Texto 4 bimestre

Prévia do material em texto

1 
 
GOVERNANÇA CORPORATIVA E COMPLIANCE 
Prof. Me. Luciano Ferreira 
O COMPLIANCE CORPORATIVO 
O compliance, sem exageros, é um tema que ganhou grande divulgação nos últimos 
anos em nosso país, muito por um conjunto de leis bastante considerável: 
• Lei da Lavagem de Dinheiro (Leis 9613/1998 e 12683/2012); 
• Lei da Transparência Fiscal (Lei complementar 131/2009); 
• Lei da Ficha Limpa (Lei complementar 135/2010); 
• Lei do Acesso à Informação (Lei 12527/2011); 
• Lei da Prevenção de Conflitos de Interesses (Lei 12813/2013); 
• Lei Anticorrupção (Lei 12846/2013); 
• Lei das Organizações Criminosas (Lei 12850/2013); e 
• Lei das Estatais (Lei 13303/2016). 
Os programas de compliance se vêm disseminando no Brasil, não ainda entre 
empresas de todos os portes ou de todos os segmentos de mercado, ainda, mas a 
velocidade da implantação de modelos de governança corporativa vem crescendo a 
cada dia. 
O compliance faz parte de um conjunto de quatro valores que dão sustentação aos 
conceitos de governança corporativa, que ainda conta com o fairness que é o senso 
de justiça, o disclosure que engloba a transparência e publicidade das informações 
que impactam o negócio e que envolvem riscos, resultados e oportunidades e o 
accountability, que está relacionado a prestação de contas regular e responsável, em 
padrões reconhecidamente aceitos, com chancela de auditorias. 
Dois fatores conseguem explicar a disseminação rápida do compliance: uma delas é 
a exigência – colocada em prática por alguns Estados e algumas empresas estatais – 
da implementação de programas desta natureza para empresas com contratam com 
a administração pública. A lei das Estatais (art. 32, V) têm considerado necessária a 
imposição de tal exigência em suas licitações e contratos, até mesmo como parte das 
medidas de Due Diligence ou de Background Check. 
Outro fator é a exigência espontânea, independentemente de qualquer legislação, por 
parte de determinadas empresas – em geral as de maior porte – da adoção de 
programas de compliance por seus fornecedores, empresas parceiras e terceirizadas. 
O compliance está alicerçado no cumprimento de normas, de regulamentos e leis 
nacionais e internacionais. É um conjunto de medidas internas que permite prevenir 
ou minimizar os riscos de violação às leis decorrentes de atividade praticada por um 
agente econômico e de qualquer um de seus sócios ou colaboradores. Além das leis, 
as ações de compliance serão guiadas por princípios e valores da companhia e, 
sobretudo, pela ética. O código de conduta e de procedimentos internos disciplina 
questões que, não raro, não foram objeto de lei, inclusive, criando padrões ainda mais 
REFLITA: Alguns autores simplificam a definição de compliance como: a atividade de ser e se 
manter honesto, independente de quaisquer outras situações. 
“Caráter é simplesmente um hábito longamente mantido.” 
Lúcio Méstrio Plutarco – Filósofo e historiador. 
2 
 
rigorosos que a própria lei. 
Cada empresa desenvolve um programa único, preventivo e corretivo, construído com 
base no risco da operação ou negócio a que ela pertence. Empresas do mesmo setor 
tem chance de apresentar programas com alguma similaridade, mas, cada programa 
deverá observar e ser construído exclusivamente considerando-se a realidade 
daquela empresa, refletindo a cultura organizacional. As regras e normas 
disciplinadas devem fazer sentido à realidade da organização, sob pena de caírem 
em desuso. Os procedimentos devem refletir o dia a dia das áreas e conformar 
processos de forma prática. Mais que isso, devem construir e manter o ambiente 
sadio, fazendo que o programa tenha plena efetividade. 
O compliance deve interagir com todos os setores e departamentos da empresa, 
observando os padrões de conduta ética em todas as esferas. É fato que algumas 
áreas são naturalmente mais próximas, por contas das atividades e circunstância de 
cada um desse setores. Os mais comuns: 
CONVERGÊNCIA DO COMPLIANCE 
i Departamento Jurídico: A área de Compliance deve oferecer o seu parecer para 
assuntos estratégicos ao confrontar a análise legal com o código de conduta da 
empresa. O parecer da área de Compliance pode muitas vezes não estar pautado 
em uma regra escrita e formalizada no código de conduta, mas sim na experiência 
dos profissionais responsáveis a respeito do risco de determinada decisão de 
negócios à imagem da organização. 
ii Controles internos: uma das funções básicas é o estabelecimento de normas e 
procedimentos internos que assegurem o atingimento dos objetivos de maneira 
eficiente, correta e acurada e, em teoria, todas as áreas dentro de uma organização 
sabem exatamente o que e como fazer para que os objetivos do negócio sejam 
atendidos de maneira eficiente, correta e verificada. 
iii Recursos humanos: Políticas de recursos humanos muitas vezes resvalam nas 
ações de compliance. Adotam pontos semelhantes como ética, comunicação, 
treinamento e medidas disciplinares. 
iv Auditoria interna: Forma uma parceria com o compliance, inclusive na troca de 
dados, já que essas áreas são cliente e fornecedor entre si, pois, indícios de fraude 
podem ser identificados tanto pelo compliance officer por meio do canal de 
denúncias, quanto pelo auditor interno, ao identificar, por exemplo, pontos obscuros 
num processo de análise de dados financeiros. 
Fonte: FRANCO, Isabel. Guia Prático de Compliance. São Paulo: Forense, 2020. Pag. 12. (Adaptado) 
Um outro ponto que merece uma breve discussão diz respeito à autonomia do 
departamento de compliance. Muitas vezes, os temas de compliance são 
encaminhados para discussão pelos gestores ou assembleia de acionistas ou 
conselheiros, sem que ao menos o representante da área de compliance esteja 
convidado a participar da sessão. Isso ocorre quando o profissional de compliance se 
reporta apenas para o diretor de outra área, como, por exemplo, a jurídica, a área de 
controles internos e, até mesmo, para o CEO da empresa. 
INDICAÇÃO DE VÍDEO 
Para saber mais detalhes sobre o compliance e sua abrangência na administração pública, 
assista o vídeo da ENAP – Escola Nacional de Administração Pública disponível em: 
https://www.youtube.com/watch?v=YHLWiD192hM&t=1s. 
 
