Client Alert
“Lições Aprendidas” pelo DOJ dos Estados Unidos Levam a Diretrizes Adicionais Para o Programa de Compliance Dinâmico
June 04, 2020
By Prática de Investigações e White Collar do Paul Hastings LLP
Resumo
A última diretriz publicada pelo Departamento de Justiça dos Estados Unidos (“DOJ”) mostra que o DOJ está seguindo os seus próprios conselhos, na medida que atualizou suas próprias diretivas levando em consideração a experiência adquirida pelos seus promotores e procuradores do DOJ no curso de suas investigações, apresentações sobre compliance e monitorias durante o ano passado. As atualizações, que agora parecem ter passado a ser periódicas, ao seu guia de Avaliação de Programas de Compliance Corporativo—Evaluation of Corporate Compliance Programs— introduzem algumas modificações relevantes, incluindo especificamente:
Recursos Adequados: passa de uma avaliação de implementação para uma análise de se o programa de compliance possui recursos adequados;
Avaliação Dinâmica: incentiva os promotores e procuradores a conduzirem uma análise da evolução do programa de compliance da empresa, ao invés de apenas examinar uma situação num determinado momento;
Lições Aprendidas / Ensinamentos: exige uma avaliação sobre a experiência passada da empresa e se esta ajustou seu programa de compliance com base em questões decorrentes de investigações internas e tendências do setor em que atua; e
Melhores Práticas: enfatiza a importância de se incorporar inúmeros avanços desenvolvidos pela comunidade de compliance, incluindo o uso de dados e comunicação efetiva.
Espera-se que o DOJ continue neste caminho e começe a emitir atualizações anuais ao seu guia, a fim de garantir que todas as empresas se beneficiem das lições aprendidas pelo DOJ.
****
I. Introdução
O DOJ raramente se pronuncia sobre diretivas que sirvam de guia para empresas que possam estas sujeitas a processos criminais. Porém, em junho de 2020, o DOJ publicou uma versão atualizada da sua Avaliação de Programas de Compliance Corporativo,[1] que parece incorporar o que o DOJ aprendeu no ano passado, também fornecendo orientação aos promotores e procuradores sobre como avaliar programas de compliance de empresas em meio à uma investigação criminal.[2] Este documento (“Diretiva 2020”) atualiza as diretivas que o DOJ publicou em abril de 2019 (“Diretiva 2019”) e fevereiro de 2017 (“Questões de Compliance 2017”).[3] Para fins de melhor visualização, segue anexo no final da versão original em inglês deste documento uma comparação entre as Diretivas 2020 e as Diretivas 2019. Empresas constantemente consultam as versões anteriores das diretivas, bem como o Guia FCPA de 2012,[4] para assegurar que desenham e aprimoram seus programas de compliance para atender as expectativas do DOJ.
Conforme resumimos no nosso Client Alert de abril de 2019, Clarity or Confusion: New DOJ Guidance for Evaluation Corporate Compliance Programs, muitos viram as Questões de Compliance de 2017, que se basearam nas “Dez Características de Programas de Compliance Efizaces” listadas no Guia FCPA de 2012, como uma fonte de informações relevante sobre a maneira pela qual o DOJ analisa a eficácia dos programas de compliance corporativo. No entanto, outros observaram que Questões de Compliance de 2017 eram atípicas para o DOJ, já que não citaram outras fontes do DOJ e falharam ao não fornecer detalhes úteis para empresas ou promotores e procuradores.
No ano passado, o DOJ atualizou suas diretivas originais com o objetivo de “melhor harmonizar a diretiva com outras diretivas e padrões do departamento, fornecendo contexto adicional para a análise multifatorial de um programa de compliance”[5] e “ajudar a promover um comportamento corporativo que beneficie o público norte-americano.”.[6] A fim de alcançar esta meta, a Diretiva 2019 focou e foi dividida em três “perguntas fundamentais” a serem consideradas por promotores e procuradores:
O programa de compliance da empresa foi bem desenhado?
O programa de compliance está sendo aplicado pela empresa com seriedade e de boa fé? Em outras palavras, o programa de compliance está sendo implementado efetivamente?
O programa de compliance da empresa funciona na prática?
Valendo-se destas três perguntas como guia, a Diretiva 2019 dividiu esta avaliação em 12 diferentes seções:
Avaliação de Riscos
Políticas e Procedimentos
Treinamento e Comunicações
Estrutura para Relatórios Confidenciais e Processo de Investigações
Gerenciamento de Terceiros
Fusões e Aquisições (M&A)
Compromisso da Administração (Sênior e Intermediária)
Autonomia e Recursos
Incentivos e Medidas Disciplinares
Aprimoramento Contínuo, Testes Periódicos e Revisão
Investigação de Condutas Não-Apropriadas
Análise e Remediação de Condutas Não-Apropriadas Subjacentes
A Diretiva de 2019 foi bem recebida pelos profissionais do meio jurídico e de compliance, que porém expressaram dúvidas com relação às expectativas potencialmente irreais para empresas de pequeno porte e a falta de detalhes em determinadas seções.
A Diretiva 2020 mantém a organização da Diretiva 2019, bem como todo o conteúdo substantivo referente aos parâmetros de um programa eficaz de compliance. De fato, a mais recente atualização não representa nenhuma mudança significativa nas orientações do DOJ, mas fornece detalhes adicionais úteis que, juntos, indicam que o DOJ está comprometido em fornecer detalhes úteis à sua orientação anterior e reconhecer a necessidade das empresas de usar seus recursos de compliance, que são limitados, de modo efetivo.
As mudanças mais significativas incluem:
um foco na adequação dos recursos do programa de compliance de uma empresa, ao invés de uma avaliação de se o programa foi, historicamente, implementado de forma efetiva;
os esforços do DOJ para incentivar uma avaliação dinâmica do programa de compliance de uma empresa, ao invés de avaliar um momento específico do programa;
maior foco em avaliar se uma companhia empresa ajustou seu programa de compliance com base em questões decorrentes de investigações e relatos públicos de condutas inapropriadas; e
a promoção de opiniões sobre melhores práticas, incluindo a reafirmação da importância adicional da análise de dados e comunicação eficaz.
Neste alerta, focaremos nestas mudanças e como estas demonstram as lições aprendidas pelo DOJ e suas expectativas com relação aos programas de compliance de uma empresa.
II. Recursos Adequados
No início da Diretiva 2020, o DOJ revisou a segunda “questão fundamental” para eliminar a questão de se o programa está “sendo implementado efetivamente” e, em seu lugar adota a seguinte pergunta: “O programa possui os recursos e poderes adequados para funcionar efetivamente?” Essa mudança pode indicar que o DOJ está se afastando de sua prática histórica de julgar como o programa de uma empresa é de fato implementado, e muda mais claramente para uma análise da intenção e dos esforços da empresa com relação à implementação. Essa análise se alinharia melhor com a primeira metade da segunda pergunta fundamental do DOJ, se o “programa está sendo aplicado com sinceridade e de boa fé.”
Essa mudança também sinaliza dois fatores que o DOJ considera críticos para a implementação eficaz de um programa de compliance: recursos e empoderamento do time de compliance. No que diz respeito aos recursos, na seção Autonomia e Recursos, a diretiva 2020 acrescentou que os programas de compliance podem não ser bem-sucedidos se “com pouco recursos,” e adicionou perguntas sobre o “treinamento e desenvolvimento do time de compliance e de outras áreas de controle.” A Diretiva 2020 também adicionou uma nova subseção sobre “Recursos e acesso a dados.” Especificamente, os promotores e procuradores devem avaliar se “os times de compliance e controle têm acesso direto ou indireto suficiente a fontes de dados relevantes para permitir o monitoramento e/ou teste oportuno e eficaz de políticas, controles e transações” e se “existem impedimentos que limitem o acesso a fontes de dados relevantes e, em caso afirmativo, o que a empresa está fazendo para lidar com estes impedimentos.”
Consequentemente, os profissionais da área jurídica e de compliance devem garantir que seus conselhos de administração e supervisão entendam as expectativas do DOJ para que as equipes jurídica e de compliance tenham recursos adequados e possam ter acesso aos dados relevantes para monitorar e testar a eficácia do programa de compliance.
III. Avaliação Dinâmica
Outras mudanças sugerem que a análise do DOJ dos programas de compliance corporativo está mudando de uma abordagem do “instantâneo a um determinado momento” para se concentrar na evolução do programa de compliance. Na Introdução, a Diretiva 2020 reitera de maneira mais proeminente um ponto anteriormente mencionado em 2019 apenas sob a terceira “questão fundamental”—que promotores e procuradores deveriam avaliar os programas de compliance “no momento do crime, e no momento da decisão sobre a instauração do processo penal e da resolução.” Consequentemente, a empresa deve estar preparada para explicar como tomou decisões ao longo do tempo e por que estruturou o programa de compliance e os recursos de certa forma, nesse momento e agora. Com relação à estrutura do departamento de compliance de uma empresa, os promotores e procuradores, na seção Autonomia e Recursos, solicitarão “as razões das escolhas estruturais que a empresa fez.” O DOJ parece esperar uma narrativa do motivo pelo qual o programa permitiu falhas, levando aos crimes, e o que a empresa tem feito ao longo do tempo para aprimorar e remediar o programa que o DOJ está analisando no final da investigação.
A Diretiva 2020 inclui outras revisões que reforçam a mudança para uma avaliação dinâmica, inclusive na seção Avaliação de Riscos, que agora pede aos promotores e procuradores “que se empenhem em entender por que a empresa optou por configurar o programa de compliance da maneira que o fez, e por que e como o programa evoluiu ao longo do tempo. ” O DOJ então acrescentou uma frase perguntando especificamente: “A revisão periódica está limitada a um “instantâneo” no tempo ou toma como base o acesso contínuo a dados e informações operacionais entre funções?” Em outras palavras, é a empresa capaz de acessar dados e informações operacionais de todos os departamentos para realizar monitoramento, revisão e avaliação de riscos contínuos, ou os esforços estão limitados a uma revisão discreta, realizada apenas em intervalos determinados (por exemplo, a cada dois anos) e apenas em entrevistas ou pesquisas.
Além disso, a seção Políticas e Procedimentos reafirma este tema, observando que a avaliação deve incluir não apenas o processo para projetar e implementar “novos” políticas e procedimentos, mas também “atualizar políticas e procedimentos existentes. ” Finalmente, na seção Melhoria Contínua, Testes Periódicos e Revisão, a Diretiva 2020 pergunta se “a empresa revisa e adapta seu programa de compliance com base nas lições aprendidas da sua própria má conduta e/ou de outras empresa que enfrentam riscos semelhantes,” reforçando o foco na revisão contínua e aprimoramento dos programas de compliance.
Deste modo, as empresa devem estar preparadas para se comprometerem com a revisão e aprimoramento contínuos dos programas de compliance. A adoção por parte do DOJ da revisão dinâmica indica que o DOJ avaliará os programas de compliance com base em uma “determinação individualizada razoável,” que considera não apenas as características internas da empresa—como tamanho, setor, presença geográfica e cenário regulatório—mas também fatores “externos às operações da empresa, que podem impactar seu programa de compliance.” Essa mudança aparente envia uma mensagem importante para as empresas: programas de compliance eficazes não são produtos de prateleira para uso imediato, e não podem permanecer estáticos. Programas de compliance devem ser continuamente adaptados às operações e aos riscos da empresa, incorporando mudanças ocasionadas pelas transformações no setor e em locais específicos. As empresa companhias devem estar preparadas para fornecer uma narrativa coerente das origens e razões de sua estrutura de conformidade exclusiva.
IV. Respostas às Lições Aprendidas
Conforme indicado por revisões adicionais à Diretiva 2020, os promotores e procuradores estarão mais atentos à resposta de uma empresa às lições aprendidas e às melhorias impulsionadas por descobertas investigativas, bem como relatos públicos de conduta inapropriada. O DOJ avaliará o programa de compliance da empresa apenas quando houver uma violação criminal significativa, e procurará garantir que todas as brechas de conformidade que permitiram a violação tenham sido fechadas durante a investigação.
Como parte da sua avaliação mais dinâmica dos programas de compliance ao longo do tempo, o DOJ adicionou uma subseção inteiramente nova à seção Avaliação de Riscos, focada em “Lições Aprendidas.” Espera-se agora que os promotores e procuradores perguntem se a empresa possui “um processo para rastrear, e incorporar em suas avaliaçòes de risco periódicas, as lições aprendidas das questões anteriores da própria empresa ou dos programas de outras empresas que operam no mesmo setor e/ou região geográfica.” Da mesma forma, como observado acima, na seção Melhoria Contínua, Testes Periódicos e Revisão, o DOJ solicita aos promotores e procuradores que analisem se a “empresa revisa e adapta seu programa de compliance com base nas lições aprendidas com sua própria conduta inapropriada e/ou de outras empresas que enfrentam riscos semelhantes.”
