Artigo
24/10/2024
Atualizado em 01/05/2026

Detalhando Qual deve ser o Mandato e das Responsabilidades da área de Compliance

Definir claramente o mandato e responsabilidades da área de Compliance é essencial para garantir ética, conformidade legal, mitigação de riscos e governança corporativa eficaz na empresa.

Imagem de capa do artigo

Queria comentar hoje mais sobre a importância de uma definição clara do mandato e das responsabilidades da área de Compliance em uma empresa, que é, na minha opinião, base estrutural para garantir que a empresa opere de forma ética, em conformidade com as leis e regulamentos aplicáveis, e alinhada com os mais altos padrões de governança corporativa, onde a função de Compliance passou a ser vista não apenas como uma exigência legal, mas como uma peça estratégica na preservação da integridade da empresa, na mitigação de riscos e na construção de uma reputação sólida perante clientes, acionistas, investidores e reguladores.

A área de Compliance, ao ter um mandato bem definido, se torna mais uma importante linha de defesa contra riscos legais, financeiros e reputacionais, promovendo uma cultura de transparência e conformidade. Pois, sem este mandato claro, as responsabilidades de Compliance podem se diluir, gerando falhas de controle, falta de coordenação e vulnerabilidades que podem resultar em sanções, multas e perda de confiança no mercado. Por isso que a clareza sobre o escopo de atuação da área de Compliance é importante para assegurar que a empresa esteja preparada para antecipar, identificar e responder aos desafios impostos por um ambiente regulatório dinâmico.

Além disso, uma definição robusta do mandato de Compliance auxilia na integração desta função com as demais áreas da empresa, promovendo uma atuação conjunta em processos estratégicos, como gestão de riscos, controles internos, auditoria interna, governança e desenvolvimento de políticas corporativas. Esta relação e alinhamento de Compliance com estas demais funções é o que garante que as práticas de conformidade não sejam vistas como atividades isoladas ou burocráticas, mas sim como um alicerce do planejamento estratégico e do crescimento sustentável.

Importante passar esta mensagem forte de um compromisso com a ética empresarial, com a construção de um ambiente de negócios seguro e transparente, e com a proteção da empresa contra uma ampla gama de riscos que, caso não sejam geridos adequadamente, podem comprometer sua continuidade e reputação, permitindo que a área de Compliance desempenhe seu papel de maneira mais eficiente, com autoridade e recursos adequados para implementar controles internos eficazes, realizar treinamentos, monitorar riscos, responder a incidentes e interagir de maneira assertiva com reguladores e demais partes interessadas.

Dita esta introdução, queria agora abordar em detalhes algumas das principais responsabilidades e o escopo que uma área de Compliance deve cobrir, e junto disto ainda vou tentar fazer alguns comentários sobre pontos que merecem atenção na minha opinião:

Prevenção, Detecção e Resposta a Riscos de Compliance:

A prevenção de riscos de Compliance deve estar no centro da atuação da área. Para isso, é essencial a criação de um conjunto de políticas e procedimentos robustos que guiem o comportamento dos colaboradores e terceiros envolvidos nas operações da empresa.

Algumas das políticas mais comuns são:

- Código de Conduta: Um código de ética e conduta deve ser a base da governança ética da empresa. Ele deve definir claramente o que é esperado de cada colaborador em termos de comportamento e tomar como base os princípios fundamentais de integridade, honestidade e transparência.

- Política Anticorrupção: Inclui diretrizes para prevenir práticas ilícitas, como subornos, conflitos de interesse e fraudes. Esta política precisa ser ajustada às legislações específicas, como a Lei Anticorrupção no Brasil, e aplicada em todas as atividades da empresa.

- Política de Presentes e Hospitalidades: Criar um limite para o que é aceitável no que tange a ofertas de presentes, hospitalidades ou vantagens. Essa política é crítica em setores onde há interação frequente com agentes públicos.

Essas políticas devem ser periodicamente revisadas e atualizadas para acompanhar as mudanças no ambiente regulatório e nos negócios.

