Arquivo da tag: Gestão de riscos

Qual o limite de Compliance nas empresas? Você pratica as três linhas de defesa?

Difícil identificar o limite, mas tenho visto muitos profissionais assumindo atividades que se misturam com o operacional, mas será que esta correto? E será que somente o Compliance deve reportar-se ao Conselho de Administração? Afinal, Controles Internos, Riscos e Segurança da Informação são partes integrantes da validação de processos de conformidade, mas em algumas empresas reportam a um diretor especifico, será que não devemos mudar a forma de reporte de informações?

Segundo o IIA – International Internal Audit, na sua Declaração de Posicionamento: AS TRÊS LINHAS DE DEFESA NO GERENCIAMENTO EFICAZ DE RISCOS E CONTROLES, determina que:

“O controle da gerência é a primeira linha de defesa no gerenciamento de riscos, as diversas funções de controle de riscos e supervisão de conformidade estabelecidas pela gerência são a segunda linha de defesa e a avaliação independente é a terceira. Cada uma dessas três “linhas” desempenha um papel distinto dentro da estrutura mais ampla de governança da organização.”

“Embora os órgãos de governança e a alta administração não sejam considerados dentre as três “linhas” desse modelo, nenhuma discussão sobre sistemas de gerenciamento de riscos estaria completa sem considerar, em primeiro lugar, os papéis essenciais dos órgãos de governança (i.e., conselho de administração e órgãos equivalentes) e da alta administração. Os órgãos de governança e a alta administração são as principais partes interessadas atendidas pelas “linhas” e são as partes em melhor posição para ajudar a garantir que o modelo de Três Linhas de Defesa seja aplicado aos processos de gerenciamento de riscos e controle da organização.”

Portanto devemos avaliar nossas funções de gestão de Compliance, Controles Internos e Riscos dentro do negócio, mas o principal foco deve ser o negócio, afinal quanto mais conhecermos melhor serão nos processos de suporte, apoio e monitoramento, mais uma vez digo e repito, não basta criar normas e procedimentos, devemos nos certificar que as regras estão sendo seguidas, este é o principal desafio.

A gerência operacional é responsável por manter controles internos eficazes e por conduzir procedimentos de riscos e controle diariamente, é também responsável em identificar, avaliar, controlar e mitigar os riscos, guiando o desenvolvimento e a implementação de políticas e procedimentos internos e garantindo que as atividades estejam de acordo com as metas e objetivos.

Mas se as responsabilidade não forem implementadas no modelo em cascata, onde os gerentes do nível médio desenvolvem e implementam procedimentos detalhados que servem como controles e supervisionam a execução, por parte de seus funcionários, desses procedimentos.

Em um mundo perfeito, apenas uma linha de defesa talvez fosse necessária para garantir o gerenciamento eficaz dos riscos. Mas no mundo real, no entanto, uma única linha de defesa pode, muitas vezes, se provar inadequada. A Gestão de Compliance, Controles Internos, Controles Financeiros, Segurança da Informação e Riscos estabelecem diversas funções de gerenciamento de riscos e conformidade para ajudar a desenvolver e/ou monitorar os controles da primeira linha de defesa.

Os auditores internos são parte integrantes do processo de controles internos, afinal fornecem ao órgão de governança e à alta administração avaliações abrangentes baseadas no maior nível de independência e objetividade dentro da organização. Esse alto nível de independência não está disponível na segunda linha de defesa. A auditoria interna provê avaliações sobre a eficácia da governança e o Compliance, Controles Internos e Riscos são responsáveis pela eficiência do negócio, incluindo a forma como a primeira e a segunda linhas de defesa alcançam os objetivos de gerenciamento de riscos e controle.

Segundo as Normas Internacionais para Prática Profissional de Auditoria Interna, os diretores executivos de auditoria devem “compartilhar informações e coordenar atividades com outros prestadores internos e externos de serviços de avaliação e consultoria, para assegurar a cobertura apropriada e minimizar a duplicação de esforços”.

  • Os processos de riscos e controle devem ser estruturados de acordo com o modelo de Três Linhas de Defesa.
  • Cada linha de defesa deve ser apoiada por políticas e definições de papéis apropriadas.
  • Deve haver a coordenação apropriada entre as diferentes linhas de defesa para promover a eficiência e a eficácia.
  • As funções de riscos e controle em operação nas diferentes linhas devem compartilhar conhecimento e informações apropriadamente, para auxiliar todas as funções a desempenhar melhor seus papéis de forma eficiente.
  • As linhas de defesa não devem ser combinadas ou coordenadas de uma forma que comprometa sua eficácia.
  • Em situações em que as funções de diferentes linhas forem combinadas, o órgão de governança deve ser aconselhado a respeito da estrutura e seu impacto.
  • Em organizações que ainda não tenham uma atividade de auditoria interna estabelecida, deve-se exigir que a gerência e/ou o órgão de governança explique e divulgue às suas partes interessadas que consideraram como será obtida a avaliação adequada da eficácia das estruturas de governança, gerenciamento de riscos e controle da organização.

