Os resultados obtidos por recentes investigações de alto vulto com foco anticorrupção, realizadas em empresas brasileiras e seus fornecedores, indicam que a escolha do especialista mais adequado para as áreas de compliance e investigações pode ajudar uma empresa a cortar custos, a operar com mais eficiência e a reduzir os riscos de corrupção, riscos regulatórios e riscos reputacionais. Infelizmente, apenas 35% das empresas latino-americanas realizam uma due diligence de terceiros completa de forma contínua, de acordo com o relatório Refinitiv de 2018: “Revealing the True Cost of Financial Crime” [Revelando o verdadeiro custo do crime financeiro].

A boa notícia é que, quando os terceiros são adequadamente selecionados e operam sob contratos regidos por controles internos eficazes, consegue-se uma redução significativa no perfil de riscos dos contratados.

Por que os relacionamentos com terceiros são relevantes no contexto brasileiro

A lei brasileira nº. 12.486/2013, também conhecida como Lei Anticorrupção ou Lei da Empresa Limpa, estabelece a responsabilização de pessoas jurídicas, independentemente se a falta por atos de corrupção for cometida por terceiros. Um terceiro é definido como qualquer indivíduo ou organização que realize negócios em nome da empresa, incluindo consultores, fornecedores, distribuidores e subsidiárias. Além disso, os órgãos e as entidades da administração pública federal, bem como as empresas que façam negócios com eles, ficam sujeitos à regulação do setor público, nos termos da Portaria 57/2019 da CGU e obrigados a estabelecer procedimentos para estruturar, executar e monitorar programas de prevenção, detecção, remediação e punição de fraudes e atos de corrupção.

A Gerdau, uma das maiores siderúrgicas brasileira, serve como um grande exemplo de consequências que uma empresa pode sofrer por falhas relacionadas ao processo de due diligence de terceiros. A Gerdau foi acusada de ter violado o Código Civil brasileiro com o intuito de obter decisões fiscais favoráveis, ao contratar advogados externos entre 2011 e 2014 para pagar cerca de US$ 13 milhões em propinas a membros do CARF (Conselho Administrativo de Recursos Fiscais). Embora a Gerdau e seus funcionários terem alegado inocência, e ter sido comprovado que a empresa não tinha ciência dos atos dos advogados, tanto ela como seus principais dirigentes estão sujeitos a responsabilização nos termos da Lei da Empresa Limpa pelos supostos atos de tais terceiros. Isso demonstra os riscos enfrentados por uma aparente falta de controles internos e inexistência de um procedimento correto e eficaz de due diligence de terceiros.

Mitigando riscos de terceiros por meio de processo de due diligence

Um estudo sobre compliance recentemente realizado pela LEC (Legal, Ethics & Compliance) e pela VITTORE Partners constatou que 59,7% dos compliance officers pesquisados no Brasil estavam preocupados com os riscos associados a terceiros como uma ameaça imediata, ressaltando a importância da existência de procedimentos adequados de due diligence. Adicionalmente, a Lei da Empresa Limpa também introduz o conceito de Programas de Integridade como um componente crítico do programa anticorrupção de uma empresa, e isso traz implicações para terceiros. Tanto antes de iniciar, quanto durante um relacionamento comercial, um procedimento eficaz de due diligence de terceiros deve identificar, tratar e investigar qualquer red flag que indique riscos relacionados ao terceiro. Uma empresa sempre deve conduzir o procedimento de due diligence em linha com sua abordagem baseada em riscos para operações e os aspectos pertinentes de seu Programa de Integridade também devem fazer parte dos esforços empreendidos.

Os componentes essenciais de um processo de due diligence de terceiros incluem:

1. Classificação de riscos

Ao classificar os terceiros em categorias por nível de riscos, a empresa poderá determinar a profundidade e a amplitude da due diligence essencial e eficaz. As classificações variam conforme o setor econômico, a natureza do relacionamento com terceiros, as dimensões e a área geográfica que este relacionamento pode abranger, além de outros fatores a serem levados em consideração.

2. Questionários de Due Diligence

Os questionários de due diligence podem auxiliar uma empresa a estabelecer a linha preliminar de entendimento dos terceiros, bem como dos eventuais riscos que eles podem apresentar. Um questionário também pode revelar conflitos de interesses ou pessoas politicamente expostas (PEPs), que tenham relacionamento com o terceiro. Em caso de auditoria ou problema no processo, esse questionário pode ser utilizado para demonstrar os esforços de boa-fé da empresa, bem como as declarações que tenham sido prestadas à empresa por terceiros.

3. Classificação preliminar de terceiros

Com base nas informações preliminares coletadas sobre os terceiros, a empresa deve avaliar a relevância e o volume de suas atividades, o relacionamento com agentes públicos, existência de success fee, bem como o nível de acesso físico do terceiro às instalações da empresa e/ou de informações críticas sobre o negócio.

