Controles Internos como pilar de um Programa de Compliance efetivo
Com a abrupta e preocupante derrocada da gigante varejista Americanas logo no início do ano, muitas pessoas, especialmente aquelas envolvidas com sistemas de compliance e governança, passaram a se questionar: Como é possível que uma empresa que se diz alinhada com as melhores práticas internacionais de governança e compliance, que possui estruturas internas de controle e monitoramento e é auditada periodicamente por grandes empresas mundiais do setor de auditoria, permita tamanho rombo contábil-financeiro? O que falhou? Quem são os responsáveis?
As respostas a estes questionamentos ainda são incertas, porém há uma certeza: Os sistemas de controles internos da empresa, de auditoria e monitoramento contínuo falharam.
Controles Internos, Auditoria e Monitoramento são pilares de um Programa de Compliance efetivo. Sua implementação na empresa deve estar alinhada com as melhores práticas internacionais e recomendações legais.
Gestão de Riscos: processo essencial para definir os controles necessários para a empresa
De acordo com a norma brasileira ABNT ISO 31000:2018 , que fornece diretrizes para a gestão de riscos, controle é a medida que mantém e/ou modifica o risco. Assim, a primeira conclusão inevitável é que a definição de um controle interno deve estar relacionada com o risco que ele buscar mitigar.
Nessa linha, é forçoso reconhecer que só é possível controlar o que se conhece. Assim, o primeiro passo essencial para definir os controles necessários para qualquer empresa é realizar uma gestão de riscos.
A gestão de riscos consiste em procedimento que visa mapear as estruturas internas da empresa e fluxograma das atividades com o objetivo de identificar vulnerabilidades nos processos que possam facilitar a ocorrência de fraudes, suborno, desvios, perdas financeiras e reputacionais.
O processo de gestão de riscos objetiva criar e proteger valor nas organizações, auxiliando-as a estabelecer e alcançar seus objetivos de maneira a melhorar o desempenho de seus processos de forma contínua.
Norma ABNT ISO 31000:2018 – Diretrizes para a gestão de riscos
Segundo a Norma Brasileira ABNT ISO 31000 – Gestão de Riscos – Diretrizes , já citada, o processo de gestão de riscos contempla as etapas de: 1- Definição do escopo, contexto e critério; 2- Identificação, Análise e Avaliação dos Riscos; 3- Tratamento dos Riscos; 4- Comunicação e Consulta; 5- Monitoramento e Análise Crítica; 6- Registro e Relato.
Etapas da gestão de riscos: Definição do escopo, contexto e critério
A gestão de riscos trata-se de ferramenta que auxilia a empresa a priorizar a alocação dos seus recursos, de modo a concentrá-los nos setores em que há probabilidade de desvios cujo impacto é de maior relevância, evitando-se desperdício com controles que apenas burocratizam os processos e não representam benefício real para a organização.
A melhor forma de realizar a gestão de riscos é identificar possíveis brechas para condutas indevidas, por meio do mapeamento dos processos operacionais, com identificação do fluxo das operações, análise documental e entrevistas, entre outros métodos muito bem explorados pela norma ABNT NBR ISSO 31010 , que fornece técnicas para o processo de avaliação de riscos.
Este processo, apesar de trabalhoso, fornece à empresa a clareza necessária para entender em qual procedimento interno a fraude/desconformidade é mais suscetível de ocorrer.
Identificação, Análise e Avaliação dos Riscos;
Uma vez identificados, analisados e avaliados os riscos, o seu tratamento deve ocorrer por meio de controles internos e mecanismos de identificação, prevenção e remediação previamente estudados e definidos, de modo a prevenir e minimizar os impactos do risco, caso ele venha a se materializar.
Antes disso, porém, é necessário identificar os controles já existentes na empresa e avaliar a sua eficácia, para, então, concluir se o risco residual – aquele que permanece mesmo diante dos controles já implementados – deve ser tratado.
Há inúmeros tipos de controles que a empresa pode implementar e não existe uma receita de bolo que seja adequada para todo tipo de organização. Para auxiliar a empresa na definição dos controles necessários, Marcos Assi, Mestre em Ciências Contábeis e Atuariais, no seu livro “Gestão de Riscos com Controles Internos” , recomenda que sejam respondidos aos seguintes questionamentos: 1- Eu preciso implementar um sistema de controle interno? 2- Qual é o custo da implementação? 3- Qual o tamanho do projeto? 4- Existe uma legislação que me obrigue a implementar este controle? 5- Se não implementado, qual será o impacto para a organização? 6- Como posso implementar este controle na minha empresa? 7- Como mudar o comportamento da organização na busca de modelos mais seguros e eficientes?
