No post anterior, antecipamos, resumidamente, que os controles internos são a conjunção bem sucedida de pessoas e ferramentas, formando um ambiente em que todos sabem o que fazer, por que fazer e como fazer, atentando aos limites e responsabilidades de suas competências técnicas.
Outrossim, vimos que no ambiente de controles internos há a conscientização de cada colaborador (ou grupo de colaboradores) sobre a necessidade de desempenhar corretamente suas funções, garantindo-se, com isso, o atingimento dos resultados esperados dos processos de gestão – não somente em termos de qualidade como de conformidade (de estar em compliance).
Essas premissas corroboram a máxima de que o compliance, quando em descompasso com os controles internos, tem seu potencial e serventia diminuídos, incompletos.
Infelizmente, muitos ainda relativizam essa concepção. No primeiro semestre deste ano, enquanto participava de um Fórum de Debates sobre Compliance, tive a oportunidade de ouvir de um dos participantes que, em sua opinião, a empresa de que é sócio, mesmo tendo ambientes de controles internos, estava completamente à margem das práticas de compliance, e, enquanto não tivesse um Compliance Officer, assim permaneceria. Ri por dentro, obviamente, e posso presumir quantos mais riram comigo.
E isso porque exaurir as atividades de detecção e remediação de quebras de compliance à atuação do Compliance Officer significa, ao mesmo tempo, superestimar a capacidade de um único profissional (ainda quando amparado por uma equipe assistentes) e mediocrizar a governança corporativa da organização.
Imagine-se, por exemplo, se, numa determinada empresa, as quebras de compliance em operações financeiras e fiscais, de contratações com clientes e fornecedores ou, mesmo, aquelas trabalhistas (típicas do dia a dia) dependessem exclusivamente do reporte ao Compliance Officer para controle e tratamento. Até que os comunicados chegassem a ele, ou a um dos membros de seu staff, para verificação e providências, as falhas já estariam consumadas e, o que antes eram apenas riscos ou probabilidades de dano, certamente já teriam tido tempo de sobra à conversão em prejuízos.
Para maior amplitude e eficiência do escopo definido à gestão do compliance, os mecanismos de controles internos precisam ser descentralizados e incorporados nos processos organizacionais normais.
Sua atuação não deve ser paralela ou posterior, mas, sim, simultânea à própria execução dos processos, sendo esse o grande valor agregado aos indicadores de desempenho do programa implementado. Nesse sentido, pertinente invocar o disposto no item 8.2 da Norma ISO 19600:2014, popularmente conhecida como ISO Compliance.
Nesse mesmo item, consta expresso: “convém que os controles sejam colocados em vigor para gerir as obrigações de compliance identificadas e o riscos de compliance associados e para alcançar o comportamento desejado. São necessários controles eficazes para assegurar que as obrigações de compliance da organização sejam atendidas e que o não cumprimento seja impedido, detectado ou corrigido. Convém que os tipos de níveis de controles sejam projetados com rigor suficiente para facilitar o alcance das obrigações de compliance que são específicas para as atividades da organização e o ambiente operacional.”
A estrutura do COSO como outra importante diretriz a controles internos e compliance
Na linha do que nos propusemos a fazer nessa série de artigos, importa destacar que, sem qualquer desmerecimento às Leis Anticorrupção, há outras diretrizes relevantíssimas às práticas de integridade corporativa e, dentre elas, estão, ademais das Normas ISO, as recomendações do COSO.
O COSO (Committee of Sponsoring Organizations of the Treadway Commission), conceitua controle interno como “um processo levado a cabo pelo Conselho de Administração, Direção e outros membros da organização com o objectivo de proporcionar um grau de confiança razoável na concretização dos seguintes objetivos:
– Eficácia e eficiência dos recursos;
– Confiabilidade da informação financeira;
– Cumprimento das leis e normas estabelecidas.” (Grifei).
O Comitê desenvolveu e vem aprimorando, ao longo dos anos, o que denomina Integrated Framework (Estrutura Integrada de Trabalho), objetivando estabelecer métodos de controles e divulgações financeiras (internas e externas), além de mudanças nos ambientes operacionais e corporativos. Tudo isso, visando contemplar:
- Expectativas em relação à supervisão da Governança Corporativa;
- Globalização dos mercados e das operações;
- Mudanças nos negócios e maior complexidade;
- Demandas e complexidades nas leis, regras, regulamentações e normas;
- Expectativas em relação a competências e responsabilidades pela prestação de contas;
- Uso de tecnologias em transformação e confiança nas prestações de contas;
- Expectativas em relação à prevenção e detecção de fraudes.
