Governança Corporativa em Empresa Estatal

A relevância do fortalecimento das instâncias internas

Especial ao Sollicita

Por Sidney Brito*

Com a edição da Lei n.º 13.303/2016 (Lei das Estatais), que dispõe sobre o estatuto jurídico da empresa pública, da sociedade de economia mista e de suas subsidiárias, no âmbito da União, dos Estados, do Distrito Federal e dos Municípios, várias regras de governança se tornaram obrigatórias, com destaque para a composição e atribuições dos órgãos estatutários (Conselho de Administração, Diretores, Conselho Fiscal, Comitê de Auditoria Estatutário e Comitê de Elegibilidade).

O novo estatuto jurídico, atualmente regulamentado pelo Decreto n° 8.945/2016, também inova ao vincular práticas de governança à Lei nº 6.404/1976 (Lei das S/A), à Lei nº 12.846/2013 (Lei Anticorrupção), às Resoluções da Comissão Interministerial de Governança Corporativa e de Administração de Participações Societárias da União (CGPAR), além de legislações esparsas que tem aplicação no dia-a-dia das estatais federais.

De igual modo, em 22/02/2017, a Secretaria de Coordenação e Governança das Empresas Estatais (SEST) do Ministério do Planejamento, Desenvolvimento e Gestão (MP) disponibilizou modelos de estatutos sociais para auxiliar as empresas estatais federais, que devem internalizar as regras de governança corporativa, práticas de gestão de riscos e de controle interno, entre outros mecanismos de transparência e de gestão, conforme preconiza a Lei de Responsabilidade das Estatais (Lei n° 13.303/16) e o Decreto n° 8.945/16, que regulamenta a lei.

Dos aspectos positivos que podem ser evidenciados no modelo de estatuto em questão, destaca-se a previsão das unidades internas de governança, quais sejam: área de compliance/conformidade e gestão de riscos, auditoria interna e ouvidoria.

O presente estudo busca agregar valor aos modelos de governança em discussão no âmbito das estatais federais, por meio da proposição de atribuições e sinergias entre a auditoria interna, área de conformidade e gestão de riscos e ouvidoria, de modo que possam atuar em consonância ao que prevê o novo estatuto jurídico das estatais, evitando-se sobreposições de estruturas que, ao invés de contribuir para a melhoria da governança e gestão das empresas estatais, geram burocracias desnecessárias que dificultam o atingimento dos objetivos previstos na estratégia de longo prazo (plano empresarial).

De igual modo, busca-se, ainda, com o presente estudo propor um modelo de atuação de funcionamento daqueles órgãos que garanta que, tanto a governança, quanto a gestão pública, atuem de acordo com os princípios constitucionais que regem a Administração Pública, bem assim às regras estabelecidas na Lei n.º 13.303/2016 e o Decreto n.º 8.945/2016.

Nesse sentido, é preciso destacar que governança e gestão são conceitos distintos, pois a governança é o conjunto de regras e práticas que garantem que uma empresa está cumprindo seus deveres com todas as partes interessadas (stakeholders), enquanto que a gestão se traduz no processo geral de tomada de decisões dentro de uma empresa.

De acordo com o Instituto Brasileiro de Gestão Corporativa (IBGC, 2015, p. 20):

Governança corporativa é o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas.

Para o Banco Mundial (Apud TCU, 2014, p. 47), governança diz respeito a estruturas, funções, processos e tradições organizacionais que visam garantir que as ações planejadas (programas) sejam executadas de tal maneira que atinjam seus objetivos e resultados de forma transparente. Busca, portanto, maior efetividade (produzir os efeitos pretendidos) e maior economicidade (obter o maior benefício possível da utilização dos recursos disponíveis) das ações.

Com relação à gestão, o Tribunal de Contas da União (TCU, 2014, p. 31), firma entendimento de que a mesma diz respeito ao funcionamento do dia a dia de programas e de organizações no contexto de estratégias, políticas, processos e procedimentos que foram estabelecidos pelo órgão, preocupando-se com a eficácia (cumprir as ações priorizadas) e a eficiência das ações (realizar as ações da melhor forma possível, em termos de custo-benefício).

Desta forma, a metodologia utilizada na elaboração da pesquisa, que fundamenta este estudo, é a explicativa-experimental, tendo sido realizada, ainda, pesquisa documental considerando tratar-se de tema relacionado à legislação, bem como de levantamento de dados junto a empresas estatais federais, por meio do Sistema Eletrônico do Serviço de Informação ao Cidadão (e-SIC), de maneira a avaliar como as estatais estão estruturando estas áreas em decorrência do prazo previsto na Lei das Estatais para adequação de suas estruturas e processos internos.

