Teste de aderencia, quem deve realizá-lo?
A área de Controles Internos e Compliance, quando possivel estará sempre reforçando as ferramentas administrativas para garantir o cumprimento dos objetivos do negócio. Tem a finalidade de assegurar a aderência às normas e aos regulamentos internos e externos, a confiabilidade das informações e a eficiência das operações.
Portanto, os gestores também devem fazer parte deste processo, afinal a responsabilidade na execução dos procedimentos e das normas são das gestores, que possuem equipes e responabilidades sobre sistemas, informações e entre outros processos.
O sistema de Controles Internos e Compliance é um processo estruturado com o propósito de permitir a condução mais segura, adequada e eficiente dos negócios, de acordo com as regulamentações vigentes e dos responsaveis pela gestão operacional e administrative da organização.
No dicionário encontramos os itens em português: teste de cumprimento, teste de aderência, teste de observância e em Inglês: compliance test. Quem faz o teste de compliance? A área de Controles Internos e Compliance que geralmente tem 2 ou 3 pessoas, ou auditoria interna ou os gestores?
Segundo o modelo de Três Linhas de Defesa apresentado pelo IIA, o controle da gerência é a primeira linha de defesa no gerenciamento de riscos, as diversas funções de controle de riscos e supervisão de conformidade estabelecidas pela gerência são a segunda linha de defesa e a avaliação independente é a terceira. Cada uma dessas três “linhas” desempenha um papel distinto dentro da estrutura mais ampla de governança da organização.
Portanto a responsabilidade da 1ª Linha de defesa, os gerentes operacionais gerenciam os riscos e têm propriedade sobre eles. Eles também são os responsáveis por implementar as ações corretivas para resolver deficiências em processos e controles.
A gerência operacional é responsável por manter controles internos eficazes e por conduzir procedimentos de riscos e controle diariamente. A gerência operacional identifica, avalia, controla e mitiga os riscos, guiando o desenvolvimento e a implementação de políticas e procedimentos internos e garantindo que as atividades estejam de acordo com as metas e objetivos.
Por meio de uma estrutura de responsabilidades em cascata, os gerentes do nível médio desenvolvem e implementam procedimentos detalhados que servem como controles e supervisionam a execução, por parte de seus funcionários, desses procedimentos.
No que tange a responsabilidade da 2ª Linha de defesa podemos afirmar que em um mundo perfeito, apenas uma linha de defesa talvez fosse necessária para garantir o gerenciamento eficiente e eficaz dos riscos e processos. No mundo real, no entanto, uma única linha de defesa pode, muitas vezes, ser apresentada de forma inadequada. A gerência de risco, controles internos e compliance estabelecem diversas funções e gerenciamento de riscos e conformidade para ajudar a desenvolver e/ou monitorar os controles da primeira linha de defesa. As funções específicas vão variar entre organizações e indústrias.
A função de conformidade que monitore diversos riscos específicos, tais como a não conformidade com as leis e regulamentos aplicáveis. Nesse quesito, a função separada reporta diretamente à alta administração e, em alguns setores do negócio, diretamente ao órgão de governança. Múltiplas funções de conformidade existem frequentemente na mesma organização, com responsabilidade por tipos específicos de monitoramento da conformidade, como saúde e segurança, cadeia de fornecimento, ambiental e monitoramento da qualidade. E a função de controladoria que monitore os riscos financeiros e questões de reporte financeiro.
Para a responsabilidade da 3ª Linha de defesa citamos os auditores internos fornecem ao órgão de governança e à alta administração avaliações abrangentes baseadas no maior nível de independência e objetividade dentro da organização. Esse alto nível e independência não está disponível na segunda linha de defesa.
A auditoria interna provê avaliações sobre a eficácia da governança, do gerenciamento de riscos e dos controles internos, incluindo a forma como a primeira e a segunda linhas de defesa alcançam os objetivos de gerenciamento de riscos e controle. O escopo dessa avaliação, que é reportada à alta administração e ao órgão de governança.
Mas agora vem a minha indignação, muitas pessoas que exercem a Gestão de Riscos, controles internos e compliance desconhecem as regras, até mesmo o COSO (The Committee of Sponsoring Organizations of the Treadway Commission) determina a separação em teste de eficiência e eficácia, mas muita gente ainda acha que a responsabilidade é da auditoria interna, precisamos rever alguns conceitos e mudar para o modelo mais pratico e que funcione, deixar de lado teorias e colocar em pratica modelos já estabelecidos que são mais simples, do que tenho visto implementado por aí a fora.
* Marcos Assi é professor e consultor da MASSI Consultoria e Treinamento – Prêmio Anita Garibaldi 2014, Comendador Acadêmico com a Cruz do Mérito Acadêmico da Câmara Brasileira de Cultura, professor de MBA na FECAP, FIA, Saint Paul Escola de Negócios, Centro Paula Souza, USCS, Trevisan entre outras, autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos” e “Gestão de Compliance e seus desafios” pela Saint Paul Editora.
ótimo, pra variar.
abraço