Parte III - Compliance

Prévia do material em texto

Parte III – GESTÃO DO COMPLIANCE 
 
Objetivo 
 
É sabido que, além de direcionar e controlar o desempenho, as 
organizações devem agir em conformidade (compliance) com um conjunto de 
regras, compulsórias ou voluntárias, para bem conduzir seus negócios. Nosso 
objetivo, nesta parte III, será saber quais são essas regras e como promover a 
conformidade desejada. 
 
Sumário 
 
Os tópicos que abordaremos nessa parte são os seguintes: 
 
 Compliance (significado e regras a serem respeitadas) 
 Gestão do compliance 
 
7 – Compliance 
 
7.1 - Introdução 
 
A palavra compliance é derivada do verbo inglês “to comply” e significa 
agir em conformidade (de acordo) com regras estabelecidas. (FNQ, 2018:8). 
 
Essa conformidade à regras vem sendo cada vez mais intensamente 
requerida das organizações, não só por conta da melhoria da imagem da 
organização, como também por conta de se evitar os ônus decorrentes da não 
conformidade. 
 
7.2 - Regras a serem respeitadas 
 
Regra. Aquilo que regula, dirige, rege ou governa. Aquilo que está 
determinado pela razão, pela lei ou pelo costume; preceito, princípio, 
norma. (Dicionário Aurélio) 
 
Para que uma organização possa praticar conformidade em relação àquilo que 
dela é exigido, um primeiro passo é saber que exigências são essas, para que, 
a partir daí, possa-se saber as ações necessárias para se garantir a 
conformidade desejada. 
 
Vamos doravante denominar essas exigências de regras a serem respeitadas 
ou seguidas, lembrando que de acordo com o dicionário Aurélio, a palavra 
regra significa “aquilo que regula, dirige, rege ou governa”. 
 São muitas as regras que devem nortear as ações ou o comportamento das 
organizações e das pessoas que as compõem. Dentre elas encontramos as 
seguintes: 
 
 Regras legais 
 Regras de mercado, compulsórias ou do interesse da organização 
 Filosofia empresarial 
 Regras internas 
 Código de conduta 
 
Ainda que a palavra regra tenha um sentido de obrigatoriedade, é 
importante destacar que algumas das regras são necessariamente 
estabelecidas por conta de exigências legais ou do mercado de atuação das 
organizações, outras regras, entretanto, são estabelecidas de forma voluntária 
pelas organizações, para melhor conduzir e orientar seus negócios. 
 
 Regras legais 
 
Você bem sabe que nossas organizações estão sujeitas a uma 
enormidade de exigências legais que precisam ser respeitadas e não é nosso 
objetivo aqui detalhá-las. 
 
Temos as exigências da legislação tributária, e praticar compliance, 
neste caso significa pagar corretamente todos os impostos, taxas e 
contribuições que forem exigidos e também atender a exigências 
regulamentares porventura existentes. Sonegar impostos não é praticar 
compliance. 
 
Temos as exigências da legislação trabalhista, da legislação 
previdenciária, do Fundo de Garantia do Tempo de Serviço. Temos as 
exigências Direito do Consumidor. Temos a lei das S/As e os direitos dos 
acionistas. Tudo isso exige conformidade 
 
Direitos do Consumidor 
 Direito ao consumo 
 Direito à escolha 
 Direito à segurança 
 Direito à informação 
 Direito à proteção contra a publicidade enganosa e abusiva 
 Direito à educação para o consumo 
 Direito ao arrependimento 
 Direito à proteção nos contratos 
 Direito à reparação de danos 
 Direito a ser ouvido e ao acesso à justiça 
Fonte: Procon-SP (2013) - Guia de Defesa do Consumidor 
Temos as exigências do Código Civil, temos a Lei Anti-corrupção, temos 
a Lei da Defesa da Concorrência, temos a lei que regula as compras 
governamentais, temos as leis municipais que regulam o uso do solo, temos as 
leis de trânsito, enfim, normas legais é o que não falta para serem cumpridas 
pelas organizações. O que é claro a esse respeito é que somente poderá 
haver conformidade se essas normas legais forem conhecidas e devidamente 
respeitadas. 
 
 Regras de mercado, compulsórias ou do interesse da organização 
 
Afora as regras legais, é possível que as organizações tenham que se 
submeter, ou optem por adotar outras regras, relacionadas aos seus 
respectivos mercados de atuação ou aos seus interesses 
 
As organizações de saneamento, energia elétrica e telefonia, obrigam-
se, compulsoriamente, a seguir regras de suas respectivas agências 
reguladoras: ANA (Agência Nacional de Águas), ANEEL (Agência Nacional de 
Energia Elétrica) e ANATEL (Agência Nacional de Telefonia). Conhecer essas 
regras e agir de conformidade com elas é mandatório 
 
Sociedades anônimas de capital aberto, obrigatoriamente têm que 
respeitar as regras do segmento de listagem a que estiverem vinculadas, como 
por exemplo, o segmento de listagem denominado de “novo mercado”. Afora 
isso, devem obedecer às regras definidas pela CVM (Comissão de Valores 
Mobiliários) 
 
Já as empresas de publicidade podem ou não aderir às regras do 
CONAR-Conselho Nacional de Autorregulação Publicitária, cuja missão é: 
“Impedir que a publicidade enganosa ou abusiva cause constrangimento ao 
consumidor ou a empresas e defender a liberdade de expressão comercial”. O 
que você deve atentar aqui é que se trata de uma forma de auto regulação de 
um tipo atividade (publicidade), e não de uma determinação legal. A adesão ao 
CONAR implica a necessidade de conformidade voluntária (compliance) às 
regras definidas por esse conselho. 
 
Empresas podem optar por buscar a certificação ISO, como, por 
exemplo, a ISO 9001 ou a ISO 14001. Essa adesão é voluntária, só que uma 
organização certificada somente poderá obter a renovação de sua certificação 
caso siga adequadamente das regras existentes nessas normas, isto é, 
conformidade com as normas. 
 
As instituições de ensino superior (IES), que buscarem a renovação do 
reconhecimento de seus cursos, estão sujeitas a uma avaliação realizada 
pelo MEC – Ministério da Educação. As IES que buscam ser bem avaliadas 
têm um excelente instrumento orientador das ações necessárias para a 
obtenção de bons resultados. Trata-se do “Instrumento de Avaliação de Cursos 
de Graduação – Presencial e a distância: reconhecimento e renovação de 
reconhecimento”, que é utilizado quando das avaliações in loco pelo MEC. 
Esse instrumento contempla tudo o quanto uma IES precisa apresentar para 
obter ótimos, bons ou maus conceitos, em três dimensões: organização 
didático pedagógica, corpo docente e tutorial e infraestrutura. Adotar esse 
instrumento como regra de atuação pode ser uma decisão das IES, e se isso 
acontecer espera-se que elas atuem conforme as exigências apresentadas, no 
nível que elas objetivarem atingir. 
 
Voluntariamente uma organização pode adotar como regras seguir o que 
está proposto no “Código das melhores práticas de governança corporativa” do 
IBGC – Instituto Brasileiro de Governança Corporativa” que apresenta os 
princípios básicos de governança corporativa que se espera sejam adotados 
pelas organizações, e uma série de ações sugeridas para serem adotadas, em 
consonância com esse princípios, pelos sócios, pelo conselho de 
administração, pela diretoria e pelos órgãos de fiscalização e controle (comitê 
de auditoria, conselho fiscal, auditoria independente, auditoria interna e 
compliance). Também é uma adesão voluntária mas, se houver a adesão, ela 
deverá ser entendida como regra a ser atendida, isto é, exigirá conformidade 
(compliance) 
 
 Outra possibilidade é a das organizações adotarem o Modelo de 
Excelência da Gestão (MEG), proposto pela Fundação Nacional da Qualidade 
como referência para definição de seus valores, de suas ações gerenciais e 
dos resultados a serem buscados. Nesse caso, atender àquilo que é exigido 
por esse model, deverá passar a ser entendido como regra a ser seguida e, 
portanto, exigindo-se que haja conformidade com elas na gestão 
organizacional.1 
 
 Organizações que buscam ser socialmente responsáveis poderão, 
voluntariamente,adotar os “Indicadores Ethos para negócios sustentáveis e 
responsáveis” como referência para nortear sua busca de sustentabilidade. 
São 47 indicadores, distribuídos em quatro diferentes dimensões (visão e 
estratégia, governança e gestão, social e ambiental), que se subdividem em 
sete temas e dezessete subtemas. Para cada indicador existem cincos 
estágios possíveis: (1) cumprimento e/ou tratativa inicial; (2) iniciativas e 
práticas; (3) políticas, procedimentos e sistemas de gestão; (4) eficiência; e (5) 
protagonismo. Adotar esses indicadores como referência implica a decisão do 
 
1 O MEG contempla a recomendação para que sejam adotados 59 processos gerenciais, e 
que para todos eles devem existir padrões orientadores das ações para sua execução Esses 
padrões são, então, as regras a serem seguidas. 
estágio que se busca alcançar, e essa passará, então, a ser regra a ser 
seguida. 
 
 Em resumo, além das obrigações legais, as organizações podem ter que 
se submeter a regras outras que regulam sua atuação, como é o caso das 
regras estabelecidas por agências reguladoras ou pelo mercado de capitais, e 
podem também, por conta do seu interesse, estabelecer regras que possam 
demonstrar seu comprometimento com a verdade de suas propagandas, com a 
qualidade, com a responsabilidade social, e com a boa gestão, como é o caso 
da adoção dos padrões definidos pelo CONAR e pelas normas ISO, ou, das 
práticas gerenciais sugeridas pelo, MEC, MEG, IBGC e Ethos. 
 
Para maiores detalhes 
 
Se você ainda não conhece, bom será se você se interessar em conhecer o 
“Código das melhores práticas de governança corporativa” do IBGC”; os 
“Indicadores Ethos para negócios sustentáveis e responsáveis” e o “Instrumento 
de avaliação de cursos de graduação” do INEP/MEC, para entende-los melhor 
como instrumento para definição de regras internas da organizações. Essas 
publicações são de fácil acesso pela internet. 
 
