É fundamental entender o negócio para implementar
os controles e indicar as possibilidades de riscos
É interessante notar, que sempre após algum escândalo, muita coisa se fala, surgem especialistas no assunto, mas sempre sentimos falta de alguma profundidade sobre o tema. Mas a realidade, no entanto, mostra que elas somente falam muito, mas não conseguem evidenciar a prática, fazendo com que as pessoas comecem a desacreditar na eficiência e eficácia dos processos.
Os órgãos reguladores, por sua vez, saem em busca de preencher lacunas e corrigir desvios que deveriam ter sido previstos, agindo somente depois de erros graves, já que não possuímos a cultura de prevenção, geralmente somente a de correção. Isso mesmo; somos muito mais corretivos do que preventivos.
Contudo, até quando
as organizações aguentarão? Quantos empregos diretos e indiretos perderemos por
falhas na governança e na gestão? Basta lembrar casos clássicos, como Enron
(EUA), Parmalat, Aracruz, Banco Panamericano, Óleo e Gás Participações SA
(OGX), Petrobras, JBS, empreiteiras, entre outras que causaram sérios danos a
seus investidores, clientes, colaboradores, fornecedores e assim por diante.
Falar de governança, riscos corporativos e compliance é tão comum ultimamente que parece algo antigo, não é verdade? Estes termos já estão incorporados ao vocabulário corporativo e juntamente com os controles internos e gestão de riscos fazem parte de nosso cotidiano no mundo dos negócios.
E em decorrência
dos fatos recentes do mundo corporativo e financeiro, identificamos que algumas
de nossas atividades corporativas, as aplicações de compliance, governança,
controles internos passam a ser mais efetivos, quando conhecemos os riscos de
perdas envolvidos na gestão de negócios e no mapeamento destes riscos.
Mas como funcionam governança, controle interno, compliance e riscos? Há algum tempo, em uma apresentação de projeto ao cliente, desenvolvemos um diagrama para expressar a importância do compliance, controles internos e riscos nos negócios, e este diagrama foi batizado como Diagrama de Assi pelo próprio cliente e eu gostei, onde estamos esclarecendo que independentemente do tamanho do negócio, todos eles possuem regras, legislação, processos e pessoas.
Mas devemos enfatizar que o importante é focar no negócio, deixando-o fluir e gerando resultados, não adianta implementar regras sem entender o negócio, porque isso faz com que as pessoas procurem seus próprios processos e formas de negociar, sendo este o maior causador de erros nas organizações.
Devemos
entender que a referência às regras e à legislação dentro da organização
chama-se compliance ou conformidade, e os processos alinhados aos executantes,
é o que chamamos de controles internos. Importante salientar, que quando realizamos
os mapeamentos de processos e escrevemos de forma simples e objetiva como são
feitas as atividades, facilitam o aprendizado e a padronização dos processos
corporativos e operacionais, mas se a legislações existentes, tais como as
normas ISO, por exemplo, não estiverem contempladas nos processos,
procedimentos ou instruções de trabalho, as possibilidades de ocorrerem os
riscos de falhas e perdas são grandes.
Por
outro lado, quando as pessoas não respeitam as regras da organização os riscos,
lembrando que existem riscos inerentes às atividades de todo mundo, podem ser
críticos ou irrelevantes, mas não podem ser desprezados, por esse motivo o compliance,
controles internos e gestão de riscos devem conhecer o negócio, estar presentes
nas principais atividades, e se possível identificar as falhas e melhorar
processos, fazendo valer a governança corporativa na organização, pois entre a
gestão e a estratégia do negócio pode ser construído um vale de tamanha
proporção, que nenhuma ponte poderia ser construída para ligar os dois extremos.
Não
podemos esquecer que tudo isso funciona à base de tecnologia da informação, e
novamente temos que educar os colaboradores na busca pela eficiência na
segurança da informação que independe da tecnologia implantada, pois um
telefonema em um táxi, uma conversa no restaurante, uma ligação ou papo no
elevador são suficientes para que a informação vaze, ou mesmo um documento
impresso deixado ao lado da copiadora/impressora.
Por
fim, necessitamos de processos de auditoria de gestão, que ultrapassem os
processos financeiros e contábeis. Devemos avaliar processos, fluxo de
informação, segurança dos processos, riscos, conformidades, controles internos,
contingências, continuidade de negócios, entre outros itens internos a serem
definidos, para que a eficácia seja testada pelos auditores, pois a
responsabilidade do teste de eficiência é de responsabilidade dos gestores com
supervisão do compliance, controles internos e riscos.
Mas
será que é tão difícil assim? Fácil não podemos dizer que é, longe disso. Não
obstante, como implementar compliance, controles internos e gerenciamento dos
riscos em organizações, sejam elas de pequeno, médio e grande porte, se as
pessoas não têm o hábito de realizar tais controles? Porém, basta acontecer
algo relacionado a controles e gerenciamento de riscos para o assunto aparecer
nas redes sociais e mídias, e todos ficarem ensandecidos na busca por respostas.
E elas são sempre recorrentes: entender o negócio, implementar os controles e,
obviamente, indicar as possibilidades de riscos.
Infelizmente,
as questões de gestão e governança sempre encontram uma barreira: a falta de
conhecimento do negócio por alguns profissionais, e de uma metodologia interna
para identificação das possibilidades de controles, sejam gerenciais ou
regulatórios, além dos riscos envolvidos na atividade. O fluxo dessas
informações é muito importante e muitos são os processos a serem identificados,
mas ainda falta o entendimento de que a sustentabilidade da organização está na
forma de gestão e conduta dos negócios.
Alguns
gestores e administradores ainda dizem que controles internos não são tão
importantes, pois acreditam que gestão de compliance aliada à gestão de riscos
é um modismo. Contudo, o que muitos não sabem é que não se vive sem as duas na
gestão do negócio e este já é um caminho sem volta, basta perguntar para as
pessoas que perderam seus empregos, clientes e investimentos, por que houve
falhas de controles que geraram prejuízos em larga escala.
A
cada escândalo, todos se questionam sobre a efetividade dos processos de
governança, auditoria, riscos e compliance, afinal ainda vivemos um período em
que todas as grandes corporações do mundo todo passam por crise de
credibilidade. Sem contar os fatos ocorridos no Brasil nos últimos anos, com
empresas de renome e outras que foram liquidadas por gestão fraudulenta,
lavagem de dinheiro, problemas de corrupção, fazendo com que todos sofram –
clientes, fornecedores e investidores – com a diminuição da confiança.
Embora
seja defensor dos sistemas de controles internos como base de implementação de
processos mais confiáveis há muitos anos, os controles continuam sendo
utilizados aquém de suas possibilidades, seja pela falta de cultura, ou pela
negligência dos riscos, e da fragilização dos controles pela alta
administração, como pelos seus gestores, pelos conselhos de administração e até
mesmo pelos comitês de auditorias, tão focados na Governança Corporativa.
A
não existência de um modelo padronizado não justifica deixar de lado a boa
governança, pois entendemos que cada organização deve identificar, organizar e
implementar a melhor gestão de compliance e de controles internos para as suas
informações, processos e sistemas, e que a gestão do negócio, segundo as suas
necessidades, seja efetiva e o apetite por riscos seja mais transparente e
responsável.
Conforme
o guia das melhores práticas de governança do IBGC – Instituto Brasileiro de
Governança Corporativa:
“Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, cooperados, investidores, associados, Conselho de Administração, Diretoria e órgãos de controle (Conselho fiscal, auditorias e outros).
As boas práticas de Governança Corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu desenvolvimento e contribuindo para sua longevidade e perenidade.”
Geralmente,
as questões de Governança Corporativa, os sistemas de gestão de compliance e
controles internos, deixam de lado as questões de gestão de riscos nas
organizações, já que, por melhor que sejam seus sistemas de controles internos,
baseados em normas, procedimentos, sistemas e metodologias, sempre dependeremos
de que as pessoas executem suas tarefas de forma ética e responsável. Por esse
motivo, devemos incluir todos os envolvidos na gestão do negócio para que os
pilares da governança funcionem e respeitem os princípios básicos da
Governança.
