O compliance é hoje uma área do direito, em voga, na qual advogados e compliance officers trabalham à velocidade da luz para não deixar escapar nenhuma “novidade legislativa” que possa melhorar o “fato feito à medida” que orienta as organizações e que sempre deve ser reajustado de cada vez que os instrumentos regulatórios e/ou sancionatórios se impõem.

Assim, se o compliance deve ter um sentido e orientação preventivos, e não meramente reativo, não esqueçamos, todavia, que ir longe demais nas exigências aos visados (há quem defenda já que há excesso normativo), sobretudo se nos focarmos nos desafios que tal implica para empresas de menor dimensão, como as PME, poderá significar impor uma luta desigual, por comparação às grandes multinacionais, dotadas de recursos financeiros que lhes permitem dispor de milhares de euros, a título de exemplo,  em cibersegurança (veja-se o caso da Microsoft que investiu, nessa área, cerca de um bilião de dólares em 2018).

Mas, se devemos ter consciência destas assimetrias (os desafios do compliance nem sempre são justos ou equilibrados), por outro lado, urge também ter bem presente que um bom programa de compliance, adequado e construído à medida de cada organização, das suas características de negócio, necessidades e singularidades, pode isentá-la quando, penal ou contraordenacionalmente, se pretendem assacar responsabilidades também a quem a governa – a este respeito é importante sublinhar que os tribunais portugueses têm sido sensíveis perante a demonstração de aplicação de um programa de compliance por parte das pessoas coletivas e seus administradores quando chamados a pronunciar-se.

Por isso, mais que uma moda, a necessidade de ser compliant deve ser encarada como um modo. Um modo de bem fazer.

É preciso, primeiro, diagnosticar a organização e só depois elaborar o programa, pois mais importante do que ter um programa de compliance é saber que esse programa se adequa aos fins de governação corporativa que se impõem (refira-se, paradigmaticamente, o caso do BES que tinha, dizia-se, um dos melhores sistemas de compliance na altura em que colapsou).

A posteriori, tender a reforçar as auditorias internas e a realização de simulações de situações de crise, de forma a testar a capacidade de resposta interna das entidades corporativas e a justeza, adequação e cumprimento do seu código de conduta.

Ou seja, depois dos primeiros passos – diagnosticar e elaborar – têm que se seguir os momentos (para dentro da organização) de comunicar, formar e fiscalizar: a inevitabilidade da importância do compliance na mudança de paradigma da atividade empresarial é notória e crescente, com relevância para a necessidade de aplicação de políticas de ética e boa conduta no dia a dia das empresas, com expressão na necessidade de formação dos trabalhadores para a filosofia implementada e com tradução de êxito ou insucesso consoante a política imposta se adeque ou não às suas características, componentes do negócio, tipo de clientes e stakeholders e objetivos de uma específica organização.

A cultura de compliance tem, pois, que fazer parte do compromisso dos órgãos de administração para o bom governo das entidades corporativas, pois o não ser compliant tem, hoje em dia, não só impacto nas perspetivas de negócio, como pode acarretar, à frente do risco de incumprimento, um risco reputacional que nenhum agente quererá correr (veja-se o que significa, em Portugal, ser-se arguido durante dois ou três anos num processo que envolva suspeitas de práticas ilícitas), ameaçando, consequentemente, a liberdade de negócio, a credibilidade das instituições e, por consequência, a atração do investimento.