por meios preventivos toda uma estrutura
4

administrativa de gestão, em comunicação com outros setores da corporação, a partir

de um programa ou sistema de compliance onde nele é possível identificar não
somente a cultura da empresa como a sua construção em observância às normas do
ordenamento jurídico aplicadas ao segmento empresarial para evitar, justamente, que
suas atividades recaiam em delitos.
Com o compliance, caminha o tripé da prevenção, detecção e reação. Este
instrumento nasceu para prevenir, se empenhando em impedir o desvio de condutas
dentro de uma organização, evitando que cheguem perto de um delito; mas caso
encontre dificuldades para evitá-las, avistando a aproximação do delito, procura
investigá-las e remediá-las para, em tempo, conter o delito ou pelo menos minimizar
os riscos.
Nota-se, assim, que não se trata um sistema jurídico, mas uma estrutura
administrativa de gestão pertencente ao âmbito corporativo. No entanto, essa forma
como trabalha o compliance exerce uma grande influência na órbita jurídica e desperta
o interesse do Direito Penal, porque parte de uma análise ex ante do delito,
demonstrando sua vinculação a uma questão penal.
O criminal compliance, por assim dizer, se apresenta como uma proposta para
auxiliar o Direito Penal no enfrentamento da criminalidade econômica e na sua tarefa
de proteger efetivamente os bens jurídicos de natureza supraindividual. Constitui um
mecanismo político-criminal alicerçado a uma prevenção, disposto a otimizar no
âmbito corporativo a implementação de um sistema de organização eficiente que evite
a prática de condutas delitivas.
5

No Brasil, embora previsto formalmente em lei, ainda que timidamente, a

ausência de técnicas de incentivo para a implantação dos programas de compliance
pelas pessoas jurídicas coloca em dúvida a eficácia do instituto, sendo imprescindível
que o Direito Penal o traga para dentro de seu ordenamento jurídico.
Em nível ideal, o criminal compliance seria melhor trabalhado com um modelo
de responsabilidade penal da pessoa jurídica de modo que a culpabilidade fosse
auferida através dos programas de compliance, que poderia, inclusive, afastar ou
mitigar a responsabilidade criminal da empresa. Entretanto, o Brasil não adota a
responsabilidade penal da pessoa jurídica. Em última análise, o instituto ainda assim
desempenha um papel muito relevante frente à responsabilidade penal individual, mas
é fundamental encorajar as empresas a procederem com a sua implementação.
De se registrar, ainda, que o criminal compliance não é uma armadilha para as
corporações, pelo contrário, vem com boas intenções e soluções, trazendo apenas
benefícios para a empresa, o Estado e a sociedade.

COMPLIANCE E CRIMINAL COMPLIANCE

Compliance implica em um dever de cumprir, cujo termo provém do verbo

inglês to comply with, que significa cumprir, obedecer, respeitar, observar, executar,
praticar, aquilo que foi determinado, estabelecido, imposto.
O compliance, segundo Carla Rahal Benedetti, trata-se um instrumento de
controle da governança corporativa e tem dois aspectos: constitui um conjunto de
disciplinas adotadas pela empresa para cumprir as normas, políticas e diretrizes
fixadas para as suas atividades e serve de ferramenta para evitar, detectar e tratar
qualquer desvio ou inconformidade nela existentes.
6

Vicente Greco Filho e João Daniel Rassi explicam que o compliance, em termos
corporativos, exerce sua atividade de forma rotineira e constantemente está visando
e certificando se todos setores do negócio agem em consonância às regras que lhe
são aplicadas, o que o separa das auditorias, que são trabalhos aleatórios e
periódicos, e também do departamento jurídico, responsável por orientar, elaborar
contratos e documentos legais.
Isso revela que o compliance tem um caráter vigilante, pois verifica
regularmente se todos estão cumprindo a lei.
Complementando essa observação, Marcelo de Aguiar Coimbra e Vanessa
Alessi Manzi advertem que o compliance preserva a responsabilidade civil e criminal
dos empresários, pois reduz e previne erros de administração. Uma empresa que
impõe uma cultura de compliance para todos os colaboradores revela que existe
claramente um desejo pela prevenção de atos fraudulentos.
Em suma, resta muito claro que o compliance está vinculado à medidas de
controle que as corporações adotam para assegurar que as normas estão sendo
cumpridas com o intuito de evitarem o desvio de condutas que, eventualmente,
possam implicar em sua responsabilidade legal.
Com efeito, o compliance tem uma construção alicerçada à autorregulação, isto
é, sistemas de cumprimento normativo que se espelham em sistemas de controle
social empresarial, porque, do outro lado, no plano legal, existem várias hipóteses das
empresas serem sancionadas pelas esferas cível, administrativa e principalmente
7

penal. O compliance, portanto, é pensado para incrementar a capacidade

comunicativa da sanção nas relações econômicas, através da programação de um
conjunto de medidas e estratégias com fins preventivos para estimular a diminuição
do risco da atividade, evitando perigos futuros.
Nas palavras de Ulrich Sieber, os programas de compliance [...] criam
frequentemente uma corregulação estatal-privada, despertando interesse dessa
análise também nas fronteiras entre direito, teoria do direito, criminologia, sociologia
e economia. As transformações introduzidas pelos programas de compliance
encaminham questionamentos futuros fundamentais sobre a privatização da
prevenção criminal e do controle da criminalidade com sistemas autorreferenciais de
“autorregulação regulada” (regullerte Selbstregulierung). (2013, p.291).
Segundo Renato de Mello Jorge Silveira e Eduardo Saad-Diniz, à perspectiva
de Ulrich Sieber, estes programas de compliance trabalham com objetivos e valores
como risk managment (gerenciamento de risco) value management (gerenciamento
de valores), corporate governance (governança corporativa), business ethic (ética
negocial), intregity codes (códigos de integridade), codes of conduct (código de
conduta) e corporate social responsability (responsabilidade social corporativa), onde
é possível encontrar certa identidade conceitual nesses programas e as possíveis
combinação de seus elementos estruturais em torno de sistema de prevenção da
criminalidade econômica.
Adán Nieto Martín também afirma que os programas de compliance são
medidas de autorregulação, instrumentos de gestão implantados por grandes
empresas com o objetivo de se prevenirem da realização de comportamento ilícitos
em sua organização. Desse modo esses programas, por estratégias de política
criminal, poderiam ser aplicados também à outras organizações como as
administrações públicas com o fim de prevenir a corrupção de seus empregados e
dirigentes.
Logo, a estrutura do compliance guarda um aspecto penal porque é projetado
(à base da prevenção) para afastar da empresa as práticas ilícitas que possam
resultar a ela sanções, inclusive de cunho penal. Essa forma como pensa e trabalha
este instrumento de prevenção interessa ao Direito Penal, porque um de seus desafios
8

é encontrar mecanismos eficientes que possam auxiliar combate à criminalidade

econômica. O instituto criminal compliance, portanto, advém desta relação entre
compliance e Direito Penal.
No Brasil, até uma década atrás o compliance era visto apenas como parte da
implementação de boas práticas da Corporate Governance e pouco se ouvia sobre
criminal compliance. Embora o Direito Penal já se interessava pelo termo desde a
década de 90, não existia a sua exploração pelas ciências criminais ou um conceito
para a criminologia, razão pela qual, por muito tempo, permaneceu adormecido.
Entretanto, nos últimos anos o tema vem sendo bem explorado pela ciência
jurídico-penal brasileira mas ainda há muito que caminhar, ante sua própria
complexidade.
Explica Giovani A. Saavedra que o criminal compliance tem como principal
característica a "prevenção". Em sentido contrário ao Direito Penal tradicional que
trabalha com a análise ex post do crime, avaliando as condutas que já atingiram o
bem jurídico, o criminal compliance enfrenta o mesmo fenômeno a partir de uma
análise ex ante do crime. Assim, através de controles internos no âmbito empresarial,
procura evitar os diminuir riscos da persecução criminal.
Tem-se assim como ponto de partida que o criminal compliance parte da ideia
de um Direito Penal prospectivo, voltado para o futuro, que atua na prevenção por
meio de controles internos no ambiente empresarial, se antecipando à ocorrência de
um delito econômico.
Logo, o criminal compliance vai além de uma ferramenta de administração
interna das boas práticas da empresa, operando como instrumento de prevenção
criminal cujo fim é evitar a responsabilidade penal das pessoas jurídicas e de seus
gestores.
Segundo Carla Rahal Benedetti: Como instrumento de controle corporativo,
interno e externo, o Criminal Compliance atua de maneira ex ante, o que se quer dizer
preventivamente, com a elaboração de uma análise jurídica de todas as ações
pertinentes à atividade da empresa, tanto em relação aos profissionais e
trabalhadores atenuantes internamente, quanto em relação ao cliente/consumidor do
objeto ofertado/comercializado. (2012, p.88).
9

Por seu turno, Pierpaolo Cruz Bottini salienta que o criminal compliance dispõe
de um sistema de compliance estruturado, com normas de cuidado, consistindo em
um instrumento que protege a empresa e seus dirigentes da prática de crimes e da
colaborações com agentes criminosos, diminuindo os riscos de responsabilização
criminal e de corrosão perante a opinião pública.
Por fim, cumpre advertir que é difícil chegar a um conceito preciso do criminal
compliance ante a sua constante evolução, principalmente, nos últimos tempos.
Conforme se verá à frente, diversos países trabalham com o criminal compliance,
cada qual de uma maneira que entende apropriada conforme a sua realidade interna.
Caberia, assim, diversas interpretações sobre o instituto e nenhuma delas o
desqualifica. Existem países que o adotam dentro do ordenamento jurídico-penal e
outros fora dele, o que não significa nesse caso que esteja desvinculado de um
aspecto criminal e, por conseguinte, nos levando à conclusão equivocada de que o
correto seria dizer compliance e não criminal compliance.
Resumindo, o criminal compliance, atendendo à fins político-criminais, é um
mecanismo preventivo que se empenha em otimizar boas práticas no âmbito
corporativo e em afastar aquelas condutas que possam resultar em delitos, revelando
ser de grande auxílio para o Direito Penal no enfrentamento da criminalidade
econômica.

DESENVOLVIMENTO HISTÓRICO

Em linhas gerais, dois fatores marcam a origem e a evolução do criminal

compliance - a autorregulação regulada e a governança corporativa – que aliados à
preocupação mundial com o combate à criminalidade econômica e as diversas
legislações que foram criadas, propiciaram a passagem do compliance para o plano
jurídico, ligando-o a um aspecto penal, formando o criminal compliance.

