ICC Brasil lança Guia de Gestão de Riscos associados a Organizações Criminosas

A Câmara de Comércio Internacional (ICC Brasil), com apoio da Controladoria-Geral da União (CGU), lança cartilha de melhores práticas para a gestão privada de riscos de integridade relacionados a organizações criminosas. 

1. Por que esse tema entrou na agenda das empresas?

Organizações criminosas têm buscado se aproximar de negócios legítimos para movimentar e investir recursos, acessar cadeias logísticas, obter contratos, influenciar decisões e dar aparência regular a atividades ilícitas. 

O risco para empresas vai além do prejuízo financeiro e envolve danos reputacionais, questionamentos regulatórios, exposição criminal e administrativa, interrupção de operações, perda de de clientes e investidores e, em situações mais graves, intervenção judicial, sem se mencionar risco à segurança de administradores e colaboradores. 

2. O que asempresasdevem evitar? 

As empresas tratar o risco de forma global, e não exclusivo da área de compliance. Avaliar constantemente , quem está por trás de um cliente, fornecedor ou investidor, qual é a origem dos recursos, se há capacidade econômica, se os preços são compatíveis com o mercado, se há intermediários sem função clara e se a operação tem lógica econômica. 

Além disso, é importante checar colaboradores que exercem funções chaves dentro da empresa. 

3. Quais são as melhores práticas de governança?

• envolver a alta administração de forma explícita; 
• definir responsabilidades entre compliance, auditoria, jurídico, compras, financeiro, logística, segurança, recursos humanos (RH), operações e áreas de negócio e promover uma gestão de riscos integrada entre elas; 
• conferir autonomia e recursos adequados para compliance e auditoria; 
• promover as políticas aprovadas e assegurar que sejam conhecidas e aplicadas no dia a dia; 
• estabelecer critérios objetivos para aprovar, recusar, suspender ou reavaliar relações comerciais; 
• registrar as decisões relevantes, especialmente exceções; 
• revisar, periodicamente, os riscos e os controles. 

4. Quais procedimentos mínimos devem existir?

As empresas devem ter um conjunto básico de regras para lidar com terceiros e operações sensíveis, conforme o seu  porte, o setor e a exposição ao risco, sendo essencial: 

• due diligence de clientes, fornecedores, parceiros, intermediários e, quando aplicável, investidores e financiadores; 
• identificação do beneficiário final com quem faz negócios (fornecedores e clientes); 
• triagem em listas restritivas, sanções, pessoas politicamente expostas e mídias negativas; 
• validação de CNPJ, endereço, representantes, Classificação Nacional de Atividades Econômicas (CNAE), capacidade operacional e titularidade bancária; 
• segregação de funções em cadastros, aprovações e pagamentos; 
• regras para contratações emergenciais e exceções; 
• monitoramento contínuo de terceiros críticos; 
• canais de denúncia acessíveis e protegidos contra retaliação; 
• cláusulas contratuais de integridade, anticorrupção, prevenção à lavagem de dinheiro, auditoria, comunicação de alterações societárias e possibilidade de suspensão ou rescisão em caso de sinais relevantes de irregularidade. 

5. Como fazer uma due diligence efetiva? 

A due diligence deve combinar documentos, análise reputacional e avaliação prática da operação. Antes de contratar ou manter um terceiro relevante, as empresas devem verificar: 

• quem são sócios, administradores, procuradores e beneficiários finais; 
• se há vínculos com pessoas politicamente expostas, sanções, investigações, processos relevantes ou mídias negativas; 
• se a empresa tem estrutura, equipe, equipamentos, licenças e histórico compatíveis com o contrato; 
• se o preço está dentro de parâmetros de mercado; 
• se o objeto social e o CNAE são compatíveis com a atividade contratada; 
• se o endereço, telefone, e-mail, conta bancária ou representantes aparecem ligados a outras empresas do mesmo processo; 
• se há intermediários sem função clara; 
• se a região de atuação ou a rota logística é sensível; 
• se há pedidos incomuns de urgência, sigilo, alteração de conta bancária ou pagamento fora do fluxo normal. 

Terceiros de maior risco devem passar por diligência reforçada, com documentação complementar, entrevistas, visitas, aprovação por instância superior e monitoramento contínuo. 

