Arquivo da tag: controles internos e compliance

Quando o Compliance avisa ninguém dá ouvidos, mas…

Mas ninguém dá ouvidos, exatamente isso, falar de programa de compliance onde buscamos orientar e treinar os profissionais de nossas organizações parece fácil, mas quando o problema acontece, perguntam onde estava os controles internos, compliance e a auditoria. E onde estavam, no mesmo lugar de sempre, aguardando os clientes internos para orientação e busca de atendimento da regulamentação.

E lendo o Valor Econômico, vi que o Ministério Público Federal (MPF) quer acionar judicialmente instituições bancárias por suposta corresponsabilidade em atos ilícitos de gerentes de bancos que teriam sido cooptados pelo esquema de lavagem de dinheiro, evasão de divisas e corrupção coordenado pelo .

Afinal segundo a investigação da operação “Lava-Jato”, gerentes de agências de grandes bancos teriam sido cooptados e com isso os representantes de todas essas instituições serão chamados a depor, mas ainda não está claro quais delas serão acionadas judicialmente.

Acredito que as tais Leis sobre Práticas de Corrupção no Exterior (termo em inglês: Foreign Corrupt Practices Act – FCPA) ou sobre crimes de evasão de divisas e de conformidade tributária para contas estrangeiras (termo em inglês: Foreign Account Tax Compliance Act – FATCA) ou Lei 12.846/12, conhecida como Lei Anticorrupção, Lei 12.683/12, a lei de prevenção à lavagem de dinheiro devem ser levadas mais a sério.

Agora a força-tarefa da operação Lava-Jato está analisando transações bancárias suspeitas de irregularidades e que, segundo a apuração, teriam contribuído de modo significativo para o sucesso do esquema de envio ilegal de dinheiro ao exterior, principalmente por meio de importações falsas, “subterfúgio largamente empregado para a movimentação de recursos sem origem, oriundos de crimes”.

Somente para lembrar em abril, a Polícia Federal (PF) prendeu o gerente de agência do BB em São Paulo, Rinaldo Gonçalves de Carvalho, que está sendo acusado de integrar o esquema ilegal de operações financeiras capitaneado por Nelma Kodama, doleira que sustentava o sistema paralelo de Youssef, juntamente com Raul Srour e Carlos Habib Chater.

Espero que o doleiro Youssef, que acertou acordo de delação premiada com MPF e PF, apresente maiores detalhes das práticas empregadas para burlar as normas vigentes e facilitar o fluxo financeiro da rede de doleiros.

Segundo o operador de Nelma Kodama afirmou que o esquema só teve êxito porque “o banco é conivente na movimentação financeira, porque se a mesma empresa, que não tem sede, que não tem radar, que não tem funcionários (…) movimenta no dia um valor que na verdade ela não teria condições de movimentar no mês, o banco também sabe o que está acontecendo”, e onde fica o conheça seu cliente

Agora os bancos terão que firmar o Termo de Ajustamento de Conduta (TAC). Eles têm obrigação de prevenir, evitar e comunicar a ocorrência da lavagem de dinheiro”, avaliou um dos investigadores.

Agora cabe aos bancos demostrar seus programas de compliance, e fica a dica para os outros que possuir normas, politicas, procedimentos e sistemas não bastam, devemos fazer com que todos estejam em compliance, senão muitos outros casos ocorreram, e aí já viu: “não sabia de nada”, “eu não vi nada” ou “ não tenho condições de estar em todos os processos”, e blá, blá, blá…

A matéria diz que segundo uma fonte de um dos bancos, se por um lado pode ter havido facilitação dos gerentes, por outro, as investigações se originaram de alerta dos bancos ao Coaf sobre movimentações suspeitas. Para essa fonte, o sistema bancário mais atrapalhou os fraudadores do que ajudou com a suposta omissão, devemos averiguar, todos devem apresentar seus dossiês e processos de auditoria, basta provar que realizou o compliance.

* Marcos Assi é professor e consultor da MASSI Consultoria – Prêmio Anita Garibaldi 2014, Prêmio Quality 2014, Prêmio Top of Business 2014 e Comendador Acadêmico com a Cruz do Mérito Acadêmico da Câmara Brasileira de Cultura, professor de MBA Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos” e “Gestão de Compliance e seus desafios” pela Saint Paul Editora. www.massiconsultoria.com.br

Gestão de Controles Internos e Gestão de Riscos, o que devo fazer primeiro?

As empresas nos últimos tempos estão adequando a sua gestão com base em controles internos, compliance, riscos e segurança da informação, mas o que devemos fazer primeiro, levantar os riscos e implementar controles, ou mapear os processos, implementar controles e identificar os riscos depois?

