A Agência Anticorrupção Francesa (AFA) publicou em 12 de janeiro de 2021 um novo guia de orientação para empresas do setor privado e entes públicos, com recomendações para o cumprimento da Lei Anticorrupção Francesa (Sapin II), sancionada no fim de 2016.
Esse novo guia é resultado de uma consulta pública, realizada entre 16 de outubro e 16 de novembro de 2020, da qual participaram mais de 40 colaboradores, entre eles: 13 associações, 7 federações empresariais, 10 escritórios de advocacia e consultores, 5 administrações centrais e 2 organizações não governamentais. O guia esclarece que suas recomendações não são mandatórias, sendo admitidas outras medidas de prevenção e detecção de atos de corrupção, desde que de acordo com o conteúdo da lei.
Inicialmente o documento informa que um sistema anticorrupção refere-se ao conjunto de medidas tomadas e procedimentos colocados em prática por uma organização para saber, prevenir, detectar e punir atos de corrupção.
O guia discorre sobre os seguintes pilares inseparáveis:
TRÊS PILARES INSEPARÁVEIS
1. Compromisso da alta gerência em favor da realização de missões, habilidades ou atividades da organização livres de violações de probidade, o que pressupõe:
• ter um comportamento pessoal exemplar, tanto na palavra como na ação, nos assuntos integridade e probidade;
• promover o sistema anticorrupção por meio de comunicação pessoal;
• implementar meios suficientes para alcançar a efetividade e a eficácia do conteúdo da lei;
• ser responsável pela correta gestão deste sistema;
• cumpri-lo para tomar as decisões que lhe sejam próprias;
• garantir que sanções adequadas e proporcionais sejam impostas em caso de comportamento contrário ao código de conduta ou passível de ser qualificado como uma violação de probidade.
2. Conhecimento dos riscos à integridade aos quais a entidade está exposta, por meio da elaboração de um mapeamento de risco.
3. O gerenciamento destes riscos, por meio da implementação de medidas e de procedimentos eficazes visando sua prevenção, a detecção de possíveis comportamentos ou situações contrárias ao código de conduta ou suscetíveis de constituir uma violação à probidade e a respectiva sanção. Este gerenciamento também inclui o monitoramento e a avaliação da eficácia das referidas medidas e procedimentos.
As medidas e procedimentos descritos no item 3 acima são divididos em prevenção e detecção, conforme os quadros exibidos a seguir:
MEDIDAS E PROCEDIMENTOS DE PREVENÇÃO
1. O código de conduta e seus procedimentos / políticas;
2. Conscientização e treinamento sobre os riscos de violação da probidade;
3. Avaliação de integridade de terceiros.
MEDIDAS E PROCEDIMENTOS DE DETECÇÃO
1. O sistema de alerta interno;
2. O sistema de monitoramento;
3. Gerenciamento das deficiências observadas;
4. Garantia da conservação e arquivamento das medidas e procedimentos e de seu método de elaboração.
Para empresas com mais de 500 empregados e faturamento superior a 100 milhões de euros, o guia traz recomendações adicionais.
Com respeito ao primeiro pilar acima descrito, são estabelecidas as seguintes recomendações:
1. Definição da alta gerência
• os presidentes, gerentes gerais e gestores de empresas com sede na França, que empreguem pelo menos 500 empregados e cujo volume de negócios seja superior a 100 milhões de euros;
• os presidentes, gerentes gerais e gestores de sociedades pertencentes a um grupo econômico cuja matriz tenha sede na França, cujo quadro de pessoal inclua pelo menos 500 empregados e cujo faturamento seja superior a 100 milhões de euros;
• os presidentes e gerentes gerais de estabelecimentos públicos de natureza industrial e comercial que empreguem pelo menos 500 pessoas, ou que pertençam a grupo público cuja força de trabalho inclua pelo menos 500 trabalhadores e cujo volume de negócios ou faturamento superem 100 milhões de euros;
• membros do conselho de administração de sociedades anônimas regidas pelo artigo L. 225-57 do código comercial francês e que empreguem pelo menos 500 pessoas, ou pertençam a um grupo de empresas cuja força de trabalho inclua pelo menos 500 empregados, e dos quais volume de negócios ou faturamento exceda 100 milhões de euros.
