aula4 Proteção e Governança de Dados

Prévia do material em texto

AULA 4 
PROTEÇÃO E GOVERNANÇA 
DE DADOS 
Prof. Daniel Freitas 
2 
TEMA 1 – IMPLANTANDO O COMPLIANCE DE DADOS 
As últimas aulas contextualizaram a importância do tema da proteção da 
privacidade e dos dados pessoais e apresentaram a importância de um bom 
programa de boas práticas e governança para implantação da proteção exigida 
legalmente. Anteriormente, aprendemos um pouco acerca dos programas de 
compliance, ferramenta utilizada no ambiente público e privado para implantação 
de regras de conformidade e integridade, com valores éticos e morais, e da própria 
legislação existente, em diversos âmbitos empresariais, como licitações, direito 
ambiental, trabalhista etc. 
Embora, em geral, os programas de compliance deem ênfase a políticas 
anticorrupção e defesa da concorrência, um programa desta espécie deve ser 
adotado sempre que verificado um risco razoável de violação à legislação ou 
possibilidade de condutas antiéticas, estabelecendo valores e padrões de 
comportamento específicos para a empresa promotora. 
É imprescindível a criação de sistemas de vigilância, supervisão e 
investigação sobre as atividades da sociedade, de modo a assegurar o respeito 
às obrigações legais e possibilitar a intervenção adequada diante da identificação 
de problemas e ameaças. Ainda, é primordial o aprendizado acerca da 
implementação de um adequado e abrangente programa de integridade em 
proteção de dados. 
Como estudamos, os programas de compliance têm o objetivo de fazer com 
que as empresas foquem em aumentar o nível de qualidade dos processos, 
produtos ou serviços existentes e também de comportamentos. Em tese, são 
programas voluntários (alguns mercados específicos como o bancário e o 
farmacêutico podem ter ações mandatórias) e, portanto, não há nenhuma norma 
ou legislação pátria que exija a implementação do programa por empresas 
privadas. 
Aliás, uma exceção pode ser observada nos casos em que se exige o 
programa implantado em empresas que participam de processos de licitação, 
como ocorre no Estado do Rio de Janeiro. Também observam-se diversas 
empresas multinacionais sujeitas a normas de outros países cuja existência de 
programas de integridade é obrigatória (empresas sujeitas ao FCPA – EUA, ou ao 
UK Bribery Act). 
 
 
3 
Assim, implementar um programa de compliance é um forte mecanismo de 
proteção empresarial. Nesse caso, os objetivos éticos sobrepõem-se a objetivos 
financeiros, e cada indivíduo, pessoa física ou jurídica, compromete-se com as 
normas internas de compliance. Também não deixa de ser uma forma de se 
imputar à empresa um autopoliciamento, já que o programa servirá como controle 
interno para monitoramento e aderência das normas internas e externas por parte 
de seus funcionários. Pode, ainda, ser utilizado como controle do ambiente de 
trabalho, evitando situações que possam eventualmente reduzir a qualidade de 
trabalho e atrair consideráveis riscos legais e empresariais. 
Em síntese, compliance não trata apenas de cumprir e obedecer leis, mas 
seu alcance deve ser compreendido de forma ampla e sistemática como um 
instrumento de mitigação de riscos, preservação de valores éticos e de 
sustentabilidade corporativa, e preservação e continuidade dos negócios no 
interesse dos stakeholders (partes interessadas). 
Os programas de compliance exigem investimentos, como tempo e 
dinheiro, todavia, o retorno será garantido porque serão efetivos no seguinte 
sentido: 
 auxiliam a análise mais acurada do comportamento dos funcionários; 
 ajudam a aumentar e prevenir atos ilícitos ou antiéticos; 
 estimulam a rápida reação em situações críticas de forma eficaz e eficiente; 
 melhoram a qualidade, eficiência e consistência dos serviços; 
 transmitem segurança aos funcionários, para que possam relatar 
problemas e esperar investigações e ações corretivas; 
 ajudam na melhora da comunicação interna; 
 criam processos que permitem a imediata e profunda investigação de 
acusações; 
 apresentam compromisso da empresa com conduta ética e de 
responsabilidade corporativa; 
 minimizam perdas financeiras, sejam relativas às indenizações, impostos e 
eventuais multas a serem aplicadas; 
 ajudam a consolidar ou melhorar a reputação da empresa em relação à 
integridade e qualidade, aumentando ainda sua competividade no 
mercado. 
 
 
 
