Artigo
06/07/2023
Atualizado em 10/04/2026

Maturidade e Efetividade dos Programas de Compliance

O texto detalha as fases de maturidade dos programas de compliance, destacando a importância da efetividade, cultura organizacional, análise de riscos, comprometimento da alta direção e uso de métricas para garantir integridade e conformidade nas empresas.

Imagem de capa do artigo

Queria abordar hoje o tema da maturidade e efetividade dos programas de compliance, e gostaria de começar a passar por alguns conceitos que acho importante reforçar antes de detalhar a prática.

Começo lembrando de que aplicabilidade, eficiência e efetividade dos programas de compliance são conceitos inter-relacionados, onde é bom definir estas palavras e conceitos básicos e úteis nesta discussão. A aplicabilidade refere-se à qualidade de ser aplicável ou colocar em prática, enquanto a eficiência trata de realizar tarefas de forma eficaz com mínimo desperdício, e a efetividade, por sua vez, refere-se à capacidade de alcançar o propósito real e concreto de algo. Neste sentido, a efetividade dos programas de compliance trata da tangibilidade realista e legítima do Compliance além da teoria.

A teoria fala sobre três fases da maturidade do Compliance: formalista, efetividade e cultural. A primeira fase é a formalista, que envolve a adoção de normas extensas e complexas sem efetiva implementação. Mas é na fase da maturidade da efetividade que houve um foco em estabelecer um programa de compliance verdadeiramente eficaz, com normalmente a simplificação de documentos, uma maior autonomia para os comitês de compliance e sempre o envolvimento da alta direção. Já a fase cultural envolve a incorporação de compliance na cultura da organização, com foco na ética e integridade.

Outro conceito fundamental que precisam conhecer muito bem são as chamadas três linhas de defesa na governança corporativa para estruturar a integridade nas empresas. A primeira linha envolve gerência e controles internos responsáveis pela gestão de riscos. A segunda linha consiste nas estratégias de implementação pelos gerenciamentos de riscos e conformidades. A terceira linha envolve a auditoria interna, que avalia a eficácia e eficiência dos controles internos.

Sempre repito que para a implantação de uma verdadeira cultura de compliance e uma atuação preventiva eficiente, é necessário uma integração entre todas as áreas envolvidas, a empresa inteira. Mas este processo exige maturidade, comprometimento, profissionais especializados, testes e instrumentos modernos, sendo bem importante testar os controles regularmente, criar simulações no sistema e medir as reações da empresa ao se deparar com situações de risco, conhecido como “stress test”. A redução dos índices de reincidência é um indicador da efetividade do programa.

O FCPA norte-americano e o Bribery Act inglês são sempre ótimas referências importantes no que diz respeito à integridade. No entanto, esses padrões devem ser adaptados à cultura e necessidades específicas de cada país e empresa.

O programa de compliance deve ser continuamente monitorado, atualizado e adaptado à rotina da empresa. Isso inclui identificar os objetivos da empresa, engajar a alta administração, estabelecer um comitê específico, realizar treinamentos, ter contabilidade fiel e implementar um canal de denúncia profissionalizado.

Sempre recomenda-se para começar qualquer trabalho conhecer bem o ambiente interno da instituição, realizar um diagnóstico da realidade, entender a estrutura administrativa e avaliar o nível de integridade. Após essas avaliações, é importante realizar avanços gradativos na mudança de cultura organizacional. O sucesso do programa de compliance depende de seu constante monitoramento e revisão.

Bom falar também da importância dos incentivos para as empresas adotarem programas de compliance, que podem conferir uma vantagem competitiva. No entanto, eles alertam sobre o fenômeno infelizmente comum do chamado: “compliance de fachada”, (ou inventando o nome na moda de: "compliancewahsiing") onde as empresas adotam medidas superficiais para aparentar conformidade, sem mudar a cultura organizacional ou adotar práticas éticas genuínas. Isso ocorre frequentemente devido à burocracia e complexidade das legislações. Eles enfatizam que sem uma mudança cultural e uma governança corporativa efetiva, o compliance não pode ser bem-sucedido.