2. Responsabilidade da alta gerência
• a alta gerência compromete-se a implementar uma política de tolerância zero em relação a qualquer fato de corrupção, promover e disseminar a cultura de compliance anticorrupção dentro da empresa e junto a terceiros, priorizando a prevenção e a detecção da corrupção;
• a implementação do mecanismo anticorrupção é responsabilidade da alta gerência, que pode, quando apropriado, delegar a implementação operacional a um Oficial de compliance anticorrupção, doravante denominado “Oficial de compliance”;
• a alta gerência define a estratégia de gestão de risco e garante sua implementação. Ela garante a implementação de um plano de ação relacionado e os meios apropriados para executá-lo, usando indicadores e relatórios de monitoramento e auditoria, de que o sistema anticorrupção está organizado, eficiente e atualizado.
3. Meios dedicados
• recursos humanos e financeiros proporcionais ao perfil de risco da empresa;
• equipe de conformidade anticorrupção;
• recurso a aconselhamento externo ou prestadores de serviços, se aplicável;
• implementação de ferramentas de avaliação de integridade de terceiros, alerta interno, gestão de risco, monitoramento, e-learning etc.;
• gestão de treinamento anticorrupção;
• produção de relatórios e avaliações periódicas.
4. Oficial de compliance
• deve haver uma comunicação a todos os empregados contendo: (i) as missões confiadas, que têm em conta as escolhas estratégicas e organizacionais efetuadas e as características da empresa (nomeadamente: modelo econômico, setor de atividade, dimensão), (ii) os elementos que garantem a independência do Oficial de compliance através do seu posicionamento no organograma e das modalidades de acesso ao órgão de administração, ao conselho de administração e às comissões especializadas que dele emanam, (iii) articulação com outras funções de negócios e outras áreas de compliance e (iv) a organização da função de compliance anticorrupção na empresa, em particular os recursos materiais e humanos a ela dedicados;
• em um grupo econômico, é sugerida a nomeação de um Oficial de compliance central e de Oficiais de compliance locais;
• a alta gerência deve garantir que o Oficial de compliance sempre tenha: (i) acesso a qualquer informação útil para o desempenho das suas funções, permitindo-lhe ter uma verdadeira imagem do negócio da empresa, (ii) a independência de sua ação frente a outras funções da empresa e a capacidade de realmente influenciá-los e (iii) acesso à alta gerência, a fim de obter escuta e apoio;
• independentemente do seu posicionamento no organograma, é fundamental que o Oficial de compliance mantenha um vínculo direto e regular com a alta gerência, bem como acesso fácil ao Conselho Administrativo;
• a alta gerência deve garantir que o Oficial de compliance tenha as habilidades necessárias, especialmente: (i) capacidade de exercer uma função transversal, (ii) conhecimento dos regulamentos relacionados a compliance anticorrupção, bem como
atividades de negócios e técnicas de gestão de risco. Este conhecimento pode ter sido adquirido através de treinamento ou de experiência profissional.
5. Uma política de comunicação interna e externa adaptada
• a empresa deve comunicar amplamente sua política de prevenção e detecção de corrupção a todos os seus empregados;
• adaptada a sua estrutura e atividades, a comunicação interna do sistema anticorrupção abrange necessariamente o código de conduta, o treinamento anticorrupção e o sistema interno de alerta;
• a empresa também deve comunicar, em termos apropriados, sua política anticorrupção para parceiros externos, com o objetivo de proteger seus empregados de solicitações indevidas.
Com respeito ao segundo pilar acima descrito, são estabelecidas as seguintes recomendações:
1. o mapeamento de riscos deve assumir a forma de documentação atualizada regularmente destinada a identificar, analisar e priorizar riscos, a exposição da empresa a solicitações externas para fins de corrupção, dependendo nomeadamente dos setores de atividade e áreas geográficas em que a empresa opera;
2. as empresas devem realizar um mapeamento abrangendo não apenas os riscos de corrupção mas também os de tráfico de influência;
3. o mapeamento de risco de corrupção requer: (i) amplo conhecimento da empresa e de suas atividades, incluindo os processos gerenciais, operacionais e de suporte que essas atividades requerem para sua implementação e (ii) identificar os papéis e responsabilidades dos empregados na empresa, independentemente de seus níveis.
4. o mapeamento de risco está evoluindo em vista da necessidade de reavaliar os riscos de uma forma periódica e sempre que ocorra uma alteração significativa na empresa. Para favorecer sua atualização, o mapeamento faz parte de um processo de melhoria contínua, permitindo às empresas fortalecer o controle de seus riscos.
5. O mapeamento deve ser baseado em uma análise objetiva, estruturada e documentada dos riscos de corrupção a que uma empresa está exposta no decorrer das suas atividades. A descrição destaca o impacto potencial dos riscos (gravidade) e sua probabilidade de ocorrência (frequência), os elementos susceptíveis de aumentá-los (fatores agravantes), bem como as respostas fornecidas no âmbito do sistema de controle de risco existente ou a ser fornecido como parte de um plano de ação.
6. O mapeamento de risco deve conter as seguintes diretrizes: (i) funções e responsabilidades das partes envolvidas no mapeamento de risco, (ii) identificação dos riscos inerentes às atividades da empresa (identificação de processos e
cenários de risco), (iii) avaliação de riscos brutos visando identificar o nível de vulnerabilidade da empresa para cada cenário de risco identificado na etapa anterior, (iv) avaliação de riscos líquidos ou residuais, tratando-se, portanto, de reavaliar os cenários de riscos brutos, levando em consideração os meios de controle de riscos já existentes e implementados, (v) priorização de riscos líquidos ou residuais e elaboração do plano de ação, (vi) formalização, atualização e arquivamento do mapeamento de risco.
Com respeito ao terceiro pilar acima descrito, são estabelecidas as seguintes recomendações, inicialmente sob a ótica de prevenção:
1. Código de Conduta
• é um documento que expressa a decisão da alta gerência de engajar a empresa em um processo de prevenção e detecção de corrupção, sendo aplicável e executável a todos os empregados da empresa;
• o código de conduta deve ser preparado em conjunto pelo Oficial de compliance e pelas pessoas qualificadas da empresa e validado pela alta gerência;
• o código de conduta pode fazer referências a outros documentos, tais como políticas e procedimentos;
• o código de conduta deve ser preparado após o mapeamento de riscos, a fim de serem identificados os riscos que inicialmente deverão ser evitados;
• o código de conduta deve trazer exemplos de casos concretos;
• o código de conduta apresenta o sistema de alerta interno destinado a coletar relatórios relativos à existência de condutas ou situações contrárias às suas disposições;
• o código de conduta menciona a função qualificada para responder a perguntas da equipe (por exemplo: o Oficial de compliance) e os procedimentos para contato;
• o código de conduta deve ser redigido em termos que o tornam inteligível e acessível a não especialistas. Pode ser traduzido para um ou mais idiomas;
• deve ser atualizado regularmente.
2. Conscientização e treinamento
• deve ser implementado um sistema de treinamento destinado a gerentes e empregados mais expostos a riscos de corrupção e tráfico de influência;
• enquanto o sistema de conscientização permite que os empregados sejam mais bem informados e receptivos sobre os assuntos apresentado a eles, o sistema de treinamento deve fornecer o conhecimento e as competências necessárias ao exercício de uma atividade ou comércio. Isso se encaixa no plano de treinamento geral da empresa;
• o sistema de treinamento deve: (i) ser coordenado com as demais medidas e procedimentos do sistema anticorrupção e (ii) levar em consideração os riscos específicos para os quais são expostas as diferentes categorias de pessoal;
• as ações de conscientização podem estar relacionadas em particular com: (i) o código de conduta, refletindo o compromisso da alta gerência, (ii) a corrupção em geral, seus desafios, suas formas e as penalidades incorridas, sejam disciplinares ou criminais, (iii) o comportamento a adotar diante da corrupção, o papel e as responsabilidades de cada um e (iv) o sistema de alerta interno;
• este conteúdo deve ser adaptado à natureza dos riscos, às funções desempenhadas e às áreas geográficas;
• o objetivo dos treinamentos é melhorar a compreensão e o conhecimento sobre: (i) os processos e riscos associados, (ii) a violação da probidade, (iii) due diligence e medidas a serem aplicadas para reduzir esses riscos, (iv) os comportamentos a adotar em face de solicitação indevida e (v) as sanções disciplinares incorridas em caso de práticas não conformes;
• devem ser tratados temas específicos em razão das funções desempenhadas pelos participantes e dos riscos específicos que enfrentam. Ferramentas de detecção de corrupção podem ser um tópico coberto por treinamento para empregados encarregados de uma função de controle;
• O estabelecimento de indicadores possibilita o acompanhamento do sistema de capacitação, inclusive na hipótese de terceirização de treinamento. Esses indicadores podem incluir os seguintes itens: (i) taxa de cobertura de treinamento em relação ao público-alvo e (ii) número de horas de treinamento sobre compliance e sistema anticorrupção.