DAS INSTÂNCIAS INTERNAS DE APOIO À GOVERNANÇA

Gestão de Riscos

A palavra “risco” deriva do italiano antigo “riscare”, que significa “ousar”.  Entendemos o sentido de “ousar” quando conceituamos “risco” como “algo que pode não dar certo”.

Segundo o Guia para Gerenciamento de Risco Corporativo - IBGC do Instituto Brasileiro de Governança Corporativa (2007, p. 11), o risco pode ser conceituado como a possibilidade de “algo não dar certo” e hoje seu conceito envolve qualificação e quantificação, quando possível, dessa incerteza com relação ao que foi planejado.

Em 2001, o COSO (The Committee of Sponsoring Organizations of the Treadway Comission), comitê criado a partir de membros da Coopers & Lybrand, uma grande firma pública de contadores, solicitou à PricewaterhouseCoopers que desenvolvesse uma estratégia para gerenciar riscos corporativo, surgindo assim o documento chamado Enterprise Risk Management – Integraged Framework, que em 2007 foi traduzido para o português e publicado com o título “Gerenciamento de Riscos Corporativos – Estrutura Integrada”.

Segundo SOUZA e BRASIL (2016, p. 24) o modelo do COSO é predominante no cenário corporativo internacional e também foi recepcionado por entidades como Banco Mundial, BID e INTOSAI (órgão Internacional fiscalizatório do setor governamental).

O conceito de gerenciamento de riscos para o COSO ERM (2006, p. 13) consiste:

Processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.

Em 2016, a Corregedoria Geral da União e o Ministério do Planejamento, Orçamento e Gestão, através da IN N° 01, determinaram aos órgãos e entidades do Poder Executivo Federal, a adoção de medidas que sistematizam práticas relacionadas a gestão de riscos, controles internos e governança, tendo por base a identificação, avaliação e o gerenciamento dos riscos que possam impactar na consecução dos objetivos estabelecidos.

De igual modo, a Lei n.º 13.303/2016 também asseverou como obrigatória a instituição de práticas de gestão de riscos e sua supervisão pela alta administração. É o que se depreende da leitura do artigo 6o daquele instituto legal, ora transcrito:

Art. 6o  O estatuto da empresa pública, da sociedade de economia mista e de suas subsidiárias deverá observar regras de governança corporativa, de transparência e de estruturas, práticas de gestão de riscos e de controle interno, composição da administração e, havendo acionistas, mecanismos para sua proteção, todos constantes desta Lei. 

Tal gestão se inicia com a definição dos objetivos institucionais da organização, cabendo ao gestor iniciar o seu processo de Gestão de Riscos que, de acordo com a ABNT ISO 31000 (2009, p. 2), significa “atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos”.

De acordo com IBGC (2007, p. 12), a gestão de riscos corporativa é um instrumento de tomada de decisão da alta administração para a melhoria o desempenho da organização identificando oportunidades de ganhos e reduzindo a probabilidade e/ou impacto de perdas.

O processo de gestão de riscos segue as seguintes etapas:

  1. Identificação de eventos, cujo objetivo é identificar eventos que influenciem no cumprimento dos objetivos da organização, classificando-os em riscos e/ou oportunidades;
  2. Avaliação, ou seja, determinar o seu efeito potencial, considerando sua probabilidade de ocorrência e o impacto que este pode causar ao seu processo;
  3. Estratégia de Resposta, que se traduz na seleção da melhor estratégia de resposta de acordo com o apetite ao risco da organização.
  4. Monitoramento, que tem a função de verificar e supervisionar os controles e suas eficácias acompanhando o surgimento de novos riscos ou alterações dos riscos já avaliados para mantê-los no nível esperado;
  5. Informação que significa comunicar informações relevantes durante todo o processo de gestão de risco para que pessoas cumpram suas responsabilidades
  6. A comunicação deve permear todos os níveis da organização de forma clara. Também deve existir uma comunicação clara com as partes externas, como clientes e fornecedores.

Ainda sobre as estratégias de resposta mencionada na letra “c” do parágrafo precedente, SOUZA e BRASIL (2016, p. 76) conceituam:

  1. Evitar é descontinuar uma atividade, política pública, unidade de negócios, segmento geográfico, ou ainda a decisão de não empreender novas atividades que originem riscos.
  2. Transferir ou compartilhar pode ser através de seguros ou fiança bancária, onde o poder público transfere parte do risco para esta seguradora ou ainda através da terceirização do serviço, onde o compartilhado o risco trabalhista do serviço;
  3. Reduzir ou mitigar é implementar controles internos visando à diminuição da probabilidade de ocorrência de um risco ou o seu impacto e;
  4. Aceitar ou não adotar nenhuma providência com relação ao risco avaliado. Entende-se que nesta situação o risco está dentro do apetite a risco da organização.