 
 Filosofia empresarial 
 
Além da conformidade legal, e da conformidade com as regras de mercado 
ou de interesse da organização, compliance também significa conformidade 
com o cumprimento da chamada filosofia empresarial. 
 
Não existe uma forma padrão, que seja adotada por todas as organizações 
para definição da chamada filosofia empresarial , mas regra geral ela é 
composta por: missão, visão, propósito, valores, e algumas políticas. 
 
As formas de apresentação filosofia empresarial variam de organização 
para organização, como você poderá perceber nos exemplos abaixo. Na 
essência, entretanto, você perceberá que elas são bastante similares 
naquilo que pretendem orientar. 
 
A Gerdau Aços Finos Piratini (AFP), ganhadora do Prêmio Nacional da 
Qualidade de 2002, tem sua filosofia empresarial definida nos seus “valores e 
diretrizes” que contemplam os seguintes elementos: 
 Credos Gerdau 
 Visão Gerdau AFP 
 Missão Gerdau AFP 
 Política da Qualidade Gerdau 
 Política do Meio Ambiente Gerdau 
 Diretrizes Éticas Gerdau 
 Diretrizes Estratégicas Gerdau AFP 
 
Por outro lado a Politeno Indústria e Comércio S/A, produtora de 
polietilenos, e também ganhadora do Prêmio Nacional da Qualidade de 2002, 
tem a “Filosofia Empresarial da Politeno” composta por: 
 Visão 
 Missão 
 Valores (objetivos permanentes) 
 Política de qualidade 
 Política de segurança, higiene e proteção ambiental. 
 
A empresa familiar Máquinas Agrícolas Jacto, de Pompéia-SP, considerada 
a melhor empresa do setor de máquinas, equipamentos e ferramentas do 
agronegócio pela Revista Exame-Maiores e Melhores de 2019, compõe sua 
filosofia empresarial da seguinte forma: 
 Propósito 
 Valores 
 Política integrada 
 
As “Lojas Renner S/A, considerada como a “empresa do ano” pela Revista 
Exame – Maiores e Melhores de 2018, denomina sua filosofia empresarial de 
“Fundamentos Corporativos”, que são assim formados: 
 Missão 
 Visão 
 Propósito 
 Valores empresariais 
 
Os quadros a seguir mostram um pouco mais sobre a filosofia empresarial 
dessas organizações.. A sugestão é que você os veja com atenção, 
procurando entender as semelhanças e diferenças existentes entre eles. Você 
verá que há bastante coisa em comum, apesar dos nomes de batismo 
diferentes 
Gerdau – Aços Finos Piratini 
Valores e Diretrizes 
Credo Gerdau 
 Cliente satisfeito 
 Pessoas realizadas 
 Qualidade diferenciada 
 Tecnologia atualizada 
 Seriedade com todos os públicos 
 Segurança e solidez 
 Lucro como medida do desempenho 
 
Visão Gerdau AFP 
 Ser benchmark em aços especiais 
 
Missão Gerdau AFP 
 Comercializar e produzir produtos longos de aços especiais 
 
Política de Qualidade 
 Assumimos o compromisso de fornecer, permanentemente, produtos e 
serviços em conformidade com os requisitos de qualidade estabelecidos 
pelos nossos clientes. Por requisitos de qualidade, entendemos não só as 
características intrínsecas aos produtos e serviços, mas também o 
conjunto de necessidades e desejos dos clientes. Qualidade significa 
conformidade com esses requisitos. (...) 
 
Política de Segurança 
 Para a Gerdau, o ser humano, em sua integridade, é um valor que está 
acima dos demais objetivos e prioridades da Empresa. Nenhuma situação 
de emergência, produção ou resultados pode justificar a falta de segurança 
das pessoas. A Empresa é responsável por propiciar os meios e recursos 
adequados para que todas as atividades sejam executadas com 
segurança. 
 
Política de Meio Ambiente 
 Satisfazer as necessidades de conservação do meio ambiente buscando a 
melhoria contínua dos nossos processos dentro dos conceitos de 
desenvolvimento sustentado. (...) Priorizar a sequência nos resíduos 
industriais: não gerar, reduzir, reutilizar, reciclar e dispor adequadamente. 
 
Fonte: Gerdau (2002): 3 
 
 
Politeno 
Filosofia Empresarial da Politeno 
Visão 
 Ser reconhecida como a melhor marca de polietileno da América do Sul 
 
Missão 
 Produzir e comercializar competitivamente resinas termoplásticas e seus 
derivados 
 
Valores (objetivos permanentes) 
 Segurança em primeiro lugar 
 Satisfação dos clientes 
 Foco nos resultados 
 Excelência nos processos e produtos 
 Inovação 
 Trabalho em equipe 
 Aprendizado contínuo 
 
Política de Qualidade 
 Garantir a satisfação dos clientes através da qualidade dos nossos 
produtos e serviços 
 Promover o contínuo desenvolvimento tecnológico com segurança e 
harmonia com o meio ambiente 
 Assegurar a capacitação das pessoas para o desempenho de suas 
funções 
 Desenvolver processo participativo para atingir o contínuo aprimoramento 
das atividades e melhoria dos resultados 
 
Política de Segurança, Higiene e Proteção Ambiental 
 Priorizar as questões de segurança, higiene, saúde e proteção ambiental e 
buscar contínuo aperfeiçoamento com ênfase na prevenção. 
 Desenvolver as nossas atividades, desde a criação de novos projetos à 
distribuição de nossos produtos, de forma a reduzir os riscos dos 
processos, assegurando a integridade física das pessoas e da 
comunidade. 
 Atender ao Programa Atuação Responsável da ABIQUIM e atuar junto à 
sociedade, visando orientar e minimizar os impactos ambientais 
decorrentes das inúmeras aplicações de nossos produtos, com ênfase na 
reciclagem. 
 Manter comunicação aberta com as partes interessadas, disponibilizando 
informações sobre os efeitos de nossas atividades e de nossos produtos 
com reflexo na segurança, na higiene, na saúde e no meio ambiente. 
 Reduzir continuamente a emissão de poluentes e a geração de resíduos, 
através da aplicação de programas de minimização na fonte e sistemas de 
controle economicamente viáveis. 
Fonte Politeno (2002):5 
 
Máquinas Agrícolas Jacto 
Filosofia Empresarial 
Propósito 
 Servir ao agricultor com as melhores tecnologias de mecanização, 
informações e serviços, contribuindo para sua nobre missão. 
 
Valores Trabalho duro como forma de prosperar 
 Felicidade em compartilhar 
 Desenvolver a nossa gente evitando tirar de outras empresas 
 Evitar dívidas 
 Espírito inovador 
 Três virtudes: humildade, honestidade e simplicidade 
 Honrar compromissos 
 Ninguém cresce sozinho 
 Responsabilidade socioambiental 
 Cliente feliz 
 
Política integrada 
A Jacto, em cumprimento do seu propósito e orientado pelos seus valores, 
segue os seguintes princípios aplicáveis à Qualidade, Saúde e Segurança no 
Trabalho e Meio Ambiente: 
 buscar aumento ou aumento na satisfação do cliente; 
 proteger o Meio Ambiente por meio da minimização do impacto ambiental 
dos nossos produtos e processos e envolver a cadeia produtiva na redução 
contínua da geração de resíduos e da poluição; 
 melhorar significativamente as nossas operações, contribuindo com 
vantagens competitivas para os nossos clientes, fornecendo os produtos e 
serviços seguros com desempenho e qualidade superiores; 
 promover a saúde dos nossos colaboradores e um ambiente de trabalho 
seguro para evitar lesões e doenças; 
 agir com transparência, integridade e responsabilidade quanto ao 
cumprimento das legislações, regulamentações e dos requisitos acordados 
com as partes protegidas. 
 
Fonte: https://www.jacto.com/brasil/company/filosofia-empresarial (acesso em 27/09/19) 
 
Lojas Renner S/A 
Fundamentos Corporativos 
Missão 
 Ser a melhor e maior fashion retailer [varejista de moda] das Américas para 
o segmento médio/alto dos consumidores com diferentes estilos, com 
moda, qualidade, preços competitivos e excelência nos serviços prestados. 
Encantando e inovando, sempre de forma sustentável. 
 
Visão 
 Encantar a todos é a nossa realização. 
 
Proposição de valor 
 Ser a marca cúmplice da mulher, com moda em diferentes estilos, com 
qualidade, preços competitivos, em ambientes práticos e agradáveis, 
encantadores e sempre inovadores. 
 
Valores empresariais 
 ENCANTAR. Exceder a expectativa dos clientes... 
 NOSSO JEITO. Fazer as coisas de forma simples e ágil, com muita 
energia e paixão... 
 GENTE. Contratar, desenvolver e manter as melhores pessoas... 
 DONOS DO NEGÓCIO. Pensar e agir como donos de nossa unidade de 
negócios... 
 OBSTINAÇÃO POR RESULTADOS EXCEPCIONAIS. Buscar resultados e 
não apenas boas ideias... 
 QUALIDADE. Nossos produtos e serviços têm o mais alto nível de 
qualidade... 
 SUSTENTABILIDADE. Negócios e atitudes pautados pelos princípios da 
sustentabilidade... 
 ADORAMOS DESAFIOS. Não sabendo que é impossível, nós vamos lá e 
fazemos. 
Fonte: https://www.lojasrennersa.com.br/pt_br/institucional/fundamentos-corporativos (acesso 
em 27.09.19) 
O que você pode notar, a respeito das regras que compõem a filosofia 
empresarial, comparativamente, por exemplo, com as regras legais, é que as 
regras da filosofia empresarial tem um componente mais emocional, isto é 
visam principalmente conquistar os corações dos colaboradores, para que ajam 
na direção definida (missão, visão, propósito) e de acordo com valores e 
diretrizes estabelecidos. As regras legais, por outro lado, não dependem da 
conquista de corações. 
 
Subjacente a essa ideia do “conquistar corações” temos a expectativa 
que essa parece ser a forma adequada de conseguir o engajamento das 
pessoas na construção da organização que se deseja ter. A conformidade 
(compliance) com a filosofia empresarial depende bastante desse 
engajamento, lembrando que de acordo com o Dicionário Aurélio, engajar 
significa “filiar-se a uma linha ideológica, filosófica, etc., e bater-se por ela; pôr-
se a serviço de uma ideia, de uma causa, de uma coisa.” 
 
 
Para entrar em detalhes 
 
Você poderá saber o significado de cada um dos valores da Máquinas 
Agrícolas Jacto, ou ter um melhor detalhamento dos valores empresariais 
das Lojas Renner S/A, consultando os sites indicados quando da 
apresentação desses assuntos. Vale a pena conferir. 
 
 
 
 Regras internas 
 
Além das regras legais, das regras de mercado, das regras de adoção 
voluntária, e da filosofia empresarial, as organizações tendem a ter muitas 
outras regras, boa parte delas derivadas dessas regras já vistas e muitas 
outras destinadas a regulamentar o funcionamento da estrutura organizacional 
e as operações. Vamos denominar essas regras de “regras internas”. 
 
Quem bem pode nos ajudar a mostrar um pouco a respeito dessas 
regras internas são as empresas de capital aberto que, normalmente, nos 
seus sites, na parte que trata de governança corporativa ou relações com os 
investidores, no intuito de demonstrar transparência, nos mostram muitas das 
regras que regulam suas ações. 
 
A BRF S/A, detentora, entre outras das marcas Sadia e Perdigão, nos 
disponibilizam suas seguintes políticas, planos, manuais e regimento, no site 
https://ri.brf-global.com/governanca-corporativa/estatuto-e-politicas/ (acesso em 
27.09.19) 
 
 Política Corporativa de Alçadas 
 Politica de Transações com Partes Relacionadas 
 Plano de Ações Restritas 
 Estatuto Social 
 Regimento Interno dos Comitês 
 Manual de Transparência 
 Política de Gestão do Risco Financeiro 
 Política de Divulgação de Atos ou Fatos Relevantes e de Negociação de 
Valores Mobiliários 
 Regimento Interno Comitê de Auditoria 
 Regimento Interno do Conselho Fiscal 
 Regimento Interno do Conselho de Administração 
 
O Bradesco S/A, por sua vez, é mais pródigo na divulgação de suas 
normas e políticas, apresentadas em seu site 
https://www.bradescori.com.br/siteBradescoRI/Paginas/governancacorporativa/
141_estatuto-politicas.aspx?AbaSelecionada=2 (acesso em 27.09.19). São 
elas: 
 
 Norma corporativa sobre sucessão e nomeação de administradores 
 Norma de conduta e prática fiscal 
 Política corporativa anticorrupção 
 Norma de responsabilidade socioambiental 
 Política de divulgação de ato ou fato relevante e de negociação de valores 
mobiliários 
 Política de sucessão e nomeação de administradores 
 Política corporativa de divulgação de informações da organização 
 Política de gerenciamento de recursos humanos 
 Política conheça seu administrador e seu funcionário 
 Política conheça seu cliente 
 Política corporativa de sustentabilidade 
 Política de qualidade 
 Política de compras 
 Política de controles internos 
 Política corporativa de segurança da informação e cibernética 
 Política de informações cadastrais dos clientes 
 Política de transações com partes relacionadas 
 Política de remuneração dos administradores 
 Política de treinamento e desenvolvimento 
 Política de voluntariado 
 Política corporativa de direitos humanos 
 Política de governança corporativa 
 Política de diversidade e inclusão 
 Política corporativa de conformidade (compliance) 
 Política corporativa de doações 
 
Como exemplo de uma dessas regras internas, vamos ver o que diz a 
“Política corporativa de doações do Bradesco”. 
 
 
Bradesco S/A – Política corporativa de doações 
A Política Corporativa de Doações tem como diretrizes básicas: 
 
1. Assegurar o compromisso e a responsabilidade social da Organização Bradesco, 
em linha com seus princípios e valores, para apoiar o desenvolvimento em 
benefício das comunidades. 
 
2. Garantir que todas as doações concedidas sejam realizadas com transparência, 
integridade, ética e legalidade. 
 
 
3. Assegurar o estabelecimento dos papéis e responsabilidades dos envolvidos nos 
Processos de Doações. 
 
4. Assegurar a conformidade com as legislações e regulamentações vigentes, bem 
como com o Código de Conduta Ética e as Políticas relacionadas à 
Anticorrupção, Compliance, Concorrencial, Prevenção e Combate à Lavagem de 
Dinheiro e ao Financiamento do Terrorismo, na manutenção e estabelecimento 
de novos relacionamentos. 
 
5. Garantir a adoção de um efetivo sistema de monitoramento dos processos 
 e procedimentos de controles internos, visando amitigar riscos de 
 imagem, legais e de reputação. 
 
Fonte: 
https://www.bradescori.com.br/siteBradescoRI/Paginas/governancacorporativa/141_estatuto-
politicas.aspx?AbaSelecionada=2 (acesso em 04.10.19) 
 
 
Para entrar em detalhes 
 
Você poderá ver o significado .de cada uma das regras internas da BRF e 
do Bradesco, consultando os sites indicados. O que você irá perceber é 
que todas elas exigem conformidade 
 
 
 
 Talvez você até esteja cansado ou assustado de ver quantas são as 
regras que devem ser respeitadas nas e pelas organizações, mas ainda tem 
mais. 
 
 Você sabe que as organizações nada mais são do que um 
macroprocesso, formado por diferentes processos (principais ou de apoio) que 
por sua vez são formados por diferentes atividades, que são realizadas por 
meio de diferentes tarefas. Resumindo: 
 
 Macroprocesso = conjunto de processos (principais e de apoio) 
 Processos = conjuntos de atividades 
 Atividades = conjuntos de tarefas 
 
 
 A título de exemplo, pense que um dos processos de uma organização 
pode ser o seu processo de seleção de novos colaboradores, que acontece 
após um processo de recrutamento de candidatos. Esse processo é formado 
por diferentes atividades como análise de currículos, seleção de candidatos 
para testes e entrevistas, aplicação de testes, realização de entrevistas pela 
área de seleção do pessoal, entrevistas pela área contratante, exames 
médicos, etc. Cada uma dessas atividade pode contemplar uma ou mais 
tarefas, como é o caso da aplicação de testes que envolve: a escolha ou 
preparação dos testes a serem aplicados, o agendamento da realização dos 
testes, a aplicação dos testes, a análise dos resultados dos testes, e assim por 
diante. 
 
 Muito bem. Você já imaginou que tudo isso é passível de padronização, 
isto é, de orientações ou regras para execução, e que os padrões nada mais 
são do que outro modo de se definir regras internas. 
 
 A esse respeito talvez seja interessante você saber que a Gerdau Aços 
Finos Piratini, em 2002, quando foi considerada Classe Mundial, trabalhava (e 
confesso não saber se ainda trabalha) com diferentes tipos de padrões, dentre 
os quais os chamados padrões de gerenciamento, os procedimentos de rotina 
e os padrões de operação. Os padrões de gerenciamento orientam as 
atividades de diferentes processos, sem chegar ao detalhamento das tarefas; 
os procedimentos de rotina e os padrões de operação orientam e definem as 
tarefas das atividades. 
 
 Não temos informações a respeito de quantos padrões de 
gerenciamento eles contavam na época. O que se sabe, entretanto é que eles, 
no seu Relatório de Gestão, apresentado para a Fundação Nacional da 
Qualidade, em 2002, para poderem concorrer ao Prêmio Nacional da 
Qualidade, informaram ter um total de 646 procedimentos de rotina e 748 
padrões de operação. 
 
 Talvez você possa até ter ficado assustado com tantas normas, políticas, 
regimentos, padrões de gerenciamento, procedimentos de rotina, destinados a 
regular as ações gerenciais e operacionais das organizações. Mas antes de 
pensar que tudo isso possa ser caracterizado como burocracia, no sentido 
pejorativo do termo, é importante que você considere que, nas organizações 
bem gerenciadas, o que se espera é que todos esses padrões a serem 
respeitados devem retratar a melhor forma de se fazer aquilo que precisa ser 
feito. Em outras palavras, quando uma organização encontra a melhor forma 
de realizar alguma ação gerencial , um procedimento, ou uma atividade 
operacional, o ideal é que padronize essa melhor forma para que, toda vez que 
ela for feita, seja feita da mesma forma, para gerar os mesmos efeitos. 
 
 Pelos bons resultados que o Grupo Gerdau e o Bradesco vêm 
apresentado ao longo de sua história , parece razoável acreditar que o conjunto 
de regras internas que eles adotam devem estar contribuindo, ao invés de 
impedindo, para o elevado desempenho. Isso por si só justifica a necessidade 
de que haja conformidade (compliance) com essas regras. 
 
 Regras de conduta 
 
 Além de todas as regras que já foram vistas, as organizações estão 
sendo cada vez mais cobradas a respeito de sua conduta. Essa cobrança 
pode ser legal, como acontece com a Lei Sarbanes Oxley (2002) dos Estados 
Unidos, que requer que as corporações que transacionam ações no mercado 
americano adotem um código de ética para seus principais executivos 
(ROSSETTI e ANDRADE, 2014: 177), ou pode ser uma cobrança do mercado 
de capitais, como é no caso brasileiro, da exigência de códigos de conduta 
para organizações que operam no segmento de listagem denominado de novo 
mercado, ou é, também uma exigência crescente da sociedade como forma de, 
principalmente, evitar-se as práticas de corrupção. 
 
PENSE 
 
Significado de corrupção 
 
De acordo com a ONU(2013): “a corrupção é definida de maneira ampla como 
abuso de poder conferido para benefício particular.” 
 
Como você interpreta essa definição? 
 