* Marcos Assi é professor e consultor da MASSI Consultoria – Prêmio Anita Garibaldi 2014, Prêmio Quality 2014, Prêmio Excelência e Qualidade Brasil 2013 e Comendador Acadêmico com a Cruz do Mérito Acadêmico da Câmara Brasileira de Cultura, professor de MBA Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos” e “Gestão de Compliance e seus desafios” pela Saint Paul Editora. 

Base de pesquisa: The Institute of Internal Auditors (IIA), Criado em 1941, é uma associação profissional internacional, com sede global em Altamonte Springs, Flórida, EUA. O IIA é o líder reconhecido, principal defensor e educador em auditoria interna.

Decepção na gestão de compliance em 2014

Após vários escândalos, exemplos de como não fazer uma gestão de negócios, nova legislação em vigor, avanço da tecnologia, mudanças nas agências reguladoras, aprimoramento dos órgãos reguladores, mas mesmo assim milhões transitaram pela lavagem de dinheiro, corrupção, evasão de divisas, entre outros.

Portanto o ano de 2014 está encerrando e muita coisa temos que mudar para os próximos anos e para os anos seguintes, sobre a gestão de compliance e controles internos nas empresas, foram inúmeros casos de falhas na governança corporativa seja para empresas de capital aberto e até para as empresas de capital fechado.

Basta lembrar das empresas do Eike Batista, Petrobras (Petrolão), Operação Lava Jato, Doleiro Alberto Youssef (reincidente no crime), Corval, Distri-Cash, TOV Corretora, diversas empreiteiras, agentes públicos, partidos políticos, entre outros.

Com tantos escândalos de fraudes, corrupção e falta de conduta e ética, fica complicado falar sobre Compliance, Controles Internos e Gestão de Riscos, pois o processo funciona quando a Alta Administração, gestores e colaboradores, clientes, fornecedores e governo trabalham em conjunto.

Outro item de importância foi a declaração do presidente do CGU – Controladoria Geral da União, que simplesmente evidenciou aquilo que já sabíamos, a falta total de controles internos nas estatais, mas será que as empresas privadas não passam pelo mesmo problema?

A busca pelo resultado deixando de lado os processos, ética e conduta, vão levar muitas empresas a quebrarem e manchar o nome de inúmeros profissionais no mercado.

Tenho participado de alguns congressos e seminários nos últimos meses, e vejo muita gente falando que seus processos e programas de compliance funcionam, mas a cada escândalo isto tudo vai para o ralo, até quando teremos que conviver com isso. Não basta ser um Oficial de Conformidade (Compliance Officer) e implementar uma enormidade de normas e procedimentos, se na hora “h” as pessoas não seguem, portanto precisamos unir as forças com controles internos, gestão de riscos e auditorias para que possamos exigir uma postura diferente de todos os responsáveis pelas empresas.

Não sou pessimista, pelo contrário acredito que possa ser realizado, mas devemos mudar muita coisa na gestão das empresas, no governo e em nossos modelos de administração pública e privada, não basta ter leis, precisamos punir para que sejamos realmente um país emergente, e que nossas empresas sejam respeitadas e recebam investimentos com a certeza que receberão seus dividendos e participações, pois a credibilidade é tudo no mundo corporativo.

Devemos aproveitar o momento para realizarmos as verdadeiras mudanças, utilizar o que temos de legislação e aplicar as punições, seria um momento especial, um divisor de aguas, quem sabe um marco regulatório, fazendo com quem é culpado seja punido e utilizado como exemplo para todos os outros, não é uma questão de partido político, mas sabemos que o dinheiro corrompe e muda a cabeça das pessoas, somente assim poderemos exercer uma gestão de compliance efetiva.

* Marcos Assi é professor e consultor da MASSI Consultoria – Prêmio Anita Garibaldi 2014, Prêmio Quality 2014, Prêmio Top of Business 2014 e Comendador Acadêmico com a Cruz do Mérito Acadêmico da Câmara Brasileira de Cultura, professor de MBA, Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos” e “Gestão de Compliance e seus desafios” pela Saint Paul Editora.

Meios de pagamentos, controles internos e riscos, quando mudança de gerenciamento é necessária.

