DOJ atualiza Guia com parâmetros para avaliação de programas de compliance

Entenda importância, enfoque e as principais mudanças implementadas na última versão do Guia “Evaluation of Corporate Compliance Programs” do DOJ

Em 01/06/2020 o DOJ, órgão americano correspondente ao Ministério Público no Brasil, fez a última atualização do Guia de Avaliação dos Programas Corporativos de Compliance (Evaluation of Corporate Compliance Programs) – “Guia”. Esta é a terceira vez que o órgão atualiza o documento, originalmente publicado em 2017.

Tal documento tem o propósito de guiar promotores nos Estados Unidos na tomada decisão no que se refere à avaliação se o programa de compliance de empresa sujeita a investigação criminal seria efetivo. Para profissionais de compliance, os parâmetros contidos no documento são norteadores quando da construção, design e atualização dos programas de compliance.

Como já é sabido, não existe uma fórmula rígida para analisar a eficácia dos programas corporativos de compliance. Cada empresa atua em um setor e região específicos e tem suas particularidade e especificidades próprias, o que reflete em diferentes perfis de risco e amplo leque de possíveis soluções para mitigação dos mesmos. Portanto, uma análise adequada não prescinde de uma avaliação particularizada e individualizada de acordo com o caso concreto. Sem prejuízo dessa máxima de que não existe “receita de bolo”, o Guia coloca três “questões fundamentais” que devem necessariamente ser observadas para medição da adequação e efetividade de um o programa de compliance: (1) O programa de compliance foi bem planejado?; (2) O programa de compliance está sendo implementado de forma sincera e de boa-fé? Em outras palavras, o sistema foi implementado de forma eficiente, com alocação de recursos adequados? e (3) O Programa de compliance é adequado e funciona na prática?

A estruturação do Guia foi feita de forma a desenvolver as nuances que permeiam essas três “questões fundamentais” e é dividido em 2 blocos, abordando (i) a estrutura básica do programa de compliance e (ii) os critérios para avaliação de sua eficácia e adequação, conforme os 12 tópicos abaixo:

1. Risk Assessment
2. Policies and Procedures
3. Training and Communications
4. Confidencial Reporting Structure and Investigation Process
5. Third Party Management
6. Mergers and Acquisitions (M&A)
7. Commitment by Senior and Middle Management
8. Autonomy and Resources
9. Incentives and Disciplinary Measures
10. Continuous Improvement, Periodic Testing, and Review
11. Investigation of Misconduct
12. Analysis and Remeadiation of Any Underlying Misconduct

Este Guia é de extrema importância pois no Brasil influenciou a edição de normas e documentos informativos que visam a disciplinar e regulamentar a Lei Anticorrupção como o Manual Prático de avaliação de programas de integridade em PAR da CGU, determinando parâmetros para avaliação de eficácia dos programas de compliance e fixação de penalidades previstas na Lei Anticorrupção.

A recente atualização não implementou mudanças substanciais e materiais. Discorreremos sobre as principais novidades nos parágrafos seguintes. Vale destacar que textos contendo comentários sobre a versão anterior (abril de 2019) como a cartilha recentemente publicada pelo escritório de advocacia KLA Advogados ainda podem ser excelentes aliados na compreensão dos parâmetros do DOJ que tanto inspiram framework normativo nacional, criando tendências na implementação e avaliação de programas de compliance no Brasil.

A maioria das alterações visa garantir que os procedimentos e rotinas do compliance não sejam fotografias estáticas, mas sim processos vivos, estratégicos, dinâmicos e atualizados para se adequar a novas realidades e circunstâncias, considerando lessons learned internas e de players relevantes da mesma indústria ou região. Em diversos momentos o Guia reforça a necessidade de suficiente alocação de recursos e estruturação de procedimentos inteligentes, abrangentes, devidamente comunicados, parametrizados, testados e monitorados.

A principal adaptação diz respeito ao maior enfoque no risco de terceiros e em como o programa de compliance identifica, classifica, monitora e lida com sua cadeia de terceiros. O Guia coloca o envolvimento do compliance na gestão de riscos de terceiros como fator relevante para avaliação de eficácia do programa de integridade, destacando, ainda, que tal procedimento não deve ser realizado no modelo one-shot, mas sim durante todo o período de relacionamento comercial.

Muitas vezes grandes organizações têm controles estruturados, mas pecam por não investir na verificação e monitoramento de riscos envolvendo a cadeia de terceiros. Um sistema antissuborno bem estruturado precisa se atentar à gestão de parceiros de negócios para que seja efetivo.

O enfoque no gerenciamento de terceiros vem atender tendência já observada em estatísticas globais como demonstrado no estudo realizado pela Universidade Americana de Standford, que evidencia que desde 1977 (ano em que o Foreign Corrupt Practices Act – “FCPA” foi publicado), o principal risco de compliance advém justamente de ações ou omissões cometidas por parceiros de negócio. De acordo com o referido estudo, ações de enforcement do DOJ e da Securities and Exchange Commission – “SEC” (equivalente à CVM no Brasil) nos Estados Unidos desde 1977 demonstram que cerca de 90% dos casos envolve desvios de conduta praticados por terceiros intermediários.

A abordagem é muito interessante e atual porque mesmo considerando que no sistema americano vigora a responsabilidade subjetiva, o conceito da cegueira deliberada (wilfull blindness) é aplicado pelos órgãos reguladores. Em termos práticos, se a empresa se abstém de realizar uma verificação do histórico de um prestador de serviços de alto risco, pode-se dizer que a empresa “fechou os olhos” e, por isso, pode vir a ser investigada e até mesmo responsabilizada.

No Brasil, a Lei Anticorrupção estabelece a responsabilidade objetiva. Neste contexto, a responsabilidade prescinde da culpa e se satisfaz apenas com o dano e o nexo de causalidade. Em outras palavras, a empresa pode responder por atos de terceiros e isso naturalmente faz com que a preocupação com terceiros seja ainda mais iminente e pulsante.

Além da Lei e dos parâmetros constantes no Guia, a norma ISO 37001 (itens 8.2 e 8.5), também traz alguns requisitos e requisitos relacionados à gestão de terceiros em um sistema de gestão antissuborno/compliance.

Cada organização deve avaliar a razoabilidade e proporcionalidade de seu contexto, mas é certo que políticas e procedimentos de gestão de terceiros como, por exemplo, Know Your Client, screening de terceiros e Know Your Vendor devem prever parâmetros para monitoramento contínuo dos terceiros, especialmente no que diz respeito à parceiros e clientes que possam representar riscos relacionados à práticas de lavagem ou ocultação de bens, direitos e valores, bem como financiamento do terrorismo, à luz de tendência estabelecida pelo nosso arcabouço regulatório recente em normativos como a Instrução Normativa da Comissão de Valores Mobiliários – “CVM” n. 617/2019 e Circular do Banco Central do Brasil n. 3.978/2020.