 
 Na abordagem da FUNDAÇÃO NACIONAL DA QUALIDADE (2010), “de 
maneira genérica [a ética] trata dos valores que regem a convivência de 
determinado grupo. Segundo Aristóteles, as regras de convivência são éticas 
quando visam ao bem comum, ou seja, ser ético é agir para o bem comum.” 
 
 Várias são as instituições que têm buscado promover o comportamento 
ético das organizações, entre as quais se encontram o IBGC – Instituto 
Brasileiro de Governança Corporativa, e o Instituto Ethos de Empresas e 
Responsabilidade Social. 
 
 O IBGC, no seu Código das melhores práticas de governança 
corporativa – 5ª ed. – 2015, conta com um tópico específico sobre “conduta e 
conflito de interesses”, no qual eles destacam o seguinte: 
 
O código de conduta tem por finalidade principal 
promover princípios éticos e refletir a identidade e a 
cultura organizacionais, fundamentado em 
responsabilidade, respeito, ética e considerações de 
ordem social e ambiental. 
 
A criação e o cumprimento de um código de conduta 
elevam o nível de confiança interno e externo à 
organização e, como resultado, o valor de dois de seus 
ativos mais importantes: sua reputação e imagem. 
 
 Na abordagem do IBGC, um código de conduta deve contemplar 
questões como: 
 Conflitos de interesses 
 Transações entre partes relacionadas 
 Uso de informações privilegiadas 
 Política de negociação de ações 
 Política de divulgação de informações 
 Política de contribuições e doações 
 Política de prevenção e detecção de atos de natureza ilícita (tais 
como a prática de corrupção, fraude ou suborno). 
 
Leitura complementar requerida 
 
Para você se aprofundar nas questões apresentadas acima, será importante 
é que você veja o capítulo 5 - Conduta e conflito de interesses – do “Código 
da Melhores Práticas de Governança Corporativa” do IBGC(2015). Esse 
código é de fácil acesso pela internet 
 
 
 O Instituto Ethos, por sua vez, disponibiliza em seu site a publicação 
“Formulação e implantação de código de ética nas empresas; reflexões e 
sugestões”. Nessa publicação, o que está sugerido é que os códigos de ética 
devem contemplar os seguintes aspectos: 
 Relações com acionistas: respeito aos acionistas minoritários 
 Relações com funcionários: recrutamento e seleção; valorização da 
diversidade: relações hierárquicas; privacidade; avaliação e promoção; 
demissão 
 Relações com os clientes 
 Relações com fornecedores 
 Relações com concorrentes 
 Relações com a esfera pública: órgãos arrecadadores e de fiscalização; 
agentes públicos e políticos 
 Relacionamento com o meio ambiente 
 Relacionamento com a comunidade: ações filantrópicas 
 Práticas coercitivas à corrupção e propina 
 
Leitura complementar requerida 
 
A orientação é que você acesse a publicação do Instituto Ethos indicada 
acima e veja, de forma mais aprofundada o que está sendo sugerido a 
respeitode cada um dos aspectos acima citados. Vale conferir 
 
 
 É bastante provável que você já tenha conhecimento de um ou mais 
códigos de conduta ou de ética adotados por empresas. Em especial, as 
empresas de capital aberto, normalmente apresentam em seus sites, os seus 
respectivos códigos de conduta ou de ética. 
 
 No que me parece, podemos aprender muito sobre regras de conduta ou 
de ética, analisando e comparando o que é apresentado nos códigos que são 
tornados públicos pelas empresas. 
 
 Pessoalmente, um conjunto de regras que me parece interessante 
conhecer são as definidas pelo Sistema Petrobrás, e que são compostas pelos 
seguintes documentos: “Código de Ética do Sistema Petrobrás”, o “Guia de 
Conduta do Sistema Petrobrás” e o “Programa Petrobrás de prevenção à 
corrupção (PPPC)” 
 
 O “Código de Ética do Sistema Petrobrás” trata dos princípios éticos do 
Sistema Petrobras e dos compromissos de conduta do Sistema Petrobras; já o 
“Guia de Conduta do Sistema Petrobras” trata das regras para comportamento 
individual, enquanto que “Programa Petrobrás de prevenção à corrupção” trata 
de prevenção, detecção e correção de atos de fraude, corrupção e lavagem de 
dinheiro. 
 
No seu Código de Ética, a Petrobrás apresenta seus compromissos de 
conduta relativos a: 
 Exercício da governança 
 Relações com empregados 
 Relações com fornecedores, prestadores de serviços e estagiários 
 Clientes e consumidores 
 Meio ambiente 
 Relações com as comunidades 
 Relações com a sociedade, o governo e o estado 
 
Não vamos detalhar todos esses compromissos mas, a título de 
exemplo, seguem alguns dos os compromissos estabelecidos com os 
empregados. 
 
 
 
Compromissos de Conduta do Sistema Petrobrás 
Compromissos com os empregados 
1. Promover condições de trabalho que propiciem o equilíbrio entre a vida 
profissional, pessoal e familiar de todos os empregados; 
2. Garantir segurança e saúde no trabalho, disponibilizando para isso todas as 
condições e equipamentos necessários; 
3. Disponibilizar canais formais de escuta para acolher e processar suas sugestões, 
visando melhorias dos processos internos de gestão; 
4. Assegurar a disponibilidade e transparência das informações que afetam os seus 
empregados, preservando os direitos de privacidade no manejo de informações 
médicas, funcionais e pessoais a eles pertinentes; 
5. Reconhecer o direito de livre associação de seus empregados, respeitar e 
valorizar sua participação em sindicatos e não praticar qualquer tipo de 
discriminação negativa com relação a seus empregados sindicalizados; 
6. Etc. (são 12 os compromissos estabelecidos) 
Fonte: Petrobras(2006):20 
 
O Guia de Conduta, por sua vez, nas suas orientações de conduta, 
trata dos seguintes aspectos: 
 
 Proteção da imagem e reputação 
 Uso da rede corporativa e dos meios digitais 
 Tratamento da informação 
 Proteção ao patrimônio 
 Fraude e corrupção 
 Nepotismo 
 Conflito de interesses 
 Presentes, brindes e hospitalidade 
 Relacionamento com públicos de interesse 
 Segurança, meio ambiente e saúde 
 Respeito à diversidade e à igualdade 
 Atividades políticas e religiosas 
 Violência psicológica, assédio moral e assédio sexual 
 
Também aqui não iremos detalhar as regras de conduta de cada um 
desses diferentes aspectos mas, a título de exemplo, vamos ver algumas das 
regras relacionadas ao uso da rede corporativa e dos meios digitais. 
Guia de Conduta do Sistema Petrobrás 
Uso da rede corporativa e dos meios digitais 
Para uso apropriado da rede e correio eletrônico corporativo e meios digitais, o 
Sistema Petrobrás requer: 
1. Não fazer uso particular para atividades comerciais de compra e venda, oferta de 
serviços nem propaganda 
2. Não obter, armazenar, utilizar ou repassar material que viole leis de direitos 
autorais ou de propriedade intelectual, que cause danos morais ou seja ofensivo a 
pessoas, ou que contrarie os interesses do Sistema Petrobrás 
3. Não obter, armazenar, utilizar ou repassar material que tenha conteúdo 
pornográfico, de exploração sexual de crianças e adolescentes, racista, 
homofóbico, sexista, contra liberdade religiosa ou que atentem contra a 
diversidade. 
4. Não fazer uso do anonimato para envio de mensagens ou postagens de 
conteúdos 
5. Não enviar mensagens ofensivas, inclusive por meio de correio eletrônico 
particular ou outras mídias digitais e sociais. 
6. Etc. (também são 12 as regras estabelecidas a respeito 
Fonte: Petrobrás(2016):14 
 
O que parece importante destacar é que, enquanto o Código de Ética 
trata dos compromissos da empresa, o guia de conduta serve para orientar o 
comportamento das pessoas da empresa. O que pode acontecer é que 
algumas empresas, ao elaborar seus códigos de conduta, preocupam-se 
somente em estabelecer regras para as pessoas da empresa, mas esquecem 
de estabelecer seus próprios compromissos enquanto empresas. Esse não é o 
caso do exemplo que estamos utilizando 
 
Leitura complementar requerida 
 
Será muito enriquecedora a leitura do Código de Ética, do Guia de Conduta e do 
Programa de Prevenção da Corrupção Petrobras. Eles estão disponíveis para 
download em http://transparencia.petrobras.com.br/institucional. (Acesso em 
09.10.19). 
Nessa leitura, além de conhecer, procure compreender o significado de cada 
regra estabelecida, e pense se essa seria também uma boa regra a ser 
respeitada pela organização que você trabalha, ou por qualquer organização que 
venha se trabalhar. Por quê? 
 
 
PENSE E RESPONDA 
 
Por que é importante para as organizações: 
 
1 – O cumprimento de regras legais? 
2 – A adesão e o cumprimento daquilo que denominamos como sendo de 
regras de mercado de interesse da organização? 
3 – O estabelecimento e o cumprimento da filosofia empresarial? 
4 – O estabelecimento e o cumprimento de regras internas? 
5 – O estabelecimento e o cumprimento de regras de conduta? 
 
Nas respostas, para cada uma das regras, considerar: 
 
 Os efeitos benéficos de toda essa conformidade e 
 As possíveis consequências negativas de uma não conformidade 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
8 – A gestão do compliance 
 
8.1 – O foco da gestão do compliance 
 
 Já vimos no item anterior que compliance significa algo como 
conformidade com o conjunto de regras que as organizações devem ou se 
propõem a seguir. Daí nós podemos concluir que a gestão do compliance deve 
significar algo como evitar não conformidades, isto é, o desrespeito às regras, 
ou identifica-las e corrigi-las, se necessário. 
 
 Como já vimos as organizações estão sujeitas compulsoriamente à 
regras legais ou de mercado, podem adotar regras de seu interesse, como é o 
caso nas normas ISO, e podem estabelecer uma serie de regras para orientar 
ou disciplinar as ações das pessoas da organização, como é caso da filosofia 
empresarial, das regras internas (políticas, procedimento e padrões) e regras 
de conduta. 
 
