Auditoria Interna e Compliance: Como elas se complementam?

Muitos já se depararam com artigos abordando a importância em adotar boas práticas de governança, ter transparência, agir com ética, etc. Entretanto, se é tão óbvio ter que respeitar leis e regulamentos, então qual seria o motivo da existência do compliance, já que não há espaço para barganhar a obrigatoriedade no seguimento de leis e requerimentos? Será que a merecida relevância que o compliance possui é o suficiente para assegurar a eficiência dos esforços de uma governança atuante? 

Não se trata apenas de em estar em conformidade com as obrigatoriedades legais e regulamentares, mas também em identificar e agir sobre a amplitude dos impactos que tais obrigatoriedades impõem às organizações, em seus diferentes aspectos, pois o desafio de seguir com as exigências que a sociedade demanda envolvem mudanças de postura e até culturais, que impactam na rotina das empresas, sob o ponto de vista social, comportamental, ambiental, fiscal entre outros, inclusive da ética.

Esse complexo cenário, além de demandar o desenvolvimento e adoção de políticas que atendam tais exigências, deve considerar a sinergia entre colaboradores, gestores e a alta liderança, pois somente o compliance não garantirá a eficiência desta tríade, mas há também de se considerar outros órgãos essenciais e garantidores da boa governança corporativa.

Há muito tempo li um artigo que fazia uma lúdica alusão das áreas de compliance como sendo os sherifes de uma organização. Eu complemento essa feliz alusão atribuindo aos auditores internos (em suas diferentes áreas de atuação) como sendo os fiscalizadores e, por que não, os policiais-investigadores que asseguram o cumprimento de políticas internas, normativos, leis e regulamentos aplicáveis. E vou ainda mais além: pelo fato da auditoria interna possuir uma posição privilegiada, devido a sua posição estratégica, independência e por possuir uma abrangência dentro das organizações, ela é naturalmente o agente-fomentador de mudanças internas, ainda que não seja a parte responsável pela implementação.

Ainda na lúdica alusão do policial/auditor, assim como a presença policial nas ruas traz a sensação de segurança, uma auditoria interna atuante é peça fundamental para identificar e mitigar riscos, descobrir falhas e elevar a assertividade em uma governança robusta, pois uma das principais funções da auditoria é verificar a efetividade dos procedimentos de integridade, como as práticas, os mecanismos e os controles praticados pela companhia, que por sua vez, são fundamentais para garantir a conformidade com leis, regulamentos, políticas internas e padrões éticos.

Por isso, nenhum programa de compliance considerado eficiente deveria ficar sem uma auditoria interna. Ao lado do monitoramento contínuo, conduzido pela área de compliance, o olhar independente da auditoria interna promove um diagnóstico sobre os avanços e as oportunidades de melhoria de um programa de compliance, além de promover maior transparência e elevar a assertividade e o grau de maturidade do programa.

Para enfrentar os desafios atuais e futuros no campo da governança corporativa essa relação entre gerenciamento de riscos, compliance e auditoria interna é brilhantemente abordada pelo Instituto de Auditores Internos(IIA), através do modelo de três linhas para explicar a relação inter-independente entre as responsabilidades e funções de linha na governança corporativa, com uma visão conjunta de gerenciamento de riscos, com papéis claramente definidos, incluindo a supervisão por um órgão de governança, alta gerência e uma área que garanta a independência, sendo elas:

• Primeira linha (Nível 1): A gestão operacional, composta pela gerência, os donos do departamento ou do processo — ou qualquer pessoa na linha de frente — são a primeira linha de defesa. Sua principal responsabilidade é controlar e assumir a propriedade dos riscos associados às atividades diárias. Eles também implementam controles, desenvolvem políticas internas, supervisionam a execução de políticas de funcionários e monitoram fatores de risco com decisões e ações.;
• Segunda linha (Nível 2): A segunda linha de defesa inclui áreas de gerenciamento de risco, qualidade, TI e compliance — como um gerente de risco, um diretor de compliance ou um diretor de segurança da informação. As áreas da segunda linha de defesa são responsáveis ​​por implementar o programa de gerenciamento de risco da empresa e monitorar o processo e a implementação dessas políticas. Elas também identificam riscos emergentes dentro da operação diária do negócio;
• Terceira linha (Nível 3): A terceira linha de defesa inclui auditores internos e externos. Sua principal responsabilidade é proporcionar uma avaliação independente das práticas da primeira e segunda linhas, assegurando ao conselho, à alta gerência, reguladores e auditores externos a eficácia dos controles internos e processos de governança. Eles também revisam e avaliam o design e a implementação do programa de gerenciamento de risco.

