Atuando em conjunto, o compliance e a auditoria possuem um grande potencial não apenas de garantir a qualidade e a conformidade dentro de uma empresa, mas também de antever ameaças externas e apontar oportunidades de crescimento/melhoria
Hermínio Gonçalves (*)
Auditoria e compliance andam de mãos dadas, mas não são a mesma coisa. Compliance engloba todas as políticas e procedimentos criados para que uma empresa possa compactuar com legislações, regulamentações e normas (tanto externas quanto internas). Já a auditoria é a prática de averiguar se tudo isso está funcionando corretamente. Assim, ela ajuda a identificar irregularidades e pontos de melhoria.
Porém, mesmo sendo um tema tão importante, muitas corporações ainda têm dificuldades na hora de implementar uma política de compliance e auditoria que seja verdadeiramente produtiva.
Como o compliance pode ajudar a sua empresa
A auditoria e o compliance atuando em conjunto possuem um grande potencial de não apenas garantir a qualidade e a conformidade dentro de uma empresa, como também antever ameaças externas e apontar oportunidades de crescimento/melhoria.
Um programa de compliance permite mapear fraquezas e evitar falhas que prejudicariam não somente a produção em si, mas também a reputação de uma empresa e até mesmo o bem-estar de seus clientes.
Além disso, essa prática ajuda a atualizar práticas, processos e rotinas facilmente para que se adequem a novas normas e regulamentações que surgem todo o dia.
Estar sempre atualizado com o mercado e até mesmo antever necessidades e mudanças é justamente um grande desafio que fica mais fácil com uma política de compliance.
Isso será cada vez mais vital para companhias que buscam se destacar no mercado. Segundo estudo da KPMG, setores de compliance e auditoria precisam ter atenção com fatores como macroeconomia, geopolítica e até mesmo tecnologia.
Cinco passos para começar uma boa política de compliance
Mas, na prática, como isso funciona? Cada companhia precisa desenvolver um programa de compliance de acordo com suas necessidades e, assim, adotar práticas e controles que asseguram conformidade com elas.
No entanto, existem boas práticas gerais:
1 – Códigos e políticas de condutas
O primeiro passo para definir uma boa política de compliance é criar um código de conduta. Ele precisa ter todas as regras e diretrizes que os funcionários devem seguir;
2 – Programas de treinamento e educação
Depois de criar a política de condutas, é hora de colocá-la em prática. E o primeiro passo para isso é justamente garantir que as normas sejam conhecidas por todos e, além disso, que as pessoas saibam o que, como e quando fazer com relação a elas. Para isso, é essencial criar treinamentos, qualificações e workshops envolvendo não somente as equipes de controle de qualidade, auditoria e compliance, mas também de todas as outras áreas;
3 – Auditoria, monitoramento e controle internos
É preciso garantir que aquilo que foi estabelecido nas políticas e ensinado nos treinamentos esteja sendo aplicado e que todo esse material esteja atualizado e relevante. Realizar revisões regulares para avaliar a eficácia das políticas de compliance é importante para identificar o que precisa de alguma melhoria ou atualização;
4 – Canais de denúncia
É essencial que o programa de compliance tenha canais de denúncia para que colaboradores, fornecedores e outras partes interessadas possam registrar a ocorrência de irregularidades;
5 – Investigação e solução de irregularidades
Por fim, vale ressaltar que de nada adianta ter canais de denúncia se não forem tomadas atitudes em relação ao que for reportado. Crie procedimentos para investigar e, caso necessário, lidar com eventuais violações de compliance;
Para medir se todo esse esforço está dando certo e qual o nível de sucesso (ou fracasso), existem os indicadores de compliance. Eles podem ser quantitativos ou qualitativos, embora o mais recomendado seja escolher uma mistura de ambos.
Eles atuam como todas as outras Métricas de Sucesso (ou KPIs, na sigla em inglês) da sua empresa: são resultados que indicam a performance, só que nesse caso referente à política de compliance.
Qual a diferença entre compliance e auditoria interna?
O compliance engloba todas as diretrizes, atividades, indicadores de resultado e normas que buscam garantir a conformidade, que pode ser de acordo com normas internas, normas externas (como ISO 27001) ou ambas.
Já a auditoria não é a responsável por criar diretrizes e normas, mas sim por avaliar a qualidade e efetividade delas. Ou seja, primeiro uma empresa cria sua política de compliance, depois são realizadas auditorias (que podem ser internas ou realizadas por órgãos externos) que analisam e avaliam essa política e seus desdobramentos.
O objetivo principal é descobrir se todas as atividades, documentações, produtos e demais processos de uma companhia estão de acordo com as leis e diretrizes aplicáveis ao negócio.
A união entre auditoria e compliance tem a capacidade de não apenas evitar problemas, mas também de potencializar as boas práticas de uma empresa.
Os benefícios dessa prática variam de acordo com as definições estabelecidas no sistema de compliance de cada corporação, assim como com as atividades realizadas e normas que devem ser seguidas. Mas três são recorrentes: identificar riscos, falhas e oportunidades de melhoria; garantir a conformidade; e impulsionar a eficiência da operação.
Quais são os tipos de auditoria?
Uma auditoria pode ser classificada de acordo com a instituição que a realiza. Ela pode ser interna, quando é feita pela própria empresa, ou externa, quando é feita por outra companhia especializada nisso.
Além dessas duas formas, é possível classificar uma auditoria de acordo com a área/equipe a ser auditada. Nesse sentido, há uma variedade muito grande de auditorias. Algumas das mais comuns são:
Auditoria de qualidade – Avalia os processos operacionais ligados ao controle e gestão. O objetivo é garantir que todo produto/serviço produzido pela empresa siga os padrões de qualidade estabelecidos;
Auditoria de gestão – Tem foco na revisão das práticas de gestão, como políticas, estratégias e procedimentos. Esse tipo de auditoria avalia se tudo está alinhado com os objetivos estratégicos da empresa, com aplicação eficiente;
Auditoria contábil – É a auditoria que revisa e fiscaliza registros e procedimentos do patrimônio financeiro da empresa. Dessa forma, garante a confiabilidade e integridade das movimentações e dos registros financeiros;
Auditoria de sistemas – Focada em segurança cibernética, essa auditoria avalia a integridade e a confidencialidade da estrutura de TI, dos sistemas e dos softwares usados pela empresa.
Depois de todas essas informações, talvez ainda haja uma dúvida: como fazer isso tudo de um jeito mais simples e ágil sem perder segurança? A tecnologia é uma enorme aliada nessa tarefa. Com um sistema de gestão da qualidade, é possível automatizar uma série de tarefas, digitalizar processos e atualizar facilmente suas políticas, diretrizes e controles por meio da administração de documentos, gerenciamento de mudanças e impacto das normas e integração de auditorias, riscos, controles, processos e documentos.
(*) CEO da SoftExpert Brasil