Compliance de fachada expõe empresas a riscos que começam na alta direção

O debate público sobre integridade corporativa frequentemente parte de uma premissa imprecisa, que o Compliance existe para impedir ilícitos, mas não existe, nenhuma área de uma organização com capacidade de garantir que irregularidades jamais ocorrerão. Ilícitos são praticados por pessoas, em contextos organizacionais específicos, a partir de decisões tomadas. A função de Compliance não é garantidora de resultado, ela é estruturante do processo decisório.

O Decreto nº 11.129/2022, que regulamenta a Lei nº 12.846/2013, define o Programa de Integridade como o conjunto de mecanismos e procedimentos internos destinados à prevenção, detecção e remediação de irregularidades, com comprometimento da alta direção. Essa definição não descreve um departamento burocrático, mas um sistema inserido na arquitetura de governança.

A leitura técnica mais rigorosa desse modelo revela = que o Compliance não elimina risco, mas qualifica a decisão sobre ele

A gestão de riscos, conforme consagrada em modelos amplamente adotados no mercado, parte da premissa de que risco é inerente à atividade empresarial. O que a governança faz não é suprimir risco, mas estabelecer limites para sua assunção. Nesse contexto, a função de Compliance consiste em identificar riscos de integridade, analisá-los sob perspectiva normativa e reputacional e recomendar à alta administração que não tome determinadas decisões ou que as tome apenas sob condições mitigatórias adequadas.

A decisão final sempre pertence à alta direção e essa é a lógica da governança corporativa, já que quem detém poder decisório assume o risco correspondente. O papel do Compliance é inserir, nesse processo, uma camada técnica independente que permita que a decisão seja tomada de forma informada.

Nesse ponto a ilusão da delegação se torna evidente

Recentemente, tornou-se pública a declaração de um ex-diretor de Compliance de instituição financeira que afirmou ocupar o cargo “no papel”, sem acompanhar a rotina da área e sem possuir conhecimento técnico específico em Compliance ou formação jurídica. O dado mais relevante dessa declaração não é individual, é institucional.

Diretores não se nomeiam, são indicados pela alta administração. Se alguém é escolhido para liderar uma função de controle sem possuir qualificação mínima para compreender riscos regulatórios e jurídicos, essa escolha não é neutra, ela revela o grau de prioridade atribuído à integridade na estrutura decisória.

O Decreto nº 11.129/2022 é explícito ao exigir o comprometimento da alta direção com o Programa de Integridade. Esse comprometimento começa na escolha de quem ocupará a função responsável, e nomear alguém sem capacidade técnica para analisar riscos de integridade não é mero equívoco operacional, é sinalização cultural.

A alta administração define o tom do Compliance e se entendem o Compliance como instância estratégica de gestão de riscos, buscarão alguém com autonomia técnica, conhecimento normativo e capacidade de emitir recomendações que, eventualmente, contrariem interesses imediatos. Se, ao contrário, enxerga o Compliance como exigência regulatória a ser formalmente cumprida, tenderá a escolher alguém que não produza fricção.

Em muitos ambientes corporativos ainda se ouve que Compliance é “burocracia”, essa percepção não é acidental, ela decorre de uma cultura em que o controle é visto como obstáculo e não como instrumento de qualificação decisória. Nesse contexto, o perfil desejado para a função não é o do profissional que questiona, mas o do que válida.

Há uma dimensão pouco debatida nesse cenário: a conveniência organizacional do desconhecimento, onde é mais confortável para a alta administração quando não há recomendações formais de não prosseguir com determinada operação. É mais simples operar quando não há registro de divergência técnica, já que a ausência de fricção cria a sensação de fluidez decisória.

Mas essa fluidez pode ser ilusória. Quando o responsável pela área admite não acompanhar a rotina do departamento que formalmente lidera e não possuir conhecimento técnico para exercer juízo crítico, a função deixa de existir materialmente. O que permanece é a aparência, e aparência não qualifica decisão.

A Controladoria-Geral da União (CGU), ao avaliar Programas de Integridade, não se limita a verificar a existência de políticas ou códigos, ela analisa autonomia, independência, recursos adequados e efetividade da atuação. Efetividade significa capacidade de identificar riscos previamente à decisão, formalizar recomendações e reportar adequadamente à alta administração.

Se não há recomendação técnica fundamentada, não há como demonstrar que a decisão foi tomada de forma informada

O ponto central não é afirmar que o Compliance falhou em impedir ilícitos, a questão é anterior: a organização estruturou um processo decisório que permitisse a análise técnica de riscos antes da tomada de decisão?

Quando a função é ocupada por alguém sem qualificação para compreender a complexidade regulatória envolvida, a resposta tende a ser negativa. E, nesse caso, a responsabilidade não se encerra no indivíduo que ocupava o cargo, ela alcança quem o indicou, quem aprovou sua nomeação e quem se beneficiou da aparência de controle.

A Lei nº 12.846/2013 estabelece responsabilidade objetiva da pessoa jurídica por atos lesivos à administração pública. Ao mesmo tempo, não exclui a responsabilidade individual de administradores quando houver dolo ou culpa. A estruturação inadequada do sistema de integridade pode, em determinadas circunstâncias, ser interpretada como negligência.

Nomear alguém sem competência técnica para função de controle e, ainda assim, sustentar a existência de um Programa de Integridade efetivo, aproxima-se perigosamente da simulação institucional. Não se trata apenas de falha de gestão, trata-se de esvaziamento da lógica de governança.

A decisão empresarial sempre será da alta direção, essa prerrogativa é inerente ao cargo, mas a qualidade dessa decisão depende das informações e recomendações que a antecedem. Se a área de Compliance não possui autonomia ou conhecimento para recomendar a não realização de determinada operação quando o risco é elevado, a decisão deixa de ser qualificada.

A provocação que precisa ser feita é simples e incômoda: a organização quer conhecer seus riscos ou quer apenas confirmar decisões já tomadas? Se o Compliance é estruturado para aceitar tudo o que lhe é apresentado, ele não está gerindo risco, está legitimando escolhas.

Governança, em seu sentido mais rigoroso, é coerência entre poder, informação e responsabilidade. Poder sem informação qualificada produz decisões frágeis. Informação sem responsabilidade produz relatórios ineficazes. Responsabilidade sem autonomia produz silêncio.

A responsabilidade institucional pela estruturação do Compliance não se transfere, começa na alta direção, que define o perfil da função, garante sua autonomia e tolera sua fricção. Quando a liderança opta por um programa meramente formal, assume também o risco correspondente.

Sobre Patricia Punder

Partner e fundadora do escritório Punder Advogados no modelo de negócios “Boutique”, une excelência técnica, visão estratégica e integridade inegociável na advocacia. www.punder.adv.br

- Advogada, com 17 anos dedicados ao Compliance;

- Atuação nacional, América Latina e mercados emergentes;

- Reconhecida como referência em Compliance, LGPD e ESG;

- Artigos publicados, entrevistas e citação em matérias de veículos renomados, como Carta Capital, Estadão, Revista Veja, Exame, Estado de Minas, entre outros, tanto nacionais quanto setorizados;

- Nomeada como perita judicial no caso Americanas;

- Professora na FIA/USP, UFSCAR, LEC e Tecnológico de Monterrey;

- Certificações internacionais em compliance (George Whashington Law University, Fordham University e ECOA);

- Coautora de quatro livros de referência em compliance e governança;

- Autora da obra “Compliance, LGPD, Gestão de Crises e ESG – Tudo junto e misturado – 2023, Arraeseditora.