Já a detecção de possíveis violações ou desvios de conformidade é realizada por meio de um sistema de monitoramento contínuo. Ferramentas tecnológicas podem ser empregadas para automatizar esse monitoramento tais como:

- Sistemas de análise de dados: Aplicar algoritmos para detectar padrões irregulares nas operações financeiras, pagamentos a terceiros ou movimentações de estoque. A detecção precoce de irregularidades pode prevenir perdas financeiras significativas ou danos reputacionais.

- Auditorias Internas: A área de Compliance deve trabalhar em estreita colaboração com a auditoria interna, que realiza revisões periódicas dos controles internos e verifica a aderência às políticas de Compliance. Estas auditorias devem ser baseadas em uma avaliação de risco que considere áreas de maior exposição, como contratos de terceiros, doações e áreas de interface com o governo.

- Ferramentas de monitoramento de mídia negativa: A área de Compliance também pode se beneficiar de ferramentas tecnológicas que monitoram a presença de colaboradores, terceiros e fornecedores em listas de sanções, buscas em mídias ou investigações públicas. Isso ajuda a evitar o envolvimento da empresa com parceiros que possam representar um risco de compliance.

Enquanto que a resposta, quando uma violação de Compliance é detectada, é necessário ter um processo claro de investigação interna. Este processo deve garantir a imparcialidade e a confidencialidade, além de estar em conformidade com as leis trabalhistas e normas regulatórias aplicáveis, o que envolve:

- Condução de entrevistas: Os envolvidos devem ser ouvidos de forma confidencial e suas alegações documentadas de maneira imparcial.

- Coleta de provas: Documentos, registros de transações, e-mails e outros elementos de prova devem ser preservados e analisados.

- Ações corretivas: Dependendo da gravidade da infração, as medidas corretivas podem variar de uma advertência interna até o desligamento de colaboradores ou rescisão de contratos com fornecedores. Em casos de infrações legais, a área de Compliance pode precisar cooperar com as autoridades reguladoras ou judiciais.

Gestão de Riscos de Compliance:

Gosto bastante desta, ainda que nem sempre esteja claro ao pessoal da própria área este papel. A identificação e avaliação dos riscos de Compliance envolve o uso de metodologias estruturadas tais como:

- Matriz de Riscos de Compliance: Essa matriz deve mapear os principais riscos aos quais a empresa está exposta e classificá-los com base em sua probabilidade de ocorrência e no impacto potencial. Essa abordagem quantitativa e qualitativa permite priorizar os esforços de controle em áreas mais críticas.

- Avaliação de Impacto Regulatório: Sempre que há uma mudança regulatória significativa, a área de Compliance deve conduzir uma avaliação de impacto para entender como as novas leis ou regulamentações afetarão as operações da empresa. Isso pode incluir a necessidade de ajustar procedimentos internos, capacitar funcionários ou até mesmo reestruturar determinadas áreas.

Após identificar e avaliar os riscos, a área de Compliance deve garantir que controles internos adequados estejam em vigor para mitigar esses riscos, aonde esses controles podem ser:

- Prevenção de Fraudes: A implementação de controles antifraude, como a separação de funções (segregação de deveres), controle de acesso a sistemas financeiros, e auditorias surpresa em áreas críticas.

- Controles de Due Diligence: Ao se engajar com terceiros, realizar uma due diligence detalhada é fundamental para garantir que fornecedores, clientes e parceiros estejam em conformidade com as leis e regulamentos relevantes.

Desenvolvimento e Implementação de Políticas e Procedimentos

Como não poderia deixar de ser, uma das mais tradicionais é o desenvolvimento de políticas e procedimentos claros e acessíveis para toda a empresa. Para garantir a aderência essas políticas precisam ser:

- Documentadas de forma clara: Usar uma linguagem que seja compreensível por todos os colaboradores, evitando jargões excessivamente técnicos.

- Alinhadas com a realidade operacional: As políticas precisam ser adaptadas ao contexto operacional da empresa, levando em consideração o setor, a localização geográfica e o perfil de colaboradores e clientes.

Um aspecto essencial é a gestão de mudanças. Sempre que uma nova política for introduzida ou uma política existente for atualizada, a área de Compliance precisa garantir que todos os colaboradores e partes interessadas sejam adequadamente informados e treinados.

