O aperfeiçoamento do Programa de Compliance Anticorrupção para enfrentar desafios da área aduaneira

Rafaela Souza Balbino

1) Introdução:

É consenso geral, no campo aduaneiro, que a corrupção traz consequências negativas para as perspectivas de comércio e segurança global, especialmente nas economias em desenvolvimento, em que os recursos são escassos. Em decorrência desse fato, tem sido tendência em todo o mundo que governos busquem o desenvolvimento de programas com o fim de combater o problema dentro de suas aduanas, influenciados especialmente pelo trabalho de organismos internacionais que desenvolvem ferramentas e instrumentos visando reforçar as ações de integridade globais, tal como a Declaração de Arusha Revisada, de 2003, principal trabalho da Organização Mundial das Aduanas (OMA) no combate à corrupção.[1]

Paralelamente às iniciativas estatais, no entanto, é importante destacar o papel das empresas no combate à corrupção, principalmente porque, em geral, são seus funcionários que se encontram do outro lado das negociações com os agentes aduaneiros, defendendo os interesses da empresa que representam e, justamente nesse ponto, surge a figura do Compliance, que pode ser traduzida como um conjunto de regras, padrões e procedimentos éticos e legais que, uma vez definidos e implantados, são os condutores do comportamento da instituição no mercado, bem como da atitude de seus funcionários. Em suma, é um instrumento capaz de controlar o risco de imagem e o risco legal (“riscos de compliance”) aos quais se sujeitam as empresas no curso de suas atividades[2], inclusive no comércio exterior.

Diante do exposto e considerando-se a importância do Compliance no combate à corrupção aduaneira no âmbito privado, passa-se então a analisar a importância do gerenciamento de riscos dentro das empresas, aliado ao Princípio do “Risk management is tailored”, essencial para a tomada de medidas eficazes que produzam resultados efetivos, como se verá adiante.

2) A Gestão de Riscos e o Princípio do “Risk management is tailored”:

A ISO 31000 (ISO 31000: 2009, Gerenciamento de Riscos - Princípios e orientações), é uma norma internacional, fruto da cooperação entre a Organização das Nações Unidas para o Desenvolvimento Industrial, o Centro Internacional do Comércio e a Organização Internacional de Normalização (ISO), que trata da gestão de risco:

“Riscos que afetam as organizações podem ter consequências em termos de desempenho econômico e reputação profissional, bem como do meio ambiente, segurança e resultados sociais. Portanto, a gestão do risco efetivamente ajuda as organizações a um bom desempenho em um ambiente cheio de incerteza”[3]

Um dos princípios apontados na norma, item 3, alínea “g”, da versão brasileira, se aplica à maioria das atividades de negócios, incluindo planejamento, operações de gestão e processos de comunicação. É o princípio de que “A gestão de riscos é feita sob medida”, ou seja, “a gestão de risco deve estar alinhada com o contexto interno e externo da organização e com o perfil do risco”, não bastando um controle padronizado para todas as situações, mas a busca por medidas adequadas e compatíveis com os diferentes casos concretos e diferentes graus de risco. Exatamente nesse sentido dispõe o Guia do U.S. Foreign Corrupt Practices Act (FCPA), lei anticorrupção americana, no capítulo de princípios[4]:

“Compliance programs that employ a “check-the- box” approach may be inefficient and, more importantly, ineffective. Because each compliance program should be tailored to an organization’s specific needs, risks, and challenges, the information provided below should not be considered a substitute for a company’s own assessment of the corporate compliance program most appropriate for that particular business organization”.

No mesmo sentido, o Guia de Orientação para Gerenciamento de Riscos Corporativos (2007)[5], do Instituto Brasileiro de Governança Corporativa, trata acerca da importância de se identificar, avaliar e mensurar os riscos, justamente a fim de se possibilitar a tomada da melhor decisão possível quanto a evita-los, reduzi-los ou transferi-los, por exemplo, destacando, para isso, a importância de a empresa estar atenta à sua capacitação interna no que se refere a pessoas e processos.

