Em 2015, o The Committe of Sponsoring Organizations – COSO, publicou um documento com o título de “Utilizando o COSO através das Três Linhas de Defesa”. O documento é disponível de forma gratuita e pode ser baixado no COSO website.
De forma objetiva e para quem não atua na área de controles internos, o COSO é uma organização sem fins lucrativos, dedicada a melhoria dos relatórios financeiros, sobretudo pela aplicação da ética e efetividade do cumprimento dos controles internos e é patrocinado pelas cinco das principais associações de classe de profissionais ligados à área financeira nos EUA.
Em decorrência da globalização e padronização internacional das técnicas de auditoria, as recomendações do COSO, relativas aos controles internos, bem como seu cumprimento e observância, são amplamente praticados e tidos como modelo e referência no Brasil e na maioria dos países do mundo.
Voltando ao documento, os autores relatam que foi uma colaboração entre o COSO e o Institute of Internal Auditors – IIA com sede na Flórida ( EUA) e que possui o seu representante no Brasil, sendo o Instituto dos Auditores Internos do Brasil – IIA Brasil.
O objetivo do documento é de ajudar as organizações a aperfeiçoarem as suas estruturas de governança, mapeando os princípios de controles internos do COSO através das 3 linhas de defesa introduzidas pelo IIA. Isso pode contribuir na melhoria da eficácia dos sistemas de gerenciamento de riscos, por meio de uma melhor comunicação entre as áreas de gerenciamento de riscos com as áreas de controles. Assim, para atingir isso, o meio pelo qual o documento se esforça, é descrevendo os papéis e os deveres básicos das estruturas de gestão de riscos e de controles.
Em linha com o pensamento de gerenciamento de riscos contemporâneo e com os objetivos do COSO, o documento coloca a realização dos objetivos organizacionais no topo das prioridades de cada organização e destaca os eventos e as circunstâncias potenciais que possam ameaçá-los. Isto também é relacionado aos riscos que surgem como resultado desses eventos potenciais, juntamente com sua identificação, avaliação e controle. Estes pontos constituem a base do COSO, porém um ponto que não faz parte, é endereçar quem deverão ser os responsáveis para os deveres específicos delineados. As 3 linhas de defesa, dizem os autores do documento, podem preencher as lacunas e ajudar a colocar os papéis no COSO.
O artigo descreve então o modelo de 3 linhas de defesa explicando como ele identifica as principais funções de controle e risco. Todas as 3 linhas de defesa compartilham o mesmo objetivo final, de ajudar a organização a alcançar seus objetivos com gerenciamento efetivo do risco. Cada linha tem seus próprios papéis e responsabilidades únicas, mas elas devem compartilhar informações e coordenar os esforços em risco, controle e governança.
As três linhas de defesa estão descritas da seguinte forma:
Primeira linha de defesa
Esta é a responsabilidade direta alta administração executiva e operacional, os principais “proprietários” de riscos e dos métodos usados para gerenciá-los. Suas atividades incluem a definição de:
• Controles de gestão; e
• Medidas de monitoramento interno.
Segunda linha de defesa
A segunda linha também está sob a responsabilidade da alta administração, mas é apropriado que seja executada por outros, que terão alguma independência enquanto ainda informam principalmente a alta administração. Eles definirão a estratégia de implementação, incluindo políticas e procedimentos, serão responsáveis pela conformidade e têm experiência em gerenciamento de riscos e de controles. Enquanto a primeira e a segunda linha têm diferentes responsabilidades de risco, é essencial que eles compartilhem informações e trabalhem em equipe. As atividades de monitoramento da segunda linha podem se estender a modificação dos controles e as medidas estipulados na primeira linha de defesa, se eles tomarem consciência das falhas no plano de controle planejado. A segunda linha de defesa podem incluir as atividades de:
• Controles internos;
• Segurança da informação;
• Gestão Integrada de Riscos;
• Qualidade;
• Supervisão interna; e
• Compliance.
O tamanho e a natureza da organização determinarão a complexidade das funções acima.
Terceira linha de defesa
A terceira linha de defesa é uma garantia final e, por isso, naturalmente, cai no domínio da auditoria interna. Deve permanecer independente e objetiva, esperando um maior grau de separação da terceira linha com a primeira e segunda linhas de defesa.
Após as visões gerais do COSO e do modelo das 3 linhas de defesa, o documento propõe como alavancar o COSO nas 3 linhas de defesa. Ele faz isso através de uma série de tabelas, uma para cada um dos 17 princípios do COSO.
Em cada tabela, são sugeridas atividades específicas para cada linha de defesa, como sendo apropriadas para o princípio do objetivo COSO. O Princípio 1, por exemplo, lista 3 atividades para a primeira linha de defesa, 1 atividade para a segunda linha de defesa, 4 atividades para a terceira linha e outras 2 atividades para ‘outro’, que podem se referir ao quadro ou a uma auditoria externa ou função reguladora.
Aqui estão alguns exemplos: uma das 3 atividades para a primeira linha de defesa é “Implementar objetivos, programas e atividades relacionados à ética” e parte da atividade para a segunda linha é que os membros podem ser solicitados a investigar erros, integridade e valores éticos. A terceira linha de defesa inclui uma avaliação do “clima ético” da organização e uma das “outras” atividades relaciona-se ao conselho, colocando a responsabilidade nele para estabelecer um “tom efetivo no topo”.
E como as cooperativas financeiras podem tirar proveito do documento citado?
As cooperativas financeiras no Brasil, tem desafios relevantes para serem superados nas áreas de gestão de riscos, compliance e controles internos, assim como, de um novo delineamento das atividades de supervisão realizadas pelas cooperativas centrais, especialmente com a implementação, a partir de 2017, da auditoria cooperativa.
Recentes regulamentações do Conselho Monetário Nacional, desafiam as cooperativas financeiras a mudarem de patamar e caminharem para um maior grau de amadurecimento na governança das suas estruturas e atividades de gestão de riscos e controles.
A Resolução CMN 4.557/17 que trata da Gestão Integrada de Riscos (GIR) e a recente Resolução CMN 4.588/17 que trouxe uma melhor definição da auditoria interna como terceira linha de defesa, são temas que deverão ser debatidos pelas cooperativas financeiras nos próximos meses. Sem contar os antigos, mas sempre atuais desafios, trazidos pela Resolução CMN 4.434/15, quando define as atividades de supervisão das cooperativas centrais e da Resolução CMN 2.554;98 que trata do sistema de controles internos.
O documento divulgado pelo COSO citado neste artigo, pode servir de pano de fundo para que as cooperativas financeiras se apoiem em melhores práticas, quando se debruçarem para estudo dos temas citados. As cooperativas financeiras poderão ganhar em eficácia e eficiência nos processos de reorganização dos papéis a das estruturas de gestão de riscos e de controles.
Em resumo, o documento é direto e fácil de ler. Se você já é familiarizado com as três linhas do modelo de defesa, você provavelmente terá uma boa compreensão das ideias apresentadas ao ler o resumo executivo, a conclusão e algumas das tabelas no apêndice.
Alexandre Euzébio Silva – Contador e especialista em auditoria, controles internos e gestão de riscos no segmento de cooperativas financeiras e autor do livro “Auditoria das Demonstrações Contábeis em Cooperativas de Crédito.