 
Temos aí dois conflitos inerentes à posição do representante de compliance: falta de 
autonomia e falta de representatividade com os conselheiros ou assembleia de 
3 
 
acionistas ou diretores. Sabemos que, dependendo do tamanho da empresa e de sua 
estrutura, o compliance ainda não tem uma posição efetiva e de peso no comitê 
diretivo ou assembleia de acionistas ou diretores, e desta forma passa a ser 
representado por outras funções. Podemos concluir que falta de conhecimento sobre 
a necessidade de ter uma área de compliance estruturada, com peso de relevância 
igual ao das demais funções, pode ocasionar uma série de problemas. 
O COMPLIANCE OFFICER 
Para que possamos compreender com mais assertividade o que é o compliance officer 
e o seu papel dentro das organizações é necessário relembrar os principais objetivos 
de um programa de compliance: 
• Criar cultura que fortaleça a conduta ética e a aderência ao compliance. 
• Identificar riscos. 
• Prevenir e detectar condutas ilícitas. 
• Proteger a organização de falhas de compliance. 
• Facilitar a aderência das equipes as ações que potencializem o compliance. 
Dito isso, o compliance officer é responsável pela execução do programa de 
compliance, sendo a representação individual dessa nova cultura corporativa. A 
implementação e a aplicação do código de conduta, monitorada pelo compliance 
officer, é dever de todos os colaboradores da empresa. 
Suas principais atribuições são: 
a) estabelecer processos de monitoramento das atividades negociais, pautados 
em critérios objetivos, e que permitam a devida verificação de irregularidades; 
b) fomentar e acompanhar o canal de denúncia (ouvidoria) da empresa; 
c) exercer a função consultiva, esclarecendo dúvidas sobre questões negociais 
na perspectivade compliance; 
d) realizar a due diligence de parceiros comerciais; 
e) liderar e/ou assessorar processos de investigação interna; 
f) ser o ponto focal entre as autoridades públicas e gestores e/ou conselheiros; 
g) avaliar os riscos do modelo de negócios da empresa, apontando problemas e 
propondo alternativas; 
h) desenvolver e aplicar o código de conduta e políticas internas; 
i) oferecer treinamentos periódicos sobre temas relacionados com o compliance; 
j) desenvolver controles internos para reduzir riscos e assegurar o cumprimento 
das políticas. 
Na visão de Valente, Amaral e Bonfante apud Franco (2020, pag. 22): 
“O Compliance não pode ser visto como um obstáculo ao negócio, e sim 
como um parceiro. Trata-se de tarefa árdua, pois a cultura do “jeitinho 
brasileiro” ainda é presente no ambiente corporativo. 
É neste momento que a qualidade do integrity officer que só cuida do 
programa deve se destacar; quanto mais integrado ao modelo de 
negócios, suas peculiaridades e desafios, melhores análises e respostas 
poderão ser desenvolvidas para dar suporte aos Departamentos 
Comercial, de Compras, Licitações, Marketing, P&D, dentre outros. 
Entendemos, portanto, que o Compliance não pode ter maior destaque 
que a atividade comercial em si. Ao profissional que exerce esse cargo 
cabe buscar que os temas relativos à sua área não estejam nem à frente 
nem atrás das questões do negócio, mas que caminhem lado a lado.” 
4 
 
 
Ao pensarmos no compliance officer não podemos imaginá-lo com um investigador, 
mas, sim, como um profissional que promove o conceitua, esclarece dúvidas e auxilia 
na implementação. 
Caso tenhamos funções exercidas em conjunto por um compliance officer ou divididas 
com outro profissional responsável por investigar, muito provável teremos problemas 
que impactarão quase que imediatamente na confiança que os colaboradores, 
gestores e conselheiros têm no resultado do trabalho de compliance. A atuação do 
profissional deve estar embasada em sigilo, respeito, imparcialidade e discrição. 
PROMOVER OU INVESTIGAR - PROMOVER E INVESTIGAR - QUAL A OPÇÃO? 
 
