Por Carolina Marzano, compliance officer da Associação Brasileira das Empresas de Software (ABES)
As fragilidades na estrutura de governança das empresas tornaram-se, nos últimos anos, um dos principais fatores de risco corporativo. Não se trata apenas da ausência de controles formais, mas da distância entre o que está escrito nas políticas e códigos internos e o que realmente norteia a tomada de decisões. Essa inconsistência cria um terreno fértil para falhas éticas, desvios operacionais e, sobretudo, para a responsabilização de profissionais cuja função é justamente mitigar riscos: os especialistas em compliance.
A verdade incômoda é que muitas organizações ainda tratam a governança como um elemento decorativo, para atender exigências regulatórias ou expectativas de mercado, porém sem integração real com a estratégia empresarial. Modelos de comitês ineficazes, conselhos pouco atuantes, ausência de accountability e canais de denúncia falhos compõem um cenário em que, embora o compliance seja chamado a atuar, frequentemente não dispõe das condições necessárias para exercer sua função de forma adequada.
Essa vulnerabilidade organizacional tem impacto direto na responsabilidade legal do profissional de compliance. Diferentemente do que ocorre com administradores e conselheiros, em relação aos quais a responsabilização já é amplamente discutida, o compliance officer permanece em um espaço cinzento entre a responsabilidade técnica e a responsabilidade jurídica. Mesmo não sendo o executor das atividades, é cobrado por não identificar, alertar ou controlar riscos que seriam previsíveis diante de uma governança mais sólida.
Em contextos de crises corporativas, investigações ou incidentes legais relevantes, cresce a tentação de atribuir ao compliance a função de “último guardião”, como se coubesse a ele evitar, sozinho, falhas que decorrem de lacunas sistemáticas da própria empresa. Entretanto, quando a governança é frágil — seja por falta de autonomia, de recursos, de canais formais de reporte ou de apoio institucional — a responsabilidade legal do profissional não pode ser analisada de forma isolada. Avalia-se a diligência: o que ele viu, o que deveria ter visto, o que alertou e como registrou suas recomendações.
É por isso que documentação, independência e acesso à alta administração se tornaram elementos essenciais, não apenas de boas práticas, como também de segurança jurídica. Um compliance officer que tem suas recomendações ignoradas ou abafadas, mas que mantém registros claros e consistentes, demonstra diligência. Por outro lado, a ausência de documentação abre margem para interpretações que podem resultar em responsabilização injusta.
O problema se agrava quando a cultura interna reforça o silêncio ou desestimula a contestação. Governança não é só estrutura: é comportamento. Empresas que evitam conversas difíceis, normalizam exceções ou relativizam riscos criam um ambiente em que violações se tornam previsíveis — e em que o compliance é acionado exclusivamente quando o problema já se materializou.
Assim, discutir responsabilidade legal sem discutir governança é analisar somente metade do problema. A evolução jurídica e regulatória é clara ao reconhecer que o profissional de compliance deve agir com diligência, independência e técnica. Paralelamente, reconhece que ele não pode ser responsabilizado por falhas que decorrem da própria estrutura organizacional, especialmente quando não dispõe dos instrumentos necessários para atuar de forma efetiva.
No fim, empresas com governança frágil além de aumentarem seus riscos, também expõem injustamente quem trabalha para mitigá-los. Fortalecer a governança é, portanto, proteger a empresa, os stakeholders e o próprio profissional de compliance — cujo papel é essencial, mas não milagroso.
