APOSTILA RISCO E COMPLIANCE

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

APOSTILA RISCO E COMPLIANCE.pdf
Módulo II
Compliance e 
Gestão de Riscos
Sumário
2.1 - Introdução............................................................................................................................................................................. 2.3
2.2 - Programa de Compliance ...................................................................................................................................2.8
2.2.1 - Pilares de um programa de compliance .................................................................................2.9
2.2.2 - Comprometimento e apoio da alta administração ................................................ 2.10
2.2.3 - Instância responsável pelo programa de integridade ............................................2.11
2.2.4 - Análise de perfil e riscos .........................................................................................................................2.12
2.2.5 - Estruturação das regras e instrumentos .............................................................................2.14
2.2.6 - Estratégia de monitoramento contínuo ..............................................................................2.24
2.3 - Riscos ......................................................................................................................................................................................2.28
2.3.1 - Gestão de Riscos ............................................................................................................................................ 2.31
2.4 - Conclusão ...........................................................................................................................................................................2.33
2.5 - Referências ...................................................................................................................................................................... 2.34
Sumário
2.3
2.1 - INTRODUÇÃO
Em razão dos compromissos internacionais assumidos pelo Brasil, 
para a cooperação internacional ao combate à corrupção, em con-
venções da Organização das Nações Unidas (ONU), da Organi-
zação para Cooperação e Desenvolvimento Econômico (OCDE), e 
da Organização dos Estados Americanos (OEA), foi publicada em 
2013, entrando em vigor em 2014, a Lei 12.846/13 (BRASIL, 2013). 
Conhecida como Lei Anticorrupção brasileira, segundo a qual as 
pessoas jurídicas passaram a ser responsabilizadas pelos atos lesi-
vos contra a Administração Pública, nacional ou estrangeira.
Tal lei pune responsabiliza a pessoa jurídica, independentemente 
de sua forma ou modelo societário (sociedades anônimas, limita-
das, associações, fundações, etc.), que praticarem corrupção (su-
borno, pagamento de propina, fraude no processo licitatório pú-
blico) contra agentes públicos, nacionais ou estrangeiros, mesmo 
que não haja envolvimento direto por parte de seus representantes 
legais ou proprietários.
Riscos, Compliance e Leis Anticorrupção
2.4
A Lei Anticorrupção brasileira foi inspirada nas leis:
a - Lei americana sobre Práticas de Cor-
rupção no Exterior dos Estados Unidos 
– Foreign Corrupt Practices Act (FCPA), 
promulgada em 1977, precursora na pre-
venção, no combate e na repressão aos 
atos de corrupção. Aprovada em 1977 
pelo Congresso Americano, o FCPA – 
Foreign Corrupt Practices Act, foi ela-
borado em função de exigência da SEC 
– Security Exchange Commission, a qual 
constatou que diversas empresas ameri-
canas pagaram milhões de dólares a governos estrangeiros, por rea-
lizações de negócios no exterior. 
Essa Lei foi reformulada após as investigações no caso Watergate 
deflagarem uma estrutura de pagamentos efetuados por empresas 
a funcionários públicos, intermediados por partidos políticos. Esse 
esquema de pagamentos por meio de doações ficou popularmente 
conhecido como “caixa dois” e tecnicamente chamado como lavagem 
de dinheiro.
Riscos, Compliance e Leis Anticorrupção Módulo II
2.5
b - United Kingdom Bribery Act, Ato do 
Reino Unido contra Subornos. A lei britâ-
nica foi adotada por seu parlamento, em 
abril de 2010 e entrou em vigor em julho 
de 2011. Esta lei originou-se de uma ten-
dência internacional e possui uma aplica-
ção mais ampla que a FCPA. O objetivo 
dessa lei é estabelecer normas de combate 
e prevenção à corrupção, sendo conside-
rada uma das leis mais severas do mundo 
no combate a corrupção. 
Sua abrangência é transnacional, na medida em que se aplica a 
pessoas coletivas, com sede (ou no limite, com representação socie-
tária) no Reino Unido (Inglaterra, País de Gales, Escócia e Irlanda 
do Norte), mas também àquelas que realizem negócios com pessoas 
coletivas estabelecidas no Reino Unido. 
Em geral, as leis anticorrupção adotadas nos Estados Unidos, Reino 
Unido e no Brasil normatizam os seguintes conceitos:
I - Corrupção: corresponde a atos lesivos à sociedade, praticados no 
âmbito das pessoas jurídicas;
Riscos, Compliance e Leis Anticorrupção
2.6
II - Responsabilidades objetivas e subjetivas: a tipificação de res-
ponsabilidade entre objetiva e subjetiva está diretamente ligada à 
adoção ou não de programas de integridade. A responsabilidade 
objetiva é aquela em que a pessoa jurídica é culpabilizada, inde-
pendentemente de quem seja o causador de danos à Administração 
Pública, ou seja, uma análise objetiva, independente da culpa. A res-
ponsabilidade subjetiva, por sua vez, corresponde à culpabilidade do 
indivíduo. 