4 
Em suma, Bertoccelli (2019, p. 39) aponta que o programa de compliance: 
integra um sistema complexo e organizado de procedimento de controle 
de riscos e preservação de valores intangíveis que deve ser coerente 
com a estrutura societária, o compromisso efetivo da sua liderança e 
estratégia da empresa, como elemento, cuja adoção resulta na criação 
de um ambiente de segurança jurídica e confiança indispensável para a 
boa tomada de decisão. 
Com a decisão da empresa por sua implantação, deve ser escolhido o 
profissional responsável pelo compliance internamente, que trabalhará com uma 
equipe ou estrutura terceirizada de implantação das novas políticas. Sendo assim, 
um bom programa de compliance poderá apresentar os seguintes elementos 
(extraídos de guidelines, como CGU e CADE): 
I. Análise do ambiente interno (identificação): é a base do programa, que 
ocorre antes de sua implementação efetiva. Informa as características 
principais da empresa, funcionários e atividade exercida, nível de 
integridade, valores éticos difundidos, além do padrão de recursos 
humanos adotados. 
II. Análise dos riscos: traça o risco e as possibilidades de sua ocorrência. O 
mapeamento dos riscos consiste na identificação dos eventos possíveis de 
causar efeitos problemáticos relacionados à atividade estabelecida. Esse 
mapeamento deverá ser realizado à luz das obrigações da atividade, de 
modo que a atividade de compliance também se submete às leis, 
regulamentações e entendimentos harmônicos jurisprudenciais. Aqui já se 
pode vislumbrar o leque de atividades da empresa que envolvem 
recebimento e tratamento de dados de terceiros. Tal análise deve se dar 
em conjunto com o setor pertinente e o funcionário designado para tais 
cuidados, nos termos da Lei Geral de Proteção de Dados (DPO – Data 
Protection Officer). 
III. Comprometimento da alta direção: o sucesso ou fracasso de um 
programa de compliance depende do “número um” da organização (CEO, 
dono, presidente ou outra posição equivalente). A liderança ocupa posição 
de destaque desde a introdução do programa, já que, por seu exemplo, o 
compliance se instala na organização como um todo. 
IV. Elaboração de documentos escritos: elaboração de documentos de 
referência ao programa. É importante a redação do código de conduta – 
documento genérico que concentra os valores éticos que servem como 
 
 
5 
base para a empresa, além de sua missão; e do código de procedimentos, 
que define a atuação concreta da empresa para cumprir o código de 
conduta. Tais códigos deverão contemplar as atividades empresariais que 
envolvem coleta, manuseio, tratamento e as demais práticas que 
manipulam dados, sejam amplos ou sensíveis. Deverão ser mencionadas 
as atribuições de cada setor, seus responsáveis, a forma de proteção e 
guarda dos dados tratados, com as sanções pertinentes pela má utilização. 
V. Canais de denúncia e sistemas de premiação: meios de comunicação 
interna estabelecidos na entidade para que os funcionários ou terceiros 
possam denunciar irregularidades cometidas no âmbito da empresa. 
Fundam-se em pressupostos básicos de anonimato e inexistência de 
represália aos denunciantes. 
VI. Procedimentos sancionatórios: procedimentos estabelecidos 
previamente para aplicação de sanções, após apuração de irregularidades. 
VII. Aplicação de um setor efetivo de comunicação, treinamento e 
sensibilização: os códigos elaborados devem ser difundidos para as 
partes internas e externas da empresa, sendo necessário que os sujeitos 
que negociam com ela (fornecedores, clientes) tenham conhecimentode 
seu conteúdo. 
VIII. Avaliação, monitoramento e auditoria para assegurar a efetividade do 
programa: a efetividade depende da constante monitoração, análise e 
avaliação do programa, sendo importante que haja um controle e 
verificação de seu funcionamento concreto, feito de preferência por 
auditores externos independentes. 
IX. Aplicação do programa com fornecedores e prestadores de serviços: 
a pessoa jurídica deve preocupar-se com seus parceiros comerciais e 
averiguar se eles também mantêm regras de proteção a valores éticos e 
integridade. 
Especificamente em relação à proteção de dados, é imprescindível que 
as partes envolvidas no processo de implementação das regras de integridade 
tenham conhecimento das regras citadas anteriormente, em especial, a LGPD e 
a GDPR (nos casos que envolvem negociações com a comunidade europeia). A 
atenção minuciosa deve se dar em toda espécie de coleta de dados, na portaria 
da empresa, no acesso à própria página virtual, ou no cadastro de compras, 
fornecedores, clientes, alvos de propostas de marketing etc. 
 
 
6 
Como já mencionado, é importante que seja estabelecido no código de 
conduta da empresa quais serão as medidas adotadas para se prevenir, no 
mínimo: o vazamento de informações, a perda de dados e a adulteração de 
cadastros. É também imprescindível a elaboração de um código de procedimentos 
que seja adotado nas negociações com terceiros, visando atender a todas as 
obrigações. 
Nos referidos códigos, de maneira escrita, deverão constar, entre outros 
possíveis, os seguintes deveres: 
 Dever de identificação (know your client): a exemplo do que ocorre na 
Lei n. 9613/98 – que dispõe sobre os crimes de lavagem de dinheiro (art. 
10, I), as empresas e instituições deverão identificar formalmente todas as 
pessoas com as quais se relacionam. Isso pode-se dar por meio de fichas 
cadastrais e documentos, os quais devem sempre estar atualizados. Com 
esse expediente, permite-se identificar com quem se está travando 
determinada relação negocial. Além da identificação do cliente, é preciso 
que seja realizada a identificação dos demais sujeitos que participam da 
negociação (procurador, destinatário final), de forma a respeitar a 
legislação de proteção de dados. 
 Dever de diligência (due dilligence): visa aprofundar os aspectos 
negociais e pessoais do cliente, pois, além de se conhecer o cliente, é 
necessário também conhecer a atividade por ele exercida e a finalidade da 
realização de determinada operação. Deve ser cumprido de acordo com o 
grau de risco que o sujeito e a atividade exercida oferecem. Ex.: visita 
pessoal à sede da empresa e elaboração de um relatório por escrito para 
que fiquem documentadas e arquivadas as observações formuladas. 
 Dever de registro e consentimento: registro das operações, sejam elas 
efetivamente realizadas ou somente propostas, com o devido 
consentimento da parte daquele que concede informações. Ex.: 
identificação da data de inserção de dados pessoais, atividades envolvidas 
com o cadastro, como finalidade e utilização, setores autorizados etc. 
 Dever de exame: análise da suspeição ou não da operação realizada, 
atentando-se para operações com indicativos que possam configurar, por 
exemplo, fraudes em licitações ou lavagem de ativos, vazamento potencial 
de dados, repasse indevido de informações a terceiros. A detecção das 
operações suspeitas pode se dar manualmente, pelo funcionário 
 
