Os programas de compliance e a certificação ISO 37001

* Por Rodrigo Bertoccelli

A International Organization for Standardization (ISO) reuniu nos últimos três anos mais de 80 especialistas de cerca de 50 países e 7 organizações internacionais que resultou na publicação da ISO 37001 (Anti-Bribery Management System), norma certificável que trata de programas de compliance antissuborno, disponível no site da ISO desde 14 de outubro mediante pagamento[1].

Antes de apresentar os principais dispositivos da nova ISO 37001, é necessário, em apertada síntese, diferenciá-la da ISO 19600 (Compliance Management Systems – Guidelines) publicada em 15 de dezembro de 2014 e do Cadastro Nacional de Empresas Comprometidas com a Ética e a Integridade (Empresa Pró-Ética), iniciativa do Instituto Ethos e do atual Ministério da Transparência, Fiscalização e Controladoria-Geral da União com o objetivo de avaliar e divulgar as companhias voluntariamente engajadas na construção de um ambiente de integridade e confiança nas relações comerciais, inclusive nas que envolvem o setor público.

A primeira e principal diferença entre a ISO 37001 e as demais é que apenas esta pode ser objeto de certificação. Outra importante diferença entre a ISO 37001 e a ISO 19600 é que a primeira tem a finalidade específica de tratar de políticas antissuborno, as quais devem integrar um programa de compliance com a finalidade de mitigar os custos, riscos e danos decorrentes do suborno. Portanto, a ISO 37001, além de ser certificável, é mais específica que a ISO 19600. Por último, além da metodologia, a principal diferença entre as normas ISO e o selo Empresa Pró-Ética é que este apenas tem efeitos no Brasil, ao passo que a ISO 37001 tem efeitos e reconhecimento por organizações e autoridades internacionais.

Nesse compasso, ainda num voo panorâmico, vale destacar os principais aspectos da ISO 37001.

  • A quem a ISO 37001 se aplica?

Os requisitos da ISO 37001 podem ser aplicáveis a qualquer organização, independentemente do tipo, tamanho e natureza da atividade, seja do setor público, privado ou sem fins lucrativos. Seu principal objetivo é apoiar as organizações a combaterem o suborno por meio de uma cultura de integridade, transparência e conformidade com as leis e regulamentações aplicáveis, com os requisitos definidos pela ISO 37001 e pela própria organização, por meio de políticas, procedimentos e controles adequados para gerenciar os riscos relativos ao suborno.

  • Qual o conceito de suborno da ISO 37001?

Na ISO 37001 o termo suborno é usado para se referir à “oferta, promessa, entrega, aceitação ou solicitação de uma vantagem indevida de qualquer valor, que pode ser financeiro ou não financeiro, direta ou indiretamente, e independente de posição, em violação às leis aplicáveis, como um incentivo ou recompensa para uma pessoa que está agindo ou deixando de agir, em relação ao desempenho das funções daquela pessoa”.

  • Principais Diretrizes:

Em síntese, a ISO 37001 requer que as organizações:

  • Compreendam as necessidades e expectativas dos clientes, acionistas, órgãos reguladores e de controle, fornecedores e da sociedade;
  • Realizem uma avaliação, com revisões regulares, a respeito dos riscos relativos ao suborno;
  • Obtenham o efetivo comprometimento da alta direção da organização;
  • Estruturem ações para contemplar os riscos de suborno e os objetivos antissuborno, incluindo os meios de como alcançá-los;
  • Determinem e forneçam recursos necessários para o estabelecimento, a implementação, a manutenção e melhoria contínua do sistema de gestão antissuborno, inclusive com recursos humanos especializados para a execução e comunicação dos procedimentos para toda a organização;
  • Planejem e implementem uma gestão de informações e controles para assegurar a eficácia do sistema de gestão antissuborno;
  • Realizem auditorias e monitoramentos internos constantes;
  • Estabeleçam procedimentos para prevenir a oferta, fornecimento ou a aceitação de presentes, hospitalidades, doações e benefícios similares, que se caracterizem como suborno[2];
  • Identifique as não conformidades e implementem as ações corretivas adequadas;
  • Busquem, continuamente, melhorar a pertinência, adequação e eficácia do sistema de gestão antissuborno.