 Talvez, grosso modo, possamos classificar essas regras como sendo 
regras operacionais e regras de comportamento. 
 
 Regras operacionais 
Estamos chamando regras operacionais aquelas que, com base na 
definição dos processos principais e de apoio que devem compor o 
macroprocesso organizacional, definem as atividades e as respectivas tarefas 
desses processos, sendo isso normalmente disciplinado nos padrões de 
gerenciamento ou padrões operacionais (que são parte das regras internas, 
vistas no item anterior) ou políticas e procedimentos que definem claramente o 
“como fazer” 
 
Também estamos considerando regras operacionais algumas aqui as 
regras de adoção voluntária, como é o caso das relacionadas à certificação 
ISO, ou à adoção de modelos de gestão como, por exemplo, o Modelo de 
Excelência da Gestão(MEG), proposto pela Fundação Nacionalda Qualidade, 
do modelo de responsabilidade social proposto pelo Instituto Ethos, ou ainda 
das melhores práticas de governança corporativa, propostas pelo IBGC, visto 
que, a adoção desses modelo de gestão implica a adoção daquilo que neles é 
proposto. 
 
 Regras comportamentais 
As regras comportamentais, por sua vez, são aquelas que procuram 
orientar, disciplinar, ou mobilizar as pessoas da organização, para as formas 
consideradas corretas de se comportar, tomar decisões ou agir. Esse é o 
caso, por exemplo, da filosofia empresarial (propósitos, valores, políticas) e 
das regras de conduta vistos no tópico anterior e da algumas políticas. 
 
Na nossa percepção, quando pensamos em gestão do compliance, 
queremos acreditar que ela deva ter um enfoque muito mais intenso na gestão 
da conformidade das regras comportamentais, do que na conformidade das 
regras operacionais, que já estas (as regras operacionais) já tendem a ser 
bem controladas, pela estrutura hierárquica das organizações, por meio 
principalmente, da supervisão direta (quando controla o cumprimento dos 
padrões estabelecidos) e pela “gestão do desempenho” por meio de 
indicadores de desempenho. 
 
Lembrete 
 
Na disciplina “Gestão para Excelência” é mostrado que, para os quase 60 
processos gerenciais que são requeridos pelo Modelo de Excelência da 
Gestão (MEG), proposto pela Fundação Nacional da Qualidade, é 
sugerida a aplicação do modelo PDCL (Planejar, Executar, Controlar e 
Aprender/Melhorar). Para todos esses processos deve existir um planejar 
(que envolve o estabelecimento de padrões de atuação, que fazem parte 
do que denominamos de regras operacionais) e um controlar, que envolve 
a verificação do cumprimento dos padrões estabelecidos, além do controle 
da eficiência e eficácia dos processos. Em resumo, se o PDCL for bem 
aplicado, as regras operacionais, desse conjunto de processos, estarão 
sendo bem controladas quanto à sua conformidade aos padrões 
estabelecidos, bem como quanto à sua eficácia e eficiência. O mesmo 
poderá estar acontecendo com os processos operacionais propriamente 
ditos (por exemplos os processos de produção), se neles o PDCL também 
estiver sendo aplicado. 
 
 
Já no caso das regras comportamentais, talvez por elas exigirem mais a 
conquista da adesão e do comprometimento das pessoas da organização, é 
que seja exigida uma mais intensa gestão da conformidade a elas, visto que, 
nem sempre os sistemas de “gestão de desempenho”, conseguem controlar 
essa adesão. Talvez seja por isso que o não cumprimento de regras 
comportamentais seja um dos maiores riscos de compliance, como é o caso 
dos desvios de conduta, fraudes ou corrupção entre outros. 
 
Para ficar mais clara nossa proposta de que a gestão do compliance 
deve enfatizar a conformidade às regras comportamentais, podemos recorrer 
ao conceito de competência, quando se diz que competência é a soma de 
conhecimentos (saber), habilidades (saber fazer) e atitudes(querer fazer). 
Nosso entendimento é que as habilidades (saber fazer) podem ser orientadas 
por regras operacionais, já as regras comportamentais dependem muito das 
atitudes, isto é, do querer fazer, e há sempre o risco de que elas não sejam 
feitas. 
 
 Vejamos, por exemplo, o caso das regras legais relacionadas aos 
tributos a serem pagos. É de se esperar que as organizações sempre 
busquem agir de conformidade com elas. Para tanto, as organizações devem 
seguir um conjunto de regras definidas pelas legislações dos diferentes 
tributos, que podem envolver ações como obrigatoriedade de emissão de notas 
fiscais, apuração dos impostos a pagar, emissão de guias de pagamento, 
prestação de informações ao fisco, entre outras. Esse conjunto de ações 
necessárias é facilmente estabelecido em regras operacionais a serem 
cumpridas para se atender ao que é exigido pela legislação, só que para essas 
regras operacionais serem aplicadas é necessário que antes haja uma atitude 
(um querer fazer) favorável ao respeito à legislação. Se a organização optar 
por sonegar impostos, isto é, se ela descumprir a regra comportamental que 
exige o cumprimento da legislação, as regras operacionais que forem 
aplicadas estarão a serviço da não conformidade desejada (a sonegação). 
 
 O que ilustra esse exemplo, é que de pouco adianta ter-se boas regras 
operacionais se as regras comportamentais não forem respeitadas, motivo da 
proposta de que a gestão do compliance deve enfatizar a busca de 
conformidade das regras comportamentais. 
 
 Riscos de compliance 
O que justifica nossa proposta de se enfatizar a conformidade às regras 
comportamentais é o fato de que os maiores riscos de compliance estão 
relacionados ás decisões para não atendimento dessas regras. Você poderá 
confirmar isso sabendo que conforme o IBGC (2017: 33), podemos ter os 
seguintes riscos de compliance: 
 Assédio moral, sexual e abuso de autoridade 
 Discriminação 
 Desrespeito a direitos humanos e trabalhistas 
 Conflito de interesses 
 Roubos e desfalques 
 Fraudes contábeis 
 Lavagem de dinheiro 
 Evasão fiscal e tributária 
 Impactos socioambientais 
 Práticas anticoncorrenciais 
 Corrupção 
A sugestão é que você veja cada um dos riscos acima e veja se não é 
verdade que eles sempre se referem a um desvio a alguma regra 
comportamental. Eles sempre se constituem em resultado de decisões de 
contrariar regras estabelecidas. 
 
É de se esperar que nenhuma empresa vá definir como padrão de 
conduta para gerentes, chefes ou encarregados, que eles devem praticar 
assédio moral ou sexual. Mas eles podem se aproveitar de sua autoridade 
para isso. 
 
O desrespeito à legislação trabalhista, pode até acontecer por um erro 
de interpretação da legislação, mas de qualquer forma isso não é atenuante, já 
que ninguém pode alegar em sua defesa o desconhecimento da lei. O risco 
maior está no fato que esse desrespeito pode ser resultado de uma atitude 
(um querer fazer) favorável da empresa para descumprimento da lei. 
 
Fraudes contábeis, por sua vez, podem implicar na alteração dos 
resultados contábeis, algumas vezes para favorecer executivos (propiciando o 
pagamento,a executivos, de bônus indevidos) em detrimento dos sócios, 
outras para sonegar o imposto de renda incidente sobre os lucros. Podem 
também mostrar uma situação da empresa melhor do que sua situação efetiva, 
com o objetivo de atrair empréstimos ou investimentos, ludibriando assim quem 
empresta ou investe. As fraudes contábeis só acontecem se alguém decidir 
optar por elas. 
 
A corrupção, que você bem sabe os males que provoca, também é um 
risco de compliance, que também depende da decisão de alguém para 
acontecer e ela pode acontecer de variadas formas, como mostra o quadro 
abaixo. 
 
 
Quadro X1 – Formas de corrupção na abordagem da ONU 
Na abordagem da ONU a corrupção é entendida como “o abuso do poder 
conferido para benefício particular” e suas principais formas são as seguintes: 
 
Suborno: Define-se por oferecer, prometer, dar, aceitar ou solicitar vantagem 
como forma de induzir uma ação, que é ilegal, antiética ou uma quebra de 
confiança por deixar de agir. Suborno pode ser uma vantagem indevida, 
financeira ou em espécie, que pode ser paga diretamente ou através de 
intermediários. A empresa deve levar em conta as formas mais prevalentes de 
suborno na sua avaliação de risco, incluindo propinas, pagamentos de 
facilitação, presentes, hospitalidade, despesas, contribuições políticas e 
beneficentes, patrocínios e despesas promocionais. Breves descrições de 
alguns desses riscos: 
• Propinas: Propinas são subornos realizados para um cliente depois que 
uma empresa recebeu um contrato. Eles ocorrem nos departamentos de 
compras, contratação ou outros responsáveis por decisões de concessão 
de contratos. O fornecedor oferece o suborno entregando parte dataxa de 
contrato de volta para o comprador, diretamente ou através de um 
intermediário. 
• Pagamentos de facilitação: Tratam-se de pagamentos normalmente 
pequenos feitos para garantir ou acelerar o desempenho de uma rotina ou 
ação necessária a que o pagador tem direito, legalmente ou não. Eles 
apresentam preocupações para as entidades, já que os pagamentos são 
geralmente extorquidos em circunstâncias como obtenção de liberação de 
produtos perecíveis da alfândega ou obtenção de permissão de entrada na 
imigração. 
• Doações políticas e beneficentes, patrocínio, viagens e despesas 
promocionais: Essas são atividades legítimas para entidades, mas pode 
haver abuso por serem usadas como subterfúgio para o suborno. Deve-se 
observar que, de acordo com os crimes de suborno estrangeiros de vários 
países (principalmente de países que fazem parte da Convenção 
Antissuborno da OCDE), há riscos ligados a tais transações quando pode 
ficar entendido que uma vantagem foi oferecida para um funcionário 
público estrangeiro para obter ou reter negócios. 
 
