Integração nas funções de controles

Este tópico tem por objetivo apresentar a forma como os conceitos de Controles Internos, Gestão de Riscos Operacionais e SOX Compliance, embora oriundos de diferentes regulamentações, estão de certa forma interligados, sugerindo que a implementação de funções de controle para atender a estes riscos pode se beneficiar de uma integração entre estas áreas.

Conforme demonstrado nos tópicos precedentes, existe atualmente uma profusão de requerimentos regulatórios e áreas de controle estabelecidas para o seu atendimento. Devido a isto, este estudo parte do pressuposto de que é comum a duplicação de esforço e a falta de uma metodologia sistemática, que seja utilizada em toda a organização para a gestão destas funções. Departamentos funcionais estão freqüentemente em diferentes estágios de maturidade no que diz respeito à gestão de riscos e compliance.

Finanças pode ter uma abordagem completamente diferente para identificar, avaliar e mitigar riscos, que Compliance ou Gestão de Riscos Operacionais, inclusive diferente vocabulário. Ainda, os mesmos riscos e regulamentos podem ser válidos a diferentes áreas, o que freqüentemente resulta em reinvenções múltiplas de rodas similares, um processo complexo de reporte e auditoria e uma administração confusa sobre o perfil real de risco da organização.

Embora inúmeros trabalhos acadêmicos tenham sido realizados sobre as disciplinas de controle, que foram mencionados acima, poucos são os trabalhos que tratam sobre a integração destas funções de controle, ou que, buscam definir e delimitar os pontos de contato e diferenças entre estas funções. Um dos estudos realizados com este objetivo, foi mencionado, o estudo feito por Camazano (2007)

Neste ponto é importante mencionar que integração segundo o dicionário Houaiss (2008) é a “inclusão de um elemento num conjunto”. O verbo integrar significa segundo o mesmo dicionário: “incluir-se em conjunto ou grupo formando um todo coerente; incorporar-se. Sentir-se parte de grupo, coletividade; adaptar-se; unir- se formando um todo harmonioso; completar-se. No contexto deste estudo, a integração significa fazer com que as funções de controle realizem os seus objetivos de forma conjunta e coordenada, compartilhando informações e recursos, ao menor custo para a organização, mas mantendo cada uma a sua visão e independência.

Figura 5 − Esquema Geral de Relacionamento entre as diferentes Funções de Controle e suas partes relacionadas

A figura 5 demonstra uma visão sobre a inter-relação entre as funções de controle, do lado de fora do círculo são apresentados as partes interessadas (stakeholders), o primeiro círculo, mais externo representa a Governança Corporativa, no limite do relacionamento entre a sociedade e suas partes relacionadas. Suportando a Governança Corporativa, o segundo círculo representa os “controles internos”, em seguida os demais círculos interligados representam os tipos de funções de controle existentes nas organizações bancárias e as interligações demonstram as sobreposições e interdependências entre as funções.

Como se viu o Risco Operacional é o risco de perda resultante de processos, pessoas e sistemas internos inadequados ou falhos e de eventos externos. Um exemplo, da integração entre as funções de risco é que todo o risco relacionado ao processo de reporte financeiro, que é objeto da Lei Sarbanes-Oxley, também é um risco operacional.

Assim como, o Risco Operacional é um subconjunto de riscos que os controles internos visam a mitigar. Perdas de crédito em instituições financeiras podem decorrer de falhas no cumprimento de normas relacionadas à análise de crédito, assim estas perdas têm origem em um Risco Operacional. Erros no modelo de precificação de ativos financeiros, podem transparecer inicialmente como perdas oriundas de risco de mercado, entretanto, também são Riscos Operacionais se materializando. O descumprimento da regulamentação sobre Riscos Operacionais ou da Lei Sarbanes-Oxley é risco de Compliance.

A gestão de riscos operacionais toma por base uma estrutura de controles internos adequada, o que é uma condição para sua operação eficiente, pois gestão de riscos operacionais depende de que uma cultura de controles internos, transparência e governança estejam em funcionamento, pois do contrário, as bases de dados de perdas históricas (internas e externas) serão falhas, ou com importantes omissões, impactando no cálculo do capital mínimo necessário.

Conforme verificado a palavra “controles internos” está presente nos fundamentos de Compliance, Gestão de Riscos Operacionais e Sarbanes-Oxley. Este estudo irá demonstrar a integração das diferentes funções de controle considerando as partes interessadas em cada função e abordagens adotadas, tomando por base os conceitos do COSO (Internal Control Integrated Framework).

A gestão qualitativa de riscos operacionais, de controles internos e conformidade com a Lei Sarbanes-Oxley, e a própria Auditoria Interna tem em comum a necessidade de um entendimento das atividades e processos que suportam seus produtos e serviços, o qual é documentado através de fluxogramas e matrizes de riscos. Enquanto não integradas estas funções a tendência é de que cada função de controle irá desenvolver sua própria metodologia para documentação de seu entendimento sobre os processos e controles. É neste momento em que se configura uma das grandes ineficiências da falta de integração destas metodologias.

Neste tópico fica demonstrado o nível de interdependência entre os conceitos e funções de controle, as abordagens semelhantes adotadas por estas funções, sugerindo que existem sobreposições de funções e oportunidades para maior integração entre estas áreas. Controles internos e seus processos de identificação, avaliação de riscos, monitoramento e reporte são identificados como preocupações comuns aos diversos requerimentos e funções de controle. O COSO – Internal Control Integrated Framework, por ser a estrutura de melhores práticas mais aceita é identificada como sendo uma base para comparação das abordagens adotadas pelas funções de controle, o que será explorado no próximo capítulo.