Com a abrupta e preocupante derrocada da gigante varejista Americanas logo no início do ano de 2023, muitas pessoas, especialmente aquelas envolvidas com sistemas de compliance e governança, passaram a se questionar: Como é possível que uma empresa que se diz alinhada com as melhores práticas internacionais de governança e compliance, que possui estruturas internas de controle e monitoramento e é auditada periodicamente por grandes empresas mundiais do setor de auditoria, permita tamanho rombo contábil-financeiro? O que falhou? Quem são os responsáveis?
As respostas a estes questionamentos ainda são incertas, porém há uma certeza: Os sistemas de controles internos da empresa, de auditoria e monitoramento contínuo falharam.
Controles Internos, Auditoria e Monitoramento são pilares de um Programa de Compliance efetivo. Sua implementação na empresa deve estar alinhada com as melhores práticas internacionais e recomendações legais.
De acordo com a norma brasileira ABNT ISO 31000:20181, que fornece diretrizes para a gestão de riscos, controle é a medida que mantém e/ou modifica o risco. Assim, a primeira conclusão inevitável é que a definição de um controle interno deve estar relacionada com o risco que ele buscar mitigar.
Nessa linha, é forçoso reconhecer que só é possível controlar o que se conhece. Assim, o primeiro passo essencial para definir os controles necessários para qualquer empresa é realizar uma gestão de riscos.
A gestão de riscos consiste em procedimento que visa mapear as estruturas internas da empresa e fluxograma das atividades com o objetivo de identificar vulnerabilidades nos processos que possam facilitar a ocorrência de fraudes, suborno, desvios, perdas financeiras e reputacionais.
O processo de gestão de riscos objetiva criar e proteger valor nas organizações, auxiliando-as a estabelecer e alcançar seus objetivos de maneira a melhorar o desempenho de seus processos de forma contínua.
Segundo a Norma Brasileira ABNT ISO 31000 – Gestão de Riscos – Diretrizes2, já citada, o processo de gestão de riscos contempla as etapas de: 1- Definição do escopo, contexto e critério; 2- Identificação, Análise e Avaliação dos Riscos; 3- Tratamento dos Riscos; 4- Comunicação e Consulta; 5- Monitoramento e Análise Crítica; 6- Registro e Relato.
A gestão de riscos trata-se de ferramenta que auxilia a empresa a priorizar a alocação dos seus recursos, de modo a concentrá-los nos setores em que há probabilidade de desvios cujo impacto é de maior relevância, evitando-se desperdício com controles que apenas burocratizam os processos e não representam benefício real para a organização.
A melhor forma de realizar a gestão de riscos é identificar possíveis brechas para condutas indevidas, por meio do mapeamento dos processos operacionais, com identificação do fluxo das operações, análise documental e entrevistas, entre outros métodos muito bem explorados pela norma ABNT NBR ISSO 310103, que fornece técnicas para o processo de avaliação de riscos.
Este processo, apesar de trabalhoso, fornece à empresa a clareza necessária para entender em qual procedimento interno a fraude/desconformidade é mais suscetível de ocorrer.
Uma vez identificados, analisados e avaliados os riscos, o seu tratamento deve ocorrer por meio de controles internos e mecanismos de identificação, prevenção e remediação previamente estudados e definidos, de modo a prevenir e minimizar os impactos do risco, caso ele venha a se materializar.
Antes disso, porém, é necessário identificar os controles já existentes na empresa e avaliar a sua eficácia, para, então, concluir se o risco residual – aquele que permanece mesmo diante dos controles já implementados – deve ser tratado.
Há inúmeros tipos de controles que a empresa pode implementar e não existe uma receita de bolo que seja adequada para todo tipo de organização.
Para auxiliar a empresa na definição dos controles necessários, Marcos Assi, Mestre em Ciências Contábeis e Atuariais, no seu livro “Gestão de Riscos com Controles Internos”4, recomenda que sejam respondidos aos seguintes questionamentos:
- Eu preciso implementar um sistema de controle interno?
- Qual é o custo da implementação?
- Qual o tamanho do projeto?
- Existe uma legislação que me obrigue a implementar este controle?
- Se não implementado, qual será o impacto para a organização?
- Como posso implementar este controle na minha empresa?
- Como mudar o comportamento da organização na busca de modelosmais seguros e eficientes?
É de se atentar que a gestão de riscos e a existência de controles internos que assegurem a pronta elaboração e a confiabilidade de relatórios financeiros da empresa são parâmetros utilizados para avaliar a existência e aplicação de um programa de integridade na empresa, conforme estabelece o Decreto no 11.129, de 11 de julho de 20225, que regulamenta a Lei no 12.846/2013, comumente conhecida como “Lei Anticorrupção Empresarial” ou “Lei da Empresa Limpa”.
Hoje o mercado está repleto de ferramentas automatizadas para o controle dos processos internos nas empresas, dos mais diversos tipos, preços e utilidades. Daí a importância de a empresa realizar prévio mapeamento e análise dos riscos, para identificar qual processo precisa ser mais bem controlado e monitorado, com base no entendimento de que, na ocorrência da falha, o prejuízo será maior para a organização.
