Qual o limite de Compliance nas empresas? Você pratica as três linhas de defesa?
Difícil identificar o limite, mas tenho visto muitos profissionais assumindo atividades que se misturam com o operacional, mas será que esta correto? E será que somente o Compliance deve reportar-se ao Conselho de Administração? Afinal, Controles Internos, Riscos e Segurança da Informação são partes integrantes da validação de processos de conformidade, mas em algumas empresas reportam a um diretor especifico, será que não devemos mudar a forma de reporte de informações?
Segundo o IIA – International Internal Audit, na sua Declaração de Posicionamento: AS TRÊS LINHAS DE DEFESA NO GERENCIAMENTO EFICAZ DE RISCOS E CONTROLES, determina que:
“O controle da gerência é a primeira linha de defesa no gerenciamento de riscos, as diversas funções de controle de riscos e supervisão de conformidade estabelecidas pela gerência são a segunda linha de defesa e a avaliação independente é a terceira. Cada uma dessas três “linhas” desempenha um papel distinto dentro da estrutura mais ampla de governança da organização.”
“Embora os órgãos de governança e a alta administração não sejam considerados dentre as três “linhas” desse modelo, nenhuma discussão sobre sistemas de gerenciamento de riscos estaria completa sem considerar, em primeiro lugar, os papéis essenciais dos órgãos de governança (i.e., conselho de administração e órgãos equivalentes) e da alta administração. Os órgãos de governança e a alta administração são as principais partes interessadas atendidas pelas “linhas” e são as partes em melhor posição para ajudar a garantir que o modelo de Três Linhas de Defesa seja aplicado aos processos de gerenciamento de riscos e controle da organização.”
Portanto devemos avaliar nossas funções de gestão de Compliance, Controles Internos e Riscos dentro do negócio, mas o principal foco deve ser o negócio, afinal quanto mais conhecermos melhor serão nos processos de suporte, apoio e monitoramento, mais uma vez digo e repito, não basta criar normas e procedimentos, devemos nos certificar que as regras estão sendo seguidas, este é o principal desafio.
A gerência operacional é responsável por manter controles internos eficazes e por conduzir procedimentos de riscos e controle diariamente, é também responsável em identificar, avaliar, controlar e mitigar os riscos, guiando o desenvolvimento e a implementação de políticas e procedimentos internos e garantindo que as atividades estejam de acordo com as metas e objetivos.
Mas se as responsabilidade não forem implementadas no modelo em cascata, onde os gerentes do nível médio desenvolvem e implementam procedimentos detalhados que servem como controles e supervisionam a execução, por parte de seus funcionários, desses procedimentos.
Em um mundo perfeito, apenas uma linha de defesa talvez fosse necessária para garantir o gerenciamento eficaz dos riscos. Mas no mundo real, no entanto, uma única linha de defesa pode, muitas vezes, se provar inadequada. A Gestão de Compliance, Controles Internos, Controles Financeiros, Segurança da Informação e Riscos estabelecem diversas funções de gerenciamento de riscos e conformidade para ajudar a desenvolver e/ou monitorar os controles da primeira linha de defesa.
Os auditores internos são parte integrantes do processo de controles internos, afinal fornecem ao órgão de governança e à alta administração avaliações abrangentes baseadas no maior nível de independência e objetividade dentro da organização. Esse alto nível de independência não está disponível na segunda linha de defesa. A auditoria interna provê avaliações sobre a eficácia da governança e o Compliance, Controles Internos e Riscos são responsáveis pela eficiência do negócio, incluindo a forma como a primeira e a segunda linhas de defesa alcançam os objetivos de gerenciamento de riscos e controle.
Segundo as Normas Internacionais para Prática Profissional de Auditoria Interna, os diretores executivos de auditoria devem “compartilhar informações e coordenar atividades com outros prestadores internos e externos de serviços de avaliação e consultoria, para assegurar a cobertura apropriada e minimizar a duplicação de esforços”.
- Os processos de riscos e controle devem ser estruturados de acordo com o modelo de Três Linhas de Defesa.
- Cada linha de defesa deve ser apoiada por políticas e definições de papéis apropriadas.
- Deve haver a coordenação apropriada entre as diferentes linhas de defesa para promover a eficiência e a eficácia.
- As funções de riscos e controle em operação nas diferentes linhas devem compartilhar conhecimento e informações apropriadamente, para auxiliar todas as funções a desempenhar melhor seus papéis de forma eficiente.
- As linhas de defesa não devem ser combinadas ou coordenadas de uma forma que comprometa sua eficácia.
- Em situações em que as funções de diferentes linhas forem combinadas, o órgão de governança deve ser aconselhado a respeito da estrutura e seu impacto.
- Em organizações que ainda não tenham uma atividade de auditoria interna estabelecida, deve-se exigir que a gerência e/ou o órgão de governança explique e divulgue às suas partes interessadas que consideraram como será obtida a avaliação adequada da eficácia das estruturas de governança, gerenciamento de riscos e controle da organização.
* Marcos Assi é professor e consultor da MASSI Consultoria – Prêmio Anita Garibaldi 2014, Prêmio Quality 2014, Prêmio Excelência e Qualidade Brasil 2013 e Comendador Acadêmico com a Cruz do Mérito Acadêmico da Câmara Brasileira de Cultura, professor de MBA Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos” e “Gestão de Compliance e seus desafios” pela Saint Paul Editora.
Base de pesquisa: The Institute of Internal Auditors (IIA), Criado em 1941, é uma associação profissional internacional, com sede global em Altamonte Springs, Flórida, EUA. O IIA é o líder reconhecido, principal defensor e educador em auditoria interna.