Conceitos fundamentais

SUMÁRIO
Conceitos de Controles Internos e Compliance ...................................... 3

Risco de compliance............................................................................... 7

Controles Internos, Compliance e Gestão de riscos ............................... 9

 3

CONCEITOS FUNDAMENTAIS

Conceitos de Controles Internos e Compliance

Para Saber Mais (1)

Em todos os processos de implementação de Capítulos 1 e 2 do livro
Controles Internos e
sistemas de controles internos, sempre existe o Cultura Organizacional –
questionamento sobre a necessidade de implementá-los ou Editora Saint Paul – do
Prof. Marcos Assi
não, mas não é possível alegar desconhecimento da
necessidade de controle. Portanto, no início do processo,
nos deparamos com as seguintes questões:

 Eu preciso implementar o sistema de controle interno na minha empresa?

 Qual é o custo da implementação?
 Existe uma legislação que me obrigue a implementá-lo?
 Como posso implementá-lo na minha empresa?
 Como mudar o comportamento da organização na busca de modelos
mais seguros e eficientes?

Temos as respostas a essas questões, e elas são simples, segundo o nosso

entendimento sobre o assunto e nossa vivência na implementação de controles. A
questão da cultura organizacional deverá ser mais bem tratada a cada política e
processo introduzidos na empresa, afinal todas as empresas necessitam de controles
internos para salvaguardar os ativos, sejam eles financeiros ou físicos. Para que esse
entendimento seja mais claro, basta lembrar o que fazemos com o nosso extrato
bancário: verificamos os débitos de tarifas, créditos e cheques depositados e sacados.
E o que é isso? Nada mais que um exemplo de controle interno.
O controle interno pode ter custo sim, mas vai depender de como será feito. É
possível implementar um sistema de controles internos com os recursos existentes.
Para isso, basta identificar as fragilidades nos processos e aplicar alguns controles.
Na maioria das empresas, basta identificar o fluxo das operações e colocar
alguns pontos de verificação e checagem, como aprovações, relatórios, registros e
monitoramento periódico de transações.
Isso não implica aumentar o quadro de colaboradores, somente mitigar as
possibilidades e necessidades de controle para os processos de segurança da
informação na busca de maximizar os resultados operacionais, de preferência
 4

minimizando as perdas operacionais. Quanto à legislação específica para a

implementação de controles internos, basta identificar a atividade que a empresa
exerce.

 Se for uma empresa de capital aberto, com ações na Bolsa de Valores,

deve seguir as regras de Governança Corporativa, bem fiscalizada pela Comissão de
Valores Mobiliários (CVM).
 Se possuir ações negociadas nos Estados Unidos, deverá seguir a SOX
(Lei Sarbanes-Oxley).
 Se for uma seguradora, deverá seguir as regras da Superintendência de
Seguros Privados (SUSEP).
 Se for uma instituição financeira, deverá seguir as regras do Banco
Central do Brasil e da Basileia.

Podemos afirmar que muitas das normas e

processos não são devidamente aplicados por todos na Para Saber Mais (2)
organização, em decorrência da simples falta de apoio Capítulo 1 do livro Gestão
de Compliance e seus
dos seus gestores e da sua alta administração. Entretanto, desafios – Editora Saint
Paul – do Prof. Marcos
quando os problemas acontecem, há a percepção de que Assi
deveriam ter sido aplicados controles mais rigorosos ou
monitoramentos mais tempestivos, que proporcionassem
maior segurança às informações ou decisões. A seguir,
citamos alguns trechos do caso da Sadia, publicado no jornal Valor Econômico de
26.09.2008:

De acordo com Tomazoni, Ferreira assumiu riscos cambiais acima dos

autorizados pelo conselho de administração. Ele disse que a política da Sadia permite
exposição líquida ao câmbio de no máximo US$ 1,8 bilhão, o equivalente a seis meses
de faturamento com exportação.

No entanto, a empresa estava com exposição líquida de US$ 3,2 bilhões a US$
3,6 bilhões. São levados em consideração para o cálculo as posições em opções, dólar
futuro e os fundos aplicados no exterior.

“Temos uma política rígida de gestão de riscos e assim que soubemos do que
estava acontecendo, exigimos o enquadramento imediato, o que levou ao desmonte
das posições com câmbio e às perdas anunciadas”, explicou o executivo.
 5

Agora perguntamos: será mesmo que o controle estava sendo feito? O

monitoramento não deveria ter apontado o valor de exposição que estava superando
o limite de US$ 1,8 bilhão? Quem aprovou o excesso de exposição?
São algumas perguntas que teremos dificuldades de responder sem um estudo
mais aprofundado sobre o assunto. É fundamental saber que os administradores
podem ser responsabilizados pelas perdas ocorridas em sua gestão – essa é mais uma
das mudanças ocorridas na legislação. Para facilitar a compreensão, basta lembrar-se
de Governança Corporativa e das melhores práticas de controles internos.
Podemos ainda citar trechos de Nelson Carvalho, professor da Fundação
Instituto de Pesquisas Econômicas, Contábeis, Atuariais e Financeiras (Fipecafi), da
Universidade de São Paulo (USP), em artigo publicado no jornal Valor Econômico de
16.07.2009:

[...] explica que, conceitualmente, a análise dos controles deve chegar até as
políticas das companhias. Segundo ele, os sistemas e procedimentos de controle
existentes numa companhia servem para “dar amparo e consequência” às políticas.
Dessa forma, cabe aos auditores avaliarem as políticas das companhias que auditam.