3. Avaliação de integridade de terceiros
• definição e objetivos da avaliação de integridade de terceiros;
• articulação do sistema de avaliação com outros sistemas (incluindo a luta contra a lavagem de dinheiro e o financiamento do terrorismo ABC-CFT);
• definição de métodos de avaliação de terceiros;
• métodos para avaliar a integridade de terceiros;
• avaliação do nível de risco de terceiros;
• conclusões a serem extraídas de avaliações de terceiros;
• medidas de due diligence a serem implantadas durante uma relação comercial;
• acompanhamento da relação contratual com o terceiro;
• renovação e atualização de avaliações de terceiros;
• acompanhamento do processo de avaliação de terceiros;
• retenção de informações de terceiros.
Passamos agora ao terceiro pilar, onde são estabelecidas as seguintes recomendações, mas agora sob a ótica de detecção:
1. O sistema de alerta interno
• definição e objetivos, viabilizando a implementação de um canal para relatos de má conduta;
• articulação dos diferentes mecanismos de alerta e centralização em um único responsável pelo seu gerenciamento;
• organização do sistema de alerta, adaptado ao perfil de risco da empresa;
• tratamento das denúncias;
• comunicação adequada do sistema de alerta interno, inserção no código de conduta e elaboração de procedimento que estabeleça regras claras;
• arquivamento das denúncias e seu tratamento, com anonimização de dados pessoais das pessoas envolvidas.
2. O sistema de monitoramento
• a contribuição do sistema de controle interno e auditoria para a prevenção e detecção de riscos de corrupção;
• as empresas geralmente têm um sistema de controle e auditoria interna de uso geral, que pode consistir em até três níveis: (i) os controles de primeiro nível visam assegurar que as tarefas inerentes a um processo operacional ou de suporte foram executadas de acordo com os procedimentos definidos pela empresa, sendo que eles podem ser executados por equipes operacionais ou de suporte ou pelo gestor, (ii) os controles de segundo nível visam garantir, de acordo com uma frequência predefinida ou aleatoriamente, a execução adequada dos controles de primeiro nível, sendo que os controles de segundo nível podem ser executados pelo Oficial de compliance, a função de qualidade, a função de gestão de risco ou, se houver, a função de controle de gestão , em particular, e (iii) os controles de terceiro nível, também chamados de “auditorias internas”, visam assegurar que o sistema de monitoramento atenda aos requisitos da empresa, sendo efetivamente implementado e atualizado;
• os controles contábeis anticorrupção devem: (i) garantir, em última instância, o cumprimento dos mesmos princípios dos controles contábeis gerais (regularidade, justiça e fidelidade das transações contábeis e financeiras), (ii) detectar transações sem causa ou sem justificativa (por exemplo, pagamentos no todo ou em parte não feitos com o objetivo de financiar “caixa dois”) e (iii) basear-se nos mesmos métodos dos controles contábeis gerais e incluem, por exemplo, controles por amostragem, por revisão de consistência, por comparação com a realidade física (inventário) ou por confirmação por terceiros;
• a formalização dos controles contábeis anticorrupção deve levar em consideração: (i) o objeto e o escopo dos controles, (ii) os papéis e responsabilidades em sua implementação, (iii) os métodos de amostragem das operações a serem verificadas, se aplicável, (iv) a definição de um plano de controle, (v) os métodos de gerenciamento de incidentes e (vi) o limite ou critério de materialidade que deve levar a um controle;
• os lançamentos contábeis de risco devem ser examinados e validados por um funcionário diferente daquele que os registrou;
• a validação cruzada entre empregados é satisfatória para entradas abaixo de um limite definido. As entradas acima desse limite devem requerer validação pela gestão;
• os métodos de amostragem devem ser definidos com base numa análise prévia das várias entradas e riscos em causa para permitir a representatividade;
• as auditorias contábeis devem abranger todos os sistemas contábeis, para garantir que os controles contábeis anticorrupção estejam em conformidade com os requisitos do negócio, efetivamente implementados e mantidos atualizados;
• a correção das deficiências identificadas também alimenta uma atualização do mapa de riscos de corrupção e pode ser objeto de ilustrações adicionais no código de conduta e nos materiais de treinamento dedicados à prevenção da corrupção em coordenação com o Oficial de compliance;
• se a irregularidade indicar suspeita ou fatos relacionados à corrupção, deve ser imediatamente comunicada ao Oficial de compliance e à alta gerência da empresa;
• os controles contábeis anticorrupção podem ser implementados: (i) internamente, pelos serviços de contabilidade e financeiros ou por serviços especializados (centros de serviços partilhados, controle de gestão, auditoria interna etc.) disponibilizados pela empresa para esse fim e (ii) externamente, por terceiros que a empresa contratar com tal finalidade.
3. Monitoramento e avaliação do sistema anticorrupção
• este monitoramento deve atender a quatro objetivos: (i) monitorar a implementação de medidas anticorrupção e testar sua eficácia, (ii) identificar e compreender as deficiências na implementação dos procedimentos, (iii) definir recomendações ou outras medidas corretivas apropriadas, se necessário, a fim de melhorar a eficácia do sistema anticorrupção e (iv) detectar, quando apropriado, fatos de corrupção;
• para cada um dos controles, deve haver o objeto e o escopo, a(s) pessoa(s) responsável(is) pelo controle, o método de controle (tipo de medição, documentos de apoio, análise e avaliação) apropriado e a amostragem com base em uma análise de risco. Da mesma forma, o plano deve prever a periodicidade do controle, a formalização prevista, a comunicação dos resultados do controle e as medidas corretivas que podem ser implementadas e os procedimentos para a guarda dos documentos relativos aos controles.
• Se a irregularidade indicar suspeita ou fatos relacionados à corrupção, deve ser imediatamente comunicada ao Oficial de Compliance e à alta gerência da empresa;
• os controles contábeis anticorrupção podem ser implementados: (i) internamente, pelos serviços de contabilidade e financeiros ou por serviços especializados (centros de serviços partilhados, controle de gestão, auditoria interna, etc.) disponibilizados pela empresa para esse fim e (ii) externamente, por terceiros que a empresa contratar com tal finalidade;
• a identificação dos tipos de monitoramento a implementar.
Ainda com respeito ao terceiro pilar, são estabelecidas as seguintes recomendações sob a ótica de remediação:
1. Gestão e monitoramento das deficiências observadas
2. Regime disciplinar
• abrange todas as medidas que uma empresa se reserva o direito de tomar em caso de comportamentos que considere ilícitos;
• em empresas com pelo menos 20 empregados, os regulamentos internos são obrigatórios;
• a sanção pode ser pronunciada aplicada contra um empregado apenas se estiver prevista nos regulamentos internos.
3. Princípio de gradação de sanções
• a sanção disciplinar deve ser proporcional à falta cometida;
• quando são constatadas violações dos deveres de integridade e probidade do pessoal, devem ser instaurados processos disciplinares contra eles, sendo impostas sanções proporcionais;
• a alta gerência não é obrigada a esperar que seja proferida uma decisão penal antes de aplicar as sanções disciplinares, se os fatos forem provados e a sua gravidade o justificar.
4. Lista de sanções
• a empresa pode estabelecer as sanções disciplinares a serem aplicadas a seus empregados, o que favorece o fortalecimento dos mecanismos de controle dos riscos por violação de probidade.
5. Comunicação interna
• a divulgação, em formato que garanta o anonimato total, das sanções disciplinares pode ser determinada pela alta gerência, de forma a relembrar a política de tolerância zero a qualquer comportamento contrário à integridade e probidade.
Finalmente, o guia traz uma parte toda dedicada a entes públicos, com disposições semelhantes às aqui descritas, mas adaptadas ao serviço público.