Eu acho muito interessante isso, pois em conversas com colegas especialistas em controles e riscos, ficamos boquiabertos como falta ainda uma boa definição de como facilitar a gestão dos negócios, e já não é de hoje que falamos que antes de implementar controles, necessitamos conhecer o negócio, e quando evidenciamos negócios, dizemos processos, sistemas, produtos, pessoas e modelo de gestão.

Falar de gestão de riscos antes de implementar controles internos e contábeis é dar tiro no escuro em minha humilde opinião, pois quando iniciamos uma empresa, sempre visamos os controles contábeis, financeiros e alguns controles internos necessários para o negócio.

Para que tenhamos uma noção disso, muitas empresas ainda estão em processo de profissionalização dos controles internos e contábeis, mas falam de riscos e nem mapearam seus processos internos, e como estariam então seus controles, se não fazem a mínima ideia de quantos processos têm e para qual objetivo foi criado, e quem são os responsáveis, agora me respondam quais são os riscos?

Existem alguns questionamentos sobre maturidade de riscos e maturidade de controles. Podemos questionar em qual nível de maturidade de Controles Internos sua empresa se encontra?

ü  Nível 1 – Não Confiável: as atividades de controle não são mapeadas

ü  Nível 2 – Informal: os controles dependem principalmente das pessoas

ü  Nível 3 – Padronizado: as atividades de controle são mapeadas e implementadas

ü  Nível 4 – Monitorado: controles padronizados e com testes periódicos

ü  Nível 5 – Otimizado: utilização de automação e ferramentas para apoiar as atividades de C.I

Se somos sabedores que muitos dos controles são dependentes de quem os criou ou de quem os faz, e quando o “gestor do conhecimento” vai embora, quem dá continuidade no trabalho?

Então se somos frágeis em maturidade de controle imaginem na maturidade de riscos sem mapeamentos e processos definidos?

Portanto, acreditamos que controle interno deveria ser ponto inicial de cada projeto, produto, sistema, atividade e principalmente voltado para o negócio, mas em certos casos não é assim que acontece, colocamos o produto ou serviço na linha de produção e depois corremos atrás para entender como controlamos e se existem normas de órgãos reguladores ou normas internas que permitem a realização do projeto.

Na verdade no momento atual, falar que risco é mais importante que controle interno, que é mais importante que compliance ou que sejam mais importantes que segurança da informação, é justamente uma falácia, pois todas estas áreas tem sua importância na gestão, dependendo do momento e da situação que cada uma delas possui, mas sozinhas nada podem fazer.

E aqui deixo também evidente o grau de importância da auditoria na validação e verificação dos processos de controles, compliance, riscos e segurança da informação tão importantes na gestão dos negócios.

Portanto, devemos avaliar que na profissionalização da gestão e na busca de atendimento aos órgãos reguladores, devemos em minha opinião, mapear processos, identificar controles, validar compliances, identificar riscos e fazer a com que a empresa esteja em conformidade com regras estabelecidas na boa gestão de governança corporativa e sustentabilidade.

* Marcos Assi é consultor da MASSI Consultoria ganhadora do Premio Excelência e Qualidade Brasil 2013, Professor de MBA da disciplina de Controles Internos e Compliance da Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” e “Gestão de Riscos com Controles Internos – Ferramentas, certificações e métodos para garantir a eficiência dos negócios”. 

Disseminação da cultura de controles internos e melhoria de processos

Controles internos e compliance não são tão novos assim, mas a disseminação da cultura esbarra no desconhecimento ou no despreparo das pessoas sobre o assunto.

Sempre que falamos de compliance, lembramos que significa cumprir, executar, obedecer, observar e fazer cumprir que lhe as regras e regulamentos orientam, mas será só isso, será que não esta faltando alguma coisa?

Tenho conhecimento que muitas empresas ainda estão em processo de profissionalização dos controles internos e contábeis, pois controles elas até tem, mas não fazem a mínima ideia de quantos e para qual objetivo foi criado, e quem são os responsáveis.

Muitos dos controles são dependentes de quem criou e de quem faz, mas quando o “gestor do conhecimento” vai embora, quem da continuidade no trabalho? Quantas empresas desenvolvem sistemas internos sem a devida documentação de cada fase do projeto e com efetiva explicação por cada linha do executável, isso já é ponto padrão de auditorias, e o desenvolvedor vai embora, e infelizmente ninguém consegue dar manutenção no sistema.