Autorregulação regulada

É comum associar o compliance à uma prática empresarial de implantação de

10

cultura corporativa com o cumprimento de normas, mas já se observava seu uso no

ramo médico no que diz respeito ao paciente cumprir à risca a terapêutica indicada. A
ideia se disseminou pelo mundo dos negócios para caracterizar a adoção pelas
corporações de medidas internas que tenham por referência a observância à
parâmetros legais, de caráter ético e de política empresarial.
Inicialmente, importante salutar que os Estados Unidos da América foram os
primeiros a olharem atentamente para os crimes praticados no âmbito empresarial.
Preocupados com a bancarrota empresarial e os graves danos que poderiam ser
causados à sociedade, desenvolveram programas de compliance (compliance
programs), como forma de regulação para a prevenção da criminalidade econômica,
isso porque tais programas criam frequentemente uma corregulação estatal-privada.
Como bem explica Ulrich Sieber esses programas de compliance
representavam sistemas autorreferenciais de autorregulação regulada (enforced self-
regulation). Posteriormente, essa ideia se expandiu para Alemanha até em chegar em
toda Europa, tornando-se, inclusive, objeto de estudo pelo Direito Penal Econômico
Europeu.
Os programas de compliance se tornaram obras de regulação das empresas,
compreendendo uma multiplicidade de valores e finalidades. Os valores devem ser
acompanhados de comportamentos específicos e as finalidades cuidam de impedir
crimes como a corrupção, lavagem de dinheiro, terrorismo, sonegação de impostos,
entre outros. Seria dizer: “não queremos crimes dentro dessa empresa”.
O objetivo é manter a empresa distante da criminalidade e, por essa razão, o
programa observa atentamente as leis penais do país para não incorrer nelas.
Ademais, se organiza de acordo com a legislação vigente, procurando atender os
interesses dos parceiros comerciais e dos consumidores, os sociais (por exemplo,
legislação ambiental), cooperando com as finalidades do Estado, mas sem perder de
vista os interesses das empresas.
Desse modo, denomina-se autorregulação regulada porque as empresas têm
seu espaço de liberdade para se autorregularem (no caso, determinar o conteúdo de
seus programas de compliance conforme seus interesses), mas obrigatoriamente
devem se interagir com os sistemas de regulação elaborados pelas autoridades
11

estatais e pelo legislador que fixa algumas diretrizes, e até mesmo com regras fixadas
por grupos sociais interessados.
A autorregulação é um subsistema econômico autopoiético porque embora
internamente sua operativização seja fechada, cognitivamente está aberto, eis que se
conecta com a regulação estatal para se estruturar. Portanto, é de se notar que a
autorregulação regulada é o resultado da comunicação da autorregulação da empresa
com a regulação estatal.
Muito embora a autorregulação regulada se volta para a prevenção de crimes
econômicos, sua ideia emerge em meio a um quadro de crise financeira instalado nos
Estados Unidos da América, qual seja, a crise de 1929. À guisa de informação,
estudos desenvolvidos depois na Europa sobre a relação entre crimes empresariais e
as grandes crises financeiras, chegaram à conclusão que trata-se de um problema
político e agarrado ao Direito Penal do país, de acordo com sua conformação, sentido,
forma e medida em que o Estado se proponha a intervir ou não na economia.
Nos Estados Unidos da América, os serviços essenciais para a sociedade estão
mais concentrados no setor privado. Os setores do transporte, educação e saúde,
normalmente estão sob a responsabilidade de grandes empresas, o que demonstra
que exercem um papel essencial na vidas das pessoas e, naturalmente, influenciam
o mercado. Isso obriga uma transparência, uma supervisão da evolução da economia,
e a ideia da autorregulação regulada parecia se amoldar bem ao quadro.
Em tempos de liberalismo econômico, o Estado tem que ter um política
regulatória. Essa regulação estatal é justamente a tutela, a mão invisível, de proteção
de valores essenciais contra atos lesivos ao funcionamento autônomo do mercado.
Pelo programa de compliance, se auferia o grau de responsabilidade de uma
corporação, cuja avaliação era realizada pelas Guidelines for Sentencing
Organizations, porque o que se levava em conta é a sua efetividade, se realmente
trabalhava com a prevenção de prática de crimes. E, nessa questão, após a crise, sai
na frente os Estados Unidos ao pensar nesse modelo de regulação na livre
concorrência.
O compliance recebeu legalmente seu primeiro aspecto penal em 1991 através
das Guidelines for Organizations Offenders, baseado em uma estratégia conhecida
12

como Carrot and Stick Approach (técnica da cenoura e do pau), em que se reconhecia
a possibilidade de se aplicar uma sanção premial para a empresa que adotou um
programa de compliance efetivo, isto é, ver a sua responsabilidade penal atenuada.
Dito isso, extrai-se a conclusão de que a autorregulação regulada está ligada à
necessidade urgente de se combater a criminalidade econômica. Representa uma
forma pragmática do Estado reconhecer suas limitações, já que não detém
mecanismos eficazes para coibir os desvios econômicos, sejam penais ou não penais,
mas que se referem à ilícitos, transferindo, assim, parte de seu controle de fiscalização
para as próprias empresas privadas, sobre seus agentes, terceiros e outras empresas,
para que cooperem com Ele (Estado) na prevenção e repreensão de ilícitos
regulamentados na lei estatal. Em contrapartida, como reconhecimento pela
colaboração funcional das empresas, o Estado estabelece cláusulas legais excluindo
ou atenuando a responsabilidade penal das corporações que instituírem os programas
de compliance. Essa postura, por se dizer, inteligente, encerra com a dicotomia
intervenção estatal versus autorregulação das empresas.
Com efeito, convém ainda registrar que quando os crimes econômicos foram
notados no século XX, iniciou-se uma discussão sobre o alargamento do Direito Penal
para intervir no domínio econômico. Começou a ganhar corpo o Direito Penal
Econômico, do lado europeu, a Primeira Lei para a Luta contra a Criminalidade
Econômica na Alemanha em 1976 e um diploma regulamentando infrações
econômicas e, do lado estadunidense, o Foreign Corrupt Pratices Act em 1977. No
Brasil, com o projeto de lei nº 635/75 sobre as contravenções penais, entre elas, contra
a economia popular.
É de se consignar que na Europa vigia uma organização de Estado diferente
dos Estados Unidos. Após a Segunda Guerra Mundial, a Europa necessitava de
organização no Estado, cenário em que nasce o Estado social, para intervir, recompor
e regular a economia. Nessa época, a discussão sobre o Direito Penal Econômico
entrou junto com o Estado, entretanto, sob uma perspectiva social, surgindo os crimes
econômicos e fiscais ligados ao desenvolvimento e regulação social a partir do Estado
(por exemplo, uso do Direito Penal para cobrar os impostos) crimes destinados a
proteger os mais vulneráveis nas relações econômica (o trabalhador e o consumidor)
13

e, por fim, os crimes ambientais.

Na Europa, o intervencionismo estatal é total e todos os serviços públicos estão
concentrados totalmente na mão do Estado. Logo, as empresas privadas não são tão
grandes como nos Estados Unidos da América, porque a elas estão delegadas as
atividades menores.
Percebe-se, assim, uma significativa diferença entre a regulação dos Estados
Unidos e a regulação da Europa, não havendo uma sistematização da atividade
econômica a nível global.
Convém anotar também que em meio a esse quadro internacional, Ulrich Beck
observava em 1997 uma mudança na sociedade pós-moderna, que vivia sob o risco
e a insegurança, em decorrência do dinamismo da tecnologia, da internet e da
velocidade das informações e mercado, fruto dos efeitos explosivos de ordem
econômica e da globalização.
Em síntese, enquanto os Estados Unidos da América estava à frente com a
autorregulação regulada, a Europa seguia tímida, e no cenário mundial, ganhava
forma e força a criminalidade econômica, ultrapassando as fronteiras nacionais,
amadurecia o Direito Penal Econômico e algumas leis sobre o assunto, e uma
sociedade vivia sob o risco.
O criminal compliance de que já se assistia nos Estados Unidos da América na
década de 90, somente recebeu a devida atenção quando a Europa decidiu,
finalmente, intervir energicamente na economia e regular os mercados financeiros, ou
seja, proceder com a autorregulação regulada. A mudança de postura pela Europa se
deu em razão da crise financeira de 2008, tal como aconteceu com os Estados Unidos
na crise financeira de 1929.
A crise financeira de 2008 foi desencadeada pelos bancos que compraram os
chamados “títulos tóxicos”, valores ligados à hipotecas norte-americanas
subavaliadas. A origem da crise estava nos Estados Unidos da América quando se
aumentou incessantemente os preços dos imóveis, gerando uma bolha imobiliária,
pois as pessoas com baixa renda financeira não conseguiram honrar com o
pagamento. Os prestamistas procederam com a adoção de uma prática denominada
de subprime, proibindo a venda de tais cédulas hipotecárias àqueles que não
14

detinham condições financeiras, evitando as inadimplências, diminuindo os riscos

dessa operação.
A Europa percebeu que não existia regulação do mercado para empresas e
bancos, vivendo cada um por si. As dívidas foram afetando outros setores e se
alastrando por países europeus, afinal, era uma questão que envolvia a economia
internacional. Consequentemente, muitos gerentes de instituições financeiras foram
responsabilizados pela venda de serviços de forma desleixada, despreocupada com
os riscos.
A pergunta que se faz é se existem criminosos nesse contexto, porque as
pessoas envolvidas nas vendas desses créditos justificarem que suas atividades e
operações financeiras eram legais. De fato, é muito difícil para o Direito Penal entrar
na fronteira da legalidade e da ilegalidade, mas o que a Europa percebeu foi a
necessidade eminente de sistematizar o cenário global da atividade econômica.
Diante de riscos, é preciso a prevenção, não a repressão.
Pensou-se em um conjunto de estratégias partindo da prevenção como
ferramenta para se evitar delitos econômicos e aumentar a eficácia do Direito Penal,
denominado pelo continente europeu de programas de cumprimento. Aplicou-se
também a mesma técnica dos Estados Unidos da América, qual seja, a do pau e da
cenoura, em que as empresas poderiam ver sua responsabilidade penal excluída ou
atenuada se adotassem programas de cumprimento efetivos.
Os programas de cumprimento na Europa (que referem-se aos programas de
compliance nos Estados Unidos da América) estavam mais voltados para práticas
anticorrupção. Esta normação básica uniu alguns instrumentos que já existiam (mas
como dito, não foram levados a sério) como os standards anticorrupção, a soft law
recomendada pela OCDE em seu Good Practice Guidance on Internal Controles,
Ethics and Compliance, por ONGs e até pela Organização das Nações Unidas e o
Bribery Act assentado em 2010 que adverte sobre a possibilidade das empresas
serem responsabilizadas criminalmente se não contarem com medidas de
organização eficazes de prevenção de corrupção.
Conclui-se, assim, que o criminal compliance tem raízes na autorregulação
regulada. Ante o seu reconhecimento e aplicação nos Estados Unidos da América e,
15

recentemente pela Europa, embora em ascensão, demonstra ser uma tendência

mundial.