Potenciais benefícios

  • Constrói uma relação de confiança junto ao mercado e agrega valor em relação a reputação da organização, o que lhe pode proporcionar um diferencial competitivo e um atrativo para os investidores;
  • Gerencia os riscos dos seus negócios, incluindo os relacionados a terceiros;
  • Identifica previamente os riscos, implementando os controles necessários e monitorando-os periodicamente;
  • Reconhecimento internacional importante, sobretudo, para organizações multinacionais;
  • Busca a melhoria contínua do sistema de gestão antissuborno e da conduta ética das organizações.

Aspectos de atenção

  • A ISO 37001 não alcança todos os atos lesivos previstos na Lei nº 12.846/2013, especialmente concernentes a lavagem de dinheiro, fraudes, cartéis e outros delitos anticompetitivos;
  • Diferentemente do Selo Pró-Ética que é baseado em pontuação, para a obtenção da certificação ISO 37001 será necessário cumprir todos os requisitos previstos na norma;
  • Uma vez que tem natureza de norma internacional alguns aspectos deverão ser compatibilizados com a legislação brasileira vigente;
  • Deverá haver cuidado e sensibilidade em sua aplicação a fim de não “burocratizar” em demasia os programas de compliance e a dinâmica das organizações.

Sem a pretensão de esgotar o tema, embora a conformidade com a ISO 37001 não possa assegurar que nenhum suborno ocorreu ou ocorrerá na organização, seguramente ela poderá indicar aos investidores, acionsitas, fornecedores e a sociedade que a organização está na direção certa de um comportamento mais ético, transparente e sustentável nos negócios.

Por fim, resta saber como as autoridades brasileiras interpretarão e reconhecerão a ISO 37001 na aplicaçção das sanções decorrentes da Lei nº 12.846/13, assim como se exigirão sua certificação nos próximos acordos de leniência, considerando que a ISO 19600 já serviu de parâmetro para essa finalidade.

* Presidente do IBDEE – Instituto Brasileiro de Direito e Ética Empresarial. Membro da Comissão de Estudo Especial Antissuborno da ABNT com o objetivo de adotar a ISO 37001 no Brasil. Head Legal e Compliance de multinacional em São Paulo.

[1] http://www.iso.org/iso/home/standards/management-standards/iso37001.htm

[2] Nesse sentido, recomendamos a cartilha desenvolvida pelo IBDEE “Orientações de Conduta para Relacionamento com o Setor Público: Brindes, Presentes e Hospitalidade”, disponível em:

http://www.ibdee.org.br/wp-content/uploads/2016/08/Regras-de-conduta-setor-Publico3.pdf

Compartilhe:

Compliance e os Pseudo-programas de Integridade

* Luiz Eduardo de Almeida
O termo compliance já se incorporou ao vocabulário. Significa estar em conformidade com as exigências éticas e legais, bem como com as políticas de cada negócio.
O processo pelo qual o termo compliance foi recentemente difundido está diretamente ligado às profundas mudanças de paradigmas no Brasil sobre o modo de relacionamento entre o setor privado e o setor público, apesar de compliance não ser algo tão novo e também não se resumir a esse relacionamento. Essas mudanças foram impulsionadas e, de certo modo, moldadas principalmente pelo julgamento do Mensalão, pela reforma da Lei de Lavagem de Dinheiro, pela Lei Anticorrupção e pela operação Lava Jato. Estar em conformidade com as exigências éticas e legais no modo de relacionamento com agentes do poder público, ou seja, compliance, é palavra de ordem.
As mudanças adotam como premissa que as relações entre o setor privado e os agentes públicos devem rechaçar qualquer prática que envolva corrupção. Essa premissa também não é uma novidade, pois corrupção já era definida, inclusive, como crime e como prática de improbidade administrativa. A novidade é a exigência de um novo modo de ver e revisar práticas comerciais muitas vezes tidas como normais e corriqueiras. Por exemplo, brindes, presentes e hospitalidades a agentes públicos, contratos firmados com pessoas relacionadas a agentes públicos, relações e favores por “amizade”, o correto cumprimento de obrigações regulatórias, atendimentos a fiscalizações, entre tantos outros pontos de contato entre agentes privados e agentes públicos, passam a ser pontos centrais de preocupações e cuidados.
Consequência desse modo de tratar o relacionamento público-privado é a mudança na rotina das empresas de todos os portes – da grande multinacional ao microempresário – nos relacionamentos com agentes públicos.
É necessário que as empresas criem mecanismos para identificar e prevenir possibilidades de desvios de conduta dos seus colaboradores, atualizem periodicamente as medidas as medidas de controle, e, sendo o caso, que sejam impostas medidas punitivas ao colaborador faltoso. Porém, essas medidas, que possuem aparente simplicidade e obviedade, revelam diversas dúvidas sobre como, em termos práticos, serão concretizadas, especialmente para que não seja realizado um verdadeiro engessamento desnecessário da atividade empresária.
Essas preocupações estão relacionadas com o desenvolvimento e funcionamento dos programas de integridade, ou seja, com um “conjunto de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades e na aplicação efetiva de códigos de ética e de conduta, políticas e diretrizes com objetivo de detectar e sanar desvios, fraudes, irregularidades e atos ilícitos praticados contra a administração pública, nacional ou estrangeira” (art. 41 do Decreto nº 8.420, de 18 de março de 2015).
O desenvolvimento dos programas de integridade necessariamente deve contar com a participação de várias áreas de empresa em razão da abrangência do assunto. Como serão tratados dos relacionamentos e do desenvolvimento de pessoas, o envolvimento do departamento de recursos humanos possui grande importância. Considerando a necessidade de segurança das informações digitais, o envolvimento do setor de tecnologia da informação (TI) ou informática também possui grande importância. Além disso, o departamento jurídico, o departamento regulatório e de legalizações, e o departamento comercial, também possuem papeis fundamentais e precisam estar engajados, sem prejuízo de identificar outros departamentos que, em razão do negócio e do risco envolvido, também devam colaborar.
Apesar da divulgação de informações – quase uma campanha – para convencer todos de que o desenvolvimento e a implementação dos programas de integridade são medidas simples, poucas vezes a prática corrobora a assertiva. Desenvolver e criar condições favoráveis e necessárias para programas de integridade, bem como implementa-los e assegurar o seu funcionamento, definitivamente, não é tarefa impossível, porém, também não é tão simples. É imprescindível a disposição em mudar, o apoio da alta direção e o conhecimento dos reais pontos de risco da atividade.
Em razão das dificuldades para o desenvolvimento e implementação dos programas de integridade por vezes são adotadas soluções meramente formais, chamadas equivocadamente de “soluções práticas”. Normalmente tais “soluções” começam com um pseudo-diagnóstico de riscos e com um pseudo-comprometimento da alta direção.
O diagnóstico de riscos é realizado para dar cumprimento ao disposto no parágrafo único do artigo 41 do Decreto 8.420/2.015, que determina que o programa de integridade deve ser estruturado, aplicado e atualizado de acordo com as características e riscos atuais das atividades de cada pessoa jurídica. Desse modo, o conhecimento da atividade, a identificação das regulações às quais está submetida, os pontos de contato com a administração pública nacional ou estrangeira, a existência ou não de relacionamentos com políticos ou com ex-funcionários públicos, a estrutura societária, os elementos contábeis, fiscais e tributários, são apenas alguns dos pontos básicos para a verificação dos riscos atuais das atividades da pessoa jurídica.
Porém, há diagnósticos realizados como simples cumprimento de uma etapa burocrática e que não enfrentam sequer os pontos acima indicados. Estes diagnósticos preparados como cumprimento de mera formalidade e, consequentemente, desconectados das reais características da atividade da pessoa jurídica são pseudo-diagnósticos, pois, apesar de parecerem um diagnóstico, em essência, nada revelam dos reais riscos envolvidos e, portanto, nada diagnosticam. Para que fique claro: um diagnóstico onde há indicações de diplomas legais hipoteticamente aplicáveis ao negócio é relevante, mas a análise deve ir além. Quando o diagnóstico simplesmente indica os pontos normativos e não os correlaciona com a atividade – pois ela não foi efetivamente retratada no diagnóstico –, nada acrescenta ao que legislador já obrigou.
O comprometimento da alta direção não é tecnicamente uma exigência normativa, mas, sim, um critério de avaliação do programa de integridade, quanto a sua existência e aplicação, para a dosimetria das sanções a serem aplicadas em processo administrativo de responsabilização – PAR (artigos 42, I e 5º, §4º, ambos do Decreto 8.420/2.105). Assim, há uma grande preocupação em demonstrar de modo inequívoco o apoio ao programa, que, obviamente, deve estar acompanhado da real intenção de efetivação e apoio ao programa. O comprometimento meramente formal da alta administração, desprovido da intenção e da determinação de medidas para concretizar o programa de integridade é um pseudo-comprometimento.
O produto da soma do fator pseudo-diagnóstico e do fator pseudo-comprometimento da alta direção inevitavelmente será um pseudo-programa de integridade.
Não é possível desenvolver um programa de integridade sem conhecer a atividade e os reais riscos aos quais está exposta. Sem conhecer tais riscos são criadas políticas e procedimentos meramente formais. Nesses documentos é comum localizar uma série de disposições que não se aplicam àquela pessoa jurídica e, principalmente, observar que eles deixam de tratar pontos extremamente relevantes para a atividade daquela pessoa jurídica.
De modo geral, os administradores que optam pelas “soluções mais práticas” nem sempre o fazem de modo consciente e sequer com a intenção de fraudar a lei. Normalmente estão orientados por concepções prévias que atualmente já não encontram espaço. Especialmente nos programas de integridade há uma concomitância de conceitos de direito privado – onde vige a obrigatoriedade de cumprir o que a lei determina e a liberdade de agir quando não há proibição – e de direito público – onde os agentes públicos sempre devem agir pautados por norma. Além disso, de modo geral, a lei obriga a ser honesto, criar mecanismos para que mantenha os colaboradores no caminho – acompanhando, revisando e fiscalizando –, e, caso ocorra um desvio, que sejam adotadas medidas punitivas após investigação interna ou externa (independente), dependendo do assunto. Ou seja, a pessoa jurídica deve desenvolver todas as medidas necessárias para a manutenção das condutas honestas. Não se trata simplesmente de cumprir um roteiro de procedimentos ou um check-list de providências. Não atentar a essa mudança de paradigmas expõe a alta direção a riscos administrativos, cíveis e penais, bem como coloca a atividade em risco, especialmente em razão de um provável risco de exposição reputacional que inevitavelmente afetará o desenvolvimento do negócio.
Em meio a inúmeras dúvidas, um ponto é certo: a adoção de soluções meramente formais não demonstra que a alta direção possui compromisso com práticas honestas e não se presta a cumprir as exigências da Lei 12.846/2.013 e do seu Decreto regulamentador. As mudanças de paradigmas criam desafios cuja superação é possível, viável e que certamente levará a atividade empresária e a própria sociedade a um rumo muito melhor, combatendo qualquer prática de corrupção e primando pela ética empresarial.

https://www.linkedin.com/pulse/compliance-e-os-pseudo-programas-de-integridade-almeida?trk=prof-post

* Associado do IBDEE. Doutor em Direito do Estado pela USP. Coordenador do curso de Extensão em Compliance pela EPD. Advogado em São Paulo.

Compartilhe: