Durante anos, os Programas de ComplianceSubstantivo advindo do verbo to comply (agir de acordo, cumprir, obedecer). Estado de estar de acordo com as diretrizes ou especificações estabelecidas pela lei ou regras, políticas e procedimentos de... foram estruturados para responder a uma pergunta relativamente simples: com quem estamos fazendo negócios?
A resposta era construída, em grande medida, por meio de checklists documentais, processos de background checkProcesso de busca por informações sobre uma pessoa jurídica ou pessoa física, em geral realizada por meio de consultas em banco de dados ou fontes públicas ou privadas. O objetivo..., KYC(KYC): “conheça seu cliente”. É uma estratégia para avaliar o risco do perfil de cada cliente antes da sua validação como cliente. É muito usado para a concessão de crédito..., KYS(KYS): “conheça seu fornecedor”. Essa prática normalmente é regulada por política interna, com critérios bem definidos para a contratação de fornecedores, acessando informações sobre eles. É muito importante cuidar em... e due diligenceInvestigação com o intuito de se conhecer melhor uma determinada instituição, verificando - se todas as informações disponíveis sobre ela geralmente para se avaliarem riscos de uma transação ou qualquer... voltados à identificação de passivos e à verificação da integridadeConjunto de escolhas que estejam em sintonia com as crenças pessoais e os valores da empresa, prezando pela ética nas tomadas de decisões. de terceiros, fornecedores críticos e parceiros comerciais.
Esse modelo continua relevante. Mas já não é suficiente.
A recente discussão sobre a possível designação de facções criminosas brasileiras como organizações terroristas pelos Estados Unidos revela uma transformação silenciosa, porém profunda, na gestão de riscos corporativos. O foco deixa de estar restrito aos terceiros tradicionalmente monitorados e passa a alcançar toda a cadeia de relacionamentos da organização, incluindo clientes, distribuidores, beneficiários finais, parceiros indiretos e estruturas econômicas aparentemente legítimas.
O riscoQuantificação e qualificação da incerteza, tanto no que diz respeito a perdas quanto aos ganhos, com relação aos acontecimentos planejados. É um desvio em relação ao esperado. É uma incerteza... já não está apenas nos terceiros diretos. Ele se espalha por toda a cadeia de relacionamentos da organização, em um verdadeiro efeito cascata.
Quando uma organização é classificada como terrorista por autoridades norte-americanas, os impactos ultrapassam fronteiras e produzem consequências que vão muito além da esfera penal.
Embora as sanções não se estendam automaticamente a todos os envolvidos, empresas que mantenham relações comerciais ou financeiras com estruturas vinculadas a essas organizações podem enfrentar restrições operacionais, dificuldades de acesso ao sistema financeiro, limitações para atuar em mercados internacionais, encerramento de relacionamentos bancários, aumento do escrutínio regulatório e relevantes danos reputacionais.
O maior desafio está justamente nessa indireção.
As organizações criminosas modernas não operam apenas na clandestinidade ou na ilegalidade visível. Elas utilizam empresas de fachada, estruturas societárias complexas, operadores financeiros, prestadores de serviços e negócios aparentemente regulares para movimentar recursos, ocultar beneficiários e expandir sua influência econômica e política.
Isso significa que uma empresa pode acreditar estar contratando um fornecedor legítimo, negociando com um cliente regular ou adquirindo produtos de origem lícita quando, na realidade, existe uma conexão oculta com estruturas criminosas.
Não se trata mais apenas de prevenir corrupçãoEtimologicamente, o termo corrupção surgiu a partir do latim corruptus, que significa o "ato de quebrar aos pedaços", ou seja, decompor e deteriorar algo. É o ato ou efeito de... ou garantir conformidade com a Lei AnticorrupçãoLei nº 12.846 / 2013): Conhecida como a Lei Anticorrupção e , no exterior , como The Clean Company Act ( Lei da Empresa Limpa ) promulgada em 1º de agosto.... O desafio passa a ser compreender quem efetivamente se beneficia das relações comerciais estabelecidas pela organização.
Essa transformação impacta diretamente a forma como os Programas de Compliance são concebidos e executados. Os pilares permanecem os mesmos. O que mudou foi a profundidade necessária para aplicá-los.
Na metodologia dos 10 pilares difundida pela LEC, continuam fundamentais o comprometimento da alta direção, a avaliação de riscosAvaliar a probabilidade e a severidade do dano. Probalidade x Impacto. Normalmente são avaliados em: baixo, médio, alto., os controles internosé um processo desenvolvido para proporcionar segurança razoável às operações, divulgação e conformidade. As atividades de controle são ações estabelecidas por meio de políticas e procedimentos que ajudam a garantir..., a due diligence, o monitoramento e os demais elementos que sustentam um programa efetivo de integridade.
O que surge agora é uma nova lente por meio da qual esses pilares precisarão ser interpretados.
A avaliação de riscos deverá incorporar ameaças relacionadas ao crime organizado, à lavagem de dinheiroÉ uma expressão utilizada popularmente para fazer referência às pessoas (ou empresas) que usam meios falsos para justificar o ganho de recursos ilícitos., ao financiamento do terrorismo, às sanções internacionais e à infiltração econômica.
