O Departamento de Justiça dos EUA (DOJ) atualiza novamente o Guia para Avaliação de Programas de Compliance

O Departamento de Justiça dos EUA (DOJ) atualiza novamente o Guia para Avaliação de Programas de Compliance

June 3, 2020, Covington Alert

Em 1º de junho de 2020, a Divisão Criminal do Departamento de Justiça dos EUA ("DOJ" ou "Departamento") publicou uma versão atualizada de seu documento para Avaliação de Programas de Compliance (o "Guia"), que serve como referência para os promotores de justiça na avaliação de programas de compliance no contexto das investigações do Departamento. O Departamento revisou o Guia pela última vez em abril de 2019, conforme abordamos em um alerta anterior. Assim como na iteração anterior do Guia, a atualização de junho de 2020 continua aplicável a todas as investigações e fiscalizações da Divisão Criminal envolvendo organizações empresariais.

As revisões ao Guia de junho de 2020 são de natureza incremental, porém tornam mais precisas as expectativas do DOJ com relação ao que constitui um programa de compliance eficaz e aos padrões cada vez mais exigentes pelos quais os programas de compliance serão avaliados no contexto de uma investigação do DOJ. As atualizações também podem sugerir que os promotores do Departamento irão avaliar com maior rigor a estruturação e os recursos do programa de compliance atuais e históricos ao longo de uma investigação.

Embora o Guia atualizado não reflita uma mudança radical, ele mantém a tendência do Departamento de esperar que as empresas estejam em posição de responder a perguntas detalhadas relacionadas à estruturação, aos recursos e à implementação de seus programas de compliance e de poder demonstrar sua eficácia através de critérios objetivos respaldados por dados concretos. No período da COVID-19, o Departamento está sinalizando de forma clara que as empresas devem continuar a dedicar recursos adequados para a avaliação e aprimoramento contínuo de seus programas de compliance.

1. A alocação de recursos e a capacidade do programa de compliance são identificados agora como uma pergunta fundamental

Os familiarizados com a atualização de abril de 2019 do Guia devem se lembrar de que ele foi organizado em torno de três "perguntas fundamentais" do Manual da Justiça que os promotores devem fazer no momento de avaliar a eficácia dos programas de compliance[1]. Enquanto as três "perguntas fundamentais" do Manual da Justiça permanecem inalteradas[2], o Departamento agora incorporou explicitamente considerações sobre os recursos disponíveis e a capacidade (em inglês, empowerment) dos programas de compliance, introduzindo esses conceitos em uma das "perguntas fundamentais".

Em particular, para responder à pergunta "o programa está sendo aplicado com seriedade e de boa fé?", o DOJ agora irá indagar se "o programa [possui] recursos adequados e [está] capacitado para funcionar de maneira eficaz", em vez de perguntar se o "programa [está] sendo implementado efetivamente". Embora seja uma mudança sutil do ponto de vista de redação, essa revisão sinaliza um foco maior sobre se uma empresa dedicou recursos adequados ao seu programa e capacitou suficientemente seus profissionais de compliance.

Mais precisamente, ao elevar a questão dos recursos disponíveis e da capacidade do compliance, o DOJ pode estar enviando a mensagem às empresas de que elas precisam investir mais em seus programas de compliance. Essa mensagem pode ser particularmente útil para profissionais de compliance que enfrentam pressões orçamentárias e buscam justificar os investimentos em programas durante a pandemia do COVID-19.

Embora o enfoque do DOJ nos recursos alocados e na envergadura dos programas de compliance não seja novidade, há uma expectativa de que essa alteração, assim como outras descritas abaixo, possa fazer com que os promotores analisem tais áreas com maior rigor durante o curso de uma investigação e é possível que as empresas precisem estar ainda mais preparadas para responder a perguntas difíceis sobre orçamentos, número de funcionários e autonomia do programa de compliance.

2. As alterações enfatizam uma análise baseada em riscos e específica para cada empresa

Os profissionais de compliance estão bem familiarizados com os princípios de que os programas de compliance devem ser baseados em uma análise de riscos e adaptados às circunstâncias específicas de cada empresa. Há muito tempo os reguladores também reconhecem esses conceitos e a atualização do Guia reforça aos promotores de justiça o entendimento de que o programa de compliance de cada empresa deve ser avaliado caso a caso.