A
Comissão de Valores Mobiliários (CVM), o Banco Central (BC), a Superintendência
de Seguros Privados (Susep), Receita Federal, entre outros órgãos reguladores
vêm a cada ano aperfeiçoando e realizando melhorias em suas legislações. Mas
somente isso não basta, fica evidente que a governança, conformidade
corporativa, controles internos, controles contábeis e de riscos aliados,
sempre que possível, aos sistemas de gerenciamento de informação podem variar
conforme o tamanho, o segmento e a complexidade das operações de cada
organização, mas nunca podem ser esquecidos ou desprezados.
Daí
surge uma questão muito preocupante: os escândalos de corrupção que ocorrem em
empresas de capital aberto, com processos de auditoria e ampla divulgação. Desse
modo, como podemos descobrir os problemas nas empresas de capital fechado,
familiares e limitadas, que não têm auditorias e processos de fiscalização?
Como será que a governança é aplicada a estes negócios?
É surpreendente constatar que muitos gestores ainda não entendam que o compliance e controles internos são partes integrantes do gerenciamento de riscos corporativos e asseguram os processos de governança definidos pela alta administração.
A estrutura do gerenciamento de riscos corporativos necessita
abranger o controle interno, originando, dessa forma, uma ferramenta de gestão
mais eficiente, afinal um dos princípios da governança é a prestação de contas,
e como podemos fazer isso sem um processo de controles internos e contábeis
eficiente? Por esse motivo, frisamos que é muito importante conhecer o negócio,
o mercado, os clientes, os fornecedores, as questões tributárias e
regulatórias, afinal é muito mais que uma obrigação, é uma questão de
necessidade e segurança organizacional, pois os procedimentos internos e a
gestão de riscos dependem do conhecimento destes itens citados anteriormente.
Citamos
aqui os três pilares do compliance para que todos entendam onde esta e como
deve ser realizada esta mudança, tendo em vista que a implementação de um
departamento de governança e compliance, não é o suficiente, quem deve
responder por isso é a organização, ela deve estar e compliance e seus gestores
devem seguir as regras, mesmo que eles mesmos as escrevam o conselho de
administração ou diretoria, depende de sua estrutura, devem aprovar as políticas
e cobrar a realização dos processos.
Mas
as pessoas necessitam ser preparadas para mudar suas posturas na gestão dos
negócios, observaremos que as questões de conformidade/compliance, aliadas a
uma boa gestão de controles internos e de riscos corporativos, necessitam de
envolvimento da alta administração, conselhos de administração, gestores de
negócios, comitês de auditorias, entre outras partes interessadas, na
implementação e nas revisões periódicas de processos, pois as perdas, os erros
e as fraudes dificilmente acabarão, contudo podem ser minimizados se forem
corretamente aplicados.
Portanto,
para que possamos garantir a efetividade do programa de compliance de cada
organização devemos seguir os seguintes itens:
- · Lembrar que o tom sempre vem de cima: procurar disseminar a cultura do controle e do compliance;
· Demonstrar os benefícios e eliminar os mitos ou más interpretações para obter apoio;
· Buscar pessoas certas, engajadas, com conhecimento que possam agregar e que os recursos adequados sejam tecnológicos ou financeiros;
· Mapear e monitorar processos para que possamos estabelecer metas de redução de riscos e perdas financeiras ou de imagem;
· Boa comunicação e treinamentos, pois somente assim podemos promover a transparência nos processos;
· Compreender opiniões diferentes, sempre com coerência e respeito, garantir um canal de denúncias, promover investigações quando necessário, resolver e comunicar sempre que possível, pois somente assim a confiança aparecerá;
· Estabelecer critérios de medição e monitoramento, e não se esquecer de promover melhorias no seu programa de conformidade;
· Provar que a organização tem um programa, porque a fórmula do sucesso somente aparece quando minimizamos as sanções regulatórias.
