AS 3 LINHAS DE DEFESA
O sistema das 3 linhas de defesa, assim denominado pela Declaração de Posicionamento do IIA em publicação original de 2012, é um modelo de governança corporativa e tem por objetivo estabelecer um padrão simples e inteligente de gestão e gerenciamento de riscos e controles nas entidades.
Tendo como pano de fundo a estruturação das empresas na área de integridade a partir das novas normativas nacionais, algumas inclusive com natureza sancionatória, o sistema das 3 linhas tem como meta organizar e definir, entre os diversos atores que desempenham as atividades de defesa, as claras funções e responsabilidades de cada um, estabelecendo parâmetros e limites de atuação, de intervenção e de comunicação.
Nessa formatação, cada grupo de profissionais entende os limites de suas responsabilidades e como seus cargos se encaixam na estrutura geral de riscos e controle da organização, evitando assim debates desnecessários sobre as competências e áreas de atuação de cada um.
Esmiuçando um pouco mais o sistema podemos destacar que a 1ª Linha de defesa da empresa é formada pelos controles de gerência e pelas medidas de controle interno, representando a gestão operacional da gestão de riscos. São chamados de proprietários do risco.
Nessa estrutura os gerentes operacionais são os responsáveis por manter controles internos eficazes, capazes de identificar, avaliar, controlar e mitigar os riscos. Recai sobre eles a responsabilidade por implementar medidas capazes de suprir os defeitos identificados garantindo que as atividades da empresa estejam sempre em consonância com suas metas e objetivos.
Portanto, a primeira linha de defesa é responsável pelos sistemas de integridade, por sua supervisão e manutenção.
Na 2ª Linha de Defesa se encontram as Funções de Gerenciamento de Riscos e Conformidade, que definirão as estratégias de implementação, políticas e procedimentos da 1ª Linha.
Caberá a essa linha da estrutura, precipuamente, facilitar e monitorar a implementação das práticas inerentes, auxiliando os responsáveis a definir suas condutas de acordo com os riscos envolvidos, fornecendo as estruturas necessárias para a 1ª linha, e avaliando o funcionamento da mesma através de testes indicadores a fim de adequar e qualificar os treinamentos.
As atividades de monitoramento da segunda linha podem se estender à modificação dos controles e medidas estipuladas na primeira linha de defesa caso tomem consciência das falhas no plano de controle planejado.
Cabe, por fim, a essa linha, monitorar a não conformidade com as leis e regulamentos inerentes as atividade, devendo reportar tal inconformidade a alta administração bem como, quando cabível, diretamente aos órgãos de governança. Essa fiscalização deve se estender às áreas de saúde, segurança, ambiental, entre outras que tenham funcionalidade na empresa.
Por fim, na 3ª Linha de Defesa temos a Auditoria Interna. Setor já tradicional nas organizações que deve fornecer à alta administração e aos órgãos de governança as avaliações sofre a eficácia e eficiência dos controles internos. O órgão deve ser dotado de independência para que possa relatar de forma fidedigna as ocorrências constatadas.
“Pesquisas têm mostrado que o conselho de diretores e auditores internos concordam que as duas formas mais importantes da auditoria interna prover valor à organização são fornecer avaliação objetiva (objective assurance) de que os maiores riscos do negócio são gerenciados adequadamente e fornecer a avaliação (assurance) de que a estrutura de gerenciamento de riscos e controle interno está operando eficazmente”.[1]
Resumindo, a gerência operacional, 1ª linha, é responsável pelo estabelecimento, organização e funcionamento dos programas, sendo as funções de controle, planejamento e supervisão responsabilidade da 2ª linha de defesa, enquanto a auditoria interna em suas nuances de independência e fiscalização representa a 3ª linha.
As três linhas são um sistema lógico e sequencial que torna a estrutura mais sólida na gestão dos riscos. Essas três linhas, no entanto, podem ser reduzidas em situações excepcionais, principalmente em pequenas empresas onde certas linhas podem ser combinadas. Nesses casos é totalmente possível a extensão dos poderes da auditoria interna, para que seja responsável pela gerencia das atividades de gerenciamento, ou seja, englobando também as responsabilidades da 1ª linha.
DA ANALISE DA GESTÃO INTELIGENTE
Uma gestão inteligente, atualmente, é aquela em que o setor responsável aborda as incertezas e não apenas os riscos, adotando uma postura mais proativa do que reativa em relação às possíveis ameaças.
A integração entre os setores e colaboradores, principalmente no compartilhamento de dados e soluções, de métodos e vocabulários, faz com que a engrenagem funcione de forma harmônica e é essencial para o surgimento de uma cultura de compliance.
Como benefício dessa cultura, terá a empresa uma maior qualidade de informações, a otimização de processos e um ganho na efetividade das soluções de integridade. Funcionando os sistemas de integridade, melhora-se a alocação dos recursos e consequentemente os retornos financeiros e reputacionais aumentam.
A crise de confiança gerada pelos constantes casos de corrupção envolvendo órgãos públicos e grandes empresas abala a confiança do mercado, um mercado que sistemicamente funciona baseado na confiança em seus agentes. O professor Lessig explica como isso se aplica na realidade empresarial:
“Influência, em uma economia de influências, a qual prejudica a EFETIVIDADE DE UMA INSTITUIÇÃO, especialmente debilitando a CONFIANÇA PÚBLICA nesta instituição.” (Lawrence Lessig - Harvard Law School)
A concepção tradicional de gestão de controles internos já se mostra superada, não sendo mais cabível a ideia de auditorias sempre “ex post facto”, ou seja, após o acontecimento do fato, numa postura reativa que não passa mais credibilidade para o mercado. Esse tipo de atitude acaba gerando maiores impactos em termos de aumento de disputas judiciais, já que os fatos já terão acontecido e terão consequentemente seus efeitos, geralmente com repercussão judicial, perante terceiros e perante seus colaboradores punidos.
A continuidade do sistema de integridade por meio das ferramentas corretas como o “risk assessment”, permite um monitoramento contínuo e real das atividades ao contrário do sistema antigo onde as due diligences pontuais revelavam a lógica apenas daquele momento, a chamada lógica do raio-x.
Apesar de ser importante o discurso da alta administração passando credibilidade ao programa de integridade, apenas com seu envolvimento efetivo é que se comprovará esse compromisso. Ponto crucial desse envolvimento é a aplicação das normas e punições igualmente para a base e para o topo da pirâmide organizacional da empresa, “cortando da própria carne” quando necessário. Essa postura faz com que o ideal de compliance ganhe a confiança dos colaboradores.
Empresas com baixa maturidade tendem a relevar infrações da alta direção, o que desestimula os demais e gera desconfiança no programa.
Importante destacar que o processo de compliance é um processo de maturidade empresarial e recaídas ao comportamento anterior fazem parte. O compliance depende do comportamento humano e, independentemente dos processos e políticas implementados, sempre dependerá do comprometimento daqueles.
Portanto, como estratégia de implementação, medida técnica relevante é a substituição de gatilhos de comportamento, premiando mais as condutas que os resultados. Ainda, a criação de parcerias é essencial para fortalecer os relacionamentos entre as áreas naturalmente aliadas (RH, jurídico) e a partir de então fortalecer o relacionamento com áreas sensíveis para que todos busquem um ideal comum de integridade.
Corroborando com esses novos ideais, oficcers que sejam mais criadores de alternativas e soluções do que meros agentes punidores mostra-se essencial para passar a confiança necessária aos colaboradores. Caso o compliance seja visto como uma inquisição, não terá apoio e não se tornará em uma cultura. A nova filosofia empresarial deve ser de educar ao invés de punir.
Uma apuração efetiva deve demonstrar as causas das infrações, se causadas por conduta individual, por ausência da empresa ou, pior, por incentivo da própria empresa. Nesses casos não se pode cobrar o funcionário já que a cultura da empresa impõe esse tipo de atitude.
Essencial também para a efetividade do programa e consequência lógica do envolvimento da alta direção, é a autonomia dos responsáveis. O compliance officer deve ser bem mais que um mero “recomendador”, participando do planejamento e das decisões.
Uma das áreas mais vulneráveis, que sempre deve ser alvo dos programas de compliance é o sistema de pagamentos, que envolve as ordens de compra, liberação de valores, descontos, entre outras relacionadas. O controle estrito do sistema de pagamento impede a transferência de recursos para ações indevidas, prevenindo o mau uso dos mesmos.
Os sistemas de aprovação precisam ser rígidos, porém não podem ser redundantes, porque isso estimula a fraude e o desinteresse dos colaboradores devido à demora e ao desgaste de sua execução.
Por fim, ainda que tudo esteja estruturado, é de suma importância testar os controles regularmente criando simulações no sistema, estimulando o sistema de controle a se manifestar. Essa é a melhor forma de medir a efetividade.
Há uma regra que diz que “quem não mede, não gerencia”, e essa medição se dá com a mensuração das reações tomadas pela empresa ao se deparar com as situações de risco, o que se denomina stress test. A redução dos índices de reincidência é a maior demonstração de efetividade do programa.
Como no Brasil nunca houve um critério claro de avaliação da efetividade dos programas de compliance, buscavam-se padrões internacionais, que não se adequavam perfeitamente à cultura local. A Lei Anticorrupção e sua regulamentação trouxeram algumas certezas acerca dessa estruturação, funcionamento e responsabilidades, iniciando uma nova era na gestão dos controles internos de integridade.
REFERÊNCIA:
Declaração de Posicionamento do IIA – O Papel da Auditoria Interna no Gerenciamento de Riscos Corporativos.