Este não é um artigo contra o compliance. Pelo contrário: é uma defesa do compliance que funciona.
O problema não está nos profissionais de compliance que mapeiam riscos, estruturam políticas, alertam a liderança e tentam corrigir rotas. O problema está nas organizações que tratam esse trabalho como formalidade, ignoram seus alertas e, depois, tentam usar a política como escudo quando o risco vira crise.
Já vi empresas chegarem ao processo com tudo aparentemente em ordem. Política aprovada, código de conduta atualizado, canal de denúncia disponível, cláusulas padrão nos contratos e treinamento registrado em sistema. No papel, parecia proteção. Na prática, não era. É nesse intervalo entre documento e prática que o risco se instala.
O problema apareceu no detalhe que geralmente decide o caso: ninguém conseguiu demonstrar que aquela política tinha mudado a rotina da empresa. O contrato foi assinado sem revisão adequada. O fornecedor continuou sem monitoramento. A denúncia interna demorou a ser tratada. A área comercial assumiu uma obrigação que a operação não conseguia cumprir.
O compliance de papel ainda é uma armadilha comum. Ele dá sensação de organização, melhora a apresentação para auditoria e cria conforto interno. Mas, quando o problema chega ao regulador, ao auditor ou ao Judiciário, a pergunta muda. Não basta saber se a empresa tinha uma política. A pergunta passa a ser outra: ela era conhecida, aplicada, testada e levada a sério?
A atuação regulatória brasileira já aponta nessa direção. Em 2023, a ANPD aplicou sua primeira multa por descumprimento da LGPD, em caso que envolveu ausência de base legal para tratamento de dados, descumprimento de deveres regulatórios e falha no atendimento às solicitações da autoridade. O recado é claro: em matéria de governança, não basta parecer adequado; é preciso demonstrar conformidade efetiva.
No campo concorrencial, o CADE também trata programas de compliance de forma pragmática. Suas diretrizes admitem que um programa possa ser considerado como sinal de boa-fé ou fator de mitigação, mas isso depende de efetividade concreta, não da simples existência de um manual bem escrito.
É aí que muitas empresas se enganam.
Na gestão de contratos, por exemplo, a política pode prever revisão jurídica prévia. Mas, se a operação consegue assinar contratos relevantes por fora do fluxo, o risco continua inteiro. Pior: a política passa a mostrar que a empresa sabia qual deveria ser o procedimento correto.
Na cadeia de fornecedores, a homologação inicial pode estar bem documentada. Mas, se depois da contratação ninguém monitora execução, mudança societária, subcontratação, exposição trabalhista, fiscal, ambiental ou reputacional, a due diligence vira fotografia antiga. Serve para arquivo, não para governança.
No ambiente interno, o código de conduta pode tratar de assédio, conflito de interesses e uso de informação sensível. Mas, se o canal de denúncia não gera apuração confiável, se a resposta demora ou se determinadas lideranças nunca sofrem consequência, o documento deixa de reduzir risco. Ele apenas registra que a empresa conhecia o tema.
Na maior parte das organizações, a área de compliance sabe onde estão as fragilidades. Sabe quais políticas não saíram do papel, quais áreas resistem a controles, quais treinamentos viraram formalidade e quais riscos aparecem todo ano no relatório sem tratamento real.
O que frequentemente falta é mandato. E mandato, aqui, não é cargo no organograma. É acesso à decisão, orçamento mínimo, apoio da liderança e consequência real quando a regra é ignorada.
Também há uma dimensão cultural que não pode ser ignorada. Nenhum programa de compliance, por mais bem estruturado que seja, consegue prever todas as situações da rotina empresarial. Sempre haverá zonas cinzentas, pressão por resultado e decisões que não estarão descritas em uma política interna. É nesses momentos que a cultura mostra sua importância. Quando a organização leva compliance a sério, a decisão tende a respeitar o espírito da regra mesmo sem resposta pronta. Quando não leva, qualquer silêncio normativo vira espaço para acomodação do risco.
Sem apoio da alta administração, até o melhor compliance vira área de recomendação. Aponta o risco, registra o alerta, sugere correção e assiste ao negócio seguir como antes. Depois, quando o problema aparece, a empresa tenta usar a política como escudo. Nem sempre funciona.
Programa de compliance não se mede pela quantidade de documentos aprovados. Mede-se pela capacidade de influenciar decisões. Se a área não consegue impedir uma contratação arriscada, provocar revisão contratual, exigir correção de fornecedor, apurar uma denúncia relevante ou gerar consequência diante do descumprimento, talvez exista política. Mas ainda não existe governança.
A integração com o jurídico é decisiva nesse ponto. O jurídico não pode entrar apenas quando a crise já virou processo. Precisa participar antes: na revisão dos contratos, na estruturação dos fluxos, na matriz de risco, na apuração interna, na definição de evidências e na resposta ao regulador.
Porque, quando algo dá errado, a pergunta central raramente será “a empresa tinha política?”. A pergunta será outra: o que a empresa fez, concretamente, para que essa política fosse cumprida? Essa pergunta separa compliance formal de governança efetiva.
Uma política ignorada não protege. Em alguns casos, piora a leitura do problema, porque mostra que a empresa sabia qual conduta deveria adotar e, mesmo assim, não conseguiu transformar orientação em prática.
Compliance que funciona não é o que fica bonito na apresentação. É o que aparece na rotina.
Fonte: Jovem Pan