O
Compliance é ferramenta de Governança Corporativa, no que se referem aos
sistemas, processos, regras e procedimentos adotados para gerenciar os negócios
da organização, proporcionando o aprimoramento da relação com todas as partes
interessadas com o negócio.
Para
isso, devemos alinhar a função de compliance aos valores e objetivos da
organização, demonstrando a visão da organização sobre a função de compliance,
de seu perfil de atuação por meio da gestão de consequências ou de prevenção,
por isso, a gestão de compliance nos negócios deve ser bem estruturada e
disseminada, por um motivo bem simples: a responsabilidade da gestão de
compliance é de todos da organização.
Aproveitando
alguém deve estar se perguntando o que é a gestão de riscos? Afinal, já está incorporada
ao vocabulário corporativo há algum tempo, somente no vocabulário não é
suficiente, basta buscar na internet as fraudes, desvios de dinheiro público,
rompimento de barragens, entre outros problemas causados por negligência do
risco, que os resultados serão muitos. Contudo, os controles internos fazem
parte do dia a dia dos negócios e do nosso cotidiano. Para entender melhor
responda as seguintes questões:
- Você,
ao sair de casa hoje fechou a porta da sala?
- Quando estacionou seu carro acionou o alarme para fechar as portas?
- Quantas vezes você acessa o saldo da sua conta bancária on-line semanalmente?
- Você tem um cartão de crédito e ao receber a fatura você valida os gastos lançados?
Se
você respondeu sim para três dessas questões, você faz controle interno e tenta
minimizar os riscos, conforme a descrição anterior. Porém, nem todos da
organização o fazem isso internamente. E em decorrência dos escândalos passados
e aqueles que estão acontecendo no mundo corporativo, identificamos em nossos
estudos, trabalhos e pesquisas, que algumas aplicações de controles internos
passam a ser mais efetivos quando conhecemos os riscos envolvidos na gestão de
negócios e no mapeamento desses riscos.
As
pessoas sempre se perguntam como implementar controles internos e gestão de
riscos, e a resposta recorrente: entender o negócio, implementar os controles
e, obviamente, indicar as possibilidades de riscos.
Parece
simples, mas a ausência ou deficiências do controle interno pode estimular
desfalques ou dificultar a sua constatação. Será que existe um bom sistema de
controles internos? Quando o implementamos podemos acusar de forma mais rápida
a necessidade de adoção de medidas preventivas ou corretivas que visam à
minimização de perdas decorrentes da ineficiência de representantes do processo
ou desvio. Um sistema de controle interno deve incluir:
· Implementação de planos organizacionais que proporcionem fazer uma separação de funções e responsabilidades, comumente conhecida como segregação de função;
· Hoje,
com a tecnologia, implementar processos de autorizações, aprovação,
armazenamento de arquivos, modelos de relatórios, questões contábeis e
financeiras podemos avaliar os controles contábeis dos ativos, passivos,
receitas e despesas;
· Fazer
de forma efetiva o controle físico dos bens e direitos; e
· Estabelecer
procedimentos corretos e devidamente documentados que deverão ser seguidos por
todos os colaboradores, de cada departamento, no exercício da função.
Porém,
como evidenciamos, o conhecimento sempre esbarra na falta de ciência do negócio
por alguns profissionais, na metodologia interna, no reconhecimento das
possibilidades de controles e nos riscos envolvidos, pois o fluxo da informação
é muito importante, além de entender onde o negócio está inserido e onde pode
chegar.
Tags
compliancegestãoriscosregraslegislaçãoprevenirprevençãoCompartilhe
Marcos Assi
Professor e comendador MSc., CRISC, ISFS – Sócio-diretor da MASSI Consultoria e Treinamento Ltda. Mestre em Ciências Contábeis e Atuariais pela PUC-SP. Bacharel em Ciências Contábeis pela FMU, com Pós-graduação em Auditoria Interna e Pericia pela FECAP.