Compliance e controles internos, uma solução ou burocratização?

Apesar de, por vezes, ser deixado de lado por algumas empresas, conhecer os procedimentos internos da organização; seus processos, clientes, fornecedores e colaboradores é mais que uma obrigação, é um compromisso com a segurança organizacional, a fim de evitar fraudes e/ou adulterações em seus processos.

Por este motivo entendemos que os controles internos são fundamentais não apenas em caráter preventivo, mas também pela eficácia que oferece na gestão do negócio em diversas esferas, como planejamento estratégico, execução das atividades e tomada de decisões. Podemos afirmar sem medo de exageros, que os controles internos são uma fonte importantíssima de informações, dando suporte às decisões dos gestores e auxiliando as empresas no alcance das metas e objetivos.

Reforçamos que para a realização de um Gerenciamento de Controles internos efetivo é necessário implementar uma matriz de Compliance que seja funcional e que atenda às necessidades do negócio e fazendo com que possamos atender as diversas demandas das partes interessadas e principalmente dos órgãos reguladores. Um processo de gestão de controles internos e compliance eficiente precisa dar suporte à todas necessidades operacionais, e tendo em vista as mudanças ocorridas no mundo corporativo pós Operação Lava Jato, é de suma importância a análise dos negócios por este prisma.

O NOSSO DESAFIO - Há alguns anos, o grande desafio das corporações eram realizar seus trabalhos de auditoria e revisão dos processos operacionais, e para auxiliar tínhamos o departamento de Organização e Métodos (O&M), que naquela época já realizava mapeamento de processos, escrevia as normas e os procedimentos, desenhava fluxogramas e ainda prestava suporte operacional em projetos das companhias. Hoje o maior desafio organizacional é exercer a função de gestor de compliance e de controles internos, que em poucas palavras podemos dizer que é um profissional que zela pela conformidade entre leis, regulamentos, pelas normas internas e externas na busca do alinhamento operacional e dos processos da organização e, em determinados casos, “lembra” o gestor do que ele deve fazer e, por isso, muitos não “aceitam” este profissional como deveriam, que é um grande erro.

Por esse motivo, há muito tempo temos afirmado que o compliance é uma ferramenta de governança corporativa e suportado pelas áreas de controles internos, gestão de riscos e auditoria, as quais, por motivos óbvios, devem trabalhar em sinergia, pois somos poucos para gerenciar muitos, afinal quem deve estar em compliance é a empresa ou o departamento?

Podemos dizer, sem medo de errar, que é a empresa, porque nós somos fomentadores de mudanças tanto na conduta como na postura dos profissionais e gestores corporativos. Afinal, cada profissional deve se responsabilizar pelo que comanda e faz nas organizações. Seria muito fácil se os gestores tomassem decisões equivocadas ou fora do padrão e responsabilizassem o departamento de compliance.

Esta é a grande dificuldade desta atividade, pois ela evidencia aquilo que a pessoa já está cansada de saber e nem sempre disposta a fazer. É uma tarefa desgastante, mas que deve ser feita por alguém. Enfim, o oficial de conformidade (em inglês, compliance officer) busca o cumprimento das regras e efetua testes de aderência, muitas vezes em conjunto com a auditoria, mas, principalmente, devem ser revisados pelos gestores. No entanto, muitos podem alegar que estão fazendo nosso trabalho e aí que está o segredo: somos suporte do negócio; a proteção da empresa começa com gestores e colaboradores que estão na linha de frente.

Então, por que tanto rancor? Entretanto, todos gostam de trabalhos bem-feitos, mas não gostam de ser cobrados, não é verdade? E por desconhecimento da função de conformidade, controles internos e riscos, a maioria das pessoas tem aversão a serem controlados, mas adoram controlar; vai entender! Quando os controles são cobrados por outros, viram feras, mas, quando ele cria, é novidade; coisa para ser estudada, porém já faz parte do processo.

Mas o porquê da aversão? Em nossa experiência profissional já presenciei o contador de uma empresa enviando aquele e-mail de fechamento com instruções de conclusão de resultado de carteiras, entrega de conciliações e metodologias de apuração de resultado, emissão de balancetes, entre outros, mas, quando pedimos para que elabore um procedimento para alguma atividade de sua área, ele nunca tem tempo.