No início deste mês o Banco Central do Brasil publicou algumas resoluções e circulares, criando regras de negócios para o produto cartões e meios de pagamentos, tendo em vista o crescimento do produto em nosso mercado financeiro atual, afinal o dinheiro de plástico e o dinheiro virtual, já fazem parte de nosso dia-a-dia.

Muitas empresas estão há tempos oferecendo o produto de meios de pagamento, modelo de cartão pré-pago, mas havia uma lacuna na regulamentação do negócio e se somente empresas financeiras poderiam oferecer o produto, e como falar de Compliance, é a bola da vez, o Banco Central, agiu como órgão regulador, e determinou inúmeras regras que devem ser implementadas até meados de maio de 2014, principalmente na questão de autorização de funcionamento.

Citamos aqui a Resolução nº 4.283/13 que substitui a Resolução 3.694/09 sobre a prevenção de riscos na contratação de operações e na prestação de serviços por parte das IF’s, e as circulares determinam regras de cadastro, manutenção de informações de clientes, monitoramento de informações financeiras e além de atender a circular nº 3.347/07 sobre o cadastro de clientes do sistema financeiro nacional (CCS).

As circulares descrevem responsabilidades de gerenciamento de risco operacional, liquidez e de crédito, requerimentos de patrimônio mínimo, governança corporativa, e outro ponto forte é justamente a exigência de gerenciamento de continuidade de negócios e plano de recuperação de desastres, segurança da informação, conciliação de informações, monitoramento de operações e liquidações financeiras, agora vem a pergunta sem controle interno como podemos atender a estas demandas?

Mais uma vez fica bem evidente que a gestão de compliance e controles internos e a gestão de riscos, não podem mais ser deixados de lado, por isso que a profissionalização das organizações e de seus colaboradores, é ponto fundamental na melhoria da gestão e da tão falada governança corporativa.

Muitos profissionais, amigos meus e alunos, questionaram se estas empresas que estão solicitando autorização de funcionamento junto ao Banco Central possuem áreas com foco em controles internos e compliance, mas a resposta foi: “a maioria da empresas somente dão a devida atenção a estas áreas em referência, quando um órgão regulador, auditor ou um cliente aponta a necessidade de implementação das atividades de controles para a continuidade de sua operação junto ao mercado”.

Para evidenciar melhor, muitas empresas multinacionais, ao efetuar licitações de fornecedores, tem incluído clausulas obrigatórias de compliance, como políticas de conduta e ética, prevenção a fraudes, prevenção a lavagem de dinheiro, gestão de riscos, entre outros, portanto atualmente uma empresa seja de pequeno ou médio porte, necessita o básico de gestão de compliance e controles internos, para que possa oferecer seus produtos e serviços.

Acreditamos que esta atuação do Banco Central seja um marco na consolidação da atividade de compliance, controles internos e gestão de riscos para a atividade de meios de pagamentos, e que este exemplo, seja seguido por agências reguladoras e órgãos reguladores, e quem estas empresas sejam supervisionadas e punidas quando do não cumprimento das regras.

* Marcos Assi é consultor da MASSI Consultoria – Prêmio Excelência e Qualidade Brasil 2013 e Comendador Acadêmico com a Cruz do Mérito Acadêmico da Câmara Brasileira de Cultura, professor de MBA de Gestão de Riscos da Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos” e “Gestão de Compliance e seus desafios” pela Saint Paul Editora. www.massiconsultoria.com.br

Liquidação Extrajudicial do Banco Central, Risco Sistêmico, Ética e Compliance

O mês de agosto começou agitado no dia 02/08/2013 o anuncio da liquidação extrajudicial do Banco Rural, que estava no epicentro do esquema do mensalão, segundo alguns especialistas deve ter pouco impacto no sistema financeiro do país, segundo a mídia o fechamento da instituição se deve mais a questões pontuais do que sistêmicas, será?

Mas o que mais me preocupa e que a credibilidade do segmento de bancos pequenos e médios, e muitos deles familiares, já vem sendo colocada em cheque desde a crise financeira de 2008, agravada com as fraudes no PanAmericano e das liquidações do Cruzeiro do Sul e do banco BVA e também e folha de 04/08/2013, publicou que o Banco Schahin é investigado sob suspeita de ter desviado o equivalente a R$ 156 milhões que mantinha na Suíça antes de se tornar insolvente em 2011, segundo documentos sigilosos do Banco Central que fazem parte de um inquérito da Polícia Federal, obtidos pela Folha.

No mínimo curioso, mas a queda do Rural é considerada mais uma mancha para dificultar, e acreditamos que vai encarecer a captação de recursos por parte de alguns bancos menores, afinal se valíamos riscos, os últimos fatos nos levam a crer que está muito complicado.

