Durante anos, os Programas de Compliance foram estruturados para responder a uma pergunta relativamente simples: com quem estamos fazendo negócios?
A resposta era construída, em grande medida, por meio de checklists documentais, processos de background check, KYC, KYS e due diligence voltados à identificação de passivos e à verificação da integridade de terceiros, fornecedores críticos e parceiros comerciais.
Esse modelo continua relevante. Mas já não é suficiente.
A recente discussão sobre a possível designação de facções criminosas brasileiras como organizações terroristas pelos Estados Unidos revela uma transformação silenciosa, porém profunda, na gestão de riscos corporativos. O foco deixa de estar restrito aos terceiros tradicionalmente monitorados e passa a alcançar toda a cadeia de relacionamentos da organização, incluindo clientes, distribuidores, beneficiários finais, parceiros indiretos e estruturas econômicas aparentemente legítimas.
O risco já não está apenas nos terceiros diretos. Ele se espalha por toda a cadeia de relacionamentos da organização, em um verdadeiro efeito cascata.
Quando uma organização é classificada como terrorista por autoridades norte-americanas, os impactos ultrapassam fronteiras e produzem consequências que vão muito além da esfera penal.
Embora as sanções não se estendam automaticamente a todos os envolvidos, empresas que mantenham relações comerciais ou financeiras com estruturas vinculadas a essas organizações podem enfrentar restrições operacionais, dificuldades de acesso ao sistema financeiro, limitações para atuar em mercados internacionais, encerramento de relacionamentos bancários, aumento do escrutínio regulatório e relevantes danos reputacionais.
O maior desafio está justamente nessa indireção.
As organizações criminosas modernas não operam apenas na clandestinidade ou na ilegalidade visível. Elas utilizam empresas de fachada, estruturas societárias complexas, operadores financeiros, prestadores de serviços e negócios aparentemente regulares para movimentar recursos, ocultar beneficiários e expandir sua influência econômica e política.
Isso significa que uma empresa pode acreditar estar contratando um fornecedor legítimo, negociando com um cliente regular ou adquirindo produtos de origem lícita quando, na realidade, existe uma conexão oculta com estruturas criminosas.
Não se trata mais apenas de prevenir corrupção ou garantir conformidade com a Lei Anticorrupção. O desafio passa a ser compreender quem efetivamente se beneficia das relações comerciais estabelecidas pela organização.
Essa transformação impacta diretamente a forma como os Programas de Compliance são concebidos e executados. Os pilares permanecem os mesmos. O que mudou foi a profundidade necessária para aplicá-los.
Na metodologia dos 10 pilares difundida pela LEC, continuam fundamentais o comprometimento da alta direção, a avaliação de riscos, os controles internos, a due diligence, o monitoramento e os demais elementos que sustentam um programa efetivo de integridade.
O que surge agora é uma nova lente por meio da qual esses pilares precisarão ser interpretados.
A avaliação de riscos deverá incorporar ameaças relacionadas ao crime organizado, à lavagem de dinheiro, ao financiamento do terrorismo, às sanções internacionais e à infiltração econômica.
Os controles internos precisarão contemplar sinais de alerta associados a beneficiários finais ocultos, estruturas societárias complexas, empresas de fachada e operações incompatíveis com a capacidade econômica declarada.
E a due diligence deixará de ser apenas uma ferramenta de validação cadastral para se tornar um instrumento de inteligência corporativa.
Mas calma. Não criemos pânico — diria um conhecido herói rubro-latino. O momento exige cautela, método e estratégia.
Na tentativa de se adequar rapidamente a essa nova realidade, um dos maiores erros que uma organização pode cometer é revisar simultaneamente toda a sua base de fornecedores, clientes e parceiros sem critérios claros de priorização. Programas construídos sob pressão costumam gerar custos elevados, baixa efetividade e enorme desgaste operacional.
O primeiro passo é revisitar o Programa de Compliance e construir, em conjunto com as áreas de riscos, jurídico, compliance, suprimentos, finanças e negócios, uma matriz capaz de identificar onde estão as exposições mais relevantes.
Nem todos os relacionamentos apresentam o mesmo grau de risco. Nem todas as cadeias produtivas exigirão o mesmo nível de diligência.
Sem um plano estruturado, corre-se o risco de tentar analisar tudo ao mesmo tempo e não conseguir analisar nada com a profundidade necessária.
Em um segundo momento, mas com igual relevância, a própria due diligence precisará evoluir.
Em grande parte das organizações não reguladas, esse processo historicamente concentrou-se em fornecedores e parceiros comerciais. A análise costumava ocorrer no momento da contratação, complementada por monitoramentos periódicos, consultas a listas restritivas, pesquisas reputacionais, verificações cadastrais e levantamentos de antecedentes.
Esse modelo foi essencial para mitigar riscos de corrupção, fraude e conflitos de interesse. Mas o cenário atual exige uma abordagem significativamente mais ampla.
A análise passa a alcançar clientes, distribuidores, representantes comerciais, intermediários, beneficiários finais e, em determinados contextos, até fornecedores de fornecedores. O monitoramento deixa de ser episódico e passa a ser contínuo e baseado em risco.
Além da integridade e da reputação, entram definitivamente no radar temas como lavagem de dinheiro, financiamento do terrorismo, sanções internacionais, crime organizado e riscos indiretos da cadeia de valor.
A pergunta deixa de ser apenas “com quem fazemos negócios?” para se transformar em algo muito mais estratégico: “Quem se beneficia economicamente dessas relações comerciais?”
Essa mudança conduz inevitavelmente às discussões sobre beneficiários finais, estruturas societárias, fluxos financeiros e redes econômicas que permaneceram, por muito tempo, fora do radar de diversas organizações.
Talvez a principal inspiração para essa evolução venha dos programas de prevenção à lavagem de dinheiro.
Instituições financeiras trabalham há décadas com conceitos como KYC, KYB, monitoramento contínuo e avaliação baseada em risco.
Na Colômbia, o SAGRILAFT expandiu essa lógica para diversos setores econômicos, exigindo que as organizações conheçam não apenas seus fornecedores, mas também clientes, contrapartes, beneficiários finais e demais estruturas de relacionamento.
A nova geração de due diligence não pode ser baseada apenas em documentos. Ela precisa ser baseada em inteligência.
Os questionários tradicionais tendem a evoluir para contemplar beneficiários finais, exposição geográfica, estruturas societárias complexas, subcontratações relevantes, mecanismos de prevenção à lavagem de dinheiro, exposição a sanções e fatores de risco relacionados à criminalidade organizada.
Mais importante do que coletar informações será compreender as conexões existentes entre elas.
E é justamente nesse ponto que a inteligência artificial passa a ocupar papel central.
Iniciativas como o Projeto Helene ganham relevância ao utilizar IA para identificar padrões, relacionamentos e anomalias que dificilmente seriam percebidos por análises exclusivamente manuais.
A tecnologia não substitui o julgamento humano. Mas amplia significativamente a capacidade das organizações de compreender suas cadeias de relacionamento e direcionar recursos para os riscos realmente relevantes.
Uma empresa pode possuir excelentes políticas internas, controles robustos e treinamentos exemplares. Ainda assim, sofrer impactos severos por falhas na avaliação de sua rede de conexões.
Talvez estejamos diante da maior transformação do compliance contemporâneo, quando os maiores riscos já não estão necessariamente dentro da organização, mas nas suas conexões.