E a área de tecnologia da informação (TI)? Ela desenvolve uma enormidade de sistemas, mas, quando pedimos a documentação dos sistemas, elas nem sempre existem. No entanto, quando o desenvolvedor do sistema vai embora, a manutenção do sistema também. Para que correr este risco? Neste momento, será que precisamos de um agente de compliance ou de um auditor para solicitar isso? E controle de acesso? Para que serve mesmo? Serve para (in)segurança da informação ou (des)governança corporativa ou (des)controle interno?

O gestor de compliance deve ser multidisciplinar, pois deve conhecer as principais razões das normas ISO 27001, ISO 9000, ISO 20000, ISO 31000, ISO 19600, ISO 37001, dos modelos de gestão – como COBIT, ITIL, IFRS, RFB e o COSO (ERM 2017 e os anteriores) – e deve fazer parcerias com os profissionais da empresa que são especialistas, para que possa alinhar os negócios com base na missão, nos objetivos e planejamento estratégicos. Sempre que posso, oriento os profissionais de controles internos e compliance a buscar conhecimento sobre os assuntos; afinal, quanto mais perto estivermos do negócio, melhor serão os processos por ele executados. Somente assim podemos discutir com todos os interessados e responsáveis na empresa; eles não precisam fazer, mas sim entender o porquê de cada atividade, quais são as necessidades da organização e solicitar que sejam feitas.

A cultura de controle está melhorando, em comparação ao passado, mas ainda temos um longo caminho a percorrer. Entretanto, devemos evidenciar que, para muitos, ainda são novidades as questões de gestão de riscos, segurança da informação, acesso remoto, computação na nuvem, outsourcing, gestão de continuidade de negócios, recuperação de desastres, contabilidade internacional, entre outros. Esses assuntos devem estar na alça de mira dos profissionais de conformidade (compliance), controles internos e auditoria; afinal, compliance não é somente leis e regulamentos; é gestão de negócios dentro da conduta, ética e responsabilidade corporativas.

Nosso maior desafio é convencer as pessoas a fazerem o correto, mesmo quando as pessoas a sua volta fazem o errado. Se todos tivessem um padrão de honestidade, precisaríamos de tantos controles e monitoramentos? Acredito que não. Mas, como as pessoas mudam de perfil conforme o ambiente em que estão e suas companhias podem desvirtuar qualquer um que tenha crescido sem uma base familiar sólida, poderá ser cobrado se as decisões não estiverem em conformidade. Contudo, essas pessoas pouco se importam com isso, afinal cresceram vendo e seguindo exemplos de comportamento, no mínimo, discutível, e no mundo atual com tantas evidências de falta de conduta, ética, honestidade e caráter nos negócios, fazem com que todos busquem melhoria na forma de conduzir os negócios e a nossa própria vida.

A simplicidade é o caminho. Todas as vezes em que tentei sofisticar alguma coisa sem uma base de informação, o projeto não andou. Devemos iniciar com o simples na busca pelo melhor. A frase “o ótimo é inimigo do bom” sempre me vem à mente, pois, se não temos experiência na implementação de uma gestão de compliance, controles internos e riscos, devemos fazer aquilo que conhecemos e aprender com aquilo que desconhecemos; somente assim nossa gestão poderá se tornar mais estratégica, palavra muito usada na ISO 9000:2015.

Como tudo mudou? E quando? As questões de implementar processos de compliance teve início nos anos 60, justamente quando a Securities and Exchange Commission (SEC) passou a instituir diversas obrigações na contratação de oficiais de conformidade (compliance officers), justamente para a criação de procedimentos internos de controles, capacitação de pessoal e na implementação de monitoração das operações, com o modelo na simplicidade de evidenciar o objetivo de auxiliar as áreas de negócios a obter a efetiva supervisão, portanto, foi justamente o mercado financeiro que acabou sendo o primeiro setor a exigir a regulamentação das empresas para obter credibilidade dos investidores e dar segurança às ações.