Alguns exemplos de controles que podem ser implementados no setor financeiro, um dos mais suscetíveis a fraudes dentro de uma empresa, segundo a norma ABNT ISO 370016, que apresenta diretrizes com orientações para uso em sistemas de gestão antissuborno, consiste em:
a) implementar a separação de funções, de modo que a mesma pessoa não possa ao mesmo tempo iniciar e aprovar um pagamento;
b) implementar níveis escalonados apropriados de autoridade para aprovação de pagamentos;
c) requerer pelo menos duas assinaturas para aprovações de pagamentos; d) restringir o uso de dinheiro em espécie e implementar métodos efetivos de controle de fluxo de caixa;
e) implementar uma análise crítica periódica da gestão de transações financeiras significativas;
f) implementar auditorias financeiras independentes e periódicas, e substituir, em bases regulares, a pessoa física ou a organização que conduz a auditoria.
O ideal é que todos os processos/procedimentos relevantes da empresa que possam importar em riscos financeiros, operacionais e/ou reputacionais, sejam mapeados e documentados, por meio de Políticas, Procedimentos Operacionais Padrão e um Código de Conduta que reflita a cultura organizacional da empresa.
Não só isso, é importante que a empresa comunique o que espera de seus colaboradores, isto é, como quer que cada processo seja realizado, bem como treine seus funcionários de forma periódica.
Para isso, é recomendado que elabore um Plano de Comunicação que aproveite os meios de interação já existentes na empresa, como e-mail institucional, intranet, mural de recados, grupo de whatsapp etc, bem como planeje treinamentos periódicos para todos os colaboradores, atentando-se sempre para a função exercida por cada um na empresa e os processos e normas que ele precisa cumprir.
Isso porque, se os colaboradores desconhecem o que a organização espera deles, a tendência é que criem o seu próprio processo e regras, os quais podem não estar alinhados com os objetivos e valores da empresa.
Mais do que estabelecer controles a empresa precisa monitorar o seu cumprimento e efetividade. O método mais eficaz de fazer isso é por meio de KPI’s (Key Performance Indicator).
Segundo William E. Deming7, pioneiro nos estudos de melhoria contínua e do controle de qualidade moderno: “Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende e não há sucesso no que não se gerencia”.
Portanto, é fator crucial para um gerenciamento efetivo medir a qualidade e eficácia dos processos e práticas adotados na empresa, sobretudo do desempenho dos colaboradores e resultados financeiros obtidos.
No Guia Prático de Compliance8, organizado pela ilustre Izabel Franco, os famosos KPI’s (Key Performance Indicator) são definidos como “ferramentas que quantificam a performance de processos ou de ações realizadas e que permitem analisar estes resultados de forma mais direcionada. Os indicadores são uma maneira de transformar dados em informação, auxiliam na tomada de decisão, correções de curso, melhoria nos processos, servem como base para comparação, e podem ser utilizados para criação de dashboards para comunicação consolidada das informações, de forma a torná-las acessíveis aos gestores.
A definição do que é necessário monitorar, o conhecimento de onde estes dados podem ser obtidos, bem como a apresentação destes dados à Direção para a tomada de decisão consciente e informada, mediante dashboards relatórios e planilhas, permitem à empresa adotar um mecanismo de melhoria contínua dos seus processos, que possibilitam não só criar valor para a organização, como também evitar desvios em fraudes e condutas irregulares, como o exemplo da Americanas, citado no início deste artigo.
O “Compliance para inglês ver” é coisa do passado. Hoje não há espaço para o “jeitinho brasileiro”, os “arrumadinhos na contabilidade”, as “maquiagens nos relatórios financeiros”. É preciso assumir verdadeiro compromisso ético com o certo.
Qualquer empresa que se pretenda permanecer no mercado, deve adotar práticas de compliance e de governança corporativa, mediante o conhecimento profundo do seu negócio e dos riscos envolvidos, estruturação de controles internos, plano de treinamentos, comunicação e monitoramento que possibilite a melhoria contínua dos seus processos e colaboradores.
Por fim, é preciso implementar mecanismos que garantam transparência das informações que sejam de interesse das partes interessadas, equidade no tratamento das mesmas, levando-se em consideração seus direitos, deveres e necessidades, adoção da prática de prestação de contas e, sobretudo, de uma postura responsável, princípios básicos de um sistema de governança corporativa efetivo, segundo o Código de Melhores Práticas de Governança Corporativa do IBGC (5a edição), mas que, se não forem levados a sério, podem implicar em perdas inestimáveis para a companhia, como ocorre com a gigante Americanas.
1 Norma Brasileira, ABNT NBR ISO 31000: Gestão de Riscos – Diretrizes. 2a edição.
2 Op.cit.
3 Norma Brasileira ABNT NBR IEC 31010: Gestão de Riscos – Técnicas para o processos de avaliação de riscos. 2a ed.
4 ASSI, Marcos. Gestão de Riscos com controles internos: Ferramentas, certificações e métodos para garantir a eficiência dos negócios. São Paulo: Saint Paul Editora, 2a edição, 2021, pg. 21.
5 Decreto no 11.129, de 11 de julho de 2022. Disponível em: https://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2022/Decreto/D11129.htm. Acesso em: 14/02/2023.
6 Norma Brasileira ABNT NBR ISO 37001: Sistemas de gestão antissuborno – Requisitos com orientações para uso. 1a ed.
7 AUDY, Jorge Horácio. Minhas reflexões como professor e consultor em 360o. William Edwards Deming (1900-1993). Disponível em: https://jorgeaudy.com/2016/01/27/william-edwards-deming-1900-1993/. Acesso em: 14/02/2023.
8 GARCIA, Fernanda. Et al. GUIA PRÁTICO DE COMPLIANCE. Capítulo 19: Indicadores para avaliação do Programa de Compliance. Editora Forense: Rio de Janeiro, 2019. Pg. 294.