III - Programas de integridade: com base nas leis anticorrupção, são 
definidos pelos controles internos adotados pelas organizações, com 
o objetivo de garantir que a totalidade das atividades empresariais 
estejam em conformidade com as normas vigentes, bem como com 
o objetivo de prevenir e/ou detectar prática de atos ilícitos, além de 
mitigar riscos.
A Lei n° 12.846/13 (BRASIL, 2103) 
foi base para as investigações da 
Operação Lava Jato, conduzida 
pelo Ministério Público Federal 
Brasileiro (MPF), que investiga a 
corrupção e a lavagem de dinheiro 
nas empresas brasileiras. 
Riscos, Compliance e Leis Anticorrupção Módulo II
2.7
A fim de regulamentá-la, baseado nas recomendações feitas em 2014 
pela Organização para a Cooperação e Desenvolvimento Econômico 
(OCDE), no ano de 2015 foi publicado o Decreto n°8.420/15 (BRASIL, 
2105) composto por VI capítulos, sendo que em seu IV capítulo, artigo 
41 define programa de integridade como:
[...] programa de integridade consiste, no âmbito de uma pessoa 
jurídica, no conjunto de mecanismos e procedimentos internos de 
integridade, auditoria e incentivo à denúncia de irregularidades e 
na aplicação efetiva de códigos de ética e de conduta, políticas e 
diretrizes com objetivo de detectar e sanar desvios, fraudes, irregu-
laridades e atos ilícitos praticados contra a administração pública, 
nacional ou estrangeira.
Parágrafo Único. O programa de integridade deve ser estruturado, 
aplicado e atualizado de acordo com as características e riscos atu-
ais das atividades de cada pessoa jurídica, a qual por sua vez deve 
garantir o constante aprimoramento e adaptação do referido pro-
grama, visando garantir sua efetividade.
Riscos, Compliance e Leis Anticorrupção
2.8
2.2 - PROGRAMA DE COMPLIANCE
O título “Programa de Compliance” varia de uma organização para 
outra, de acordo com suas políticas e sua cultura organizacional, 
entretanto, a abordagem literária mais amplamente adotada deno-
mina como: programa de compliance, programa de conformidade, 
programa de integridade, entre outros. 
O programa de compliance é definido como um conjunto de dire-
trizes que a organização deve implantar e praticar para que suas 
atividades sejam exercidas em conformidade com a Lei n° 12.846/13 
(BRASIL, 2013). Visa desenhar os controles internos que serão adota-
dos pelas organizações, com o objetivo de prevenir, detectar e sanar 
o risco de fraude. Por
outro lado, as atividades de conformidade refe-
rem-se à verificação sobre, se as condutas e práticas internas estão 
compatíveis com as regras, normativos e legislação vigentes. 
A palavra conformidade provém da palavra americana compliance, 
originada do latim complere, que pode ser traduzida como cumprir o 
que foi pedido, agir ou estar de acordo. 
Ser compliance é conhecer as normas da organização, seguir os 
procedimentos recomendados, agir em conformidade e sentir quanto 
é fundamental a ética e a idoneidade em todas as nossas atitudes. 
Estar em compliance é estar em conformidade com leis e regulamen-
tos internos e externos.
Riscos, Compliance e Leis Anticorrupção Módulo II
2.9
2.2.1 - Pilares de um programa de compliance
A adoção do programa de compliance por uma empresa tem como 
principal objetivo assegurar que todas as atividades empresariais 
estejam de acordo com as leis vigentes, buscando não corroborar 
com as práticas ilícitas ou fraudulentas, além da mitigação de riscos. 
O Ministério de Transparência e Controladoria-Geral da União (CGU) 
publicou em 2015, diretrizes do programa de integridade para as 
empresas privadas, tendo como objetivo orientar a construção do 
Programa de Integridade de acordo com a Lei Anticorrupção, sendo 
que este documento não possui caráter normativo, apenas de orien-
tação (CGU, 2015). 
Nesse sentido a cartilha elaborada pela CGU estrutura o programa 
de integridade em cinco pilares:
Comprometimento e apoio da alta administração
Instância responsável pelo programa de integridade
Análise de perfil e riscos
Estruturação das regras e instrumentos
Estratégias de monitoramento contínuo.
Riscos, Compliance e Leis Anticorrupção
2.10
2.2.2 - Comprometimento e apoio da alta administração
O comprometimento da alta direção da empresa com a integridade 
nas relações público-privadas e, consequentemente, com o Programa 
de Integridade é a base para a criação de uma cultura organiza-
cional em que funcionários e terceiros efetivamente prezem por uma 
conduta ética. A alta administração deve apoiar e se envolver no 
planejamento e na execução das ações. A falta de compromisso da 
alta direção resulta no descompromisso dos demais funcionários, 
fazendo o Programa de Integridade existir apenas “no papel”. 
