Arquivo da tag: gestão de compliance

Qual o limite de Compliance nas empresas? Você pratica as três linhas de defesa?

Difícil identificar o limite, mas tenho visto muitos profissionais assumindo atividades que se misturam com o operacional, mas será que esta correto? E será que somente o Compliance deve reportar-se ao Conselho de Administração? Afinal, Controles Internos, Riscos e Segurança da Informação são partes integrantes da validação de processos de conformidade, mas em algumas empresas reportam a um diretor especifico, será que não devemos mudar a forma de reporte de informações?

Segundo o IIA – International Internal Audit, na sua Declaração de Posicionamento: AS TRÊS LINHAS DE DEFESA NO GERENCIAMENTO EFICAZ DE RISCOS E CONTROLES, determina que:

“O controle da gerência é a primeira linha de defesa no gerenciamento de riscos, as diversas funções de controle de riscos e supervisão de conformidade estabelecidas pela gerência são a segunda linha de defesa e a avaliação independente é a terceira. Cada uma dessas três “linhas” desempenha um papel distinto dentro da estrutura mais ampla de governança da organização.”

“Embora os órgãos de governança e a alta administração não sejam considerados dentre as três “linhas” desse modelo, nenhuma discussão sobre sistemas de gerenciamento de riscos estaria completa sem considerar, em primeiro lugar, os papéis essenciais dos órgãos de governança (i.e., conselho de administração e órgãos equivalentes) e da alta administração. Os órgãos de governança e a alta administração são as principais partes interessadas atendidas pelas “linhas” e são as partes em melhor posição para ajudar a garantir que o modelo de Três Linhas de Defesa seja aplicado aos processos de gerenciamento de riscos e controle da organização.”

Portanto devemos avaliar nossas funções de gestão de Compliance, Controles Internos e Riscos dentro do negócio, mas o principal foco deve ser o negócio, afinal quanto mais conhecermos melhor serão nos processos de suporte, apoio e monitoramento, mais uma vez digo e repito, não basta criar normas e procedimentos, devemos nos certificar que as regras estão sendo seguidas, este é o principal desafio.

A gerência operacional é responsável por manter controles internos eficazes e por conduzir procedimentos de riscos e controle diariamente, é também responsável em identificar, avaliar, controlar e mitigar os riscos, guiando o desenvolvimento e a implementação de políticas e procedimentos internos e garantindo que as atividades estejam de acordo com as metas e objetivos.

Mas se as responsabilidade não forem implementadas no modelo em cascata, onde os gerentes do nível médio desenvolvem e implementam procedimentos detalhados que servem como controles e supervisionam a execução, por parte de seus funcionários, desses procedimentos.

Em um mundo perfeito, apenas uma linha de defesa talvez fosse necessária para garantir o gerenciamento eficaz dos riscos. Mas no mundo real, no entanto, uma única linha de defesa pode, muitas vezes, se provar inadequada. A Gestão de Compliance, Controles Internos, Controles Financeiros, Segurança da Informação e Riscos estabelecem diversas funções de gerenciamento de riscos e conformidade para ajudar a desenvolver e/ou monitorar os controles da primeira linha de defesa.

Os auditores internos são parte integrantes do processo de controles internos, afinal fornecem ao órgão de governança e à alta administração avaliações abrangentes baseadas no maior nível de independência e objetividade dentro da organização. Esse alto nível de independência não está disponível na segunda linha de defesa. A auditoria interna provê avaliações sobre a eficácia da governança e o Compliance, Controles Internos e Riscos são responsáveis pela eficiência do negócio, incluindo a forma como a primeira e a segunda linhas de defesa alcançam os objetivos de gerenciamento de riscos e controle.

Segundo as Normas Internacionais para Prática Profissional de Auditoria Interna, os diretores executivos de auditoria devem “compartilhar informações e coordenar atividades com outros prestadores internos e externos de serviços de avaliação e consultoria, para assegurar a cobertura apropriada e minimizar a duplicação de esforços”.