 
7 
responsável pelo programa de compliance, ou, ainda, de forma automática, 
por meio de sistemas automatizados de alerta. Constituem operações 
taxativamente suspeitas aquelas previstas em resoluções do Conselho de 
Controle de Atividades Financeiras (COAF). Já as operações suspeitas não 
catalogadas tratam-se daquelas suspeitas por suas características, como 
partes envolvidas, valores, forma de realização, instrumentos utilizados ou 
falta de fundamento econômico ou legal. 
 Dever de comunicação: intrinsicamente relacionado ao dever de exame. 
Isso porque, uma vez que o sujeito tenha realizado o dever de exame e 
identificado alguma operação suspeita, estará obrigado a informar o fato ao 
COAF ou ao órgão regulador próprio (prática já adotada pelos profissionais 
da contabilidade anualmente em demonstração criada para tal finalidade). 
 Dever de conservação: dever que os sujeitos obrigados por lei têm de 
conservarem documentos que comprovem o cumprimento dos deveres de 
identificação, diligência e registro. 
 Dever de sigilo: comunicações a órgãos externos (COAF) e outras 
entidades, quando permitidas (ou determinadas) por lei, devem ser 
sigilosas, o que implica ausência de informação ao cliente. Isso porque é 
claro que, se o cliente estiver realizando uma operação indevida, sua 
comunicação poderá comprometer a tomada de medidas pelo órgão 
competente. 
 Dever de colaboração: os sujeitos internos obrigados devem atender às 
recomendações, de modo a auxiliarem, no que for possível, na elucidação 
dos fatos e prevenção da lavagem. 
 Dever de recusa: caso o cliente se recuse a prestar todas as informações 
necessárias, deverá a empresa recusar-se a realizar o negócio? Não, 
desde que o dever de recusa seja também informado ao órgão regulatório. 
 Dever de abstenção: interrupção da relação de negócios com o cliente 
quando o sujeito detectar indícios de práticas ilícitas. Difere-se da recusa 
porque, nesse caso, não estão presentes ou não foram fornecidos os 
elementos idôneos, para modo de identificação. 
Em suma, a implantação de um programa de compliance é um trabalho 
minucioso e profissional, sendo que seus encarregados devem ter uma visão 
holística do negócio, da legislação e do mercado para que o programa tenha a 
devida eficácia. 
 
 
8 
TEMA 2 – O COMPLIANCE OFFICER 
O Decreto n. 8420/2015, que regulamentou a Lei n. 12846, em seu art. 42, 
IX, trouxe, pela primeira vez no ordenamento brasileiro, a figura do responsável 
pela aplicação do programa de integridade, conhecido como compliance officer. A 
figura é diferente daquela do DPO – Data Protection Officer, oriunda da GDPR – 
General Data Protection Regulation, da Europa, criada sob o nome encarregado, 
no art. 5o, VIII, da Lei 13709/2018. 
Não obstante, o agente de compliance ou compliance officer exerce um 
importante papel dentro da empresa, estruturante do programa de integridade. É 
um profissional dotado de expertise técnica e de gestão, capaz de avaliar os riscos 
internos e externos da empresa, com o objetivo de prevenir e minimizar os riscos 
de uma responsabilidade legal na esfera judicial ou administrativa. Trata-se do 
principal gestor do programa, por isso, além de independência, é importante que 
o profissional tenha autonomia e certo grau de estabilidade, evitando, assim, que 
sua atuação seja limitada pelas possíveis represálias que teme sofrer. 
Não há uma formação acadêmica determinada para o compliance officer. 
Poderá ser advogado, engenheiro, administrador, economista, entre outras 
graduações. Todavia, é imprescindível que tenha conhecimentos multi e 
interdisciplinares, e atue de forma enérgica o suficiente para salvaguardar a 
aplicação das regras e, ao mesmo tempo, de forma cordial e persuasiva, posto 
que é necessário convencer as pessoas. 
Para que se mantenha a boa governança, é também necessária a 
existência de um comitê de compliance, estruturado para discutir os temas que 
surgem e também dar o apoio necessário ao compliance officer, incentivando-o a 
implementar todas as medidas necessárias. Além disso, o agente de compliance 
deverá se reportar diretamente ao cargo mais alto da corporação, seja o 
proprietário, conselho de administração, presidente etc. 
Resumidamente, o profissional de compliance será aquele com o 
compromisso de agir, visando instruir os indivíduos, convencendo-os sobre a 
direção correta e obtendo seu apoio, jamais deixando de intervir quando estiverdiante de situações de possível risco à empresa ou às pessoas. Por outro lado, 
se não for ouvido por meio da utilização de recursos atenciosos e amáveis, deverá 
adotar postura mais forte e rígida, a fim de garantir a efetividade do programa, por 
meio do respeito aos seus princípios. 
 
