Conforme já tratamos em texto anterior, a Lei Federal n° 13.303/2016, que dispôs sobre o estatuto jurídico da empresa pública e sociedade de economia mista no âmbito da União, Estados, Distrito Federal e Municípios, apresentou a exigência de práticas de compliance nas atividades das empresas estatais[1].
Para implementação do compliance é essencial criar normativos internos que tratem da estruturação e definição da área responsável pela implementação e pela manutenção do programa de integridade.
A Lei da Estatal estabeleceu como modelo o desenvolvido pelo Institute of Internal Auditors (IIA), baseado em três linhas de defesa, segregando funções específicas e independentes para gerenciamento de riscos e controles internos, como se observa:
- A primeira linha de defesa[2] é representada pelos gestores operacionais, à frente de diretorias, superintendências e departamentos que executam funções relacionadas à atividade-fim da empresa e, por essa característica, agregada ao maior volume de recursos (financeiros, humanos ou tecnológicos) que operam, é considerada a dona dos riscos da estatal;
- A segunda linha de defesa[3] é integrada por setores que apoiam o desenvolvimento e monitoramento dos controles pelas áreas da primeira linha de defesa e suas ações estão afastadas da atividade finalística da estatal. Aqui exemplificam-se as atividades de controle interno, gestão de riscos e compliance.
- Por fim, a terceira linha de defesa[4] compreende a auditoria interna, com a atribuição de avaliar a eficácia da governança, do gerenciamento de riscos e do controle interno.
Cabe asseverar a necessidade de independência da área de compliance, em função da sua atribuição de fiscalizar e inspecionar as demais áreas. Diante dessa característica deve se reportar diretamente à alta administração da estatal, garantindo imparcialidade e lisura em sua atividade. A auditoria interna deve se reportar tanto à alta administração como ao conselho de administração da estatal.
[1] Grande parte das regras sobre compliance dispostas na lei não se aplica às estatais com receita operacional bruta de até 90 milhões de reais, consoante dispõe o artigo 1°, §1° da Lei 13.303/16.
[2] Tratada na Lei das Estatais no artigo 9°, inciso I: “Art. 9o A empresa pública e a sociedade de economia mista adotarão regras de estruturas e práticas de gestão de riscos e controle interno que abranjam:
I – ação dos administradores e empregados, por meio da implementação cotidiana de práticas de controle interno;”
[3] Art. 9°, inciso II: “II – área responsável pela verificação de cumprimento de obrigações e de gestão de riscos;”
[4] Art. 9°, inciso III: “III – auditoria interna e Comitê de Auditoria Estatutário.”