Por Aline Reis1
O Departamento de Justiça norte-americano publicou, no dia 8 de fevereiro de 2017, um guia para “Avaliação dos Programas de Compliance Corporativos”. O objetivo é dar maior transparência ao público sobre a análise dos Programas de Compliance feita pelos procuradores.
No contexto de uma investigação criminal decorrente de violação do FCPA, o Programa de Compliance da companhia é avaliado individualmente, ou seja, o Setor de Fraudes do Departamento de Justiça não utiliza nenhuma fórmula estanque para avaliar a efetividade dos Programas de Compliance, haja vista que cada empresa possui uma matriz de riscos de acordo com seus negócios e, consequentemente, soluções personalizadas para redução desses riscos. No entanto, algumas questões relevantes são comumente feitas pelos procuradores na avaliação da efetividade dos Programas de Compliance.
O guia é excelente para auxiliar o Compliance Officer, tanto na construção de um Programa de Compliance, quanto na preparação para conversas que virão em decorrência da descoberta de eventual violação do FCPA. Composto por uma lista de 11 tópicos mais relevantes e 46 exemplos de questões que poderão ser feitas pelo procurador sobre o Programa de Compliance de sua empresa, o guia ressalta que essa lista não é uma fórmula exata ou definitiva, pois dependendo do caso, as questões relacionadas poderão ou não serão relevantes.
A íntegra do texto pode ser encontrada aqui. Para aqueles que preferem o português, segue tradução livre:
Segue a lista dos tópicos e questões relacionadas no guia divulgado pelo DoJ:
- Análise e Remediação da Má Conduta
- Análise da Causa Raiz – De acordo com a análise da empresa, qual a causa raiz da má conduta em questão? Quais foram os problemas sistêmicos identificados? Quem na empresa participou da análise?
- Indicações Prévias – Ocorreram oportunidades prévias de detecção da má conduta em questão, tais como relatórios de auditoria identificando falhas importantes nos controles, alegações, denúncias ou investigações envolvendo problemas similares? Qual a análise da empresa do porquê tais oportunidades foram perdidas?
- Remediação – Quais mudanças a companhia fez para reduzir o risco para que o mesmo problema ou outro similar não ocorra no futuro? Qual remediação específica foi aplicada nas questões identificadas na causa raiz e na oportunidade de detecção prévia que foi perdida?
- Administração Sênior e Média
- Conduta no Topo – Como os líderes sêniores, através de suas palavras e ações, encorajaram ou desencorajaram a má conduta em questão? Quais medidas concretas eles tomaram para demonstrar liderança nas iniciativas de Compliance e remediação da companhia?
- Compromisso Mútuo – Quais medidas específicas os líderes sênior e outros stakeholders (ex. Gerência de Negócios e Operacional, Financeiro, Suprimentos, Jurídico, Recursos Humanos) tomaram para demonstrar seu comprometimento com Compliance, incluindo seus esforços para remediação? Como a informação é dividida com as diferentes áreas da empresa?
- Supervisão – Qual nível de conhecimento de Compliance foi disponibilizado ao Conselho Administrativo? Os diretores e/ou auditores externos tiveram reuniões privativas com as áreas de Compliance e controles? Quais os tipos de informação o conselho de administração e a diretoria examinaram em seu exercício de supervisão da área na qual a má conduta ocorreu?
- Autonomia e Recursos
- Função de Compliance – Compliance foi envolvido nos treinamentos e decisões em relação à má conduta? Compliance ou as funções relevantes de controle (ex. Jurídico, Financeiro ou Auditoria) alguma vez demonstrou preocupação com a área na qual ocorreu a má conduta?
- Estrutura – Em termos de estrutura, nível de remuneração, cargo, linha de reporte, recursos e acesso à pessoas chaves que tomam as decisões, como está Compliance comparado com outras áreas estratégicas da companhia? Qual a taxa de turnover de Compliance e do pessoal das funções relevantes de controle? Qual tem sido o papel de Compliance nas decisões estratégicas e operacionais da empresa?
- Experiência e Qualificações – O pessoal de controles internos e de Compliance possuem experiência e qualificações adequadas para seus papéis e responsabilidades?
- Autonomia – Compliance e as funções controle mais relevantes da companhia reportam diretamente a alguém do Conselho Administrativo? Com qual frequência esses profissionais se reúnem com o Conselho Administrativo? A direção da companhia está presente nessas reuniões? Quem analisou o desempenho da área de Compliance, e, qual foi o procedimento utilizado para a análise? Quem determinou o salário/bônus/aumento/contratação/demissão dos Compliance Officers? O Compliance e funções controle relevantes da companhia alocados em campo reportam à sede da companhia? Caso negativo, como a companhia tem garantido sua independência?
- Capacitação – Houve alguma situação específica na qual Compliance levantou questões ou objeções em relação à área onde a má conduta ocorreu? Como a companhia respondeu a tais preocupações? Alguma transação ou negócio foi interrompido, modificado ou examinado mais de perto devido à preocupações de Compliance?