Fonte: O autor adaptado de FRANCO, Isabel. Guia Prático de Compliance. São Paulo: Forense, 2020. Pag. 29. 
O sucesso da implementação de políticas de compliance pode ser muito bem 
percebido e, em sequência, sempre uma reflexão deve ser feita de qual postura 
precisa ser tomada pelos responsáveis da área. Mais do que um modelo impositivo e 
de controle, o compliance deve ser uma ação constante e de transformação do 
comportamento ético dos indivíduos. 
A CULTURA DO COMPLIANCE 
Mesmo considerando que o compliance é um tema que está na agenda de boa parte 
das empresas ainda é um desafio a disseminação da sua cultura, uma vez que isso 
implica na transformação de regras impostas com comportamentos, há tempos, 
internalizados. 
Isso nos apresenta algumas questões que estão ligadas ao comportamento dos atores 
principais – colaboradores e terceirizados – e que são importantes para que gestores 
e, em especial, o compliance officer façam de forma individual ou em conjunto 
algumas reflexões: 
 
QUESTÕES QUE O COMPLIANCE PRECISA RESPONDER 
O compliance officer pode de forma muito
neutra integrar o grupo de mensagens
instantâneas da área de Marketing da
empresa e, diante de uma mensagem que
possa suscitar um conflito de interesses ou
até mesmo concorrência desleal, conversar
em particular com o colaborador que
levantou essa questão, mas de uma forma
leve, construtiva e educativa.
Mas se o mesmo compliance officer for responsável
por investigações, além de estar condicionado a
investigar a origem e a causa de tal mensagem, não
poderá aconselhar o colega sobre tal conduta, por
ser a pessoa responsável por investigações na
empresa e, desta forma, ter de cumprir um
procedimento rígido sobre a condução de
investigações.
5 
 
 
Fonte: O autor adaptado de FRANCO, Isabel. Guia Prático de Compliance. São Paulo: Forense, 2020. Pag. 48. 
Uma primeira análise que pode ser feita segue na linha em que seguir regras impostas 
sem que estas façam sentido e transformem o executor, vai contra a natureza 
humana. As pessoas não gostam de seguir regras simplesmente por imposição e, por 
esse motivo, seguindo o princípio conhecido como reatância psicológica quando, por 
exemplo, você diz a alguém para fazer algo, mas em vez de obedecer ao seu pedido, 
eles fazem de propósito exatamente o oposto. 
As ações e percepções de compliance devem ser apresentadas como uma estratégia 
de conscientização de colaboradores e parceiros, por meio de reflexões, sentimentos 
reais e aprendizado. A ética, a moral e o comportamento adequado devem fazer mais 
parte do escopo da transformação de cultura, do que de práticas implementadas que 
visam a mero controle e/ou cumprimento de formalidades legais. A efetividade 
dependerá também da adesão, do comprometimento e da perpetuação do 
comportamento da alta direção, que deverá transmitir o exemplo aos seus 
subordinados e nas suas relações com os parceiros externos – possibilitando um 
efeito espelhado. 
A questão maior é que, se foram a dotadas medidas que envolvam a mudança cultural, 
com certezas temos desafios a serem rompidos. Alterar cultura não é uma tarefa fácil. 
Segundo Schein (2009), as variáveis organizacionais tais como: estrutura 
organizacional, regras, políticas, objetivos, missão, descrições de cargos e 
procedimentos operacionais padronizados são fatores que delimitam e compõem a 
cultura de uma organização formal, como também a percepção que os colaboradores 
têm sobre ela. Neste momento devemos de forma sistêmica observar a empresa como 
um todo, sua trajetória, suas decisões, como reage em momentos de bonança e de 
dificuldades, quais valores foram incorporados, como são aplicados e sob qual 
motivação. Apenas uma análise aprofundada, multidisciplinar e cuidadosa poderá nos 
trazer as respostas de como essa estrutura se formou e se estabeleceu nas relações 
daquele ambiente. Isso também acontece quando falamos de cultura de compliance. 
Para conhecê-la, será fundamental entendermos a base de sua estrutura, que é 
composta por três elementos: 
OS 3 C’s DA CULTURA DE COMPLIANC 
 
Fonte: O autor. 
Como engajar os indidíduos para que 
cumpram as normas corporativas e 
exercitem os valores e propósitos do 
compliance e não se sintam apenas 
compelidas a fazê-lo por determinação 
da empresa, exigência de parceiros ou 
receio de retaliação?
Como fazer que os colaboradores e 
parceiros incorporem as práticas do 
compliance e passem a adotá-las em seu 
comportamento de forma instintiva e 
natural?
O que fazer para diminuir a necessidade 
de imposição de um modelo de aplicação 
de penalidades e de mecanismos de 
controle e mesmo assim preservar a ética 
na atividade dos colaboradores e nas 
relações com os parceiros externos?
Conhecimento
CompreensãoCrença
6 
 
