GRC em Cenário de Incertezas Crescentes

No cenário corporativo atual, a complexidade crescente dos mercados, a incerteza acentuada, os seguidos escândalos de corrupção – inclusive em segmentos críticos para a economia -, o aumento da concorrência, pressões por resultados e a intensificação da fiscalização regulatória, estão transformando profundamente a paisagem empresarial. Somam-se a isso os riscos geopolíticos, cibernéticos e climáticos, que se agravaram e assumiram lugar central nas agendas executivas. Nesse contexto desafiador, a tríade Governança, Riscos e Compliance (GRC) adquire importância exponencial para a sustentabilidade dos negócios.

Para gerenciar preocupações estratégicas e regulatórias, bem como prevenir fraudes e corrupção, as práticas de GRC oferecem uma proteção indispensável, especialmente em um cenário de tamanha volatilidade. Diante disso, este artigo propõe que se revisite os principais conceitos, leis, normas e frameworks que fundamentam um Sistema de Compliance robusto, em especial a Lei nº 12.846/2013 (e Decreto 11.129/2022), ISO 31000:2009 (Gestão de Riscos), ISO 37001:2017 (Sistema de Gestão Antissuborno), ISO 37301:2021 (Sistemas de Gestão de Compliance) e o framework COSO – Committee of Sponsoring Organizations of the Treadway Commission.

1. O Conceito de Compliance e sua Evolução

Originalmente associado à mera conformidade com leis e regulamentos específicos, o conceito de Compliance evoluiu para se transformar em um compromisso corporativo abrangente, envolvendo princípios éticos, políticas internas e as melhores práticas de mercado. Como sistema de gestão, o Compliance assegura que a organização opere de maneira íntegra, ética e em conformidade com as leis, normas e regulamentos aplicáveis, mesmo nos cenários mais desafiadores.

No coração do Compliance corporativo, permanecem as pessoas, lembrando-nos que “Compliance é feito por Pessoas, com Pessoas, para Pessoas”. É fundamental compreender que, embora políticas, procedimentos e tecnologia sejam indispensáveis, a eficácia de um Sistema de Compliance reside primordialmente na construção de uma cultura íntegra, impulsionada pelo engajamento de cada indivíduo – desde a alta direção até os colaboradores da linha de frente. Sem essa base humana, qualquer estrutura de Compliance corre o risco de se tornar uma formalidade dispensável.

2. Governança, Riscos e Compliance (GRC): Uma Abordagem Integrada

A sigla GRC pode ser utilizada para representar tanto “Governança, Riscos e Compliance” quanto “Gestão de Riscos e Compliance”, a depender do escopo definido. No primeiro caso, o foco central recai sobre a Governança Corporativa, enquanto no segundo, os elementos de Gestão de Riscos e Compliance recebem um enfoque equilibrado. Em ambos os cenários, a harmonização das três grandezas (Governança, Riscos e Compliance) é essencial para a gestão do negócio, notadamente no contexto atual:

Governança: Define a estrutura pela qual a organização é dirigida e controlada. Envolve a atribuição de papéis, responsabilidades e processos decisórios, garantindo o alinhamento com os objetivos estratégicos da empresa. Exemplos práticos incluem um conselho de administração atuante, comitês de auditoria e Compliance, e a transparência na tomada de decisões.
Gestão de Riscos: Consiste na identificação, avaliação, mitigação e monitoramento dos riscos que podem impedir a organização de alcançar seus objetivos. Isso abrange riscos financeiros, operacionais, estratégicos, cibernéticos e, indiscutivelmente, os riscos de Compliance, como a corrupção. A implementação de uma matriz de riscos, a realização de risk assessments (avaliações de riscos) periódicos e a definição do apetite ao risco são elementos-chave.
Compliance: Garante a aderência a leis, regulamentos, políticas internas e padrões éticos. É o mecanismo que traduz as intenções da governança em ações práticas e gerencia os riscos de não conformidade identificados.
Uma governança sólida estabelece o tom (tone from the top) e o apetite a risco; a gestão de riscos identifica as vulnerabilidades; e o Compliance, por sua vez, implementa as salvaguardas necessárias para garantir que a organização opere dentro dos limites aceitáveis de risco e em conformidade com as diretrizes éticas e legais.

3. A Lei Anticorrupção Brasileira (Lei nº 12.846/2013) e a Prevenção ao Suborno

A Lei nº 12.846/2013, conhecida como Lei Anticorrupção Brasileira, representou um marco significativo no sistema legislativo nacional. Ela introduziu a responsabilização objetiva, tanto administrativa quanto civil, de pessoas jurídicas por atos de corrupção contra a administração pública, seja nacional ou estrangeira. A partir desse marco, uma empresa pode ser responsabilizada por atos ilícitos independentemente da culpa ou dolo de seus dirigentes ou empregados, bastando a comprovação do ato.

