OS 10 Marcos de um Programa de Compliance Eficaz Segundo a SEC e o US DOJ

19.03.2020 – Seguindo a série de artigos da semana sobre pilares para a estruturação de programas consistentes de compliance, falaremos hoje sobre os 10 marcos de um programa de compliance eficaz, publicados no FCPA (Foreign Corrupt Practices Act) Resource Guide de autoria da SEC (Securities & Exchange Commission – Comissão de Valores Mobiliários norte-amercana) e do US DOJ (Department of Justice norte-americano), em novembro/2012.

Esses 10 marcos são até hoje a principal referência global para que qualquer programa de compliance robusto possa ser espelhado.

Eis os 10 marcos abaixo:

1. Compromisso da alta administração e uma política anticorrupção. Fica evidenciado que compliance é a cultura do exemplo (tone at the top). O Guia salienta: “Uma forte cultura ética apoia diretamente um forte programa de compliance. Ao aderir aos padrões éticos, os gerentes seniores inspirarão os gerentes intermediários a reforçar esses padrões.” O DOJ e a SEC “avaliarão se a gerência sênior articulou claramente os padrões da empresa, comunicou-os em termos inequívocos, aderiu inteiramente a eles e disseminou-os por toda a organização”.
2. Código de Conduta e Políticas e Procedimentos de Compliance. O Código de Conduta há muito tempo é visto como a espinha dorsal do programa geral de compliance de uma empresa e o Guia reconhece esse fato. Mas um Código de Conduta e as políticas de compliance de uma empresa precisam ser claros e diretos ao tema. É importante ressaltar que o Guia deixou claro que, se uma empresa possui uma grande base de funcionários que não é fluente em inglês, esses documentos precisam ser traduzidos para o idioma nativo desses funcionários, algo nem sempre cumprido por empresas transnacionais. Uma empresa também precisa ter controles internos apropriados, com base nos riscos identificados para seu modelo de negócios.
3. Monitoramento, autonomia e recursos. É necessária a designação de um executivo de nível senior para supervisionar e implementar o programa de compliance de uma empresa. Igualmente importante, é o fato do departamento de compliance ter recursos suficientes para garantir que o programa de compliance da empresa seja implementado de maneira eficaz. Por fim, a função de compliance deve se reportar ao Conselho de Administração da empresa ou a um comitê apropriado do Conselho, como o Comitê de Auditoria. O DOJ e a SEC irão avaliar se a empresa dedicou pessoal e recursos adequados ao programa de compliance, considerando o tamanho, a estrutura e o perfil de risco do negócio”.
4. Avaliação de risco. A avaliação do risco é fundamental para o desenvolvimento de um programa de compliance consistente. De fato, o Guia enfatiza a necessidade da empresa em avaliar seus riscos incorridos em todas as áreas de seu negócio. Os seguintes fatores devem ser levados em consideração por uma empresa em qualquer avaliação de risco: (i) o país e o setor da indústria, (ii) a oportunidade de negócios, (iii) os potenciais parceiros de negócios, (iv) o nível de envolvimento com os governos, (v) quantidade de regulamentação e supervisão governamental e (vi) a exposição à alfândega e à imigração na condução dos negócios”.
5. Treinamento e orientação contínua. A comunicação é a base de qualquer programa de compliance. O Guia especifica que o DOJ e a SEC avaliarão se uma empresa tomou as medidas para garantir que as políticas e os procedimentos relevantes tenham sido comunicados por toda a organização, inclusive por meio de treinamento e certificação periódicos para todos os diretores, executivos, funcionários relevantes e, quando apropriado, terceiros e parceiros de negócios. O treinamento deve ser baseado no risco, para que os funcionários de alto risco e os parceiros comerciais recebam um nível apropriado de treinamento. Uma empresa também deve dedicar recursos apropriados para fornecer a seus funcionários orientações e conselhos sobre como cumprir seu próprio programa de compliance continuamente.
6. Incentivos e medidas disciplinares. Inicialmente, o Guia observa que o programa de compliance de uma empresa deve ser aplicado desde o presidente até o nível hierárquico mais baixo na organização – ninguém deve estar fora de seu alcance. Deve haver medidas disciplinares aplicáveis a qualquer violação da lei anticorrupção norte-americana – FCPA ou do programa de compliance de uma empresa. Além disso, o DOJ e a SEC reconhecem que incentivos também podem gerar comportamentos compatíveis. Esses incentivos podem assumir várias formas, como avaliações e promoções de pessoal, recompensas por melhorar e desenvolver o programa de compliance de uma empresa e recompensas pela liderança em ética e compliance.
7. Due Diligence e pagamentos de terceiros. O Guia diz que as empresas devem se envolver em due diligence baseada em risco para entender as qualificações e associações de seus parceiros terceirizados, incluindo sua reputação comercial e relacionamento, se houver, com funcionários públicos estrangeiros”. Em seguida, uma empresa deve articular diretrizes para o uso de terceiros. Isso incluiria uma avaliação dos pagamentos para verificar se a compensação é razoável e não será usada como base para pagamentos destinados à corrupção. Por fim, deve haver monitoramento contínuo de terceiros.
8. Relatórios Confidenciais e Investigação Interna. Isso significa mais do que simplesmente uma linha direta. O Guia sugere que denúncias anônimas e talvez até um ombudsman da empresa possam ser apropriados para que os funcionários denunciem corrupção ou violações da FCPA. Além disso, é igualmente importante o que uma empresa faz, após a denúncia ter sido feita. Assim, uma vez que uma denúncia seja feita, as empresas devem ter um processo eficiente, confiável e adequadamente financiado para investigar a denúncia e documentar a resposta da empresa, incluindo quaisquer medidas disciplinares ou de remediação tomadas”. A mensagem final é: o que você aprendeu com a denúncia e a investigação, e como utilizou esse conhecimento na sua empresa?
9. Melhoria Contínua. Revisão e testes periódicos. Conforme observado no Guia, os programas de compliance que não existem apenas no papel, mas são seguidos na prática, inevitavelmente descobrirão deficiências de compliance e exigirão aprimoramentos contínuos. Consequentemente, o DOJ e a SEC avaliam se as empresas revisam e melhoram regularmente seus programas de compliance e não permitem que eles se tornem obsoletos. O DOJ e a SEC esperam que uma empresa, além de revisar e testar seus controles de compliance, pense criticamente sobre suas próprias fraquezas e áreas de risco. Os controles internos também devem ser testados periodicamente através de auditorias direcionadas.
10. Due diligence prévia de pré-aquisição e integração pós-aquisição. Aqui, o DOJ e a SEC deixaram claro as suas expectativas não apenas na fase de integração pós-aquisição, mas também na fase de pré-aquisição. Essas informações pré-aquisição não eram algo com o que a maioria das empresas se preocupava anteriormente. Portanto, a determinação é de que uma empresa deve procurar executar uma due diligence de compliance bastante robusta antes de comprar outra empresa. Após o fechamento do negócio, a empresa adquirente precisa realizar uma auditoria adequada, treinar todos os funcionários da gerência senior e de risco da empresa adquirida e integrar a empresa adquirida ao seu programa de compliance.