Governança corporativa

A evolução do compliance, sua notoriedade pelo mundo e sua implantação nas

práticas empresariais, são obras das grandes corporações, a começar pelas
americanas e inglesas, e merecem todas as congratulações, eis que o introduziram
em seus esquemas de governança corporativa.
O compliance consagrou-se como um pilar na governança corporativa e foi
ganhando forma e estrutura conforme se ampliava o número de empresas que o
adotavam e o aplicavam no exercício de suas atividades rotineiras. Vale constatar
que, hoje, os elementos ou itens que são sugeridos pela doutrina para a constituição
de um programa de compliance efetivo, são nada mais que colheitas da experiência
das empresas que implementaram e manusearam o compliance com as incursões
pertinentes para o aperfeiçoamento do instrumento.
A institucionalização da governança corporativa ocorreu na passagem dos
anos 80 para os anos 90, marcada pela extensão do capitalismo e a efetivação de
alguns interesses das corporações.
Nessa época, o cenário corporativo estava caminhando para uma separação
entre a propriedade e a gestão dos negócios, tanto por motivos externos como
internos. De um lado, a sucessão de fundadores, a abertura de capital e a
multiplicidade de investidores, dificultava a aproximação ou uma boa relação entre
gestores e acionistas. De outro, as maiores companhias eram compostas de diversas
agências que adotavam procedimentos dessemelhantes entre elas, causando
conflitos.
Diante desse quadro, riscos se elevaram e começavam pressões por parte dos
acionistas cobrando maiores pelo investimento. Ademais, a ausência e dispersão de
alguns acionistas na administração favoreciam para que os gestores por
manipulações contábeis, forjassem resultados. Destarte, desvios de conduta, conflitos
de agências e déficits gerenciais, moveram os acionistas a reivindicar melhores
16

práticas de governança corporativa concentradas, no início, em mudanças societárias,

realinhamentos estratégicos e reordenamentos organizacionais.
A governança corporativa engloba uma de série adversidades analisada sob
diversas concepções o que torna seu conceito amplo e impreciso, mesmo porque
recebe algumas variações de acordo com a espécie e atividade da empresa.
No entanto, toma-se como ponto de partida a definição trazida pelo Instituto
Brasileiro de Governança Corporativa (IBGC), fundado em 27 de novembro de 1995,
mas como Instituto Brasileiro de Governança Corporativa (IBGC) cujo nome perdurou
até 1999, com a finalidade de auxiliar no desempenho dos agentes de sociedade com
ideais de ética, justiça, responsabilidade, transparência, apoiada nas melhores
práticas de governança corporativa.
Governança corporativa é o sistema pelo qual as empresas e demais
organizações são dirigidas, monitoradas e incentivadas, envolvendo os
relacionamentos entre sócios, conselho de administração, diretoria, órgãos de
fiscalização e controle e demais partes interessadas.
As boas práticas de governança corporativa convertem princípios básicos em
recomendações objetivas, alinhando interesses com a finalidade de preservar e
otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a
recursos e contribuindo para a qualidade da gestão da organização, sua longevidade
e o bem comum.
A governança corporativa diz respeito a tudo que for bom para o gerenciamento
e funcionamento da corporação, tais como seus princípios, propósitos, processos e
práticas. Claro que a tarefa de delimitar a governança corporativa tornou-se delicada
porque durante décadas das sentecing guidelines for organizations os investimentos
do setor privado nas guidelines-compliance foram exorbitantes e, portanto, estar em
conformidade se tornou apenas uma convenção, esquecendo-se as empresas da boa
cidadania corporativa. Umas das razões, segundo William S. Laufer, é o alinhamento
dos interesses dos lobistas e dos legisladores.
Casos de governança corporativa desleixada como a da Era Enron, WorldCom
e Andersen levaram a aprovação em 2002 do Sarbanes-Oxley Act (SOX) com a
proposta de exigir mais qualidade nas auditorias, no entanto, é difícil crer em uma
17

melhora porque os reais problemas permanecem, quais sejam: a concentração do

poder e alto controle do gestor do processo de governança, dominando os
stakeholders; a ausência de medidas para avaliar a efetividade de um compliance; a
confiança dos reguladores em construir desvios corporativos; acusações politizadas
que, por conseguinte, enfraquecem a lei penal e suas próprias razões e a dúvida sobre
o compromisso das empresas com a retidão.
É preciso, assim, que se pratique a boa governança corporativa, o que exige
uma atenção para a cidadania (empresa cidadã). Somente, a partir daí, poderemos
falar em verdadeira governança corporativa, aquela que preza por uma gestão de
qualidade, organizada e ética e que observa a sociedade, a cidadania, o Estado e
grupos como stakeholders, consumidores, investidores e fornecedores.
Nessa linha, Cadbury adverte que a governança corporativa deve integrar um
sistema de valores tanto na rede de relações internas como nas externas, pois reflete
nos padrões de comportamento da organização e da sociedade.
Por uma perspectiva normativa e jurídica, a que interessa nesse momento,
Mathiesen salienta que a governança corporativa constitui um conjunto de
investigações com o intuito de monitorar as corporações através de mecanismos
normativos, regidos por estatutos legais, contratos e estruturas empresariais,
propiciando um gerenciamento eficiente.
Nesse diapasão, Adriana Andrade e José Paschoal Rossetti explicam que a
governança corporativa se reveste de quatro valores clássicos: fairness, disclosure,
accountability e compliance:
Fairness: Sendo de justiça, equidade no tratamento de acionistas. Respeito
aos direitos dos minoritários, por participação equânime com a dos majoritários, tanto
no aumento da riqueza corporativa, quanto nos resultados das operações, quanto
ainda na presença ativa em assembleias gerais.
Disclosure: Transparência das informações, especialmente das de alta
relevância, que impactam os negócios e que envolvem resultados, oportunidades e
riscos.
Accountability: Prestação responsável de contas, fundamentada nas
melhores práticas contábeis e de autoria.
18

Compliance: Conformidade no cumprimento de normas reguladoras,

expressas nos estatutos sociais, nos regimentos internos e nas instituições legais do
país. (2006, p.140).

Os referidos valores não somente integram a governança corporativa como

devem estar previstos em seus códigos internos de boas práticas, documentos estes
que fixam os mandamentos éticos norteadores das condutas dos membros da
empresa e das funções que ocupam e suas respectivas responsabilidades.
Segundo Marcelo de Aguiar Coimbra e Vanessa Alessi Manzi, nunca se exigiu
tanto das corporações uma conduta íntegra e responsável como na atualidade. Isso
porque a velocidade com que as informações são difundidas a respeito do
comportamento das empresas exigiram um aumento em sua transparência,
principalmente, com as expectativas sociais em relação ao seu compromisso ético.
Desse modo, não basta que as empresas sejam organizadas e cumpram com as
determinações legais, é preciso ainda assim que atue com os valores da
transparência, equidade, prestação de contas e responsabilidade.
Desse modo, é importante que as empresas implementem manuais internos de
conteúdos e comportamentos éticos, bem como, fiscalizem com rigor o cumprimento
por todos os seus integrantes, posto que a transparência é construída de dentro para
fora. Uma empresa que é preza pela transparência interna, automaticamente será
transparente perante a sociedade.
Contam, ainda, Adriana Andrade e José Paschoal Rossetti que a governança
corporativa se solidificou em 5 Ps: princípios, propósitos, poder, processos e práticas.
Os princípios seriam a base ética da governança e contém o atributo da
universalidade e podem ser administrados conforme a cultura e os marcos
regulatórios de cada nação, sendo possível caminhar para uma homogeneidade.
Todavia, certos princípios éticos são inegociáveis que são aqueles que devem estar
presentes nas atividades rotineiras, nos propósitos da empresa e em seus códigos de
boas práticas, que é o caso dos valos clássicos (fairness, disclosure, accountability e
compliance).
Os propósitos da governança corporativa dizem respeito a fornecer o máximo
19

retorno a longo prazo para os shareholders (acionistas) e não se pode perder de vista
também o foco nos stakeholders (consumidores, fornecedores, mídia, comunidade
local, interessados em geral). A empresa deve visar o lucro, este é um objetivo claro,
senão, a razão de sua constituição, sendo de interesse dos investidores que se adote
estratégias para uma boa administração.
Por seu turno, o poder se apresenta como formas de articular as negociações
que é distribuído pelos órgãos de governança através de uma estrutura. Via de regra,
é assumido pelos gestores, assumindo os proprietários uma posição de passividade.
Pela estrutura de poder se introduzem os processos de governança, a constituição e
o empowermentt dos conselhos de administração, da direção executiva e do sistema
de auditoria, ora eleitos como órgãos-chave da governança.
Com a edificação dessas estruturas, são organizadas as relações funcionais
entre elas, centradas nos processos de formulação, homologação e monitoramento
das estratégias da empresa, das
políticas de operação e dos
resultados produzidos. Ainda,
operam sistemas de controle,
com mapeamento de potenciais
riscos internos e externos que
possam afetar as atividades, os
resultados ou a própria
sobrevivência da empresa.
Por fim, as práticas so,
na verdade, as boas práticas de
governança que se inserem no
âmbito interno da empresa.
Em suma, percebe-se que os 5 Ps da governança corporativa somente se
efetiva na prática. A organização de uma estrutura, a implementação de princípios e
códigos e as medidas de controle não são suficientes se a empresa não praticar aquilo
que ela própria estipula. É imprescindível uma uniformização para que a empresa seja
compreendida em uma única linguagem universal sobre o que se quer transmitir, pois
20

o resultado de uma boa e cidadã governança é comprovado pela habilidade de se unir

e cumprir os interesses próprios junto com os anseios sociais, dos shareholders,
stakeholders e do Estado.
De se notar que o compliance, além de valor, se situa nos princípios da
governança corporativa, sendo um de seus pilares. Conforme Marcelo de Aguiar
Coimbra e Vanessa Alessi Manzi: O compliance é um dos pilares da governança
corporativa. A sua função é o fortalecimento do respeito a normas e políticas, bem
como a mitigação de riscos. A organização em compliance preserva a sua imagem e
reduz a possibilidade de danos à reputação, o que é de interesse dos acionistas e
deve ser uma preocupação do conselho de administração. A organização deve atribuir
a cada colaborador a obrigação individual de respeitas as normas e contribuir para a
preservação da corporação. (2010, p.26).
A razão é que o compliance consubstancia-se em um dever de cumprir e, daí,
uma empresa que está em compliance, está em conformidade, executando,
cumprindo, as leis e diretrizes impostas.
Como salienta Giovani A. Saavedra, o compliance é parte da implementação
das "boas práticas" da corporate governance, sendo um mandamento ético.
Para Carla Rahal Benedetti, quando se fala em compliance no âmbito
institucional e corporativo, está logo se referindo ao sistema de controles internos de
uma corporação, seu conjunto de disciplinas para cumprimento de normais legais e
regulamentares, que permitam esclarecer e fornecer segurança para aquele que se
serve de ativos econômico-financeiros para gerenciar riscos e prevenir a prática de
potenciais operações ilegais de modo comprometedor à corporação, seus clientes,
investidores e fornecedores.
Renato de Mello Jorge Silveira e Eduardo Saad-Diniz chamam atenção a um
ponto interessante: no domínio do compliance penal, as propostas de boa governança
advêm das combinações relacionais entre os setores público e privado para a
“delimitação e padronização dos papéis de cada ator”, criando verdadeiras “redes”. É
claro que se critica muito sobre a sua efetividade diante das variações relacionais, em
interorganização ou coprodução de serviços, colocando em cheque a adscrição da
responsabilidade. Ao menos, percebe-se que qualquer dúvida a respeito do
21

compliance se concentra após o cometimento do delito, em como definir a

responsabilidade, mas não desmerece a sua característica principal, de ser um
instrumento efetivo de prevenção.
Em suma, a partir da introdução do compliance na governança corporativa,
seus programas passam a receber corpo e estrutura, tornando-se o elo de ligação
entre empresa e Estado, representando a autorregulação regulada.