Afinal controle interno deveria ser ponto integrante de cada projeto, produto, sistema, atividade e principalmente voltado para o negócio, mas em certos casos não é assim que acontece, colocamos o produto ou serviço na linha de produção e depois corremos atrás para entender como controlamos e se existem normas de órgãos reguladores ou normas internas que permitem a realização do projeto.

Anos atrás a função de controle era dos contadores e auditores, mas atualmente surgiram novas profissões como agente de compliance, analista de controles internos, analista de riscos, analista de segurança da informação, analista de continuidade de negócios, analista de contingencias operacionais, analista de infra, analista de rede sociais, analista de suporte, analista de help desk, entre outros, mas tudo isso vem de encontro à busca pela especialização de profissionais e obvio a tecnologia da informação como base de tudo, e como fica a auditoria neste novo processo?

Esta na busca por profissionais multidisciplinar com maiores conhecimento, mas e os gestores entendem tudo isso, será que não precisamos disseminar melhor o que é controles internos e modificar ou implementar melhorias nos processos com os gestores de áreas e/ou de negócios, pois a implementação de uma boa gestão de controles internos e compliance, demanda da participação de todos envolvidos na organização, afinal as regras existem, mas quem pratica são os gestores e colaboradores.

O bem da verdade é que a gestão de controles internos e compliance ainda necessitam de muito mais tempo para uma efetiva participação corporativa, é verdade que muitas empresas já estão com milhas de distancias, mas ainda existem empresas que estão em pleno processo de disseminação da cultura de controle e tem enfrentado obstáculos gigantescos, mas este é o tipo do caminho sem volta, ou adere agora, ou fica fora do mercado.

Posso dizer com toda a tranquilidade sobre este fenômeno, pois fiz nos últimos meses diversos workshops, palestras e treinamentos sobre o assunto justamente para os gestores e administradores, e oferecendo bases de argumentos para os profissionais de controles internos e compliance, pois quanto maior o conhecimento de quem executa a função, melhor a gestão dos negócios.

* Marcos Assi é consultor da MASSI Consultoria, professor do MBA de Gestão de Riscos e Compliance da Trevisan, entre outras, autor dos livros “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” e “Gestão de Riscos com Controles Internos – Ferramentas, certificações e métodos para garantir a eficiência dos negócios” .

Agentes de Compliance, quando a capacitação é necessária

Controles InternosAcho interessante que sempre que falamos de compliance, fazemos referencias a palavra derivada do inglês do verbo “to comply”, que significa cumprir, executar, obedecer, observar e fazer o que lhe as regras e regulamentos impõe.

Há algum tempo atrás ao falar de compliance, muitas pessoas já faziam referencia aos bancos, e nos bancos a referencia era lavagem de dinheiro, mas será que não estávamos com pensamento muito restritivo para a função?

Acredito que sim, pois atualmente as grandes organizações, sejam elas financeiras e não financeiras descobriram que devem cumprir várias regras e legislações estabelecidas no mercado global tais como: Lei Sarbanes & Oxley, IFRS, acordo da Basiléia, controles internos e compliance, prevenção a lavagem de dinheiro e financiamento ao terrorismo, governança corporativa, governança de TI, segurança da Informação, continuidade de negócios, gestão de riscos, entre outros, mas a questão é como administrar tudo isso de maneira responsável e com eficácia?

Vai faltar braço, e posso até sem medo de errar, comentar que a gestão de compliance é responsabilidade de todos na organização, cada colaborador tem sua parcela de responsabilidade, mas como fazer uma gestão de negócios alinhada a gestão de compliance?

Acreditamos que somente ao criar uma área de compliance que possa suportar a administração e o negócio, com base na busca de alinhamento das regras externas (órgãos reguladores), das regras de nossa matriz e além das regras internas que são implementadas para gerar maior segurança na gestão, não seja suficiente.

Por isso algumas organizações estão investindo na formação de agentes de compliance, que em muitos casos são profissionais das próprias áreas de negócio, que são capacitados para melhor entender a função da atividade.

Vale salientar que esta profissão existia há pouco tempo atrás, e existem muitas duvidas no entendimento de suas funções seja por quem faz a gestão, seja por que necessita deste suporte operacional de conformidade, e como muitos profissionais observam: “não tenho tempo de fazer o que minha atividade demanda, imagina ficar observando legislação e montando normas e procedimentos”.

Afinal a não realização e cumprimento dessas normativas podem trazer prejuízos, suspensão de atividades, sanções, penalidades e denegrir a reputação e imagem de uma marca ou de uma empresa.