A Estrutura Integrada de Trabalho estatuída pelo COSO sintetiza três relevantes objetivos, quais sejam:
I.Operacionais – atrelados à eficácia e à eficiência das operações da entidade, inclusive as metas de desempenho financeiro e operacional e a salvaguarda de perdas de ativos;
II.De Divulgação – relacionados a divulgações financeiras e não financeiras, internas e externas, podendo abranger os requisitos de confiabilidade, oportunidade, transparência ou outros termos estabelecidos pelas autoridades normativas, órgãos normatizadores reconhecidos ou às políticas da entidade;
III.De Conformidade – ligados ao cumprimento de leis e regulamentações às quais a entidade está sujeita.
É perpectível a intersecção entre esses objetivos e o quadrado mágico da Governança Corporativa: disclosure (confiança e transparência), fairness (equidade), accountability (prestação de contas) e compliance. Evidente, também, a estreita e necessária relação entre compliance e controles internos.
Os controles internos, uma vez definidos e implantados, hão de ser recorrentemente avaliados, como forma de assegurar-se a eficácia e melhoria contínua do programa de compliance.
Na prática – que é o que todo mundo, a essa altura, anseia por perguntar –, os controles consistem, via de regra, em:
- políticas operacionais documentadas, procedimentos, processos e instruções de trabalho claras, práticas e fáceis de seguir;
- sistemas e relatórios de exceção;
- rotinas e ferramentas de revisão e aprovação;
- segregação de papeis e responsabilidades;
- processos automatizados;
- planos de desempenho de colaboradores;
- avaliações e auditorias de compliance;
- obrigações de Compliance, cláusulas contratuais, diligências e monitoramento de processos envolvendo terceiros (fornecedores de bens e serviços, distribuidores de produtos.
Aliás, no que se refere aos processos terceirizados, não apenas a ISO Compliance (19600:2014), como, também, a ISO Antissuborno (37001:2016) recomenda, nos requisitos 8.2, 8.3 e 8.4, a efetivação de controles internos voltados a desvios e práticas de corrupção (financeiros, não financeiros e due diligence), os quais deverão ser razoáveis e proporcionais aos riscos mapeados e avaliados pelo board da organização.
Ainda de acordo com a ISO Antissuborno, especialmente nos requisitos do item 8.5.2, aos terceiros cuja due diligence ou análise de risco de corrupção tenha identificado riscos de ilicitude “mais do que baixos” (sic), e que não tenham implementados controles internos, a organização contratante deve, sempre que possível, requerer sua realização para as transações, projetos ou atividades pertinentes.
Lado outro, se, por qualquer motivo, essa condição não puder ser acatada, mister que o grau do risco de desvio e corrução representado por esses terceiros seja ponderado, notadamente com o fito de suspensão ou desistência do negócio.
Uma vez desenhados e implantados, os controles internos devem ser documentados, massivamente divulgados e objeto de treinamento a todos os destinatários, tornando familiares e habituais as normas, políticas e procedimentos que compõem o programa de compliance e, por nunca ser demais repetir, formando um ambiente em que todos sabem o que fazer, por que fazer e como fazer.
E a Lei SOX?
Não há falar em controles internos sem exaltar outro marco importante à sua regulamentação e implementação: a Lei Norte-Americana Sarbanes-Oxley, também conhecida como Lei SOX.
Datada de 2002 e promulgada no Governo de George W. Bush, a SOX sacramentou a importância de um ambiente de controles efetivos e da severidade das punições ao seu descumprimento.
O ato normativo foi batizado com os nomes do senador Paul S. Sarbanes e do deputado Michael Oxley, os quais trabalharam conjuntamente em sua elaboração, primando pelo resgate da confiança do mercado de ações e impedimento de novas fraudes como a que culminou nas falências da Enron Corporation e da empresa de auditoria que lhe assessorava – a Arthur Andersen, condenada judicialmente, inclusive, por adulterar documentos contábeis no afã de ajudar a Enron a ludibriar seus investidores.
O caso Enron e a Lei SOX, por serem emblemáticos, merecem atenção e aprofundamento, em particular, pelos reflexos que trazem à compreensão do escândalo da Petrobrás, tão noticiado no Brasil e no mundo nos últimos tempos.
Por isso, caso você tenha gostado desse post e deseje acompanhar a sequencia, curta e deixe seu comentário.
Abraços e até a próxima!
***
Obs.: Este artigo foi revisado pelo professor e amigo Marcos Assi, a quem registro meus agradecimentos.