O conhecimento tem como foco detectar o nível de ciência que os colaboradores e 
parceiros têm da existência do programa de compliance da empresa, sua estrutura e 
seu funcionamento. Se reconhecem a existência do programa, em consequência, tem 
ciência de onde podem encontrar os recursos para lidar com dilemas éticos e como 
utilizar esses recursos. Dar ampla publicidade ao programa de compliance e garantir 
que colaboradores e parceiros saibam o caminho a trilhar quando estiverem diante de 
um impasse deve ser a prioridade da corporação, sendo indispensável para que a 
implementação de uma cultura de compliance seja bem-sucedida e tenha aderência 
consciente dos envolvidos. 
Em relação a compreensão, o programa de compliance deve estar alinhado aos 
valores e princípios da organização, deve fazer sentido aos colaboradores e parceiros. 
Estes devem entender qual o impacto de suas ações e o que devem fazer ou não 
fazer e, além disto, ter plena consciência dos riscos e benefícios decorrentes de 
agirem de forma errada ou certa. Ao final isso deverá desencadear um processo de 
internalizaçãodesse comportamento. Na compreensão de Schein (2009), os 
indivíduos adultos necessitam de sentido, aplicação prática e confirmações para 
aprenderem conceitos e, consequentemente, exercê-los. 
O terceiro “C” é a crença. Se desejamos desenvolver e disseminar uma cultura de 
compliance, é imprescindível descobrir o que os colaboradores internalizaram e 
registraram durante sua jornada, formatando seus históricos que, desta forma, 
impactaram na compreensão de que “eles têm” um programa de compliance, que ele 
“funciona” e que podem “utilizá-lo”. Se não for assim, se não houver crença, não vai 
funcionar. Imaginando o canal de ouvidoria, os colaboradores podem saber de sua 
existência, compreender a forma e as situações de sua utilização, ganhos e perdas a 
ele vinculados, mas resistirem fortemente ao uso desse recurso se tiverem na 
memória casos de pessoas que foram demitidas após a realização de denúncia ao 
canal, típico caso de retaliação. 
Desenvolver e disseminar uma cultura de compliance é um processo que envolve 
menos controles e mais relação, menos ensino e mais educação, menos fala e mais 
escuta. É primordial que o compliance officer abandone a posição de conhecedor 
absoluto ou controlador de processos e sistemas e passe a agir como um facilitador, 
a fim de que as regras se transformem em valores incorporados naturalmente. Essa 
mudança certamente extravasará os limites da organização e poderá ser percebida 
não só pelos colaboradores, mas também na relação da empresa com parceiros e 
com a sociedade em geral, garantindo assim a sustentabilidade de seus negócios e 
ações. 
INDICAÇÃO DE LEITURA 
A obra recomendada é Governança Corporativa e Integridade Empresarial – Dilemas e 
desafios tendo como um dos seus organizadores Carlos Eduardo Lessa Brandão. 
A governança corporativa vem sendo, e deverá continuar a ser, um assunto bastante 
discutido e, entre os temas de que trata, os dilemas e desafios da integridade 
empresarial devem receber atenção especial neste momento em que o assunto 
compliance (conformidade) ocupa crescente espaço no noticiário e nas agendas das 
empresas brasileiras. 
Os artigos tratam de forma objetiva as questões que envolvem o tema central do livro, 
e se aplicam tanto às empresas listadas quanto àquelas de capital fechado, estatais, de 
controle familiar e de vários portes, contextualizando o compliance no âmbito da boa 
governança, que envolve transparência, prestação de contas e outros princípios de 
ordem ética. 
Fonte: IBGC 
 
7 
 
O CCO 
Considerando que a implementação do compliance vem com o objetivo principal de 
garantir a legalidade e eficiência de processos internos e externos da organização, 
chegamos na figura do CCO. 
CCO é a sigla para Chief Compliance Officer que é o cargo executivo responsável 
pelo desenvolvimento estratégico dos processos de compliance em uma empresa, 
posicionado acima do chamado compliance officer, embora, em algumas 
organizações essas responsabilidades estão reunidas em um único indivíduo. Ele faz 
parte do rol de cargos de confiança do CEO da empresa e é recomendável que o CCO 
tenha assento no conselho de administração. 
A origem do CCO está relacionada historicamente à quebra da bolsa de valores de 
Nova Iorque, em 1929. A adoção de departamentos independentes e a contratação 
de officers para sua supervisão data dos anos 1960, com a criação do compliance 
para empresas pela Securities and Exchange Commission (SEC), organismo 
semelhante a Comissão de Valores Mobiliários (CVM) no Brasil. 
A lei que dispõe sobre a persecução penal dos crimes de lavagem de dinheiro, já 
previa a necessidade da adoção de “políticas, procedimentos e controles internos”. A 
lei anticorrupção ocasionou um aumento na procura pelo estabelecimento de 
estruturas de compliance e, consequentemente, um aumento na demanda por 
executivos que sejam responsáveis pelo gerenciamento e pela supervisão desses 
departamentos. 
SAIBA MAIS 
Em 2020, conforme pesquisa realizada pela empresa Análise Editorial, dos 27 Chief Compliance Officer mais 
admirados no Brasil, 52% eram mulheres. 
 
