Por que programas de compliance falham e como construir um que sobrevive à rotatividade de pessoas

O programa de compliance que existe só no papel

Depois de anos atuando com governança e compliance em organizações brasileiras, posso afirmar com segurança: a maioria dos programas de compliance falha não por falta de documentação, mas por excesso dela. Parece contraditório, mas não é. O que vejo com frequência são empresas com políticas impecáveis, códigos de ética encadernados, canais de denúncia configurados e treinamentos obrigatórios registrados. Tudo funcionando perfeitamente no papel. E absolutamente nada mudando no comportamento das pessoas.

O problema fundamental está na confusão entre ter um programa de compliance e viver uma cultura de integridade. São coisas completamente diferentes. O programa é estrutura, documentação, processos formais. A cultura é o que acontece quando ninguém está olhando, quando o chefe não está na sala, quando a meta está apertada e o atalho antiético parece tentador. Programas não mudam comportamento. Pessoas mudam comportamento quando percebem que a organização leva a sério o que prega.

A pergunta que deveria tirar o sono de qualquer profissional de compliance é simples: se você sair amanhã, o programa sobrevive? Se a resposta for não, você não construiu um programa. Você construiu uma dependência pessoal disfarçada de estrutura organizacional. E isso explica por que tantas empresas veem seus esforços de compliance desmoronarem a cada troca de liderança ou reorganização de equipe.

A ilusão da conformidade documental

Existe uma armadilha sedutura no compliance: a crença de que documentar é resolver. Elaboramos políticas extensas, criamos fluxogramas detalhados, desenvolvemos matrizes de risco coloridas e apresentamos tudo isso em reuniões de diretoria. Os executivos acenam com a cabeça, aprovam os documentos e todos saem satisfeitos. Missão cumprida, certo? Errado. O que acabou de acontecer foi um ritual burocrático, não uma transformação organizacional.

A conformidade documental cria uma falsa sensação de segurança. Quando uma investigação acontece ou um problema explode, a primeira reação é puxar os documentos: temos política para isso, está escrito aqui, o colaborador assinou o termo de ciência. Mas a pergunta relevante não é se o documento existe. A pergunta é se o documento influenciou alguma decisão real, se algum gerente deixou de fazer algo errado porque internalizou aquele princípio, se algum colaborador denunciou uma irregularidade porque acreditou que seria protegido.

O compliance de papel serve para uma coisa: proteger juridicamente a empresa e seus administradores. É o famoso "check the box", o cumprimento mínimo necessário para demonstrar que algo foi feito. Isso tem valor, especialmente em contextos regulatórios rigorosos ou em investigações. Mas confundir essa proteção jurídica mínima com efetividade é um erro grave. O programa pode estar tecnicamente implementado e ser completamente inútil para prevenir condutas indesejadas.

A distância entre discurso e prática da liderança

Nenhum programa de compliance sobrevive sem o comprometimento genuíno da alta liderança. E aqui está o problema: comprometimento genuíno é diferente de apoio formal. O apoio formal se manifesta em discursos de abertura de treinamentos, assinaturas em políticas e menções ao compliance em relatórios anuais. O comprometimento genuíno aparece nas decisões difíceis, nas promoções, nas demissões, na alocação de recursos reais.

O que vejo acontecer com frequência é uma dissociação completa entre o discurso público e a prática privada. O mesmo CEO que fala sobre integridade em eventos pressiona a equipe comercial para fechar negócios a qualquer custo. O mesmo diretor que aprovou o código de ética promove o gerente que bate metas usando métodos questionáveis. Os colaboradores percebem essa hipocrisia imediatamente. E quando percebem, o programa de compliance vira piada interna, algo para ser tolerado e contornado, nunca levado a sério.

Engajar a alta liderança genuinamente exige uma abordagem diferente. Não basta apresentar os riscos legais ou as multas potenciais. Executivos brasileiros já ouviram isso milhares de vezes e desenvolveram uma certa imunidade a esse tipo de argumento. O que funciona é conectar o compliance aos objetivos estratégicos que eles realmente perseguem: reputação no mercado, acesso a crédito internacional, participação em licitações, atração de talentos, valuation em processos de fusão e aquisição. Quando o compliance deixa de ser custo e vira alavanca competitiva, a conversa muda de tom.

O teste real acontece nas decisões difíceis

A cultura de integridade não se revela nos momentos fáceis. Ela se revela quando seguir a política custa caro, quando fazer a coisa certa significa perder o negócio, quando denunciar o colega pode prejudicar a própria carreira. É nesses momentos que a organização descobre se tem um programa de compliance ou uma cultura de integridade. A diferença fica evidente nas consequências.

Uma empresa com cultura de integridade demite o vendedor que bateu a meta usando propina, mesmo que ele seja o melhor da equipe. Encerra o contrato com o fornecedor problemático, mesmo que isso atrase a produção. Investiga seriamente a denúncia contra o diretor popular, mesmo que isso crie desconforto político interno. Essas decisões são dolorosas e custosas no curto prazo. Mas são elas que demonstram aos colaboradores que as regras valem para todos, que o discurso corresponde à prática.

O problema é que muitas organizações não estão dispostas a pagar esse preço. Preferem a abordagem seletiva: rigor para os pequenos, leniência para os grandes. Compliance para quem não tem poder, flexibilidade para quem tem. Essa inconsistência é devastadora. Ela comunica com clareza absoluta que o programa é fachada, que a integridade é negociável dependendo de quem você é e quanto vale para a empresa. A partir daí, qualquer esforço de conscientização se torna exercício de cinismo.

Métricas que mentem e métricas que revelam

A maioria das métricas usadas para medir programas de compliance é inútil ou enganosa. Quantidade de treinamentos realizados, percentual de colaboradores que assinaram políticas, número de comunicações enviadas sobre o tema. Essas métricas medem atividade, não resultado. É possível ter cem por cento de adesão aos treinamentos e zero mudança de comportamento. E frequentemente é exatamente isso que acontece.

As métricas que realmente importam são aquelas que capturam comportamento e percepção. Pesquisas de clima que perguntam especificamente se os colaboradores acreditam que podem denunciar irregularidades sem represália. Análise do perfil das denúncias recebidas: estão chegando de todos os níveis hierárquicos ou apenas dos mais baixos? Tempo médio de resolução de denúncias e satisfação dos denunciantes com o processo. Casos identificados proativamente versus casos descobertos por acidente ou denúncia externa.

Outro indicador poderoso é a correlação entre desempenho e conduta. Se os colaboradores com melhores avaliações de desempenho são consistentemente aqueles com histórico limpo no compliance, há um alinhamento saudável. Se os melhores performers são também os mais questionáveis eticamente, existe um problema sistêmico que nenhuma política escrita vai resolver. A organização está premiando exatamente o comportamento que diz combater. Esse tipo de análise exige cruzamento de dados que poucas empresas fazem, mas é revelador.

O canal de denúncias como termômetro real

Um canal de denúncias bem utilizado é um dos melhores indicadores de maturidade do programa de compliance. Mas bem utilizado não significa necessariamente com muitas denúncias. Significa com denúncias qualificadas, de diferentes áreas e níveis, tratadas com seriedade e confidencialidade. Quando isso acontece, o canal funciona como um sistema nervoso que antecipa problemas antes que eles se tornem crises.

O silêncio no canal de denúncias raramente é boa notícia. Organizações com milhares de colaboradores e zero denúncias não são paraísos éticos. São ambientes onde as pessoas não confiam no sistema, temem represália ou simplesmente desistiram de reportar porque viram que nada acontece. Esse silêncio deveria acender alarmes, não gerar comemoração. Da mesma forma, um pico súbito de denúncias pode indicar que algo mudou positivamente na confiança do sistema, não que a organização ficou mais corrupta.

A qualidade do tratamento das denúncias importa mais do que a quantidade recebida. Uma única denúncia mal tratada, com vazamento de identidade ou ausência de retorno ao denunciante, pode destruir anos de trabalho de construção de credibilidade. Por outro lado, investigações conduzidas com rigor e denunciantes que percebem que suas contribuições geraram consequências reais criam um ciclo virtuoso. As pessoas passam a confiar no sistema e a utilizá-lo mais.

Construindo para sobreviver à rotatividade

A dependência de pessoas específicas é a maior fragilidade dos programas de compliance brasileiros. Quando o Chief Compliance Officer sai, leva consigo relacionamentos, conhecimento tácito e credibilidade construída ao longo de anos. Se o programa estava centrado nessa pessoa, ele entra em colapso ou estagnação até que alguém novo reconstrua tudo do zero. Isso é ineficiente e arriscado.

A solução passa por institucionalizar o que normalmente fica na cabeça das pessoas. Documentar não apenas as políticas, mas os racionais por trás delas, os contextos em que foram criadas, os problemas que tentavam resolver. Criar processos de decisão que não dependam de um único aprovador. Formar uma rede de embaixadores de compliance em diferentes áreas, pessoas que não são da área específica mas entendem e defendem os princípios. Essas estruturas criam redundância saudável.

Outro elemento crucial é a governança clara sobre o próprio programa de compliance. Quem decide o que? Quais instâncias precisam ser envolvidas em quais decisões? Como o programa se reporta ao Conselho de Administração ou Comitê de Auditoria? Quando essas definições estão claras e documentadas, a troca de pessoas se torna menos traumática. O novo ocupante do cargo encontra uma estrutura funcionando, não um vácuo para preencher com suas preferências pessoais.

O papel do comitê de ética como âncora institucional

Comitês de ética ou de conduta bem estruturados funcionam como âncoras que estabilizam o programa independentemente de quem ocupa as posições operacionais. Quando o comitê tem composição multidisciplinar, mandatos definidos e autoridade real para tomar decisões, ele se torna um guardião institucional da integridade. As decisões importantes passam por um colegiado, não por um indivíduo.

A composição do comitê importa enormemente. Se todos os membros são subordinados diretos do CEO, a independência é ilusória. Se o comitê é formado apenas por pessoas de compliance e jurídico, falta perspectiva operacional. O ideal é um equilíbrio que inclua representantes de diferentes áreas, com pelo menos algum grau de independência em relação à gestão executiva. Em empresas com conselho de administração ativo, a participação ou supervisão de conselheiros fortalece ainda mais a estrutura.

O comitê também serve como memória institucional. Ao documentar suas decisões e os critérios utilizados, cria precedentes que orientam situações futuras. Quando um caso semelhante aparece anos depois, com pessoas completamente diferentes envolvidas, existe um histórico para consultar. Essa consistência temporal é fundamental para a credibilidade. Os colaboradores percebem quando situações parecidas são tratadas de forma diferente dependendo de quem está no comando, e isso corrói a confiança no sistema.

Treinamentos que não mudam nada versus formação que transforma

A indústria de treinamentos de compliance criou um problema próprio. Conteúdos genéricos, exemplos distantes da realidade brasileira, linguagem burocrática e jurídica, apresentações intermináveis que os colaboradores assistem enquanto respondem e-mails. O treinamento vira ritual obrigatório a ser cumprido, não oportunidade de aprendizado. E no final, todos assinam a lista de presença e nada muda.

Treinamentos efetivos precisam de três elementos: relevância, interatividade e aplicação prática. Relevância significa usar exemplos do próprio setor, dilemas que os participantes reconhecem do dia a dia, situações onde a resposta correta não é óbvia. Interatividade significa discussão real, não palestra unidirecional. Aplicação prática significa que os participantes saem com ferramentas concretas para usar no trabalho, não apenas informações abstratas sobre legislação.

Um formato que funciona bem são os workshops focados em dilemas éticos específicos. Apresenta-se uma situação cinzenta, sem resposta certa evidente, e os participantes debatem. O facilitador guia a discussão, traz perspectivas diferentes, conecta com os princípios do código de ética. Não há prova no final, não há certificado. O que há é uma experiência que faz as pessoas pensarem sobre como agir quando enfrentarem algo parecido. Esse tipo de formação é mais trabalhoso e menos escalável que o treinamento online massificado, mas gera resultados reais.

A integração com processos de negócio

Programas de compliance que existem em paralelo ao negócio estão fadados à irrelevância. Se o compliance só aparece para aprovar ou reprovar, para exigir documentos ou para investigar problemas, ele será visto como obstáculo, não como parceiro. A integração real acontece quando os princípios de integridade estão embutidos nos processos de negócio desde o desenho, não adicionados como camada posterior de controle.

Isso significa envolver compliance nas discussões de novos produtos, novas parcerias, entrada em novos mercados. Não para vetar, mas para construir junto. Como estruturar essa operação de forma que os riscos de compliance sejam gerenciáveis? Quais controles precisam existir desde o início? Que treinamentos específicos a equipe envolvida precisa receber? Quando compliance participa da criação, as soluções são melhores e a resistência é menor.

A integração também se manifesta nos sistemas de informação. Controles automatizados que impedem transações fora do padrão, alertas que identificam comportamentos atípicos, dashboards que mostram indicadores de risco em tempo real. Quanto mais o compliance estiver embarcado na tecnologia que suporta os processos de negócio, menos dependerá de vigilância humana constante. E sistemas não tiram férias, não pedem demissão e não são influenciados por relações pessoais.

Quando o regulador chega, é tarde para construir cultura

Existe um padrão que se repete em empresas brasileiras: o programa de compliance ganha força depois de uma crise. Uma investigação, uma multa, um escândalo na mídia. De repente, recursos que nunca existiam aparecem, a alta liderança que nunca tinha tempo agora participa de todas as reuniões, contratar profissionais qualificados se torna prioridade. O problema é que construir cultura sob pressão é muito mais difícil e muito mais caro.

Quando o regulador chega, quando a Polícia Federal bate na porta, quando a imprensa começa a fazer perguntas, a organização precisa demonstrar que seu programa não é fachada. E demonstrar isso exige histórico: decisões documentadas, casos tratados com rigor, evolução consistente ao longo do tempo.

A GovSimplix estrutura o Compliance como domínio central do seu modelo de governança, permitindo que organizações construam e monitorem seus programas de integridade com base em evidências documentadas, trilhas de auditoria e indicadores de efetividade que vão além do cumprimento formal de normas.

Perguntas frequentes

Por que programas de compliance falham nas empresas brasileiras?
A maioria dos programas falha porque se concentra em documentação e processos sem criar mudança real de comportamento. Quando há rotatividade de pessoas, o conhecimento sobre compliance desaparece com os colaboradores que saem, deixando apenas papéis sem valor prático.

Qual é a diferença entre compliance e cultura de integridade?
Compliance é um conjunto de regras, políticas e procedimentos que a empresa estabelece. Cultura de integridade é quando as pessoas naturalmente agem de forma ética e íntegra, independentemente de fiscalização ou medo de punição.

Como construir um programa de compliance que resista à rotatividade?
O programa deve ser centrado em comportamentos e valores, não apenas em documentos. Invista em treinamento contínuo, liderança exemplar e sistemas que funcionem por si só, garantindo que novos colaboradores herdem uma cultura já consolidada.

Quais são os principais riscos de um programa de compliance fraco?
Os riscos incluem violações regulatórias, multas pesadas, danos à reputação da empresa e processos judiciais. Além disso, colaboradores desengajados tendem a criar um ambiente mais propenso a fraudes e desvios éticos.

Como medir se o programa de compliance está funcionando?
Meça através de indicadores como taxa de denúncias recebidas, número de treinamentos completados, feedback de líderes sobre mudanças comportamentais e redução de incidentes. O resultado mais importante é a percepção cultural entre colaboradores de que integridade é realmente valorizada.

Quanto custa implementar um programa de compliance efetivo?
O custo varia conforme tamanho e complexidade da empresa, mas deve considerar tecnologia, treinamentos contínuos e pessoas dedicadas. O investimento é significativamente menor que os custos de não ter compliance, que incluem multas regulatórias e danos reputacionais.

Qual deve ser o papel da liderança no compliance?
A liderança é a base do programa, pois colaboradores imitam o comportamento dos gestores. Executivos que demonstram integridade no dia a dia, mesmo sob pressão, estabelecem o tom para toda a organização e validam a importância real do compliance.

Como manter o compliance vivo durante mudanças organizacionais?
Integre compliance nos processos de onboarding, faça avaliações periódicas de cultura, e mantenha comunicações consistentes sobre valores. Designar um responsável permanente por compliance garante continuidade, independentemente de quem entra ou sai da empresa.

Quais são os erros mais comuns ao implementar compliance?
O maior erro é delegar compliance apenas para um departamento, transformando-o em algo isolado e burocrático. Outros erros incluem focar em documentação sem conscientização comportamental, não envolver liderança e não adaptar o programa à cultura específica da empresa.

Como garantir que o compliance sobreviva a uma troca de gestão?
Documento os princípios de integridade na cultura corporativa, não em pessoas individuais. Treine sucessores e equipes continuamente, crie sistemas automatizados de controle e certifique-se de que compliance está integrado na estratégia da empresa, garantindo prioridade independentemente de quem lidera.

Sobre o autor

Julio César
Co-fundador e Arquiteto das Soluções, GovSimplix

Julio César é bacharel em Ciências da Computação pela USTJ e graduado em Análise e Desenvolvimento de Sistemas. É especialista pós-graduado em Cibersegurança e Governança de Dados pela PUC Minas e pós-graduado em Gestão Estratégica de Negócios pela Universidade Presbiteriana Mackenzie.

Possui certificação internacional de Lead Auditor para as normas ISO 27001 (Segurança da Informação), ISO 27701 (Privacidade da Informação) e ISO 42001 (Gestão de Inteligência Artificial), além da certificação Lean Six Sigma Black Belt, voltada para melhoria de processos e redução de variabilidade operacional.

Na GovSimplix, é o responsável pela concepção e evolução da arquitetura metodológica que estrutura os 11 domínios de governança empresarial da plataforma. Combina formação técnica, experiência em auditoria de sistemas de gestão e visão executiva para traduzir a complexidade da governança em estrutura operável para organizações de qualquer porte e setor.