Nesse sentido, o Guia revisado determina que o DOJ faça uma análise "razoável e individualizada" da eficácia de um programa de compliance com base em cada caso, sendo o conceito de razoabilidade uma nova e bem-vinda inclusão ao Guia. Os promotores são instruídos pelo Guia, em outra inserção, a considerar "vários fatores, incluindo, de forma não exaustiva, o tamanho da empresa, o setor, a presença geográfica, o cenário regulatório e outros fatores, internos e externos, às operações da empresa que podem impactar seu programa de compliance".

Outra novidade trazida pelo Guia revisado é a instrução aos promotores para que levem em consideração as "circunstâncias da empresa" na avaliação do programa de compliance em observância às três "perguntas fundamentais" e ao Guia como um todo. Semelhante à sua abordagem para avaliar questões de privacidade de dados em outras jurisdições que possam surgir ao longo de uma investigação, em uma nota de rodapé, o Guia revisado acrescenta que, ao avaliar as "circunstâncias da empresa", os promotores devem considerar se "certos aspectos de um programa de compliance podem ser impactados por leis estrangeiras" e insta os promotores a perguntar sobre o embasamento utilizado pela empresa no que diz respeito às suas conclusões sobre leis estrangeiras e como disposições das leis estrangeiras foram abordadas sem que houvesse prejuízo à integridade e à eficácia do programa de compliance da empresa.

3. O Guia inclui expectativas incrementadas para avaliações de risco (e de programas de compliance)

Várias das principais revisões do Guia dizem respeito à avaliação de riscos, um dos tópicos que os promotores avaliarão sob a rubrica das três "perguntas fundamentais".

Primeiro, o Departamento instruiu seus promotores a "se esforçarem para entender o motivo pelo qual a empresa optou por estabelecer o programa de compliance da maneira como ele é e, ainda, o por quê e como o programa de compliance da empresa evoluiu ao longo do tempo".

Segundo, o Guia atualizado instrui os promotores a examinar se as avaliações periódicas de risco são limitadas a uma "foto" de um determinado momento ou se são baseadas no "acesso contínuo a dados e informações operacionais entre funções" e se as avaliações periódicas de risco resultaram em "atualizações em políticas, procedimentos e controles".

Juntas, essas inclusões podem resultar, ao longo de uma investigação, em uma análise mais aprofundada sobre a lógica utilizada pelos profissionais de compliance na estruturação e na implementação do programa de compliance de uma empresa e em um exame mais detalhado do histórico das análises de riscos e dos programas, incluindo uma justificativa mais precisa de como a empresa reagiu às questões identificadas durante essas avaliações. Ainda, a referência ao "acesso contínuo a dados e informações operacionais em todas as funções" sinaliza um foco maior no aproveitamento da tecnologia e dos dados em programas de compliance, um tema que aparece diversas vezes no Guia atualizado.

Em uma terceira inclusão relacionada aos critérios de avaliação do Guia para análises de risco, o DOJ instruiu os promotores a considerar se as empresas têm um processo para incorporar nas análises periódicas de risco as "lições aprendidas" decorrentes de problemas pretéritos da empresa ou de problemas enfrentados por empresas que operam no mesmo setor ou região geográfica. Embora isso não represente uma grande mudança no tocante a melhores práticas, as empresas devem assegurar-se de que os procedimentos para análise de riscos e do programa de compliance levem em consideração tanto o perfil de risco individualizado da empresa (por exemplo, aprendizados de investigações anteriores) como lições que podem ser aprendidas com os seus pares.

Na última revisão da seção sobre análise de risco do Guia, o DOJ escreveu que os promotores podem creditar a qualidade e a eficácia de um programa de compliance baseado em risco quando forem dedicados recursos adequados para transações de alto risco ainda que o programa falhe em prevenir uma infração. Na versão anterior do Guia, a última cláusula estava limitada ao fracasso na prevenção de uma infração "em uma área de baixo risco", trecho que foi suprimido pelo DOJ na versão atual do Guia. Isso sugere que um programa de compliance eficaz, com alocação de recursos adequados e que leva em consideração os riscos da empresa pode receber crédito dos promotores do DOJ mesmo quando incorrer em falha na prevenção de uma infração em uma área de alto risco.