Para Carvalho, há espaço para julgamento qualitativo a respeito das eventuais

fragilidades dos controles internos.
Na verdade, quando se fala em compliance, referimo-nos aos sistemas de
controles internos que permitam esclarecer e proporcionar maior segurança àqueles
que se utilizam da contabilidade e de suas demonstrações contábeis para efeito de
análise econômico-financeira e de gerenciamento operacional e de riscos de liquidez.
Está inclusa, nesses controles, a prevenção à realização de eventuais operações
ilegais, fraudulentas e que culminem em desfalques não só à instituição, como também
a clientes, fornecedores e investidores.
A obrigatoriedade de utilização de controles contábeis eficientes está nas
Normas Brasileiras de Contabilidade (NBC) e na legislação pertinente à contabilidade.
Mesmo assim, organizações internacionais também estão preocupadas com a
implantação desses controles, principalmente, depois que ocorreram os grandes
escândalos financeiros nos Estados Unidos e na Europa, com a falência de grandes
empresas que iludiram seus investidores, fornecedores e clientes, assim como
aconteceu no Brasil com o Banco Santos.
A existência e a eficiência de controles internos contábeis, operacionais e de
controle do risco de liquidez devem ser apuradas por auditores independentes ou por
outros órgãos também independentes. Isso inclui a adoção de um departamento de
 6

auditoria interna formado por instituições autorizadas a funcionar pelo Banco Central
do Brasil e pelas sociedades anônimas de capital aberto registradas na CVM.
A eficiência desses controles também servirá para efeito de Governança
Corporativa, cuja função, segundo a antiga e a nova lei das sociedades anônimas, no
Brasil, sempre foi atribuída ao Conselho Fiscal, que deve ser assessorado por
competentes profissionais das áreas de Contabilidade, Direito, Economia,
Administração de Empresas, entre outros consultores eventualmente necessários.
Geralmente, poucos estudos acadêmicos têm se focado explicitamente na
integração de gestão de riscos, compliance e controles internos. Journals voltados para
a realidade desse campo de estudos (tais como Accountancy, Internal Auditor and The
Information System and Control Journal) têm se concentrado nesses problemas há
algum tempo.
A revisão da literatura mostra que riscos e controles internos em processos de
negócio estão sendo integrados em muitos frameworks, tais como o modelo Enterprise
Risk Manegement (ERM), do Committee of Sponsoring Organizations of the Treadway
Commission (COSO), em 2004 e 2017, do Control Objectives for Information and
Related Technology (COBIT) do Information Technology Governance Institute (ITGI),
em 2005.
É muito importante salientar que a atividade de compliance tem como
referência o controle do comportamento organizacional e, sempre que possível, o
alerta para o uso dos recursos, de modo que os resultados e objetivos sejam
alcançados, sejam eles estratégicos, operacionais, ou relacionados à informação e
conformidade.
Uma outra preocupação que podemos identificar nos diversos frameworks
existentes é justamente a qualidade da informação que os gestores utilizam na tomada
de decisão, no que tange à utilização de recursos, sejam eles softwares ou mesmo
colaboradores, por meio de inúmeros relatórios, sejam eles financeiros, operacionais
ou de performance.
O Information Technology Governance Institute (ITGI), em seus documentos e
sugestões, sempre evidencia a importância da informação e da tecnologia da
informação na busca de que os objetivos sejam alcançados dentro da organização e
com foco nos controles internos.
A perspectiva da gestão de riscos inerente ao COSO vê a informação como
fator crítico se a organização deseja atingir seus objetivos por meio da tomada de
decisão em todos os níveis, assim como o reporte de informações de qualidade às
 7

partes interessadas, sejam elas internas ou externas. Portanto, devemos evidenciar

que a qualidade da informação gerada para fins da
tomada de decisão e seus controles devem assegurar,
sempre que possível, a qualidade dessa informação, pois Para Saber Mais (3)

fica evidente, a cada dia, que são cruciais se a companhia Capítulo 1, p. 32, do livro
Gestão de Compliance e
deseja atingir seus objetivos definidos no framework do seus desafios – Editora
Saint Paul – do Prof.
COSO. Marcos Assi

No entanto, muitos se perguntam: como podemos

avaliar a qualidade da informação? A resposta não é tão
simples, pois a qualidade da informação não é somente um conceito, mas inclui
características do usuário da informação, além de que o contexto da mesma deve ser
usado em apuração e ela, necessariamente, deve ser íntegra, confiável, tempestiva,
clara e acessível.
A Governança Corporativa deve ser, ao mesmo tempo, incentivo aos
administradores para que suas decisões visem ao melhor interesse da sociedade e de
seus acionistas, base para consolidar a percepção positiva da empresa no mercado
financeiro ou acionário e suporte para a criação de valor aos seus acionistas e
investidores em geral.
Uma boa Governança Corporativa tem a ver com fazer a coisa certa para os
acionistas e investidores e está relacionada, não se resumindo somente a isso, a estar
em compliance (conformidade) com as regulamentações e garantindo que os itens de
Governança Corporativa propostos pela organização sejam atendidos.

