a. as principais práticas de controles internos e o grau de eficiência de tais controles, indicando eventuais imperfeições e as providências adotadas para corrigi-las.
A Companhia possui mecanismos de gestão de riscos e de controles internos baseados em premissas do “Internal Control – Integrated Framework” emitido pelo “Committee of Sponsoring Organizations of the Treadway Commission – COSO 2013” e NBR-ISO 31000, com o objetivo de manter o adequado monitoramento do ambiente de controles internos atrelados aos seus processos operacionais e financeiros.
A estrutura do ambiente dos controles internos da Companhia é composta por meio dos seguintes componentes:
• Gestão de Riscos Corporativos e Compliance: Área da Companhia, responsável, dentre outras atribuições por:
a. Compliance: Responsável por: (i) Disseminar a cultura ética a ser seguida pelos colaboradores; (ii) Monitorar eventuais violações a leis, regulamentos, Código de Conduta Ética (CCE) e Políticas Internas; (iii) Elaborar, sugerir alterações, aprimorar e atualizar o CCE e as Políticas Internas da Companhia; (iv) Promover treinamentos aos colaboradores sobre conformidade ao CCE, políticas internas, leis, normas e regulamentos; (v) Participar de forma consultiva do comitê de ética da Companhia; (vi) Orientar as diretorias executivas, conselhos e comitês, quando necessário, sobre cumprimento de Leis, normas e regulamentos.
b. Gestão de Riscos: (i) identificar os riscos corporativos e o grau de exposição da Companhia a tais riscos; (ii) Associar causas, avaliar impacto, probabilidade de ocorrência e identificação de atividades de controles existentes; (iii) Assessorar as áreas no desenho de planos de mitigação dos riscos; (iv) Acompanhar a evolução dos planos; (v) Reportar e apresentar os resultados à Diretoria Executiva e Conselhos.
• Segurança da informação: é responsável pela proteção das informações da Companhia contra diversos tipos de ameaças, para minimizar a exposição da empresa a riscos, garantindo que as características fundamentais da informação sejam preservadas, sendo elas: (i) confidencialidade; (ii) integridade; (iii) disponibilidade; (iv) conformidade. Isso significa proteger a empresa contra o vazamento de informações, contra fraudes, zelar pela privacidade, garantir que sistemas e informações estejam disponíveis quando necessário e zelar pela proteção da imagem e das marcas da empresa.
• Prevenção de perdas: É responsável pelo monitoramento e controle dos estoques, afim de assegurar que não ocorram perdas por desvios, contribuir com o desenvolvimento dos sistemas e controles internos na cadeia de valor para mitigação de risco de fraudes internas e perdas financeiras, servindo de ferramenta para reforçar a cultura ética e imagem da Companhia.
• Controles internos: Área da Companhia, responsável, dentre outras atribuições por:
a. Implantar, alterar e monitorar de forma otimizada, o sistema de controles internos. A metodologia para a tratativa destes controles está adequada às melhores práticas de mercado (COSO) e todos os controles registrados na matriz de riscos e controles.
b. Garantir anualmente a avaliação dos controles internos, através dos procedimentos de revisão, walkthrough, compliance e do atendimento às auditorias interna e externa.
c. Efetuar avaliações periódicas para garantir que as políticas vigentes na Via Varejo, estejam em compliance com os objetivos de controle e requerimentos legais, devidamente vigentes, revisadas, aprovadas e disponíveis.
d. Validar todas as políticas que são desenvolvidas na companhia, realizando a análise de vulnerabilidade e o apontamento dos riscos e controles pertinentes aos processos.
e. Disseminar uma cultura de controles internos, através da conscientização do valor agregado que o controle concede ao negócio, mitigando riscos e aumentando a probabilidade da empresa atingir seus objetivos.
5.3 - Descrição dos controles internos
f. Participar ativamente dos projetos estratégicos e das mudanças significativas dos processos para garantir que não haja impactos negativos na estrutura dos controles internos e os riscos não deixem de ser mapeados.
g. Acompanhar a execução dos planos de ação originados de trabalhos da auditoria, garantindo que os planos de ação referente às deficiências de controles e recomendações de melhorias sejam devidamente implementados pelas áreas de negócio.
Tais responsabilidades têm como finalidade garantir um adequado ambiente de controles que garanta com razoabilidade a mitigação dos riscos operacionais, de crédito, mercado e de tecnologia da informação existentes na Companhia e por consequência a adequada apresentação das demonstrações financeiras, incluindo neste escopo os key-controls que fazem parte do escopo de avaliação da regulamentação da Lei Sarbanes Oxley - SOX a qual está submetida o controlador da Companhia, a CBD (Companhia Brasileira de Distribuição).
• Auditoria interna: É uma atividade de apoio, independente, com reporte ao Chief Executive Officer, objetiva e que presta serviços de avaliação e de consultoria e tem como missão agregar valor e melhorar os processos da empresa. A auditoria interna auxilia a organização a alcançar seus objetivos, avaliando e recomendando melhorias da eficácia dos processos de gestão de riscos, de controles internos e de governança corporativa. O planejamento dos trabalhos de auditoria leva em consideração a avaliação de riscos e a identificação dos controles já implantados.
b. as estruturas organizacionais envolvidas
Conforme citado no item 5.3 subitem (a), Companhia tem em sua estrutura organizacional as diretorias de Gestão Riscos e Compliance, Controles Internos, Prevenção de Perdas, Segurança da Informação e Auditoria Interna.
c. se e como a eficiência dos controles internos é supervisionada pela administração do emissor, indicando o cargo das pessoas responsáveis pelo referido acompanhamento.
A área de auditoria interna que se reporta ao CEO, atua de forma independente e objetiva executando procedimentos de verificação da eficácia dos controles internos conforme o plano anual de auditoria, o qual é revisado e validado pela Presidência e Diretoria Executiva da Companhia, bem como apreciado pelo Conselho Fiscal.
As áreas de controles internos e de Gestão de Riscos revisam periodicamente os processos da Companhia, avaliando os riscos inerentes a estes processos e mantém uma matriz de riscos e controles com as devidas validações por partes das gestões das áreas de negócio e da administração, a qual é submetida, anualmente, para avaliação de procedimentos de auditoria interna e externa.
A Administração submete a avaliação dos controles internos relativos à certificação SOX do controlador Companhia Brasileira de Distribuição, anualmente, para uma empresa de auditoria independente, para suportar a avaliação e eficácia dos controles do ponto de vista da Administração.
d. deficiências e recomendações sobre os controles internos presentes no relatório circunstanciado, preparado e encaminhado ao emissor pelo auditor independente, nos termos da regulamentação emitida pela CVM que trata do registro e do exercício da atividade de auditoria independente
Os trabalhos realizados pelo auditor independente não apontaram deficiências ou recomendações consideradas significativas nos controles internos relativos à elaboração das demonstrações financeiras da Companhia. Este é também o entendimento da administração, que considera não haver deficiências significativas nos seus controles internos relativos à elaboração das demonstrações financeiras. Cabe ressaltar, que em relação ao cenário positivo atual que possibilitou a eliminação de deficiências significativas dos últimos dois anos envolvendo a controlada Cnova, a Companhia investiu no aprimoramento dos seus controles internos operacionais e financeiros integrando-os aos modelos e padrões já definidos pela Companhia. Para este aprimoramento destacam-se as seguintes medidas:
d.1 Padronização das políticas contábeis e adequadas às regulamentações
5.3 - Descrição dos controles internos
Implantamos na Cnova, as mesmas políticas e práticas contábeis já adotadas na Companhia, com maior robustez de metodologia e formalização destas práticas. Estas políticas incluem todos os procedimentos de conciliações, provisões, estimativas e execução, revisão e aprovação de lançamentos manuais contábeis adequados aos procedimentos contábeis regularmente vigentes.
Com esta política, unificamos a definição de papéis e responsabilidades de execução do processo, bem como definimos o modo de operação das conciliações e estimativas contábeis, o que tem como objetivo que os registros sejam efetuados de acordo com as premissas estabelecidas, evitando ajustes e reclassificações por erro, descontrole e/ou falta de critério formalmente estabelecido.
d.2 Conciliações contábeis
Implantamos e estabilizamos os controles chaves de conciliações contábeis, no qual temos o pleno controle do acompanhamento mensal dos saldos contábeis. Este controle tem possibilitado a visão consolidada de que nos saldos de balanço patrimonial e resultados da Companhia, bem como a suficiência de seus dados analíticos e das demonstrações financeiras da Companhia.
d.3 Revisão de governança e dos controles internos
Adotamos medidas instantâneas com os novos gestores dos processos, formalizando planos de ação e tomando ações necessárias para atuação nos pontos identificados, promovendo substancial melhora no comprometimento e por consequência no ambiente de controles internos;
Elaboramos uma nova matriz de controles internos de acordo com os requerimentos de COSO (Committee of Sponsoring Organization) e avaliamos o ambiente destes controles através de testes com consultorias e auditorias independentes; Também passamos a consolidar documentação detalhada a respeito dos lançamentos manuais contábeis. Todos estes procedimentos têm sido periodicamente submetidos a processos de avaliação da área de controles internos e da auditoria interna e à análise dos nossos auditores independentes. A consolidação de documentação detalhada garante a revisão adequada de eventos não-usuais que eventualmente possam gerar distorções nas demonstrações financeiras; Investimos na capacitação e treinamento de nossos colaboradores. Estes treinamentos foram disponibilizados às demais equipes contábeis, financeiras, riscos, governança e de controles internos. Ao todo, capacitamos 211 (duzentos e onze) colaboradores, num total de 1.839 (hum mil, oitocentos e trinta e nove horas), desenvolvendo o conhecimento sobre temas como: CPC 30 – Receitas, Provisões, CPC 16 – Estoques, CPC 32 - Imposto de Renda, CPC 27 - Ativo Imobilizado, CPC 26 - Demonstrações Financeiras, CPC 36/CPC 45 – Investimentos, CPC 05 - Partes Relacionadas, IFRS 16 - Operações de arrendamento mercantil, SOX, IFRS 9 - Ativos Financeiros e IFRS 15 – Receitas. O objetivo de nossos treinamentos é de aprimorar o nível técnico dos colaboradores, potencializando o poder de análise de todos os envolvidos nas demonstrações financeiras e possibilitando à Companhia, patamares mais robustos de qualidade técnica contábil e nível de controle.
e. comentários dos diretores sobre as deficiências apontadas no relatório circunstanciado preparado pelo auditor independente e sobre as medidas corretivas adotadas