  • Os processos de riscos e controle devem ser estruturados de acordo com o modelo de Três Linhas de Defesa.
  • Cada linha de defesa deve ser apoiada por políticas e definições de papéis apropriadas.
  • Deve haver a coordenação apropriada entre as diferentes linhas de defesa para promover a eficiência e a eficácia.
  • As funções de riscos e controle em operação nas diferentes linhas devem compartilhar conhecimento e informações apropriadamente, para auxiliar todas as funções a desempenhar melhor seus papéis de forma eficiente.
  • As linhas de defesa não devem ser combinadas ou coordenadas de uma forma que comprometa sua eficácia.
  • Em situações em que as funções de diferentes linhas forem combinadas, o órgão de governança deve ser aconselhado a respeito da estrutura e seu impacto.
  • Em organizações que ainda não tenham uma atividade de auditoria interna estabelecida, deve-se exigir que a gerência e/ou o órgão de governança explique e divulgue às suas partes interessadas que consideraram como será obtida a avaliação adequada da eficácia das estruturas de governança, gerenciamento de riscos e controle da organização.

* Marcos Assi é professor e consultor da MASSI Consultoria – Prêmio Anita Garibaldi 2014, Prêmio Quality 2014, Prêmio Excelência e Qualidade Brasil 2013 e Comendador Acadêmico com a Cruz do Mérito Acadêmico da Câmara Brasileira de Cultura, professor de MBA Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos” e “Gestão de Compliance e seus desafios” pela Saint Paul Editora. 

Base de pesquisa: The Institute of Internal Auditors (IIA), Criado em 1941, é uma associação profissional internacional, com sede global em Altamonte Springs, Flórida, EUA. O IIA é o líder reconhecido, principal defensor e educador em auditoria interna.

Novo desafio de compliance: Lei anticorrupção vs. conduta e ética

Entrou em vigor a Lei 12.846/2013, que prevê a responsabilização de empresas que cometem atos lesivos contra a administração pública nacional ou estrangeira, materializando o preceito constitucional da moralidade previsto no artigo 37, da Constituição Federal, além da observância, em território nacional, de princípios assumidos pelo país pela Convenção de Mérida.

Convenção esta que define os procedimentos para a prevenção e detecção de transferências de ativos oriundos de atos ilícitos, as medidas para a recuperação de propriedade e os métodos de cooperação internacional necessários a uma ação mais integrada e eficiente.

A nova lei adotou a responsabilidade objetiva da pessoa jurídica, dispensando a comprovação da culpa ou dolo dos representantes da empresa como critério de incidência do ato de corrupção, o que torna mais fácil a aplicação da norma na prática.

Não posso deixar de evidenciar que é no mínimo engraçado, pois precisamos de uma lei para obrigar as pessoas físicas e jurídicas a cumprir normas de conduta e ética nos negócios? E a nova lei está transtornando muitas empresas no que tange as normas de compliance, mas agora como temos sanções administrativas e cíveis, e embora não se trate de uma lei penal, as sanções administrativas e civis previstas na nova lei são muito rígidas.

Na esfera administrativa há previsão de multa, no valor de 0,1% (um décimo por cento) a 20% (vinte por cento) do faturamento bruto do último exercício anterior ao da instauração do processo administrativo, e caso não seja possível utilizar o critério anterior, a previsão é de aplicação de multa variável entre R$ 6.000,00 (seis mil reais) e R$ 60.000.000,00 (sessenta milhões de reais).

Já na esfera judicial as sanções previstas são: perda dos bens, direitos ou valores obtidos direta ou indiretamente com a infração; suspensão ou interdição parcial de suas atividades; dissolução compulsória; proibição, durante o prazo de 1 a 5 anos, de recebimento de incentivos, subsídios, subvenções, doações ou empréstimos de órgãos ou entidades públicas e de instituições financeiras públicas ou controladas pelo poder público.

Aliás, o rigor empregado na previsão das sanções aplicáveis, pode tornar a legislação brasileira mais severa, inclusive, que a legislação americana, tida como umas das mais rígidas do mundo no combate à corrupção, pelo menos esperamos que sejam assim.