É de se atentar que a gestão de riscos e a existência de controles internos que assegurem a pronta elaboração e a confiabilidade de relatórios financeiros da empresa são parâmetros utilizados para avaliar a existência e aplicação de um programa de integridade na empresa, conforme estabelece o Decreto nº 11.129, de 11 de julho de 2022 , que regulamenta a Lei nº 12.846/2013, comumente conhecida como “Lei Anticorrupção Empresarial” ou “Lei da Empresa Limpa”.
Tratamento dos Riscos
Hoje o mercado está repleto de ferramentas automatizadas para o controle dos processos internos nas empresas, dos mais diversos tipos, preços e utilidades. Daí a importância de a empresa realizar prévio mapeamento e análise dos riscos, para identificar qual processo precisa ser mais bem controlado e monitorado, com base no entendimento de que, na ocorrência da falha, o prejuízo será maior para a organização.
Alguns exemplos de controles que podem ser implementados no setor financeiro, um dos mais suscetíveis a fraudes dentro de uma empresa, segundo a norma ABNT ISO 37001 , que apresenta diretrizes com orientações para uso em sistemas de gestão antissuborno, consiste em:
a) implementar a separação de funções, de modo que a mesma pessoa não possa ao mesmo tempo iniciar e aprovar um pagamento;
b) implementar níveis escalonados apropriados de autoridade para aprovação de pagamentos;
c) requerer pelo menos duas assinaturas para aprovações de pagamentos;
d) requerer a documentação apropriada de apoio para ser anexada às aprovações de pagamento;
e) restringir o uso de dinheiro em espécie e implementar métodos efetivos de controle de fluxo de caixa;
f) requerer que categorizações e descrições de pagamentos na contabilidade sejam corretas e claras;
g) implementar uma análise crítica periódica da gestão de transações financeiras significativas;
h) implementar auditorias financeiras independentes e periódicas, e substituir, em bases regulares, a pessoa física ou a organização que conduz a auditoria.
O ideal é que todos os processos/procedimentos relevantes da empresa que possam importar em riscos financeiros, operacionais e/ou reputacionais, sejam mapeados e documentados, por meio de Políticas, Procedimentos Operacionais Padrão e um Código de Conduta que reflita a cultura organizacional da empresa.
Comunicação e Consulta
Não só isso, é importante que a empresa comunique o que espera de seus colaboradores, isto é, como quer que cada processo seja realizado, bem como treine seus funcionários de forma periódica.
Para isso, é recomendado que elabore um Plano de Comunicação que aproveite os meios de interação já existentes na empresa, como e-mail institucional, intranet, mural de recados, grupo de whatsapp etc, bem como planeje treinamentos periódicos para todos os colaboradores, atentando-se sempre para a função exercida por cada um na empresa e os processos e normas que ele precisa cumprir.
Isso porque, se os colaboradores desconhecem o que a organização espera deles, a tendência é que criem o seu próprio processo e regras, os quais podem não estar alinhados com os objetivos e valores da empresa.
Monitoramento e Análise Crítica
Mais do que estabelecer controles a empresa precisa monitorar o seu cumprimento e efetividade. O método mais eficaz de fazer isso é por meio de KPI’s (Key Performance Indicator).
Segundo William E. Deming , pioneiro nos estudos de melhoria contínua e do controle de qualidade moderno: “Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende e não há sucesso no que não se gerencia”.
Benefícios da gestão de riscos: criação e proteção de valor nas organizações, melhoria contínua do desempenho dos processos
Portanto, é fator crucial para um gerenciamento efetivo medir a qualidade e eficácia dos processos e práticas adotados na empresa, sobretudo do desempenho dos colaboradores e resultados financeiros obtidos.
No Guia Prático de Compliance , organizado pela ilustre Izabel Franco, os famosos KPI’s (Key Performance Indicator) são definidos como “ferramentas que quantificam a performance de processos ou de ações realizadas e que permitem analisar estes resultados de forma mais direcionada. Os indicadores são uma maneira de transformar dados em informação, auxiliam na tomada de decisão, correções de curso, melhoria nos processos, servem como base para comparação, e podem ser utilizados para criação de dashboards para comunicação consolidada das informações, de forma a torná-las acessíveis aos gestores.