Mas ter um banco com grande relação com o mensalão, deve levar “os clientes começam a combinar a situação decorrente do mensalão com a chegada de um período difícil para os bancos médios, de queda de rentabilidade”, explica o economista Roberto Troster, em entrevista para a Revista Veja desta semana, afirmando que mais uma liquidação complica a conjuntura para o segmento.

Acredito que mais uma vez a imagem dos bancos menores sairá chamuscada, mas o mercado saberá entender que o caso do Banco Rural é específico? A bem da verdade que a presidente está condenada no processo do mensalão, refiro me a Kátia Rabello, condenada pelo Supremo Tribunal Federal no julgamento do mensalão.

Mas será que esta instituição não possuía controles internos e compliance? Posso apostar que sim, mas pelo jeito não eram efetivos, como venho há muito tempo falando, quando os administradores são os primeiros a fragilizar a gestão de compliance e controles internos, o que podemos fazer? A resposta é quase nada e esperar que um dia alguém efetue alguma fiscalização identifique e apresente uma nota como a do Bacen sobre a liquidação do Rural: “…comprometimento da situação econômico-financeira da instituição, a existência de graves violações às normas legais e estatutárias que disciplinam sua atividade e a ocorrência de sucessivos prejuízos que sujeitam a risco anormal seus credores quirografários.”

Mais uma vez estaremos recebendo uma avalanche de informações que põe em cheque tudo aquilo que profissionais, órgãos reguladores, institutos nacionais e internacionais, vem apresentando em grupos de trabalhos, palestras e treinamentos, mas por mais que desejemos fazer o correto, digo estar em compliance, ainda temos muitas coisas a mudar.

Compliance, controles internos, gestão de riscos, conduta e ética, auditorias, fiscalização, supervisão entre outras, não podem ficar somente nas normas de conduta e ética e nos livros e legislações, devem ser praticados e cobrados, por todos aqueles que acreditam na honestidade e no trabalho sério e responsável. Este é meu recado para hoje, amanhã tem mais.

* Marcos Assi é consultor da MASSI Consultoria – Prêmio Excelência e Qualidade Brasil 2013 e Premio em Excelencia em Capacitação em GRC pela Camara Brasileira da Cultura 2013, professor de MBA na Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” e “Gestão de Riscos com Controles Internos – Ferramentas, certificações e métodos para garantir a eficiência dos negócios”. www.massiconsultoria.com.br

Gestão de Controles Internos e Gestão de Riscos, o que devo fazer primeiro?

As empresas nos últimos tempos estão adequando a sua gestão com base em controles internos, compliance, riscos e segurança da informação, mas o que devemos fazer primeiro, levantar os riscos e implementar controles, ou mapear os processos, implementar controles e identificar os riscos depois?

Eu acho muito interessante isso, pois em conversas com colegas especialistas em controles e riscos, ficamos boquiabertos como falta ainda uma boa definição de como facilitar a gestão dos negócios, e já não é de hoje que falamos que antes de implementar controles, necessitamos conhecer o negócio, e quando evidenciamos negócios, dizemos processos, sistemas, produtos, pessoas e modelo de gestão.

Falar de gestão de riscos antes de implementar controles internos e contábeis é dar tiro no escuro em minha humilde opinião, pois quando iniciamos uma empresa, sempre visamos os controles contábeis, financeiros e alguns controles internos necessários para o negócio.

Para que tenhamos uma noção disso, muitas empresas ainda estão em processo de profissionalização dos controles internos e contábeis, mas falam de riscos e nem mapearam seus processos internos, e como estariam então seus controles, se não fazem a mínima ideia de quantos processos têm e para qual objetivo foi criado, e quem são os responsáveis, agora me respondam quais são os riscos?

Existem alguns questionamentos sobre maturidade de riscos e maturidade de controles. Podemos questionar em qual nível de maturidade de Controles Internos sua empresa se encontra?

ü  Nível 1 – Não Confiável: as atividades de controle não são mapeadas

ü  Nível 2 – Informal: os controles dependem principalmente das pessoas

ü  Nível 3 – Padronizado: as atividades de controle são mapeadas e implementadas

ü  Nível 4 – Monitorado: controles padronizados e com testes periódicos

ü  Nível 5 – Otimizado: utilização de automação e ferramentas para apoiar as atividades de C.I

Se somos sabedores que muitos dos controles são dependentes de quem os criou ou de quem os faz, e quando o “gestor do conhecimento” vai embora, quem dá continuidade no trabalho?

Então se somos frágeis em maturidade de controle imaginem na maturidade de riscos sem mapeamentos e processos definidos?