4. Pesquisa de Due Diligence

A classificação de risco do terceiro determinará a abrangência da pesquisa de due diligence. A título de exemplo, um terceiro classificado na categoria de risco baixo pode estar sujeito apenas a confirmação de existência do estabelecimento, pesquisa de sanções e listas restritivas, existência de relacionamento com o setor público ou com pessoas expostas politicamente (PEPs) e uma análise da existência de mídia adversa. Por outro lado, terceiros classificados na categoria de maior risco poderão estar sujeitos a procedimentos adicionais, como análise de processos judiciais e histórico operacional, mediante consulta em registros públicos e em documentos judiciais e de órgãos reguladores. No caso de pessoas jurídicas estabelecidas ou que empreendam negócios no Brasil, o banco de dados mantidos pelo Ministério da Transparência e Controladoria Geral da União – CGU podem ser úteis para identificar qualquer histórico de violação de medidas anticorrupção.

5. Investigação de indicadores relevantes (red flags)

A empresa deve tratar imediatamente quaisquer potenciais problemas revelados pela pesquisa de due diligence que possam representar um risco à empresa. Dependendo da gravidade do problema e do relacionamento já estabelecido com o terceiro, deverá ser conduzida uma investigação interna da empresa pela área responsável ou externa por especialistas em áreas de compliance e investigação. Adicionalmente, essa investigação também deve ser ampliada para abranger qualquer outra atividade associada, para exame de todas as possibilidades de riscos.

6. Monitoramento contínuo

Caso a empresa decida continuar com a pessoa física ou jurídica pesquisada após a conclusão do processo inicial de due diligence, precisará manter um processo contínuo de due diligence, paralelo às atividades relacionadas ao terceiro.

O monitoramento contínuo pode ser feito de várias formas, incluindo:

• criação de um Dashboard de Due Diligence para um rastreamento eficaz dos riscos por terceiro e por categoria. Além disso, um mapa dos riscos ajudará a empresa a entender seus riscos chaves e identificar atividades e terceiros que potencializem esses riscos;
• o desenvolvimento de uma ferramenta para monitorar transações e emitir alertas, em tempo real, de qualquer transação de alto risco envolvendo terceiros, para assegurar a legitimidade da transação;
• atualização ou confirmação periódica do Questionário de Due Diligence pelo terceiro;
• inscrição em serviços de alerta de notícias para receber notificação sempre que os terceiros monitorados sejam mencionados adversamente na mídia; e
• revisão periódica do banco de dados de novas sanções ou litígios.

Quando a revisão das práticas de due diligence de uma empresa revelar um histórico de terceiros ativos que não passaram por triagem correta, é extremamente importante que a empresa desenvolva uma abordagem baseada em riscos para lidar com o histórico de forma separada dos processos rotineiros de due diligence. Neste caso, terceirizar o processo de due diligence pode ser uma opção eficaz, em termos de rapidez. Em geral, uma empresa deve realizar o processo de due diligence de baixo risco internamente e contratar especialistas externos em áreas de compliance e investigação para tratar da due diligence de alto risco. Neste último grupo de terceiros, será necessária uma análise mais completa e detalhada, abrangendo barreiras geográficas e de idiomas, se necessário.

Os próximos passos, após o processo de revisão de terceiros

Após a implantação efetiva de um processo de due diligence, uma organização deve estabelecer e monitorar a relação de causa e efeito de forma contínua. Especificamente, é essencial levar em consideração a possibilidade de estruturar parâmetros de data analytics para transações em andamento, implementação e revisão periódica dos controles internos, bem como testes de transação para combater fraude e corrupção.

Adicionalmente, deve ser analisada a possibilidade de implantação de programas para garantir uma conduta adequada de terceiros a longo prazo. Por exemplo, a empresa deve oferecer treinamento sobre integridade à terceiros e obter um termo de ciência do código de conduta que inclua uma cláusula de auditoria. Internamente, a empresa também deve revisar seus dados principais de controle e desativar quaisquer privilégios concedidos a terceiros que não tenham tido nenhuma relação comercial com a empresa nos últimos 12 a 24 meses.

Na medida em que o governo brasileiro, na esfera federal e nas esferas estaduais, mantém o foco na investigação criminal de empresas por violação das leis de combate à corrupção, as empresas devem reconhecer e encarar sua responsabilidade por atos de terceiros. Para mitigar com mais eficácia o risco de exposição a atos ilícitos de terceiros, é essencial que as empresas implementem procedimentos rigorosos de due diligence e permaneçam assertivos com os procedimentos de gerenciamento de riscos de terceiros ao longo do relacionamento comercial.

Carrie Meneo, Consultora na StoneTurn, colaborou com este artigo.