Muitas organizações têm programas de compliance. Canais de denúncia implementados, comitês constituídos, políticas aprovadas pelo conselho, processos de due diligence formalizados. Ter o programa é o começo. A pergunta seguinte é se ele funciona.
Não falta orientação sobre o que é um bom programa de compliance. A literatura sobre seus elementos é farta1. Diretrizes, guias de boas práticas e avaliações publicadas em diversas jurisdições descrevem, em detalhes, o que não pode faltar em um programa de compliance robusto. Ainda assim, não são poucas as empresas que têm um programa que, a despeito de existir, não funciona.
A diferença entre o programa que existe e o programa que funciona pode ser sutil para olhos pouco treinados. No entanto, alguns indícios são mais reveladores do que outros. Têm especial relevância, nesse sentido, as situações em que os controles e ferramentas do programa não geram o resultado esperado.
Um exemplo clássico é o canal de denúncias sem uso. Silêncio em um canal de denúncias é um dado que demanda investigação. Uma organização que comemora a ausência de relatos como evidência de clima saudável pode estar deixando de fazer a pergunta certa: o canal inspira confiança? Garante anonimato real? Produziu respostas visíveis às denúncias anteriores? O canal pode existir. A condição para que ele funcione, nem sempre.
Autoridade sem consequência não é autoridade - é burocracia. Um comitê de ética ou de compliance que se reúne, delibera, registra ata e sistematicamente conclui que não há o que sancionar pode estar cumprindo um ritual sem exercer uma função. A força de um programa não se mede pela existência do comitê, mas pela sua disposição - e pela coragem institucional - de decidir de forma incômoda quando os fatos exigem.
Um terceiro exemplo é o processo de due diligence que nunca resulta no bloqueio de um fornecedor. A função da due diligence é revelar informações relevantes sobre terceiros, inclusive as inconvenientes. Por sua vez, gestão de riscos significa dizer “sim” quando os riscos são gerenciáveis, aplicando as medidas de mitigação necessárias, e “não” nos casos em que o risco não é tolerável. Se o “não” nunca acontece, vale perguntar se o processo está de fato olhando - ou apenas registrando que olhou.
O programa que funciona dá frutos visíveis - e deixa rastros concretos de que seus controles operam, suas salvaguardas protegem e sua documentação sustenta decisões difíceis quando é necessário.
Um colaborador treinado que identifica uma situação de risco e decide reportá-la está fazendo mais do que simplesmente usar os mecanismos do programa de compliance - está sinalizando que conhece as normas da empresa e acredita no seu cumprimento. Equipe treinada e atenta aos riscos é sinal de comunicação adequada e reporte do risco por colaboradores é indicador de confiança institucional construída ao longo do tempo.
Por sua vez, uma due diligence que identifica irregularidades em relação a um candidato a fornecedor e impede a contratação - e esse mesmo fornecedor é, tempos depois, investigado pelas autoridades - demonstra que o programa viu o risco que o mercado ainda não havia visto. Não é sorte. É o resultado de um processo que, de fato, mapeia riscos e aplica medidas de mitigação.
Evidências produzidas por um processo de investigação interna utilizadas para justificar decisões e demonstrar cautelas perante autoridades também são exemplo de demonstração da eficácia de um programa de compliance. Registros formais existem em qualquer organização minimamente organizada. O que diferencia o programa de compliance que funciona é a documentação que demonstra premissas, critérios e ação de forma coerente e robusta. É isso que transforma o programa em um convincente argumento de defesa quando as autoridades batem à porta.
Ter um programa de compliance e ter um programa de compliance que funciona não são a mesma coisa. A diferença não está na documentação ou nos processos existentes - está na disposição institucional de lidar com o que um programa efetivo inevitavelmente produz: informação incômoda, decisões difíceis, recusas que custam relacionamentos e sanções que afirmam uma cultura de conformidade.
E aí - na empresa onde você trabalha -, o programa de compliance funciona?
_____________________
1. Para citar apenas os mais conhecidos: CGU, "Programa de Integridade: Diretrizes para Empresas Privadas" (2024). Disponível aqui; OCDE, "ANTI-CORRUPTION ETHICS AND COMPLIANCE HANDBOOK FOR BUSINESS" (2009). Disponível aqui.; DOJ, "Criminal Division's Evaluation of Corporate Compliance Programs" (2023). Disponível aqui.