O suborno, uma das manifestações amplamente reconhecidas da corrupção, envolve a oferta ou aceitação de uma vantagem indevida em troca de um benefício ou influência. Embora existam outros delitos e condutas antiéticas no contexto corporativo que, conquanto reprováveis, não se enquadram diretamente na definição de corrupção conforme o escopo da Lei Anticorrupção, eles também são objeto de tratamento no escopo de um Programa de Compliance Regulatório e Antissuborno ou anticorrupção.

O Art. 5º da Lei nº 12.846/2013 (Lei Anticorrupção) elenca uma série de atos lesivos à administração pública, nacionais ou estrangeiras, que configuram corrupção e ensejam a responsabilidade objetiva da pessoa jurídica. As condutas de prometer/oferecer/dar vantagem indevida; utilizar interposta pessoa; e dificultar investigação/fiscalização estão expressamente previstas nos incisos I, III e IV do referido artigo, respectivamente.

Exemplo prático de corrupção sob a Lei: Um ato clássico de corrupção, conforme explicitado pela lei, é prometer, oferecer ou dar, direta ou indiretamente, vantagem indevida a agente público ou a terceira pessoa a ele relacionada (Lei nº 12.846/2013, Art. 5º, I). Outros atos incluem o financiamento de atos ilícitos (Art. 5º, II), a utilização de “laranjas” para ocultar interesses (Art. 5º, III) e a dificuldade em investigações (Art. 5º, IV).

A Lei Anticorrupção não busca eliminar o risco de corrupção, mas sim que ele seja “controlado”, ou “administrado” e mantido em níveis baixos, considerados “suportáveis” pela empresa. Todavia, do ponto de vista ético e legal, um Programa de Compliance eficaz considera o suborno como um ato ilícito e prejudicial à sustentabilidade do negócio, que deve ser combatido e, idealmente, eliminado do ambiente corporativo e da sociedade.

É importante ressaltar que a Lei nº 12.846/2013 não impõe sanções diretas pela ausência de um Programa de Compliance, mas sim pela ocorrência de atos de fraudes e corrupção, embora algumas organizações possam estar obrigadas, por normas ou regulamentos específicos, a adotá-lo. Contudo, o Programa de Compliance é considerado um atenuante na aplicação de penalidades pelo Poder Público, caso a empresa seja responsabilizada por atos lesivos nela descritos.

Embora a existência de um Sistema de Compliance ativo não garanta que as situações listadas na lei não ocorrerão, é certo que a sua ausência aumenta exponencialmente o risco de que fraudes e corrupção se materializem e gerem penalidades como multas, sanções legais e administrativas. Portanto, a certeza reside nas consequências jurídicas atreladas às práticas de atos ilícitos e no impacto à reputação da empresa, e não meramente na ausência de um Programa formal.

Em síntese: um Programa de Compliance não promete “risco zero” nem a ausência total de multas, pois o risco inerente está sempre presente. Sanções podem ocorrer mesmo com um bom Programa implementado, caso haja falhas pontuais ou atos intencionais.

4. Componentes de um Programa de Compliance Efetivo

integração de suas expectativas, bem como a exigência de padrões éticos similares, são decisivos para a efetividade do Programa e para a proteção da reputação corporativa.

Um Programa de Compliance é considerado efetivo quando é capaz de mitigar significativamente os riscos de corrupção e outras irregularidades, e quando possui mecanismos saneadores ou corretivos para atuar em caso de falhas. Incluem-se entre os pilares de um Programa eficaz:

Comprometimento da Alta Direção e Suporte para a Função Compliance: A alta liderança deve demonstrar um compromisso inabalável com a ética e a Integridade, fornecendo todos os recursos e apoio necessários para que a área de Compliance cumpra sua missão de supervisionar o Programa.
Análise de Riscos (Risk Assessment): Identificação e avaliação contínua dos riscos específicos de corrupção e não conformidade aos quais a organização está exposta.
Código de Conduta e Políticas de Compliance: Documentos claros que estabelecem as expectativas éticas e as regras de conduta para todos os colaboradores e terceiros.

• Controles Internos: Mecanismos e procedimentos desenhados para prevenir, detectar e corrigir falhas ou irregularidades. O controle de processos é uma ferramenta essencial da gestão de riscos. Ao monitorar e regular atividades-chave, as organizações conseguem identificar e mitigar vulnerabilidades, otimizar a eficiência operacional e, consequentemente, melhorar seu desempenho geral e sustentabilidade. A segregação de funções, que preconiza a revisão de atividades executadas, é um dos mais importantes mecanismos de Compliance/controle e um pilar dos controles internos eficazes.

• Exemplo: A prática de exigir que “quando um colaborador realiza um procedimento, outra pessoa ou um sistema confira o que foi feito antes de aprovar a transação” é um exemplo claro de controle crucial para o processo, visando minimizar riscos operacionais. Essa segregação de funções e revisão mitiga o risco de erros, fraudes e favorecimentos indevidos, garantindo a Integridade das transações.

Treinamento e Comunicação: Programas contínuos de educação sobre o Código de Conduta, políticas e a importância do Compliance para todos os níveis da organização.
Canal de Denúncias e Proteção ao Denunciante: Um mecanismo seguro e confidencial para reportar suspeitas de irregularidades. É vital que quem faz uma denúncia de boa-fé (de suborno, por exemplo) receba proteção, garantia de sigilo e confidencialidade das informações, além do direito de fazê-lo anonimamente. Isso fomenta a cultura de Integridade e a confiança no sistema. A proteção ao denunciante (whistleblower) é um pilar fundamental para um canal de denúncias eficaz em um Programa de Compliance robusto. Garantir o sigilo, a confidencialidade e a não retaliação ao denunciante de boa-fé, além da possibilidade de anonimato, encoraja a comunicação de ilícitos e é crucial para a identificação e mitigação de riscos, conforme as melhores práticas internacionais e a Lei nº 13.608/2018 no Brasil.
Due Diligence de Terceiros: Processo de avaliação de riscos associados a parceiros comerciais, fornecedores e outros terceiros, para garantir que observem padrões éticos e de Compliance semelhantes. É uma prática fundamental para mitigar o risco de responsabilidade por atos de terceiros.
Investigações Internas: Processos estruturados para apurar denúncias e suspeitas de violações.
Monitoramento e Melhoria Contínua: Revisão periódica da efetividade do Programa e ajustes necessários para sua adaptação a novas regulamentações e riscos. Um Programa de Compliance Efetivo precisa considerar as necessidades e expectativas das partes interessadas e constitui um processo dinâmico, vivo, e não estático por longos períodos.

Conquanto não seja legalmente exigida, mas recomendada pela norma, a implementação de um Programa de Compliance/Integridade representa um investimento estratégico. Contudo, eventual indisponibilidade de recursos financeiros por parte de uma organização para implementar práticas de GRC, não a isenta de suas reponsabilidades. Pelo contrário, configura um desafio a ser superado com desenvolvimento de soluções simples e efetivas, proporcionais à suas condições e complexidade do negócio. Assim, caso ocorram infrações à Lei 12.846/2013, caberá a empresa demonstrar que adotou todos os procedimentos ao seu alcance para mitigar os riscos regulatórios e de suborno inerentes.

5. Fraude e Corrupção Deliberada: O Desafio Persistente

Ainda que um programa de Compliance seja meticulosamente desenhado e implementado com os mais robustos controles, ele opera sob a premissa de que a maioria das falhas decorre de desconhecimento, negligência ou fragilidades sistêmicas. No entanto, quando nos deparamos com atos de fraude e corrupção deliberadamente orquestrados, movidos por uma intenção maliciosa e o propósito consciente de contornar regras, a eficácia de qualquer programa atinge um limite.

Escândalos recentes, de ampla repercussão global e nacional, ilustram essa realidade. Em muitos desses casos, as organizações já possuíam estruturas de Compliance formalmente estabelecidas, com códigos de conduta, canais de denúncia e controles internos. Contudo, a persistência de atos ilícitos demonstra que a vontade de enganar e corromper por parte de indivíduos ou grupos pode, temporariamente, superar as barreiras criadas.

6. Conclusão

De fato, casos de fraude e corrupção recorrentes no cenário nacional, envolvendo tanto empresas tradicionais quanto disruptivas, evidencia de forma inequívoca que nenhum sistema, por mais sofisticado que seja, é capaz de erradicar completamente a intencionalidade humana de agir contra as normas e os princípios éticos. Todavia, a relevância do Compliance segue inalterada; ele permanece essencial para a mitigação de riscos, a promoção de uma cultura de integridade e o aumento da probabilidade de detecção e saneamento do ambiente corporativo. Tais ocorrências convidam-nos a refinar as técnicas e práticas de Compliance e elevar investimentos em educação para aprimoramento da conduta ética corporativa e individual.

Marcia Pereira

Educadora, Consultora e Mentora

Ajudando a construir negócios íntegros.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.