Treinamento e Cultura de Compliance

Como sempre a educação contínua é essencial para promover uma cultura de compliance em toda a empresa, então as responsabilidades da área envolvem:

- Treinamentos periódicos obrigatórios: Colaboradores devem passar por treinamentos regulares sobre temas como anticorrupção, PLD, assédio, proteção de dados e ética no trabalho. Esses treinamentos podem ser presenciais ou por meio de plataformas digitais, com avaliações ao final para garantir a absorção do conteúdo.

- Programas de sensibilização: Além de treinamentos formais, a área de Compliance deve desenvolver campanhas internas de conscientização, como a celebração de semanas de compliance, comunicações regulares via e-mail ou newsletters, e a divulgação de histórias de sucesso de como a conformidade ajudou a empresa a evitar riscos.

Monitoramento Contínuo e Avaliação de Conformidade

Não é só implementar, é preciso depois ter um monitoramento contínuo, o que normalmente requer a implementação de ferramentas tecnológicas de controle e auditoria tais como:

- Sistemas de Gestão de Compliance (GRC - Governance, Risk and Compliance): Esses sistemas integram as áreas de governança, gestão de riscos e compliance, permitindo uma visão ampla e detalhada das operações e suas conformidades.

- Indicadores-chave de Conformidade (KCIs): Medir a eficácia das atividades de Compliance é vital. Indicadores como número de violações detectadas, tempo de resposta às denúncias, número de funcionários treinados, entre outros, devem ser usados para ajustar e melhorar continuamente os controles.

Gerenciamento de Denúncias e Proteção ao Denunciante

Outro papel importante se refere a criação de canais de denúncia seguros, o que é fundamental.

- Linhas diretas (Hotlines) de denúncia: Plataformas que permitem que colaboradores e terceiros denunciem infrações anonimamente, sem o risco de retaliação.

- Plataformas digitais seguras: Além da tradicional linha telefônica, portais digitais e aplicativos móveis podem ser usados para facilitar as denúncias e assegurar confidencialidade.

A proteção ao denunciante é garantida por meio de políticas formais que asseguram que qualquer forma de retaliação será tratada com severidade, promovendo uma cultura de integridade e confiança.

Conformidade Regulatória

A área de Compliance precisa ser proativa na identificação de mudanças regulatórias. Isso envolve a participação ativa em fóruns e associações de classe, além do diálogo constante com reguladores e consultores jurídicos.

Gestão de Terceiros e Due Diligence

A relação com terceiros representa uma área crítica de risco de compliance, exigindo um rigoroso processo de due diligence. A área de Compliance deve assegurar:

- Avaliações contínuas de integridade e conformidade dos terceiros com os quais a empresa se relaciona, garantindo que compartilhem os mesmos valores éticos e padrões de conformidade

Comunicação e Relacionamento com Órgãos Reguladores

Outra função que acho bem relevante, aonde a área de Compliance também tem a função de atuar como a principal interface entre a empresa e os órgãos reguladores. Esse relacionamento inclui a preparação de relatórios periódicos, participação em auditorias e investigações regulatórias, e a resposta tempestiva a solicitações de informações. A transparência é fundamental nesse processo, já que falhas na comunicação com reguladores podem resultar em sanções severas ou em danos irreparáveis à reputação da empresa.

Relacionamento com Stakeholders Externos

Não apenas com o regulador a área de Compliance também deve desempenhar um papel importante no relacionamento com partes externas que possuem interesse direto ou indireto na conformidade da empresa.

- Interação com investidores e acionistas: Compliance deve assegurar que a empresa esteja cumprindo suas obrigações de transparência e governança, transmitindo confiança aos investidores. Relatórios periódicos de conformidade podem ser uma ferramenta útil para informar os acionistas sobre o estado da conformidade na empresa e medidas adotadas para mitigar riscos.

- Relacionamento com clientes e fornecedores: A conformidade também afeta diretamente as relações comerciais da empresa. Garantir que fornecedores e clientes entendam e compartilhem os valores de conformidade da empresa fortalece as relações comerciais e minimiza riscos de associações com práticas ilícitas ou não conformes.