Riscos, Compliance e Leis Anticorrupção Módulo II
2.11
A destinação de recursos adequados para a implementação do 
Programa de Integridade é, sem dúvida, outro fator de grande impor-
tância para evidenciar o comprometimento. A alta direção são os 
responsáveis por darem o exemplo do padrão de conduta que espe-
ram de seus gestores de médio escalão e demais colaboradores. A 
alta administração deve assinar os manuais, bem como segui-los à 
risca, incentivar denúncias e punições e aceitar e submeter a elas 
quando um de seus membros for o infrator do regramento vigente.
2.2.3 - Instância responsável pelo programa de inte-
gridade
Uma vez tomada a decisão pelo comprometimento com a ética e 
integridade na empresa, os membros da alta direção devem adotar 
as medidas necessárias para definir uma instância interna responsá-
vel por desenvolver, aplicar e monitorar o Programa de Integridade. 
Para garantir que essa instância tenha as condições para colocar o 
Programa em prática, é importante a alocação de recursos financei-
ros, materiais e humanos adequados. A instância responsável pelo 
Programa de Integridade deve ter autonomia para tomar decisões 
e implementar as ações requeridas para seu correto funcionamento 
e ter autoridade para apontar mudanças necessárias. As correções 
sugeridas podem, em alguns casos, representar investimento finan-
ceiro, incremento de trabalho, mudança de rotinas ou treinamento 
adicional para diversas áreas da empresa. 
Riscos, Compliance e Leis Anticorrupção
2.12
Não obstante, a alta direção deve apoiar aquelas correções capa-
zes de mitigar riscos consideráveis, ainda que elas sejam vistas por 
alguns setores da empresa como dispendiosas. Além disso, para asse-
gurar a atuação independente das pessoas que trabalham na área 
de integridade ou temas correlatos, é importante que sejam previstos 
mecanismos de proteção contra punições arbitrárias decorrentes do 
exercício normal de suas atribuições.
2.2.4 - Análise de perfil e riscos
Um Programa de Integridade deve ser desenvolvido levando-se em 
consideração o porte e as especificidades da empresa, com base em 
informações como: 
I - setores do mercado em que atua no Brasil e no exterior;
II - estrutura organizacional (hierarquia interna, processo decisório 
e as principais competências de conselhos, diretorias, departamentos 
ou setores);
III - quantitativo de funcionários e demais colaboradores;
IV - nível de interação com a administração pública, considerando-
-se principalmente a relevância de processos de obtenção de auto-
rizações, licenças e permissões governamentais em suas atividades, 
Riscos, Compliance e Leis Anticorrupção Módulo II
2.13
o quantitativo e os valores de contratos celebrados com entidades e 
órgãos públicos, a frequência e a relevância da utilização de terceiros 
nas interações com o setor público;
V - participações societárias que envolvam a pessoa jurídica na con-
dição de controladora, controlada, coligada ou consorciada.
Além da análise do perfil da empresa, a estruturação de Programa 
de Integridade depende também de uma avaliação de riscos que 
leve em conta as características dos mercados onde a empresa atua 
(cultura local, nível de regulação estatal, histórico de corrupção). Essa 
avaliação deve considerar principalmente a probabilidade de ocor-
rência de fraudes e corrupção, inclusive ligadas a licitações e contra-
tos, e o impacto desses atos lesivos nas operações da empresa. 
A avaliação de riscos, também chamada de Mapeamento de Riscos 
de Compliance (Compliance Risk Assessment – CRA), é uma das 
etapas mais importantes da implantação de um programa de inte-
gridade. Isso porque é nela que se conhece todos os riscos poten-
ciais e seus impactos para que a organização alcance seus objetivos. 
Afinal, cada empresa está sujeita a problemas 
diferentes, de acordo com seu tamanho, 
mercado de atuação e cultura organi-
zacional. Com base nos riscos identifi-
cados, serão desenvolvidas as regras, 
políticas e procedimentos para preve-
nir, detectar e remediar a ocorrência 
dos atos indesejados.
Riscos, Compliance e Leis Anticorrupção
2.14
2.2.5 - Estruturação das regras e instrumentos
Padrões de ética e de condutas
Os padrões de ética e de conduta representam o comportamento 
esperado de todos os funcionários e dirigentes da empresa. É conve-
niente que tais padrões sejam reunidos em documento único, geral-
mente denominado código de ética ou de conduta. De qualquer 
forma, é perfeitamente possível que a empresa possua dois documen-
tos complementares: um que trate de valores e princípios da empresa 
(código de ética) e outro que explicite a conduta a ser seguida pelos 
membros da empresa (código de conduta). 
O importante é que tais padrões de comportamento sejam claros, 
sejam seguidos por todos, e que se encontrem também amplamente 
acessíveis ao público externo, em especial aos parceiros de negócio e 
clientes. Deve ser elaborado com linguagem objetiva e acessível, esta-
belecendo os direitos e as obrigações dos diretores, gerentes, funcio-
nários, agentes e parceiros comerciais nas mais variadas situações do 
cotidiano da empresa e de seus negócios. 
Riscos, Compliance e Leis Anticorrupção Módulo II
2.15
São manuais escritos sobre “o que devo fazer versus o que estou proi-
bido de fazer, sob pena de me submeter a determinada consequên-
cia”. O conteúdo do código abrange, de forma geral, os valores da 
organização e as principais regras e políticas adotadas pela empresa. 