 
9 
Segundo Cruz (2017), os deveres do agente de compliance podem ser 
assim resumidos: 
1) Analisar o programa como um todo, indicando potenciais revisões e 
alterações a serem feitas na estrutura da empresa. 
2) Coordenar e implementar programas de treinamento de funcionários. 
3) Liderar investigações de supostas infrações e garantir que as 
adequadas medidas corretivas sejam tomadas. 
4) Desenvolver canais efetivos de comunicação, devendo criar e manter 
canais de comunicação direta e indireta com todos os funcionários, a fim 
de encorajá-los a trazer potenciais situações problemáticas ao seu 
conhecimento, sempre garantindo a confidencialidade e ou anonimato. 
5) Criar e reter informações, sendo responsável pela guarda e 
manutenção de um sistema de informações que garanta uma 
documentação completa e correta, incluindo políticas e procedimentos 
específicos para adoção de medidas – guarda, retenção e destruição de 
informações e documentos, por exemplo. Isso para que, se algum 
problema surgir, a empresa/instituição tenha condições de demonstrar a 
eficácia do seu programa, sua efetividade e seus esforços para garantir 
que as regras sejam cumpridas. 
6) Conduzir programas de treinamento. Não é suficiente que as normas 
sejam escritas e apenas aguardar que os funcionários as cumpram, é 
necessário educá-los, respeitando, é claro, seus limites – sejam eles 
culturais, intelectuais ou até formais. 
7) Iniciativa de respostas às infrações detectadas e desenvolvimento de 
ações corretivas. O compliance officer, ao ter ciência de indícios ou 
suspeitas de infrações, deverá iniciar um processo a partir da 
investigação imediata a fim de averiguar se houve ou não a violação 
suspeita e tomar atitudes em caso positivo (plano de ação, devolução de 
valores e contato com autoridades). 
8) Medir a efetividade do programa de compliance, através do constante 
monitoramento. 
Em síntese, o agente de compliance deve apresentar as seguintes 
características primordiais: 
 Conselheiro: uso de conhecimentos técnicos e experiência para apoiar, 
orientar e responder de maneira adequada às dúvidas que possam surgir. 
 Facilitador: é necessário que se coloque ao lado dos demais participantes 
da empresa, na busca por soluções cabíveis, atingindo os objetivos da área 
e garantindo a presença dos princípios éticos da integridade em todos os 
setores. 
 Defensor: há situações em que deverá agir, estando preparado para 
defender os princípios do programa de integridade de forma integral, 
inclusive em detrimento de seu empregador. 
 Sensibilizador: uso de seu poder de argumentação para reunir 
argumentos convincentes, a fim de alinhar funcionários na mesma direção 
proposta no programa de compliance. 
 
 
10 
Embora não haja disposição específica na norma a respeito, o profissional 
de integridade pode ser arrolado criminalmente por sua omissão ou desídia na 
função. No caso da famosa Ação Penal n. 470, julgada no ano de 2013, pelo 
Supremo Tribunal Federal, mais conhecida como o caso do “Mensalão”, o ministro 
Celso de Mello, ao tratar de um dos condenados, considerado compliance officer 
do Banco Rural, fez questão de salientar em desfavor do sujeito que ele era da 
“área de controle e compliance”, com vinculação direta nas fraudes no sistema de 
prevenção à lavagem de dinheiro. 
Portanto, é evidente a responsabilidade desta função, que deve ser 
cometida a um profissional de experiência e visão sistêmica da empresa, com o 
apoio da alta administração e a diligência de valores não somente internos, mas 
de toda a sociedade na qual estão inseridas as partes envolvidas. 
TEMA 3 – AVALIANDO UM PROGRAMA DE COMPLIANCE 
Instalado o programa de compliance dentro da empresa e definido um 
agente de compliance, deve-se dar início a efetiva promoção da integridade. 
Nesse sentido, uma das principais preocupações quando se promove a discussão 
e implantação do compliance consiste na criação de programas que não sejam 
nominais ou “de fachada”; em outras palavras, aqueles criados apenas para 
simular um interesse em comprometimento. 
A adoção de um programa formal não significa que a empresa esteja 
efetivamente preocupada com o cumprimento da lei ou que esse programa seja 
realmente eficaz. Todavia, medir a eficácia de um programa de compliance não é 
tarefa fácil, especialmente porque não existem instrumentos hábeis a medir tais 
programas em nosso cenário atual, pois a maior parte deles encontra-se em fase 
preliminar se comparados àqueles vigentes nos Estados Unidos ou na Europa. 
Podem ser utilizados um ou mais tipos de procedimentos de revisão, 
levando em consideração o contexto em que são aplicados e também para 
identificar e avaliar riscos de conduta, ou servir como efetivo teste de controle. 
Alguns exemplos são: 
 Inspeção de informações ou dados: com exame de registros ou 
documentos, seja de forma impressa ou eletrônica. Tal conduta fornece 
elementos de variáveis graus de confiabilidade, conforme sua natureza e 
fonte, e, no caso de registros e documentos internos, da eficácia dos 
controles sobre seu preparo. 
 