- Financiamento e Recursos – Como foram definidos onde seriam alocados o pessoal, recursos de Compliance e das funções de controle mais relevantes à luz da matriz de risco da empresa? Já aconteceu de pedidos de recursos para Compliance e para funções de controle mais relevantes serem negados? Caso positivo, como tais decisões foram tomadas?
- Terceirização das Funções de Compliance – A empresa terceirizou toda ou parte das funções de Compliance? Qual o racional utilizado para proceder desta maneira? Quem foi participou da decisão de terceirizar? Como esse procedimento tem sido gerenciado (incluindo quem fiscalizou e/ou contratou a empresa terceira ou consultoria)? Qual o nível de acesso empresa terceira ou consultoria às informações da companhia? Como foi mapeada a efetividade do processo de terceirização?
- Políticas e Processos
Definição e Acessibilidade
- Definição das Políticas e Processos de Compliance – Qual tem sido o processo de definição e implementação de novas políticas e procedimentos? Quem tem sido envolvido na definição e implementação das políticas e procedimentos? As áreas de negócios foram consultadas previamente à aplicação de tais políticas e procedimentos?
- Políticas e Procedimentos Aplicáveis – A companhia possui políticas e procedimentos que proíbem a má conduta? Como a companhia averiguou se as políticas e procedimentos foram efetivamente implementados? Como as funções responsáveis pelo cumprimento dessas políticas e procedimentos prestam contas de sua supervisão?
- Guardiões – Houve instrução clara e/ou treinamento para os principais guardiões (ex. pessoas responsáveis pelos pagamentos ou que revisam as aprovações) sobre os processos de controles relevantes para a má conduta em questão? Qual tem sido o processo para reportar preocupações?
- Acessibilidade – Como a companhia tem comunicado as políticas e procedimentos relevantes para a má conduta aos funcionários ou terceiros? Como a companhia avalia a utilidade de tais políticas e procedimentos?
Integração Operacional
- Responsabilidade pela Integração – Quem tem sido responsável pela integração das políticas e procedimentos? Como foram implementados (ex. o pessoal de Compliance avalia se os funcionários entenderam as políticas)?
- Controles – Quais controles que poderiam ter detectado ou prevenido a má conduta falharam ou não existiam? Tais controles existem agora?
- Sistema de Pagamentos – Como a má conduta em questão foi financiada (ex. pedido de compra, reembolso de funcionários, descontos, pequenos pagamentos)? Quais processos poderiam ter prevenido ou detectado o acesso indevido aos fundos da companhia? Esses processos foram criados?
- Procedimento de Aprovação/Certificação – Como os que possuem autoridade para aprovação ou responsabilidade de certificação nos processos relevantes para a má conduta poderiam saber o que procurar e como reportar eventuais preocupações?
- Gerenciamento de Fornecedores – Se fornecedores estavam envolvidos na má conduta, qual foi o processo de seleção do fornecedor e o fornecedor em questão passou pelo processo? Veja questões adicionais no Item 9, “Pagamentos e Due Diligence de Terceiros).
- Mapeamento de Risco
- Processo de Gerenciamento de Risco – Qual a metodologia utilizada pela companhia para identificar, analisar e endereçar os riscos específicos que ela enfrentou?
- Coleta e Análise de Informações – Quais informações ou métricas a companhia coletou e utilizou para ajudar na detecção da má conduta em questão? Como tais informações ou métricas foram informadas ao Programa de Compliance da Companhia?
- Riscos Manifestados – Como o procedimento de mapeamento de riscos da companhia relacionou os riscos manifestados?
- Treinamentos e Comunicações
- Treinamento Baseado no Risco – Quais treinamentos os funcionários das áreas relevantes de controle receberam? A companhia proporcionou treinamentos personalizados para os funcionários de alto risco e de controle que endereçaram os riscos na área na qual a má conduta ocorreu? Qual o racional da companhia para determinar quem deveria ser treinado e em quais assuntos?
- Forma /Conteúdo/ Eficácia do Treinamento – O treinamento foi conduzido em formato e linguagem apropriados para a audiência? Como a companhia mensurou a eficácia do treinamento?
- Comunicações sobre Má Conduta – Como a direção informou aos funcionários a posição da companhia em relação à má conduta ocorrida? Quais comunicações geralmente são feitas quando um funcionário é dispensado por não atender às políticas, procedimentos e controles da empresa (ex. descrições do tipo de má conduta que levam à disciplina)?
- Disponibilidade para Orientação – Quais os recursos disponíveis para orientar os funcionários em relação às políticas de Compliance? Como a companhia apura se os funcionários sabem onde procurar orientação e se estão dispostos a procurar orientação?
- Reporte Confidencial e Investigação
- Efetividade do Mecanismo de Reporte – Como a companhia tem coletado, analisado e utilizado a informação recebida pelos mecanismos de reporte? Como a companhia averiguou a seriedade da alegação recebida? A área de Compliance teve acesso integral às informações do relatório e das investigações?