Para definir a melhor estratégia de resposta a ser adotada, a organização deve avaliar seu custo e benefício. Cabe a organização detalhá-las, transformando em um plano de ação para acompanhamento, com prazos e responsáveis.

Controles Internos

Os componentes de controle interno da gestão, destacados na IN n° 01/CGU-MP, para definir qual o enfoque necessário para a estrutura de controle interno dos órgãos e entidades do setor público, são: ambiente de controle; avaliação de risco; atividades de controles internos; informação e comunicação; e monitoramento.

Para DIAS (2010, p. 5), o sistema de controles internos que uma organização adota representa o conjunto dos procedimentos e atos para a segurança da entidade e o atingimento dos seus objetivos.

Assim, controles internos representam um processo integrado realizado, tanto pelos dirigentes da organização, como pelos funcionários, e é estruturado para enfrentar os riscos e garantir razoável segurança para que, na consecução da missão da entidade, os objetivos gerais e estratégicos sejam alcançados.

A INTOSAI (Organização Internacional de Entidades Fiscalizadoras Superiores) publicou em 2004 a revisão das Diretrizes para Normas de controle Interno do Setor Público (INTOSAI, 2004), onde buscou o alinhamento da definição de Controle Interno ao COSO:

Controle interno é um processo integrado efetuado pela direção e corpo de funcionários, estruturado para enfrentar os riscos e fornecer razoável segurança de que na consecução da missão da entidade os seguintes objetivos gerais são alcançados:

  • Execução ordenada, ética, econômica, eficiente e eficaz das operações;
  • Cumprimentos das obrigações de accountability;
  • Cumprimento das leis e regulamentos aplicáveis;
  • Salvaguarda dos recursos para evitar perdas, mau uso e dano.

Segundo SOUZA e BRASIL (2016), os controles existem com a finalidade de garantir que o poder público atue em total observância aos princípios da legalidade, moralidade e eficiência buscando sempre a qualidade dos serviços prestados para a população e a conformidade dos atos da gestão.

Pelas definições apresentadas, entendemos hoje que o Controle Interno não é apenas um documento, mas sim uma série de ações integradas que permeiam todos os processos, atividades, projetos de modo coerente e contínuo.

Avaliando o controle é possível embasar as recomendações e a determinação de plano de ação que visem à melhoria do processo organizacional, e direcionar procedimentos e exames de auditoria com mais precisão, de acordo com a confiabilidade dos controles que mitigam os riscos do objeto de auditoria.

As Três Linhas de Defesa e Avaliação dos Controles

Hoje já existem práticas que ajudam a organização a delegar e coordenar as tarefas de Gerenciamento de riscos. O Modelo de Três Linhas de Defesa estabelece papéis e responsabilidades essenciais aprimorando a comunicação do gerenciamento de riscos e controles.

O Instituto dos Auditores Internos demonstra o funcionamento do Modelo das Três Linhas de Defesa utilizando a seguinte figura:

 

Figura 01

Fonte: Adaptada da Guindace on the 8th EU Company Law Directive da ECIIA/FERMA, artigo 41

Neste modelo, diferencia-se três linhas, ou grupos responsáveis diretos pelo gerenciamento de risco eficaz:

  • Gestores, que gerenciam e têm propriedade sobre riscos;
  • Áreas e controles que supervisionam riscos auxiliando no desenvolvimento de processo e controles; e
  • Auditoria Interna que avalia a eficácia dos controles implantados.

Em dezembro de 2016, com a publicação da Lei das Estatais e do seu decreto regulamentador, se tornou obrigatória a instituição das linhas de defesa, conforme já transcrito, consoante disposto no artigo 9º [1]daquele diploma legal.

Compliance/Conformidade e Integridade

O termo origina-se do verbo em inglês “to comply”, que significa “cumprir, executar, satisfazer, realizar o que lhe foi imposto”, ou seja, compliance é o dever de cumprir, estar em conformidade e fazer cumprir regulamentos internos e externos impostos às atividades da instituição.

Essa ideia é corroborada por COIMBRA e BINDER (2010, p. 2) que afirmam:

Compliance é o dever de cumprir, de estar em conformidade e fazer cumprir leis, diretrizes, regulamentos internos e externos, buscando mitigar o risco atrelado à reputação e o risco legal/regulatório.”

Pode-se dizer que o sentido literal e o fim em si mesmo do Compliance é “estar em conformidade com”, obedecer, satisfazer o que foi imposto, comprometer-se com a integridade.

No âmbito corporativo, uma Organização “em Compliance” é aquela que, por cumprir e observar rigorosamente a legislação à qual se submete e aplicar princípios éticos nas suas tomadas de decisões preserva ilesa sua integridade e resiliência, assim como de seus colaboradores e da Alta Administração.