Legislações

Entre a distância temporal da autorregulação regulada nos Estados Unidos da

América até a (recente) previsão do compliance (ou modelo de organização ou
programa de cumprimento) por alguns países europeus em seus ordenamentos
jurídicos, observando que nesse intervalo se estruturava a governança corporativa,
crescia o Direito Penal Econômico e a discussão sobre como combater a criminalidade
econômica, nasceram diversos diplomas, convenções e recomendações tratando a
respeito, em geral, de medidas preventivas contra os delitos econômicos. Sem
dúvidas, cada uma delas deixou sua parcela de contribuição para a chegada e
aperfeiçoamento do compliance nos ordenamentos jurídicos (penais ou não) e a
ascensão do tema.
A relação do compliance com o Direito Penal no plano legal é bem interessante.
O compliance se inseriu no contexto da busca por instrumentos de contenção da
criminalidade econômica. Inicialmente, surgiram debates, recomendações e
legislações de repúdio e tratamento de alguns temas especificamente, como a
corrupção e lavagem de dinheiro e um apreço por medidas preventivas de controle.
Quando o compliance ou modelo de organização vieram à tona, verifica-se que
a sua interação com os ordenamentos jurídicos que o receberam se deu de diversos
modos. Normalmente, está associado à responsabilidade das empresas, em sede
penal ou administrativa, mas o ponto comum é que se reconhece a figura da pessoa
jurídica criminosa, embora, ainda, poderia ser aplicado no âmbito da responsabilidade
individual, pois, no fim, depende da realidade interna de cada país. De qualquer forma,
o reconhecimento ou aplicação do tema ainda está em amadurecimento.
22

No estrangeiro

Como já mencionado, em 1976 foi criada a

Primeira Lei para a Luta contra a Criminalidade
Econômica na França, mas ganhou notoriedade os
Estados Unidos da Américam logo após em 1977
com sua "lei anticorrupção” Foreign Corrupt Practices Act (FCPA), influenciando
diversos países europeus. Essa lei proíbe as empresas de praticar atos de suborno
de agentes públicos e governamentais estrangeiros. Se destina à qualquer pessoa
que age em nome da empresa, seja funcionário, diretor, conselheiro ou acionista, e
às empresas que trabalham com as empresas americanas, sendo, assim, uma lei
global.
Os Estados Unidos da América publicaram ainda em 1992 a Federal Facility
Compliance Act definindo elementos para um programa de compliance e ética; e a
Sarbanes- Oxley Act (SOX), aprovada em 2002, após escândalos envolvendo fraudes
contábeis, cobrando maior rigor na transparência, especialmente, criação de comitês
e auditorias para supervisionar as atividades e operações.
Na legislação americana se admite a responsabilidade penal das pessoas
jurídicas que é auferida pelas Guidelines for Sentencing Organizations, podendo a
pena ser atenuada se a empresa adotou um programa de compliance efetivo.
É importante pontuar que a Foreign Corrupt Practices Act de 1977 não previa
expressamente o programa de compliance, o que veio acontecer em 2006 com os
Principles of Federal Prosecution of Businnes. Em seu item 9-28.800 (descrito como
Programas de Compliance Corporativo), por vigorar a discricionariedade da
persecução penal nos Estados Unidos da América, está estipulado como princípio
geral que o órgão acusatório (Ministério Público Federal) observe se os programas de
conformidade estão estabelecidos pela administração corporativa para prevenir e
detectar condutas impróprias e para assegurar que as atividades corporativas estão
conduzidas de acordo com as leis, regulamentos e leis criminais e civis aplicáveis.
Com efeito, a existência de um programa de conformidade não é suficiente, por si só,
para justificar a não cobrança de uma corporação por conduta criminosa cometida por
23

seus diretores, diretores, funcionários ou agentes, porque não se pode evitar a

responsabilidade da corporação por regras abstratas que proíbem seus agentes de
praticar atos ilegais.
Por último, em 2010 a FINRA 3310 Anti-Money Laundering Compliance
Program vem estabelecer também diretrizes para um programa de compliance, com
atualizações em 2015 e 2018.
Do lado europeu, se iniciou uma luta contra a fraude e a corrupção somente
em 1997 envolvendo trinta países da Organização para a Cooperação e
Desenvolvimento Econômico (OCDE), além de outros seis países e o Brasil, que se
reuniram para ratificar a Convenção sobre Combate ao Suborno de Funcionários
Públicos Estrangeiros em Transações Internacionais. Em 1998 são estabelecidos os
princípios da Governança Corporativa da OCDE. Na Europa foi editada a Convenção
sobre a Corrupção pelo Conselho Europeu (no Brasil é de competência da
Controladoria Geral da União, através da Secretaria de Prevenção da Corrupção e
Informações Estratégicas, acompanhar as convenções e compromissos
internacionais voltados prevenção e repressão à corrupção admitidos pelo Brasil). Em
2003, a Organização das Nações Unidas (ONU) anuncia o combate à corrupção
promovendo a cooperação internacional, e a imprescindibilidade da integridade,
recuperação de ativos e gestão de assuntos e bens públicos (United Nations
Convention Against Corruption – UNCAC).
Em 2010, a OCDE recomenda um de seus instrumentos, o Good Practice
Guidance on Internal Controles, Ethics and Compliance.
No mesmo ano, nasce no Reino Unido a Bribery Act e tal como a Foreign
Corrupt Practices Act é uma lei global, prevendo especificamente na seção 7, a
responsabilidade penal objetiva das jurídicas (por failure of commercial organisations
to prevent bribery) e físicas por atos de corrupção, seja no setor público ou privado,
direcionada também às empresas estrangeiras que realizam operações com o Reino
Unido.
Em 25 de maio de 2018, a União Europeia publicou a General Data Protection
Regulation (GDPR) com o objetivo de resguardar a privacidade dos cidadãos frente
as empresas virtuais, o que obriga as empresas a intensificarem seus sistemas de
24

controles internos e sua transparência para garantir que as informações pessoais das
pessoas estão protegidas em seus bancos de dados.
Navegando em alguns ordenamentos jurídicos europeus, na Alemanha vigora
uma responsabilidade administrativa das pessoas jurídicas (responsabilidade
contraordenações), herança de Eberhard Schmidt que procurou desafogar do Direito
Penal a responsabilidade das empresas por ilícitos, ante a hipertrofia legislativa
instalada nessa seara. Trata-se, segundo Lothar Kuhlen, de uma “responsabilidade
parapenal”, o que indica que existe uma tendência na Alemanha de se introduzir uma
responsabilidade penal societária. Nos ilícitos administrativos não há sentido ético, o
que facilita a punição das pessoas jurídicas de modo que, nesse caso, não estaria
desrespeitando a personalidade interna do agente. Mas o aspecto interessante é que
a Alemanha reconhece que a pessoa jurídica pode ser sujeito ativo do crime.
Todavia, em 2007, no caso Siemens, a maior empresa de tecnologia do país
revelou possuir contas paralelas no estrangeiro que eram utilizadas para pagamentos
de subornos e corrupções à nível mundial, sendo condenada ao pagamento de multas
que aproximaram o valor 420 milhões de euros. Essa situação motivou a Alemanha a
iniciar algumas reformas legislativas para se evitar a reincidência do escândalo,
inclusive, em caráter preventivo. O fato é que desde então, as empresas alemãs têm
adotado sistemas de compliance focados na prevenção de delitos. Existe a tendência
na Alemanha de reconhecer o criminal compliance em seu ordenamento jurídico, ao
menos, como forma de atenuar a responsabilidade administrativa das pessoas
jurídicas.
Na Itália, as empresas são responsáveis administrativamente por crimes, o que
revela um caráter criminal. Os artigos 17 e 49 do Decreto Legislativo nº 231/2001
preveem a possibilidade de não aplicação de sanções pecuniárias, de interdição e
medidas cautelares às empresas que detenham modelos de organização.
A França, por seu turno, apresenta uma legislação muito intrigante. Seu Código
Penal de 1992 adota a responsabilidade criminal das empresas a partir de seus sócios
por efeito ricochete (por empréstimo), mas a grande revolução foi a LOI nº 2016-1691
(relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie
économique) em vigor desde 1º de julho de 2017, conhecida como Lei Sapin II, que
25

trata sobre transparência, luta contra corrupção e modernização econômica.

Essa lei obriga as grandes empresas francesas e as empresas estrangeiras
que operam na França (de faturamento de 100 milhões de euros e com 500
empregados), bem como as empresas francesas que atuam no estrangeiro,
independentemente de seu porte, a adotarem uma política de conformidade adequada
(compliance anticorrupção), alertando que em caso de descumprimento incorrem no
risco de serem responsabilizadas criminalmente, sem prejuízo da responsabilidade
individual de seus representantes. Ainda, cria a Agência Francesa Anticorrupção, um
órgão regulador vinculado ao Ministério da Justiça e ao Ministério da Fazenda
responsável por fiscalizar e aplicar multa às empresas que não houver implementado
o compliance, eis que constitui uma ofensa criminal.
Em Portugal se adota a responsabilidade penal dos entes coletivos e o item 6
do artigo 11 de seu Código Penal prevê a sua exclusão se o agente atuou contra as
ordens ou instruções expressas de quem de direito. As instruções de que se refere
são as medidas de controle, de gestão e organização e, embora não se refira
expressamente ao compliance, verifica-se que são fatores que incidem sobre a
censurabilidade das pessoas jurídicas.
Na Espanha, a recente redação dada ao artigo 31, bis, 2 do Código Penal pela
LO 1/2015, prevê que se a empresa implantar um modelo efetivo de organização e
gestão de prevenção de delitos, poderá ver excluída a sua responsabilidade penal e,
se parcialmente, ter a sua pena atenuada.
A legislação espanhola ao adotar um modelo de autorresponsabilidade,
definindo uma culpabilidade para a empresa por defeito de sua organização,
separando-se da responsabilidade individual da pessoa física, representa um grande
incentivo para as empresas implantarem normas internas e um efetivo modelo de
organização, afinal, poderão ser compensadas com a isenção ou mitigação da
responsabilidade penal. Complementando a norma, a Circular 1/2016 estabelece
alguns requisitos que devem compor um modelo de organização e há diversos
entendimentos na doutrina espanhola no sentido de que as empresas podem tomar
como referência os programas de compliance como modelo de organização.
Em suma, percebe-se que o criminal compliance no direito comparado já é uma
26

realidade e tem se expandido muito rápido em diversos ordenamentos jurídicos sob

maneiras distintas.

No Brasil

A discussão sobre o compliance no Brasil se inicia a partir da Lei n.º 9.613/98

(Lavagem de Capitais). A razão da promulgação da lei se explica pelo
acompanhamento do Brasil aos processos de mudança estratégica na década de 90
quanto à regulamentação de crimes econômicos ou empresarias. A Lei de Lavagem
de Capitais marca o início de uma nova era, de novos ilícitos
empresariais e de ampliação do controle penal da
atividade econômica.
Com as alterações da Lei nº 12.683/12, os
artigos 10 e 11 da Lei de Lavagem de Capitais impõem
às pessoas físicas e jurídicas do artigo 9º o dever de
criarem controles internos, revelando a lei um apreço
por medidas de prevenção, a fim de se evitar ou
minimizar riscos não somente de crimes de lavagem de
dinheiro, mas outros crimes como a corrupção.
Os artigos 10 e 11 não utilizam o termo compliance, mas representam
verdadeiros deveres de compliance. Observa-se também que ocorre uma
transferência de parte da responsabilidade do Estado no combate à lavagem de
dinheiro para o setor privado em forma de prevenção (autorregulação regulada).
Com efeito, sobrevém a Lei nº 12.846/13, denominada de "lei anticorrupção",
prevendo em seus artigos 1º, 2º e 3º a responsabilidade objetiva cível e administrativa
das pessoas jurídicas por atos de corrupção, sem prejuízo da responsabilidade
individual dos diretores, administradores ou funcionários que concorrerem para o
delito, sujeitos à severas penas.
A grande novidade da lei anticorrupção, como bem aduz Giovani Agostini
Saavedra, foi a exigência que as empresas criem programas de compliance, de modo
que, se assim procederem, em caso de serem acusadas, serão levados em conta na
27