 
11 
 Observação: é a análise de um processo executado por um terceiro. É 
limitada ao momento em que ocorre, podendo ser prejudicada pela 
observação estritamente no momento em que certa atividade é executada. 
 Indagação: consiste na busca de informações de pessoas conhecedoras 
dos procedimentos e controles. Pode ser formulada de forma escrita ou 
verbal. 
Nesse último caso, as perguntas devem considerar o conhecimento, a 
experiência, responsabilidade e qualificações da pessoa entrevistada. Também 
devem ser formuladas de forma clara, concisa e objetiva, ouvindo o colaborador 
de forma ativa e eficaz. 
O chamado walkthrough avalia o entendimento acerca dos controles, bem 
como a eficácia do desenho programático de cada um dos processos 
implementados, demonstrando: o fluxo do processo, incluindo principais entradas 
e saídas; as operações iniciadas, registradas, processadas e relatadas; o 
desenvolvimento dos controles, especialmente aqueles relacionados à prevenção 
e detecção de fraudes; a integridade dos subprocessos, averiguando se há 
distorções observáveis; e o impacto das operações com as partes envolvidas. 
Os programas de compliance são contínuos e complexos, envolvendo 
diversas atribuições, e cada uma delas merece uma forma de avaliação 
específica. Em outras palavras, a implantação, a elaboração dos códigos de 
conduta e procedimentos, a fase de treinamentos, a compreensão da 
administração e dos demais colaboradores acerca das ferramentas, e o próprio 
compliance do compliance merecem a devida atenção na fase de monitoramento 
e avaliação. 
O decreto que regulamenta a Lei Anticorrupção previu como critérios de 
efetividade do programa de integridade o aprimoramento e monitoramento 
contínuo, para obtenção do benefício de redução de sanções, inclusive para 
celebração de acordos de leniência (art. 37, IV e art. 42, XV, Decreto n. 
8420/2015). 
Ziliotto e Castro (2019), mencionam a “interação entre as três linhas de 
defesa” como uma das fontes que apoiam o monitoramento do programa de 
integridade. A primeira linha defesa é aquela que traz as dificuldades, críticas e 
dúvidas dos colaboradores envolvidos nos processos estabelecidos pelo 
programa de compliance. Também trazem novas leis que devem ser aplicadas na 
empresa, com adequação dos regulamentos internos. 
 
 
12 
A segunda linha apresenta sugestões de melhoria, ineficiências e 
inadequações identificadas na primeira linha de defesa, dando suporte às áreas 
que estão com dificuldades na implantação do programa, ou àquelasque ainda 
não se ajustaram efetivamente às orientações programáticas. 
Finalmente, a terceira linha de defesa apresenta os gaps e pontos de 
auditoria levantados em face das linhas de defesa anteriores, traduzindo a eficácia 
dos controles estabelecidos pelo programa. A interação entre essas três equipes 
(ou comitês) demonstra à alta administração a necessidade de melhorias e 
aprimoramentos a dar eficácia ao programa estabelecido pelo setor competente. 
O desenvolvimento de indicadores de desempenho também tem a função 
de avaliar de forma objetiva a evolução do programa de integridade, apresentando 
quais pontos necessitariam de melhoria ou aprofundamento, aferindo a sua 
efetividade. A ISO-ABNT 19600:2014 traz a importância da adoção desses 
indicadores, demonstrando que sua elaboração é um desafio, mas representa 
parte vital para demonstração da eficácia do sistema de gestão de compliance. 
A propósito, sobre a ISO (International Organization for Standardization), é 
oportuno mencionar que, como o próprio nome diz, trata-se de uma entidade 
internacional de padronização e normatização criada em Genebra, na Suíça, em 
1947. Nas décadas de 1980 e 1990, sua marca foi amplamente popularizada, com 
as normas da Qualidade (ISO 9001) e Meio Ambiente (ISO 14001). Elas 
contribuíram decisivamente para a disseminação da cultura destes temas, 
facilitando para as empresas adotarem práticas efetivas a fim de alcançarem 
objetivos fundamentais, até então desprezados. 
No Brasil, a ABNT – Associação Brasileira de Normas Técnicas – atua 
como difusora das normas ISO, inclusive por ter participado da criação da 
entidade internacional. Diversas obras a respeito do tema de compliance trazem 
outras e mais aprofundadas formas de monitoramento e avaliação do programa, 
e merecem atenta leitura para o dia a dia das empresas participantes das políticas 
anticorrupção e de integridade. 
TEMA 4 – GESTÃO DE RISCOS 
Risco nada mais é do que a possibilidade de ocorrência de um evento que 
tenha impactos negativos, provocando perda ou dano, ou, ainda, por 
consequência, o acionamento do sistema de responsabilidades. Risco difere de 
incerteza, porque é entendido como um conjunto de probabilidade e analisado sob 
 