Portanto, acreditamos que controle interno deveria ser ponto inicial de cada projeto, produto, sistema, atividade e principalmente voltado para o negócio, mas em certos casos não é assim que acontece, colocamos o produto ou serviço na linha de produção e depois corremos atrás para entender como controlamos e se existem normas de órgãos reguladores ou normas internas que permitem a realização do projeto.

Na verdade no momento atual, falar que risco é mais importante que controle interno, que é mais importante que compliance ou que sejam mais importantes que segurança da informação, é justamente uma falácia, pois todas estas áreas tem sua importância na gestão, dependendo do momento e da situação que cada uma delas possui, mas sozinhas nada podem fazer.

E aqui deixo também evidente o grau de importância da auditoria na validação e verificação dos processos de controles, compliance, riscos e segurança da informação tão importantes na gestão dos negócios.

Portanto, devemos avaliar que na profissionalização da gestão e na busca de atendimento aos órgãos reguladores, devemos em minha opinião, mapear processos, identificar controles, validar compliances, identificar riscos e fazer a com que a empresa esteja em conformidade com regras estabelecidas na boa gestão de governança corporativa e sustentabilidade.

* Marcos Assi é consultor da MASSI Consultoria ganhadora do Premio Excelência e Qualidade Brasil 2013, Professor de MBA da disciplina de Controles Internos e Compliance da Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” e “Gestão de Riscos com Controles Internos – Ferramentas, certificações e métodos para garantir a eficiência dos negócios”. 

Contabilidade, Auditoria, Controles Internos, Conduta e ética, estamos preparados para as críticas?

Há algumas semanas estava palestrando em um evento para auditores sobre gestão de riscos: prevenir ou corrigir? Este foi o tema de meu ultimo artigo. E como sempre algumas pessoas não entendem ou não compreendem o nosso recado, por isso faço neste momento um ajuste em meu discurso.

Quando evidenciamos as falhas de conduta e ética de alguns colegas contadores, e obviamente estes fatos ocorrem com balanços auditados por uma empresa de auditoria independente, quero deixar bem claro que não quero fixar o alvo em nenhuma delas, mas alguém perguntou para mim sem fiquei feliz com a matéria na mídia?

A resposta é logico que não gosto, pois sou contador de formação e mesmo no período que exerci a minha função como auditor interno, fico muito chateado, pois tenho vários amigos auditores independentes, e a imagem fica híper arranhada, não é verdade?

Mas, quando fazemos referência que alguém falhou, muitas pessoas ficam chateadas ou melindradas com a forma que evidencio o assunto, será que deveria fazer de conta que nada aconteceu, pelo contrario, faço questão de evidenciar que existe a necessidade de mudança no processo de auditoria e melhoria na conduta e ética dos contadores e dos gestores.

Em certos momentos fico com muita vontade de fazer como muitos e não expor minha opinião, mas acredito que tenho uma responsabilidade de comentar e às vezes criticar estas posturas de brincar de faz de conta nas gestões corporativas.

A gestão de riscos por mais básica que pareça, ainda vejo profissionais falando de risco, mas não prática a gestão de riscos preventiva não acontece, antes que alguém fique muito bravo, nem tudo é ruim, mas pode ser melhorado.

Agora voltando para o tema do artigo, como podemos auditar um cliente se não possuo conhecimento pleno do negócio e da possibilidade de “desvio de conduta”, e da “contabilidade criativa” (fraude) entre outras, segue aqui alguns casos para evidenciar a minha indignação e para que alguém me explique como aconteceram.

Podemos citar: o caso da Enron e Arthur Andersen (2002), a Parmalat com fraudes contábeis (2003), os controles do Société Générale antes da fraude falharam, diz ministra (2008), derivativos levam Sadia e Aracruz a prejuízos bilionários em 2008, três diretores da empresa indiana de outsourcing em TI Satyam foram presos acusados de fraudes bilionárias (2009), Índia prende 2 contadores da PwC por fraude da Satyam (2009), Banco PanAmericano com fraude de R$ 5 Bilhões (2010), e o Banco Cruzeiro do Sul com fraudes contábeis e gestão fraudulenta (2011), não sou eu que sou deselegante ao falar, os fatos falam mais alto do que eu.

Portanto a fraude contábil acontece por que o contador aceita fazer, e as auditoria devem melhorar seus processos para que o risco de auditoria, imagem e reputação não afetem seus negócios e receitas, mais uma vez devemos ser mais coerentes e mais conservadores no que tange a falhas operacionais, somente uma mudança de postura não basta, devemos praticar a conduta moral e ética profissional para que possamos mudar o mundo, afinal 2013 é o ano da contabilidade.