O Decreto 8420/2015, que regulamentou a lei anticorrupção, possibilitou clareza sobre 
a necessidade de implementação do chamado programa de integridade, criando 
mecanismos e procedimentos eficientes na detecção e resolução de desvios, fraudes, 
irregularidades e atos ilícitos. 
Na visão de Ferreira e Bianchini apud Franco (2020, pag. 74): 
“A própria existência de uma instância independente e com adequada 
autoridade tornou-se critério na avaliação de um ‘programa de 
integridade’. Assim, ao avaliar a responsabilidade administrativa de 
pessoa jurídica perante a Lei Anticorrupção, considerar-se-á se o 
‘programa de integridade’ implementado dispunha de instância 
responsável pela sua supervisão, com poderes adequados para tal. Não há 
dúvidas de que essa instância é centrada na figura do CCO. 
Esse cenário legislativo tornou-se bastante palpável ao empresariado 
brasileiro com o desenvolvimento da operação Lava Jato e seus 
procedimentos correlatos nos últimos anos. A análise de casos de 
corrupção e de desvios de compliance levou a inúmeras condenações, 
multas e sanções não apenas à Petrobras, mas a grandes e tradicionais 
empresas brasileiras de diversos ramos, com principal foco no setor de 
construção. Prisões de empresários e políticos tomaram os noticiários e, 
como veremos, observamos, pela primeira vez, a responsabilização de 
executivos responsáveis pelo Compliance de empresas.” 
 
A função do compliance e de seus responsáveis não é comedida pelo fim específico 
de evitar determinadas condutas e ações, mas sim pelos meios empregados para que 
8 
 
um descumprimento seja, sim, evitado. As obrigações e as responsabilidades de um 
CCO variam conforme a estrutura da organização e dependem do que lhe foi atribuído 
pelo conselho de administração ou resolução de sócios em assembleia geral. 
Mas a legislação não é clara em relação à responsabilização do CCO dentro de sua 
atividade, em especial nos casos em que haja descumprimento de sua função – por 
ação ou omissão. Surge, com esse cenário, grande preocupação sobre os limites em 
que um CCO possa ser responsabilizado dentro de seu âmbito de atuação. 
CASO VOLKSWAGEN GROUP 
Em janeiro de 2017, do CCO da Volkswagen AG, Oliver Schmidt foi acusado de conspiração por 
cometer fraudes no escândalo de falsificação de resultados de emissões de poluentes em motores 
a diesel, no qual a montadora admitiu que, para burlar inspeções. Usou um programa de computador 
em 11 milhões de carros em todo o mundo. De acordo com a acusação, Schmidt supostamente 
desempenhou um papel central na tentativa de convencer os órgãos reguladores de que o excesso 
de emissões foi causado por problemas técnicos e não decisão deliberada pela própria montadora. 
Enquanto tentava retornar à Alemanha Schmidt foi preso no aeroporto da Flórida, acusado de 
conspiração. Se tivesse conseguido embarcar em um avião e retornar à Alemanha não haveria 
chance de ser processado, uma vez que dificilmente a Alemanha extraditaria um de seus próprios 
cidadãos para ser julgado nos EUA. 
Em dezembro de 2017, após declarar-se culpado, foi sentenciado a prisão e multa de US$ 
400.000,00. Em setembro de 2020 foi transferido para o Centro Correcional de Hanover, na 
Alemanha, e está em liberdade condicional desde janeiro de 2021. 
Fonte: Adaptado pelo Autor, disponível em https://www.theguardian.com/business/2017/dec/06/oliver-schmidt-jailed-
volkswagen-emissions-scam-seven-years 
CASO RJA 
Em 2016, a Financial Industry Regulatory Authority (FINRA), autoridade reguladora da Bolsa de 
Valores de Nova Iorque (NYSE), anunciou a assinatura de um acordo com a empresa de 
investimentos Raymond James Associates, Inc. (RJA), com a sua subsidiária Raymond James 
Financial Services, Inc. (RJFS) e com a ex-CCO Linda Lafrenaye Busby, por violações de uma lei 
relacionada à implementação e ao funcionamento de regras e procedimentosde compliance contra 
a lavagem de dinheiro. 
Busby foi responsabilizada pela FINRA por não garantir a implementação satisfatória e o 
funcionamento adequado dos procedimentos e análises de combate à lavagem de dinheiro. Ela 
concordou em pagar uma multa de US$ 25.000,00 e suspensa de participar de qualquer empresa 
por três meses. 
Fonte: FRANCO, Isabel. Guia Prático de Compliance. São Paulo: Forense, 2020. Pag. 75. 
No Brasil poder abordar as responsabilidade do CCO em 5 esferas: 
RESPONDABILIDADE DO CHIEF COMPLIANCE OFFICERS 
 
Fonte: Adaptado de FRANCO, Isabel. Guia Prático de Compliance. São Paulo: Forense, 2020. Pag. 88. 
RESPON-
SABILI-
DADES
CRIMINAL
ADMINISTRATIVA 
BACEN
ADMINISTRATIVA 
LEI 
ANTICORRUPÇÃO
ADMINISTRATIVA 
CVM
CIVIL
9 
 