 
13 
a perspectiva de um resultado desfavorável, ao passo que a incerteza é analisada 
em uma perspectiva de resultado favorável (Ferreira, 2016). 
Do ponto de vista da gestão de riscos, é a maior das preocupações, 
devendo ser o objetivo máximo evitá-los; ou, em última análise, evitar que haja 
impacto significativo no cumprimento dos objetivos visados pelos gestores. O grau 
de risco é a medida do tamanho ou da relevância do risco. Normalmente, é o 
produto probabilidade de ocorrência x impacto (financeiro ou jurídico). 
A gestão de riscos é caracterizada por ser uma estratégia relevante para a 
organização, para que ela encontre o equilíbrio, com enfoque maior em uma 
atuação preventiva, buscando a mitigação máxima dos riscos e assegurando, ao 
final, sua sustentabilidade. Somente com o conhecimento do risco é que poderá 
a empresa ou o órgão exercer boa governança, posto que a noção do risco deve 
estar inserida dentro de seu enfrentamento diário. 
Segundo o Decreto n. 9203/2017, aplicável à Administração Pública, 
gestão de riscos é um 
processo de natureza permanente, estabelecido, direcionado e 
monitorado pela alta administração, que contempla as atividades de 
identificar, avaliar e gerenciar potenciais eventos que possam afetar a 
organização, destinado a fornecer segurança razoável quanto à 
realização dos seus objetivos. (Brasil, 2017) 
Após definirmos o que são riscos e estabelecermos que o gestor precisa 
evitá-los por meio de gestão e manejo eficientes, é preciso traçar a melhor 
estratégia de controle. A ideia é que o sistema instalado dê prioridade às ações 
estratégicas de prevenção da ocorrência de perdas e danos, como medida apta a 
evitar o acionamento dos mencionados sistemas de responsabilidade. Assim, 
quanto mais incerteza houver no risco, maior e mais complexa será a estratégia 
utilizada pelo gestor em sua implementação. 
Resumidamente, para cada risco identificado e mensurado, cabe definir 
uma estratégia a ser adotada. Visa-se, portanto, a estruturação de uma matriz de 
riscos, uma ferramenta importantíssima para a gestão e boa governança. Ela 
permite aos gestores mensurar, avaliar e ordenar os eventos de riscos que podem 
afetar o alcance dos objetivos do processo da unidade e, consequentemente, os 
objetivos estratégicos. Dessa forma, identificado o risco pelo gestor, o primeiro 
passo para o gerenciamento dos riscos é a estruturação de uma matriz de riscos. 
Nela, serão calculados os riscos e probabilidade de ocorrência dos impactos, que 
serão classificados em diversos níveis. 
 
 
14 
Desse modo, a probabilidade de ocorrência do evento será desdobrada em 
distintos graus: i) quase certo; ii) relativamente possível; e iii) pouco provável; e 
impactos ou consequência da ocorrência de dados eventos, que podem ser 
mensurados em: i) impactos de pequenas consequências; ii) impactos de 
consequências médias; e iii) impactos de consequências graves ou extremas. 
Feita essa identificação, caberá tomar uma das seguintes decisões em 
relação ao risco: 
 Aceitação: Não fazer nada. Quando o risco se materializar, apenas lidar 
com suas consequências. Normalmente, esta estratégia é adotada em 
riscos de grau baixo ou casos em que qualquer estratégia adotada teria um 
custo muito superior do que a materialização do risco. 
 Eliminação: Afastar toda e qualquer possibilidade de o risco vir a se 
materializar. A única forma possível de efetivar tal media é eliminando a 
fonte do risco. É uma estratégia radical e raramente utilizada. 
 Controle ou minimização: Aplicar mecanismos de controle para que se 
diminua o grau do risco inerente para níveis aceitáveis. 
 Transferência: Fazer, por exemplo, um seguro, passando o custo do risco 
para um terceiro, que comumente cobrará um prêmio por aceitá-lo. 
Importante destacar que o seguro não muda o grau do risco, mas apenas 
diminui o prejuízo em caso de materialização. 
Com a estruturação da matriz de riscos, será exercido o controle interno da 
gestão. Este será implementado, mantido, monitorado e revisado, tendo como 
escopo a identificação, a avaliação e o gerenciamento de eventuais riscos que 
possam impactar a consecução dos objetivos estabelecidos pelo gestor. 
A título de comparação, a governança pública passa necessariamente pela 
existência e efetividade desse controle interno. Inclusive, o art. 70, caput, da 
Constituição Brasileira, traz esta previsão, retomando-o no art. 74, que fixa o dever 
de os Estados Federados, em cada esfera de poder, criarem uma estrutura 
integrada de controle interno. 
Seja no âmbito público ou privado, o destaque dado aos órgãos imbuídos 
de realizar esse controle e zelar pela integridade diz muito sobre o efetivo 
comprometimento da pessoa jurídica. Por exemplo, a criação de secretarias e 
controladorias eficientes, retirando-lhe a hierarquia não somente jurídica, mas 
também política; ou a criação de um setor de compliance isento e com autonomia 
dentro da empresa. 
 