* Marcos Assi é Sócio-Diretor da MASSI Consultoria, professor de MBA na Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” e “Gestão de Riscos com Controles Internos – Ferramentas, certificações e métodos para garantir a eficiência dos negócios” .

Controles internos e conduta profissional, conflitos e interesses

Acho muito interessante quando sou questionado sobre a eficácia dos controles internos nas organizações, pois sempre que uma falha acontece todos os gestores questionam sobre a eficiência e eficácia dos controles internos, contábeis, compliance, gestão de riscos e até mesmo das auditorias, mas onde esta a falha?

Um bom sistema de controles internos esta baseado nas normas/politicas, procedimentos, sistemas e pessoas, e não quero generalizar, mas em certos casos as pessoas negligenciam as normas, desprezam os procedimentos e burlam o sistema, desculpem a todos, mas a conduta profissional deveria ser a base de toda gestão operacional.

Não sou pessimista, mas tento ser um pouco realista, pois acredito que a gestão de controles internos, compliance e risco podem ser melhorados e aprimorados, mas dependem muito da vontade e justamente da tão falada “apetite” de riscos dos administradores, gestores e lideres das organizações, mas como fazer, eis a questão.

De nada adianta, realizar mapeamento de processos, identificar necessidades de normas e procedimentos, manuais, segurança da informação, elaborar matrizes de riscos operacionais, avaliar a necessidade de planos de contingência e de continuidade, politicas de limites operacionais, processo de avaliação, análise e liberação crédito, sem antes entender o negócio e obter a conscientização e apoio da alta administração, parece brincadeira, mas todos nós já sabemos disso, entretanto…

Acredito que podemos mudar através de um choque de gestão, afinal muitas regras são implementadas e parece que as exceções e as burlas nas regras vêm anexas ao processo, desculpem o sarcasmo, mas muitos dos problemas gerados são ocasionados por nós mesmos, profissionais das organizações, portanto conduta ética e profissional tem limites? Acredito que não, mas quantos problemas gerados nas organizações acontecem desta forma? Mas o que é ética para um, nem sempre é a mesma para outros.

A cada dia os órgãos reguladores solicitam mais e mais controles e não tem recursos suficientes para a supervisão, e como solucionar isso? Justamente com a implementação de modelos de gestão de controles e compliance nas organizações, e infelizmente neste país a impunidade ainda é superior aos números de prisões realizadas por gestão fraudulenta, crimes contra o sistema financeiro, fraudes contábeis, sonegação fiscal, pirâmides financeiras entre outros.

Podemos citar alguns exemplos de que o crime não compensa em outros países, como os gestores da Enron, o CFO Andrew Fastow, o CEO Jeff Skilling e Ken Lay foram ambos indiciados em 2004 por suas participações da fraude, temos o Bernard John “Bernie” Ebbers foi preso por fraude, conspiração e emissão de documentos falsos na Worldcom, o esquema de pirâmide financeira do fundo do Bernard Madoff são casos de empresários que foram e continuam presos por ausência de conduta ética e profissional.

Portanto acredito que devemos buscar melhorias através das regras e das sanções, pois a avaliação de conduta e ética ainda esta sob o conflito de interesses das pessoas que tem como reponsabilidade a gestão de algumas corporações, muita coisa esta mudando, é verdade, mas ainda existem pessoas com interesses e necessidade “diferenciadas” nos processo, #pensenisso.

* Marcos Assi é consultor da MASSI Consultoria, professor de MBA de Gestão de Riscos e Compliance na Trevisan Escola de Negócios, entre outras universidades, autor dos livros “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” e “Gestão de Riscos com Controles Internos – Ferramentas, certificações e métodos para garantir a eficiência dos negócios” pela (Saint Paul Editora).

Gestão de Riscos: Prevenir ou corrigir?

Conversando com o assessor de gabinete do deputado federal Alfredo Kaefer PSDB/PR, a possibilidade de minha colaboração na inclusão de ementas à Medida Provisória 608 sobre Instituições financeiras – Crédito presumido e distribuição de dividendos, e aproveitamos para falar sobre a Basileia 3 e chegamos a uma conclusão que precisamos mudar nossa postura na gestão de riscos, pois somos muito mais corretivos do que preventivos. Será que exageramos?

Pela nossa conclusão não, pois há algum tempo falamos em gestão de riscos, mas somente atentamos para mudanças quando algum fato ocorre causando, transtornos, perdas de vidas e financeiras, crises de imagem, riscos sistêmicos, perdas materiais, entre outras.