Gestão de Ética Empresarial

A área de Compliance também assume um papel fundamental na gestão da ética dentro da empresa. Para que uma cultura de conformidade seja plenamente efetiva, ela precisa estar alicerçada em um ambiente de alta integridade.

- Promover valores éticos no ambiente de trabalho: Compliance é o guardião dos padrões éticos da empresa. Deve garantir que todos, desde os funcionários da linha de frente até os executivos, compreendam e adiram a esses valores, tanto nas atividades diárias quanto em decisões estratégicas. Isso é alcançado por meio de campanhas de conscientização, treinamentos específicos sobre dilemas éticos e programas que incentivam o comportamento íntegro.

- Implementação de políticas de conduta ética e gestão de conflitos de interesse: A área de Compliance deve supervisionar a adoção de políticas robustas de ética, como códigos de conduta, programas de gestão de conflitos de interesse e regras para o relacionamento com partes interessadas, como fornecedores e clientes. Essas políticas devem ser claras e amplamente divulgadas, com mecanismos para identificar e tratar possíveis desvios.

- Garantia de um ambiente de trabalho justo e inclusivo: Compliance deve assegurar que a empresa siga todas as leis e normas relacionadas a práticas trabalhistas justas, combate ao assédio e discriminação, além de promover políticas de diversidade e inclusão. Isso contribui para um ambiente de trabalho mais saudável e minimiza riscos legais e reputacionais.

Esqueci de alguma importante?

Conteúdo do artigo
Detalhando Qual deve ser o Mandato e das Responsabilidades da área de Compliance

Dito isto, queria aproveitar a oportunidade que estou falando de compliance, para abordar também abaixo alguns temas que acho igualmente relevante na área, tais como:

Desafios na Implementação da Área de Compliance:

A implementação de uma área de Compliance robusta não está isenta de desafios, e diria de que entre os principais e mais comuns estão:

- Resistência Cultural: Algumas empresas, especialmente aquelas que operam em ambientes com baixa regulação, podem demonstrar resistência à adoção de uma cultura de conformidade. O desafio aqui é promover o aculturamento em todos os níveis da empresa, destacando que a conformidade não é apenas um requisito legal, mas uma vantagem competitiva.

- Complexidade Regulatória: Empresas que operam em múltiplas jurisdições (países) enfrentam o desafio de navegar por ambientes regulatórios diversos, o que exige uma abordagem dinâmica e adaptativa por parte da área de Compliance.

- Falta de Recursos: A criação de uma área de Compliance eficaz pode exigir investimentos consideráveis em pessoal qualificado, tecnologia e treinamento. Esse é um ponto que deve ser adequadamente priorizado pela alta administração.

Integração com a Governança Corporativa:

Outro ponto que acho bem imporante sobre a área de Compliance é sua integração com a estrutura de governança corporativa da empresa, como um dos pilares no fortalecimento da governança, alinhando-se com os objetivos estratégicos e assegurando que a empresa atue em conformidade com seus princípios éticos e legais. Para isso a área de Compliance precisa fazer:

- Coordenação com o Conselho de Administração e comitês de governança: O Compliance deve ter acesso direto ao conselho, frequentemente reportando sobre o status de conformidade, riscos emergentes e qualquer incidente relevante. O suporte e envolvimento ativo do conselho são essenciais para que a área tenha a autoridade e os recursos necessários para executar seu mandato de maneira eficaz.

- Trabalhar com o Comitê de Auditoria, de Riscos e outros comitês relevantes: A área de Compliance deve colaborar de perto com o Comitê de Auditoria e de Riscos, principalmente em questões relacionadas à conformidade financeira, relatórios de irregularidades e auditorias internas, o que vai fortalecer a cultura de transparência e controle dentro da empresa, e ajuda a garantir que os riscos de não conformidade sejam monitorados e mitigados de maneira adequada.

- Garantir a independência do Compliance: Um dos princípios fundamentais da governança corporativa é a independência da área de Compliance. Isso significa que a equipe de Compliance deve ter autonomia para agir sem sofrer interferências indevidas de outras áreas da empresa, especialmente quando se trata de investigar violações de políticas internas ou leis.