Assim, as empresa devem reconhecer que programas de compliance devem ser mais do que apenas programas “estáticos” e devem continuar a evoluir. Em particular, empresas devem desenvolver mecanismos para incorporar as lições aprendidas das investigações e outras fontes em seus processos de avaliação de riscos e aprimoramento de programas de compliance. As empresas devem documentar como estão considerando não apenas suas próprias análises internas, mas também como estão se comparando adequadamente a seus concorrentes (“benchmarking”) e analisando relatos nas mídias e declarações públicas pelo DOJ sobre condutas inapropriadas em outros casos já instaurados. Estas análises não podem ser conduzidas isoladamente, mas devem fazer parte de um ciclo de feedback dinâmico que melhora o programa e os controles de conformidade da empresa, incorporando informações e riscos.
V. Melhores Práticas
Além desses temas, o restante das atualizações fornece orientação direcionada sobre várias melhores práticas, provavelmente identificadas pelo DOJ como parte de suas atividades de investigação e monitoramento durante o ano passado ou oriundas de outras orientações. Em conjunto, as alterações sugerem uma ênfase maior na coleta e integração de métricas de dados e a importância de comunicações efetivas sobre compliance em toda a empresa.
Políticas e Procedimentos: As novas perguntas do DOJ nesta seção refletem expectativas mais recentes sobre acessibilidade de políticas e procedimentos, incluindo se elas foram “publicadas em um formato pesquisável para fácil referência” e se a “empresa analisa o acesso a vários políticas e procedimentos para entender quais políticas atraem mais atenção de funcionários relevantes.” Essas duas perguntas vão além de confirmar a suposição de que os funcionários terão acesso imediato às políticas e aos procedimentos eletrônicos, e buscam evidências—como análise de dados (“data analytics”)—de que a empresa monitora o acesso e a usabilidade de tais políticas.
Treinamento e Comunicação: O DOJ reconhece que parte significativa das atividades (e orçamento) do time de compliance pode estar focada no treinamento de pessoal, bem como na importância do treinamento para a eficácia de um programa de compliance. No entanto, o DOJ reconhece que “[o]utras empresas investiram em sessões de treinamento mais curtas e direcionadas para permitir que os funcionários identifiquem e levantem oportunamente questões para as áreas apropriadas de compliance, auditoria interna ou gerenciamento de riscos.” Isso pode indicar que o DOJ está incentivando as empresas a investir em sessões de treinamento “just-in-time” (ou seja, treinamento disponível quando e como é necessário para os funcionários). Além do formato dos treinamentos, os promotores e procuradores devem agora perguntar sobre um processo pelo qual os funcionários possam fazer perguntas “decorrentes dos treinamentos” e, com relação à eficácia do treinamento, se a “empresa avaliou a extensão em que o treinamento tem impacto no comportamento ou nas operações dos funcionários.” Embora o DOJ não especifique nem como nem quais métricas talvez refletam o “impacto” dos treinamentos, tanto a análise de dados quanto a evidência qualitativa devem fazer parte da narrativa de uma empresa.
Estrutura de Relatórios Confidenciais e Processo de Investigações: As mudanças do DOJ relacionadas aos mecanismos de denúncia reforçam as expectativas de que os canais de denúncia sejam divulgados não apenas aos funcionários de uma empresa, mas também a “outros terceiros.” Aqui, também, o DOJ sugere uma avaliação orientada por data analytics sobre a eficácia da estrutura para as denúncias, verificando “se os funcionários estão cientes do canal de denúncias e se sentem confortáveis em usá-lo” e “a eficácia do canal de denúncias, por exemplo, acompanhando um relato do início ao fim.”
Gerenciamento de Terceiros: O DOJ fez mudanças notáveis sobre o Gerenciamento de Terceiros. A primeira mudança parece pequena: a visão geral desta seção agora reconhece que “a necessidade de “due diligence apropriada pode variar com base nos fatores específicos da empresa e de terceiros. No entanto, comparando a atualização ao prévio e limitado reconhecimento de que apenas o “grau” desta due diligence pode ser afetado por esses fatores, a atualização implica que as circunstâncias podem ocasionalmente eliminar a necessidade de qualquer due diligence sobre determinados terceiros. A segunda mudança sinaliza uma expectativa de monitoramento e gerenciamento contínuos, com base em riscos, da relação com o terceiro “durante toda a vida útil do relacionamento.”
