Falar em compliance ainda leva muitas organizações a imaginar uma estrutura pesada, burocrática e distante da operação. Esse é um erro comum. Um programa de compliance efetivo não é aquele que replica modelos prontos, mas o que consegue traduzir riscos reais em mecanismos proporcionais, aplicáveis e sustentáveis. No contexto brasileiro, a própria regulação e as diretrizes oficiais reforçam uma lógica de integridade baseada em mecanismos internos, incentivo à denúncia, aplicação efetiva de códigos e políticas, além de prevenção, detecção e remediação de irregularidades. O tema também ganhou ainda mais relevância com a atualização das diretrizes da CGU e com a consolidação regulatória do Decreto nº 11.129/2022.
Mais do que atender exigências normativas ou contratuais, estruturar um programa de compliance coerente com a realidade da organização significa criar uma arquitetura de integridade que funcione no cotidiano. Isso envolve entender o porte da empresa, seu setor, sua maturidade de gestão, seu modelo comercial, sua relação com o poder público, sua cadeia de terceiros e a forma como decisões são tomadas internamente. O que funciona em uma companhia altamente regulada pode ser inadequado para uma estrutura enxuta; da mesma forma, um programa minimalista demais pode ser insuficiente para empresas com exposição elevada a riscos concorrenciais, reputacionais, regulatórios ou de contratação pública. As referências internacionais mais sólidas, como o Evaluation of Corporate Compliance Programs do DOJ, insistem exatamente nisso: o programa precisa ser bem desenhado, aplicado de boa-fé, adequadamente estruturado e efetivo na prática.
O primeiro equívoco: começar por documentos, e não por riscos
Um dos erros mais recorrentes em projetos de compliance é iniciar pela redação de código de conduta, política de brindes, política disciplinar e canal de denúncia antes de compreender o mapa real de exposição da organização. Essa ordem costuma produzir um programa bonito no papel e fraco na operação.
Na prática, a pergunta inicial deveria ser outra: quais são os riscos mais prováveis e mais críticos para este negócio, neste estágio, neste contexto e com esta estrutura? O ponto de partida de um programa bem desenhado é a avaliação de riscos, inclusive porque referências oficiais e internacionais tratam esse diagnóstico como base da arquitetura de controles, treinamentos, mecanismos de reporte e gestão de terceiros.
O que torna um programa compatível com a realidade da organização
Um programa compatível não é o mais extenso. É o mais coerente.
Em termos práticos, isso significa:
- proporcionalidade entre risco e controle;
- clareza sobre responsabilidades;
- aderência à rotina da liderança e das equipes;
- priorização do que é mais crítico;
- capacidade real de monitoramento e resposta;
- evolução contínua, em vez de implantação estática.
O programa precisa responder, no mínimo, a quatro perguntas
1. Onde estão os principais riscos?
A organização se relaciona com agentes públicos? Atua com licitações? Trabalha com representantes, distribuidores, parceiros comerciais ou fornecedores críticos? Tem operações em ambientes regulatórios complexos? Há decisões altamente concentradas em poucas pessoas?
2. Quem sustenta o programa?
Sem patrocínio real da liderança, o compliance tende a se reduzir a comunicação interna e formalidade documental. O suporte da alta administração é um dos pilares mais reiterados em diretrizes de integridade.
3. Quais mecanismos fazem sentido para o porte e a maturidade do negócio?
Nem toda organização precisa começar com uma estrutura robusta. Mas toda organização precisa começar com uma estrutura minimamente funcional.
4. Como o programa será verificado na prática?
Treinamento sem registro, política sem aplicação, denúncia sem apuração e controle sem revisão periódica não compõem um programa efetivo. Compõem apenas uma aparência de conformidade. O DOJ inclusive diferencia, de forma explícita, um programa implementado de um mero paper program.
Como estruturar o programa na prática
1. Faça um diagnóstico inicial objetivo
Antes de criar políticas, vale conduzir um diagnóstico estruturado, ainda que enxuto. O objetivo não é produzir um relatório excessivamente teórico, mas identificar riscos, processos sensíveis, lacunas de controle e prioridades de implementação.
O diagnóstico deve observar, por exemplo:
- relacionamento com o setor público;
- processos comerciais e contratuais;
- terceiros críticos;
- aprovações financeiras;
- brindes, hospitalidades e patrocínios;
- conflitos de interesse;
- registros e evidências;
- recursos humanos e medidas disciplinares;
- canais de relato e investigação;
- maturidade de governança e tomada de decisão.
Esse mapeamento inicial evita dois extremos igualmente ruins: o subdimensionamento dos riscos e a superengenharia do programa.
2. Defina uma governança viável
Nem toda organização terá uma diretoria de compliance, comitês formais e estrutura dedicada desde o início. Em muitos casos, o caminho correto é começar com uma governança proporcional: um responsável definido, apoio da liderança, ritos mínimos de validação e reporte periódico.
3. Estabeleça os documentos essenciais
O programa não precisa nascer com dezenas de políticas. Em geral, é mais eficiente começar com um núcleo documental claro, objetivo e aplicável.
Documentos normalmente essenciais
- Código de Conduta
- Política de Integridade e Anticorrupção
- Política de Conflito de Interesses
- Diretrizes para terceiros e parceiros
- Fluxo de reporte, apuração e resposta
- Regras disciplinares e consequências
O que esses documentos não podem ser
- peças genéricas copiadas de grandes corporações;
- textos jurídicos incompreensíveis para o público interno;
- materiais desconectados dos processos reais da organização.
4. Treine quem está mais exposto
Treinamento genérico para todos pode até cumprir calendário, mas raramente resolve o problema central. O mais eficaz é trabalhar com uma lógica orientada a risco.
Exemplos de recortes mais inteligentes
- liderança e diretoria;
- comercial e relacionamento institucional;
- compras e suprimentos;
- financeiro;
- jurídico e contratos;
- gestores de terceiros e parceiros.
A lógica internacional mais madura recomenda treinamento proporcional, contextual e adaptado às funções expostas, em vez de ações homogêneas para toda a organização.
O ponto crítico que muitas empresas negligenciam: terceiros
Grande parte do risco não nasce dentro da empresa, mas em sua rede de fornecedores, representantes, intermediários e parceiros. Por isso, um programa de compliance minimamente robusto precisa prever due diligence baseada em risco, critérios de contratação, cláusulas contratuais, monitoramento e tratamento de red flags.
O próprio DOJ destaca a gestão de terceiros como um elemento central de um programa bem desenhado, e a OECD trata a diligência devida baseada em risco como instrumento para identificar e enfrentar impactos e vulnerabilidades nas operações, cadeias de suprimento e relações de negócio.
O que avaliar em terceiros críticos
- histórico reputacional;
- estrutura societária;
- vínculo com agentes públicos;
- capacidade operacional;
- justificativa comercial da contratação;
- forma de remuneração;
- documentação e evidências;
- sinais de alerta durante a execução contratual.
Canal de denúncia e resposta: sem isso, o programa fica incompleto
Um programa sério precisa oferecer meios confiáveis para relato de irregularidades, inclusive com proteção contra retaliação, fluxo de triagem, apuração e decisão. Mais importante do que “ter um canal” é garantir que ele seja confiável, conhecido e utilizável.
As diretrizes internacionais e de enforcement costumam insistir que o mecanismo de reporte precisa ser eficiente e digno de confiança, não apenas formal. Isso muda totalmente o critério de implantação: não basta publicar um e-mail institucional; é preciso definir procedimento, confidencialidade, governança e resposta.
Monitoramento: o programa precisa evoluir
Esse talvez seja o divisor entre um programa decorativo e um programa efetivo. A organização precisa revisar riscos, testar controles, observar reincidências, acompanhar investigações, registrar aprendizados e atualizar regras quando necessário.
O DOJ afirma que um sinal de efetividade é justamente a capacidade do programa de melhorar e evoluir, considerando mudanças no negócio, no ambiente regulatório, nos clientes, nos mercados e nos padrões do setor.
Indicadores simples que já ajudam
- número e perfil de relatos recebidos;
- tempo de tratamento de casos;
- áreas com maior incidência de desvios;
- percentual de terceiros avaliados;
- percentual de lideranças treinadas;
- revisões periódicas de políticas;
- medidas corretivas implementadas.
Um roteiro viável para começar
Fase 1 — Estrutura mínima
Prioridade imediata
- diagnóstico de riscos;
- definição de responsável interno;
- código de conduta;
- política anticorrupção;
- diretrizes para terceiros;
- canal de relato;
- treinamento inicial da liderança.
Fase 2 — Consolidação
Ganho de maturidade
- matriz de riscos;
- critérios formais para due diligence;
- fluxos de investigação;
- integração com RH, contratos e compras;
- registros de evidência;
- calendário de revisão.
Fase 3 — Evolução
Programa mais robusto
- indicadores e monitoramento;
- auditorias e testes;
- treinamentos por função;
- aperfeiçoamento de controles;
- revisão com base em incidentes, mudanças regulatórias e expansão do negócio.
O que a organização deve evitar
Erros que fragilizam o programa
- tratar compliance como projeto exclusivamente jurídico;
- implantar documentos sem diagnóstico prévio;
- copiar políticas de empresas maiores e de outra realidade;
- concentrar todo o programa em comunicação e assinatura de termo;
- ignorar terceiros;
- não prever consequência para descumprimentos;
- não revisar o programa periodicamente.
Conclusão
Estruturar um programa de compliance compatível com a realidade da organização não significa reduzir exigência. Significa aplicar inteligência de contexto. Um programa efetivo nasce do encontro entre risco, governança, cultura, processos e capacidade de execução.
Em outras palavras: não é o tamanho do programa que define sua qualidade, mas sua coerência com a operação e sua capacidade de funcionar de verdade.
Para organizações que atuam em ambientes regulados, mantêm relações com o setor público, contratam terceiros críticos ou precisam fortalecer governança e previsibilidade institucional, o compliance deixa de ser apenas uma agenda de controle e passa a ser uma ferramenta de proteção, credibilidade e sustentabilidade.