SUA EMPRESA REALMENTE TEM UM PROGRAMA DE COMPLIANCE?
Um checklist rápido que quase ninguém passa.**
Todo empresário diz que tem compliance. Até que alguém começa a fazer perguntas simples — e o castelo desmorona em segundos. No Brasil, virou comum confundir papel com programa, política escrita com governança efetiva, e boa intenção com estrutura mínima de integridade.
Então vamos fazer um teste rápido.
Se a sua empresa realmente tem um Programa de Compliance, ela deveria passar por este checklist básico (bem básico).
1. Alguém sabe onde está a Política de Compliance?
Se a resposta for “está no Google Drive em algum lugar”, então não — você não tem um programa. Compliance sem acessibilidade é igual a cofre sem chave: existe, mas ninguém usa.
2. Seus colaboradores já leram, entenderam e assinaram as políticas?
E aqui não vale o famoso: “eu mandei por e-mail, então está cumprido”. Se ninguém entendeu:
o que pode, o que não pode, e o que acontece se fizer errado, então não existe cultura de integridade — existe apenas um arquivo PDF esquecendo de envelhecer.
3. Existe um canal de denúncias verdadeiro (e não um e-mail genérico ignorado)?
Canal de denúncias não é um inbox de RH acumulando spam. É um mecanismo independente, com respostas, tracking, investigação e consequências. Se o canal só existe para constar na política, ele não é canal — é decoração.
4. Há treinamentos regulares?
Uma vez por ano não é regular. Treinamento eficaz é: curto, claro, recorrente, e adaptado ao risco do negócio. Se o colaborador nunca ouviu falar de PLD, anticorrupção, segurança de dados ou conflito de interesses, sua empresa está voando no escuro.
5. A empresa realmente faz Due Diligence de terceiros?
Ou vocês continuam contratando: fornecedor sem checar CNPJ, parceiro sem pesquisar antecedentes, consultor sem contrato, e “prestador amigo do dono”? Se a resposta for sim… é incompatível com qualquer Programa de Compliance digno desse nome.
6. Existem registros de decisões, aprovações e responsabilizações?
Governança não funciona na base do “o chefe autorizou verbalmente”. Se não há: atas, relatórios, logs de aprovação, evidências de controles internos, então os processos dependem de memória — e memória não é controle.
7. A empresa tem matriz de riscos atualizada?
Matriz de riscos não é para ficar bonita na parede. Serve para direcionar: políticas, treinamentos, investigações, e procedimentos de mitigação.
Se a matriz não existe ou está defasada, a empresa está correndo atrás de incêndio em vez de preveni-lo.
8. Há consequências para quem viola o programa?
Se ninguém nunca recebeu: advertência, corte de acesso, reprovação, ou qualquer medida corretiva, então o programa é simbólico. Compliance sem enforcement é um conjunto de boas intenções com cheiro de impunidade.
9. A diretoria realmente participa?
A alta administração não precisa “assinar”, precisa liderar. Se o discurso é “cumpram a política, mas não atrapalhem o comercial”, então o programa está morto antes de começar.
10. O programa foi desenhado para sua empresa — ou é um Frankenstein copiado da internet?
Programa de Compliance não é sobre documentos. É sobre modelagem, governança, processos e cultura alinhados ao tamanho, riscos e setor da empresa.
Se a sua empresa usa um modelo genérico, voltado para uma realidade diferente da sua, isso não é programa. É tentativa de parecer compliance.
E então: sua empresa realmente tem um Programa de Compliance?
Se mais de uma resposta do checklist gerou desconforto… possivelmente, o programa não é um programa — é um conjunto de papéis esperando para dar problema. Um Programa de Compliance verdadeiro é uma estrutura viva, que respira junto com o negócio, acompanha os riscos, orienta colaboradores e protege o patrimônio (inclusive reputacional).
E no setor de tecnologia, cripto, fintech e empresas reguladas, isso deixou de ser diferencial.
É sobrevivência.
Emília Malgueiro Campos