Para fins de atendimento aos requisitos da Lei nº 12.846/2013, espe-
ra-se que o código de ética ou de conduta:
I - explicite os princípios e
os valores adotados pela empresa relacio-
nados a questões de ética e integridade; 
II - mencione as políticas da empresa para prevenir fraudes e ilíci-
tos, em especial as que regulam o relacionamento da empresa com o 
setor público;
III - estabeleça vedações expressas: 
 aos atos de prometer, oferecer ou dar, direta ou indiretamente, 
vantagem indevida a agente público, nacional ou estrangeiro, ou a 
pessoa a ele relacionada;
 à prática de fraudes em licitações e contratos com o governo, nacio-
nal ou estrangeiro; 
 ao oferecimento de vantagem indevida a licitante concorrente;
 ao embaraço à ação de autoridades fiscalizatórias. 
Riscos, Compliance e Leis Anticorrupção
2.16
Regras, políticas e procedimentos 
para mitigar os riscos
As regras, políticas e procedimentos para prevenir e detectar a ocor-
rência de irregularidades, com fundamento nos riscos identificados, 
devem ser coordenados entre si e ser de fácil compreensão e aplica-
ção na rotina de trabalho da empresa. As políticas devem especificar, 
por exemplo, seus objetivos, procedimentos, público-alvo, periodici-
dade, unidades responsáveis e formas de monitoramento. 
Alguns tipos de controles internos podem ser utilizados para a mitiga-
ção de inúmeros riscos e, portanto, são comuns a diversas políticas. É 
o caso, por exemplo, do estabelecimento de níveis de aprovação para 
determinados procedimentos, que, a depender do grau do risco iden-
tificado, podem incluir até mesmo a aprovação pela área responsável 
pelo Programa de Integridade.
IV - esclareça sobre a existência e a utilização de canais de denún-
cias e de orientações sobre questões de integridade; 
 estabeleça a proibição de retaliação a denunciantes e os mecanis-
mos para protegê-los; 
 contenha previsão de medidas disciplinares para casos de trans-
gressões às normas e às políticas da empresa.
Riscos, Compliance e Leis Anticorrupção Módulo II
2.17
Comunicação e treinamento
O investimento em comunicação e treinamento é essencial para que 
o Programa de Integridade da empresa seja efetivo. Os valores e 
as linhas gerais sobre as principais políticas de integridade adota-
das pela empresa, geralmente externalizados no código de ética ou 
conduta, devem estar acessíveis a todos os interessados e ser ampla-
mente divulgados. Dirigentes, funcionários, e até mesmo, em casos 
apropriados, terceiros responsáveis pela aplicação das políticas, 
devem ser devidamente treinados.
Seguem alguns exemplos de políticas de mitigação dos riscos, ressal-
tando-se, que cada empresa deve levar em consideração seu perfil e 
riscos ao implementá-las:
I - Política de relacionamento com o setor público;
II - Política relativa ao oferecimento de hospitalidade, brindes e pre-
sentes a agente público nacional ou estrangeiro;
III - Política relativa a registros e controles contábeis;
IV - Política de contratação de terceiros;
V - Política sobre fusões, aquisições e reestruturações estatutárias;
VII - Política sobre patrocínios e doações.
Riscos, Compliance e Leis Anticorrupção
2.18
I - Comunicação
É importante que o código de ética ou conduta e os demais docu-
mentos que tratam sobre integridade nos negócios estejam dispo-
níveis em locais de fácil acesso a todos, como a internet ou rede 
interna da empresa. Considerando que, em razão da natureza do 
trabalho, parte dos funcionários pode não ter acesso a computado-
res, a empresa deve providenciar estratégias alternativas e eficazes 
de divulgação, como disponibilização de cópias impressas ou fixação 
em locais visíveis a todos. 
Os documentos devem estar escritos de forma compreensível para todo 
o público-alvo. As orientações devem ser transmitidas de forma clara 
e precisa, sem mensagens dúbias. Ainda, caso a empresa possua sede 
em países estrangeiros, é necessário que ao menos parte dos docu-
mentos seja disponibilizada na língua local, principalmente aqueles 
que estão relacionados aos riscos identificados naquela localidade. 
A divulgação pode ser 
feita por intermédio de 
jornais internos, carta-
zes, e-mail e notícias 
na rede corporativa. 
É importante que os 
funcionários saibam 
da existência de 
canais de denúncia, 
de políticas de prote-
ção a denunciantes e 
que tenham consciência 
Riscos, Compliance e Leis Anticorrupção Módulo II
2.19
sobre a possibilidade de reportar casos suspeitos. Para garantir a 
ciência de todos sobre o código de ética e as políticas de integridade, 
a empresa pode, por exemplo, solicitar que funcionários assinem docu-
mento atestando conhecimento. 
Por fim, a empresa também deve manter canais para fornecer orien-
tações e esclarecimento de dúvidas com relação aos aspectos do 
Programa de Integridade. Os canais devem ser gratuitos e de fácil 
acesso a todos na empresa e abertos a terceiros e ao público, quando 
for o caso. 
