Entendo que o termo “compliance”, após a promulgação da Lei Anticorrupção, esta mais presente nas agendas da alta administração, contudo nada disso é novo e não deveria causar nem surpresa ou espanto. O que acontece é que as empresas, na figura de seus gestores, sempre deixaram este tema de lado, como também acontece com o sistema de controles internos ou com o processo de gerenciamento de riscos.
Antes de continuar, precisamos entender que, em essência, o termo ‘compliance’ significa estar em conformidade com algum padrão ou critério, que pode ser uma lei, norma, regulamento, política, melhores práticas e qualquer outro paradigma.
Estar em conformidade é uma atitude, não é um sistema, programa ou muito menos uma política especifica. Estar em conformidade é um conjunto de ações que permeia todos os níveis hierárquicos de uma corporação.
A alta gestão participa neste processo definindo as políticas operacionais, incluindo os códigos de ética e conduta, liderando sua aplicação e seu cumprimento. Ela define o “tom” para toda a organização, através do seu irrestrito comprometimento com a ética e com as melhores práticas.
Os gestores e tomadores de decisão devem, por sua vez, nortear as atividades e processos pelos quais são responsáveis, observando a aplicação e o cumprimento das políticas, leis, normas, regulamentos e melhores práticas nas diversas atividades de transação.
Então, fica claro que a responsabilidade sobre o processo de ‘compliance’ é dos gestores e principalmente da alta gestão, não há dúvidas sobre isso!
Outro ponto importante a mencionar é que o sistema de controles internos tem, entre outros, o objetivo de permitir que a organização esteja em ‘compliance’ com leis, normas, regulamentos, políticas e procedimentos. O controle interno é uma resposta ao risco de não conformidade do qual a empresa esta exposta. Lembro que a alta administração e os gestores também são responsáveis pelo gerenciamento de riscos e por esse sistema.
Ou seja, podemos afirmar que a auditoria interna não é responsável nem pelo processo de“compliance”, controle interno ou gestão de riscos corporativos.
Então, qual é o papel da auditoria interna?
Para responder vamos rever, de forma resumida, o conceito de auditoria interna segundo o Instituto dos Auditores Internos (IIA):
“Auditoria interna é uma atividade independente e objetiva que tem por finalidade agregar valor à organização, através de trabalhos de avaliação e consultoria. Ela se utiliza de um processo disciplinado e sistematizado para avaliar os processos de governança, gerenciamento de riscos e controles internos”.
Agora fica claro que a auditoria interna tem como objetivo fundamental avaliar se a corporação, através do processo de gerenciamento de riscos, conhece e administra seus principais riscos e se o sistema de controle interno é suficiente para mitigar ameaças operacionais, incluindo os riscos de conformidade. Nesse contexto, a auditoria interna realiza dois tipos básicos de avaliação: Auditoria de regularidade e de desempenho, também conhecida como operacional.
Na de regularidade, avalia se as transações foram realizadas em conformidade com as leis, normas, regulamentos, políticas e procedimentos. Já na auditoria de desempenho, analisa, com base nos riscos envolvidos, se os processos de transação contam com controles internos para mitigar os riscos inerentes, conformidade, TI e fraude.
Desta forma, posso concluir que o papel da auditoria interna no processo de ‘compliance’ é avaliar se a organização esta realizando a gestão dos riscos e controles internos efetivamente, identificando oportunidades e recomendando as melhorias necessárias.