por Igor Estrada Gouvêa
Entra em vigor nesta semana a Lei 12.846, conhecida como “Lei Anticorrupção”, a qual prevê pesadas sanções às empresas que realizarem atos lesivos à administração pública, as quais poderão ter sua saúde financeira afetada com multas de até 20% do faturamento bruto. Além dessa severa punição, a organização condenada ficará proibida de receber incentivos ou financiamentos públicos e até poderá ter suas atividades suspensas. Entre as condutas ilícitas previstas na lei estão o oferecimento de vantagem indevida a agente público ou a utilização de “laranjas” para ocultar o real beneficiário desses atos; a prática de fraudes em licitações e contratos com a administração pública.
Ora, uma vez que os ilícitos acima mencionados já são crimes previstos no arcabouço legal vigente, qual a grande novidade? O que muda com a Lei 12.846 é que pessoas jurídicas serão responsabilizadas objetivamente - isto é, independente de culpa ou dolo. As companhias passarão a ser responsabilizadas pelo que acontece entre seus representantes (inclusive terceiros, como consultores e despachantes) e órgãos estatais. Os famosos “eu não sabia” ou “tratou-se de uma conduta individual do colaborador” não servirão como atenuantes.
Outra inovação da lei é prever que a existência de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades e a aplicação efetiva de códigos de ética e de conduta serão considerados como atuantes na aplicação de eventuais sanções.
Ou seja, a mensagem da lei é clara: cabe as empresas implementarem mecanismos para impedir o pagamento de propinas e outros atos lesivos. Por esse motivo, é notório que muitas companhias busquem implantar ou fortalecer estruturas decontrole interno, compliance e auditoria.
Porém, alguns cuidados devem ser tomados: a estrutura de governança e a alta administração da organização devem estabelecer uma diretriz clara sobre a importância do controle interno, inclusive das normas de conduta esperadas. É papel da administração reforçar essas expectativas nos vários níveis da organização, especialmente por meio de um exemplo de conduta e incentivos àpráticas éticas, com a aplicação de penalidades de modo consistente. Ao fortalecer a integridade e os valores éticos da organização, serão criadas bases sólidas para a construção de um sistema de controle interno efetivo.
A área responsável pelo programa de compliance também deve ter os recursos e a autonomia necessária para abranger todos os processos – não pode haver “portas fechadas”. Reporte direto aos órgãos de governança – como o comitê de auditoria – e apoio irrestrito dos mesmos ao programa são fundamentais. Por exemplo: criar um canal de denuncias não é difícil. Porém, assegurar que os fatos espinhosos sejam devidamente apurados exige uma estrutura robusta de governança com um compromisso claro e inequívoco da alta administração.
Os programas de conformidade devem ser feitos sob medida, adequados aos os riscos e necessidades específicos de cada empresa. Uma boa avaliação dosriscos inerentes ao negócio e processos, além de reduzir a chance de problemas permite racionalizar a utilização dos recursos do programa, focando, controles, treinamentos e monitoramentos nos aspectos mais relevantes.
É essencial alavancar a utilização de tecnologia: técnicas de monitoramento contínuo de controles – análise automática de bases de dados para identificação de red flags - podem aumentar sensivelmente a efetividade do programa, com custos decrescentes. Sinergias com os projetos de auditoria contínua das áreas de auditoria interna devem ser exploradas.
Auditorias do Programa de Compliance devem ser realizas periodicamente para avaliar sua efetividade. Enquanto não há definição pelo Poder Executivo federal dos parâmetros de avaliação que devem ser aplicados – o que gera incerteza regulatória e prejudica a adaptação das empresas à lei, uma alternativa é utilizar como guidance as diretrizes dos reguladores americanos, como o documento “A Resource Guide to the U.S. Foreign Corrupt Practices Act”, que identifica os pilares considerados como fatores essenciais para um programa de compliance eficiente.
É importante também ressaltar que, embora as melhores práticas de governança recomendem a adoção de estruturas segregadas de compliance e auditoria interna, a perícia do auditor interno em avaliar riscos e em compreender as conexõesentre riscos e governança, comprova sua qualificação para atuar como um defensor e até mesmo como gestor do programa de compliance. Isso é valido especialmente nos primeiros estágios da implantação do programa de compliance e em empresas com estrutura de governança enxuta.
Nesse caso, porém, a objetividade da auditoria interna em prover serviços de avaliação do programa de Compliance pode ser comprometida e a avaliação do programa deve ser feita por terceiro escolhido pelos órgãos de governança da empresa, de modo a preservar o alinhamento às “Normas Internacionais para a Prática Profissional de Auditoria Interna” do The Institute of Internal Auditors (IIA).
Cabe aos órgãos de governança da organização avaliarem o modelo mais apropriado ao seu porte e complexidade. Deve-se ter sempre em mente que uma estrutura adequada de auditoria interna e compliance vai muito além do atendimento a uma recomendação regulatória: uma auditoria interna moderna – alinhada às melhores práticas internacionais – é um investimento que agrega valor ao negócio; contribuí diretamente para o aumento do lucro e para minimizar o risco de perdas e danos, inclusive à imagem da organização, a qual poderá ser manchada de modo relevante em caso de condenação pela Lei Anticorrupção.
Igor Estrada Gouvêa é diretor de certificações do Instituto dos Auditores Interno do Brasil (IIA Brasil). Em2010, obteve a maior pontuação em todo o mundo nos exames da certificação CIA – Certified Internal Auditors, a mais respeitada da profissão no planeta e concedida pelo The Institute of Internal Auditors.