Conflito de interesses: Um conflito de interesses ocorre quando uma pessoa 
ou entidade com uma obrigação com a empresa tem um interesse, obrigação 
ou compromisso conflitante. A existência de um conflito de interesses não 
caracteriza, por si só, corrupção, mas ela pode surgir quando um diretor, 
funcionário ou terceira parte contratada violar sua obrigação com a entidade, 
agindo em favor de outros interesses. 
 
Conluio: Conluio pode ocorrer de várias formas, sendo as mais comuns 
manipulação de propostas, cartéis e fixação de preços. 
• Manipulação de propostas: A forma como concorrentes conspiram para 
elevar preços efetivamente em situações em que os compradores 
adquirem bens e serviços aliciando as propostas concorrentes. 
Essencialmente, os concorrentes acordam antecipadamente sobre quem 
enviará a proposta vencedora para um contrato estabelecido através do 
processo de licitação competitiva. Assim como ocorre com a fixação de 
preço (veja abaixo), não sendo necessário que todos os proponentes 
participem do conluio.13 
• Cartéis: Acordo secreto ou conluio entre empresas para cometer ações 
ilícitas ou fraude. Normalmente, os cartéis envolvem fixação de preço, 
compartilhamento de informações ou manipulação de mercado através de 
definição de cotas de produção e fornecimento. 
• Fixação de preços: Acordo entre concorrentes para elevar, fixar ou 
manter o preço de venda de bens e serviços. Não é necessário que os 
concorrentes concordem em cobrar exatamente o mesmo preço nem que 
todos os concorrentes de uma determinada indústria juntem-se ao conluio. 
A fixação de preços pode assumir várias formas e qualquer acordo que 
restrinja a concorrência de preços pode violar as leis de concorrência 
aplicáveis. 
 
Porta giratória: Trata-se de corrupção ligada ao movimento de funcionários 
de alto nível de cargos do setor público para cargos do setor privado e vice-
versa. As principais preocupações relativas à forma coma a prática de uma 
empresa pode comprometer a imparcialidade e integridade do cargo público. 
Para empresas, pode haver riscos ao discutir ou prometer emprego futuro para 
funcionários públicos ou usar antigos funcionários públicos como membros de 
conselho, funcionários e consultores. 
 
Patronagem: Favoritismo em que a pessoa é selecionada, 
independentemente de suas qualificações, mérito ou direito, a um emprego ou 
benefício, devido a afiliações ou conexões. 
 
Agenciamento de informação ilegal: Trata-se do agenciamento de 
informações corporativas confidenciais obtidas através de métodos ilegais. 
 
Uso de informações privilegiadas: Transação de títulos feita quando a 
pessoa por trás da negociação tem conhecimento de informações substanciais 
não públicas e está, então, violando sua obrigação de manter 
confidencialidade de tal conhecimento. 
 
Evasão fiscal: Não pagamento de imposto para o governo de uma jurisdição 
onde o referido imposto é devido por pessoa, empresa ou fundo fiduciário que 
deve ser contribuinte naquela jurisdição 
 
Fonte; ONU(2013:12) 
 
Todos esses riscos de compliance são riscos da ocorrência de decisões 
deliberadas de contrariar regras, motivo pelo qual se espera que a gestão do 
compliance consiga evitar a ocorrência dessas decisões ou, se isso não for 
possível, consiga identificá-las e tomar as medidas corretivas ou punitivas 
necessárias. É disso que trataremos a seguir 
 
 
PENSE 
 
A quem interessa a adoção das práticas apresentadas pelo IBGC como 
riscos de compliance, incluindo-se aqui as diferentes formas de corrupção 
identificadas pela ONU? Por que a ocorrência delas pode se constituir em 
riscos para as empresas? Quais riscos? 
 
8.2 – A gestão do compliance 
 
 O que você já provavelmente entendeu é que, falar-se em gestão de 
compliance é promover a boa conduta, isto é, a conduta de acordo com as 
diferentes regras estabelecidas, o que, por sua vez, implica o inibir, evitar, ou 
coibir a má conduta. Varias são as práticas que podem levar a isso, dentre as 
quais se destacam a conquista pelo exemplo, que deve ser dado pela alta 
direção, e a definição de ações destinadas a prevenir e detectar a má conduta 
e para dar resposta adequada a ocorrências de má conduta. 
 
 “Tone from the top” 
Ao ler diferentes textos a respeito do compliance, você verá que grande 
parte deles compartilha da crença de que, para as pessoas de uma 
organização se sentirem estimuladas a abraçar a ideia de que “se regras 
existirem, regras devem ser respeitadas”, é fator de primordial importância que 
elas vejam na alta direção um elevado compromisso em respeitar e fazer 
respeitar as regras estabelecidas, relembrando que de acordo com o dicionário 
Aurélio, regra significa “aquilo que regula, dirige, rege ou governa. Aquilo que é 
determinado pela razão, pela lei ou pelo costume; preceito, princípio, lei ou 
norma”. 
 
Na abordagem do IBGC(2017: 32) , o comprometimento da alta direção, 
com as práticas de compliance pode ser demonstrado por ações como: 
 Manifestação verbal em ocasiões de contato com 
seus subordinados, em treinamentos, na emissão de 
relatórios, entre outros 
 Incentivo ao envolvimento e ao apoio de 
colaboradores e terceiros à implementação de várias 
ações do sistema de compliance. 
 Liderança pelo exemplo, com atuação ética no dia a 
dia. 
 Demonstração de conhecimento por meio de ações 
definidas no sistema de compliance e incentivo a 
adoção de boas práticas 
Já o CADE(2017) sugere que a alta direção, no dia a dia, não tolere o 
uso, pelos colaboradores, de práticas ilícitas que possam ser adotadas com o 
objetivo de trazer resultados de curto prazo. Também sugere que a alta 
direção inclua o tema compliance em suas prioridades estratégicas, como 
forma de: 
 Transmitir sua relevância para os colaboradores 
 Assegurar a inclusão no orçamento, oportunidade em 
que quaisquer recursos adicionais necessários ao 
programa deverão ser discutidos. 
 Monitorar sua evolução, mediante atualização 
periódica por parte do(s) responsável(is) pela gestão 
do programa 
 Atribuir metas, objetivos e itens de controle do 
programa de compliance, que devem ser 
observados na prática (p.16) 
Em resumo, a primeira coisa que precisa acontecer, para que cultura do 
compliance seja internalizada numa organização, é que sua alta direção, 
demonstre, pelo exemplo, seu comprometimento no cumprimento das regras 
estabelecidas, a começar por atitudes coerentes com a filosofia empresarial e 
as regras de conduta, passando pelas regras legais, de mercado, de adesão 
voluntária e as regras internas. Além disso, também é importante que a alta 
direção estimule, valorize e dê condições para que a boa conduta seja 
praticada. 
 
 Sistema de compliance 
Para que o compliance aconteça numa organização é muito importante 
que o “tom venha de cima”, comovimos no item acima, mas isso é uma 
condição necessária, mas não suficiente. É preciso, também que existam 
ações que orientem e promovam o compliance, ações que o IBGC(2017) 
enquadra no chamado “sistema de compliance” que envolve três elementos: 
prevenção, detecção e resposta. A prevenção tem a ver com a ideia de como 
promover a boa conduta (e evitar a má conduta); a detecção tem a ver com a 
identificação de desvios em relação àquilo que é desejado, e resposta 
relaciona-se ao como reagir a situações de não cumprimento de regras (em 
especial as regras comportamentais) existentes. Vamos ver um assunto por 
vez. 
 
 Prevenção 
Se uma organização deseja que as coisas sejam feitas da forma correta, 
o melhor que tem a fazer é, em primeiro lugar, definir claramente o que ela 
entende como correto. Feito isso, o passo seguinte é o de capacitar as pessoas 
para que elas saibam o que é correto fazer, e saibam como agir corretamente. 
Além disso, também é recomendável que haja um processo continuado de 
comunicação daquilo que se deseja ver praticado, não só como reforço ao 
processo de capacitação, mas também para sempre manter viva a 
preocupação do fazer correto. Por fim, para evitar que as coisas aconteçam da 
forma indesejada, é prudente que haja avaliação dos riscos de não 
cumprimento das regras definidas, com o objetivo de mitigar esses riscos. 
 
A definição da forma que a organização entende como correta de agir, 
deve estar inicialmente na sua declaração de valores e princípios, nos seus 
códigos de conduta e de ética e, em algumas das regras de aplicação geral, 
como, por exemplo, as politicas de saúde e segurança no trabalho, ou a 
política de sustentabilidade ambiental 
 
Além dessas regras de caráter geral, também é recomendável que 
existam as diretrizes, políticas, procedimentos ou normas, destinadas a 
orientações mais específicas, como é o caso da política de compras, da política 
de sucessão e nomeação de administradores, do manual de transparência, das 
políticas corporativas de alçada, entre outras. Desnecessário dizer que essas 
normas e políticas precisam ser totalmente coerentes com os valores, 
princípios e regras de conduta definidos. 
 
Tendo-se a definição do conjunto de regras que devem respeitadas, o 
passo seguinte, deve ser a capacitação das pessoas para a sua aplicação. O 
que se espera é que o programa de capacitação defina com clareza o que cada 
colaborador precisa saber. 
 
A respeito desse processo de capacitação, o que se espera é que ele 
seja algo mais do que simples apresentar as regras em alguns encontros de 
treinamento, ou num treinamento virtual, para elas serem conhecidas. Mais do 
que serem conhecidas preciso buscar garantir que as regras sejam bem 
compreendidas, bem entendidas, para que possam ser aplicadas com 
convicção. A compreensão neste caso deve significar bem saber “o porquê” 
da cada regra, em relação à organização que se deseja ter. 
 
Além do processo de capacitação, espera-se que haja um processo de 
comunicação contínua que enfatize a importância do respeito às regras, que 
apresente evidências de cumprimento das regras pela alta direção (conquista 
pelo exemplo), que disponibilize de forma acessível e amigável as regras a 
serem obedecidas pelos diferentes segmentos de colaboradores (diretores, 
gerentes, chefes, pessoal administrativo, nível operacional), enfim que 
contribua para o desenvolvimento de uma cultura de compliance. 
 
A prevenção, além de dizer o que é o correto, e de capacitar e 
comunicar para esse fim, também precisa contemplar o risco de as coisas não 
acontecerem de acordo com o desejado ou planejado. 
 
A análise de riscos envolve a identificação de potenciais 
comportamentos que possam significar desvios em relação às regras 
estabelecidas, como é o caso, por exemplo, de fraudes, corrupção ou os 
diferentes tipos de assédio (moral, sexual) que vimos no item anterior e a 
análise da probabilidade da sua ocorrência e seus possíveis impactos. Na 
abordagem do IBGC(2007): 
 
Para se definir qual o tratamento que será dado a 
determinado risco, o primeiro passo consiste em 
determinar o seu efeito potencial, ou seja, o grau de 
exposição da organização àquele risco. Esse grau leva 
em consideração pelo menos dois aspectos: a 
probabilidade de ocorrência e o seu impacto (em geral 
medido pelo impacto no desempenho econômico-
financeiro do período). Deve-se incorporar também 
intangível à análise. (p.20) 
 
O que se espera, a partir dessa análise, é que riscos com maior 
probabilidade de ocorrência e com maiores impactos sejam alvo prioritário de 
medidas preventivas que possam mitigá-los. 
 
 Detecção 
Da mesma forma que a existência de leis num país não é garantia de 
que tudo acontece de acordo com elas, também nas empresas, ou outras 
organizações, não se pode garantir que a existência de regras seja condição 
suficiente para que elas sejam cumpridas. 
 
Há sempre o risco de não cumprimento daquilo que está estabelecido, 
tanto por erro, como por decisão deliberada de quem deseja descumprir as 
regras, normalmente em benefício próprio. 
 
No que diz respeito ao descumprimento deliberado de regras, uma das 
práticas recomendadas para sua identificação é a adoção do chamado “canal 
de denúncias” que pode ser disponibilizado para os colaboradores da 
organização, seus fornecedores, clientes ou quem quer que seja, que tenha 
algo a relatar a respeito de algum comportamento indesejado. 
 
O que se espera com esse “canal de denúncias” é conseguir que, em 
especial os colaboradores, se sintam responsáveis não só por praticar as 
regras que devem praticar, mas também por querer que todos as pratiquem, já 
que espera-se que eles entendam que a quebra de regras estará sempre 
acontecendo em prejuízo de alguém. Outras partes interessadas 
(stakeholders) também podem ter seus motivos para denúncias. 
 
Regra geral, o que se espera de um “canal de denúncias” é que ele não 
iniba a apresentação de alguma reclamação ou denúncia, por medo de 
retaliação, isto é, por medo de alguma represália ou vingança. Para que isso 
aconteça, o que se tem buscado garantir é anonimato e confidencialidade. 
 
Outra coisa importante que favorece as pessoas a apresentarem 
denúncias é saber que as denúncias são objeto de investigação, isto é, não 
caem no vazio. Também é importante que seja um canal de fácil acesso, por 
telefone, e-mail ou qualquer outro meio considerado adequado. 
 
Para garantir esse anonimato e confidencialidade, um recurso que tem 
sido utilizado por organizações que entendem necessário o canal de denúncias 
é a terceirização desse serviço, para empresas especializadas no assunto. 
Nossa sugestão é que você faça uma pesquisa na internet a respeito do que 
essas empresas oferecem. Será uma excelente forma de aprender com quem 
está fazendo. A sugestão é que você faça uma busca por “canais de 
denúncias – compliance”. Vale conferir, é rápido. 
 
Além do canal de denncias, também é esperado que dentre as 
responsabilidades atribuídas aos diferentes cargos da organização, em 
especial os cargos de chefia e liderança, esteja incluída a responsabilidade de 
cuidar da conformidade às regras que devem ser respeitadas. Trataremos 
dessas responsabilidades mais adiante. 
 
 Resposta 
Em analogia ao que acontece na sociedade, denuncias devem ser 
investigadas, e em caso de comprovação de culpa, compete ao poder judiciário 
fixar as devidas penas legais. 
 
Nas organizações, o que se espera é que, para que as pessoas 
acreditem que as regras são para valer, elas têm que saber que o não respeito 
às regras geram consequências, e é importante que elas saibam quais são. Se 
houver conivência das organizações com violações às regras, isto é, se elas 
não reagirem adequadamente às ações indevidas, não haverá razão para as 
pessoas se preocuparem em respeitaras regras. 
 
Em resumo, em caso de denuncias, ou de percepção de irregularidades 
pela cadeia de comando, violações às regras devem ser objeto de reação 
efetiva das organizações. Na abordagem do IBGC (2017) 
 
As recomendações feitas com base no resultado de 
investigações internas podem ser de diversas naturezas, 
como: 
 Aplicação de medidas disciplinares e/ou afastamento 
temporário dos indivíduos envolvidos na ocorrência. 
 Ações de aprimoramento para evitar a reincidência do 
problema e ocorrência de novos incidentes 
 Cessação completa das atividades objeto da 
investigação 
 Comunicação espontânea dos fatos às autoridades 
 Coleta de dados e informações para subsidiar uma 
colaboração com a administração pública (37) 
 
Em resumo, um sistema de compliance começa com a prevenção 
(definição das regras a serem respeitadas, capacitação, comunicação e 
avaliação de riscos), passa por um processo de busca de identificação de 
possíveis violações às regras, especialmente as que definimos regras 
comportamentais (canal de denuncias, etc), e, em caso de evidências, 
acusações ou dúvidas a respeito da conformidade (compliance) ao que deve 
ser praticado, investigar, punir adequadamente, e em caso de culpa, buscar 
corrigir o que foi feito de errado e buscar evitar a reincidência do erro. 
 
8.3 – Os agentes do compliance 
 
Um sistema de compliance (prevenção, detecção e resposta), para 
funcionar, precisa de ação para ele funcionar, em outras palavras, é necessário 
que existam responsáveis por seu funcionamento, que cumpram com essa 
responsabilidade. E sobre isso que trataremos neste item. 
 
 Estrutura organizacional 
Você bem sabe que as organizações podem ser de diferentes tamanhos 
e de diferentes formas de composição societária. Para buscarmos entender as 
responsabilidades relacionadas ao compliance vamos pensar na existência de 
uma organização de grande porte, constituída na forma de sociedade anônima, 
e que seja de capital aberto (com ações negociadas em bolsas de valores). 
 
Uma organização desse tipo conta com estrutura organizacional 
composta por: 
 Assembleia Geral dos Sócios 
 Conselho de Administração 
 Diretoria Executiva 
A Assembleia Geral de Sócios, é normalmente assessorada por um 
Conselho Fiscal 
 
 Conselho de Administração 
O Conselho de Administração pode ser composto por diferentes comitês, 
em especial um comitê de auditoria, que pode ter sob seu comando uma área 
de “auditoria interna”. As S/As de capital aberto necessariamente também 
precisam e contam com uma auditoria externa independente, que também 
responde ao Conselho de Administração. 
 
Na abordagem do IBGC (2015): 
 
O Conselho e Administração é o órgão colegiado 
encarregado do processo de decisão de uma 
organização em relação ao direcionamento estratégico. 
 
Ele exerce o papel de guardião dos princípios, valores, 
objeto social e sistemas de governança da organização, 
sendo seu principal componente. 
 
Além de decidir os rumos estratégicos do negócio, 
compete ao Conselho de Administração , (...)monitorar a 
diretoria, atuando como elo entre esta e os sócios.(39) 
 
 Diretoria Executiva 
A Diretoria Executiva, que responde ao Conselho de Administração, é a 
responsável pela condução dos negócios, e é formada, normalmente, por um 
diretor presidente (muitas vezes chamado de CEO – Chief Executive Officer) e 
sua equipe de diretores, que podem ser, por exemplo, os diretores de 
produção, de gestão de pessoas, de marketing ou de finanças, entre outros. 
Na abordagem do IBGC (2015) 
 
A diretoria é o órgão responsável pela gestão da 
organização, cujo principal objetivo é fazer com que a 
organização cumpra seu objeto e sua função social. Ela 
executa as estratégias e as diretrizes gerais aprovadas 
pelo Conselho de Administração, administra os ativos da 
organização e conduz seus negócios. Por meio de 
processos e políticas formalizados, a diretoria viabiliza e 
dissemina os propósitos, princípios e valores da 
organização. 
 
Cabe à diretoria assegurar que a organização esteja em 
total conformidade com os dispositivos legais e demais 
políticas internas a que está submetida. Em caso de 
existência de subsidiárias, e de sua responsabilidade 
trabalhar para que as demais empresas do grupo estejam 
igualmente operando em conformidade. 
 
O quadro 8.1 abaixo ilustra essa estrutura, destacando o que compõem a 
chamada “governança” e o que compõem a “gestão” propriamente dita. 
 
 
 
 
 
 
Quadro 8.1 – Governança e Gestão 
 
Fonte: IBGC (2015: 16) 
 
Essa estrutura pode ser completada por uma área que responda pela 
“gestão de riscos”, por uma área responsável pela “função compliance” e, 
também, por um “comitê de conduta” ou algo similar. Todas essas áreas 
organizacionais tem algo a ver com o compliance. É isso que veremos a seguir 
 
8.4 - Responsabilidades relacionadas ao Compliance 
 
 Conselho de Administração 
No texto acima, a respeito do Conselho de Administração, você pode 
notar que compete a esse Conselho, entre outras responsabilidade, ditar os 
rumos da organização, exercer o papel de guardião dos princípios e valores da 
organização, e monitorar a diretoria. 
 