Mais uma vez as empresas deverão adotar critérios voltados para a neutralização dos riscos decorrentes da incidência da nova norma e suas sanções, podemos criar ou revisar os nossos manuais de boas práticas e a adoção de um efetivo sistema de compliance interno, que agirá preventivamente em casos de potencial infração legal.

Interessante como todos tem comentado sobre a aplicabilidade de gestão de compliance corporativas como se fosse algo novo, mas quem me acompanha em meus artigos, já sabe que falamos sobre isso há muito tempo, mas agora com a Lei 12.846/2013 podemos aproveitar para evidenciar mais o nosso trabalho, pois somente a existência de mecanismos e procedimentos internos de integridade, auditoria, denúncia de irregularidades não basta devemos aplicar com maior efetividade os códigos de ética e de conduta no âmbito corporativo.

* Marcos Assi é consultor da MASSI Consultoria – Prêmio Excelência e Qualidade Brasil 2013 e Comendador Acadêmico com a Cruz do Mérito Acadêmico da Câmara Brasileira de Cultura, professor de MBA Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos” e “Gestão de Compliance e seus desafios” pela Saint Paul Editora. www.massiconsultoria.com.br

Meios de pagamentos, controles internos e riscos, quando mudança de gerenciamento é necessária.

No início deste mês o Banco Central do Brasil publicou algumas resoluções e circulares, criando regras de negócios para o produto cartões e meios de pagamentos, tendo em vista o crescimento do produto em nosso mercado financeiro atual, afinal o dinheiro de plástico e o dinheiro virtual, já fazem parte de nosso dia-a-dia.

Muitas empresas estão há tempos oferecendo o produto de meios de pagamento, modelo de cartão pré-pago, mas havia uma lacuna na regulamentação do negócio e se somente empresas financeiras poderiam oferecer o produto, e como falar de Compliance, é a bola da vez, o Banco Central, agiu como órgão regulador, e determinou inúmeras regras que devem ser implementadas até meados de maio de 2014, principalmente na questão de autorização de funcionamento.

Citamos aqui a Resolução nº 4.283/13 que substitui a Resolução 3.694/09 sobre a prevenção de riscos na contratação de operações e na prestação de serviços por parte das IF’s, e as circulares determinam regras de cadastro, manutenção de informações de clientes, monitoramento de informações financeiras e além de atender a circular nº 3.347/07 sobre o cadastro de clientes do sistema financeiro nacional (CCS).

As circulares descrevem responsabilidades de gerenciamento de risco operacional, liquidez e de crédito, requerimentos de patrimônio mínimo, governança corporativa, e outro ponto forte é justamente a exigência de gerenciamento de continuidade de negócios e plano de recuperação de desastres, segurança da informação, conciliação de informações, monitoramento de operações e liquidações financeiras, agora vem a pergunta sem controle interno como podemos atender a estas demandas?

Mais uma vez fica bem evidente que a gestão de compliance e controles internos e a gestão de riscos, não podem mais ser deixados de lado, por isso que a profissionalização das organizações e de seus colaboradores, é ponto fundamental na melhoria da gestão e da tão falada governança corporativa.

Muitos profissionais, amigos meus e alunos, questionaram se estas empresas que estão solicitando autorização de funcionamento junto ao Banco Central possuem áreas com foco em controles internos e compliance, mas a resposta foi: “a maioria da empresas somente dão a devida atenção a estas áreas em referência, quando um órgão regulador, auditor ou um cliente aponta a necessidade de implementação das atividades de controles para a continuidade de sua operação junto ao mercado”.

Para evidenciar melhor, muitas empresas multinacionais, ao efetuar licitações de fornecedores, tem incluído clausulas obrigatórias de compliance, como políticas de conduta e ética, prevenção a fraudes, prevenção a lavagem de dinheiro, gestão de riscos, entre outros, portanto atualmente uma empresa seja de pequeno ou médio porte, necessita o básico de gestão de compliance e controles internos, para que possa oferecer seus produtos e serviços.

Acreditamos que esta atuação do Banco Central seja um marco na consolidação da atividade de compliance, controles internos e gestão de riscos para a atividade de meios de pagamentos, e que este exemplo, seja seguido por agências reguladoras e órgãos reguladores, e quem estas empresas sejam supervisionadas e punidas quando do não cumprimento das regras.

