Diferença entre compliance e auditoria interna

Marco Antonio Muzilli

Bem, iniciemos os esclarecimentos pela função Compliance. À medida que uma organização cresce e torna as operações volumosas e complexas há o que eu chamo de “efeito capilarização”, ou seja, o dia a dia é conduzido por dezenas e até milhares de pessoas, em locais diferentes, que recebem delegação implícita da alta administração. Este aspecto é ainda mais relevante quando se tratam de atividades altamente regulamentadas, como por exemplo, as instituições financeiras, e que o descumprimento de regras impostas pelos órgãos regulamentadores pode representar um grave desvio, ameaçando inclusive a continuidade. Não poderíamos esquecer a participação integrada que hoje ocorre nas organizações de pessoas relacionadas (prestadores de serviços, parceiros, etc.).

Assim, a experiência prática vem mostrando por meio do tempo que a falta de uma adequada supervisão fatalmente leva os funcionários e pessoas relacionadas a modificarem e até deteriorarem os controles ou procedimentos em função de uma série de aspectos; como exemplo: instruções ou regulamentações incompletas ou mal redigidas que não prevêem diversas situações que surgem no dia a dia. O final dessa história é que a bola de neve cresce e os controles acabam por se enfraquecer, permitindo a ocorrência de graves falhas operacionais e até fraudes.

Em termos de boa governança corporativa, fica muito clara a necessidade de disseminar em cada membro da organização e pessoas relacionadas, o conceito e o dever de estar em cumprimento às normas internas, leis e regulamentos a que a organização está submetida, ou seja, estar em compliance. Para atingir esse objetivo a organização deve dispor de vários mecanismos que abordaremos resumidamente:

a) Existência de normas internas definidas em manuais, banco de dados ou instruções, incluindo em destaque o Código de Ética e Conduta;

b) Procedimentos automatizados por meio de sistemas computadorizados, que exercem o papel de enquadramento ou de balizamento das transações;

c) Procedimentos de auto-avaliação ou “self assesment” que permitem a cada individuo ou setor avaliar, segundo parâmetros pré-estabelecidos, o seu grau de risco e eficiência, bem como o comprometimento com os controles;

d) A designação em cada setor da organização de uma pessoa encarregada por disseminar no setor e em relação às pessoas relacionadas o compliance ou o cumprimento das instruções, leis e regulamentos no dia a dia;

e) A designação de um Compliance Officer ou Responsável pela Supervisão Geral na organização da função Compliance. Cabe a ele estar em contacto com os responsáveis de cada setor e disseminar as diretrizes estabelecidas pela alta administração bem como as mudanças nas leis e regulamentos que afetem a atividade da organização;

f) A conscientizarão constante que os responsáveis pelo Compliance devem fazer em relação aos funcionários do setor e às pessoas relacionadas sobre a importância da função. Se não houver um treinamento constante, os funcionários e as pessoas relacionadas esquecem e aos poucos negligenciam.

A auditoria interna, por outro lado, segundo conceito moderno defendido pelos especialistas, é uma atividade objetiva e independente (dos setores ou atividades auditadas) que presta serviços de avaliação (assurance) e consultoria e tem como objetivo adicionar valor e melhorar as operações da organização. Lawrence Sawyer, renomado especialista em auditoria interna, assim a definiu: “a função do auditor interno é fazer aquilo que a direção gostaria de fazer se tivesse tempo para fazer e soubesse como fazê-lo”. Apesar de algum tempo decorrido, essa definição tem-se mostrado moderna e verdadeira.

Poderíamos concluir de um modo pragmático que a função de Compliance atua mais na fase de definições ou estabelecimento das normas, divulgação e treinamento e no acompanhamento das transações no dia a dia; e a auditoria interna, com base nas verificações pontuais em amostras de transações, na revisão dos riscos operacionais e dos controles internos existentes para mitigar esses riscos. Não poderíamos deixar de realçar os objetivos adjacentes da função de auditoria interna que são os de: a) identificar oportunidades de aperfeiçoamentos e busca de eficiência; b) detectar indícios ou existência de fraudes ou irregularidades na organização.

Para finalizar, lembrei-me do exemplo bem simples que um colega, Compliance Officer de um grande banco, deu para a sua mãe, quando indagado por ela sobre a diferença entre um profissional e outro: “Não existe uma lei que nos obriga a usar o cinto de segurança?; bem, o Compliance officer irá nos explicar a importância de usar o cinto, como usá-lo, as conseqüências de não usar , etc. O auditor interno é o guarda da CET que irá verificar se estamos efetivamente usando e com certeza multar-nos se formos pegos sem ele.”

Marco Antonio Muzilli, consultor em Governança Corporativa, tendo atuado por mais de 20 anos como sócio de Auditoria da KPMG.