Uma das etapas do ciclo de um programa de ética e compliance efetivo inclui a existência de um plano de auditoria e monitoramento contínuo. Antes de começar o processo de auditoria e monitoramento, é necessário entender a diferença entre esses dois conceitos.
A auditoria é um método formal para um processo de verificação, dentro de um escopo de revisão, por meio de determinados critérios, metodologia de amostragem e amostra, condução de revisões, apresentação de conclusões e acompanhamento de ações para assegurar que as observações são resolvidas. A auditoria é um processo independente da administração, imparcial; não há interesse real e/ou potencial no resultado. Já o monitoramento é um processo diário e comumente utilizado pela administração para ajudá-los a identificar como os aspectos operacionais de compliance estão ocorrendo. O monitoramento é uma forma de avaliar a eficácia, eficiência e coerência dos controles operacionais. Inclusive, muitas vezes, atividades de mitigação de risco da administração podem incluir a implementação de sistemas e controles adequados.
O monitoramento não tem que ser independente, mas pode ser. A independência é um conceito importante na auditoria, pois tem como função garantir objetivamente ao conselho e aos outros que a atividade não conforme foi identificada e resolvida, e que novas ocorrências podem ser prevenidas.
Para desenvolver um plano de auditoria e monitoramento, o CO deve realizar uma avaliação de risco para identificar e priorizar os riscos que devem ser incluídos no plano. O plano de auditoria e monitoramento deve ser dinâmico e constantemente avaliado na direção das prioridades do programa de compliance da organização. Se o departamento de compliance está cobrindo apenas uma única área de compliance (por exemplo, corrupção), então é importante que a comunicação e a integração de todos os riscos de compliance sejam reunidas em um plano geral.
Os recursos necessários ao desenvolvimento do plano podem estar no departamento de compliance ou em outros setores da organização. O CO tem que pensar globalmente para identificar quais são os recursos disponíveis, e pensar globalmente no momento da construção do planejamento.
Os processos de auditoria e monitoramento geralmente evoluem com a maturidade do programa de compliance. Ninguém pode esperar 100% de compliance desde o primeiro dia. Como já mencionado, o segredo é buscar e instituir uma forma de melhoria contínua das atividades de compliance em si, o que ocorre por meio da avaliação, pelo menos anualmente, dos riscos prioritários da organização. Os riscos são dinâmicos e o plano deve sempre estar em evolução no sentido de proteger as maiores prioridades do negócio.
Nesse sentido, a melhor e mais prática forma para elaboração do plano de auditoria é levar em conta os riscos prioritários da organização. Conforme ressaltamos anteriormente, existem alguns problemas comuns a todas as organizações (segurança, terceiros intermediários, privacidade de dados e segurança, viagens e entretenimento, etc.).
Por exemplo, como decorrência legal, as empresas de capital aberto devem ter suas demonstrações financeiras e de apoio auditadas regularmente. O compliance pode ajudar em uma função de auditoria ou ser o auditor principal para essa área caso o departamento seja responsável pelo cumprimento das normas da CVM – Comissão de Valores Mobiliários. Os requisitos decorrem das diversas legislações aplicáveis à atividade da empresa, assim como das políticas e procedimentos internos.
A auditoria das demonstrações financeiras, por outro lado, deve ser integrada em um plano abrangente/geral para a organização. Além disso, as áreas que envolveram riscos anteriores devem ser olhadas cuidadosa e regularmente.
PRESTAÇÃO DE CONTAS
Os controles de monitoramento também precisam ser auditáveis. Se o monitoramento é feito para garantir o atendimento aos requisitos das normas, então os controles implementados precisam ser verificáveis.
A auditoria pode ser simultânea ou retrospectiva e a definição deve ocorrer segundo as características de cada organização.
As auditorias retrospectivas são utilizadas com frequência porque é mais fácil obter a informação para o processo de amostragem. No entanto, é importante estabelecer um ponto que indique o período de tempo em que você vai para trás; isto é, justificar as razões do escopo escolhido. Por exemplo, algum novo processo foi desenvolvido, um novo sistema, novos produtos, mudança na política ou lei? Isso ajudará diante de eventuais questionamentos internos ou externos. A auditoria retrospectiva fornece a avaliação inicial do risco, ou uma fotografia de onde a organização se encontra. É, na melhor das hipóteses, otimista pensar que seja possível identificar, em algum período específico, tudo o que poderia haver de errado e então tentar montar um cronograma realista para lidar com esses problemas.
Além disso, quaisquer problemas identificados em uma auditoria retrospectiva exigirão não apenas ações corretivas para garantir que o problema não se repita, mas também recursos para indenizar terceiros afetados. Como anteriormente ressaltado, é dever de uma organização, como parte de seu programa de compliance, corrigir quaisquer problemas.
Já uma auditoria simultânea identificará e resolverá problemas individualmente, conforme forem surgindo, de uma forma preventiva. Se um problema realmente existe, então o CO pode assegurar a correção do processo, das políticas ou dos procedimentos relacionados. Será possível comunicar a alteração para todas as partes envolvidas e em seguida, após prazo designado, rever o processo e documentos para garantir que o problema tenha sido resolvido efetivamente. Esse tipo de auditoria é indicado para a alteração de comportamentos. Como ocorre em tempo real, pode proporcionar alterações imediatas à conformidade.
Ambas as abordagens permitem a realização de um processo de auditoria e monitoramento eficiente.
Existem algumas metodologias para a coleta de amostras para auditoria e monitoramento, sendo que o objetivo global da atividade de auditoria e monitoramento e os resultados esperados fazem parte do processo de definição. A amostragem estatisticamente válida é aquela de maior credibilidade para a identificação de um problema de risco.
O processo de revisão regular (monitoramento) determinará se os elementos de compliance, como divulgação adequada de regras de conduta, treinamento e aplicação de medidas disciplinares, foram efetivamente cumpridas. Esse processo também é conduzido tanto em áreas com potenciais deficiências quanto em áreas regulares.
AVALIAÇÃO INTERNA
Uma boa forma de iniciar um processo de avaliação interna é por meio de entrevistas. Os colaboradores têm riqueza de conhecimentos, podem oferecer uma quantidade muito grande de informações e muitas vezes gostam de participar do processo de melhoria da organização. Pergunte sobre riscos, sobre suas atividades diárias, sobre a eficiência dos processos, dos procedimentos e a solidez de cada um. Pergunte ainda se as políticas e os procedimentos são seguidos. Periodicamente, envie questionários à equipe para um feedback, ou conduza grupos de estudo específicos. Outra dica consiste na possibilidade de avaliação regular, e às vezes aleatória, de registros, tanto de documentos finais (faturas, declarações financeiras) quanto de documentos de apoio (faturas, planilhas, notas, pareceres jurídicos, análises financeiras, cronogramas, orçamentos, despesas). A coleta desses dados e a possibilidade constante de rastreamento são fundamentais para o processo de revisão, pois fornecem análise de tendências e permitem uma forma de avaliar a evolução/melhoria.
Algumas técnicas podem ser utilizadas:
Inclusão da avaliação da adesão ao programa de compliance como requisito para contratação ou avaliação de evolução na carreira dentro da organização.
Apresentamos abaixo alguns exemplos de perguntas para entrevistas com colaboradores:
No âmbito desse processo é importante identificar o responsável pela coordenação do acompanhamento e pela realização da auditoria interna. É uma responsabilidade do auditor, responsabilidade do departamento de compliance, ou talvez uma combinação dos dois? Além disso, a nomenclatura para essas atividades pode ter uma definição diferente de “auditoria e monitoramento”. É importante que as definições estejam em sincronia em toda a organização e que o programa de compliance englobe as ações realizadas de forma geral pela organização.
Auditores normalmente precisam de experiência e de conhecimento na área que estão observando. A formação de grupos específicos internos, como times de compliance, que incluam diversos especialistas no assunto em pauta ou que possam monitorar questões específicas ou avaliar potenciais áreas problemáticas é também recomendável.
Assim como todos os instrumentos do programa de compliance, o plano de auditoria e monitoramento deve ser dinâmico e revisado periodicamente pela alta gestão/administração para que possa determinar se as prioridades identificadas ainda são as prioridades da organização.
Veja abaixo um exemplo de modelo de planejamento abrangente de revisão de processo de auditoria:
Todas as questões que envolvam relação com o governo, com agências reguladoras, ou associações da indústria devem ser levadas em conta nos processos de auditoria ou monitoramento. Todos os processos de realização da auditoria e das atividades de monitoramento devem ser documentados para demonstrar a preocupação geral com o programa e/ou os riscos potenciais de compliance. As ações realizadas, as observações, os resultados, os planos de ação e resolução dos problemas devem ser regularmente comunicados à alta gestão da empresa, conforme apropriado. Além disso, todas as ações consideradas suspeitas ou ilegais devem ser apresentadas no relatório juntamente com um plano de ação corretiva.
Até o próximo artigo!