aplicação da pena. Não é demais registrar que o artigo 7º, inciso VIII fala na verdade
em “mecanismos e procedimentos internos de integridade” o que se aceita ou
interpreta no Brasil como programas de compliance.
Os parâmetros de um programa de compliance foram definidos pelo Decreto nº
8.420/15, assim entendido, no artigo 41, como um “conjunto de mecanismos e
procedimentos internos de integridade, auditoria e incentivo à denúncia de
irregularidades e na aplicação efetiva de códigos de ética e de conduta, políticas e
diretrizes com o objetivo de detectar e sanar desvios, fraudes, irregularidades e atos
ilícitos praticados contra a administração pública nacional ou estrangeira”.
A lei anticorrupção e o Decreto nº 8.420/15 articulam a relação entre Estado e
empresas, adaptando estas às exigências das legislações brasileiras. Até este
momento, os programas de compliance se orientavam pela Resource Guide to the
U.S. Foreign Corrupt Practices Act.
Em sequência, a Controladoria Geral da União, com base no Decreto nº
8.420/15 baixou em 2015 as Portarias nº 909 e nº 910 que tratam sobre as
informações relacionadas à estrutura, funcionamento e efetividade de um programa
de compliance e parâmetros para sua avaliação.
Tem-se, ainda, a Lei nº 13.303 de 30 de junho de 2016, conhecida como
Estatuto das Estatais direcionada às empresas públicas e de economia mista que
exploram atividades econômicas. Esta lei preza pela gestão da ética e da
transparência e exige que as empresas se atentem às regras de governança
corporativa, à códigos de conduta e de integridade por meio de práticas de gestão de
riscos e controles internos (artigo 6º).
Culturalmente, as estatais no Brasil não têm o hábito de gestão de riscos e
controles internos. A lei teve a iniciativa de fornecer algumas diretrizes para os
empresários na elaboração dos programas de integridade, se agarrando a cinco
pilares clássicos como o ambiente organizacional, a avaliação de riscos, medidas de
políticas e procedimentos para evitar riscos, comunicação e treinamento e
monitoramento. Por trás de tais pilares estão o canal de denúncias, o treinamento
periódico, práticas de gestão de riscos e controle e mecanismos de proteção,
auditorias, criação de Comitês, estipulando, ainda, alguns requisitos mínimos de
28

transparência. Evidentemente, a lei vem como reforço para estimular a aderência a

programas de compliance.
Sobrevém, ainda, a Instrução Normativa MP/CGU 1-2016 tratando sobre a
gestão de risco da administração pública federal e o Decreto-Lei nº 9.203 de 22 de
novembro de 2017 que dispõe sobre a política de governança da administração
pública federal direta, autárquica e fundacional.
Nesse tempo, o Estado do Rio de Janeiro criou a Lei nº 7753 de 17 de outubro
de 2017 obrigando em seu artigo 1º a implementação de programas de integridade
pelas pessoas jurídicas que celebrarem contrato com a administração pública do
Estado do Rio de Janeiro acima de R$ 1,5 milhão para obras de engenharia e R$ 650
mil em prazo superior a 180 dias, sob pena de multa de 0,02% por dia incidente sobre
o valor do contrato, conforme seu artigo 6º.
Recentemente, entrou em vigor no Distrito Federal a Lei nº 6.112 de 02 de
fevereiro de 2018 seguindo a mesma linha do Estado do Rio de Janeiro, obrigando
em seu artigo 1º a implementação de programas de integridade pelas empresas que
celebrarem contrato com a administração pública do Distrito Federal, no entanto, no
valor entre R$ 80 mil a R$ 650 mil, em prazo superior a 180 dias, sob pena de multa
de 0,1% por dia incidente sobre o valor do contrato, conforme dispõe o seu artigo 8º.
A avanço dessa lei foi o artigo 7º, § 4º que não admite a implementação de
programas de integridade meramente formais, cujos critérios e parâmetros de
avaliação estão no artigo 6º.

DEVERES DE COMPLIANCE

No Brasil, os deveres de compliance previstos nos artigos 10 e 11 da Lei de

Lavagem de Capitais registram a presença do criminal compliance no ordenamento
como instrumento de prevenção da criminalidade econômica. São eles: a identificação
de clientes, a criação, manutenção e atualização de cadastros, o registro de
transações financeiras realizadas, a comunicação de operações suspeitas e a criação
de um programa de controle interno.
Identificar o cliente é uma medida básica para todas as empresas e
29

principalmente as instituições financeiras. Trata-se do conhecimento de detalhes

necessários da vida pessoal e profissional do cliente para propiciar maior segurança
às informações oferecidas na Ficha Cadastral.
Em 1998, o Conselho Monetário Nacional publica a Resolução n.º 2554/98 que
dispõe sobre a implantação e implementação de sistema de controles internos. Em
2001, O Comitê da Basiléia cria o Customer Due Diligence for Banks, um documento
com recomendações para prevenção de lavagem de dinheiro, especialmente para
instituições financeiras. Com efeito, o comitê de compliance da Associação Brasileira
dos Bancos Internacionais (ABBI), elaborou um manual de melhores práticas de
Prevenção e Combate às Atividades de Lavagem de Dinheiro.
O referido documento de iniciativa internacional trouxe um procedimento
denominado de Conheça seu Cliente, que se concentra em identificar e conhecer a
origem da construção do patrimônio e dos recursos financeiros do cliente. Ter
informações e um histórico do cliente é de suma importância para a prevenção de
riscos e crimes financeiros, em caso de ocorrência de um crime, pode auxiliar em seu
rastreamento.
Marcelo de Aguiar Coimbra e Vanessa Alessi Manzi reforçam a relevância de
identificação minuciosa do cliente:

Conheça seu cliente

Na visão dos bancos, quanto mais

precisas forem as informações coletadas e
registradas no início do relacionamento, maior será a capacidade de identificação de
riscos de ocorrência da prática de atos ilícitos e maior será a segurança desse
processo. As agências, departamentos, empresas ligadas a unidades no exterior,
devem adotar as cautelas necessárias à completa identificação de seus clientes,
investidores, poupadores e adquirentes de produtos ou serviços nacionais ou
estrangeiros, mantendo pleno conhecimento das transações realizadas em seus
ambientes, atuando de modo preventivo quanto a operações e/ou situações que
apresentam indícios de estarem direta ou indiretamente relacionados aos crimes
30

precedentes de lavagem de dinheiro. (2010, p.71).

Entre as informações que devem conter um formulário de identificação de um
cliente estão os dados de identificação, a descrição sobre a situação financeira, o
relato sobre as atividades profissionais e empresariais (no Brasil e no Exterior), o
relato sobre a capacidade financeira presumível e capacidade de investimento, a
descrição sobre o relacionamento com o Responsável de Conta, o relato do processo
de prospecção do cliente, o relato sobre as referências pessoais e profissionais
analisadas, o relato sobre as principais instituições financeiras utilizadas pelo cliente,
a situação patrimonial presumida, a quantificação em porcentagem da composição
patrimonial do cliente distribuída em imóveis rurais, urbanos e comerciais e as
aplicações financeiras de renda fixa ou variável.
O mesmo documento orienta a designação de um Compliance Officer da
instituição que seria responsável por aprovar o
Conheça seu Cliente, pela avaliação de riscos
internos e outras funções.
A figura do Compliance Officer tem sido
objeto de muita discussão no criminal
compliance, em razão da sua responsabilidade
pela prevenção de riscos das empresas.
Tratam-se de pessoas que parecem assumir uma posição de garante, exercendo a
função de execução e fiscalização do compliance, de modo que, se falharem,
incorreria em responsabilidade criminal. A questão é delicada, pois, em tese, estaria
se atribuindo a responsabilidade objetiva do Compliance Officer. Porém, o cerne da
discussão deve concentrar-se, na verdade, na teoria do domínio funcional do fato
aliada à cadeia de responsabilidades definida pelo programa de compliance e os
critérios que o Direito Penal leva em conta para uma imputação penal diante da
criminalidade empresarial.
O segundo dever de compliance diz respeito a criar, acompanhar e atualizar
cadastros dos clientes perante às autoridades e órgãos competentes e fiscalizadores
ou, na falta destes, perante o Conselho de Controle de Atividades Financeiras (COAF)
e decorre do primeiro do dever, além de guardar relação com o terceiro e quarto
31

deveres de, respectivamente, registrar as atividades e comunicar as atividades

suspeitas ao COAF.
O dever de atualização do cadastro do cliente é um dever natural, afinal, dados
e atos do cliente devem ser acompanhados e atualizados e, quando necessário,
comunicados às autoridades e órgãos competentes e fiscalizadores. É um dever das
pessoas jurídicas junto às autoridades competentes.
De seus turnos, o terceiro dever de registro das transações financeiras e o
quarto dever de comunicar as operações suspeitas ao COAF detêm a mesma lógica,
afinal, nada mais é que a comunicação de operações suspeitas de crime. Na verdade,
se direciona mais às instituições financeiras, as maiores cúmplices e vítimas de
lavagem de dinheiro.
Em algumas transações de clientes é recomendável que as instituições
financeiras estejam em alerta, por exemplo: depósito de valores muito altos; depósitos
fantasmas; valores de depósitos incompatíveis com a renda do cliente; vários
depósitos em um mesmo dia, em agências diferentes; troca em grande quantia de
moeda nacional por moeda estrangeira; movimentação financeira incompatível com o
patrimônio, renda ou profissão do cliente; participação assídua de terceiro ou
beneficiário sem identidade averiguada; vários pequenos depósitos pelo mesmo titular
em contas distintas, que, somados, resultam em grande quantia; entre outros.
Marcelo de Aguiar Coimbra e Vanessa Alessi Manzi citam diversas situações
de transações bancárias duvidosas que devem ter atenção das instituições
financeiras: Relacionadas a transações e depósitos: depósitos de valores elevados,
principalmente se não realizados pelos seus clientes; aumento substancial no volume
de depósitos de qualquer pessoa física ou jurídica e transferidos dentro de curto
período de tempo a destino anteriormente não relacionado com o cliente; depósitos
em grandes quantias por meio eletrônico ou outros meios que evitem contato direto
com o pessoal do banco; depósitos em um mesmo dia, em diferentes agências,
incompatíveis com as atividades do cliente; vários depósitos em pequenas quantias
em dinheiro ou cheque; recebimento de vários depósitos em cheques, de várias
localidades, com transferência a terceiros; proposta de troca de grandes quantias em
moeda nacional por moeda estrangeira e vice-versa. [...] Relacionadas com a
32

manutenção de contas: movimentação de recursos incompatível com o patrimônio,

atividade econômica ou ocupação profissional; movimentação de recursos em praças
localizadas em fronteiras; atuação de forma assídua em nome de terceiro ou sem a
revelação da verdadeira identidade do beneficiário; solicitações frequentes de
elevação de limites para realização de operações; abertura ou movimentação de conta
por detentor de procuração; proposta de abertura de conta por pessoa portadora de
CPF emitidos em região de fronteira; especial atenção para clientes com atividades
relacionadas a turismo, hotéis, casas de câmbio; transações envolvendo clientes não
residentes no país; vários depósitos em contas distintas do mesmo titular, cujos
valores, somados, resultem em quantias significativas. (2010, p.71 e ss.).
O dever de comunicação de operações suspeitas ao COAF está absolutamente
voltado à uma política de prevenção de lavagem de dinheiro, eis que impõe aos entes
coletivos e aos coobrigados do artigo 9º da mesma lei que comuniquem ao COAF as
atividades possivelmente providas de ilicitude, com indícios de crime, especialmente
no que tange à corrupção, fraude e lavagem de dinheiro.
O COAF tem origem no Ministério da Fazenda através da Lei nº 9.613/98, cujo
artigo 14 explica sua finalidade de “disciplinar, aplicar penas administrativas, receber,
examinar e identificar ocorrências suspeitas de atividades ilícitas, podendo requerer
aos órgãos da administração pública as informações cadastrais, bancárias e
financeiras de pessoas envolvidas em atividades suspeitas". Através do SISCOAF há
um eficiente intercâmbio de informações entre o COAF e os organismos nacionais e
internacionais.
Revela-se um eficiente e preventivo órgão no combate aos crimes de lavagem
de dinheiro. Desde 1999, é integrante do Grupo Egmont, um organismo internacional
sem secretariado ou sede permanente, desenvolvido por unidades de inteligência
financeira, para troca de informações, recebimento e tratamento de comunicações de
transações suspeitas ligadas à lavagem de dinheiro que se concentra em descobrir a
rota percorrida pelo dinheiro do narcotráfico e outros delitos graves, a fim de capturar
os criminosos não revelados.
Por derradeiro, há o quinto dever de criação de programas de compliance e
controles internos. O programa de compliance é a estrutura do compliance, onde
33

reflete a realidade da organização, onde é verifica sua cultura, estrutura, seu campo
de atuação e atividade e local de execução, entre outras especificidades exclusivas
da empresa.
Assim, respeitados os deveres de compliance, verifica-se que as empresas e
instituições financeiras estão mais asseguradas de crimes de fraude, corrupção e
lavagem de dinheiro. Ainda que na hipótese da prática de qualquer delito, a
observação aos deveres podem facilitar as investigações e cooperar na averiguação
da responsabilidade penal.

