*Por Antonio Dirceu de Miranda e Raquel Caparrós
Uma coletânea de reflexões e publicações de entidades, profissionais, acadêmicos e autoridades sobre similaridades e diferenças entre as atividades de compliance e auditoria interna.
As mudanças ocorridas no ambiente empresarial nas últimas décadas levaram a Governança Corporativa a um patamar nunca visto antes. Muitas são as técnicas e ferramentas que podem ser utilizadas visando melhorias de processos internos, segurança e integridade das informações e mitigação de riscos. Neste rol, surge a necessidade de implantação das atividades de Compliance e Auditoria Interna.
Estar em compliance, no contexto da boa governança corporativa, significa atuar na criação, definição, treinamentos e divulgação de normas e procedimentos, além da necessidade de disseminar, em cada membro da organização e pessoas relacionadas, o conceito e o dever de cumprir as normas internas, leis e regulamentos a que a organização está submetida.
Já a auditoria interna auxilia a organização a alcançar seus objetivos por meio da aplicação de uma abordagem sistêmica e disciplinada para a avaliação e melhoria da eficácia dos processos de gerenciamento de riscos, controles internos e governança corporativa.
Todavia, as funções de compliance e auditoria interna são muitas vezes confundidas.
Citando trecho de artigo do Professor Marco Antonio Muzilli que faz uma analogia entre as duas áreas:
“Não existe uma lei que nos obriga a usar o cinto de segurança? Muito bem, o Compliance Officer irá nos explicar sobre a importância do uso do cinto, como usá-lo corretamente, das consequências de não o usar etc. O Auditor seria o guarda de trânsito da CET-Companhia de Engenharia de Trânsito, que irá nos fiscalizar e, com certeza multar-nos, se formos pegos não o usando.”
Desta forma, o risco de Compliance pode ser definido como o risco de sanções legais ou regulamentares, perdas financeiras ou reputacionais, decorrentes da falta de cumprimento de disposições legais, regulamentares, códigos de conduta, padrões etc.
Segundo a Norma Brasileira de Contabilidade NBC-TI, a auditoria interna compreende os exames, análises, avaliações, levantamentos e comprovações, metodologicamente estruturados, para a avaliação da integridade, adequação, eficácia, eficiência e economicidade dos processos, dos sistemas de informações e de controles internos integrados ao ambiente e de gerenciamento de riscos, com vistas a assistir a administração no cumprimento de seus objetivos.
Segundo Coimbra e Manzi (2010) a função de compliance tem como escopo:
Assegurar quanto a:
Leis – aderência e cumprimento:
Princípios Éticos e Normas de Conduta – existência e observância;
Regulamentos e Normas – implementação, aderência e atualização;
Procedimentos e Controles Internos – existência e observância;
Sistema de Informações – implementação e funcional idade;
Planos de Contingência – implementação e efetividade de, por meio de testes periódicos;
Segregação de Funções – adequada implementação a fim de evitar o conflito de interesses;
Relatório do sistema de controles internos (Gestão de Compliance) – avaliação dos riscos e dos controles internos – elaboração com base nas informações obtidas junto às diversas áreas da instituição, visando apresentar a situação qualitativa do sistema de controles internos;
Políticas Internas – que previnam problemas de não conformidade com leis e regulamentações.
Fomentar desenvolvimento de cultura de:
Prevenção à lavagem de dinheiro por meio de treinamentos específicos;
Controle, em conjunto com as demais pilastras do sistema de controles internos, na busca incessante da conformidade.
Certificar-se que, nas relações com:
Órgãos Reguladores e Fiscalizadores – todos os itens requeridos sejam pronta e adequadamente atendidos pelas várias áreas da instituição financeira;
Auditores Externos e Internos – todos os itens de auditoria relacionados à não conformidade com leis, regulamentações e políticas da instituição financeira sejam prontamente atendidos e corrigidos pelas várias áreas;
Associações de Classe e importantes participantes do mercado – promover profissionalização da função e auxiliar na criação de mecanismos de revisão de regras de mercado, legislações e regulamentações pertinentes, em linha com as necessidades dos negócios, visando à integridade e credibilidade do sistema financeiro.
Destacamos ainda o documento da ABBI – Associação Brasileira de Bancos Internacionais (2009, p. 8), onde está descrito de forma concisa que a Função de compliance “[...] vai além das barreiras legais e regulamentares, incorporando princípios de integridade e conduta ética”, definindo como sendo 10 os princípios conforme segue abaixo:
Princípio 1
O Conselho de Administração é responsável por acompanhar o gerenciamento do risco de compliance. Deve aprovar a política de compliance, inclusive o documento que estabelece uma permanente e efetiva área de Compliance. Pelo menos uma vez ao ano, o Conselho de Administração deve avaliar a efetividade do gerenciamento do risco de compliance.
Princípio 2
A Alta Administração da instituição financeira é responsável pelo gerenciamento do risco de compliance.
Princípio 3
A Alta Administração é responsável por estabelecer e divulgar a política de compliance da instituição, de forma a assegurar que esta está sendo observada. O Conselho de Administração deve ser informado a respeito do gerenciamento do risco de compliance.
