SOX Compliance

A área de SOX Compliance reporta ao CAO - Chief Accounting Officer (Contador Chefe), o qual reporta ao Chief Financial Officer. A principal preocupação da área de SOX Compliance está relacionada à qualidade dos controles internos relacionados ao processo de reporte financeiro.

Esta área, dentro da instituição objeto do estudo, é responsável por todas as questões relacionadas à SOX Compliance, o que envolve, disseminação das culturas de controle – relacionados ao processo de reporte financeiro e Sarbanes Oxley; planejar e gerenciar as atividades de revisão dos processos chave para fins de SOX Compliance, interagir com auditorias internas e externas e reguladores, nas questões relativas à SOX Compliance.

Conforme observações e entrevistas realizadas junto ao Gerente de Contabilidade responsável por SOX Compliance, a área de SOX Compliance quando analisa, por exemplo, um processo de tratamento de Contingências (Cíveis, Fiscais e Trabalhistas) terá tipicamente as seguintes preocupações atreladas às “assertivas financeiras” (mencionadas anteriormente no tópico 2.6):

(a) Será que todas as ações judiciais (citações, etc.) contra a instituição foram recebidas e levadas ao conhecimento do Departamento Jurídico? Se o controle é o “protocolo” centralizado, como se pode assegurar que todas as ações recebidas foram protocoladas?

(b) Como se pode assegurar que mesmo protocoladas e recebidas foram endereçadas aos advogados responsáveis, para que sejam avaliadas quanto à sua probabilidade de perda (em possível, provável e remota – como requerido pelas normas de contabilidade) e a elas atribuído um valor? Será que não ficou nenhuma ação na “gaveta” sem ser transmitida ao advogado responsável?

(c) O que assegura que os advogados que receberam as ações procederam a sua avaliação prontamente? Se um advogado demora meses para proceder a avaliação, a área de SOX Compliance está preocupada que uma contingência importante possa estar registrada pelo seu valor incorreto, ou não registrada.

(d) Se o advogado está comprometido com metas de custos, a área de SOX Compliance está preocupada se estes advogados não irão querer manipular suas avaliações. Assim, uma alçada de aprovação para as avaliações dos advogados se torna necessária, até mesmo pelo aspecto altamente julgamental representado por uma ação. A área de SOX Compliance irá propor que sejam criadas alçadas de aprovação, por exemplo, ações de pequeno valor dois advogados juniores podem avaliar, ações de valor médio um advogado júnior e um advogado sênior; ações de grande valor dois advogados seniores, ações de valor extraordinariamente grande devem ser avaliadas com a aprovação de um Diretor Estatutário da instituição.

(e) As ações mudam de valor e mesmo de probabilidade de perda com o passar do tempo, as decisões judiciais vão estabelecendo novas jurisprudências e entendimentos doutrinários, então a área de SOX Compliance está preocupada que as ações devem ser revistas periodicamente quanto ao seu valor e probabilidade de perda, o que também está preconizado pelas normas de contabilidade. Torna-se necessário um controle para acompanhar o “aging” das revisões (tempo desde a última revisão). Um critério deve ser estabelecido para definir a

periodicidade das revisões, por exemplo, ações de valor extraordinariamente grandes e de valor grande devem ser revistas no mínimo por ocasião dos balanços. Ações de valor médio, pelo menos uma vez por ano. Ações de valor pequeno pelo menos cada 18 meses.

(f) Ao final, será que o inventário das ações confere, está reconciliado, com os números contábeis? Um controle importante é avaliar se a reconciliação tem sido realizada em freqüência adequada e que a mesma não esconde pendências antigas não reconciliadas.

O exemplo acima demonstra, o nível em que o profissional de SOX Compliance precisa ser um conhecedor de normas de contabilidade e, primordialmente, sua atuação se equipara à de um “zelador”, zelando para que os fluxos de informações sejam permeados por controles que visem a mitigar qualquer risco de que a informação contabilizada esteja incorreta, tomando por base as “assertivas financeiras do COSO”. Isto contribui definitivamente para que as funções de SOX Compliance estejam posicionadas dentro da estrutura da Diretoria de Finanças, pois sua atuação contribui para a melhoria da qualidade dos processos de reporte financeiro.

A área de SOX Compliance, na instituição objeto de estudo, realiza juntamente com o gestor do processo e focal de SOX Compliance, o mapeamento dos processos para desenvolver entendimento sobre os riscos a que a informação contábil está sujeita. Este mapeamento é documentado em “fluxograma ou memorandos descritivos”. Os riscos e controles identificados relacionados ao processo de reporte financeiro são documentados em “matrizes de riscos e controle”. Com o objetivo de assegurar-se de que foi completa a avaliação de riscos, a área de SOX Compliance faz uso das “assertivas financeiras” como um guia, para se assegurar de que nada relevante deixou de ser considerado. Sólidos conhecimentos das políticas de contabilidade da empresa e dos fluxos de informações são necessários a uma análise crítica com vistas à identificação de riscos nos processos. O mapeamento de processos, riscos e controles, na instituição objeto de estudo, é feito através de “reuniões de auto-avaliação de riscos e controles” onde participam áreas de negócios, áreas de operações, contabilidade. Estas reuniões de auto-avaliação de riscos e controle podem durar horas

(normalmente 4-5 horas) e são realizadas semestralmente para processos considerados como críticos, anualmente para processos menos críticos.

A seleção dos processos que sofrem esta análise é feita a partir de uma análise de balanço realizada no início do ano, logo após a publicação das Demonstrações Financeiras, tomando por base as Demonstrações Financeiras publicadas. O plano anual da área de SOX Compliance é submetido à aprovação no “Comitê Local de SOX Compliance”. Os controles internos mapeados na matriz de riscos e controle são avaliados em termos de sua criticidade e de sua capacidade de efetivamente mitigar riscos ao processo de reporte financeiro. Esta análise é chamada de “teste do desenho do controle”. Aqueles controles considerados como críticos e que passam no teste do desenho, são posteriormente testados para certificar de que os mesmos operaram de forma efetiva ao longo do período de reporte financeiro (o ano). Finalizada a revisão, um relatório é emitido pela área de SOX Compliance, relatório similar a um relatório de auditoria. Os controles são avaliados em termos de sua efetividade. O conceito de efetividade.

O conceito de efetividade é bem explorado no trabalho de Moggioni (2009, p.19) segundo o qual, a efetividade significa fazer certo as coisas que têm que ser feitas, incluindo a escolha dos objetivos mais apropriados e os métodos corretos de atingi-los. O conceito de efetividade prevê descobrir o que é certo fazer, sendo dos três (eficácia, eficiência e efetividade) o mais difícil de compreender, pois só pode ser mensurado por pesquisa sobre efeitos ou impactos de uma realidade que se modificou. A efetividade organizacional é “resultado das atividades que melhoram a estrutura da organização, sua tecnologia e empregados”.

Efetivo no contexto de SOX Compliance é o controle que operou de forma eficaz e eficiente. Eficaz por que cumpre o objetivo a que se propõe e eficiente por que é o controle selecionado entre outros controles, em razão de ser aquele que cobre o maior número de “assertivas financeiras”, portanto, é o de melhor custo/benefício, o “controle-chave”.

O conjunto das avaliações de processos realizadas pela área de SOX Compliance é submetido ao Comitê Local de SOX Compliance o qual, tendo como

chairman o Chief Financial Officer, monitora e avalia o ambiente geral de controle

tendo em vista o Certificado Anual de SOX Compliance a ser assinado pelo Chief

Executive Officer e pelo Chief Financial Officer. As revisões devem estar concluídas

período de Setembro a Dezembro as deficiências significativas sejam sanadas, de forma a não deixar nenhuma deficiência significativa “em aberto” na virada do ano, data-base contábil das Demonstrações Financeiras. Suportando o certificado assinado pelo Chief Executive Officer e pelo Chief Financial Officer outros certificados, com o mesmo teor, são coletados junto a todos os Diretores e Heads de linhas de negócios. O teor do certificado integra as demonstrações financeiras (formulário 20-F) a ser entregue a SEC - Securities and Exchange Commission.

As deficiências de controle são agregadas e analisadas quanto ao seu impacto ao processo de reporte financeiro, as quais são classificadas em: abaixo do mínimo reportável à diretoria; acima do nível reportável, mas não significante; deficiência significante e deficiência material. Deficiências materiais são aquelas que devem ser objeto de divulgação no Certificado de SOX a ser incluso das demonstrações financeiras, formulário 20-F e enviado à SEC. Se, no conjunto, as deficiências significativas extrapolarem o limite para uma deficiência material, também devem ser objeto de divulgação. Os limites de valor de impacto das deficiências nas categorias descritas acima são definidos pela diretoria do Grupo, tomando por base as Demonstrações Financeiras consolidadas do Grupo.

O Comitê Local de SOX Compliance é um subcomitê do Comitê de Gestão de Riscos Operacionais e Controles Internos, o qual é um subcomitê do EXCO -

Executive Committee (que é o Comitê da Diretoria, o comitê mais sênior da

instituição). Outros comitês de controle também são subcomitês do comitê de Gestão de Riscos Operacionais e Controles Internos, por exemplo, o Comitê Jurídico e Compliance.

A Área de SOX Compliance na instituição sob estudo, também gerencia o processo de elaboração da “Revisão Anual da Estrutura de Controles Internos” da instituição. Trata-se de um questionário preparado, tomando por base os preceitos do COSO - Committee on Sponsoring Organization of the Treadway Commission, inclusive organizado em capítulos, cujos títulos correspondem aos 5 componentes de um sistema de controles internos, tal qual descrito pelo COSO - Internal Control

Integrated Framework. Este questionário com cerca de 120 páginas, contém uma

coluna para a questão de controle, outra coluna para descrever as melhores práticas a serem adotadas, outra coluna para a resposta à pergunta a qual deve ser descritiva, fazer referência às políticas internas da instituição e ao final atribuir uma nota de auto-avaliação do controle, a última coluna contém o nome do respondente.

Este questionário é desmembrado e dividido entre um grupo de 15 a 20 executivos- chave da instituição, os quais por “afinidade” ao assunto são escolhidos para responder ao questionário. As notas de auto-avaliação variam de um a cinco, sendo cinco a melhor nota (que reflete que naquele quesito a instituição está no “estado da arte”), respostas inferiores a cinco devem vir acompanhadas de um plano de ação de melhorias. O mencionado questionário após ter sido respondido pelos executivos- chave, é submetido para revisão pelo Chief Risk Officer, posteriormente, pela Auditoria Interna, pela Auditoria Externa e finalmente é aprovado pelo Comitê de Gestão de Riscos Operacionais e Controles Internos, cada Diretor Executivo certifica que tomou conhecimento deste documento e dos planos de ação de melhoria para questões com respostas inferiores a cinco. O documento completo, com os planos de ação e certificados assinados pelos Diretores Executivos é encaminhado ao Chief

Executive Officer. Todo o processo é gerenciado pela área de SOX Compliance. As

deficiências identificadas por ocasião das revisões de SOX, também devem ser reportadas no documento da “Revisão Anual da Estrutura de Controles Internos”.

Todo o processo de documentação é baseado em ferramentas de baixo custo, MS-Excel e MS-Word e estão sujeitas à auditoria interna e externa. A documentação de SOX Compliance compreende: os planos de trabalho, atas de reunião do Comitê Local de SOX Compliance, Certificados de SOX Compliance, fluxogramas e descritivos de processos, matrizes de riscos e controle para cada processo, plano de testes, documentação de testes e relatórios de testes realizados.

A área de SOX Compliance está trabalhando no sentido de modificar a abordagem de testes periódicos de controle para monitoramento contínuo da execução de controle e certificação pelos executores da realização dos mesmos. Neste sentido tem acompanhado mensalmente o processo de reconciliação contábil. E está desenvolvendo um processo de “substanciação” de saldos que envolve a definição de procedimentos de controle específicos para cada tipo de conta contábil, os quais devem ser certificados periodicamente pelos focais e diretores. Além disto, desenvolveu um processo de certificação de saldos, através do qual, os diretores executivos (diretores estatutários) certificam mensalmente a razoabilidade dos saldos contábeis sob sua responsabilidade, o que confere maior qualidade aos reportes financeiros.

A área de SOX Compliance monitora, avalia e reporta sobre planos de ação em implementação pelos focais de SOX para a mitigação de riscos identificados,

assim como, reporta ao Comitê Local de SOX Compliance os riscos identificados categorizando-os em termos de materialidade ao processo de reporte financeiro.

5.3. Gestão de Riscos Operacionais

A área de Gestão de Riscos Operacionais, na instituição objeto do estudo de caso, reporta diretamente à Diretoria de Operações e Tecnologia e também tem uma linha de reporte ao Chief Risk Officer. O Chief Risk Officer é o executivo sênior estatutário, portanto, com cadeira no EXCO - Executive Committee, responsável pelas questões relacionadas a riscos. No dia-a-dia da organização o Chief Risk

Officer se ocupa principalmente do risco de crédito, mas monitora de perto os riscos

de mercado, liquidez e operacional. A área de Gestão de Riscos Operacionais é responsável por todas as rotinas relacionadas a atividades de Gestão de Riscos Operacionais, inclusive Plano de Continuidade de Negócios.

A atividade primordial está voltada à manutenção da base de dados de perdas operacionais, da qual são extraídas estatísticas úteis à tomada de decisões focadas na redução dos riscos e perdas operacionais. A base de dados de perdas operacionais é alimentada a partir de três fontes principais: registros contábeis, sistema de registro de perdas e autorização de pagamento de multas, e sistema jurídico (para contingências cíveis, fiscais e trabalhistas). Os dados são analisados e geram relatórios que são utilizados principalmente pela área de Segurança e Prevenção às Fraudes onde ações específicas são desenvolvidas para coibir fraudes como clonagem de cartões, furtos de ATMs, entre outras.

A área de Gestão de Riscos Operacionais conta com um sistema desenvolvido pelo Grupo no qual as diversas áreas registram seus riscos operacionais e seus controles mitigantes. Esta base, na data da coleta de dados, mantinha cerca de 4000 riscos cadastrados, os quais por problemas de duplicidade de registros e falta de padronização, estava sendo utilizada de forma limitada.

Outra abordagem em uso pela área de Gestão de Riscos Operacionais é top

down (de cima para baixo) onde os diretores executivos são entrevistados e são

indagados sobre os principais riscos operacionais de suas áreas. Neste momento os diretores são convidados a mencionar não mais do que 10 riscos operacionais em suas diretorias que consideram como realmente importantes. Para cada risco

identificado os diretores são solicitados a descrever os controles internos existentes para sua mitigação.

Além dos procedimentos acima, a área de Gestão de Riscos Operacionais encaminha aos seus “focais” (pessoas designadas pelos diretores como responsáveis pelo atendimento à área de Gestão de Riscos Operacionais) um

checklist trimestral contendo cerca de 50 perguntas objetivas. O questionário

respondido é assinado pelo focal e pelo Diretor da área. As questões apresentadas no questionário exploram questões típicas de controles internos.

A área de Gestão de Riscos Operacionais possui outra atividade relevante de modelagem matemática com vistas à quantificação do capital mínimo necessário para fazer frente a perdas operacionais. A instituição objeto do estudo utiliza abordagem padronizada de cálculo de capital mínimo, esta abordagem não é sensível ao risco, uma vez que se baseia na aplicação de percentuais fixos definidos pelos reguladores sobre as receitas distribuídas por linhas de negócios. A utilização da abordagem padronizada, entretanto, demanda que a instituição mantenha boas práticas de controles internos e estruture sua base de perdas. Em se tratando de uma instituição de grande porte está desenvolvendo abordagem de mensuração avançada, a qual será uma exigência regulatória que irá recair com maior peso às instituições consideradas como “internacionalmente ativas” (pelo risco sistêmico elevado que representaria a sua quebra) que é o caso da instituição objeto deste estudo. Entretanto, importantes avanços ainda serão necessários para que se possa utilizar a abordagem avançada, um deles, em discussão no mercado, é a criação de uma base de dados de perda compartilhada entre instituições financeiras, o que é um requisito do novo acordo da Basiléia é não depende unicamente de esforços isolados das instituições, mas de uma mudança de cultura e aceitação pelo mercado da necessidade de compartilhar este tipo de informação.