II - Treinamento
A empresa deve ter um plano de capacitação com o objetivo de trei-
nar as pessoas sobre o conteúdo e os aspectos práticos das orienta-
ções e das políticas de integridade. As regras não terão efetividade se 
as pessoas não souberem como e quando aplicá-las. É necessário que 
todos, no âmbito da empresa, recebam treinamentos sobre valores e 
orientações gerais do Programa de Integridade.
Com relação às políticas espe-
cíficas, tais como as normas 
para prevenir atos lesivos em 
licitações e contratos ou regras 
de controle em registros contá-
beis, a empresa pode oferecer 
treinamentos específicos, dire-
cionados especialmente para 
aquelas pessoas que atuam 
diretamente nessas atividades.
Riscos, Compliance e Leis Anticorrupção
2.20
Canais de denúncias 
Uma empresa com um Programa de Integridade bem estruturado 
deve contar com canais que permitam o recebimento de denúncias, 
aumentando, assim, as possibilidades de ter ciência sobre irregularida-
des. A empresa deve avaliar a necessidade de adotar diferentes meios 
para que possa receber denúncias, como urnas, telefone ou internet. 
Em empresas com funcionários que não tenham acesso a computador 
com internet, deve-se estar atento à necessidade de oferecimento de 
alternativas à denúncia online. É importante também que os canais de 
denúncias sejam acessíveis a terceiros e ao público externo. 
Para que sejam mais eficazes, sugere-se que os treinamentos incluam 
situações práticas, estudos de caso e orientações sobre como resolver 
eventuais dilemas. É importante garantir a periodicidade das capa-
citações, para treinar os funcionários novos e manter atualizados os 
funcionários já treinados. Vale ressaltar, ainda, que a empresa deve 
garantir que os funcionários participem de fato dos treinamentos, 
podendo, inclusive, torná-los obrigatórios em alguns casos. 
Além disso, pode criar incentivos para a participação, como, por 
exemplo, vincular a promoção na carreira à realização de treinamen-
tos periódicos sobre o Programa de Integridade.
Riscos, Compliance e Leis Anticorrupção Módulo II
2.21
Medidas disciplinares
A previsão de aplicação de medidas disciplinares em decorrência da 
violação de regras de integridade é importante para garantir a serie-
dade do Programa, não se limitando a um conjunto de regras “no 
papel”. Ainda mais importante é a certeza da aplicação das medidas 
previstas em caso de comprovação da ocorrência de irregularidades. A 
empresa deve ter normas escritas que especifiquem quais são as medi-
das disciplinares previstas e os casos em que se aplicam. É necessário 
esclarecer também quais são os procedimentos adotados e que área 
possui a atribuição de apuração dos fatos e das responsabilidades.
Para garantir a efetividade de seus canais, é 
necessário que a empresa tenha políticas que 
garantam a proteção ao denunciante de boa-fé 
como, por exemplo, o recebimento de denún-
cias anônimas e a proibição de retaliação de 
denunciantes.
A empresa pode também prever regras de confidencialidade, para 
proteger aqueles que, apesar de se identificarem à empresa, não quei-
ram ser conhecidos publicamente. O bom cumprimento pela empresa 
das regras de anonimato, confidencialidade e proibição de retalia-
ção é um fator essencial para conquistar a confiança daqueles que 
tenham algo a reportar. Além disso, é desejável que a empresa tenha 
meios para que o denunciante acompanhe o andamento da denún-
cia, pois a transparência no processo confere maior credibilidade aos 
procedimentos.
?
Riscos, Compliance e Leis Anticorrupção
2.22
As punições previstas devem 
ser proporcionais ao tipo de 
violação e ao nível de respon-
sabilidade dos envolvidos. Deve 
existir também possibilidade de 
adoção de medidas cautelares, 
como o afastamento preventivo 
de dirigentes e funcionários que 
possam atrapalhar ou influen-
ciar o adequado transcurso da 
apuração da denúncia. 
Ações de remediação
A detecção de indícios da ocorrência de atos lesivos à administração 
pública, nacional ou estrangeira, deve levar a empresa a iniciar uma 
investigação interna, que servirá como base para que sejam tomadas 
as providências cabíveis. Normas internas devem tratar de aspectos 
procedimentais a serem adotados nas investigações como: prazos, 
responsáveis pela apuração das denúncias, identificação da instância 
ou da autoridade para a qual os resultados das investigações deve-
rão ser reportados.
Deve-se garantir que nenhum 
dirigente ou funcionário deixará 
de sofrer sanções disciplinares 
por sua posição na empresa. Isso 
é essencial para manter a credi-
bilidade do Programa de Inte-
gridade e o comprometimento 
dos funcionários. É preciso que 
se perceba que as normas valem 
para todos e que todos estão 
sujeitos a medidas disciplinares 
em caso de descumprimento.