Vejamos alguns fatos relevantes, precisamos de uma catástrofe em uma casa noturna, para que verificarmos que muitas outras casas não possuíam o mínimo de segurança contra incêndio e evacuação do local, vamos a outro fato estamos em época de chuvas e inundações e que esta sendo feito para minimizar os riscos? Gastamos mais com ações de emergência e socorro, do que na prevenção.

No que diz respeitos às intervenções e liquidação de instituições financeiras, os correntistas correm o risco e pelo jeito são eles que ficam com o risco, é verdade que o órgão regulador não possui equipes suficientes para supervisão, depende muito da confiança na execução de compliance pelos gestores das referidas instituições executarem a regras.

Portanto a Basileia 3 somente solicita que seja feita a gestão de riscos com maior transparência, mas como podemos confiar nas informações depois dos últimos escândalos de fraudes contábil, má gestão e crimes contra os sistema financeiro ocorridos nos últimos anos?

Hoje ser um gestor de compliance, controles internos, riscos e segurança da informação está um pouco complicado em algumas organizações, pois mesmo existindo as regras sempre tem alguém atrapalhando o processo, pois um SCI – Sistemas de Controles Internos é composto por normas, procedimentos, sistemas e pessoas, que infelizmente em conversas com amigos, alguém sempre negligencia as normas, ignoram os procedimentos, burlam os sistemas e convencem as pessoas a fazerem o incorreto, mesmo que por um curto momento.

Pois quem nunca ouviu alguém falar: “a auditoria e o compliance vivem querendo colocar regras no meu negócio”, ou “esse negócio de gestão de riscos é coisa de auditoria, responde que estamos implementando”, ou “faça a operação que eu abono a falta de contrato”, agora me digam quem assumi o risco?

Portanto trabalhar com prevenção é o caminho, pois o corretivo deveria surgir somente quando a prevenção não tenha contemplado o fato, e devemos corrigir e providencia melhorias na prevenção, afinal somente dão importância na prevenção quando perdemos algo, será que vale a pena correr o risco? Pense nisso.

* Marcos Assi é consultor da MASSI Consultoria, professor de Gestão de Compliance e Controles Internos no MBA de GRC da  Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” e “Gestão de Riscos com Controles Internos – Ferramentas, certificações e métodos para garantir a eficiência dos negócios” pela (Saint Paul Editora).

Agentes de Compliance, quando a capacitação é necessária

Controles InternosAcho interessante que sempre que falamos de compliance, fazemos referencias a palavra derivada do inglês do verbo “to comply”, que significa cumprir, executar, obedecer, observar e fazer o que lhe as regras e regulamentos impõe.

Há algum tempo atrás ao falar de compliance, muitas pessoas já faziam referencia aos bancos, e nos bancos a referencia era lavagem de dinheiro, mas será que não estávamos com pensamento muito restritivo para a função?

Acredito que sim, pois atualmente as grandes organizações, sejam elas financeiras e não financeiras descobriram que devem cumprir várias regras e legislações estabelecidas no mercado global tais como: Lei Sarbanes & Oxley, IFRS, acordo da Basiléia, controles internos e compliance, prevenção a lavagem de dinheiro e financiamento ao terrorismo, governança corporativa, governança de TI, segurança da Informação, continuidade de negócios, gestão de riscos, entre outros, mas a questão é como administrar tudo isso de maneira responsável e com eficácia?

Vai faltar braço, e posso até sem medo de errar, comentar que a gestão de compliance é responsabilidade de todos na organização, cada colaborador tem sua parcela de responsabilidade, mas como fazer uma gestão de negócios alinhada a gestão de compliance?

Acreditamos que somente ao criar uma área de compliance que possa suportar a administração e o negócio, com base na busca de alinhamento das regras externas (órgãos reguladores), das regras de nossa matriz e além das regras internas que são implementadas para gerar maior segurança na gestão, não seja suficiente.

Por isso algumas organizações estão investindo na formação de agentes de compliance, que em muitos casos são profissionais das próprias áreas de negócio, que são capacitados para melhor entender a função da atividade.

Vale salientar que esta profissão existia há pouco tempo atrás, e existem muitas duvidas no entendimento de suas funções seja por quem faz a gestão, seja por que necessita deste suporte operacional de conformidade, e como muitos profissionais observam: “não tenho tempo de fazer o que minha atividade demanda, imagina ficar observando legislação e montando normas e procedimentos”.

Afinal a não realização e cumprimento dessas normativas podem trazer prejuízos, suspensão de atividades, sanções, penalidades e denegrir a reputação e imagem de uma marca ou de uma empresa.