 
15 
TEMA 5 – COMPLIANCE PÚBLICO: VISÃO GERAL 
Como as entidades públicas, da administração direta ou indireta, têm a 
obrigação de realizar a proteção de dados, evidentemente também devem dar o 
exemplo e utilizar sua estrutura de governança, com a implantação de práticas de 
compliance em seu dia a dia. Aqui cabem algumas breves considerações sobre a 
adoção da prática do compliance no ambiente público, que apesar do enfoque 
notadamente voltado às políticas anticorrupção, também deve começar a 
preocupar-se (aliás, com a devida antecipação e planejamento) com as questões 
de segurança acerca dos muitos dados que manipula cotidianamente, em todos 
os seus diversos setores. 
Respeitando o princípio da legalidade,é imprescindível analisarmos as 
normas que tratam do tema nos recentes movimentos no tocante à 
regulamentação de programas de integridade. As iniciativas legislativas atestam, 
ainda que de forma embrionária, a conscientização de alguns agentes políticos no 
sentido da necessidade de aprimoramento estatal e fortalecimento dos princípios 
constitucionais para proteção da sociedade. 
Alguns estados da Federação recentemente aprovaram leis no sentido de 
exigir a introdução de programas de compliance nas empresas que participam de 
licitações e, mais que especial, contratam com o Poder Público. É o caso da Lei 
Estadual n. 7.753/2017 – RJ; da Lei Estadual n. 10.793/2017 – ES; e da Lei 
Distrital n. 6.112/2018 – DF, entre outras. Há também leis de âmbito municipal, 
como em Vila Velha, no Espírito Santo (Lei n. 6050/2018) e, em diversos outros 
municípios há tramitação de projetos de lei, como em Curitiba, no Paraná 
(005.00115.2019), Joinville, Santa Catarina (Projeto de Lei n. 431/2017, ainda em 
tramitação), e São Paulo (PL n. 723/2017). 
Na Administração Pública indireta, também se encontram algumas 
normas específicas a respeito da necessidade da implantação de programas nas 
empresas que participam de certames, por exemplo, a Portaria n. 877/2018, do 
Ministério de Estado da Agricultura, Pecuária e Abastecimento (MAPA), e, na 
Petrobras, o Regulamento de Licitações e Contratos. 
Torna-se evidente, portanto, que as inúmeras normas aqui referidas 
apontam para um caminho sem volta à obrigatoriedade de implementação de 
programas de integridade e compliance nas empresas privadas do Brasil que 
pretendam contratar com o Poder Público. Trata-se de uma mudança cultural da 
 
 
16 
atuação das empresas, pautada em princípios éticos e voltada para uma maior 
transparência nas negociações com o Estado. Por outro lado, quando se fala na 
implantação de programas de integridade no próprio órgão público, a 
conscientização e enfrentamento também começam a ganhar seu despertar, 
ainda que de forma aparentemente mais tímida. É o caso das normas estaduais 
19.857/2019 – PR, 39.736/2019 – DF, 9.406/2019 – GO (Decreto), 17.715/2019 – 
SC e 10.691/2018 – do Mato Grosso. 
O Governo Federal realizou importante movimento nesse sentido por 
meio da edição do Decreto n. 9.203, de 22 de novembro de 2017, cuja ementa 
esclarece que o texto trata da implantação da política de governança no âmbito 
da Administração Pública Direta, autárquica e fundacional. O decreto define 
governança pública como sendo o conjunto de mecanismos de liderança, 
estratégia e controle posto em prática para avaliar, direcionar e monitorar a 
gestão, com vistas à condução de políticas públicas e à prestação de serviços de 
interesse da sociedade (Brasil, 2017). Já o art. 20-A do Decreto 9.203 orienta que 
a Controladoria-Geral da União estabelecerá os procedimentos necessários à 
estruturação, execução e monitoramento do compliance nos órgãos e entidades 
da administração pública federal direta, autárquica e fundacional. 
Em 25 de abril de 2018, foi publicada a Portaria CGU n. 1.089, que 
conceituou as expressões programa de integridade e riscos para a integridade, 
dividindo a implantação do programa em três fases: a primeira para constituição 
de uma unidade específica de gestão da integridade; a segunda para elaboração 
dos planos de integridade, com o conteúdo textualmente definido na Portaria; e, 
finalmente, a terceira, que trata propriamente da implantação e monitoramento do 
programa implantado (Brasil, 2018). 
O programa de integridade é definido pela Portaria como um “conjunto 
estruturado de medidas institucionais voltadas para a prevenção, detecção, 
punição e remediação de fraudes e atos de corrupção, em apoio à boa 
governança”. (Brasil, 2018). Em outras palavras, a adoção das mais modernas 
práticas de lisura, transparência e boa-fé por parte dos entes públicos é uma 
medida imprescindível e inafastável, que atende e corrobora para um Estado mais 
eficiente e protetor de práticas éticas, morais e sustentáveis. 
A legalidade estrita não é suficiente para regular, ou balizar, a 
Administração Pública, por isso existem outros princípios e regras hermenêuticas 
(de interpretação), para atuação eficiente do agente público, seja servidor ou 
 
 
17 
autoridade política. A ideia que se pretende implementar na Administração Pública 
é a noção de “responsividade estatal” e atuação profissional1, portanto, mais e 
mais se faz necessária uma postura firme e ética com relação à integridade e 
conformidade dos valores que o Estado deve veicular. 
 