Ainda, nesse contexto destaca-se o PDCA (plan–do–check–act), método de gestão de quatro etapas usado em negócios para o controle e melhoria contínua de processos e produtos, também conhecido como ciclo de Deming ou Shewhar, trazido pela ISO 9001, como reflexo do princípio do “tailored risk management”, passível de ser aplicado à gestão de riscos. Afinal, como pode-se ver abaixo, esse método compreende o planejamento e estudo dos processos da companhia, focando justamente nas falhas desses processos, a fim de melhorá-los constantemente[6]:

[7]

• “PLAN” – estabelecimento de um plano com base nas diretrizes ou políticas da empresa, devendo ser consideradas três fases: objetivos; caminho para que o objetivo seja atingido; definição do método que deve ser utilizado para atingi-lo;
• “DO” – execução do plano (treinamento dos envolvidos, execução propriamente dita e coleta de dados para posterior análise);
• “CHECK” –análise ou verificação dos resultados alcançados e dados coletados com a possibilidade de detecção de erros ou falhas no processo;
• “ACT” – correção das falhas encontradas, repetindo-se o ciclo.

Considerando que, no âmbito dos programas de Compliance, a administração dos riscos é essencial para se manter uma vantagem competitiva no mercado, minimizando a volatilidade e criando ganhos sustentáveis, a instituição deve, para tal, apresentar uma forte cultura de gerenciamento de riscos, além de um sistema de controles e governança para implementá-la. Nessa linha, as principais atividades de Compliance, inseridas nesse processo de gerenciamento de riscos são[8]:

• 1. “Identificação do arcabouço regulatório aplicável aos negócios da instituição;
• 2. Avaliação dos riscos potenciais aos quais os negócios estão sujeitos;
• 3. Avaliação do sistema de controles internos;
• 4. Estabelecimento de políticas e procedimentos de forma a garantir aderência ao arcabouço regulatório;
• 5. Execução de monitoramento e testes de eficácia do programa de Compliance;
• 6. Garantia de reporte a superiores hierárquicos e comunicação de questões por meio dos adequados processos de escalonamento dos problemas”.

Assim, é clara a importância de se avaliar os riscos e mensurá-los, a fim de que possam ser criados sistemas de controle e políticas internas compatíveis com as peculiaridades e a gravidade de cada risco detectado, sendo evidente que, caso a empresa tenha real interesse na melhoria contínua de seus processos, o emprego dos mesmos procedimentos para toda e qualquer situação não são suficientes, pois esses não buscam uma verdadeira melhora e adequação dos processos aos valores da empresa e mesmo ao ordenamento jurídico aplicável às circunstâncias, mas a mera aparência de conformidade com ditas normas.

3) A Gestão de Riscos Aplicada ao Combate à Corrupção Aduaneira:

No âmbito do Compliance Anticorrupção, por sua vez, também há um enfoque no mapeamento e análise de riscos. Os principais instrumentos de combate à corrupção, tais como o UK Bribery Act e as Boas Práticas da OCDE, consideram a avaliação de risco como a base para o desenvolvimento de controles internos efetivos. Dessa forma, destaca-se a importância da análise dos fatores de risco, tanto externos quanto internos, uma vez que as condutas ilícitas envolvem, no geral, tanto órgãos oficiais quanto funcionários das companhias, sendo imprescindível a análise do tamanho da companhia, nível de conscientização e conhecimento de políticas e normas por parte dos funcionários, histórico das violações, rotatividade dos funcionários, especialmente nas áreas de maior risco e efetividade dos sistemas de detecção de violações[9].

Necessário ainda destacar que, apesar de a maioria das empresas contarem com um código de conduta, um sistema efetivo de combate à corrupção exige mais que isso, pois, mais do que protocolos claros, a criação de procedimentos específicos de aprovação e rastreamento, por exemplo, são especialmente importantes. Ainda, importante a manutenção de um sistema de aprovação e registro de todas as transações realizadas, assim como o cuidado com a contratação de terceiros intervenientes nas operações e programas de treinamento e prevenção, os quais devem considerar os riscos específicos de cada empresa ou departamento.