Os controles internos precisarão contemplar sinais de alerta associados a beneficiários finais ocultos, estruturas societárias complexas, empresas de fachada e operações incompatíveis com a capacidade econômica declarada.
E a due diligence deixará de ser apenas uma ferramenta de validação cadastral para se tornar um instrumento de inteligência corporativa.
Mas calma. Não criemos pânico — diria um conhecido herói rubro-latino. O momento exige cautela, método e estratégia.
Na tentativa de se adequar rapidamente a essa nova realidade, um dos maiores erros que uma organização pode cometer é revisar simultaneamente toda a sua base de fornecedores, clientes e parceiros sem critérios claros de priorização. Programas construídos sob pressão costumam gerar custos elevados, baixa efetividade e enorme desgaste operacional.
O primeiro passo é revisitar o Programa de ComplianceNo Brasil também conhecido como "programa de conformidade” ou "programa de integridade" , é o modelo para estruturação e aplicação de ações dentro de uma organização visando o cumprimento das... e construir, em conjunto com as áreas de riscos, jurídico, compliance, suprimentos, finanças e negócios, uma matriz capaz de identificar onde estão as exposições mais relevantes.
Nem todos os relacionamentos apresentam o mesmo grau de risco. Nem todas as cadeias produtivas exigirão o mesmo nível de diligência.
Sem um plano estruturado, corre-se o risco de tentar analisar tudo ao mesmo tempo e não conseguir analisar nada com a profundidade necessária.
Em um segundo momento, mas com igual relevância, a própria due diligence precisará evoluir.
Em grande parte das organizações não reguladas, esse processo historicamente concentrou-se em fornecedores e parceiros comerciais. A análise costumava ocorrer no momento da contratação, complementada por monitoramentos periódicos, consultas a listas restritivas, pesquisas reputacionais, verificações cadastrais e levantamentos de antecedentes.
Esse modelo foi essencial para mitigar riscos de corrupção, fraudeDesvio de comportamento com a intenção de enganar terceiros e adquirir vantagens ilícitas, seja em relações pessoais ou comerciais. e conflitos de interesse. Mas o cenário atual exige uma abordagem significativamente mais ampla.
A análise passa a alcançar clientes, distribuidores, representantes comerciais, intermediários, beneficiários finais e, em determinados contextos, até fornecedores de fornecedores. O monitoramento deixa de ser episódico e passa a ser contínuo e baseado em risco.
Além da integridade e da reputação, entram definitivamente no radar temas como lavagem de dinheiro, financiamento do terrorismo, sanções internacionais, crime organizado e riscos indiretos da cadeia de valor.
A pergunta deixa de ser apenas “com quem fazemos negócios?” para se transformar em algo muito mais estratégico: “Quem se beneficia economicamente dessas relações comerciais?”
Essa mudança conduz inevitavelmente às discussões sobre beneficiários finais, estruturas societárias, fluxos financeiros e redes econômicas que permaneceram, por muito tempo, fora do radar de diversas organizações.
Talvez a principal inspiração para essa evolução venha dos programas de prevenção à lavagem de dinheiro(PLD): normas estabelecidas para prevenir comportamentos ilícitos dentro de uma organização, é uma forma que o governo e as principais instituições financeiras do país têm para tentar impedir o crime....
Instituições financeiras trabalham há décadas com conceitos como KYC, KYB, monitoramento contínuo e avaliação baseada em risco.
Na Colômbia, o SAGRILAFT expandiu essa lógica para diversos setores econômicos, exigindo que as organizações conheçam não apenas seus fornecedores, mas também clientes, contrapartes, beneficiários finais e demais estruturas de relacionamento.
A nova geração de due diligence não pode ser baseada apenas em documentos. Ela precisa ser baseada em inteligência.
Os questionários tradicionais tendem a evoluir para contemplar beneficiários finais, exposição geográfica, estruturas societárias complexas, subcontratações relevantes, mecanismos de prevenção à lavagem de dinheiro, exposição a sanções e fatores de risco relacionados à criminalidade organizada.
Mais importante do que coletar informações será compreender as conexões existentes entre elas.
E é justamente nesse ponto que a inteligência artificial passa a ocupar papel central.
Iniciativas como o Projeto Helene ganham relevância ao utilizar IA para identificar padrões, relacionamentos e anomalias que dificilmente seriam percebidos por análises exclusivamente manuais.
A tecnologia não substitui o julgamento humano. Mas amplia significativamente a capacidade das organizações de compreender suas cadeias de relacionamento e direcionar recursos para os riscos realmente relevantes.
Uma empresa pode possuir excelentes políticas internas, controles robustos e treinamentos exemplares. Ainda assim, sofrer impactos severos por falhas na avaliação de sua rede de conexões.
Talvez estejamos diante da maior transformação do compliance contemporâneo, quando os maiores riscos já não estão necessariamente dentro da organização, mas nas suas conexões.