Riscos, Compliance e Leis Anticorrupção Módulo II
2.23
Uma vez que a investigação confirme a ocorrência de ato lesivo envol-
vendo a empresa, devem ser tomadas providências para assegurar 
a imediata interrupção das irregularidades, providenciar soluções e 
reparar efeitos causados. A empresa pode, por exemplo, aprimorar o 
programa, de forma a evitar a reincidência do problema e ocorrência 
de novas falhas. Pode, ainda, aplicar sanções disciplinares aos envol-
vidos. É interessante que a adoção dessas medidas seja divulgada 
para funcionários e terceiros, a fim de reforçar publicamente a não 
tolerância da empresa com a prática de ilícitos.
A empresa deve também utilizar os dados obtidos na investigação 
interna para subsidiar uma cooperação efetiva com a administração 
pública. A comunicação às autoridades competentes sobre a ocorrên-
cia do ato lesivo, o fornecimento de informações e o esclarecimento 
de dúvidas podem beneficiar a empresa em eventual processo admi-
nistrativo de responsabilização.
A empresa pode, ainda, prever a realização de investigações indepen-
dentes, com a intenção de garantir a credibilidade e imparcialidade 
das informações obtidas. Além disso, o escopo da investigação deve 
ser condizente com a possível extensão das irregularidades. Caso um 
dos envolvidos atue em outras filiais ou áreas da empresa, pode ser 
necessário ampliar o escopo para verificar se as práticas ilícitas foram 
replicadas em outras situações.
Riscos, Compliance e Leis Anticorrupção
2.24
A empresa deve elaborar um plano de monitoramento para verificar 
a efetiva implementação do Programa de Integridade e possibili-
tar a identificação de pontos falhos que possam ensejar correções e 
aprimoramentos. Um monitoramento contínuo do Programa também 
permite que a empresa responda tempestivamente a quaisquer riscos 
novos que tenham surgido. O monitoramento pode ser feito mediante 
a coleta e análise de informações de diversas fontes, tais como:
I - relatórios regulares sobre as rotinas do Programa de Integridade 
ou sobre investigações relacionadas; 
II - tendências verificadas nas reclamações dos clientes da empresa; 
III - informações obtidas do canal de denúncias; 
IV - relatórios de agências governamentais reguladoras ou fiscaliza-
doras. 
Além da análise de informações existentes, a empresa pode, por exem-
plo, testar por meio de entrevistas se os funcionários estão cientes 
sobre os valores e políticas da empresa, se seguem os procedimentos 
estipulados e se os treinamentos têm trazido resultados práticos.
2.2.6 - Estratégia de monitoramento contínuo
Riscos, Compliance e Leis Anticorrupção Módulo II
2.25
Caso seja identificado o não cumprimento de regras ou a existência 
de falhas que estejam dificultando o alcance dos resultados espera-
dos, a empresa deve tomar providências para sanar os problemas 
encontrados. Dependendo de suas características, além do monitora-
mento cotidiano, a empresa pode submeter suas políticas e medidas 
de integridade a um processo de auditoria, a fim de assegurar que 
as medidas estabelecidas sejam efetivas e estejam de acordo com as 
necessidades e as particularidades da empresa. 
Independente das medidas específicas adotadas pela empresa, o 
processo de monitoramento demanda atenção a algumas questões 
como:
 A empresa está monitorando adequadamente a aplicação das polí-
ticas relacionadas às suas principais áreas de risco?
 A instância responsável pelo Programa de Integridade está condu-
zindo o processo de monitoramento de forma objetiva, com indepen-
dência e autonomia em relação às áreas monitoradas?
 O monitoramento contempla todas as áreas da empresa envolvi-
das na implementação do Programa de Integridade? 
 Os resultados apontados em processos anteriores de auditoria, 
monitoramento do Programa de Integridade e outros mecanismos de 
revisão foram considerados e corrigidos?
Riscos, Compliance e Leis Anticorrupção
2.26
 Como a empresa está respondendo às questões identificadas 
durante o processo de monitoramento? 
 São desenvolvidos planos de ação para correção das fragilidades 
encontradas?
 Existe uma área responsável pelo acompanhamento desse plano 
de ação?
O Programa de Integridade deve ser entendido como uma estru-
tura orgânica, que somente funcionará caso exista harmonia e cone-
xão entre seus pilares. O monitoramento contínuo, por exemplo, pode 
indicar a necessidade de revisão de algumas regras e instrumentos, 
o mesmo ocorrendo no caso de mudança no cenário de riscos da 
empresa. 
O comprometimento da alta 
administração e a autonomia 
da instância responsável pelo 
Programa, por outro lado, são 
fatores determinantes para a 
implementação das regras e 
instrumentos estabelecidos, em 
especial daqueles relacionados 
à aplicação de penalidades e 
remediação de irregularida-
des (CGU. 2015). A existência 
de programas de integridade 
é um dos fatores considerados 
como atenuantes na dosimetria 
da multa aplicável em razão da 
prática de atos lesivos objeto da 
Lei 12846/13. 
Tal estrutura envolve uma orga-
nização baseada em práticas 
ideais de governança, voltadas 
ao favorecimento da implemen-
tação de ações dirigidas ao 
monitoramento de riscos, siste-
mas de controles e à incorpora-
ção de procedimentos destina-
dos à prevenção e ao combate à 
corrupção. 