- Investigação com Escopo Adequado e Pessoal Qualificado – Como a companhia se certificou de que o escopo das investigações foi definido adequadamente e se foram independente, objetiva e apropriadamente conduzida e documentada?
- Resposta às Investigações – A investigação da companhia foi conduzida para identificar as causas raízes, vulnerabilidades de sistemas e falhas da contabilidade, incluindo a supervisão e os executivos seniores? Qual tem sido o procedimento de resposta em relação aos resultados da investigação? O quão alto vão na empresa os resultados da investigação?
- Incentivos e Medidas Disciplinares
- Contabilidade – Quais medidas disciplinares foram aplicadas pela companhia em resposta à má conduta e quando elas ocorreram? Os gerentes foram responsabilizados pela má conduta que ocorreu sob a sua supervisão? A resposta da companhia contemplou medidas disciplinares pela falha de supervisão do gerente? Qual o registro da companhia (ex. número e tipos de ações disciplinares) sobre o disciplinamento de funcionários relacionados à má conduta sob análise? A companhia já dispensou ou disciplinou de outra maneira (redução ou eliminação de bônus, carta de advertência) alguém pelo mesmo tipo de conduta em questão?
- Procedimento de Recursos Humanos – Quem participou na decisão de disciplinar a má conduta em questão?
- Aplicação Consistente – As medidas disciplinares e incentivos tem sido justa e consistentemente aplicadas à toda a organização?
- Sistema de Incentivos – Como a companhia tem incentivado Compliance e o comportamento ético? Como a companhia tem considerado as potenciais implicações negativas de seus incentivos e recompensas? Existem exemplos específicos de ações tomadas como resultado das considerações de Compliance e ética?
- Melhoria Contínua, Testes Periódicos e Revisão
- Auditoria Interna – Quais tipos de auditorias teriam identificado problemas relacionados à má conduta? Tais auditorias ocorreram, e, quais foram os resultados? Quais tipos de resultados relevantes de auditorias e progressos na remediação são reportados à direção e ao conselho regularmente? Como a direção e o conselho acompanharam? Com qual frequência a auditoria interna tem avaliado as áreas de alto risco?
- Testes de Controle – A companhia tem revisado e auditado seu programa de Compliance na área onde ocorreu a má conduta, incluindo testes dos controles internos, coleta e análise de informações de Compliance e entrevistas de funcionários e terceiros? Como os resultados são reportados e as ações rastreadas? Quais são os testes de controle geralmente utilizados pela companhia?
- Atualizações para Evolução – Com que frequência a companhia tem atualizado o mapeamento de riscos e revisado suas políticas, processos e práticas de Compliance? Quais os passos dados pela companhia para determinar se as políticas/procedimentos/práticas fazem sentido para determinada área ou para as subsidiárias?
- Gerenciamento de Terceiros
- Processos Integrados e Baseados nos Riscos – Como o processo de gerenciamento de terceiros correspondeu à natureza e o nível do risco empresarial identificado pela companhia? Como esse processo tem sido integrado nos processos de suprimentos e gerenciamento de fornecedores?
- Controles Adequados – Qual o racional da companhia para utilizar os terceiros em questão? Quais mecanismos existem para assegurar que os termos do contrato descrevem especificamente os serviços prestados, que os termos de pagamento são apropriados, que o trabalho foi desempenhado e que o valor pago está condizente com os serviços prestados?
- Gerenciamento de Relacionamentos – Como a companhia tem considerado e analisado o modelo de pagamento do terceiro versus os riscos de Compliance? Como a companhia monitorou os terceiros em questão?
- Ações e Consequências Reais – Foram identificados alertas na due diligence dos terceiros envolvidos na má conduta? E como eles foram resolvidos? Algum terceiro foi suspenso, dispensado ou auditado em função dos alertas de Compliance? Como a companhia monitorou essas ações (ex. garantindo que o fornecedor não seja usado novamente em caso de dispensa)?
- Fusões e Aquisições (M&A)
- Processo de Due Diligence – A má conduta ou o risco de má conduta foi identificado na due diligence? Quem conduziu e como foi feita a revisão do risco para as entidades adquiridas? Em geral, como foi realizado o processo de due diligence do M&A?
- Integração no Processo de M&A – Como a função de Compliance tem sido integrada no processo de fusão, aquisição e integração?
- Processo Conectando a Due Diligence à Implementação – Qual tem sido o processo da companhia para rastrear e remediar a má conduta ou o risco de má conduta identificados durante o processo de due diligence? Qual tem sido o processo da companhia para implementar as políticas e processos de Compliance nas novas entidades?
1Aline Reis é advogada do Trench Rossi Watanabe, formada pela Universidade Federal de Ouro Preto (2007). Pós-graduada pela Fundação Instituto de Administração em Compliance – Gestão de Riscos e Prevenção a Fraudes (2015).
Fonte: Compliance Review, em 23.02.2017