6. Quais sinais de alerta merecem atenção imediata?

• dificuldade para identificar o beneficiário final; 
• empresa recém-criada recebendo contrato relevante; 
• sócios sem experiência ou com capacidade financeira incompatível; 
• várias empresas no mesmo endereço ou com os mesmos procuradores; 
• ausência de estrutura física ou operacional compatível; 
• preços muito abaixo ou acima do mercado; 
• uso excessivo de dinheiro em espécie; 
• pagamentos fracionados ou circulares; 
• pedidos de pagamento para conta de terceiro; 
• mudança repentina de conta bancária perto de pagamentos relevantes; 
• resistência em fornecer documentos; 
• urgência incomum para fechar negócio; 
• intermediários sem justificativa; 
• fornecedores “indicados” informalmente; 
• pressão para aprovar exceções; 
• divergência entre o contratado e o executado; 
• atuação em regiões, rotas ou setores reconhecidamente sensíveis; 
• relatos de ameaças, coação ou interferência externa. 

A recomendação é manter uma lista interna de “red flags“, com exemplos concretos, nível de severidade e providência esperada. 

7. Como deve funcionar o monitoramento contínuo?

As empresas devem monitorar gatilhos de risco envolvendo cliente e fornecedores, como: 

• mudança societária; 
• alteração de beneficiário final; 
• troca de conta bancária; 
• picos de faturamento sem explicação operacional; 
• aditivos sucessivos sem racional econômico; 
• mudança incomum de rota logística; 
• concentração atípica de contratos; 
• denúncias ou incidentes locais; 
• surgimento de mídia negativa ou sanções. 

8. O que fazer quando surge um incidente ou suspeita?

• detectar o sinal de alerta; 
• registrar a informação recebida; 
• preservar documentos, mensagens, registros de sistema e evidências relevantes; 
• qualificar a informação, separando fatos verificáveis, indícios objetivos e hipóteses; 
• decidir medidas proporcionais; 
• remediar ou conter o risco; 
• monitorar desdobramentos e registrar aprendizados. 

9. Quando escalar o assunto para níveis superiores?

Situações que envolvam: 

• ameaça, extorsão ou coação de colaboradores; 
• possível infiltração em processos críticos, como logística, pagamentos, cadastro de fornecedores, segurança, TI ou gestão de ativos; 
• tentativa de ocultar ou destruir informações; 
• pressão explícita para contratação ou pagamento fora do fluxo regular; 
• alteração suspeita de beneficiário bancário; 
• indícios relacionados a crimes transnacionais, contrabando, tráfico, produtos contrafeitos lavagem de dinheiro ou uso indevido da cadeia logística; 
• risco concreto de continuidade da prática ilícita. 

Nesses casos, é recomendável a tomada de medidas urgentes e reversíveis, como suspensão temporária de pagamentos, ampliação de diligências, restrição de acessos, revisão de rotas, substituição temporária de fornecedor ou retenção de aprovação até nova análise. 

10. Quando reportar às autoridades?

A comunicação a autoridades deve ser avaliada caso a caso, com participação das áreas jurídica, compliance e, quando necessário, segurança corporativa e alta administração. O ideal é ter protocolo prévio com critérios de necessidade, adequação, proporcionalidade, responsáveis internos e canais aplicáveis.  

11. Como proteger pessoas e manter a operação?

Boas práticas incluem: 

• orientar colaboradores expostos a regiões, rotas ou contrapartes de maior risco; 
• restringir circulação informal de informações sensíveis; 
• afastar temporariamente colaboradores ameaçados ou envolvidos em situações críticas; 
• mapear rotas e fornecedores alternativos; 
• prever níveis mínimos de operação em cenário de crise; 
• definir limites de perda e gatilhos para suspender, reduzir ou realocar operações; 
• avaliar impactos sociais e operacionais da substituição de fornecedores; 
• conduzir comunicação interna e externa de forma coordenada, factual e proporcional. 

12. Qual é o papel da cultura organizacional?

A cultura deve encorajar questionamentos de  dúvidas, relatos e pedidos de ajuda. Treinamentos curtos, práticos e baseados em cenários reais tendem a ser mais efetivos do que conteúdos longos e abstratos. 

As áreas mais expostas — compras, logística, financeiro, comercial, obras, segurança, jurídico, compliance e lideranças locais — devem saber identificar sinais de alerta, registrar exceções, preservar evidências e escalar situações sensíveis. 

13. O que esperar das autoridades?

A atuação das autoridades tem demonstrado maior foco na infiltração de organizações criminosas em atividades empresariais lícitas, especialmente no setor de combustíveis e no mercado financeiro. Outros pontos de atenção são cadeias expostas à baixa rastreabilidade, terceirização, informalidade, falsificações, contrabando, desvios de insumos e ocultação de beneficiários finais.  

Para as empresas, instrumentos capazes de identificar terceiros suspeitos, operações sem lógica econômica, pagamentos atípicos e vínculos indiretos com ilícitos, com protocolos claros de due diligence e resposta a incidentes. O tema tende a ganhar relevância também para companhias com atuação internacional