Blog

As investigações internas fazem parte de programas de compliance e têm um papel importante no que diz respeito à integridade das empresas. De fato, o canal de denúncias de uma empresa costuma ser o principal meio para a identificação de falhas e riscos, bem como do eventual descumprimento de políticas internas e leis. Por sua vez, e não menos importantes, são as investigações internas que visam a averiguar os fatos e pessoas envolvidas nesses potenciais descumprimentos, falhas e riscos.

Um dos principais passos para as investigações terem sucesso é o seu planejamento adequado. De fato, as investigações conduzidas por departamentos das próprias empresas e por terceiros requerem o planejamento de tempo e recursos a serem dispendidos, entre outros elementos. Sem isso, podem resultar em fracassos ou não alcançarem os objetivos almejados.

Diante da importância das investigações internas dentro da estrutura organizacional de uma empresa, a Organização Internacional para Padronização (ISO) publicou, em julho de 2023, a ISO 37008:2023, visando a estabelecer um padrão global em relação a melhores práticas em investigações internas.

A norma traz orientações gerais que podem ser utilizadas e adaptadas por empresas de diversos portes e áreas de atuação, entre as quais, os princípios atinentes às investigações internas, os recursos necessários para suporte às investigações, as medidas de segurança e de proteção aos denunciantes, as orientações para o processo de investigação em si, as eventuais medidas de remediação e melhoria, a interação com os stakeholders[1] relevantes e as medidas disciplinares.

Entre as principais orientações delineadas para sua aplicação, a ISO 37008:2023 destaca importantes recomendações relacionadas ao início da investigação interna, em especial, a importância de a empresa adotar uma política e/ou um procedimento claro a respeito do tema.

As políticas e/ou procedimentos existentes devem ser suficientes para garantir ao investigador os meios necessários para a condução da investigação, como a possibilidade de agir tempestivamente diante da eventual questão identificada. Do mesmo modo, a política deve ser capaz de garantir que os potenciais envolvidos tenham seus direitos preservados, evitando retaliações e assegurando a ampla cooperação dos colaboradores durante o curso de toda a investigação.

Por fim, e ainda mais importante, a política deve ser capaz de garantir a independência necessária e cooperação do alto escalão da empresa durante sua condução, para que seus resultados sejam devidos, adequados e eficientemente alcançados, sem sua interferência ou influência.

As políticas e/ou procedimentos da organização também devem ser suficientes para prevenir eventuais deleções de documentos ou de quaisquer tipos de informações que possam ser necessárias ou relevantes para a investigação. Ainda, as políticas e os procedimentos da empresa devem estabelecer medidas para proteger a divulgação ou o compartilhamento das informações obtidas durante as investigações, sempre levando em conta a máxima do “need to know”[2].

A respeito do tema da não retaliação, a norma esclarece que as políticas e os procedimentos da empresa devem não apenas proteger a figura do denunciante, como também devem ser suficientes para proteger eventuais testemunhas, os próprios investigadores, entrevistados e os responsáveis pela tomada de decisões (em especial aqueles responsáveis pelas decisões quanto às consequências como resultado das investigações).

A norma também estabelece que, desde o início da investigação, o time de investigação deve estabelecer quem são os stakeholders relevantes e elaborar um plano para a divulgação e compartilhamento das informações necessárias com esses indivíduos (a depender do nível de informações que cada um dos diferentes stakeholders “tem o direito de saber”).

O time de investigação deve, portanto, identificar quem são os indivíduos que precisam ter acesso a determinadas informações como parte da função que exercem dentro da empresa ou a quem a empresa tem algum tipo de dever legal ou regulatório de reportar o identificado. O plano deve conter quais as informações que devem ser prestadas a cada um dos stakeholders relevantes e qual a periodicidade em que essas comunicações devem ocorrer. O objetivo desse planejamento é garantir que as comunicações sejam efetivas, minimizando eventuais impactos da investigação nas operações da empresa.

A ISO 37008:2023 estabelece outro relevante passo ainda anterior ao início da investigação, qual seja, o time de investigação deve considerar a seriedade e a credibilidade das alegações e se essas, assim como as informações às quais se tem acesso naquele momento, são suficientes para dar início ao processo de investigação.

Quando necessário e possível, o time de investigação pode considerar contatar o denunciante para solicitar esclarecimentos adicionais. Apenas a partir desse momento é que o time de investigação será capaz de determinar se é recomendada a condução de investigação completa e aprofundada e, quando for o caso, essa recomendação deverá ser devidamente documentada.