Mas normalmente a alta administração trabalha com assuntos macros com foco nas decisões e não tem condições de perceber desvios, falhas ou erros gerenciais e principalmente os riscos operacionais, por isso, poderíamos considerar o Compliance como os olhos da Alta Administração, função esta que anos atrás já foi da auditoria interna, que não deixou de ser, mas ganhou um aliado.

A função corporativa do profissional de Compliance deve estar alinhado com a missão, visão e valores estabelecidos à organização pela Alta Administração e o papel funcional do profissional de Compliance esta relacionado ao exercício do cumprimento das melhores práticas, das normas, leis, controles internos e de governança corporativa, tudo isto, centrado na aplicação de um bom Programa de Compliance, e com a implementação de um bom código de conduta e ética, não só no papel, mas na mudança da postura das pessoas.

O agente de compliance será aquele profissional que estará alinhado com os negócios e com certeza estando mais próximo da atividade, oferecerá maior segurança para quem exerce as funções administrativas e para quem faz a gestão dos negócios, de riscos, segurança e governança da organização.

* Marcos Assi é consultor da MASSI Consultoria, professor de MBA na Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” e “Gestão de Riscos com Controles Internos – Ferramentas, certificações e métodos para garantir a eficiência dos negócios” .

Por que implementar compliance nas empresas é tão difícil?

Tenho ultimamente criticado a postura de muitos administradores e gestores no que tange a compliance ou conformidade, pois alguns organismos internacionais vêm trabalhando com muita dedicação na busca de melhorias na gestão de compliance, com publicações, seminários e congressos, mas onde esta então a dificuldade, se a teoria esta divulgada?

Cultura, necessitamos parar de viver em um mundo de sonhos e viver a realidade, pois somente possuir as normas, os procedimentos e os sistemas não são o suficiente, se as pessoas não fizerem a parte delas, e isso me incomoda há muito tempo, e quando algumas pessoas falam como se estivéssemos no mar de rosas, e sei que muitas empresas possuem processos bem definidos, mas quero dizer que acredito na eficiência e eficácia em controles internos e compliance, mas não podemos deixar de lado a dificuldade que é implementar a gestão de compliance, riscos e controles internos.

Não sou pessimista, mas realista, e acredito no que faço e no que transmito, pois convivo com isso há mais de dez anos e já vivenciei conflitos de interesses, pouco caso dos gestores, negligencia de controles, ausência de entendimento das necessidades, falta de qualificação de alguns profissionais, ausência de índole, pois gestão de compliance, riscos e controles internos superam as normas e procedimentos, afinal a responsabilidade é de todos na organização, por isso devemos entender o negócio, até para poder em parcerias internas melhorar a gestão, mas se eu não conheço…

Por exemplo, quando publicamos uma norma que nenhuma operação pode ser realizada sem contrato ou cadastro completo, entendemos os riscos envolvidos e a necessidade de compliance, mas sempre encontramos um diretor que abona a operação com pendência, então pergunto? Para que temos gestão de compliance, riscos e controles internos? Somente para apresentar ao órgão regulador e para a auditoria?

Respeito às regras e normas, comprometimento com a empresa, busca de resultados, gestão de riscos, tem custo, mas ficar parado também. Falar que na Europa ou nos EUA a consciência de Compliance esta evoluída é perigoso, basta recordar dos escândalos do Société Genéralé, UBS, Lehman Brothers, Siemens, entre outros, todos temos os mesmos problemas, pessoas.

Melhores práticas de controles internos, de governança corporativa, gestão de riscos, compliance, gestão de TI, gestão de pessoas, e principalmente a tão falada cultura organizacional são palavras muito utilizadas palestras, seminários e congressos, mas quão efetivos são os gestores na implementação destes procedimentos e quanto eles disseminam isso entre os seus colaboradores?

Acredito que devemos buscar outros meios de conscientização de todos na organização afinal quem aprova as operações? Que contrata os profissionais? Quem contrata terceiros? Quem fecha as informações financeiras e contábeis? Uma certeza eu tenho, não são os profissionais de riscos, compliance e controles internos, mas os gestores e administradores, por isso é tão difícil implementar uma gestão de compliance, falta vontade e definição das responsabilidades de cada um para que a gestão seja respeitadora das regras e legislações pertinentes ao seu negócio, pense nisso!

* Marcos Assi é professor do MBA Gestão de Riscos e Compliance da Trevisan Escola de Negócios, autor dos livros “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios”  e “Gestão de riscos com controles internos – Ferramentas, certificações e métodos para garantir a eficiência dos negócios”, pela (Saint Paul Editora) e consultor de finanças do programa A Grande Idéia do SBT. Sócio Diretor da Daryus Consultoria e Treinamento.