No tocante à integridade, resume-se como a capacidade da organização de agir em consonância com sua visão e missão. Uma organização íntegra é aquela que consegue manter, em cada decisão, atividade ou ação, coerência e conformidade com os seus princípios e valores. Já a resiliência, por outro lado, reflete a capacidade da Organização de se recuperar e reagir sempre que sua integridade for ameaçada, diante de situações de alta criticidade.

ASSI (2013, p. 30) afirma que a função de compliance é um novo estilo de trabalho no qual é importante saber fazer as coisas da maneira correta e incentivar que todos na organização possam cumprir as leis, as políticas e os procedimentos.

Segundo COIMBRA e BINDER (2010, p. 1), a origem da função de compliance está nas instituições financeiras, que se converteu em requisito regulatório. Além disso, outros fatos relevantes no cenário mundial, tais como o ato terrorista nos EUA em 2001 e os escândalos financeiros em Wall Street em 2002, despertaram para a necessidade de regulamentações ainda mais efetivas e rapidamente aplicáveis em todos os países, buscando gerir os riscos aos quais as instituições estão sujeitas. Outros escândalos de governança contribuíram para a necessidade de maior conformidade e padrões legais e éticos de conduta como os casos do Banco Barings, Enron, WordCom, Parmalat e Siemens.

Com isso, as Organizações foram compelidas a iniciar um ciclo de mudanças, com reestruturações estratégicas, organizacionais e tecnológicas, além de reciclagem constante, buscando uma otimização do recurso humano, incrementando o treinamento e fortalecendo a “Política de Controles Internos” e o “Código de Ética e Normas de Conduta”, entre outras.

Diante do exposto, para estar em conformidade com as regras a ela aplicáveis, de modo a garantir sua integridade e resiliência, não basta que a organização preveja em sua visão e missão a adoção de uma conduta ética e espere passivamente que a totalidade de colaboradores a observarão em todas as suas atividades, todo o tempo. É, neste contexto, que um número cada vez maior de Organizações vem adotando os chamados “Programas de Compliance”.

Vale salientar que os processos de negócios devem ser baseados no sistema de controle interno (normas, procedimentos, sistemas e pessoas) e na gestão de compliance, além de evidenciar a importância da segurança da informação e gestão de riscos. Sendo assim, vale salientar que estas quatros atividades são responsáveis pela gestão da eficiência do negócio e a auditoria responsável pela validação da eficácia, portanto temos aqui os principais pontos de controle e governança a serem evidenciados.

Essa ideia é corroborada por ASSI (2017, p. 33) ao afirmar que:

A gestão de compliance fica muito mais efetiva quando ganha corpo na gestão dos negócios, agregando parcerias, pois, sozinha dificilmente contemplará toda a organização e, tendo em vista que não é somente uma questão de gerenciamento de normas e procedimentos, transcende a tudo isso. Hoje as áreas de controles internos, compliance, risco, segurança da informação, auditoria devem buscar uma sinergia para que os processos agreguem resultados efeitos na organização.

Por fim, vale ressaltar que, segundo COIMBRA e BINDER (2010, p. 40), a função de compliance envolve a avaliação de todas as normas, procedimentos, controles e registros que compõem o ambiente de controles internos, visando verificar e garantir que estão funcionando adequadamente para prevenir e mitigar os riscos inerentes às atividades exercidas pelas organizações.

*Sidney Brito é Superintendente de Gestão de Risco e Compliance da Infraero e Pós-graduado em Gestão de Logística na Administração Pública pelo Centro Universitário do Distrito Federal – UDF.

 

CONFIRA O ARTIGO COMPLETO NA REVISTA "GOVERNANÇA PÚBLICA" - EDIÇÃO DE NOVEMBRO! (Clique aqui e saiba como ler)

 


[1] Art. 9o  A empresa pública e a sociedade de economia mista adotarão regras de estruturas e práticas de gestão de riscos e controle interno que abranjam: 

I - ação dos administradores e empregados, por meio da implementação cotidiana de práticas de controle interno; 

II - área responsável pela verificação de cumprimento de obrigações e de gestão de riscos; 

III - auditoria interna e Comitê de Auditoria Estatutário. 

 

Já sou assinante >

Para continuar lendofaça sua assinatura e tenha acesso completo ao conteúdo.

ASSINE AGORA Invista na sua capacitação a partir de R$ 47,90 mês.

Complementos

CGU lança manual para avaliação de Programas de Integridade

> Visualizar

TCU orienta sobre governança nas aquisições em saúde

> Visualizar

Comentários

Nenhum comentário até o momento

15 dias com preços  e condições de 2018!
R$ 47,90/mês por R$19,90/mês

f

SÓ HOJE!!!

EU QUERO!