Já no ano de 1997, o Comitê da Basileia divulgou os 25 Princípios para uma Supervisão Bancária Eficaz, valendo a pena destacar os termos do princípio de número 14, os quais determinam que os supervisores da atividade bancária devem certificar-se de que os bancos/instituições financeiras tenham controles internos adequados para a natureza e escala de seus negócios. Importante, salientar que estes controles devem incluir melhoria nos processos de negócio, evidenciando a delegação de autoridade e responsabilidade:

  • Segregação de funções que envolvam comprometimento da instituição financeira, distribuição de seus recursos e contabilização de seus ativos e obrigações;
  • Reconciliação desses processos financeiros;
  • Salvaguarda de seus ativos, que vão além da informação e imagem;
  • Funções apropriadas e independentes de auditoria interna e externa; e
  • E o compliance para testar a adesão a esses controles, bem como a leis e regulamentos aplicáveis.

Mas no ano seguinte, em 1998, começa a era dos controles internos, em que o Comitê da Basileia, em sua publicação dos 13 Princípios da Supervisão pelos Administradores e Cultura/Avaliação de Controles Internos, tem como principal fundamento a “ênfase na necessidade de Controles Internos efetivos e a promoção da estabilidade do Sistema Financeiro Mundial”.

Neste mesmo período, no Brasil, inicia-se com a publicação, pelo Congresso Nacional, da Lei 9.613/98, que dispõe sobre crimes de lavagem e ocultação de bens, a prevenção da utilização do Sistema Financeiro Nacional para os atos ilícitos previstos na referida lei e cria o Conselho de Controle de Atividades Financeiras (COAF), a unidade de inteligência financeira brasileira, órgão integrante do Ministério da Fazenda. Este órgão possui um papel central no sistema brasileiro de combate à lavagem de dinheiro e ao financiamento ao terrorismo, tendo a incumbência legal de coordenar mecanismos de cooperação e de troca de informações que viabilizem ações rápidas e eficientes no combate à lavagem de dinheiro, disciplinar e aplicar penas administrativas e receber, examinar e identificar ocorrências suspeitas.

Nesta mesma necessidade de mudança, o Conselho Monetário Nacional (CMN), já observando os conceitos dos 13 Princípios Concernentes à Supervisão pelos Administradores e Cultura/Avaliação de Controles Internos do Comitê da Basileia, publicou a Resolução n. 2.554/98, que dispõe sobre a implantação e a implementação de sistema de controles internos e deu início aos estudos sobre a Basileia II – regras prudenciais e Declaração Política e o Plano de Ação contra Lavagem de Dinheiro, adotados pela Organização das Nações Unidas (ONU) sobre o problema mundial de drogas em Nova York.

Mas não para por aí, podemos citar mais alguns marcos legais que contribuíram para que o compliance se consolidasse como instrumento de ética e integridade nos negócios, a começar pela lei norte-americana Foreign Corrupt Practices Act (FCPA), promulgada em 1977, cujo propósito era controlar o pagamento de propinas a funcionários públicos estrangeiros e, assim, restaurar a credibilidade do mercado interno nos Estados Unidos.

E o escândalo da ENRON, também proporcionou uma revolução nos princípios dos controles internos, compliance e auditoria, com mais uma lei para empresas americanas e empresas com negócios e ações na bolsa norte-americana, foi a Sarbanes-Oxley (Public Company Accounting Reformand Investor Protection Act), de 2002, que marcou a importância de um ambiente de controles internos efetivos e da severidade das punições ao seu descumprimento.

Dentro deste período de mudança, veio à tona outra diretriz igualmente importante, a Lei n. 11.638 de dezembro de 2007, determinando que as empresas brasileiras elaborem suas demonstrações financeiras de acordo com as normas internacionais de contabilidade (International Financial Reporting Standard – IFRS, na sigla em inglês), o que permitiu ao investidor estrangeiro obter informações mais claras, e a MP n. 449/2008, convertida na Lei n. 11.941/2009, a qual estabeleceu o Regime Tributário de Transição (RTT) de apuração do lucro real, que trata dos ajustes tributários decorrentes dos novos métodos e critérios contábeis introduzidos pela Lei n. 11.638, fazendo com que as mudanças e os impactos fossem melhor identificados em suas demonstrações financeiras e contábeis.