DOS PROGRAMAS DE COMPLIANCE

Os programas de compliance observam as normas reguladoras da atividade

econômica e empresarial e a frequência das alterações dessas normas, procurando
evitar problemas legais e judiciais para a empresa devido aos custos materiais e
reputacionais da violação dessa rede de normas.
Dessa forma, esses programas implantam uma cultura corporativa com o
cumprimento normativo, reunindo e concretizando normas de condutas que se
traduzem em códigos técnicos e em códigos éticos.
Ademais, é de suma importância ressaltar que este conjunto de normas deve
se adaptar à atividade da empresa, de acordo com a estrutura que comporta e ao seu
ambiente, seus riscos e desafios. Assim, os programas de compliance devem ser
elaborados sob medida, porque não se pode esquecer que a empresa, acima de tudo,
visa o lucro. No entanto, devem se resguardar quando estiverem na linha do crime,
incluindo regras e normas penais.

Prevenção, detecção e reação

34

Três vetores seguem um programa de compliance: a prevenção, a detecção e

a reação. Tais diretrizes norteiam os elementos estruturantes dos programas para que
sejam efetivos. É importante ressaltar que a efetividade do programa não diz respeito
à sua infalibilidade, de estar blindado à criminalidade, mas se através dele, por um
juízo de idoneidade abstrato-concreto, é possível atestar se empresa adotou todas as
medidas possíveis e eficazes para se evitar um delito.
A base do programa de compliance é a prevenção, que estabelece um conjunto
de normas internas para que as atividades rotineiras da empresa sejam realizadas de
acordo com a lei, evitando-se a ocorrência de defeitos que possam resultar em fatos
delitivos.
A razão da prevenção é para proteger os integrantes da corporação contra as
suas próprias imprudências que, consequentemente, produziria um defeito de
organização da empresa. Assim, a prevenção está ligada a um dever de proteção.
Com relação à prevenção, em geral, existem dois grandes modelos de
programas de compliance. O primeiro desenvolve a prevenção investindo em um
clima de respeito à lei, aos valores éticos, à formação e ao treinamento, com auxílio,
ainda, de medidas de controle (due diligence), focando, portanto, em um código ético.
O segundo concentra-se na vigilância, em um maior controle, adotando medidas como
registro de correios e chamadas telefônicas, acesso à internet e contratação de
detetives privados.
Evidente que o primeiro modelo aposta na hipótese mínima de ocorrência de
uma conduta desviada na empresa, pois sua prioridade é a promoção de valores,
35

enquanto o segundo tem maior preocupação com os instrumentos de contenção de

potenciais delitos.
A princípio, o segundo modelo soa um radicalismo porque viola direitos e
garantias fundamentais, como a intimidade e a proteção de dados. No entanto, a
vigilância empresarial é importante, já que através dela se criam as técnicas de risk
profiling, para identificar algum integrante da empresa com perfil criminoso e de
controle e mitigação de riscos. Sem ela, não há sentido o criminal compliance.
A solução é uma ponderação entre controle e
liberdade, que é o que separa a prevenção da reação.
Portanto, as empresas devem focar nos códigos éticos,
na promoção dos valores, inclusive, orientar a todos os
seus membros as consequências de uma violação, construindo e aplicando uma
política de sanções disciplinares. Ao mesmo tempo, as medidas de controle devem
existir, porém de maneira menos incisiva, com respeito à lei e aos direitos
fundamentais. À guisa de exemplo, deve-se criar um canal de denúncias, mas
assegurando o anonimato e a confidencialidade das investigações internas, dos
dados e dos e registros, além da criação de um órgão externo e independente, sem
qualquer relação com a diretoria da empresa (auditorias).
Com efeito, a presença da prevenção se registra pela eficácia em abstrato do
programa de compliance: se este está devidamente implementado com uma cultura
de legalidade e com os objetivos da empresa; se dispõe de controles apropriados para
executá-los; e se existem esforços por parte da direção em colocar estas diretrizes
em prática.
No viés prático, esses quesitos estão representados, respectivamente, por
códigos de ética e disciplina, canais de comunicação entre os representantes legais e
diretores da corporação com os empregados e trabalhadores, cursos de informação
e esclarecimento sobre a legislação vigente, capacitação e treinamento, regras de
integridade, revisão e adaptação periódica das normas; pela delimitação das tarefas
e responsabilidades de cada integrante da empresa, segurança e prevenção das
infrações, previsão de um sistema organizacional de avaliação, individualização e
gestão de riscos juridicamente relevantes (principalmente penais); e pela
36

disponibilização de canais de denúncias e sistema de controle.

Tem-se, assim, que a prevenção trabalha no afastamento total do delito,
evitando ao máximo sua ocorrência. A empresa foca, nessa etapa, em políticas
internas, treinamentos, comunicação, mapeamento e controles de riscos e melhoria
contínua.
Uma vez que a empresa tem conhecimento dos riscos juridicamente relevantes
de cada posto de trabalho e de cada pessoa que exerce determinado cargo, é preciso
atuar de forma prudente, construindo grandes linhas de trabalho, adotando não
somente medidas de controle, mas também de supervisão, pois pode ocorrer de,
mesmo diante de uma política de prevenção, a conduta de um integrante desviar-se,
recaindo em um delito.
Esse sistema de supervisão deve ser capaz de detectar eventuais delitos que,
como dito, exige conhecer pormenorizadamente cada posto de trabalho e cada
pessoa que o exerce. É conveniente que se apure os canais de denúncia, de forma
absolutamente sigilosa, e institucionalize uma política de documentação, registrando
todos os atos e atividades da empresa, de modo que sejam acompanhados por um
órgão supervisor que agilmente saiba recorrer às medidas necessárias para, se
avistado um possível delito, em tempo freá-lo.
Nesse caso, a empresa deve controlar o problema, intensificar o seu
monitoramento, identificar a falha em sua organização para posteriormente corrigi-la,
instaurar investigações internas retornando ao passado e resguardando o sigilo.
Ainda, a empresa deve recorrer à auditoria, que exerce uma função relevante
em um sistema de supervisão e detecção. Por se tratar de uma atividade
independente, aleatória e periódica, a auditoria assiste a empresa no desempenho de
seus objetivos, verificando se as atribuições estão sendo respeitadas, qual o grau de
complexidade das negociações e se os profissionais estão devidamente qualificados
e obedecendo o compliance.
Observa-se, assim, que a detecção está ligada a um dever de vigilância ou
dever de supervisão.
Por fim, diante de uma conduta prestes à ser desviada ou já desviada,
independentemente de vir a se tornar um delito ou não, é imprescindível que a
37

corporação reaja ao fato na medida, claro, de sua gravidade. Nota-se que a reação
caminha muito próximo à detecção.
A reação refere-se à atitude da empresa perante o evento e, em geral, está
representada pela previsão de um sistema de correção ou sanção ou advertência 311
em seu âmbito interno. Ao infrator deve ser aplicada uma reprimenda à proporção de
seu ato, que parte desde uma advertência até a rescisão de seu contrato de trabalho.
A reação não significa propriamente repressão, visto que alertar os órgãos
competentes sobre atividades suspeitas é um dever de compliance. A iniciativa
imediata da empresa, portanto, em acionar as autoridades diante da eminência de um
delito ou comunicá- las sobre um fato delituoso pode ser interpretado como uma forma
de reação, pois procurou tomar as medidas adequadas, como manda a lei.

Pilares

Os programas de compliance
constituem códigos de conduta de um
Sistema de Gestão de Compliance
(Compliance Management System) e enfrentam algumas matérias como a exclusão
de conflito de interesses; corrupção; direitos da competência; respeito aos direitos
humanos; ética e proteção contra discriminação; confidencialidade e proteção de
dados; correção a contabilidade, faturamento e direito fiscal; segurança na
disponibilidade, integridade, autenticidade e confidencialidade das informações;
cumprimento de exigências de proteção ao meio ambiente e à saúde; e canal de
denúncia de irregularidades. São direcionados e aplicados a todos os integrantes da
empresa, desde sócios, diretores e administradores até funcionários e colaboradores,
e nele contém todos os direitos, deveres, atribuições e funções de cada um, suas
responsabilidades e consequências de seus atos.
Enrique Bacigalupo, Raquel Montaner Fernández e Ivó Coca Vila, com base no
projeto de Compliance-Prüfungsstandar (EPS 980) proposto pelo IDW (Institut der
Wirtschaftsprüfer in Deutschland e.V) para as corporações de primeira linha na
Alemanha, que também podem se orientar outros tipos de empresas, advertem que
38

um Sistema de Gestão de Compliance se constitui dos seguintes pilares: cultura do

cumprimento, estabelecimento de objetivos empresariais, avaliação e medidas de
contenção de riscos, programas de cumprimento (compliance), organização do
cumprimento (delimitação da competência), sistemas internos de comunicação e
sistemas de supervisão e sanção.
É pelo programa de compliance que se atesta a existência de um Sistema de
Gestão de Compliance, onde nele devem ser constatados, no mínimo, os pilares
acima descritos, lembrando que podem haver outros de acordo com a ação
institucional da organização, sua realidade particular, especificidades, dimensão,
ramo de atuação e atividade desenvolvida.
Cultura do cumprimento e estabelecimento de objetivos empresariais
(códigos de ética e de conduta)