Riscos, Compliance e Leis Anticorrupção Módulo II
2.27
Para que o processo de implementação do programa de integridade 
esteja em conformidade com a Lei 12.846/2013 (BRASIL, 2013) as 
áreas envolvidas são:
I - Alta administração;
II - Controles internos;
III - Auditoria interna;
IV - Gestão de riscos;
V - Auditoria externa;
VI - Órgãos/agências reguladores (as).
A escolha dos controles e procedimentos para prevenir, detectar ou 
sanar os riscos de fraude a serem adotados pelas organizações, é reali-
zada por indivíduos que atuam geralmente nas áreas de controles inter-
nos, alta administração, auditoria interna e gestão de riscos, tratando-
-se portanto de uma escolha que possui caráter subjetivo e cultural, 
desta forma, apesar da regulamentação, o processo de implantação 
de programas de integridade varia de organização para organização, 
precisando ser adaptado de acordo com o
ambiente no qual a orga-
nização estiver inserida e com base no julgamento dos profissionais 
responsáveis, que devem realizar as escolhas sobre quais controles inte-
grarão esse programa, com o objetivo de prevenir, detectar ou sanar o 
risco de fraude, como requeridos no Decreto n° 8.420/2015. 
Riscos, Compliance e Leis Anticorrupção
2.28
2.3 - RISCOS
Todos os dias, ao acordarmos, nos deparamos com situações que são 
comuns e cotidianas para nós, mas que podem expor a riscos, tais 
como, dirigir, atravessar a rua, fazer exercícios, dentre outros. Para 
Coimbra (2006), “O conceito de risco não é novo”, sempre existiu 
e sempre irá existir. Porém, sua definição não é consenso entre os 
autores, mas está relacionada com perdas na operacionalização dos 
negócios. 
Os principais benefícios da implantação do programa de compliance 
são:
I - Preservação da integridade civil e criminal;
II - Aumento da eficiência;
III - Vantagem competitiva, e;
IV - Ganhos de produtividade.
Riscos, Compliance e Leis Anticorrupção Módulo II
2.29
Conforme o dicionário Michaelis, 
a palavra “risco” vem do italiano 
rischio e tem o significado de 
“possibilidade de perigo”, incerto, 
mas previsível, que ameaça de 
dano a pessoa ou coisa” (MICHA-
ELIS, 2012). Ainda para Coimbra 
(2006), “O risco existe quando 
há probabilidade de ocorrência 
de resultados diferentes do espe-
rado, ou seja, pode haver resulta-
dos melhores ou piores do que os 
planejados, embora a tendência 
seja em focar as chances de resul-
tados negativos”.
Em 2009, foi publicada pela 
International Organizattion for 
Standardization (ISO), a Norma 
Internacional 31000 – Gestão de 
Riscos, com o objetivo de alinhar 
o conceito de risco entre os diver-
sos autores, sendo atualizada em 
2018. ISO é uma entidade que 
congrega os grémios de padro-
nização/normalização de 162 
países, fundada em 1947 e já 
publicou mais de 19.000 normas 
de padronização. 
A ISO 31000 surgiu com o objetivo 
de estabelecer princípios e orien-
tações genéricas sobre gestão 
de riscos, criando um framework 
universal para tornar possível o 
gerenciamento de processos de 
diversos tipos de riscos de qual-
quer organização de qualquer 
segmento independentemente do 
tamanho. Esta norma defende 
que risco é o efeito da incerteza 
nos objetivos, e efeito é um desvio 
em relação ao esperado – posi-
tivo e/ou negativo.
Riscos, Compliance e Leis Anticorrupção
2.30
Os riscos podem ser divididos de acordo com o tipo de exposição, 
sendo categorizados da seguinte forma:
I - Risco estratégico: perda resultante de falha, deficiência ou inade-
quação de processos relacionados aos objetivos de alto nível que dão 
suporte a missão institucional;
II - Risco operacional: possibilidade de perdas resultantes de falhas, 
deficiência ou inadequação de pessoas, sistemas e processos internos;
III - Risco legal e regulatório: descumprimento de leis, regras, regu-
lamentações, vulnerabilidade a litígios de acordo com a natureza dos 
serviços prestados;
IV - Risco de crédito: perda relacionada à probabilidade de um 
emissor de dívida, não honrar, total ou parcialmente, seus compromis-
sos financeiros;
V - Risco de liquidez: compreende a capacidade de a empresa cap-
tar dinheiro para quitar suas dívidas, mas não poder honrar o com-
promisso no momento do vencimento dessa transação;
VI - Risco de mercado: perda relacionada aos retornos esperados de 
investimentos, em decorrência de variações em taxas de juros, taxas 
de câmbio, índices de inflação.