Para cumprir com essas responsabilidades, o que sugere o IBGC(2015) 
é que um Conselho de Administração deve, pelo menos: 
 discutir, formatar, definir claramente o propósito, os 
princípios e valores da organização e zelar por eles 
 aprovar políticas e diretrizes que afetam a 
organização como um todo 
 assegurar que a diretoria identifique, mitigue e 
monitore os riscos da organização, bem como a 
integridade do sistema de controles internos. (40) 
Note que o Conselho de Administração, que é hierarquicamente superior 
à Diretoria, é quem tem a responsabilidade de definir princípios e valores, mas 
também tem a responsabilidade de aprovar políticas e diretrizes que devem ser 
elaboradas pela Diretoria. Só que é próprio Conselho de Administração que 
monitora a Diretoria, o que significa dizer que também cabe ao Conselho zelar 
para que os valores e princípios organizacionais, e as políticas e diretrizes que 
forem definidas, sejam respeitados pela Diretoria. 
 
 Diretoria 
No que diz respeito à Diretoria, o que sugere o IBGC (2015), para que 
ela cumpra adequadamente seu papel, naquilo que mais diretamente se 
relacione com o assunto compliance é que: 
A Diretoria deve disseminar a cultura organizacional, 
reforçando seus valores e princípios, desdobrá-los em 
políticas, práticas e procedimentos formais e estabelecer 
formas de monitorar, permanentemente, se suas 
decisões, ações e impactos estão alinhados a eles. Em 
caso de desvios, deve propor as medidas corretivas e, 
em última instância, punitivas, previstas no código de 
conduta. (70) 
 
Atente bem para essa citação acima. É de responsabilidade da Diretoria 
o desdobramento de valores e princípios em politicas, práticas e procedimentos 
formais, isto é regras, regras coerentes com os valores e princípios, e regras 
que devem ser monitoradas pela própria Diretoria quando ao seu cumprimento. 
 
Não esquecer 
 
Tanto o Conselho de Administração como a Diretoria compõem a alta 
direção das organizações e, como tal, não devem somente ditar regras, 
mas demonstrar, pelo exemplo, o seu cumprimento, e também 
demonstrar, por suas ações, o interesse em vê-las cumpridas. Relembre 
que dissemos no item anterior que, quando o assunto é compliance, “o 
tom vem do topo” (Tone from de Top) 
 
 
 Conselho Fiscal 
Outros órgãos, da estrutura organizacional por nós adotada como 
referência para definição de responsabilidade de compliance, também exercem 
papeis ativos, na busca de garantir conformidade àquilo que se exige que seja 
respeitado. 
Esse é o caso, por exemplo, do Conselho Fiscal, cuja missão principal 
éfiscalizar os atos dos administradores para verificar o cumprimentode deveres 
legais e estatutários. É simples: as sociedades anônimas obrigatoriamente 
têm seus estatutos que, entre outras coisas, regulam os papéis e 
responsabilidades do Conselho de Administração e da Diretoria, e cuidar para 
que o que está definido no estatuto seja respeitado é papel do Conselho Fiscal. 
 
. Talvez seja interessante destacar que o Conselho Fiscal se reporta aos 
sócios. 
 
 Auditoria independente 
Temos, também, a “auditoria independente” que se encarrega de validar 
as informações contábeis e fiscais. As informações contábeis, como aquelas 
que demonstram a situação patrimonial de uma organização, ou a sua 
demonstração de resultados, devem ser corretas, mas nem sempre o são. 
Informações incorretas podem ser decorrentes de erros involuntários, ou de 
fraudes deliberadas. O que compete à auditoria independente é identificar 
possíveis incorreções e suas possíveis causas e buscar garantir a 
apresentação de números corretos. No caso de fraudes, espera-se sejam 
identificados os seus responsáveis e definidas as penalidades 
correspondentes. 
 
 Comitê de Auditoria 
Podemos ter, também, os Comitês de Auditoria, a quem cabe o papel de 
assessorar do Conselho de Administração a respeito de assuntos relacionados 
às demonstrações financeiras e aos controles internos. Dentre as atividades 
de suporte ao Conselho de Administração, na abordagem do IBGC(2015), um 
comitê de auditoria pode responder, entre outras, pelas seguintes atribuições: 
 
 Monitoramento da efetividade e da qualidade dos 
controles internos da organização; 
 Monitoramento do cumprimento das leis, 
regulamentos e sistemas de conformidade 
(compliance) pela organização; 
 Supervisão da estrutura e das atividades de 
gerenciamento de riscos pela gestão da 
organização(...); 
 Monitoramento dos aspectos de ética e de conduta, 
incluído a efetividade do código de conduta e do canal 
de denúncias (abrangendo o tratamento das 
denúncias recebidas). (...); 
 Supervisão da auditoria interna, incluindo a qualidade 
dos seus trabalhos, estrutura existente, plano de 
trabalho e resultados dos trabalhos realizados. 
O que você pode notar aqui é que um comité de auditoria é bastante 
importante enquanto órgão de controle destinado a fazer que o compliance 
aconteça. Isso é feito por meio da validação dos controles internos, pelo 
acompanhamento da gestão de riscos, incluindo-se aqui os riscos de 
compliance, pelos cuidados com o cumprimento da legislação e das regras de 
ética e de conduta e, também, pela supervisão da auditoria interna, que pode 
exercer importante papel na identificação de acertos e erros (involuntários ou 
propositais) no respeito às regras que devem ser respeitadas. 
 
As organizações, em especial as de maior porte, podem contar também 
com outras áreas funcionais que possam contribuir para a ocorrência do 
compliance, como é o caso, por exemplo, da área de gestão de riscos, da área 
de compliance e da auditoria interna. Vamos tratar um pouco de cada uma 
delas. 
 
 Área de gestão de riscos 
No que diz respeito à gestão de riscos, o que se sabe é que ela é orientada 
pelo Conselho de Administração, mas realizada pela Diretoria Executiva, que, 
por sua vez, pode instituir uma área para esse fim. Na abordagem do IBGC 
(2007). 
Existem várias alternativas para a construção de uma 
estrutura de gerenciamento de riscos e cada organização 
deverá desenhar aquela mais adequada ao seu perfil. 
Observa-se, no entanto, a tendência pela criação de uma 
unidade responsável por essa função. O gerenciamento 
de riscos de um determinado processo é uma atividade a 
ser atribuída aos gestores do processo, cabendo à 
unidade executiva responsável pela gestão de riscos 
integrar e orientar os vários esforços, bem como interagir 
com a alta administração. Essa unidade executiva pode 
ser um departamento, núcleo, área ou unidade funcional 
composta por representantes de diversas áreas 
(comitês). (30) 
 
 Auditoria interna 
A Auditoria Interna, por sua vez, pode responder por processos de avaliação 
daquilo que é praticado nas organizações, ou pode também responder por 
serviços de assessoria normalmente destinada para a melhoria de controles 
internos, processos ou sistemas. 
No que diz respeito aos processos de avaliação, as principais questões 
que tendem a ser objeto da auditoria interna são: avaliação de riscos; 
controles internos; prevenção, detecção e investigação de fraudes; e 
conformidade (compliance). 
 
Considerando-se que a gestão de riscos é uma função da Diretoria 
Executiva, ou da área por ela designada, o que deve competir à auditoria 
interna, nesse assunto, é “auditar tal função e avaliar se ela está identificando 
e mitigando os riscos adequadamente, além de reportar riscos não 
identificados pela área.” (IBGC, 2007: 18). 
 
A auditoria dos controles internos, por sua vez, tem por finalidade 
verificar “se eles (os controles internos) estão sendo exercidos da forma 
desejada” (IBGC, 2007:18). 
 
A respeito da questão “prevenção, detecção e investigação de fraudes”, 
Regra geral, prevenir fraudes não é missão específica da Auditoria Interna, 
mas ela pode ser chamada para investigação de fraudes quando a 
organização não contar com outra área responsável para esse fim. A 
detecção de fraudes pode até acontecer durante os trabalhos de auditoria, mas 
essa responsabilidade não é só da Auditoria Interna. O que compete sim, à 
Auditoria Interna, nesse assunto fraudes é “avaliar a adequação das políticas, 
normas e instrumentos instituídos para evitar fraudes.” (IBGC, 2007: 18) 
 
 Função compliance 
Ainda que o compliance seja uma responsabilidade de todos nas 
organizações, em especial de toda a cadeia de comando, as organizações 
podem, a exemplo do que fazem com a gestão de riscos, instituir uma área 
específica, ou designar um profissional específico para coordenar o sistema de 
compliance. 
 
A função compliance é relativamente recente nas organizações, e seus 
principais papeis e responsabilidades estão ainda em construção. A esse 
respeito é interessante saber o que recomendam o IBGC e a Febraban. 
 
De acordo com o IBGC (2017), a função compliance, para bem cumprir 
com sua missão, deve: 
 Coordenar os canais de denúncias; 
 Discutir o grau de exposição e evolução dos riscos de 
compliance 
 Conscientizar a organização sobre a aderência aos 
princípios éticos, normas de conduta e obrigações 
aplicáveis, liderando o processo de disseminação da 
cultura de compliance 
 Executar o monitoramento integrado das atividades 
de compliance 
 Colaborar na elaboração de um plano de treinamento 
para todos os colaboradores e partes interessadas 
 Coordenar as iniciativas de comunicação voltadas 
para disseminar o tema pela organização 
 Coordenar a realização de controles e testes para 
verificar a aderência às políticas e aos procedimentos 
da organização 
 Colaborar no processo de investigação de 
irregularidades, com amplo acesso a documentos e 
informações de diferentes áreas da organização, de 
acordo com a política aprovada pelo conselho de 
administração. 
 Sugerir, em conjunto com o comitê de conduta, a 
aplicação de sanções previstas em política de 
consequências. 
 Participar de reuniões do comité de conduta 
 Assegurar que as sanções determinadas sejam 
aplicadas. 
 
A FEBRABAN (2018), em seu Guia / Boas práticas de compliance, parte 
da premissa da existência da função compliance, e considera que são as 
seguintes as atribuições ou funções de compliance: 
 
 Consultoria, orientação, treinamento e capacitação 
o Garantir disseminação da cultura e temas de 
compliance, apoiando a alta administração na definição 
e capacitação adequada de todos os colaboradores e 
prestadores de serviços terceirizados relevantes. 
o Atuar com área consultiva nos temas relacionados ao 
compliance 
o Assegurar