Para otimizar a eficácia do modelo de três linhas o IIA lista estes seis princípios para orientar o modelo de três linhas de uma organização:

1. Funções do órgão regulador. O órgão regulador garante que os procedimentos e estruturas necessários estejam em vigor para proteger os interesses das partes interessadas. Eles também garantem que os padrões morais, éticos e legais sejam mantidos.
2. Governança. A governança dá responsabilidade às partes interessadas, além de estruturar a liderança e a integridade da organização. A organização pode tomar decisões baseadas nos riscos para a saúde da organização e seus stakeholders. Usar recomendações da função de auditoria interna ajuda a incentivar o desenvolvimento contínuo desses procedimentos de gerenciamento de risco.
3. Funções de gestão e primeira e segunda linha. As funções de primeira linha devem garantir que os produtos ou serviços sejam entregues com segurança aos clientes. As funções de segunda linha ajudam a gerenciar o risco, oferecendo experiência e monitorando, gerenciando quaisquer problemas regulatórios ou comportamento antiético. A segunda linha oferece uma responsabilidade mais ampla, como gerenciamento de risco empresarial, mas a primeira linha é responsável por gerenciar o risco em um nível mais alto.
4. Funções de terceira linha. A auditoria interna dá uma garantia objetiva de que as iniciativas de gerenciamento de risco são eficazes. A auditoria interna usa sistemas e experiência independentes com abordagens para revisar os processos de gerenciamento de risco. As funções de terceira linha relatam as descobertas à gestão e ao órgão regulador para fazer quaisquer melhorias necessárias.
5. Independência de terceira linha. A auditoria interna é um órgão independente que fornece credibilidade e autoridade às suas descobertas. A auditoria interna não está associada à gerência, portanto, pode fornecer descobertas livres de viés para evitar qualquer interferência no planejamento organizacional.
6. Criação e proteção de valor. O principal objetivo de todas essas funções trabalhando juntas é priorizar os interesses das partes interessadas. Elas alinham atividades por meio da cooperação e da comunicação. Todas as decisões baseadas em risco devem ser transparentes e confiáveis ​​com o alinhamento dessas áreas.

O modelo de três linhas é amplamente reconhecido por muitas indústrias como um dos modelos de governança de risco mais eficazes, pela sua estrutura de distribuição de responsabilidades e direitos entre as diferentes partes de uma organização.

Apesar dos vários benefícios existentes no modelo de três linhas, existem também alguns desafios e potenciais desvantagens, que incluem:

1. Habilidades e lacuna de conhecimento. A equipe operacional na primeira linha de defesa pode não ter as habilidades e a experiência necessárias para o gerenciamento abrangente de riscos. As organizações podem precisar fornecer treinamento e suporte para garantir a identificação e mitigação eficazes de riscos.
2. Excesso de foco na conformidade. Pode haver mais uma mentalidade para atender aos requisitos regulatórios em vez de gerenciar riscos específicos da organização.
3. Gerenciamento de mudanças. A introdução do modelo de três linhas requer esforços de gerenciamento de mudanças para obter a adesão dos funcionários em todos os níveis de defesa. Alguns funcionários podem resistir à mudança e questionar a eficácia do modelo.
4. Alocação de recursos. Para obter recursos adequados, as organizações precisam distribuir responsabilidades de gerenciamento de riscos entre diferentes linhas, o que requer pessoal, treinamento e tecnologia. Encontrar o número certo de recursos pode ser um desafio se as empresas não tiverem departamentos separados de risco e auditoria.
5. Propriedade de risco. Criar uma propriedade de risco clara entre diferentes linhas pode ser desafiador. A equipe na primeira linha de defesa pode não abraçar totalmente seu papel na gestão de riscos. Isso pode levar à identificação e mitigação de riscos insuficientes.
6. Escalabilidade. O modelo de três linhas pode ser desafiador de implementar em uma grande organização com um cenário de risco diversificado. Os riscos de organizações maiores podem evoluir constantemente, então adaptar o modelo para atender às necessidades específicas da organização pode ser um processo complexo.
7. Relatórios. As organizações precisam determinar como quantificar e avaliar a eficácia dos esforços de gestão de riscos de cada linha. Essas métricas devem mostrar às partes interessadas o valor das atividades de gestão de riscos.

Por estas e outras razões a implementação das três linhas de defesa varia entre indústrias e tamanhos de empresas.

Entretanto, a realidade de pequenas e médias empresas brasileiras é um tanto diferente, se comparado com a teoria. Ainda que exista a preocupação de estar minimamente em conformidade com os requerimentos exigidos pelo negócio onde estão inseridas, é constante perceber que as atividades responsáveis pela adoção e fiscalização de medidas de compliance estão muitas vezes integradas ao departamento jurídico, Da mesma maneira, é comum vermos as áreas de auditoria interna alocadas dentro de estruturas financeiras, usualmente reportando ao CFO, afetando assim a sua função e independência.

Essa resistência também tem origem nas ideias equivocadas de líderes que ainda têm dificuldades em perceber os reais benefícios da adoção de uma estrutura eficaz de governança corporativa, pois limitam-se a entender que se trata apenas de uma ação onerosa, pontual e isolada, ao invés de perceberem que, na verdade, se trata de investimento em medidas permanentes para prevenção de crises, combate a fraudes e melhorias no desenvolvimento interno que estabeleçam uma base para crescimento e sucesso.

Contudo, a correlação de importância entre auditoria interna e programas de compliance é evidente na forma como essas funções se complementam e reforçam mutuamente. Juntas, elas formam uma estrutura robusta de governança que garante a conformidade, mitiga riscos e promove uma cultura de ética e transparência. Profissionais de auditoria interna e compliance devem trabalhar em estreita colaboração para garantir que as organizações não apenas cumpram as regulamentações, mas também operem de maneira eficiente e com ética e a integração dessas funções é vital para a resiliência e sucesso a longo prazo das organizações.