Não preciso nem dizer da importância do comprometimento da alta administração para a efetividade do compliance. Os líderes devem dar o exemplo e seguir as regras internas e externas. Quando os funcionários veem que as regras são aplicadas a todos, independentemente da posição, eles são mais propensos a se engajar com a cultura de compliance e cooperar, incluindo denunciar ilicitudes.

Embora o compliance não seja a solução definitiva para a corrupção, ele tem contribuído para melhorar as relações organizacionais e a ética nos negócios. Além de garantir conformidade e punir irregularidades, o compliance também pode ser visto como uma vantagem competitiva e uma forma de cooperação regulatória.

Como sempre repito nos meus posts, sempre destaco a importância da análise de riscos como um componente crítico de um programa de compliance eficaz. Mapear e avaliar os riscos permite que as empresas desenvolvam políticas internas de acordo com as normas e minimizem prejuízos. Ele descreve seis processos para realizar a análise de riscos e destaca a importância de tomar medidas com base nessa análise para reduzir vulnerabilidades.

Na onda ainda da lava-jato vimos muitas grandes empresas, reconhecendo seus problemas, tentando corrigir, e assim adotando acordos de leniência e fortalecendo seus programas de compliance. Em contrapartida, micro e pequenas empresas têm enfrentado dificuldades por falta de planejamento. Ele destaca a importância de ter políticas de compliance claras e eficazes, especialmente ao fazer negócios com entidades públicas.

Até por causa dos altos custos de implementação de programas de compliance e como as empresas muitas vezes continuam a investir neles, mesmo sem ver resultados significativos, devido ao medo das consequências de não estar em conformidade. Empresas muitas vezes adotam medidas que são complicadas, redundantes ou ineficazes, mas o que precisam sim é alinhar bem suas políticas de compliance com os objetivos organizacionais e legislação aplicável, e utilizarem dados empíricos para avaliar a eficácia. As métricas de monitoramento e metas claras são essenciais para garantir que os esforços de compliance sejam significativos e eficazes.

Assim, além dos pontos já apresentados, fica evidente que a eficácia de um programa de compliance não é uma questão de simplesmente seguir um conjunto padrão de regras. É um processo dinâmico que exige adaptação, inovação e um entendimento das particularidades de cada empresa. O enfoque na ciência comportamental é crítico, já que uma das principais barreiras para a eficácia do compliance é mudar o comportamento dos indivíduos na empresa.

Outro aspecto importante é o conhecimento e alinhamento com as melhores práticas e orientações disponíveis. E queria comentar sobre o Guia de Programas de Integridade da Controladoria-Geral da União (CGU) como uma referência valiosa. E a comparação entre este guia da CGU com a do Departamento de Justiça dos EUA (Guidance) revela pilares comuns para programas de compliance eficazes: comprometimento da alta direção, instância responsável, análise de perfil e riscos, regras e instrumentos e monitoramento contínuo.

Vale mencionar o "selo Pró-Ética" , criado pela CGU, serve como um incentivo para as empresas adotarem práticas de compliance e promoverem uma cultura ética. Este selo é um reconhecimento das empresas que demonstram um compromisso genuíno com a integridade e transparência. Entretanto, a obtenção do selo Pró-Ética exige comprovação concreta da implementação e eficácia das medidas de integridade, maturidade dos Programas de Compliance, adequação do porte do programa ao perfil da empresa, entre outros.

Vale comentar também do manual de boas práticas da OCDE, que delineia elementos essenciais para um programa de compliance robusto, tais como o comprometimento da alta administração, política clara contra fraudes e corrupção, treinamentos periódicos, medidas disciplinares consistentes, entre outros.

Nunca é tarde também falar da importância de "due diligence" como parte dos programas de compliance. Due diligence envolve a coleta de informações sobre potenciais parceiros ou negócios antes de estabelecer uma relação. Isso inclui a avaliação de informações financeiras, reputação, situação jurídica e a presença de programas de conformidade. O objetivo é minimizar os riscos associados e possibilitar uma tomada de decisão mais informada. Essa prática também contribui para a integridade, segurança jurídica e boa governança corporativa, já que permite aos gestores demonstrar que foram tomadas todas as medidas razoáveis para evitar envolvimento em atos ilícitos.

