Os programas de compliance devem ser obrigatórios?
A resposta é sim, mas existem vários fatores para que essas exigências sejam racionais e eficientes nos programas de Compliance.
Recentemente, diversas normas vêm exigindo iniciativas ou programas de compliance nas mais diversas áreas de atuação, tal como expusemos no mês passado neste espaço. Há um ponto a se considerar nessa profusão de obrigatoriedades de maneira geral: ela deveria se aplicar a todo tipo de empresa e situação?
Um princípio moderno e muito difundido é o da Abordagem Baseada em Riscos – ABR. Sob essa lógica, um critério eficiente de gestão de riscos é colocar maior esforço, investimento e tempo em situações que são mais prováveis em que esse risco se materialize. Com isso, consegue-se ter uma espécie de “customização” no enfrentamento do risco nas áreas de compliance das organizações, já que cada uma tem as suas peculiaridades (está sujeita a riscos diferentes). Evita-se com isso o chamado sham compliance, ou compliance de fachada.
Quando uma norma exige um programa de compliance indiscriminadamente e não considera esse racional, pode estar, sem querer, fomentando um mercado de compliance de prateleira: empresas que não têm o menor interesse em manter o programa em funcionamento acabam gerando falsas expectativas em todos. Compram documentos e fabricam evidências apenas para poderem cumprir com as obrigações, em um puro exercício de ticking-box (“marcar caixinhas”).
Por exemplo: um defeito comum que se costuma observar em programas de compliance ocorre no processo de due diligence, seja de clientes, terceiros, fornecedores ou parceiros comerciais. Geralmente, ao submeter uma empresa a este procedimento, muitos questionários indagam se ela possui programa de compliance estruturado. Entretanto, poucos consideram fatores de ABR, como: (i) tipo de atividade (fornecer água mineral oferece menos risco do que uma atividade de despachante); (ii) grau de exposição de risco (se o risco for de corrupção, verificar se há interação com o setor público; se for de privacidade, observar se há tratamento de dados pessoais em nome do controlador); (iii) volume do negócio (um contrato de mil reais é diferente de um milhão); (iv) porte, faturamento e tipo da organização (uma Eireli com 3 funcionários e que fatura R$ 100.000,00 por ano é diferente de uma S/A com 5 mil funcionários e que fatura R$ 100 milhões); (v) reputação (a empresa ou pessoa está envolvida em algum escândalo que tenha a ver com a atividade da organização e o objeto do contrato?).
Unificando esses critérios, é possível chegar a um rol razoável de empresas que precisam realmente ter um programa de compliance e passar por um due diligence robusto. Também se pode dispensar diversas outras dessas exigências, otimizando-se a gestão do programa de compliance. O problema é que nem todas as áreas de compliance pensam assim: na dúvida, é melhor prevenir do que remediar. É verdade; mas enquanto se perde tempo olhando as formigas, os elefantes estão passando.
Nos últimos tempos, é comum verificar em apresentações de áreas de compliance informações a respeito de corte de um alto percentual de terceirizados. O problema é que esses dados não querem dizer nada: isso não é sinônimo de uma gestão de riscos eficiente, e pode ser que nesse alto percentual muitos terceiros tenham sido bloqueados injustamente.
Logo, algumas normas vêm adotando aqueles critérios de ABRs para definir a obrigatoriedade de um programa de compliance, trazendo esse enfoque mais racional. A norma francesa Loi Sapin II adota um critério de ABR para tornar mandatório o programa de compliance anticorrupção: empresas que empregam 500 ou mais funcionários e têm faturamento acima de 100 milhões de euros estão sujeitas à obrigação.
No Brasil, no Projeto de Lei nº 4.253/2020, aprovado no Senado no mês passado e que deve ser sancionado em breve, ficou estabelecido que para as contratações de obras, serviços e fornecimentos de grande vulto, o edital deverá prever a obrigatoriedade de implantação de programa de integridade (compliance anticorrupção) pelo licitante vencedor, no prazo de 6 meses, contado da celebração do contrato. Isso vem na mesma linha do que já vinha sendo regulamentado localmente em diversos Estados da federação,
A Circular BACEN nº 3.978/2020 estabeleceu que as instituições financeiras devem avaliar o interesse no início ou na manutenção do relacionamento com clientes que exerçam atividades enquadradas no conceito de Pessoa Exposta Politicamente – PEP, a qual deve ser realizada por detentor de cargo ou função de nível hierárquico superior ao do responsável pela autorização do relacionamento com o cliente. A mesma norma também exige que os riscos sejam avaliados de acordo com o impacto reputacional para a instituição.
Percebe-se, portanto, que não basta exigir formalmente programas ou iniciativas sem considerar o risco envolvido na transação. O que se observa, ultimamente, são situações injustas e que não obedecem a uma ABR, como exigências de programas de compliance de maneira generalizada, não considerando se a contraparte é uma pequena empresa, o tipo da atividade a ser realizado, ou se há realmente riscos reputacionais envolvidos (uma potencial contratada responder a um processo não significa que isso vai automaticamente manchar a reputação da contratante).
O efeito disso é que a figura do compliance começa a distorcer o mercado e, como consequência, prejudicar o negócio ao invés de auxiliá-lo. Antes de se falar em exigência obrigatória de programas, é preciso saber se existe maturidade interna suficiente para levar adiante análises críticas em relação às situações em que tais exigências são realmente imprescindíveis, sempre levando em consideração os reais riscos envolvidos.
*André Castro Carvalho, bacharel, mestre e doutor em Direito pela Universidade de São Paulo, tendo sua tese de doutorado recebido o Prêmio Capes de Tese 2014 como a melhor tese de doutorado de Direito no Brasil em 2013. Realizou estudos de pós-doutorado no Massachusetts Institute of Technology – MIT (em 2016) e na Faculdade de Direito da USP (2017-2018). Professor na graduação e pós-graduação do Ibmec-SP. Vice-presidente do Instituto Brasileiro de Direito e Ética Empresarial – IBDEE. Advogado em São Paulo
Artigo publicado no Estado de S.Paulo, clique aqui para ler na fonte.