Precisamos de gestores capacitados para a melhoria da governança e da gestão, sejam em processos de controles contábeis, controles internos, compliance, riscos, segurança da informação e qualidade
Marcos Assi, professor, consultor da MASSI Consultoria e Treinamento e membro da Comissão de Gerenciamento de Riscos
Esta é a questão de como e onde implementar, pois para quem devemos apresentar a necessidade de implementação de um processo de GRC, conhecido com Governança, Riscos e Compliance? Eles já fazem parte de todas as empresas atualmente, mas infelizmente muitos gestores e administradores ainda não perceberam a sua importância, mas precisamos identificar se as nossas estratégias e os nossos processos operacionais são efetivos ou não, para isso, devemos analisar internamente quem faz, como faz e para quem faz as atividades e, por fim, como podemos medir e reportar os resultados do negócio.
Aqui estou focando em empresas de médio e pequeno porte, para enfatizar a necessidade de mudança dos rumos dos negócios, pois acredito que as grandes já possuam uma maturidade, mas vale a pena checar, por isso precisamos de gestores capacitados para a melhoria da governança e da gestão, sejam em processos de controles contábeis, controles internos, compliance, riscos, segurança da informação e qualidade. Obviamente, não importando o tamanho da empresa, pois todas necessitam de controles internos e compliance, que estejam de acordo com o tamanho, porte e complexidade do negócio. Com isso, podemos citar alguns dos processos de governança que seriam essenciais para todos os negócios:
- Princípios éticos de retidão e de integridade moral da organização;
- Princípios éticos de retidão e de integridade moral dos indivíduos;
- Estrutura organizacional adequada para as realizações de negócios;
- Comprometimento com a competência e a eficiência;
- Formação de uma cultura organizacional com mudança de posturas;
- Estilo e atitude exemplar dos administradores e gestores;
- Políticas e práticas adequadas de RH; e
- Sistemas e metodologias adequados.
Mas como podemos proteger o negócio, pois o foco é este, se administradores e gestores não entendem ou não se preocupam em ter um processo de GRC com foco na proteção do negócio, do seu patrimônio e de seus representantes? Portanto, falar de governança, riscos corporativos e compliance está tão comum ultimamente que parece algo antigo, não é verdade?
Estes termos já deveriam estar incorporados ao nosso vocabulário corporativo e juntamente com os controles internos e gestão de riscos, que como já dissemos, já fazem parte de nosso cotidiano no mundo dos negócios, em certos casos efetivos e outros casos nem tanto. E em decorrência dos fatos recentes do mundo corporativo e das perdas financeiras, algumas aplicações de compliance, governança, controles internos e riscos passam a ser mais efetivos, quando conhecemos os processos e os limites de nossos negócios, as possíveis perdas envolvidas na gestão operacional e com base no mapeamento destes riscos, identificamos onde os controles necessitam ser mais efetivos.
Mas será que é tão difícil assim? Fácil não podemos dizer que é, longe disso. Não obstante, como implementar compliance, controles internos e gerenciamento dos riscos em organizações sejam elas de pequeno, médio e grande porte, se as pessoas não têm o hábito de efetivar tais controles? Porém, basta acontecer algo relacionado a falhas por ausência de controles e de gerenciamento de riscos para que o assunto venha a aparecer nos comitês internos, nos pontos de auditoria, nos relatórios dos órgãos reguladores, e no pior dos casos nas redes e mídias sociais.
Neste momento, todos ficam ensandecidos na busca por respostas e soluções imediatistas, e elas são sempre recorrentes, portanto, entender o negócio, implementar os controles e obviamente indicar as possibilidades de riscos seria a forma mais simples e eficiente que temos para providenciar mudanças na forma de gestão.
Afinal, o compliance é uma das ferramentas de suporte da governança corporativa, devemos implementar uma gestão de compliance com foco em proteger o negócio e, para que isso seja efetivo, e saia do papel, podemos implementar alguns processos de gestão com controles internos e compliance com as seguintes recomendações:
- Política com princípios de conduta para direcionar a ética de todos os envolvidos no negócio, sejam internos ou terceiros;
- Política de prevenção à lavagem de dinheiro e financiamento ao terrorismo;
- Processos de segurança da informação (incluindo cuidados com senhas pessoais);
- Processo de proteção de dados pessoais e operacionais (vide LGPD);
- Conflitos de interesses nos relacionamentos com clientes, fornecedores e no uso de recursos da organização em benefício pessoal;
- Utilização de informações privilegiadas em investimentos pessoais, de pessoas interpostas (familiares, amigos etc.), em benefício próprio ou de terceiros; e
- Aspectos técnicos específicos, quando necessários ao melhor entendimento do ambiente regulatório (exemplos: riscos operacionais, segurança da informação e controles internos entre outros).
Infelizmente as questões de gestão e governança sempre encontram uma barreira: “a falta de conhecimento do negócio e o engajamento por alguns profissionais”, e em alguns casos, de uma metodologia interna para identificação das possibilidades de controles que sejam gerenciáveis e que atendam as questões regulatórias, além dos riscos envolvidos na atividade.
O fluxo dessas informações é muito importante e muitos são os processos a serem identificados e tratados, mas ainda falta o entendimento de que a sustentabilidade da organização está na forma da governança, da gestão e principalmente da conduta dos negócios.
A relação entre compliance, controle interno e gestão de riscos corporativos segundo o COSO, que define controle interno em seu Framework de 2013 e no Enterprise Risk Management – Integrando Estratégia e Desempenho de 2017 – da seguinte forma:
Um processo, efetuado pelo conselho de administração de uma entidade, pela gestão e por outras pessoas, projetado para fornecer garantia razoável em relação à realização de objetivos relacionados às operações, relatórios e conformidade.
E o termo “garantia razoável” mencionada acima, está relacionada ao comportamento das pessoas envolvidas no negócio, podemos confiar até certo ponto, por isso que a ferramenta de GRC deve ser efetiva e monitorada.
Como esta definição indica claramente, que o controle interno não é exclusivamente sobre questões contábeis e financeiras, e que devem estar em conformidade com leis e regulamentos, portanto é um dos três fundamentos objetivos do sistema de controles internos de uma organização. E os cinco componentes de controle interno que suportam todas as três categorias de objetivos:
- Ambiente de controle;
- Avaliação de risco;
- Atividades de controle;
- Informação e comunicação; e
- Atividades de monitoramento.
Portanto, a aplicação da estratégia e dos componentes de definição de objetivos da estrutura COSO ERM – Enterprise Risk Management -, juntamente com os quatro princípios a seguir associados à gestão de riscos de compliance, essências para a governança corporativa, são:
- Análise do contexto de negócios;
- Definição do apetite a risco;
- Avaliação estratégias alternativas; e
- Formulação dos objetivos de negócios.
O contexto é fundamental para compreender e gerenciar riscos de compliance e dos negócios, pois a tomada de decisões é um dos motivadores para reduzirmos os riscos de compliance, por isso as decisões podem criar novos riscos, alterar os riscos existentes ou eliminar os riscos.
Artigo escrito por Marcos Assi MSc, CCO, CRISC, ISO 37001, que é professor, consultor da MASSI Consultoria e Treinamento, membro da Comissão de Gerenciamento de Riscos Corporativos do IBGC, professor de MBA na FECAP, IBMEC, Saint Paul Escola de Negócios, UNIMAR, FADISMA, SUSTENTARE, entre outras, autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos”, “Gestão de Compliance e seus desafios” e “Governança, riscos e compliance” pela Saint Paul Editora e “Compliance como implementar” pela Trevisan Editora.