* Marcos Assi é consultor da MASSI Consultoria – Prêmio Excelência e Qualidade Brasil 2013 e Comendador Acadêmico com a Cruz do Mérito Acadêmico da Câmara Brasileira de Cultura, professor de MBA de Gestão de Riscos da Trevisan Escola de Negócios, entre outras, autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos” e “Gestão de Compliance e seus desafios” pela Saint Paul Editora. www.massiconsultoria.com.br

Por que implementar compliance nas empresas é tão difícil?

Tenho ultimamente criticado a postura de muitos administradores e gestores no que tange a compliance ou conformidade, pois alguns organismos internacionais vêm trabalhando com muita dedicação na busca de melhorias na gestão de compliance, com publicações, seminários e congressos, mas onde esta então a dificuldade, se a teoria esta divulgada?

Cultura, necessitamos parar de viver em um mundo de sonhos e viver a realidade, pois somente possuir as normas, os procedimentos e os sistemas não são o suficiente, se as pessoas não fizerem a parte delas, e isso me incomoda há muito tempo, e quando algumas pessoas falam como se estivéssemos no mar de rosas, e sei que muitas empresas possuem processos bem definidos, mas quero dizer que acredito na eficiência e eficácia em controles internos e compliance, mas não podemos deixar de lado a dificuldade que é implementar a gestão de compliance, riscos e controles internos.

Não sou pessimista, mas realista, e acredito no que faço e no que transmito, pois convivo com isso há mais de dez anos e já vivenciei conflitos de interesses, pouco caso dos gestores, negligencia de controles, ausência de entendimento das necessidades, falta de qualificação de alguns profissionais, ausência de índole, pois gestão de compliance, riscos e controles internos superam as normas e procedimentos, afinal a responsabilidade é de todos na organização, por isso devemos entender o negócio, até para poder em parcerias internas melhorar a gestão, mas se eu não conheço…

Por exemplo, quando publicamos uma norma que nenhuma operação pode ser realizada sem contrato ou cadastro completo, entendemos os riscos envolvidos e a necessidade de compliance, mas sempre encontramos um diretor que abona a operação com pendência, então pergunto? Para que temos gestão de compliance, riscos e controles internos? Somente para apresentar ao órgão regulador e para a auditoria?

Respeito às regras e normas, comprometimento com a empresa, busca de resultados, gestão de riscos, tem custo, mas ficar parado também. Falar que na Europa ou nos EUA a consciência de Compliance esta evoluída é perigoso, basta recordar dos escândalos do Société Genéralé, UBS, Lehman Brothers, Siemens, entre outros, todos temos os mesmos problemas, pessoas.

Melhores práticas de controles internos, de governança corporativa, gestão de riscos, compliance, gestão de TI, gestão de pessoas, e principalmente a tão falada cultura organizacional são palavras muito utilizadas palestras, seminários e congressos, mas quão efetivos são os gestores na implementação destes procedimentos e quanto eles disseminam isso entre os seus colaboradores?

Acredito que devemos buscar outros meios de conscientização de todos na organização afinal quem aprova as operações? Que contrata os profissionais? Quem contrata terceiros? Quem fecha as informações financeiras e contábeis? Uma certeza eu tenho, não são os profissionais de riscos, compliance e controles internos, mas os gestores e administradores, por isso é tão difícil implementar uma gestão de compliance, falta vontade e definição das responsabilidades de cada um para que a gestão seja respeitadora das regras e legislações pertinentes ao seu negócio, pense nisso!

* Marcos Assi é professor do MBA Gestão de Riscos e Compliance da Trevisan Escola de Negócios, autor dos livros “Controles Internos e Cultura Organizacional – como consolidar a confiança na gestão dos negócios”  e “Gestão de riscos com controles internos – Ferramentas, certificações e métodos para garantir a eficiência dos negócios”, pela (Saint Paul Editora) e consultor de finanças do programa A Grande Idéia do SBT. Sócio Diretor da Daryus Consultoria e Treinamento.