Fusões e Aquisições (M&A): Embora a integração pós-fechamento tenha sido abordada nas questões da Diretiva 2019 e outras orientações do DOJ, o DOJ agora acrescentou explicitamente que os programas de compliance devem incluir um “processo para a integração oportuna e ordenada da entidade adquirida nas estruturas do programa de compliance e nos controles internos existentes.” Isso inclui o conceito de “realizar auditorias pós-aquisição, em entidades recém-adquiridas.” O DOJ também reconhece que a due diligence pré-aquisição nem sempre seria possível e avaliará se “a empresa consegu[iu] concluir a due diligence pré-aquisição e, caso negativo, a razão para tanto.” Embora isso esteja alinhado com as orientações anteriores do DOJ, esses complementos podem indicar um foco maior do DOJ nessa área de risco, o que também é uma preocupação crescente em outras jurisdições. Considerando a atividade de M&A provável a decorrer dos desafios do atual ambiente econômico, o DOJ está sinalizando que as empresas devem priorizar efetivamente a integração efetiva de uma empresa recém-adquirida para garantir a cessação de má conduta, para não enfrentar os riscos de responsabilidade sucessora.
Incentivos e Medidas Disciplinares: Por fim, uma nova pergunta foi adicionada à avaliação de “Aplicação Consistente” sobre se “o departamento de compliance monitora suas investigações e a disciplina resultante para garantir consistência.”
VI. Conclusões e Recomendações para Empresas
Embora as atualizações da Diretiva 2020 não representem uma mudança significativa no processo de avaliação do DOJ, as empresas devem garantir que abordem os pontos identificados na nova orientação. Com base não apenas nas mudanças na Diretiva 2020, mas também no fato de o DOJ não ter alterado a maioria de suas orientações, empresa devem tomar as seguintes medidas concretas para se posicionar melhor para convencer o DOJ de que possuem um programa de compliance eficaz:
Garantir que o departamento de compliance tenha recursos adequados para as operações e basado no perfil de risco da empresa, tanto em termos de orçamento quanto ao acesso a dados;
Confirme que ambos os aspectos periódicos e contínuos da avaliação de riscos documentem a base e a justificativa para as melhorias do programa de compliance enquanto evoluem de forma dinâmica;
Formalizar processos para identificar e incorporar as lições aprendidas de dentro (por exemplo, de investigações internas e avaliações de risco) e de fora (como benchmarking e divulgações públicas de condutas ilícitas);
Documentar como e por que as decisões são tomadas em relação ao programa de compliance, e garantir que as decisões corporativas possam ser adequadamente defendidas quando surgirem problemas inevitáveis; e
Implementar aprimoramentos alinhados às melhores práticas, conforme necessário e apropriados aos riscos e operações da empresa.
Nos próximos anos, o DOJ poderá continuar compartilhando suas lições aprendidas com a comunidade corporativa, para permitir que todos se beneficiem do trabalho árduo das investigações e monitorias. Até lá, os profissionais jurídicos e de compliance devem continuar revisando e aprimorando os programas de compliance de sua empresa para impedir com mais eficiência condutas ilícitas ou detectá-las rapidamente.
Clique aqui para acessar a comparação em inglês entre a Diretiva 2020 e a Diretiva 2019
[1] Como a Diretiva 2020 foi emitida pela Divisão Penal, a sua aplicação é obrigatória apenas para os componentes desta divisão, incluindo a Seç ão de Fraude, a Seção de Lavagem de Dinheiro e Recuperação de Ativos, a Seção de Integridade Pública e a Seção de Crimes Informáticos e Propriedade Intelectual. Como as orientações anteriores, a Diretiva de 2020 não foi emitida pelo Gabinete do Procurador Geral da República, o que teria vinculado os 93 Procuradores Federais dos Estados Unidos (United States Attorney Offices) que também processam a conduta criminal corporativa.
[2] U.S. DEP’T OF JUST., CRIMINAL DIVISION, EVALUATION OF CORPORATE COMPLIANCE PROGRAMS (2020), https://www.justice.gov/criminal-fraud/page/file/937501/download.
[3] U.S. DEP’T OF JUST., FRAUD SECTION, EVALUATION OF CORPORATE COMPLIANCE PROGRAMS (2019); U.S. DEP’T OF JUST., FRAUD SECTION, EVALUATION OF CORPORATE COMPLIANCE PROGRAMS (2017).
[4] U.S. DEP’T OF JUST. & U.S. SECURITIES AND EXCHANGE COMM’N, A RESOURCE GUIDE TO THE U.S. FOREIGN CORRUPT PRACTICES ACT 57 (2012), https://www.justice.gov/iso/opa/resources/29520121114101438198031.pdf.
[5] Press Release, U.S. Dep’t of Just., Criminal Division Announces Publication of Guidance on Evaluating Corporate Compliance Programs (Apr. 30, 2019), https://www.justice.gov/opa/pr/criminal-division-announces-publication-guidance-evaluating-corporate-compliance-programs.
6 Id.