Por diversas vezes tenho sido questionado pelas organizações (e também pelos auditores) sobre qual é o papel da auditoria interna no processo de‘compliance’ corporativo. Minha resposta, que algumas vezes cria discussões, é que o papel da auditoria continua o mesmo: fazer a avaliação dos processos de gestão, nada foi alterado.

Entendo que o termo “compliance”, após a promulgação da Lei Anticorrupção, esta mais presente nas agendas da alta administração, contudo nada disso é novo e não deveria causar nem surpresa ou espanto. O que acontece é que as empresas, na figura de seus gestores, sempre deixaram este tema de lado, como também acontece com o sistema de controles internos ou com o processo de gerenciamento de riscos.

Antes de continuar, precisamos entender que, em essência, o termo ‘compliance’ significa estar em conformidade com algum padrão ou critério, que pode ser uma lei, norma, regulamento, política, melhores práticas e qualquer outro paradigma.

Estar em conformidade é uma atitude, não é um sistema, programa ou muito menos uma política especifica. Estar em conformidade é um conjunto de ações que permeia todos os níveis hierárquicos de uma corporação.

A alta gestão participa neste processo definindo as políticas operacionais, incluindo os códigos de ética e conduta, liderando sua aplicação e seu cumprimento. Ela define o “tom” para toda a organização, através do seu irrestrito comprometimento com a ética e com as melhores práticas.

Os gestores e tomadores de decisão devem, por sua vez, nortear as atividades e processos pelos quais são responsáveis, observando a aplicação e o cumprimento das políticas, leis, normas, regulamentos e melhores práticas nas diversas atividades de transação.

Então, fica claro que a responsabilidade sobre o processo de ‘compliance’ é dos gestores e principalmente da alta gestão, não há dúvidas sobre isso!

Outro ponto importante a mencionar é que o sistema de controles internos tem, entre outros, o objetivo de permitir que a organização esteja em ‘compliance’ com leis, normas, regulamentos, políticas e procedimentos. O controle interno é uma resposta ao risco de não conformidade do qual a empresa esta exposta. Lembro que a alta administração e os gestores também são responsáveis pelo gerenciamento de riscos e por esse sistema.

Ou seja, podemos afirmar que a auditoria interna não é responsável nem pelo processo de“compliance”, controle interno ou gestão de riscos corporativos.

Então, qual é o papel da auditoria interna?

Para responder vamos rever, de forma resumida, o conceito de auditoria interna segundo o Instituto dos Auditores Internos (IIA):

“Auditoria interna é uma atividade independente e objetiva que tem por finalidade agregar valor à organização, através de trabalhos de avaliação e consultoria. Ela se utiliza de um processo disciplinado e sistematizado para avaliar os processos de governança, gerenciamento de riscos e controles internos”.

Agora fica claro que a auditoria interna tem como objetivo fundamental avaliar se a corporação, através do processo de gerenciamento de riscos, conhece e administra seus principais riscos e se o sistema de controle interno é suficiente para mitigar ameaças operacionais, incluindo os riscos de conformidade.

Nesse contexto, a auditoria interna realiza dois tipos básicos de avaliação: Auditoria de regularidade e de desempenho, também conhecida como operacional.

Na de regularidade, avalia se as transações foram realizadas em conformidade com as leis, normas, regulamentos, políticas e procedimentos. Já na auditoria de desempenho, analisa, com base nos riscos envolvidos, se os processos de transação contam com controles internos para mitigar os riscos inerentes, conformidade, TI e fraude.

Desta forma, posso concluir que o papel da auditoria interna no processo de ‘compliance’ é avaliar se a organização esta realizando a gestão dos riscos e controles internos efetivamente, identificando oportunidades e recomendando as melhorias necessárias.