Para além disso, a ISO 37008:2023 também enfatiza a importância da caution notice. A norma estabelece que a caution notice pode ser tanto verbal quanto escrita, a depender do caso. Em ambos os casos, o objetivo é informar e enfatizar aos stakeholders a importância de se manter a confidencialidade das informações recebidas e, inclusive, da existência da investigação.

A caution notice deve esclarecer os potenciais impactos negativos de eventual divulgação das informações (ainda que tenha ocorrido de forma acidental), bem como suas potenciais responsabilidades como resultado dessa divulgação. A ISO 37008:2023 destaca como potenciais impactos negativos da divulgação de informações a deleção de documentos e informações.

No que diz respeito à condução de entrevistas, a ISO 37008:2023 indica que estas devem ser adequadas e apropriadamente documentadas (através de notas ou gravações, a depender da legislação e normas aplicáveis em cada país). Ao final das entrevistas, é recomendável que os entrevistadores solicitem que o entrevistado confirme que o que foi documentado é verdadeiro e que seu conteúdo é consistente com o melhor conhecimento do entrevistado.

Ainda, a ISO 37008:2023 acrescenta que as notas tomadas durante as entrevistas devem ser objeto de tratamento específico, de modo que o time de investigação assegure que essas informações estejam protegidas pelo privilégio referente à relação entre cliente e advogado.

Outro ponto importante trazido pela ISO 37008:2023 é que o time de investigação não deve prometer algo em troca da cooperação do empregado. Pelo contrário, eventuais investigados devem ser notificados e estar cientes da política organizacional que determina sua participação e cooperação com a investigação. Isso, é claro, desde que sua cooperação não diga respeito ao fato de o investigado simplesmente admitir eventual culpa.

Ao contrário do que comumente se vê, a ISO 37008:2023 ressalta que a decisão de conduzir uma investigação não presume a culpa de eventuais envolvidos, de modo que a investigação deve ser tratada como processo imparcial de identificação de fatos.

Nos termos da ISO 37008:2023, a investigação só pode ser considerada substancialmente completa quando: (i) o time de investigação for capaz de indicar os principais achados da investigação, considerando que esses estejam devidamente fundamentados em evidência documental, e desde que sejam suficientes para que a administração da empresa tome decisões a respeito de eventual incidente; (ii) o time de investigação for capaz de prestar contas integralmente a respeito do produto de seu trabalho e (iii) o resultado da investigação fornecer uma base suficiente para iniciar ações de remediação e corretivas, conforme necessárias.

Por fim, a ISO 37008:2023 estabelece que os resultados da investigação devem ser registrados por escrito e os achados devem estar sempre fundamentados em evidência documental. Todas as investigações devem ser tratadas como se fossem terminar em disputas judiciais e, por esse motivo, todos os procedimentos da investigação devem ser conduzidos considerando que possam vir a ser submetidos ao escrutínio de um juiz.

Para investigações em que possa existir uma frente litigiosa como resultado dos trabalhos ou quando é necessário reporte a eventuais órgãos reguladores – por exemplo, o que ocorre em setores regulamentados -, a empresa deve sempre buscar aconselhamento jurídico, em especial visando a garantir o tratamento confidencial e sigiloso dos relatórios e documentos elaborados ao longo da investigação.

Da mesma forma que as comunicações aos stakeholders devem ser devidas e eficientemente planejadas, eventuais comunicações que sejam necessárias a órgãos governamentais ou a autoridades reguladoras também devem ser cuidadosamente avaliadas. Para tanto, a ISO 37008:2023 recomenda que sejam consultados advogados, visando a garantir que os interesses e direitos da organização sejam integralmente protegidos.

Como resultado de uma investigação bem-sucedida, o relatório final deve conter eventuais medidas de remediação (plano de remediação), no sentido de minimizar os impactos das eventuais violações identificadas, bem como potenciais recomendações de melhoria nos procedimentos e controles internos da organização, visando a evitar a reincidência de eventos similares.

Finalmente, a norma reitera a importância de uma investigação bem conduzida, ressaltando que investigações internas podem ocasionar, direta ou indiretamente, riscos legais se não forem devidamente conduzidas.

[1] Conforme definido pela própria ISO 37008:2023, stakeholders são aqueles que possuem algum interesse nas informações relativas à investigação interna ou que dela resultem. Podem ser eles internos ou externos, sendo que os stakeholders externos podem ser autoridades, auditores financeiros, fornecedores ou clientes; e os stakeholders internos podem ser os empregados e sócios e/ou administradores da própria empresa.