Responsabilidade civil: O CCO que tiver um cargo estatutário, sido eleito de acordo 
com a lei das sociedades por ações (lei 6404/1976) para representar e administrar 
uma empresa poderá ser responsabilizado pelos prejuízos que causar quando agir, 
dentro das atribuições que lhe foram conferidas, com culpa ou dolo, ou quando violar 
a lei ou o estatuto. 
Responsabilidade criminal: Importante observar que a responsabilidade penal de 
pessoas jurídicas no Brasil limita-se aos danos causados por elas ao meio ambiente. 
Pessoas jurídicas não podem ser responsabilizadas por crimes contra a ordem 
econômica e financeira, contra os direitos do consumidor ou contra a economia 
popular. Em hipótese diversa da ambiental, configurando-se um crime, deverá ser 
responsabilizada apenas a pessoa física que lhe deu causa. 
Deve-se imputar a alguém um resultado criminoso, tanto por ação ou por omissão. 
Destaque-se que a aplicação da lei penal pressupõe análise da responsabilidade 
subjetiva do agente, isto é, a comprovação de dolo ou culpa do mesmo em relação ao 
resultado causado por sua autoria. Deve-se averiguar o dano, a conduta culpável e o 
nexo de causalidade entre estes. 
Responsabilidade administrativa – Lei anticorrupção: A lei estabelece que a 
responsabilização da pessoa jurídica não exclui a responsabilidade individual de seus 
dirigentes ou de qualquer pessoa natural que seja autora, coautora ou que participe 
do ato ilícito, logo, a responsabilidade do CCO no âmbito da Lei Anticorrupção não 
decorre do simples exercício do cargo, mas da prática comprovada dos atos lesivos 
previstos na referida lei. O CCO somente poderá ser responsabilizado se ficar 
comprovado que ele efetivamente praticou o ato que gerou a responsabilização 
objetiva da empresa na qual ele exerce o referido cargo. 
Responsabilidade administrativa – CVM: A Instrução 480/2009 da CVM, que dispõe 
sobre o registro de emissores de valores mobiliários admitidos à negociação em 
mercados regulamentados de valores mobiliários, foi alterada pela Instrução 586/2017 
para incorporar ao formulário de referência anual informações relacionadas a 
procedimentos internos de integridade, código de ética e canal de denúncias. Inseriu, 
também, espaço para as empresas explicarem motivos de não terem adotado certas 
práticas, mesmo não sendo obrigadas a seguir as diretrizes do Código Brasileiro de 
Governança Corporativa – Companhias Abertas. 
A Instrução 480 não faz menção expressa à figura do CCO, mas estabelece que os 
administradores têm o dever de zelar, dentro de suas competências legais e 
estatutárias, para que as companhias sujeitas a ela cumpram com a legislação e 
regulamentação do mercado de valores mobiliários. A CVM ainda dispõe de duas 
outras regulamentações que fazem referência ao CCO: a instrução 558/2015 e 
592/2017 que, respectivamente, sobre a responsabilidade de profissional de 
administração de carteiras de valores mobiliários e sobre a atividade de consultoria 
de valores mobiliários. 
Responsabilidade administrativa – Bacen: No âmbito da regulamentação do Banco 
REFLITA: Problemas com a Lei acontecem, na maioria das vezes, forçando os limites até encontrar 
uma objeção. Ninguém sente a força de lei se ficar dentro dos seus limites. 
“Para viver fora da lei, você precisa ser honesto.” 
Robert Allen Zimmerman (Bob Dylan) – laureado com o Nobel de Literatura. 
10 
 
Central do Brasil (Bacen), na Resolução 4595/2017, que dispõe sobre as políticas de 
compliance das instituições financeiras e da demais instituições autorizadas a 
funcionar pelo Bacen. A regulamentação não dispõe especificamente sobre eventual 
responsabilização do CCO no descumprimento de suas obrigações, mas estabelece 
que a divisão e a identificação de responsabilidades das pessoas envolvidas no 
desempenho da função de conformidade deverão ser definidas nas políticas de 
conformidade das instituições. Como é obrigatória também a definição da posição da 
unidade responsável pelo Compliance na estrutura organizacional da empresa, a 
definição clara da pessoa e do escopo de atuação do CCO isso já faz razão adicional 
para que o executivo esteja atento aos cumprimentos de suas funções. 
Conclui-se, então, o CCO deve estar atento tanto a situações que possam culminar 
em sua responsabilização pessoal (cível, criminal ou administrativa), pois, a ausência 
de regulamentação específica sobre a responsabilização do executivo em sua 
atuação cria incerteza jurídica e gera riscos à atuação desse profissional. 
A GESTÃO DE RISCOS 
A gestão de riscos é um assunto de extrema relevância nas organizações. No entanto, 
por mais estranho que possa parecer, identificam-se cenários em que não há 
percepção de sua importante ou das atitudes para enfrentá-los. Isso muito 
provavelmente acontece pela não compreensão clara do conceito de risco, ameaça e 
incerteza. Também não existe, em boa parte, compreensão de modelos preditivos, 
métricas para demonstrar a relevância, impactos e custos envolvidos. 
A avaliação de risco é um elemento essencial dentro de um programa de compliance, 
sendo que os processos e as metodologias utilizados variam de acordo com a 
maturidade tanto do programa quanto da empresa em relação ao entendimento e à 
implementação de uma gestão de risco eficiente. 
Em geral, as empresas realizam avaliações para identificar diferentes tipos de risco 
organizacional. Esse processo deve ser realizado anualmente, com as seguintes 
etapas: 
1. planejamento anual da avaliação de risco; 
2. condução da avaliação do ambiente externo; 
3. condução da avaliação do ambiente interno; 
4. identificação e calibração das áreas de risco conforme matriz de risco; 
5. desenvolvimento e definição das estratégias de mitigação de risco; e 
6. revisão e alinhamento da avaliação de risco e os planos de mitigação com o 
Comitê de Compliance. 
Na análise anual, recomenda-se também a comparação com o ano anterior para 
identificar impactos gerados pelas ações de mitigações, bem como novos riscos e 
tendências. Uma boa prática é compartilhar os resultados dos planos de mitigação 
trimestralmente como parte da agenda do Comitê de Compliance. 
Existem empresas com menor estrutura e embora tenham os mesmos conceitos e 
propósitos, o processo de análise de riscos é feito de forma mais simplificada, não se 
utilizando de sistemas de gestão de riscos, mas sim de alternativas mais simples como 
simples listagem para documentação e acompanhamento. Nessas situações, é 
possível utilizar o plano de negócio da empresa, entender os objetivos de cada área 
mediante entrevista com seus responsáveis e em conhecendo os principais objetivos, 
listar quais os desafios e as oportunidades para cada um dos projetos definidos no 
11 
 