E como sempre acontece, a cada mudança regulatória, todos os órgãos reguladores iniciam as mudanças em seus normativos, e com o advento da Instrução CVM 480/2009, impôs-se às companhias o dever de publicar anualmente o Formulário de Referência e, dessa forma, possibilitou-se maior e melhor divulgação das práticas e da estrutura de governança e controles.

Neste item, podemos dizer que a necessidade se fez valer, tendo em vista que a nossa imagem no que tange a corrupção não é das melhores, e a Operação Lava Jato provou isso na sequência, os órgãos reguladores internacionais, o Brasil implementou a Lei n. 12.846/2013, de 1º de agosto de 2013, conhecida como Lei Anticorrupção ou Lei da Empresa Limpa, que instituiu, a responsabilização objetiva administrativa e civil das pessoas jurídicas pela prática de atos lesivos que sejam cometidos em seu interesse ou benefício, contra a administração pública, nacional ou estrangeira.

E importante salientar que por “responsabilização objetiva pela prática de atos lesivos”, entenda-se que serão investigados, processados e punidos, nas esferas civis e administrativas, todos os que estiverem envolvidos e/ou forem beneficiados pelas práticas de corrupção, independentemente de culpa.

Portanto, podemos dizer que a corrupção pode ser entendida como a promessa, oferecimento, pagamento ou autorização de pagamento ou qualquer outra coisa de valor a um funcionário ou agente público. Não está necessariamente relacionada, pois, ao pagamento de dinheiro em espécie e, tampouco, se exige a entrega efetiva do que foi oferecido ou prometido para que se caracterize o ilícito. A mera oferta ou promessa de vantagem indevida, mesmo que ainda não cumprida, já caracterizam condutas que acarretam a responsabilização da empresa no âmbito da Lei Anticorrupção.

A lei é aplicável às sociedades empresárias e às sociedades simples, personificadas ou não, independentemente da forma de organização ou modelo societário adotado, bem como a quaisquer fundações, associações de entidades ou pessoas, ou sociedades estrangeiras, que tenham sede, filial ou representação no território brasileiro, constituídas de fato ou de direito, ainda que temporariamente. Vale salientar que, quando punidas pela Lei Anticorrupção, as empresas são obrigadas a ressarcirem integralmente todos os prejuízos decorrentes dos atos de corrupção praticados.

Além disso, sua imagem será fatalmente manchada em virtude de a lei determinar a publicação das decisões condenatórias em meios de comunicação de grande circulação, como jornais e cartórios. A publicidade dessas decisões poderá desencadear rupturas contratuais e desistências por parte de potenciais clientes, fornecedores, parceiros e investidores, proporcionando a efetivação do intangível legal, que se materializa logo após a vinculação de imagem ao fato ilegal, prejudicando a reputação dos negócios.

Mas a lei é complementar a todos os processos, pois é preciso esclarecer que ela não afasta a incidência das demais leis que regulamentam o tema em outras esferas, como a Lei n. 8.666/93 (Lei de Licitações), a Lei n. 12.462/11 (Regime Diferenciado de Contratações Públicas – RDC) e, obviamente, o Código Penal Brasileiro.

Finalmente, em âmbito nacional, cabe mencionar o estabelecimento advento do Decreto n. 8.420/2015, que regulamenta a Lei Anticorrupção, e a Lei n. 13.303/2016, comumente conhecida como a Lei das Estatais.

Parece claro, portanto, que o compliance tem, sim, relação com o combate à corrupção. Por outro lado, é fundamental dizer que esta premissa não esgota o grau de importância que ele exige e evidência na mudança na forma de se fazer negócios em nosso país.

* Marcos Assi, CCO, CRISC e é professor e consultor da MASSI Consultoria e Treinamento – Embaixador pela Divina Câmara Parisiense de Artes e Cultura 2018 e Prêmio Alta Gestão 2017, Comendador Acadêmico pela Câmara Brasileira de Cultura, professor de MBA na FECAP, IBMEC, Centro Paula Souza, UNIMAR, FADISMA, SUSTENTARE, entre outras, autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos”, “Gestão de Compliance e seus desafios” e “Governança, riscos e compliance” pela Saint Paul Editora e “Compliance como implementar” pela Trevisan Editora.