A era do compliance de papel acabou
Durante anos, muitas empresas trataram compliance como uma obrigação burocrática: um código de ética emoldurado na parede, um canal de denúncias que ninguém usava e um treinamento anual que ninguém levava a sério. Esse modelo está morto.
A CGU e o Ministério Público passaram a avaliar a efetividade dos programas de integridade, não apenas a sua existência. Ter um programa no papel sem implementação real pode ser pior do que não ter nenhum, porque demonstra que a empresa sabia dos riscos e optou por não agir.
O que a Lei Anticorrupção realmente exige
A Lei 12.846/2013 estabelece a responsabilidade objetiva das empresas por atos lesivos contra a administração pública. Isso significa que não importa se o CEO autorizou ou não: se um funcionário, representante ou fornecedor pagou propina em benefício da empresa, a empresa responde.
As sanções são severas: multa de 0,1% a 20% do faturamento bruto, publicação da condenação em mídia de grande circulação e, no âmbito judicial, dissolução compulsória da empresa, proibição de receber incentivos e subsídios públicos por até cinco anos e reparação integral do dano.
A única atenuante prevista é demonstrar a existência de um programa de integridade efetivo — não um programa de fachada.
Os 7 pilares de um programa de integridade efetivo
1. Comprometimento da alta direção
Se o CEO não acredita no compliance, ninguém vai acreditar. O tom vem de cima. A alta direção precisa demonstrar, com ações concretas e não apenas com discursos, que a empresa leva integridade a sério.
2. Análise de riscos
Cada empresa tem um perfil de risco diferente. Uma construtora que participa de licitações públicas tem riscos diferentes de uma empresa de tecnologia que vende para o setor privado. O programa precisa ser desenhado com base em uma análise objetiva dos riscos específicos do negócio.
3. Políticas e procedimentos claros
O código de ética precisa ser prático, não genérico. Deve dizer exatamente o que é permitido e o que não é, com exemplos concretos da realidade da empresa. Políticas sobre brindes, hospitalidades, doações, relacionamento com agentes públicos e conflito de interesse devem ser detalhadas e acessíveis.
4. Due diligence de terceiros
Fornecedores, representantes comerciais, despachantes, consultores e qualquer terceiro que atue em nome da empresa deve ser verificado antes da contratação. A profundidade da verificação deve ser proporcional ao risco.
5. Canal de denúncias funcional
Um canal que existe mas não é usado não protege ninguém. Precisa ser acessível, garantir confidencialidade e, acima de tudo, gerar consequências. Se os denunciantes percebem que nada acontece depois da denúncia, param de denunciar.
6. Investigações internas competentes
Quando uma denúncia chega, a empresa precisa saber investigar: preservar provas, ouvir testemunhas, analisar documentos e chegar a conclusões fundamentadas, tudo isso sem violar a LGPD ou os direitos dos investigados.
7. Monitoramento contínuo
Compliance não é um projeto com início e fim. É um processo contínuo que precisa ser testado, atualizado e auditado regularmente. As ameaças mudam, o ambiente regulatório evolui e os controles internos se deterioram se não forem mantidos.
Onde a inteligência corporativa entra no compliance
Programas de integridade robustos exigem informação de qualidade. A inteligência corporativa fornece essa informação em três momentos críticos: na due diligence de terceiros antes da contratação, na investigação interna quando há denúncia e no monitoramento contínuo de fornecedores e parceiros estratégicos.
Uma consultoria que vende "compliance em caixa" — pacotes padronizados sem análise real de risco — entrega um programa que não resiste ao primeiro teste. A diferença entre um programa que protege e um que só ocupa espaço no servidor está na qualidade da inteligência que o alimenta.
O custo de não ter compliance
O cálculo é simples. O custo de implementar um programa de integridade sério é uma fração da multa prevista na lei. Mas o maior custo não é a multa: é a perda de reputação, a exclusão de cadeias de fornecimento de grandes empresas, a impossibilidade de participar de licitações e a exposição pessoal dos administradores.
Empresas que operam com multinacionais já são obrigadas a demonstrar compliance por exigência contratual. Empresas que exportam para mercados regulados enfrentam o FCPA americano e o UK Bribery Act. A tendência é global e irreversível.