plano de negócio. Entender os desafios e as oportunidades, identificar e definir quais 
elementos do plano de compliance serão necessários para mitigação dos eventuais 
riscos, e, a partir daí, definir um plano de ação e acompanhamento. 
Uma forma de avaliar riscos é a utilização de uma matriz que relaciona a probabilidade 
de um risco se concretizar (raro, pouco provável, provável, muito provável e quase 
certo) com o impacto causado pela gravidade do risco (muito baixo, baixo, moderado,alto e muito alto). Estabelecendo valores de 1 a 5 e multiplicando-os entre si, temos: 
MATRIZ DE RISCO 
 
 
PROBABILIDADE 
 
 
1 - RARO 2 - POUCO 
PROVÁVEL 
3 - PROVÁVEL 4 - MUITO 
PROVÁVEL 
5 - QUASE 
CERTO 
IMPACTO 
5 - MUITO ALTO 5 10 15 20 25 
4 - ALTO 4 8 12 16 20 
3 - MODERADO 3 6 9 12 15 
2 - BAIXO 2 4 6 8 10 
1 - MUITO BAIXO 1 2 3 4 5 
Fonte: O Autor (adaptado) 
Os riscos, ainda, são classificados como: 
I. inerentes: riscos que a organização terá de enfrentar pela ausência de medidas 
efetivas de mitigação pela gestão; e 
II. residuais: compreendem aqueles riscos que ainda permanecem, mesmo 
quando da resposta por parte da gestão. 
Importante também a gestão dos riscos com a perspectiva do modelo das linhas de 
defesa, uma maneira eficiente e efetiva de aprimoramento da gestão de riscos e 
controles por meio da elucidação dos papéis e das responsabilidades. Neste exemplo: 
• 1ª linha de defesa: Gerência de setor 
• 2ª linha de defesa: Controle de qualidade 
• 3ª linha de defesa: Auditoria interna 
Gerenciar riscos exige mudanças culturais e estratégicas, bem como decisões no 
nível apropriado, como: 
o Promover a realocação de pessoal e responsabilidades, 
o Executar a revisão de orçamentos, compromissos e integração de áreas e 
processos, 
o Implementar o cumprimento das normas de contabilidade e obediência às leis. 
As empresas podem encontrar-se em diversos níveis ou estágios de maturidade no 
que tange ao modo com que a gestão de riscos está internalizada na organização, 
dependendo, evidentemente da estrutura, pessoas, cultura organizacional e 
governança corporativa. Por conta disso, seus desafios poderão ser maiores ou 
menores, e consequentemente, poderá variar o grau eficiência em atingir seus 
objetivos estratégicos. 
Vale o reforço e a insistência em considerar a gestão de riscos importante para a área 
de compliance da empresa, e, fundamental para o atingimento desses padrões e para 
perpetuar um ciclo virtuoso de sustentabilidade, uma vez que ao avaliar-se um risco 
pode-se antecipar a ele (prevenção); com um sistema efetivo de controles internos, 
mitigam-se os riscos, possibilitando a descoberta de atos contrários ao código de ética 
12 
 
(detecção); e, finalmente quando se monitoram esses, garante-se que erros não serão 
repetidos (correção). 
Neste momento é possível apresentar um item na gestão de riscos que tem se tornado 
quase que uma unanimidade nas listagens de áreas ou setores que necessitam uma 
atenção especial por parte do compliance: as redes sociais. Rede social é uma 
verdadeira teia social, um emaranhado de pessoas ou organizações on-line e 
conectadas entre si. Podem ser usadas de diferentes maneiras, dependendo do 
objetivo do usuário, mas nosso foco está apenas no tocante às empresas. 
As organizações querem usar esse ambiente a seu favor, para alavancar uma marca, 
por exemplo. Se uma empresa quer ser vista, ela tem de estar na internet e interagir 
com os seus stakeholders ou com possíveis investidores. Os canais se tornaram uma 
interação necessária, mas essa interação pode ser negativa para a corporação se não 
for feita da maneira correta e monitorada. 
Segundo Calori, Barros e Mariano apud Franco (2020, pag. 293): 
“As novas gerações já nascem com um ou mais dispositivos à mão e seus 
pais aderiram a eles numa escala impressionante. Os idosos atuais, com 
60 anos ou mais, que nasceram numa época em que a informação só 
chegava pelas ondas do rádio, também já embarcaram na era digital. Entre 
2016 e 2017 houve uma variação de 25,9% no número de idosos 
acessando a internet em relação ao total de internautas, muito superior à 
faixa de 14 a 17 anos, com apenas 2,9% de crescimento. Já o relatório 
digital de 2019, emitido pela We Are Social, revela que 45% da população 
mundial, cerca de 3,5 bilhões de pessoas, estão nas redes sociais. 
Todos esses usuários das redes sociais se tornam clientes, consumidores, 
críticos, comunicadores e influenciadores conectados e ativos quase que 
integralmente e esperam que as instituições também estejam ativas, 
conectadas e disponíveis. Assim, para as instituições, estar presente nas 
redes sociais não é mais uma escolha, mas estratégia primordial para a 
manutenção e o desenvolvimento de sua marca e rentabilidade.” 
 
