Eduardo Person Pardini, CICP

No artigo anterior fiz uma reflexão sobre as causas que impactam adversamente a qualidade de um programa de compliance. Agora, neste artigo, quero trabalhar em como os atributos de um sistema de controles internos pode tornar o programa de compliance mais efetivo.

Para iniciar, vamos relembrar alguns conceitos básicos que fazem parte da gestão e da dinâmica corporativa:

·         Objetivo de Compliance: Sabemos que “compliance” é uma atitude, e que seu objetivo é assegurar que todas as atividades, tarefas, ações e decisões para a operacionalidade da organização, sejam realizadas dentro dos requisitos legais internacionais, do país e/ou do órgão regulador, além, da conduta e relacionamento serem baseados nos valores morais da organização.

·         Risco: É todo e qualquer evento que, uma vez materializado, deverá impactar adversamente a capacidade da empresa alcançar seus objetivos e/ou sua missão.

·         Controle interno: É toda a ação, baseada em políticas e procedimentos, a qual tem como objetivo mitigar a probabilidade do evento de risco se materializar.

Todas as organizações, sejam elas de qualquer nacionalidade e/ou setor econômico, estão expostas aos efeitos de eventos, internos e/ou externos. Para que a organização possa aumentar sua capacidade de alcançar os objetivos operacionais, corporativos e estratégicos, os quais devem alinhado a sua missão, ela precisa contar como um processo de gerenciamento de riscos, o qual, proativamente, olha para o futuro, conhece os eventos que possam impactar sua operação, identificam os riscos e suas causas, avalia a magnitude e define o tratamento adequado para que possa manter os riscos dentro dos seus níveis aceitáveis, isto é, alinhado ao seu apetite a risco definido.

A gestão de riscos, de forma objetiva, trabalha com três camadas de risco em sua avaliação: Risco inerente, aqueles que estão relacionados com os objetivos primários de um processo; risco de TI, aquele que se relaciona com a operacionalização das atividades de TI em um processo operacional; e o risco de compliance, incluindo neste grupo o risco de integridade também.

Um programa de compliance e integridade, é parte integrante da resposta do risco identificado. Para este programa ser mais assertivo, importante que sua construção leve em conta o resultado oriundo deste processo de gerenciamento de riscos. Além de considerar a natureza, a cultura, o mercado, a estrutura e o nível de exposição da organização.

Para facilitar nosso entendimento de como o sistema de controle interno interage com o processo de mitigação dos riscos de compliance, vou utilizar a visão de Hierarquia do Sistema de Controles Internos do ICI – Internal Control Institute, o qual é baseado no COSO ICFR, para podermos direcionar as ações e/ou documentação de mitigação, como também a responsabilidade de cada um dos níveis hierárquicos neste processo. Vejamos:

1.      Ambiente de Controle: Este é o primeiro nível da hierarquia de controles internos. A qualidade deste atributo irá contribuir para a qualidade dos outros níveis do sistema de controle interno. Sua composição é essencialmente por “soft-controls”, que são: políticas, programa de integridade, gestão da competência, segregação de responsabilidades, monitoramento estratégico e operacional e outros.

No caso de compliance, é neste nível que trabalhamos as políticas que irá direcionar todas as diretrizes que devam ser observadas nas atividades diárias da organização. Estas políticas podem ser compostas por: compliance, integridade, código de conduta, anticorrupção, e outras que a organização achar necessário ter.

Neste nível, também trabalhamos as políticas que irá traçar as diretrizes básicas para a manutenção e/ou desenvolvimento de competências, de cultura e de consciência de governança. Sabemos que a efetividade do programa de compliance está intimamente relacionada com o comprometimento de seus colaboradores, o qual somente é obtido pela gestão de competência e consciência para compliance e integridade.

Os responsáveis pela qualidade deste nível são a gestão executiva (presidente e seus diretos) e a gestão de Governança (Conselho e seus comitês), os quais devem promover a cultura das boas práticas de gestão e governança, a consciência de compliance e dos valores morais da organização, como também devem monitorar o cumprimento de todos estes quesitos, além de reforçar a mensagem pelo exemplo. 

2.      Controle de Processo: Este é o nível onde a gerencia média, aqueles que são tomadores de decisão e responsáveis pelos processos operacionais, tem como responsabilidade organizar, planejar, dirigir e monitorar. É um nível composto por “soft e hard-controls”.

Neste nível, os gestores operacionais são responsáveis pela elaboração e formalização dos procedimentos para a operacionalização das políticas, criação de processos de monitoramento por indicadores de desempenho (KPIs) e indicadores riscos (KRIs).

Devem supervisionar e revisar todo o processo, certificando que a entrega do processo atendeu todas as diretrizes de qualidade, de compliance e de integridade, evidenciando esta atividade por sua aprovação do produto oriundo do processo.

Além disto, devem promover a consciência de governança, compliance e integridade em todas as áreas e/ou processos que sejam responsáveis, além de continuamente direcionar a conduta de seu time, suas decisões e posicionamento para os valores morais definidos no código de conduta.

3.      Controle de Transação: Este nível é composto especificamente por “hard-controls”, como ações de verificação, recálculo, conferência, validação, realizados em conformidade com os procedimentos que foram definidos pela gestão média.

É neste nível onde temos a execução das tarefas que compõem o processo, e consequentemente é onde executamos as atividades de controle para a mitigação dos riscos operacionais, incluindo os riscos de compliance e integridade.

Aqui, os responsáveis são os colaboradores que executam as atividades e também os controles. A segregação de função entre quem executa e quem revisa, quem registra e quem exclui, quem tem a guarda do ativo e quem controla o ativo contabilmente, acontece neste nível. Quando melhor for a segregação, melhor será a qualidade dos controles neste nível.

Como você pode observar, o sistema de controle interno ele é um processo que integra, de forma organizada e estruturada, todos os níveis de uma organização.

Não é possível ter um programa de compliance e integridade efetivo, se não houver um sistema de controle interno específico para a mitigação dos fatores de riscos relacionados com o risco de tomada de decisão, ação ou atividades fora dos requisitos legais e fora dos valores morais da organização.

Para concluir, é importante que a gestão de primeira linha esteja ciente de sua responsabilidade em relação de definição e implementação de todos estes atributos que demonstramos, em todos os níveis. E que para isto, sejam efetivamente apoiados e instrumentalizados pelas áreas de especialistas de segunda linha de gestão, como: compliance, controles internos e gestão de riscos, as quais devem atuar integradas e com sinergia.

Então: Reflita, inove, mude e no final, o que importa

É ser feliz!