Princípio 4
A Alta Administração é responsável por estabelecer uma permanente e efetiva área de Compliance como parte da política de compliance.
Princípio 5
A área de Compliance deve ser independente. Essa independência pressupõe quatro elementos básicos: status formal; existência de um coordenador; responsável pelos trabalhos de gerenciamento do risco de compliance; ausência de conflitos de interesse; acesso a informações e pessoas no exercício de suas atribuições.
Princípio 6
A área de Compliance deve ter os recursos necessários ao desempenho de suas responsabilidades de forma eficaz.
Princípio 7
A área de Compliance deve ajudar a Alta Administração no gerenciamento efetivo do risco de compliance, por meio de:
atualizações e recomendações;
manuais de compliance para determinadas leis e regulamentos e sua educação;
identificação e avaliação do risco de compliance, inclusive para novos produtos e atividades;
responsabilidades estatutárias (combate à lavagem de dinheiro e ao financiamento ao terrorismo);
implementação do programa de Compliance.
Princípio 8
O escopo e a extensão das atividades da área de Compliance deve estar sujeita à revisão periódica por parte da auditoria interna.
Princípio 9
As instituições devem atender a todas as exigências legais e regulamentares aplicáveis nas jurisdições em que operam, e a organização e a estrutura da área de Compliance, b m como suas responsabilidades, devem estar de acordo com as regras de cada localidade.
Princípio 10
O compliance deve ser encarado como uma atividade central para o gerenciamento de risco em um banco. Nesse contexto, algumas atividades podem ser terceirizadas, mas devem ficar sob a responsabilidade do “chefe” do compliance. (ABBI, 2009, p. 8).
Nossas observações:
A atividade de Compliance é um conjunto de “componentes” organizados a fim de cumprir e se fazer cumprir normas legais e regulamentares (externas) políticas e as diretrizes (internas), estabelecidas para e por determinada organização e suas atividades, bem como, buscar evitar, detectar e tratar quaisquer desvios ou inconformidades que possam ocorrer.
A estes “componentes” damos o nome de “pilares” do programa, os quais listamos abaixo aqueles que consideramos como sendo o mínimo para se ter um programa de consistente de compliance.
Suporte da alta administração (Conselho de Administração e Diretoria Executiva).
Avaliação recorrente de riscos.
Código de conduta e ética.
Controles internos estabelecidos.
Treinamento e comunicação.
Canais de denúncias e investigações.
Auditoria e monitoramento.
Quanto à auditoria interna, trata-se de uma atividade independente, que visa ajudar uma organização a atingir seus objetivos, trazendo uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, controles internos e governança em geral, inclusive da área de compliance.
Enquanto a primeira atua auxiliando no entendimento de normas internas e externas, a segunda assegura que os controles estejam sendo cumpridos, monitorando-os de forma sistêmica, buscando reduzir os riscos gerais da organização.
Parece-nos evidente que possam existir zonas de conflitos e eventuais sobreposições destas duas atividades. A parte “arte” da gestão deve justamente assegurar que, no final, a organização não se transforme em um navio sem rumo e sem comando, perdidos ao discutir em excesso o que deveriam estar fazendo. Disseminar uma cultura de compliance é, acima de tudo, gerenciar pelo exemplo. Só existem mudanças culturais deste nível, quando patrocinadas pela Alta Administração.
Referências:
ASSOCIAÇÃO BRASILEIRA BANCOS INTERNACIONAIS. Disponível em:<http://www.abbi.com.br>. Acesso em: 05 maio 2011.
BANCO CENTRAL DO BRASIL. Relatório de Estabilidade Financeira. 2006. Disponível em <http://www.bcb.gov.br/glossario.asp?Definicao=64&idioma=P&idpai=GLOSSARIO>
BOYNTON, William C.; JOHNSON, R.N.; KELL, G.W.. Auditoria. São Paulo: Atlas, 2001.
COIMBRA, Marcelo de Aguiar; MANZI, Vanessa Alessi. Manual de compliance: preservando a boa governança e a integridade das organizações. São Paulo: Atlas,
CONSELHO FEDERAL DE CONTABILIDADE. Resolução nº 321/72.
Disponível em: <http://www.cfc.org.br/>. Acesso em: 15 maio 2011.
MANZI, Vanessa Alessi. Compliance função, consolidação e desafios. 2008.
MUZILLI, Marco Antônio. Artigo diferença entre compliance e auditoria inter na? Disponível em: <http://muzilli.com.br/reportagem/compliance.html>. Acesso em: 15 maio 2011.
DALLA PORTA, Flaviano Carvalho– Dissertação para o Programa de Pós-Graduação em Economia da Faculdade de Ciências Econômicas da UFRGS
*Antonio Dirceu de Miranda, Especialista em Gestão de Riscos, Compliance e Banking. Fundador e CEO da BankRisk – Banking Intelligence, do DPO-Center Brasil e Laboratório de Gestão.
*Raquel Caparrós – Mestre em Direito, Especialista em Privacidade de Dados, Compliance e Metodologias de Aprendizados. Sócia-Diretora do DPO-Center Brasil e membro do Comitê Jurídico da ANPPD.