Assim, é sempre oportuno lembrar e ressaltar aos colaboradores que o 
relacionamento com o público nas redes sociais deve ser pautado não apenas pela 
divulgação de conteúdo, mas, principalmente, pelo diálogo e pela colaboração. A 
instituição deve se posicionar firmemente, orientando e demonstrando sua não 
tolerância a conteúdos discriminatórios em relação a raça, cor, sexo, orientação 
sexual, qualquer tipo de deficiência, classe ou idade. 
Os colaboradores precisam de especial atenção aos posicionamentos pessoais. 
Todos eles têm o direito de utilizar as redes sociais no âmbito pessoal e da forma 
como suas crenças determinem, mas, devem compreender que os riscos potenciais 
de seus atos (diretos e indiretos) no uso de seus direitos são de sua inteira 
responsabilidade. 
Nas redes sociais o colaborador deve: 
i Identificar-se e utilizar-se de um canal oficial da instituição, fazendo os 
comentários apenas quando autorizado previamente e apenas para o conteúdo 
autorizado; 
ii Compreender que, ao se identificar como colaborador da instituição, os 
comentários e opiniões publicados serão vinculados à instituição, podendo 
gerar impactos; 
iii Divulgar informações classificadas como públicas, apenas se assegurando de 
13 
 
que o conteúdo que pretende publicar não fere as regras de confidencialidade 
e sigilo da instituição; 
iv Assegurar-se de que os comentários não ferem os padrões éticos e morais, 
que não possuem conotação racista, obscena, discriminatória, preconceituosa, 
injuriosa, caluniosa ou difamatória e que respeitam integralmente os direitos 
autorais e de propriedade, de privacidade, de confidencialidade e sigilo. 
Em outra linha, o colaborador nas redes sociais não deve: 
Utilizar o e-mail corporativo no ambiente das redes sociais, nem mesmo para registro 
de recuperação de senhas; 
Postar ou comentar com base em informação classificada como restrita, sigilosa ou 
confidencial ou publicar informações que exponham, mesmo que parcialmente ou que 
possam levar a conclusões sobre projetos ou estratégias, e fotos ou vídeos que 
exponham informações sigilosas do ambiente interno da instituição; 
Publicar detalhes específicos sobre suas atividades profissionais na instituição 
(mesmo em redes sociais de cunho profissional); 
Postar ou comentar publicações que façam apologia a práticas ilegais. 
Mapear e monitorar as redes sociais pode ser uma atividade dividida entre setores da 
empresa (como o setor de marketing em conjunto com o de compliance), embora, o 
compliance deveria, também, ter como foco de suas responsabilidades essas ações 
juntos as redes. Um programa de monitoramento permeia também a gestão de riscos 
que, ao definir diretrizes, deixa claro que e quais cuidados são de responsabilidade 
dos colaboradores. 
CONSIDERAÇÕES FINAIS 
Fechamos a discussão sobre compliance, trazendo o foco para questões relativas ao 
complience, componente essencial dos valores da governança corporativa. 
Discutimos as questões mais relevantes do compliance corporativo, na linha da 
criação e disseminação dos principais conceitos envolvidos, colaborando a visão de 
Serpa (2016) que ao abordar o tema, afirmou: 
“[...] não é sobre lei, mas sim sobre querer seguir as leis. Ou um programa 
pelo qual uma organização consiga prevenir e detectar condutas 
criminosas/ilegais e, também, promover uma cultura que encoraje o 
cumprimento das leis e uma conduta ética.” 
 
Foi possível refletir o quanto da questão ética está entremeada nos pontos de defesa 
do compliance. Conhecemos as principais diferenças entre um compliance officer e 
um investigador e percebemos que posturas devem ser assumidas para geram um 
aproximação dos colaboradorespara os conceitos fundamentais do compliance e 
como essas posturas se relacionam com a cultura de compliance. 
Na sequência oportunizamos a discussão sobre cultura empresarial e cultura de 
compliance e sobre as possibilidade de transformar uma ação diária em um atividade 
integrada culturalmente pela organização. 
Ao estabelecermos as considerações sobre CCO percebemos a conotação mais 
estratégica que deve ser adotada, em relação ao compliance officer mesmo que, em 
alguns casos, não exista uma estrutura corporativa que absorva as duas atividades 
14 
 
separadamente. 
Finalizamos com as gestões de riscos, com as etapas de planejamento e avaliação, 
em conjunto as ideias de linhas de defesa. Aproveitamos para lançar luz aos riscos 
inerentes as redes sociais, canal de comunicação muito utilizados pelas empresas e 
por todos nós.