Como podemos ver a eficácia de um programa de compliance envolve uma série de componentes, incluindo o comprometimento da alta administração, políticas claras, treinamento, monitoramento, e a aplicação de medidas disciplinares quando necessário. Também é crucial a adoção de práticas de due diligence para minimizar riscos associados a terceiros e a busca por formas de incentivar a implementação de programas de compliance de maneira efetiva, especialmente no contexto de contratações governamentais. O foco deve ser sempre a integridade, transparência, e uma cultura de conformidade, ao invés de simplesmente cumprir obrigações de forma superficial.

Passado estes conceitos, entrando no lado prático do escopo da efetividade, temos que começar dizendo que é sempre desafios entender como mensurar se um programa de compliance está atingindo seus objetivos. Para isso, é fundamental estabelecer mecanismos e ferramentas que possam quantificar e qualificar os resultados dos programas de compliance. Algumas das ferramentas e métodos que podem ser usados incluem:

Key Performance Indicators (KPIs)

Estes indicadores-chave de desempenho são utilizados para medir aspectos específicos do programa de compliance. Alguns exemplos de KPIs para compliance podem incluir o número de relatórios de conformidade apresentados, o número de violações identificadas, ou o tempo de resposta a uma investigação.

Avaliações de Risco

Conduzir avaliações regulares de risco permite que as organizações identifiquem e avaliem os riscos de compliance. Com base nessa avaliação, as organizações podem priorizar suas ações e recursos nas áreas onde o risco é maior.

Pesquisas e Feedback

Realizar pesquisas e obter feedback dos funcionários sobre a eficácia dos treinamentos e a clareza das políticas de compliance pode ajudar a entender se os esforços de compliance estão sendo internalizados pela equipe.

Análise de Dados e Monitoramento Contínuo

Usar ferramentas de análise de dados para monitorar transações e comportamentos pode ajudar a identificar tendências, padrões e anomalias que possam indicar questões de conformidade.

Auditorias e Revisões Independentes

Conduzir auditorias regulares e revisões independentes pode ajudar a validar a eficácia dos controles de compliance e identificar áreas que necessitam de melhorias.

Bom sempre falar sobre os desafios práticos para atingir esta desejada efetividade dos programas de Compliance como

Cultura Organizacional

A efetividade de um programa de compliance está intrinsecamente ligada à cultura da organização. Se a alta liderança não estiver comprometida, ou se os valores de integridade não estiverem arraigados na cultura da empresa, o programa de compliance pode falhar.

Evolução das Regulamentações

As regulamentações estão em constante evolução, e os programas de compliance devem ser ágeis o suficiente para se adaptar a estas mudanças. Isso requer um monitoramento contínuo das mudanças na legislação e melhores práticas.

Recursos e Capacitação

A falta de recursos adequados e de capacitação pode ser um grande obstáculo para a implementação de um programa de compliance efetivo. É fundamental que as organizações invistam em treinamento e capacitação para os profissionais de compliance.

Tecnologia

A adoção de tecnologia pode melhorar significativamente a eficácia dos programas de compliance. Isso inclui ferramentas de monitoramento, análise de dados, e sistemas de gerenciamento de compliance. A seleção e implementação de tecnologia adequada é um desafio em si, pois requer uma compreensão dos requisitos e objetivos do programa de compliance.

Em conclusão, a eficácia dos programas de compliance depende de uma abordagem holística e ampla, que leve em consideração a cultura da empresa, o comportamento dos indivíduos, o alinhamento com as melhores práticas e orientações, a análise de riscos, e a contínua monitorização e ajuste das políticas e procedimentos. A alta direção tem um papel fundamental, não só em prover os recursos necessários, mas também em liderar pelo exemplo e promover uma cultura de integridade e ética.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante