Em 1o. de junho de 2020, o Departamento de Justiça dos Estados Unidos (DOJ) atualizou o seu Guia para a Avaliação de Programas de Compliance Corporativos (Guia). Ao fazê-lo, o DOJ elevou novamente as suas expectativas nessa área. Apesar dos desafios para algumas empresas, principalmente no contexto da crise gerada pela pandemia, a manutenção de um programa de compliance efetivo se faz ainda mais necessária neste momento. A seguir, apresentamos uma visão geral do Guia e compartilhamos algumas recomendações para que empresas protejam seus programas de compliance nos próximos meses.
O Guia orienta decisões importantes do DOJ, como a persecução ou a resolução de um caso, as penalidades aplicáveis e as obrigações de compliance a serem impostas sobre uma empresa no contexto de um possível acordo (como, por exemplo, a necessidade de um monitor externo). A atualização do Guia não promove mudanças radicais, mas incorpora referências importantes sobre as melhores práticas de compliance e informa ao público o que as autoridades americanas esperam das empresas sob a sua jurisdição.
O Guia gira em torno de perguntas que os procuradores americanos devem postular sobre o programa de compliance de uma empresa sob investigação, de forma a avaliar a sua adequação tanto no momento em que a suposta irregularidade ocorreu, quanto posteriormente, quando o DOJ decide sobre os rumos da persecução e resolução do caso.
O DOJ reconhece que não existe um formato único para programas de compliance. Cada programa deve ser individualizado e adaptado ao perfil e aos riscos específicos de cada empresa. Na estruturação e implementação de um programa, as empresas devem, portanto, considerar fatores como o seu porte e setor, as jurisdições em que atuam, e a extensão e a natureza das suas interações com órgãos e funcionários públicos.
De acordo com o Guia, o DOJ deve avaliar se um programa de compliance (i) é bem estruturado, (ii) é aplicado de forma séria e efetiva e (iii) funciona, na prática.
Quanto à estruturação do programa, o Guia determina que o DOJ aprecie as avaliações de riscos subjacentes conduzidas pelas empresas, as suas políticas e procedimentos de compliance, os treinamentos e as comunicações sobre o tema, a existência de um canal de denúncias e de procedimentos para a sua apuração, os cuidados tomados nos relacionamentos com terceiros e a adoção de medidas de compliance apropriadas no contexto de operações societárias.
Quanto à efetividade e a seriedade da aplicação do programa, o Guia instrui o DOJ a avaliar se o departamento responsável na empresa dispõe dos recursos e da autoridade necessários para cumprir a sua missão. Isso inclui, por exemplo, o comprometimento de líderes e executivos em posições relevantes, a autonomia e o orçamento do programa, e a existência de incentivos e punições para o cumprimento ou a violação das regras aplicáveis.
Para determinar se um programa funciona, de fato, o Guia recomenda que o DOJ se atente para fatores como a existência de mecanismos para o seu contínuo aprimoramento, a condução de testes e revisões periódicas, o papel do departamento de auditoria interna, e os procedimentos para a apuração de alegações de conduta indevida e sua remediação. No entanto, o Guia explica, numa ressalva importante, que a identificação de conduta indevida não indica, por si só, que um programa falhou ou era ineficaz.
De forma mais ampla, a versão atualizada do Guia - cujo conteúdo foi incorporado pela segunda edição do guia do DOJ e da Comissão de Valores Mobiliários americana (SEC) ao Foreign Corrupt Practices Act (FCPA), a principal lei anticorrupção dos Estados Unidos -, ressalta a importância dos seguintes fatores:
- A compreensão das circunstâncias particulares de cada empresa e o seu impacto sobre a estruturação e a evolução dos programas de compliance;
- O uso de dados e métricas por empresas na estruturação, implementação, revisão e operacionalização dos programas de compliance;
- A revisão periódica de avaliações de risco e a incorporação de "lições aprendidas" na atualização dos programas de compliance;
- O cuidado no manejo de relacionamentos com terceiros, inclusive após a sua contratação e durante a execução do contrato em questão; e
- No contexto de uma operação de aquisição, a rápida incorporação do programa de compliance e dos controles internos da adquirente pela adquirida, assim como a condução de uma auditoria na adquirida após o fechamento do negócio.
Além da atualização do Guia, a pandemia impactou a forma pela qual as empresas interagem com os seus funcionários, parceiros comerciais e a administração pública. A despeito das dificuldades impostas pelos novos tempos, empresas que consigam tomar as medidas necessárias para salvaguardar os seus programas de compliance tendem a estar em melhor posição para enfrentar futuros desafios, como possíveis questionamentos das autoridades. Compartilhamos abaixo algumas recomendações nesse sentido.
Em primeiro lugar, empresas devem atualizar as suas avaliações de riscos e revisar as suas políticas, procedimentos e controles de compliance, conforme necessário. Um programa de compliance efetivo deve ser estruturado de acordo com uma avaliação de risco adequada e atualizada. Em vista da pandemia, em muitos casos, avaliações de risco anteriores já não condizem com a realidade atual e devem, portanto, ser refeitas, seguidas de ajustes pertinentes.
Em segundo lugar, empresas devem ter cautela em tratativas e negócios com parceiros comerciais e prestadores de serviços, principalmente aqueles que são novos ou que as representam perante órgãos e agentes públicos. No contexto atual, diversas empresas sairão em busca de novos fornecedores, clientes e parceiros, por vezes, de forma emergencial, remotamente ou em novas jurisdições. Empresas que atuam fora do Brasil também poderão ter de recorrer a consultores ou a outros prestadores de serviço para compreender e se adaptar a novos cenários. Na medida em que podem ser responsabilizadas pela conduta desses terceiros, essas empresas devem conduzir procedimentos de due diligence em suas contrapartes antes da assinatura de contratos, e aprofundá-los posteriormente, se necessário. Além disso, devem prever contratualmente a possibilidade de rescisão se a due diligence aprofundada detectar problemas ou se houver suspeita crível de conduta indevida no curso do relacionamento, bem como monitorar a atuação das contrapartes que interagem com a administração pública durante o contrato.
Em terceiro lugar, empresas devem antever e se preparar para maiores demandas sobre os seus departamentos de compliance. Por exemplo, crises econômicas que resultam em demissões ou cortes de salários costumam resultar no aumento da quantidade de denúncias de whistleblowers.
Em quarto lugar, líderes empresariais devem comunicar aos seus funcionários, prestadores de serviços e parceiros a importância do cumprimento das leis e das regras de compliance, mesmo no contexto da pandemia, e expressar claramente o seu apoio ao departamento de compliance e às suas iniciativas.
Em quinto lugar, empresas devem focar em tarefas que podem ser executadas de forma remota, mesmo em confinamento, como treinamentos online, revisões de políticas de compliance e procedimentos de due diligence.
Em sexto lugar, empresas devem enfrentar questões urgentes, como alegações de conduta indevida em curso, que devem ser interrompidas imediatamente, ou a condução de procedimentos de due diligence antes de uma possível aquisição.
E por fim, empresas devem documentar esforços relacionados aos seus programas compliance, como os fundamentos de decisões sobre a alocação de recursos, as razões para atrasos ou dificuldades no cumprimento de certas tarefas e os planos para solucioná-los, e detalhes sobre as medidas efetivamente implementadas durante o período.
*David A. O'Neil, Andrew M. Levine e Daniel Aun são membros da equipe de White Collar & Regulatory Defense do escritório de advocacia internacional Debevoise & Plimpton LLP, nos Estados Unidos, e atuam na condução de investigações internas, na representação e defesa de pessoas físicas e jurídicas perante as autoridades americanas, e em temas de compliance e gestão de crises.