Mas normalmente a alta administração trabalha com assuntos macros com foco nas decisões e não tem condições de perceber desvios, falhas ou erros gerenciais e principalmente os riscos operacionais, por isso, poderíamos considerar o Compliance como os olhos da Alta Administração, função esta que anos atrás já foi da auditoria interna, que não deixou de ser, mas ganhou um aliado.

A função corporativa do profissional de Compliance deve estar alinhado com a missão, visão e valores estabelecidos à organização pela Alta Administração e o papel funcional do profissional de Compliance esta relacionado ao exercício do cumprimento das melhores práticas, das normas, leis, controles internos e de governança corporativa, tudo isto, centrado na aplicação de um bom Programa de Compliance, e com a implementação de um bom código de conduta e ética, não só no papel, mas na mudança da postura das pessoas.

O agente de compliance será aquele profissional que estará alinhado com os negócios e com certeza estando mais próximo da atividade, oferecerá maior segurança para quem exerce as funções administrativas e para quem faz a gestão dos negócios, de riscos, segurança e governança da organização.

* Marcos Assi é consultor da MASSI Consultoria, professor de MBA na Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” e “Gestão de Riscos com Controles Internos – Ferramentas, certificações e métodos para garantir a eficiência dos negócios” .

Consultor de Controles Internos sim, oráculo não.

Durante as minhas ligeiras férias, fiz questão de ler o Livro Consultoria: uma opção de vida e Carreira, de Luiz Concistré, editora Campus e alguns ensinamentos foram relevantes, pois conhecimento e ensinamento são e serão sempre necessários para qualquer profissional.

Segundo Concistré, quando o consultor age como especialista, o contratante assume uma posição passiva, à espera das orientações do profissional contratado e da determinação deste sobre o que precisa ser feito e quando. Mas quando o consultor age como facilitador, o quadro muda radicalmente, a colaboração contratante-consultor torna-se fator critico do sucesso do projeto, para isso necessitamos de uma comunicação intensa entre cliente e consultor, devem ser tomadas em conjunto.

Afinal devemos reconhecer qual papel se esta exercendo naquele momento é identificar a expectativa do contratante quando a esse papel, se o contratante espera que você aja como especialista e sua ação for percebida como mão de obra, o desastre será inevitável.

Portanto, levando a necessidade de implementação de controles internos e conformidade, o consultor dentro do processo significa a necessidade constante e incessante de renegociação das expectativas e ofertas de todos os envolvidos, este processo faz parte do procedimento andragógico (é a arte ou ciência de orientar adultos a aprender) assim como a capacidade de dar e receber feedback.

Afinal nos projetos de implementação de controles internos e conformidade devemos buscar a mudança do comportamento através: da mudança na cultura; do comportamento das lideranças; da estrutura e dos processos; da eliminação do medo e incentivo à experimentação; das novas competências e incentivos para adquiri-las; e de novas regras.

Naturalmente será necessário lidar com resistências, nunca teremos a favor a unanimidade, afinal as resistências ao processo são naturais, e trata-las faz parte das habilidade de um consultor.

Devemos entender que o cliente enxerga a consultoria como o solucionador do problema, portanto conhecer os fatores ambientais, culturais e próprios do negócio relacionados com a demanda, objetividade, interpretação e observação, precisão e isenção, sensibilidade e especificidade, entender e ser entendido corretamente, respeito, sinceridade e empatia.

O consultor deve ter clareza de linguagem, devemos evitar uso de termos técnicos ou jargões em exagero, muitas vezes utilizamos siglas que as pessoas desconhecem, e assim não atingimos o nosso cliente.

É importante observar como muitas consultoria possuem, soluções prontas para o problema do outro, por isso devemos: diagnosticar; identificar as características do ambiente; devolver ao cliente a síntese do que foi levantado e detalhar as diretrizes de atuação da consultoria e quando possível adaptar a metodologia da consultoria às especificidades da empresa e do projeto, pois podemos construir a estratégia de atuação conforme o negócio do cliente.

Fica aqui a dica, afinal o projeto termina, o consultor vai embora e o cliente deve dar continuidade nos trabalhos, somente mudando o jeito de prestar os serviços, mudamos a maneira de como o cliente observa a consultoria, somos propagadores de conhecimentos. Somos o suporte de conhecimento que a empresa não possui naquele momento e um parceiro na solução imediata e revisores no futuro.

Somos consultores de negócios e não oráculos para consulta a qualquer momento para solução de problemas, pelo contrario, somos facilitadores das possíveis soluções dos problemas.

* Marcos Assi é  professor de MBA  Trevisan Escola de Negócios,  autor dos livros “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios” e “Gestão de Riscos com Controles Internos – Ferramentas, certificações e métodos para garantir a eficiência dos negócios” .