Riscos, Compliance e Leis Anticorrupção Módulo II
2.31
As empresas ao atuarem em qualquer tipo de economia de mercado, 
deverão estar atentas aos riscos existentes, tais como: consequência 
das decisões dos gestores, mudanças de governos, legislações e alte-
rações no cenário econômico. Todos esses fatores podem afetar a 
continuidade das operações. Conforme Bernstein (1997), “A essência 
da administração do risco está em maximizar as áreas onde temos 
certo controle sobre o resultado, enquanto minimizamos as áreas onde 
não temos absolutamente nenhum controle sobre o resultado e onde 
o vínculo entre o efeito e a causa está oculto de nós”.
2.3.1 - Gestão de Riscos
Quando se fala em gestão em riscos, uma das primeiras relações 
que vem à mente do profissional responsável por essa função são as 
normas definidas pelo Committee of Sponsoring Organizations of the 
Treadway Commission (COSO).
A metodologia COSO (2017) estabelece que o processo de gerencia-
mento de riscos tem por premissa que toda organização existe para 
gerar valor às partes interessadas, alinhando gestão de riscos, desem-
penho e estratégia.
Riscos, Compliance e Leis Anticorrupção
2.32
Como definição, COSO especifica que as empresas devem tratar 
riscos e oportunidades que afetam a criação ou a preservação dos 
valores, definindo gerenciamento de riscos da seguinte forma:
O gerenciamento de riscos corporativos é um processo conduzido 
em uma organização pelo Conselho de Administração, Diretoria e 
demais empregados, aplicado no estabelecimento de estratégias, 
formuladas para identificar em toda a organização eventos em po-
tencial, capazes de afetá-la, e administrar os riscos de modo a man-
tê-los compatível com o apetite a risco da organização e possibilitar 
garantia razoável do cumprimento de seus objetivos. (COSO).
Esses princípios são universais, internacionalmente aplicados, e apli-
cáveis a qualquer ramo de atividade, seja ele financeiro ou não.
As empresas devem verificar a melhor forma de administrar seus 
riscos, pois eles estão diretamente relacionados à continuidade de seus 
negócios. O processo de gestão de riscos operacionais deve ter uma 
solução de acordo com as necessidades específicas de cada negócio.
 
Conforme o Instituto Brasileiro de Governança Corporativa – IBGC, a 
gestão de riscos pode ser dividida em quatro passos principais:
I - Identificar e classificar os riscos;
II - Avaliar os riscos;
Riscos, Compliance e Leis Anticorrupção Módulo II
2.33
III - Implementar a função de gestão de riscos e estrutura de contro-
les internos;
IV - Monitorar.
 Definir medidas de desempenho;
 Preparar relatórios periódicos de riscos e controle;
 Registrar e quantificar as perdas ocasionadas pela materialização 
dos eventos de riscos.
Não entraremos nos detalhes da Gestão de Riscos Corporativos pois 
será aprofundado em outro módulo do nosso curso on-line.
2.4 - CONCLUSÃO
Ao fim deste módulo foi possível explanar sobre os pilares do programa 
de integridade, bem como os conceitos e fundamentos teóricos de 
riscos. Realizamos também, uma pequena introdução na gestão de 
riscos e controles internos, que serão aprofundados em outro módulo.
Podemos perceber como esse tema é desafiador e complexo e as 
dicas de leitura complementar são apenas parte de todo o conteúdo 
que pode ser buscado, por isso, não deixe de ler o material indicado, 
realizar os exercícios propostos e seguir a trilha de aprendizagem.
Sucesso e bons estudos!
Riscos, Compliance e Leis Anticorrupção
2.34
2.5 - REFERÊNCIAS
ABNT. NBR ISO 31000:2009. Gestão de Riscos – Princípios e Diretrizes. Associação Brasileira de Normas 
Técnicas (ABNT) ISO 31000:2009. 
BRASIL. Lei nº 12.846, de 01 de agosto de 2013. 
Disponível em: <http://www.planalto.gov.br/CCIVIL_03/_Ato2011-2014/2013/Lei/L12846.htm> Acesso em 
22 fev 2020
BRASIL. Decreto n° 8.420 de 18 de março de 2015
Disponível em: <http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2015/Decreto/D8420.htm> Acesso em 
07 mar 2020
BERNSTEIN, P. L. Desafio aos deuses: a fascinante história do risco. 35. ed. Rio de Janeiro: Elsevier, 1997
CGU – Controladoria Geral da União, 2015. Disponível em:
<https://www.gov.br/cgu/pt-br/centrais-de-conteudo/publicacoes/etica-e-integridade/imagens/programa-
-de-integridade-publicacao.png/view> Acesso em 07 mar 2020.
COIMBRA, F. C. Estruturação de unidade de gestão de riscos em bancos:
um estudo de caso 2006. Disser-
tação (Mestrado em Administração de Empresas) – Universidade de São Paulo – 2006.
COSO – Comitee of Sponsoring Organizations of the Treadway Commission. Internal Control Report – 
Integrated Framework, 2012. Disponível em: <https://www.coso.org/Pages/default.aspx> Acesso em 07 mar 
2020
IBGC – Instituto Brasileiro de Governança Corporativa, 2007. Disponível em: https://conhecimento.ibgc.org.
br/Paginas/Publicacao.aspx?PubId=22121. Acesso em 08 de mar 2020.