Assim, no tocante ao Compliance Anticorrupção, novamente percebe-se a incidência do princípio do “tailored risk management”, já que, para combater as condutas ilícitas de maneira efetiva, é necessário que a empresa faça uma análise completa de suas operações, considerando as circunstâncias internas e externas, para só assim, buscar a política mais adequada para cada caso concreto[10]. Nesse sentido, trechos do Guia do U.S. Foreign Corrupt Practices Act (FCPA)[11] destacados a seguir, ilustram a ideia por trás deste parágrafo:

“An effective compliance program is a critical component of an issuer’s internal controls. Fundamentally, the design of a company’s internal controls must take into account the operational realities and risks attendant to the company’s business, such as: the nature of its products or services; how the products or services get to market; the nature of its work force; the degree of regulation; the extent of its government interaction; and the degree to which it has operations in countries with a high risk of corruption. A company’s compliance program should be tailored to these differences. Businesses whose operations expose them to a high risk of corruption will necessarily devise and employ different internal controls than businesses that have a lesser exposure to corruption, just as a financial services company would be expected to devise and employ different internal controls than a manufacturer”.

“In a global marketplace, an effective compliance program is a critical component of a company’s internal controls and is essential to detecting and preventing FCPA violations. Effective compliance programs are tailored to the company’s specific business and to the risks associated with that business. They are dynamic and evolve as the business and the markets change”.

Finalmente, no que se refere, mais especificamente, ao combate à corrupção aduaneira, devem ser observadas as peculiaridades dessa área, a qual envolve, além de agentes específicos, um cenário global, adicionando-se ao anteriormente exposto a importação e exportação de bens, legislações aduaneiras complexas que variam de país para país e incluem distorções em países menos desenvolvidos, a discricionariedade dos funcionários aduaneiros sobre o fluxo de mercadorias, dentre outros elementos que tornam a área do comércio internacional especialmente propensa à corrupção, razão pela qual é vital, para as empresas que atuam nesse segmento, o desenvolvimento de mecanismos internos compatíveis com tais riscos[12].

Com o fim de exemplificar o acima exposto, são mencionadas a seguir algumas ações relacionadas à aplicação do FCPA pelo governo americano em casos aduaneiros, disponíveis para consulta no site do Departamento de Justiça americano[13], casos em que, paralelamente à aplicação de multas, são exigidos das empresas reportes periódicos acerca dos esforços em promover melhorias no programa de conformidade e nos controles internos destinados a prevenir e detectar violações ao FCPA: “United States v. Ralph Lauren Corporation” (Abril/2013); “United States v. Parker Drilling Company” (Abril/2013) e “United States v. Panalpina, Inc., Panalpina World Transport (Holding) Ltd., Snepco, Transocean Inc., Tidewater Marine International Inc., Pride International Inc., Noble Corporation” (Novembro/2010).

4) Conclusão:

Dessa forma, considerando-se todo o exposto e, mais especificamente, o contexto específico no qual se dá a corrupção aduaneira, é possível concluir, especialmente levando em consideração o princípio do “Risk management is tailored” trazido pela ISO 31000 e pelo “U.S. FCPA Guide”, que não basta um controle “standard” ou “check-the- box”, (expressão utilizada pelo Guia) para todas as situações envolvendo risco, mas necessário o mapeamento do perfil de cada risco ao qual a atividade é exposta para, só assim, desenvolver sistemas de controle e políticas internas compatíveis com as peculiaridades e a gravidade dos riscos detectados. Ainda, considerando-se o desenvolvimento da legislação aduaneira e o aprimoramento de programas e instrumentos estatais para o combate à corrupção, é estritamente necessário que as empresas busquem a aplicação do método PDCA (plan–do–check–act) à gestão de seus riscos aduaneiros.