Recentemente, o jornal O Globo publicou uma reportagem com um título chamativo: “O Código de Conduta ‘Frankenstein’ do Master” (acesse pelo link acima). Essa matéria sugere que o documento foi construído a partir de uma mistura de trechos legais, conceitos regulatórios e fragmentos de boas práticas de mercado.

O título é bem provocativo, talvez até exagerado. Contudo, ele levanta uma discussão que vale à pena discutir com vocês!

Inicialmente, observo que não fiz qualquer análise direta do Código de Conduta do Banco Master. Sem essa análise direta ou do contexto em que o documento foi produzido, qualquer julgamento definitivo seria irresponsável por minha parte. Ainda assim, o episódio traz uma pergunta incômoda para empresas e nós profissionais da área: Quantos programas de compliance existem hoje apenas no papel?

Sejamos honestos, copiar leis, juntar jargões regulatórios e montar um documento de 40 ou 80 páginas não cria cultura de integridade. No máximo, cria um PDF elegante.

Compliance de verdade não é um documento. É um sistema de governança aplicado à prática da empresa.

Quando esse sistema não existe, o que sobra, muitas vezes, é exatamente o que o título da reportagem sugere: uma colagem de conceitos jurídicos que parece sofisticada, mas não muda absolutamente nada na rotina da organização.

O que realmente é compliance?

Não temos uma única definição sobre o significado do termo. Por outro lado, podemos dizer que compliance significa estruturar mecanismos para que a empresa aja de acordo com a lei, com padrões éticos, morais e com seus próprios compromissos institucionais. Isso envolve prevenção, detecção e resposta a riscos.

Não é apenas sobre corrupção. Não é apenas sobre legislação anticorrupção. E, certamente, não se resume a um código de conduta distribuído por e-mail. Sem processo, sem governança e sem cultura, compliance vira decoração corporativa.

Os pilares de um programa de compliance que funciona

1. Comprometimento real da liderança

Compliance não funciona quando é tratado como responsabilidade exclusiva do jurídico ou de uma área isolada. Se a liderança não leva o tema a sério, o restante da organização também não levará.

Tone at the top não é slogan, é comportamento!

2. Código de conduta compreensível e aplicável

Tenho visto colegas pesarem a mão na elaboração de códigos de conduta. Só que um bom código de conduta não é uma aula de direito. Ele precisa traduzir os riscos concretos da empresa em orientações práticas, considerando: conflitos de interesse, relacionamento com agentes públicos, fraudes, proteção de dados, assédio, discriminação, uso de informações e outros temas relevantes para aquele negócio específico.

Se o documento parece ser uma compilação da legislação brasileira e internacional, provavelmente alguém esqueceu de adaptá-lo à realidade do negócio.

3. Avaliação de riscos

Cada empresa tem riscos diferentes. Uma fintech, por exemplo, enfrenta desafios distintos de uma indústria. Uma startup opera em contexto diferente de uma instituição financeira tradicional.

Sem mapeamento de riscos, qualquer programa de compliance vira genérico. E, programas genéricos raramente funcionam.

4. Políticas e controles internos

O código de conduta é apenas o ponto de partida. É preciso desdobrá-lo em políticas claras, procedimentos operacionais, segregação de funções, aprovações e mecanismos de controle.

Integridade institucional não se constrói com discurso. Constrói-se com processo e observância real das boas práticas.

5. Treinamento e comunicação

Não adianta ter regras que ninguém entende. Os Treinamentos precisam ser frequentes, acessíveis e conectados à realidade das equipes, incluindo adaptações de falas para melhor compreensão.

Caso contrário, o compliance vira apenas mais um slide corporativo ignorado em apresentações internas.

6. Canal de denúncia e investigação

As pessoas precisam ter meios seguros para relatar as irregularidades que possuem conhecimento e/ou vivenciam. As boas práticas recomendam a adoção de canais de denúncia que sejam independentes e auditáveis. Porém, um canal de denúncia sem investigação séria é só um formulário online.

Um programa eficaz exige apuração responsável, documentação e resposta proporcional.

7. Gestão de terceiros

Muitas crises de integridade começam fora da empresa. Fornecedores, parceiros, intermediários e representantes comerciais podem representar riscos relevantes.

Due diligence e monitoramento de terceiros fazem parte da maturidade de qualquer programa; mas, por vezes, acabam negligenciados.

8. Monitoramento e melhoria contínua

Compliance não é projeto com data de entrega, é um processo permanente de avaliação, aprendizado e ajuste. Se o programa nunca é revisado, provavelmente já está desatualizado!

O verdadeiro problema

O ponto central não é saber se um código foi escrito com ajuda de IA, se aproveitou modelos de mercado ou se cita legislação. Tudo isso pode ser perfeitamente legítimo.

O problema começa quando o documento é tratado como fim, e não como parte de um sistema maior de governança. Aí, surgem os tais “Frankensteins corporativos”. Em outras palavras, documentos tecnicamente impressionantes; mas completamente desconectados da prática da organização.

No fim das contas, compliance eficaz não é o mais bonito, nem o mais longo. É o que realmente orienta comportamento e reduz risco.

O resto é papel.