Gestão de Incidentes e Crises de Conformidade:

A área de Compliance também deve estar preparada para lidar com incidentes e crises, sejam elas resultantes de uma falha interna ou de uma situação externa que afete a empresa, e precisa:

- Desenvolver e implementar planos de resposta a crises de imagem: A preparação é fundamental. O Compliance precisa coordenar o desenvolvimento de planos de resposta a incidentes que cubram desde falhas operacionais até violações significativas de compliance, como fraudes ou incidentes de segurança da informação. Esses planos devem incluir protocolos claros de comunicação, investigação, mitigação e correção.

- Investigações internas: Quando ocorre um incidente de conformidade, a área de Compliance é responsável por liderar ou coordenar a investigação, seja internamente ou com o apoio de consultorias externas especializadas. As investigações devem ser conduzidas de maneira rápida, mas também cuidadosa, garantindo confidencialidade, imparcialidade e integridade no processo.

- Gerenciamento de comunicação e mitigação de danos: A comunicação com stakeholders internos e externos durante uma crise é crítica. A área de Compliance, em conjunto com outras áreas como a de comunicação e relações públicas, deve garantir que as informações sejam gerenciadas de maneira transparente e precisa, minimizando os impactos negativos à reputação da empresa.

Conformidade e a Proteção de Dados:

Falando da cada vez maior preocupação com a privacidade, a área de Compliance deve desempenhar um papel chave na conformidade com leis de proteção de dados. No Brasil a Lei Geral de Proteção de Dados (LGPD) é o principal marco regulatório nesse sentido, e sua correta implementação é responsabilidade compartilhada entre Compliance e TI, e os cuidados devem ser:

- Mapeamento e controle de dados pessoais: Compliance deve trabalhar com áreas técnicas e jurídicas para garantir que a empresa tenha um mapa detalhado de todos os dados pessoais que coleta, armazena e processa. Isso inclui a definição clara de bases legais para o processamento desses dados e a implementação de controles rigorosos para assegurar sua proteção.

- Gestão de consentimento e direitos dos titulares de dados: Uma função crítica de Compliance é garantir que a empresa obtenha o consentimento adequado dos titulares de dados e que esteja preparada para responder a solicitações de direitos, como acesso, correção ou exclusão de dados.

- Relatórios e gestão de incidentes de violação de dados: Em caso de incidentes de segurança envolvendo dados pessoais, a área de Compliance deve garantir que a empresa siga os protocolos de notificação às autoridades regulatórias e aos titulares dos dados, conforme exigido pela LGPD.

Inovações em Compliance e Melhoria Contínua:

Por fim queria dizer de que a função de Compliance está em constante evolução, e uma responsabilidade chave da área é manter-se atualizada em relação a tendências e inovações, oq que significa:

- Uso de novas tecnologias: Ferramentas de inteligência artificial e aprendizado de máquina podem ser usadas para aprimorar a detecção de comportamentos anômalos e prever riscos de conformidade. A área de Compliance deve buscar integrar essas tecnologias em seus processos de monitoramento e controle.

- Atualização contínua de políticas e procedimentos: O ambiente regulatório está em constante mudança, e as políticas de Compliance precisam acompanhar essas evoluções. A revisão periódica e a melhoria contínua dos controles e processos são fundamentais para manter a empresa protegida.

- Benchmarks e boas práticas: A área de Compliance deve também buscar boas práticas de mercado, utilizando benchmarks de outras empresas do mesmo setor ou de setores com elevados padrões de conformidade. Isso pode ser feito por meio da participação em associações, fóruns de compliance e troca de experiências com outros profissionais da área.

Espero que depois disto tudo acima, tenha dado para entender de que uma área de Compliance sólida e eficaz deve ser vista como uma função estratégica dentro da empresa, indo além da simples conformidade legal para atuar como um guardião da integridade corporativa, promovendo uma cultura de ética e conformidade para garantir que a empresa esteja preparada para lidar com um ambiente regulatório em constante mudança e mitigar riscos que possam comprometer tanto a saúde financeira quanto a reputação da empresa, operando com integridade e transparência.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante