Nos últimos meses, o termo overcompliance motivou discussões acaloradas, assim como ganhou destaque em eventos de celebração dos 10 anos da Lei Anticorrupção. De um lado, críticas sobre a aplicação ortodoxa das regras, sobre o rigor excessivo da área e sobre a ineficiência que a adoção de medidas de compliance gera para a atividade empresarial. Do outro, o argumento de que os programas de compliance são ferramentas essenciais para garantir a integridade e a transparência nos negócios, além de proporcionar maior segurança e rentabilidade às atividades empresariais.
O termo, em si, existe e se refere a uma forma excessiva de evitar riscos no cumprimento de requisitos legais. Porém, o que deveria fomentar um debate sobre apetite a risco à luz das normativas existentes tem tomado um rumo distinto.
O debate sobre overcompliance, seja no combate à lavagem de dinheiro ou à corrupção, tem ficado restrito à noção de que o compliance é visto, frequentemente, e por muitos, como uma burocracia. Alerto: essa é uma “visão em túnel” e tortuosa. Como se o trabalho em prol da integridade nos negócios fosse um empecilho para a própria geração dos negócios. Ou, ainda, que a missão de promover a integridade nos negócios, que por sinal transcende o tão importante combate à lavagem de dinheiro e à corrupção no meio corporativo, seria penosa demais para a atividade empresarial, e todo o impacto periférico positivo do compliance para os negócios não fosse mais percebido pelo olho empresarial.
Separemos o joio do trigo. Se há qualquer crítica (construtiva) a ser absorvida pelos agentes do compliance com o debate atual, ela diz respeito à eficiência de alguns controles, ao necessário equilíbrio entre eficácia e eficiência, e à interpretação dada por órgãos reguladores e de controle para a letra fria da lei que trata dos mecanismos de um programa de compliance. A crítica não deveria ser jamais à importância ou à necessidade de um programa de compliance no ambiente corporativo resumindo-o a burocracia sob pena de se incentivar um undercompliance. As leis e o diálogo precisam ser vivos e frequentes, assim como há espaço para melhorias tanto no setor privado que implementa e convive com o compliance, quanto no setor público que exige e avalia esse mesmo programa.
Compliance “over” é o compliance errado
A trajetória do compliance no Brasil está intrinsecamente ligada à Lei Anticorrupção. Foi em razão dessa normativa que o tema ganhou notoriedade no mercado, que as empresas brasileiras passaram a implementar programas dedicados ao compliance e a contratar profissionais responsáveis pela gestão dessas atividades que, na prática, passaram a abarcar também a execução de controles necessários para o cumprimento de outras legislações (por exemplo, a já existente Lei de Lavagem de Dinheiro).
Em razão desse histórico, alguns estudiosos brasileiros defendem que o compliance nasceu no país com a ideia de que são necessárias estruturas responsáveis por exigir e fiscalizar o cumprimento de obrigações legais e objetivando realizar uma boa gestão desse risco no ambiente empresarial. Note que, apesar de dar ênfase à justificativa dos programas de compliance como uma necessidade para atender a lei, essa observação mescla duas percepções, isto é, do risco de compliance como uma questão jurídica e como um risco do negócio.
Contudo, dada a conexão entre as disciplinas, tivemos, no Brasil, uma fase inicial de implementação e gestão do compliance bastante voltada para uma abordagem legalista e com profissionais majoritariamente formados em Direito. Esses, por sua vez, foram pouco expostos à experiência prática da atividade empresarial ao longo de suas formações acadêmicas e excessivamente treinados a eliminarem riscos. O que também se aplica aos juristas e autoridades responsáveis pela criação, interpretação e aplicação das normas.
Além disso, não há, no Brasil, o fenômeno tão comum nos Estados Unidos da revolving door (porta giratória, que se refere ao fato de profissionais transitarem entre setores público e privado em busca de experiências e visões mais holísticas do tema). Mesmo assim, o Departamento de Justiça (DOJ), órgão responsável pela investigação criminal no âmbito do Foreign Corrupt Practices Act (a lei anticorrupção dos EUA), reconheceu essa carência no órgão e contratou uma especialista com notória experiência em compliance no setor privado. Entre suas atribuições, a profissional era responsável por avaliar a eficácia do programa apresentado por empresas que buscavam alguma redução de pena ou até mesmo absolvição. Sua maior contribuição foi a elaboração do Guia para Avaliação dos Programas Corporativos de Compliance (Evaluation of Corporate Compliance Programs) atualizado até hoje pelo DOJ e considerado pelo mercado como uma “bíblia” para avaliação da eficácia dos programas de compliance.
Sobretudo para o Brasil, onde o funcionalismo público é uma carreira de dedicação a longo prazo, acredito que o auxílio de profissionais com ampla experiência em ambientes corporativos certamente contribuiria para a qualidade das normativas e ponderações quanto à avaliação da eficácia desses mecanismos. Inclusive, louvável reconhecimento ao Renato Machado, Diretor de Promoção e Integridade da Controladoria Geral da União (CGU), e à LEC – Legal, Ethics & Compliance pelas iniciativas de aproximar o setor público do setor privado colhendo imputs para melhorias no sistema de combate à corrupção.
A fim de se quebrar essa barreira, também é preciso ir além da sala de aula e além das portas de um escritório de advocacia. Ao contrário da tendência que foca na premissa de que o risco de compliance é uma questão jurídica, o risco de compliance deve ser visto como um risco do negócio. A preocupação das empresas em cumprir com as exigências legais e/ou comprovar a eficácia do programa de compliance ante a Lei de Lavagem de Dinheiro ou Lei Anticorrupção deve ser uma consequência do correto endereçamento dos riscos de compliance na visão do negócio explorado pela empresa. E para a exploração de qualquer atividade empresarial, o desenho equivocado ou demasiado de controles, sejam eles para os riscos de ataques cibernéticos, riscos financeiros ou de compliance, serão percebidos pelo negócio como burocracia. Assim, a responsabilidade de o programa de compliance não se tornar um entrave ao negócio é do profissional que cria, implementa e gere tais mecanismos de forma a perpetuar um equilíbrio entre eficácia e eficiência.
Quando endereçamos as boas práticas de compliance, já é notória a máxima de que “one size does not fit all” (um formato não serve para todos). Nessa mesma linha, a existência de red flags de compliance não é sinônimo de que o compliance deveria bloquear automaticamente um relacionamento comercial. Quem opera um programa de compliance com essas premissas não tem um overcompliance, mas sim está cometendo um erro de abordagem. O correto seria atender às necessidades de cada empresa e estar alinhado com o seu contexto cultural de forma a viabilizar negócios seguros, éticos e transparentes a partir de uma boa gestão dos riscos de compliance.
Em outras palavras, uma red flag sobre uma mídia negativa pode, sim, classificar um parceiro como alto risco, mas cabe ao profissional de compliance que avalia tal fato ponderar as medidas adotadas pelo parceiro, bem como desenhar um pacote de mitigação adequado para o alto risco identificado. Eliminar o risco ao bloquear o parceiro é uma opção. No entanto, uma gestão de riscos no meio corporativo ainda permite à empresa a decisão de mitigar, compartilhar ou aceitar o risco. E tudo isso à luz do apetite a riscos e nível de tolerância da empresa.
Compliance como um risco do negócio
A Lei de Lavagem de Dinheiro e a Lei Anticorrupção de fato impõem ao setor privado um ônus de vigilância da integridade nos negócios internacionais sob pena da aplicação de multas e restrições comerciais, ônus esse que é traduzido em controles muitas vezes sob o arcabouço de um programa de compliance. Ocorre que os benefícios de um programa de compliance vão além do cumprimento de exigências legais. Se os riscos de compliance forem endereçados como riscos do negócio e geridos sob uma mesma metodologia de gestão dos demais riscos presentes no ambiente corporativo, esses programas terão o potencial de demonstrar o nível de probidade da empresa, a preocupação em relação aos seus valores corporativos e a sua tolerância com desvios que conflitem com a sua responsabilidade social, assim como o potencial de garantir o fator de multiplicação dos valores da ética corporativa para os demais atores da cadeia e de otimizar os benefícios da cultura do compliance com o reconhecimento do mercado e da sociedade civil.
Sendo assim, o ponto de partida da implementação de um programa de compliance adequado deve ser o entendimento do mercado de atuação e do business, assim como o mapeamento dos riscos inerentes ao negócio. Note que a compreensão desses dois aspectos vai muito além de entender se o negócio é focado em produtos ou serviços, e como as vendas são realizadas.
A análise de perfil e risco deve estar conectada com a essência da organização, considerar toda e qualquer informação relevante para a estratégia de curto, médio e longo prazo dos negócios, entender os cenários interno e externo que influenciam as tomadas de decisões na empresa e os riscos de compliance atrelados aos diversos processos já existentes na empresa.
De forma bastante simplificada, existe uma série de eventos no ambiente corporativo que podem impactar negativamente a capacidade de uma empresa em gerar valor e alcançar os seus objetivos mais estratégicos. A antecipação e a tratativa adequada de tais eventos que oferecem risco ao negócio contribuem positiva e diretamente para a expectativa de sustentabilidade na geração de valor. Nesse contexto, um dos riscos de extrema relevância é o risco de compliance, que depende de uma atuação coordenada e estruturada de todos, seja no nível operacional ou estratégico da companhia. Sem a aplicação de qualquer medida de mitigação, estamos diante de um risco inerente. Após a implementação de controles internos, que são ações inseridas no dia a dia corporativo, como travas sistêmicas, alçadas de aprovação ou revisões periódicas, os riscos identificados são mitigados reduzindo ou administrando, assim, a probabilidade e o impacto daquele risco. Esse, então, é o cenário do risco residual. Idealmente, o risco residual deve estar aderente ao apetite a risco, o qual corresponde ao nível de tolerância que a empresa estabeleceu para com determinados riscos.
E aqui, sim, temos um ponto digno de atenção. Primeiro, porque se estamos falando em tolerância parte-se da premissa que, em alguns casos, e até certo ponto, existe uma aceitação para a materialização de riscos no mundo dos negócios. Ou seja, não se discute, tão somente a premissa de eliminação do risco, mas sim a forma adequada de se geri-lo. Segundo, porque, assim como não existe um formato único para programas de compliance, não existe um nível único de tolerância a riscos nos negócios. Nem para empresas do mesmo porte e nem para empresas do mesmo segmento. A definição do apetite a riscos é competência do Conselho de Administração, e cada empresa deverá estabelecer o seu apetite à luz da sua cultura, da sua trajetória, do seu negócio, e dos seus objetivos. É nesse contexto, portanto, que se observam empresas mais propensas ao risco, ao passo que outras mais avessas.
A título exemplificativo, para uma multinacional americana, com presença comercial já solidificada no mercado, alto nível de maturidade da sua governança corporativa, e sujeita ao Foreign Corrupt Practices Act e ao Sarbanes-Oxley Act (essa última, lei que exige certas práticas de controles contábeis e relatórios financeiros), é razoável se deparar com uma menor tolerância à materialização de riscos e uma maior incidência de controles internos. Por outro lado, para uma startup brasileira, em fase de escala, em busca de uma consolidação de seus produtos e posicionamento de mercado, é comum encontrar uma maior tolerância a riscos e uma menor incidência de controles. Comparativamente falando, para a startup o compliance da multinacional seria over, assim como o da startup seria under. O compliance de cada uma delas precisa ser aderente à respectiva realidade de negócio e ao respectivo apetite a risco. E, em que pese as diferenças, o desafio de ambas continuará sendo o equilíbrio entre eficácia e eficiência.
Conclusão
Sejamos objetivos: o compliance não é o jabuti do mundo corporativo. Ele não ascendeu ao status de relevância que hoje detém nas empresas sem comprovada contribuição para o negócio ou para o combate de ilícitos envolvendo o mundo corporativo.
Propagar o termo overcompliance aleatoriamente e atribui-lo de forma genérica à existência de programas de compliance no Brasil é tão falho quanto os programas que, infelizmente, não foram capazes de se aproximar do ponto ótimo entre eficácia e eficiência dos controles implementados.
O avanço dos programas de compliance reflete o valor que o mercado e a sociedade vem exigindo das empresas nos últimos anos. Sendo assim, setor privado e público precisam estar abertos à melhoria contínua, sem reduzir tais mecanismos a uma mera burocracia, sob pena de invalidar o trabalho de tantos que se envolveram e continuam se envolvendo para um real combate à corrupção.