Risco de compliance

Segundo as melhores práticas de mercado, podemos citar que a organização

sempre corre o risco de sanções legais ou regulatórias, de perdas financeiras ou perda
de reputação/imagem, e que infelizmente pode ocorrer como resultado da uma falha,
ignorância ou por descuido no cumprimento/aplicabilidade de leis vigentes,
regulamentos, código de conduta e ética que norteiam boa parte das atividades das
organizações.
É interessante ainda ressaltar que muitas organizações possuem profissionais
com vasto conhecimento. Esses profissionais ão constantemente cobrados na busca
e na aplicabilidade de normas e procedimentos externos e internos, os quais permitem
que a organização esteja em conformidade com as regras do negócio, mas, por vários
fatores, muitas organizações ficam expostas ao risco de compliance.
 8

Para que se possa melhorar os resultados, deve-se correr risco, o que, muitas
vezes, é inerente ao negócio. Como exemplo, podemos citar as operações de crédito
ou de venda a prazo, com o qual sempre se corre o risco de inadimplência, mas não
se pode deixar de fazer o negócio. Portanto, as regras de compliance devem ser
seguidas, pois cada ação fora dos procedimentos adequados é uma brecha que se
abre no negócio.
Acreditamos que o risco de compliance ainda necessita de melhor
entendimento pelas partes que geram negócios para a organização. Para que
possamos expressar de uma forma mais clara, apresentamos, a seguir, uma figura que
mostra algumas das áreas que possuem e sofrem com o risco de compliance no
exercício de suas atividades dentro da organização:

Fonte: Elaborada pelo autor.

 9

Controles Internos, Compliance e Gestão de riscos

Muitos aspectos ainda necessitam de mudança na questão de gestão de

controles internos, compliance e riscos nas organizações, nos distanciando de uma
gestão voltada ao controle e ao resultado com
qualidade. Para Saber Mais (5)
Os gestores, junto aos órgãos reguladores “Compliance entre a prática, a
vivência e falsas metodologias”.
que implementam normativas e procedimentos, Autoria: Marcos Assi com o link
devem dar a devida atenção aos processos a
seguir: https://www.marcosassi.c
operacionais sujeitos a risco. om.br/compliance-entre-a-
pratica-a-vivencia-e-falsas-
Muito se fala que as novas regras metodologias>

aumentam as despesas administrativas, mas, quando as perdas aparecem, fica mais

evidente que o custo “zero” de prevenção, agora tem um custo. Será que o apetite de
risco estava bem definido? Ou será que os gestores sabem o que é realmente apetite
de risco?
Há um custo envolvido no respeito às regras e normas, no comprometimento
com a empresa, na busca de resultados e continuidade
dos negócios. Entretanto, não realizar os procedimentos
Para Saber Mais (4)
adequados também envolve custo. Artigo do Prof. Marcos Assi,
Quais são seus controles para os seus sistemas? disponível em:
<http://www.marcosassi.com.
Você já precisou de backup de alguma informação e ele br/contabilidade-auditoria-
controles-internos-conduta-e-
funcionou? Quem já perdeu uma equipe inteira e as etica-estamos-preparados-
para-as-criticas>.
informações foram junto com os ex-funcionários? Os
erros e as fraudes acontecem todos os dias, sejam eles
operações não autorizadas, desvios de conduta, falhas de processos, ausência de
controles etc. Você já se deparou com isso?
As dificuldades são as mais diversas e, muitas vezes, intermináveis. Mas o que
podemos fazer para mudar esse cenário? Além do vasto trabalho de implementação
de controles internos a ser feito dentro das organizações, as normas e procedimentos
também devem ser realizados com responsabilidade e comprometimento.
Expressões como “governança corporativa”, “riscos”, “compliance”, “controles
internos”, “gestão de TI”, “gestão de pessoas” e “cultura organizacional” são bastante
usadas em reuniões, comitês, palestras, aulas e seminários, e devem ser empregadas
efetivamente pelos gestores na implementação desses procedimentos e na
disseminação dos mesmos entre os seus colaboradores.
 10

A cada escândalo, a cada reportagem na mídia, a cada falha nos processos,

vêm à tona questões como: Onde estava a auditoria interna? A auditoria externa não
viu isso? Quem fazia a gestão de controles e compliance? Alguém mapeou esse risco?
Por que tenho que implementar tudo isso, aumentando meu custo operacional?
As respostas a muitas questões estão relacionadas a eficiência, eficácia,
confiabilidade e resultados financeiros adequados para o crescimento e continuidade
das organizações, as quais dependem da boa implementação desses itens.