Tem-se a cultura do cumprimento e o estabelecimento de objetivos

empresariais como pilares de um Sistema de Gestão de Compliance que devem
constar em um programa de compliance, já que, uma vez bem delineados, a empresa
é reconhecida como ética e, consequentemente, se constata uma alta administração.
Veja, por exemplo, no Brasil, que entre os parâmetros de um efetivo programa
de compliance estabelecidos pelo artigo 42 do Decreto nº 8.420/2015 estão o
“comprometimento da Alta Administração” e “códigos de ética e de conduta”, o que
precede, portanto, a existência de uma cultura empresarial, de objetivos empresariais
e padrões éticos.
A cultura empresarial, segundo Maria Cecília
Coutinho de Arruda, Maria do Carmo Whitaker Ramos e
José Maria Rodriguez Ramos, é aquela que se constitui
de valores individuais, que podem coincidir ou conflitar,
mas que impera uma homogeneidade na forma de
conduzir as questões atinentes aos stakeholders e todos os públicos.
A cultura da organização lida com diversas subculturas existentes dentro e fora
dela. A proposta, dentro do possível, é unificar comportamentos para se criar uma
identidade que, ao mesmo tempo, respeite os padrões gerais, a cultura e a tradição
39

da sociedade e do mercado, atendendo aos anseios sociais, de modo que se gere um

clima de confiança. No momento, então, que a cultura da empresa dita o modo de ser
e agir de seus membros, posto que existem diversas culturas internas, a corporação
cria seu ethos.
Por outro lado, devem existir também as boas intenções da empresa que,
explica Francis J. Aguilar, consistem em compreender os problemas, as forças que
circundam e as potenciais consequências.
Naturalmente, nota-se que é difícil estabelecer um padrão ético na empresa,
que começa logo na definição de um perfil para a organização, onde se encontram os
objetivos, as características administrativas e as relações interpessoais.
Entretanto, a ética empresarial é diferente da ética individual, do ser humano,
que muito se aproxima e se complementa com a moral. No âmbito empresarial a ética
sofre um alargamento, muitas vezes é flexibilizada e até substituída por uma
“pluralidade de éticas”. O ponto central é analisar qual o conteúdo dessa ética, qual
direção tomar e a que se destina.
Em primeiro lugar, identifica-se que as empresas de culturas mais fortes são
aquelas que suas éticas se revestem de virtudes, que se destacam pelos meios
utilizados para alcançar seus fins. A ética da virtude valoriza a justiça, a lealdade e o
sentido de pertencer a algo. Os integrantes devotados à empresa incorporam os
valores da organização e agem em conformidade a eles, se preocupam com a
sociedade e os produtos e serviços oferecidos a ela.
O alcance da virtude da ética requer um longo prazo. Exige-se o hábito de
praticar, rotineiramente, as ações boas, até que, com o tempo, o membro da empresa
as tenha incorporado em seu caráter, tornando-se um ser humano enriquecido,
operando a cultura da empresa como sua segunda natureza.
Todavia, não são todos que sabem agir com tal ética, mas ressalte-se que
todos têm condições de identificá-la, pela própria natureza humana, pela experiência
e pelas impressões causadas pela virtude, de perceber o certo e o errado, o bem e o
mal, o justo e o injusto.
Assim, deve ser estimulada igualmente uma ética utilitarista que se fundamenta
justamente naquilo que é útil e necessário, em demonstrar que uma ação é certa
40

quando realizada por um sentimento de dever, de ser ela necessária ou útil em seu
aspecto social, de forma que produza um bem máximo, a maior felicidade. De outro
lado, essa ética enfrenta dificuldades para ser trabalhada, porque traz consigo esse
apelo intuitivo, concentrando no que a maioria deseja, em atender somente o anseio
social. Então o utilitarismo acaba por se reverter como desinteressado às diferenças
das pessoas.
Em segundo lugar, ainda que as empresas devam se esforçar para
implementarem uma ética nesse sentido, é de se reconhecer que dentro delas há
campos de luta, jogos de forças, de poder, conflito de interesses e pensamentos
divergentes, entre todos os seus integrantes. Além disso, as empresas enfrentam
conflitos externos relacionados ao mercado e a interesses sociais, sendo comum
deparar-se com rivalidades e disputas de poder que, muitas vezes, impactam em seu
aspecto interno e externo.
Diante desse cenário, tem se destacado o relativismo, cujo ponto de partida é
da “variabilidade, sincrônica e diacrônica, dos valores, das teorias e das práticas
morais.
Na rotina das organizações a ética a todo momento varia. Muitas vezes, a
prática de condutas e a tomada de decisões sustentadas dependem de certas
situações e que vão exigir um comportamento diferente do comum, daí o relativismo
ético. É bem verdade que as empresas devem reagir aos males investidos contra ela,
porém não devem responder com a prática de um outro mal, para não incorrer no risco
dessa atitude se transformar em uma cultura que, uma vez instalada, dificilmente
liberta-se dela.
Sugere, assim, Elizete Passos, que os líderes empresariais sejam os primeiros
a seguirem com ética, a fim de inspirar os demais integrantes a se comportarem da
mesma maneira. Concomitante a isso, é imprescindível que sejam criados códigos de
ética e conduta com diretrizes para orientar a todos sobre como procederem diante
de problemas na empresa.
São os códigos de ética e disciplina que revelam a identidade cultural da
organização. Consistem em documentos declaratórios e vinculativos da organização,
que tem por escopo propagar seus valores, princípios e objetivos, regular as ações e
41

comportamentos dos indivíduos em seus respectivos cargos e abordar diversos temas

como responsabilidade social, sustentabilidade ambiental e governança corporativa,
para que os integrantes tenham conhecimento básico sobre os riscos e
consequências a que estão sujeitos.
Portanto, uma empresa que busca a implementação de uma cultura deve
prescrevê-la conjuntamente com seus objetivos em códigos de ética e conduta, que é
o documento-guia que servirá de orientação para todos os integrantes. Além disso, é
necessário fiscalizar o seu cumprimento, implementando outras práticas para a sua
efetividade.

Avaliação e controle de riscos (risk assessment e due diligences)

Os objetivos empresariais estabelecidos

constituem as bases para a valoração dos riscos,
pois é no trajeto de sua perseguição que reside a
vulnerabilidade da empresa.
A avaliação de riscos (risk assessment)
consiste no mapeamento de cada risco que pode ser
esperado do exercício concreto de uma atividade
empresarial. A partir daí, a empresa deve se esforçar
para que toda hipótese de risco e suas extensões
sejam eliminadas. É importante também que se mapeie todas as normas legais (leis
federais, estaduais e municipais) que recaem sobre sua atividade e setor.
Vicente Greco Filho e João Daniel Rassi citam alguns fatores a serem
observados para mapeamento dos riscos: conhecimento dos riscos no ramo de
atividade da empresa ou no setor que atua; levantamento dos riscos de corrupção na
região de cada país através da Transparência Internacional do “Índice de Percepção
da Corrupção”; consulta à experiência dos membros da empresa; análise do grau de
envolvimento da empresa com contratos governamentais e da interação com terceiros
que tem relações com o governo.
Com o levantamento dos riscos se cria a estrutura preventiva do programa de
42

compliance para poder construir condutas preventivas. A gestão de riscos

corporativos deve ser um processo conduzido pelo Conselho de Administração, pela
diretoria e todos os colaboradores, em conexão com um departamento de estratégias,
para avaliar condutas e eventos potencialmente danosos, para então administrar e
prevenir os riscos e, assim. garantir o cumprimento das diretrizes da empresa.
Ivó Coca Vila sugere que para o desempenho das atividades mais expostas
aos riscos sejam selecionadas as pessoas mais competentes, inclusive, a empresa
deve se encarregar de prepará-las adequadamente com a realização de cursos de
capacitação e treinamentos periódicos, reforçando o cumprimento do código de ética
e advertindo sobre as responsabilidades e as consequências das atividades.
Ligada à avaliação e contenção de riscos está a prática do due diligences, que
realiza uma filtragem nas contratações com fornecedores, distribuidores e servidores.
Trata-se uma medida de controle que visa afastar atos de corrupção, fraude e lavagem
de dinheiro que possam prejudicar o patrimônio e a imagem da empresa.
O dever de compliance “Know your client” é um due diligence muito utilizado
pelas instituições financeiras. No campo das empresas, essa técnica recebe o nome
de “Know your customer”, que diz respeito à coleta das informações nas relações de
consumo.
É importante que a empresa adote políticas e procedimentos internos escritos
e integrados em todos os setores como medida de controle de riscos. Uma política
bem elaborada diante de uma responsabilidade objetiva, por exemplo, rompe o nexo
de causalidade, visto que desenha todo um trajeto para que o ato não enseje um nexo
de causalidade que acarrete em uma conduta indesejável. Suponhamos que uma
empresa fabricante de sucos os venda para um distribuidor que, por sua vez,
procederá com a venda em escolas. Se o programa de compliance da empresa prevê
que os sucos serão vendidos e entregues aos distribuidores em até uma semana
antes da data de seu vencimento, vedando-lhes a venda posterior a essa data e se o
procedimento do compliance foi devidamente respeitado pela empresa, esta poderá
ter sua responsabilidade excluída se o distribuidor agiu por si só e vendeu o suco
vencido, visto que os indicadores do compliance revelam quem agiu em
desconformidade com as diretrizes e políticas fixadas.
43

Desse modo, as medidas de controles e procedimentos internos não se

resumem à instituição do programa de compliance, mas estão igualmente
relacionadas a onde está o dever de agir e a como controlar os riscos. É importante,
assim, a designação de administradores para a fiscalização do cumprimento do
procedimento como forma de minimizar riscos, bem como para documentar e registrar
todas as atividades, pois, um programa de compliance efetivo é aquele que é
praticado, fiscalizado e cumprido.
Nesse sentido, um comitê de compliance também pode liderar as atividades de
conformidade da empresa. Uma de suas vantagens é a sua função de manter os
padrões elevados de conduta e ética dos funcionários e, para tanto, revisa
constantemente as normas que avaliam e controlam os riscos das atividades
desempenhadas por cada um na empresa.
No Brasil, o artigo 42 do Decreto nº 8.420/2015 também prevê a avaliação e
contenção de riscos como elementos de um programa de compliance, exigindo, por
exemplo, a análise periódica dos programas de compliance, registros contábeis,
controles internos que assegurem a confiabilidade das demonstrações financeiras das
empresas, procedimentos específicos para prevenção de fraudes e ilícitos em
contratos administrativos ou celebrados com o governo, diligências perante as
contratações, verificação de irregularidades ou ilícitos em fusões, aquisições e
reestruturações societárias, entre outros.

Delimitação dos âmbitos de competência

Um programa de compliance é organizado se prevê uma correta distribuição e

constituição de todos os postos competentes que integram a empresa além de uma
clara delimitação das atribuições e responsabilidades de cada um. O objetivo consiste
em saber quem é competente para cada atividade e função desempenhada na
empresa.
Trata-se da definição de uma cadeia de responsabilidades. A criação de
esferas competentes permite identificar quem é a pessoa responsável por cada
processo da empresa, impedindo a delegação de tarefas e dificultando a dissolução
44

das responsabilidades, o que facilita a imputação de responsabilidade em caso da

prática de uma infração.
É bem verdade que o programa de compliance acaba por criar posições de
garantes, para os empregados, se estendendo a dirigentes responsáveis por eles ou,
por se dizer, aos Compliance Officers, que também tem o papel de fiscalizar o
cumprimento do programa, alcançando até mesmo os órgãos principais da empresa.
Uma delimitação de responsabilidades nesse sentido permite, inclusive, uma exata
distinção entre autoria e participação, identificação de condutas comissivas ou
omissivas relevantes em um fato ilícito.
Evidente que a delimitação de competência do programa de compliance é
atraente para o Direito Penal, eis que sua constituição clássica enfrenta dificuldades
para investigar e eventualmente punir os responsáveis nos casos em que o delito
envolve a participação de uma pessoa jurídica.
Não se pretende adentrar nesse campo de discussão que, nitidamente,
demanda o enfrentamento de uma série de questões penais. Aqui, limita-se a dizer
que a forma como a empresa organiza a sua imputação se aplica tão somente
internamente, no contexto de sua atuação. Hipoteticamente, o Direito Penal poderia
se auxiliar dessa ferramenta do programa do compliance, condicionado ao
atendimento de determinados requisitos para o seu acesso, no entanto estaria
obrigado a rediscutir toda a causalidade conforme os critérios fixados em seu
ordenamento jurídicos, assegurando todas as garantias fundamentais ao investigado.
Essas dúvidas somente fortalecem a ideia de que a inclusão do criminal
compliance no ordenamento jurídico-penal mostra-se necessária, uma vez que o
Direito Penal poderia auxiliar na construção das cadeias de responsabilidade dos
programas, sintonizando-os aos critérios do sistema de imputação penal.
Por fim, é possível que mesmo diante de uma cadeia de responsabilidade
definida, em tese, os subordinados poderiam ser prejudicados nas situações em que
os detentores do poder de mando obrigam ao cumprimento de ordens camufladas
com fins ilícitos. Se o subordinado tem conhecimento da ilicitude, o próprio programa
de compliance o protege, pois constitui um de seus pilares também a exigência de um
canal interno de denúncias que, como dito, é averiguado por auditorias desvinculadas
45

dos órgãos diretórios, devendo, assim, o subordinado recorrer à ferramenta e registrar

o fato. Entretanto, se o subordinado desconhece a ilicitude, outras medidas internas
do programa de compliance ligadas à detecção e à análise da efetividade do
programa, em tempo, podem atestar que não há qualquer envolvimento do
subordinado.