 
1 Nesse sentido, Castro (2019, p. 39) aponta que: “sob a ótica da evolução de um modelo de 
Estado Gerencial, é importante destacar que há que se revelar uma necessária postura 
responsável do Estado (noção de responsividade), em que não apenas importa o atingimento do 
fim, mas uma conjugação entre a eficiência estatal e o melhor resultado possível, com a total 
assunção das responsabilidades do Estado na condução dessa solução”. 
 
 
18 
REFERÊNCIAS 
ABNT. Associação Brasileira de Normas Técnicas. Disponível em: 
<www.abnt.org.br>. Acesso em: 25 nov. 2019. 
BERTOCCELLI, R. de P. Compliance. In: CARVALHO, A. C. et al. (Coord.). 
Manual de compliance. Rio de Janeiro: Forense, 2019. 
BRASIL. Constituição (1988). Diário Oficial da União, Poder Legislativo, Brasília, 
DF, 5 out. 1988. Disponível em: 
<http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm>. Acesso em: 
25 nov. 2019. 
BRASIL. Decreto n. 8.420, de 18 de março de 2015. Diário Oficial da União, 
Poder Legislativo, Brasília, DF, 18 mar. 2015. Disponível em: 
<http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2015/decreto/d8420.htm>. 
Acesso em: 25 nov. 2019. 
BRASIL. Lei n. 12.846, de 01 de agosto de 2013. Diário Oficial da União, Poder 
Legislativo, Brasília, DF, 1 ago. 2013. Disponível em: 
<http://www.planalto.gov.br/ccivil_03/_Ato2011-
2014/2013/Lei/L12846.htm#art6>. Acesso em: 25 nov. 2019. 
BRASIL. Decreto n. 9.203, de 22 de novembro de 2017. Diário Oficial da União, 
Poder Legislativo, Brasília, DF, 22 nov. 2017. Disponível em: 
<http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2017/Decreto/D9203.htm>. 
Acesso em: 25 nov. 2019. 
BRASIL. Portaria n. 1.809, de 25 de abril de 2018. Controladoria-Geral da União. 
Disponível em: <https://www.cgu.gov.br/noticias/2018/04/cgu-lanca-
regulamentacao-para-programas-de-integridade-no-governo-federal/portaria-
cgu-1089-2018.pdf/view>. Acesso em: 25 nov. 2019. 
CARVALHO, A. C. et al. Manual de compliance. Rio de Janeiro: Forense, 2019. 
CASTRO, R. P. A. de. Ensaio avançado de controle interno: profissionalização 
e responsividade. Belo Horizonte: Fórum, 2016. 
CASTRO, P. R.; AMARAL, J. V; GUERREIRO, R. Aderência ao programa de 
integridade da lei anticorrupção brasileira e implantação de controles internos. 
Rev. contab. finanç., São Paulo, 30(80), 186-201, ago. 2019. Disponível em: 
 
 
19 
<http://www.scielo.br/scielo.php?script=sci_arttext&pid=S1519-
70772019000200186&lng=pt&nrm=iso>. Acesso em: 25 nov. 2019. 
CRUZ, M. Fazendo certo a coisa certa – como criar, implementar e monitorar 
programas efetivos de compliance. Porto Alegre: Simplíssimo, 2017. 
FERREIRA, H. S. A dimensão ambiental da teoria da sociedade de risco. In: 
FERREIRA, H. S.; FREITAS, C. O. de A. (Orgs.). Direito socioambiental e 
sustentabilidade: estados, sociedade e meio ambiente. Curituba: Letra da Lei, 
2016. 
MADEIRA, L. M. Compliance: a (rara) aplicação de instrumentos internacionais de 
proteção a direitos humanos pelos tribunais intermediários no Brasil. Rev. Bras. 
Ciênc. Polít., Brasília, 21, 45-76, dec. 2016. Disponível em: 
<http://www.scielo.br/scielo.php?script=sci_arttext&pid=S0103-
33522016000300045&lng=en&nrm=iso>. Acesso em: 25 nov. 2019. 
NUCCI, G. de S. Corrupção e anticorrupção. Rio de Janeiro:Forense, 2015. 
PIETRO, M. S. Z. di; MARRARA, T. (Coord.). Lei Anticorrupção comentada. 2. 
ed. Belo Horizonte: Fórum, 2018. 
SANTOS, R. A. dos et al. Compliance e liderança: a suscetibilidade dos líderes ao 
risco de corrupção nas organizações. Einstein, São Paulo, 10(1), p. 1-10, mar. 
2012. Disponível em: 
<http://www.scielo.br/scielo.php?script=sci_arttext&pid=S1679-
45082012000100003&lng=pt&nrm=iso>. Acesso em: 25 nov. 2019. 
SCHRAM, F. S. O compliance como instrumento de combate à corrupção no 
âmbito das contratações públicas. Dissertação (Pós-Graduação de Direito) – 
Centro de Ciências Jurídicas, Universidade Federal de Santa Catarina, 2018. 
ZILIOTTO, M. M.; CASTRO, R. P. A. Compliance nas contratações públicas: 
exigência e critérios normativos. Belo Horizonte: Fórum, 2019.