Avaliação da eficácia dos controles já existentes na empresa
A definição do que é necessário monitorar, o conhecimento de onde estes dados podem ser obtidos, bem como a apresentação destes dados à Direção para a tomada de decisão consciente e informada, mediante dashboards relatórios e planilhas, permitem à empresa adotar um mecanismo de melhoria contínua dos seus processos, que possibilitam não só criar valor para a organização, como também evitar desvios em fraudes e condutas irregulares, como o exemplo da Americanas, citado no início deste artigo.
Falha nos sistemas de controles internos, auditoria e monitoramento contínuo e sua relação com a derrocada de uma empresa (exemplo prático com a Americanas)
O “Compliance para inglês ver” é coisa do passado. Hoje não há espaço para o “jeitinho brasileiro”, os “arrumadinhos na contabilidade”, as “maquiagens nos relatórios financeiros”. É preciso assumir verdadeiro compromisso ético com o certo.
Qualquer empresa que se pretenda permanecer no mercado, deve adotar práticas de compliance e de governança corporativa, mediante o conhecimento profundo do seu negócio e dos riscos envolvidos, estruturação de controles internos, plano de treinamentos, comunicação e monitoramento que possibilite a melhoria contínua dos seus processos e colaboradores.
Conclusão
Por fim, é preciso implementar mecanismos que garantam transparência das informações que sejam de interesse das partes interessadas, equidade no tratamento das mesmas, levando-se em consideração seus direitos, deveres e necessidades, adoção da prática de prestação de contas e, sobretudo, de uma postura responsável, princípios básicos de um sistema de governança corporativa efetivo, segundo o Código de Melhores Práticas de Governança Corporativa do IBGC (5ª edição), mas que, se não forem levados a sério, podem implicar em perdas inestimáveis para a companhia, como ocorre com a gigante Americanas.
Em busca de um consultor especialista em controles internos?
A Prado Advogados Associados tem mais de 18 anos de experiência em temas relacionados a Controles Internos, Análise e Gestão de Risco e Programa de Compliance. Entre em contato conosco e conheça um pouco mais.
Fontes:
[1] Norma Brasileira, ABNT NBR ISO 31000: Gestão de Riscos – Diretrizes. 2ª edição.
[2] Op.cit.
[3] Norma Brasileira ABNT NBR IEC 31010: Gestão de Riscos – Técnicas para o processos de avaliação de riscos. 2ª ed.
[4] ASSI, Marcos. Gestão de Riscos com controles internos: Ferramentas, certificações e métodos para garantir a eficiência dos negócios. São Paulo: Saint Paul Editora, 2ª edição, 2021, pg. 21.
[5] Decreto nº 11.129, de 11 de julho de 2022. Disponível em: https://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2022/Decreto/D11129.htm. Acesso em: 14/02/2023.
[6] Norma Brasileira ABNT NBR ISO 37001: Sistemas de gestão antissuborno – Requisitos com orientações para uso. 1ª ed.
[7] AUDY, Jorge Horácio. Minhas reflexões como professor e consultor em 360º. William Edwards Deming (1900-1993). Disponível em: https://jorgeaudy.com/2016/01/27/william-edwards-deming-1900-1993/. Acesso em: 14/02/2023.
[8] GARCIA, Fernanda. Et al. GUIA PRÁTICO DE COMPLIANCE. Capítulo 19: Indicadores para avaliação do Programa de Compliance. Editora Forense: Rio de Janeiro, 2019. Pg. 294.
Sobre a autora
Laís Debowski
Advogada. Consultora em Compliance na Prado Advogados Associados. Vice-Presidente da Comissão de Estudos sobre Compliance da OAB/MT, membro do CWC – Compliance Woman Comitte. Certificada em Gerenciamento de Riscos com base na ISO 31000 – Tradius. Certificada em Sistemas de Gestão Antissuborno NBR ISO 37001 e de Compliance ISO 19600 – SAS Certificadora. Pós-Graduada em Direito Processual Civil, (Fundação Escola Superior do MP), em Direito Contratual e Responsabilidade Civil, (EBRADI). Curso de Compliance Anticorrupção pela LEC. Pós-Graduanda em Compliance, LGPD e Prática Trabalhista (IEPREV). Ex-Servidora do MPE (Núcleo do Patrimônio Público e do TJ/MT (Câmara de Direito Público).
Instagram: @laisdebowski_adv
Linkedin: Laís Debowski
Categorias: Compliance