Teste de aderencia, quem deve realizá-lo?

A área de Controles Internos e Compliance, quando possivel estará sempre reforçando as ferramentas administrativas para garantir o cumprimento dos objetivos do negócio. Tem a finalidade de assegurar a aderência às normas e aos regulamentos internos e externos, a confiabilidade das informações e a eficiência das operações.

Portanto, os gestores também devem fazer parte deste processo, afinal a responsabilidade na execução dos procedimentos e das normas são das gestores, que possuem equipes e responabilidades sobre sistemas, informações e entre outros processos.

O sistema de Controles Internos e Compliance é um processo estruturado com o propósito de permitir a condução mais segura, adequada e eficiente dos negócios, de acordo com as regulamentações vigentes e dos responsaveis pela gestão operacional e administrative da organização.

No dicionário encontramos os itens em português: teste de cumprimento, teste de aderência, teste de observância e em Inglês: compliance test. Quem faz o teste de compliance? A área de Controles Internos e Compliance que geralmente tem 2 ou 3 pessoas, ou auditoria interna ou os gestores?

Segundo o  modelo  de  Três  Linhas  de  Defesa apresentado pelo IIA,  o  controle  da  gerência  é  a  primeira linha  de  defesa  no  gerenciamento  de  riscos,  as  diversas  funções  de  controle de  riscos  e  supervisão  de  conformidade  estabelecidas  pela  gerência  são  a segunda  linha  de  defesa  e  a  avaliação  independente  é  a  terceira.  Cada  uma dessas  três  “linhas”  desempenha  um  papel  distinto  dentro  da  estrutura  mais ampla  de  governança  da  organização.

Portanto a responsabilidade da 1ª Linha de defesa, os gerentes operacionais gerenciam os riscos e têm propriedade sobre eles. Eles também são os responsáveis por implementar as ações corretivas para resolver deficiências em processos e controles.

A gerência  operacional  é  responsável  por  manter  controles  internos  eficazes e  por  conduzir  procedimentos  de  riscos  e  controle  diariamente.  A  gerência  operacional  identifica,  avalia,  controla  e  mitiga  os  riscos,  guiando  o  desenvolvimento  e  a  implementação  de  políticas  e  procedimentos  internos  e garantindo  que  as  atividades  estejam  de  acordo  com  as  metas  e  objetivos.

Por  meio  de  uma  estrutura  de  responsabilidades  em  cascata,  os  gerentes  do nível médio  desenvolvem  e  implementam  procedimentos  detalhados  que  servem como  controles  e  supervisionam  a  execução,  por  parte  de  seus  funcionários, desses  procedimentos.

No que tange a responsabilidade da 2ª Linha de defesa podemos afirmar que em um mundo perfeito, apenas uma linha de defesa talvez fosse necessária para garantir o gerenciamento eficiente e eficaz dos riscos e processos. No mundo real, no entanto, uma única linha de defesa pode, muitas vezes, ser apresentada de forma inadequada. A gerência de risco, controles internos e compliance estabelecem diversas funções e gerenciamento de riscos e conformidade para ajudar a desenvolver e/ou monitorar os  controles  da primeira  linha  de  defesa.  As funções específicas vão variar entre organizações e indústrias.

A função de conformidade  que  monitore  diversos  riscos específicos,  tais  como  a  não  conformidade  com  as  leis  e regulamentos  aplicáveis.  Nesse  quesito,  a  função  separada  reporta diretamente  à  alta  administração  e,  em  alguns  setores  do  negócio, diretamente  ao  órgão  de  governança.  Múltiplas funções  de conformidade  existem  frequentemente  na  mesma  organização,  com responsabilidade  por  tipos  específicos  de  monitoramento  da conformidade,  como  saúde  e  segurança,  cadeia  de  fornecimento, ambiental  e  monitoramento  da  qualidade.  E a função de  controladoria  que  monitore  os  riscos  financeiros  e questões  de  reporte  financeiro.

Para a responsabilidade da 3ª Linha de defesa citamos os auditores  internos  fornecem ao órgão de governança e à alta administração avaliações abrangentes baseadas no maior nível de  independência  e objetividade dentro  da  organização. Esse alto nível e independência  não está disponível na segunda linha de defesa.

A auditoria interna provê avaliações sobre a eficácia da governança, do gerenciamento de riscos e dos controles internos, incluindo a forma como a  primeira e a  segunda linhas de  defesa  alcançam os objetivos de  gerenciamento de riscos e controle. O escopo dessa avaliação, que é reportada à alta administração e ao órgão de governança.

Mas agora vem a minha indignação, muitas pessoas que exercem a Gestão de Riscos, controles internos e compliance desconhecem as regras, até mesmo o COSO (The Committee of Sponsoring Organizations of the Treadway Commission) determina a separação em teste de eficiência e eficácia, mas muita gente ainda acha que a responsabilidade é da auditoria interna, precisamos rever alguns conceitos e mudar para o modelo mais pratico e que funcione, deixar de lado teorias e colocar em pratica modelos já estabelecidos que são mais simples, do que tenho visto implementado por aí a fora.

* Marcos Assi é professor e consultor da MASSI Consultoria e Treinamento – Prêmio Anita Garibaldi 2014, Comendador Acadêmico com a Cruz do Mérito Acadêmico da Câmara Brasileira de Cultura, professor de MBA na FECAP, FIA, Saint Paul Escola de Negócios, Centro Paula Souza, USCS, Trevisan entre outras, autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos” e “Gestão de Compliance e seus desafios” pela Saint Paul Editora.