Deixando de lado as revisões pontuais do Guia relacionadas à análise de risco, a mensagem geral é clara: O Departamento espera que as empresas façam avaliações periódicas relevantes de riscos e dos seus programas de compliance e tomem medidas concretas e evidenciáveis para aprimorar seus programas com base nas informações apuradas. Contudo, para além disso, o exame se a análise de riscos está limitada a uma "foto" de um determinado momento pode sinalizar um incremento da expectativa no que tange à realização de uma avaliação dinâmica e em tempo quase real dos riscos com base na revisão contínua de dados sobre as operações da empresa (por exemplo, picos de gastos em áreas de alto risco ou aumento do número de terceiros).

4. O DOJ tem um foco maior na obtenção, monitoramento e ações relacionados a dados de compliance relevantes

Várias atualizações do Guia sugerem que o Departamento espera que as empresas aumentem o foco na coleta e monitoramento de dados. A ênfase redobrada em dados inclui a avaliação de como as políticas, procedimentos, treinamentos e mecanismos de denúncia estão sendo utilizados pelos funcionários bem como quais são as medidas que estão sendo tomadas pela empresa para aproveitar as lições que podem ser extraídas dessas informações.

Por exemplo, o Guia agora instrui os promotores a avaliar se uma empresa monitora "o acesso a várias políticas e procedimentos para entender quais políticas estão atraindo mais atenção dos funcionários relevantes". Da mesma forma, o Guia pergunta se uma empresa "avaliou em que medida [] o treinamento tem impacto no comportamento dos funcionários ou nas operações".

Por fim, com relação aos mecanismos de denúncia, o Guia revisado pergunta se uma empresa "toma medidas para testar se os funcionários estão cientes do canal de denúncias e se sentem à vontade para usá-lo" e se uma empresa "testa periodicamente a eficácia do canal de denúncias". Assim, em vez de apenas perguntar como as empresas avaliam a eficácia de suas políticas, procedimentos, treinamento e mecanismos de denúncia, o Guia sinaliza mais explicitamente uma expectativa de que as empresas aproveitem de maneira mais proativa os dados objetivos para comprovar a eficácia desses aspectos de seus programas de compliance.

O foco em dados também se estende à capacidade da empresa de usar essas informações para realizar monitoramento e outros testes do programa de compliance. Na seção do Guia que aborda a questão dos recursos adequados e a capacidade do programa de compliance, o Departamento incluiu um critério de avaliação focado em "Recursos e Acesso a Dados", perguntando se a equipe de compliance e controles tem "acesso direto ou indireto suficiente a fontes relevantes de dados que permitam o monitoramento e/ou teste tempestivo e eficaz de políticas, controles e transações". Outra pergunta incluída no Guia é se "existem restrições que limitem o acesso a fontes de dados relevantes e, em caso afirmativo, o que [] a empresa está fazendo para lidar com tais restrições". Finalmente, como observado acima, a seção atualizada sobre análise de riscos também foca no acesso contínuo aos dados operacionais.

Juntas, essas alterações sugerem um foco maior na importância dos dados e análises de informações para implementar - e demonstrar - um programa de compliance eficaz. Vamos observar para ver como o DOJ irá aplicar essa ênfase nos dados e análises em empresas com um perfil de risco mais baixo e também consoante o tamanho, setor e outros fatores específicos das empresas identificados no Guia e acima.

5. O Guia enfatiza que o gerenciamento de terceiros deve ser um processo contínuo

As revisões do Guia incluíram uma pergunta sutil, mas importante, a respeito da abordagem de uma empresa no gerenciamento de riscos de terceiros, questionando se a empresa "se envolve no gerenciamento de riscos de terceiros durante todo o relacionamento, ou na maior parte das vezes durante o processo de contratação". Isso sugere que as medidas de compliance relacionadas a terceiros não podem ser exercidas apenas uma única vez e nem devem estar limitadas a uma due diligence de integridade; em vez disso, as empresas devem avaliar o risco de compliance em relação aos parceiros de negócios de terceiros de forma contínua durante todo o período do relacionamento e prestar atenção nas informações que surgem durante o curso do relacionamento.

Se você tiver alguma dúvida sobre o material discutido neste alerta, entre em contato com os seguintes membros de nossas práticas de Penal Empresarial e Investigações e Anticorrupção/FCPA.