Sistemas internos de comunicação

Os sistemas de comunicação são ferramentas fundamentais para a prevenção,

controle e minimização de riscos e estão representados por canais internos e
externos. Seu objetivo é assegurar que todos da corporação tenham conhecimento e
acesso constante à informação.
Os canais internos referem-se à circulação da informação pela empresa.
Através deles, de um lado, a diretoria é comunicada de todo risco relevante ou de uma
conduta desviada e, de outro, os empregados são alertados antes e durante a
execução de uma atividade de risco, sendo ainda imprescindível a designação de um
funcionário para certificar a transmissão da informação.
Os canais externos dizem respeito à um portal de comunicação com acionistas,
clientes, autoridades supervisoras, autoridades judiciais, entre outros, observando
que o sigilo deve ser preservado.
Nesse contexto, foram criados os canais de denúncias e investigações internas
que, segundo Juan Pablo Montiel, exercem uma função relevante no controle da
criminalidade empresarial.
O canal de denúncias e investigações internas de uma empresa visa estimular
seus integrantes a registrar a ocorrência de supostas infrações às normas internas
estabelecidas, assegurando que os fatos serão examinados e apurados.
Para fomentar a utilização do canal, a empresa deve realizar cursos, palestras
e treinamentos periódicos, reforçando a seus integrantes a obrigação de respeitar as
normas do Código de Ética e de condutas e de tomarem providências imediatas diante
de condutas supostamente ilícitas.
Ademais, é imprescindível que seja assegurado o anonimato ao denunciante,
46

o sigilo das informações e das investigações e que a apuração será realizada por uma
auditoria externa desvinculada da diretoria, advertindo, por outro lado, que as
denúncias devem ser feitas com boa-fé, sob pena da responsabilização por
imputações falsas, que, inclusive, também serão sigilosas, evitando-se qualquer
constrangimento ao denunciante.
Convém registrar que inexiste no Brasil previsão legal sobre o procedimento
das investigações internas privadas, embora o artigo 42, inciso X, do Decreto nº
8.420/2015 recomenda esse item nos programas de compliance. Notadamente, o
assunto carrega uma série de questões que precisam ser discutidas. Entretanto,
destacam Vicente Greco Filho e João Daniel Filho que algumas recomendações são
sugeridas para se evitar qualquer ilegalidade, como por exemplo, a elaboração pela
empresa de um termo sobre a sua política de uso de equipamentos eletrônicos que
deve ser assinado pelo funcionário no ato da contratação.
É importante, ainda, que as investigações sejam registradas passo a passo,
lançando atas, emitindo relatórios e arquivando provas e documentos.
Em suma, um programa de compliance pode ser reconhecido pela sua
excelência se prevê um canal de denúncias e investigações internas. Porém, sua
efetividade está condicionada ao seu funcionamento, se a empresa incentiva o uso,
se as denúncias revestidas de boa-fé são devidamente apuradas e se as providências
são tomadas quando necessárias.

Sistemas de supervisão e sanção

O sistema de supervisão refere-se ao cumprimento de deveres de vigilância e

está fundamentado na necessidade de se neutralizar carências estruturais do
programa.
Alerta Raquel Montaner Fernández que a supervisão deve ser executada por
cargos independentes (auditorias), posto que profissionais de fora da corporação
podem detectar melhor a vulnerabilidade do programa.
O sistema de supervisão se encarrega de identificar fontes de perigo, atividades
e riscos com potencialidade criminógena e de revisar frequentemente as normas
47

internas da empresa para então proceder à correção do programa de compliance a

fim de que seja eficaz. Recomenda-se que o sistema de supervisão registre todas as
falhas do programa, desde um pequeno risco eminente até uma conduta desviada,
bem como as providências adotadas e aquelas que precisam ser tomadas.
Por essas razões, é comum esse sistema ser chamado de “melhora contínua”,
uma vez que monitoram e revisam periodicamente o programa de compliance e suas
medidas.
Já o sistema de sanção se incumbe de aplicar penalidades ao integrante da
empresa que violou as normas internas. Normalmente, esse sistema precede a
consulta ao sistema de supervisão, às denúncias e investigações internas. As
penalidades estão previstas nos códigos de ética da empresa e são aplicadas
proporcionalmente à gravidade de ato, por exemplo, a advertência, o afastamento
temporário e a rescisão do contrato de trabalho.
No Brasil, o artigo 42, incisos XI e XV do Decreto nº 8.420/2015 recomenda os
sistemas de supervisão e sanção nos programas de compliance.
Estes são, portanto, os parâmetros mínimos que devem observar um programa
de compliance. Tecnicamente, o correto é o criminal compliance trabalhar com a
responsabilidade penal da pessoa jurídica, porque permitiria uma operacionalização
adequada do Direito Penal e a real exploração da efetividade que o instituto oferece,
ante tais características.
48

REFERÊNCIAS

ANDRADE, Adriana; Rossetti, José Paschoal. Governança Corporativa.

Fundamentos, desenvolvimento e tendência. São Paulo: Atlas, 2006.
ARRUDA, Maria Cecília Coutinho de; WHITAKER, Maria do Carmo; RAMOS, José
Maria Rodriguez, Fundamentos de Ética Empresarial e Econômica. São Paulo: Atlas,
2009.
AGUILAR, Francis J. A Ética nas Empresas. Tradução de Ruy Jungmann. Rio de
Janeiro: Jorge Zahar Editor, 1996.
BACIGALUPO, Enrique. Compliance y derecho penal. Prevención de la
responsabilidadLogo, openal de directivos y de empresas. Buenos Aires: Editorial
Hammurabi, 2012.
CABETTE, Eduardo Luiz Santos; NAHUR, Marcius Tadeu Maciel. Criminal
Compliance e Ética Empresarial. Porto Alegre: Nuria Fabris Editora, 2013.
CALLEGARI, André Luís. Imputação Objetiva. Lavagem de dinheiro e outros temas
do Direito Penal. Porto Alegre: Livraria do Advogado Editora, 2004.
CARVALHO, Márcia Dometila Lima de. Fundamentação Constitucional do Direito
Penal. Porto Alegre: Sérgio Antônio Fabris Editor, 1992.
COIMBRA, Marcelo de Aguiar; MANZI, Vanessa Alessi. Manual de Compliance –
Preservação a Boa Governança e a Integridade das Organizações. São Paulo: Atlas,
2010.
CONDE, Francisco Muñoz. Teoria Geral do Direito. Tradução Juarez Tavares e Luiz
Régis Prado. Porto Alegre: Sérgio Antonio Fabris Editor, 1988.
DIAS, Jorge de Figueiredo. Direito Penal. Parte Geral. Tomo I. Coimbra: Coimbra
Editora, 2004.
DINIZ, Maria Helena. Compêndio de Introdução à Ciência do Direito. São Paulo:
Saraiva, 1988.
FERNANDES, Paulo Silva. Globalização, "Sociedade de Risco" e o Futuro do Direito
Penal. Panorâmica de Alguns Problemas Comuns. Coimbra: Almedina, 2001.
FIANDACA, Giovani. O bem Jurídico como problema teórico e como critério de política
criminal. Tradução de Heloisa Estellita Salomão. Revista dos Tribunais, vol. 776, ano
49

89, 2000, p. 409-439.

GRECO FILHO, Vicente; RASSI, João Daniel. O combate à corrupção e comentários
à lei de responsabilidade de pessoas jurídicas. São Paulo: Saraiva, 2015.
GRECO, Rogério. Curso de Direito Penal: Parte Geral. Volume I. Niteroi: Impetus,
2006.
HASSEMER, Winfried. Derecho Penal Simbólico y protección de Bienes Jurídicos. In
vários autores. Pena y Estado, Santiago: Editorial Jurídica Conosur, 1995, p. 31.
KAUFMANN, Arthur. Derecho, Moral e Historicidad. Tradução de Emílio Eiranova
Encinas. Madrid: Marcial Pons, 2000.
KELSEN, Hans. et al. Direito Natural. Direito Positivo. Direito Discursivo. Porto Alegre:
Livraria do Advogado, 2010.
KUHLEN, Lothar (Dir.); MONTIEL, Juan Pablo (Dir.); ORTIZ DE URBINA GIMENO,
Ínigo (Dir.). Compliance y teoría del Derecho penal. Madrid: Marcial Pons, 2013.
MARQUES, Oswaldo Henrique Duek. Fundamentos da Pena. São Paulo: Juarez de
Oliveira, 2000.
MONTIEL, Juan Pablo. Autolimpieza Empresarial: Compliance Programs,
Investigaciones Internas y Neutralización de Riesgos Penales. In KUHLEN, Lothar
(Dir.); MONTIEL, Juan Pablo (Dir.); ORTIZ DE URBINA GIMENO, Ínigo (Dir.).
Compliance y teoría del Derecho penal. Madrid: Marcial Pons, 2013.
NIETO MARTÍN, Adán. De la ética pública al public compliance: sobre la prevención
de la corrupción en las administraciones públicas. In NIETO MARTÍN, Adán. (Org.);
OLIVEIRA, João Guilherme Silva Marcondes de. Do Caráter Aberto dos Tipos Penais.
Revisão de uma Dicotomia. Dissertação (Mestrado em Direito) - Universidade de São
Paulo, 2010.
PASCHOAL, Janaina Conceição. Constituição, criminalização e direito penal mínimo.
São Paulo: Revistas dos Tribunais, 2003.
PASSOS, Elizete. Ética nas Organizações. São Paulo: Atlas, 2004.
RODRIGUES, Anabela Miranda. Direito Penal Económico – É legítimo? É
necessário?Revista Portuguesa de Ciência Criminal, 2016, ano 26, p.35-59.
SAAVEDRA, Giovani Agostini. Compliance e prevenção à de lavagem de dinheiro:
sobre os reflexos da Lei n. 12.683/2012 no mercado de seguros. Revista de Estudos
50

Criminais. n. 54, v. 12, 2014. p. 165-180.

SANTOS, Renato de Almeida de. Compliance como ferramenta de mitigação e
prevenção da fraude organizacional. Dissertação (Mestrado em Administração) -
Pontifícia Universidade Católica de São Paulo, 2011.
SIEBER, Ulrich. Programas de Compliance no Direito Penal Empresarial: um novo
conceito para o controle da criminalidade econômica In OLIVEIRA, William Terra de
(Org.); NETO, Pedro Ferreira Leite (Org.); ESSADO, Tiago Cintra (Org.); SAAD-DINIZ,
Eduardo (Org.). Direito penal econômico: estudos em homenagem aos 75 anos do
Professor Klaus Tiedemann. São Paulo: LiberArs, 2013.
SILVEIRA, Renato de Mello Jorge. Direito penal supra-individual: interesses difusos.
São Paulo: Revista dos Tribunais, 2003.
TAVARES, André Ramos. Direito Constitucional Econômico. São Paulo: Editora
Método, 2003.