As boas práticas de governança corporativa orientam que tão importante como avaliar a 1º linha de defesa da organização (riscos do negócio), é a avaliação dos demais órgãos de governança (2º e 3º linhas de defesa) considerando os riscos atuais e potenciais riscos futuros das instituições.
- A primeira linha de defesa é a avaliação dos riscos do negócio; esta avaliação, a priori, deve ser feita e monitorada pelos Gestores da linha de frente das áreas: crédito, cobrança, compras, vendas, linha de produção, etc),
- A segunda linha de defesa é a que monitora as atividades executadas pelos Gestores e suas respectivas áreas. São a segunda linha de defesa: o compliance, a controladoria, os indicadores de performance e qualidade, contabilidade, dentre outras)
- A terceira linha de defesa é a avaliação da auditoria interna, com independência de reporte em Comitês, e pode ser externa, que é executada por auditores independentes realizando serviços de auditoria interna, auditoria externa, órgãos reguladores e Comitês diversos.
O adequado relacionamento destas três linhas de defesa é primordial para a definição da maturidade do sistema de controles internos das organizações e devem estar claramente evidenciadas, monitoradas e testadas nos PCN´s – Planos de Continuidade de Negócios das empresas.
No momento da quarentena pelo COVID 19 recomendada pelos órgãos de saúde, nacionais e internacionais, muitas empresas estão operando com os procedimentos esperados em um PCN, independentemente se este PCN:
– está formalizado e foi idealizado e testado no momento e de forma correto e oportuna ou
–é informal e foi implementado com a necessidade imediata de sobrevivência do negócio.
Evidente que o formal e testado tende a ser muito mais eficiente e seguro para a Organização do que o informal e emergencial.
Não há dúvidas que tanto em um PCN formal quanto informal, todas as áreas das empresas estão sendo colocadas à prova para a manutenção dos cenários de riscos traçados (mesmo que não formais e registrados em matrizes de riscos e controles) por estas mesmas áreas (linha de defesa primeira acima explicada).
Questões básicas, que você pode fazer ao seu negócio:
- A qualidade, produtividade e segurança das atividades do dia a dia estão sendo feitas no mesmo padrão que estariam sendo feitas no ambiente do escritório?
- Como está a segurança dos dados e informações?
- Nosso Código de Conduta, e demais políticas de compras, anticorrupção, de PLD, plano de alçadas, estão sendo seguidos semelhante se as atividades estivessem sendo feitas em nosso escritório?
- O PCN atual da empresa – formal ou não – está sendo executado? A empresa ‘’está rodando’’? Tenho certeza de que a eventual ampliação do tempo de atividade remota (home office) não irá comprometer a operacionalidade atual?
- As leis com vigência futura, como por exemplo a LGPD, que entra em vigor em 01.01.2021, serão adequadamente cumpridas?
- As atividades de Compliance e Auditorias Interna e Externa estão sendo executadas com o mesmo rigor que estariam se as atividades fossem executadas no ambiente do escritório?
- As leis de países relacionadas aos meus negócios não serão afetadas com as atividades que estão sendo executadas neste período de crise, tais como FATCA, GDPR, FCPA e outras?
- Estamos preparados para a provável volta ou descompasso da economia do país?
- Os futuros gestores herdarão uma empresa e ambiente de trabalho igual ou melhor do que o que tínhamos antes da pandemia?
- Estamos preparados para os efeitos internacionais que tendem a acontecer durante e após o esperado fim da pandemia, como novos concorrentes, novos capitais, novos investidores?
- A mudança de hábitos, costumes e novas tecnologias, esperados para o pós pandemia, serão adequadas e oportunamente absorvidos pela empresa?
- Os três grandes pilares de um adequado PCN, que deve ser precedido pelo BIA – Business Impact Analyses, são claramente entendidos pelos Gestores “core” da empresa? São os três pilares: 1. decisão de entrar em contingência; 2. administrar a contingência e seus efeitos e 3. retornar à vida normal com adequada atualização das bases de dados e procedimentos.
Se você entender que a resposta a qualquer destas questões seja “não” ou “talvez”, não hesite em procurar a IAUDIT. Estamos aqui para auxiliá-lo.
Esta fase certamente passará e sairemos muito mais fortes, mas é inevitável avaliarmos que muitos riscos negativos poderão ser materializados e que poderiam ser evitados se as organizações investissem algum tempo e esforço em controles, mapeamentos, verificação de procedimentos, como por exemplo do programa de integridade, do PCN, enfim, sem perder o foco das atividades principais, evidentemente!
Rodrigo Abbruzzini