Obtendo um padrão de excelência na gestão dos controles internos através da aplicação dos conceitos do COSO ICF – Internal Control Framework, para as empresas atuantes no mercado de seguros e resseguros.

O mercado de seguros e resseguros tem por força de regulamentação (Circular SUSEP 249/04, alterada pela Circular SUSEP 363/08) implantar e manter os controles internos, independente do porte da sociedade e/ou da entidade; além disto, os controles internos devem ser efetivos e consistentes com a natureza, complexidade e riscos das operações realizadas pela entidade.

As normas também definem que é de responsabilidade da diretoria da sociedade, do ressegurador local, da entidade e/ou do representante do ressegurador admitido, a definição das atividades e os níveis de controle para toda a operação.

Ainda, a alta administração, deverá estabelecer os mecanismos necessários de controles e seus procedimentos, verificar sistematicamente a adoção e o cumprimento dos procedimentos adotados, avaliar continuamente os diversos tipos de riscos associados às suas atividades, acompanhar e implementar uma política de conformidade de procedimentos com base na legislação aplicável, revendo-a semestralmente, e por último, deve implementar uma política de prevenção a fraude.

Por sua vez, a Circular SUSEP 280/04 estabelece procedimentos mínimos, a serem observados no relatório circunstanciado, sobre a adequação dos controles internos da entidade, quanto à sua eficiência e eficácia em relação aos riscos associados. Pois bem, independentemente das normas e regulamentos vigentes, as boas práticas de governança corporativa, indicam que as organizações tenham um processo estruturado e integrado de gestão de seus riscos corporativos e para que isto seja uma realidade, se faz necessário contar com um robusto sistema de controles internos.

Para que isto seja uma realidade, é muito importante contar com uma estrutura que sirva de paradigma, que seja a base para a modelagem dos controles internos e para a avaliação da eficiência e eficácia do sistema. A estrutura COSO ICF – Internal Control Framework, publicado pelo The Committee of Sponsoring Organizations of the Treadway Commission, é um dos padrões mais aceito no mundo, por isso, recomendamos sempre que as organizações, mesmo não estando sobre a égide da Lei Sarbanes-Oxley, se utilize dela para estruturar o seu sistema de controles internos.

Segundo o COSO, controles internos é um processo desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da empresa nas seguintes categorias:

• Operacional – Diz respeito à eficiência e efetividade dos processos de negócio,
• Reporte - Integridade das informações, financeira e/ou não financeiras,
• Conformidade – aderência com Leis e regulamentos.

Com isto em mente, podemos compreender que controle interno é um processo, não uma atividade única, ele não é absoluto, e auxilia a empresa a atingir seus objetivos.

Esta estrutura trabalha com cinco componentes: Ambiente de controle, avaliação de riscos, atividade de controles, comunicação e informação e monitoramento. Para cada um destes componentes, ela define princípios que devem ser observados.

O ambiente de controle é um dos componentes mais importantes em um sistema de controles internos, pois ele representa o comprometimento que a alta gestão tem com a qualidade do gerenciamento dos riscos operacionais e também, com a manutenção e cumprimento dos controles implantados. Ele trata da ética e das melhores práticas de gestão, que devem estar sempre presentes em qualquer gestão que observe um padrão de alto desempenho de governança.

Conhecer os riscos inerentes do processo de negócio é condição mandatória para a definição do sistema de controles. Esta atividade é realizada através do componente de avaliação de riscos, que em poucas palavras, é o meio para identificar os riscos dos processos de negócio, e conhecer a magnitude dos mesmos, lembrando que riscos devem ser lidos de forma matricial, isto é: probabilidade e impacto.

A atividade de controle é uma das possíveis respostas ao risco avaliado. Quando falamos de atividade de controles estamos dizendo que a empresa escolheu pela mitigação do risco envolvido. A definição de qual controle implantar é sempre com base na magnitude do risco envolvido, e devemos ter em mente o custo e benefício, pois controles têm custos associados que devem ser comparados com o impacto dos riscos envolvidos.

Também é muito importante que exista uma comunicação e um sistema de informação que flua de cima para baixo e de baixo para cima, de forma que as orientações da gestão cheguem de maneira clara e objetiva a todos os colaboradores, ao mesmo tempo em que existe uma prestação de contas eficiente.

Por último, um processo eficiente de controle interno deve contar com um bom processo de monitoramento, que pode ser realizado através de um sistema de medidor de desempenho; também realizado de forma independente pela auditoria interna, e ou, por controles externos, seja da agência reguladora ou seja por uma auditoria externa.

Um programa para implantação ou aperfeiçoamento do sistema de controles internos passa pela seguintes etapas:

1. Conscientização e sensibilização do staff de colaboradores e diretores sobre a importância de uma gestão de riscos operacionais integrada com as boas práticas de gestão. É muito importante que exista o entendimento dos conceitos de governança, riscos e controles internos,
2. Identificar os processos de negócio chaves através do mapeamento do contexto corporativo. Seguramente os processos de subscrição, atuarial e sinistro farão parte dos processos chaves,
3. Mapeamento dos processos chaves, que pode ser através de narrativa e/ou fluxograma,
4. Definição dos objetivos dos processos chaves e identificação dos riscos inerentes,
5. Avaliação dos riscos – Leitura matricial de probabilidade e impacto,
6. Definição dos controles internos como resposta aos riscos avaliados,
7. Implantação dos controles definidos,
8. Monitoramento periódico através de um programa para avaliação e validação dos processos e controles.

Tenham sempre em mente que controle interno somente deve existir se houver um ou mais riscos associados a ele, e que para o processo de definição dos controles, deve haver uma visão de portfólio, de maneira a não existir redundância de controles.

Como já comentamos, o controle interno tem um custo, e este deve ser conhecido para não tornar os processos de negócios caros. Uma pesquisa realizada pelo ICI – Internal Control Institute nos Estados Unidos demonstra que as empresas gastam ao redor de 25% a 30% a mais do que deveria com controles internos, porque não os definiram com base nos riscos.

Observem que o sistema de controles internos tem como um dos objetivos proporcionar que as atividades estejam em conformidade com Leis e regulamentos, sendo desta forma, extremamente importante para um bom programa de “compliance”.

No caso do mercado segurador, é necessário levar em consideração, quando das definições dos controles internos, os procedimentos de conformidade com a Política de prevenção a lavagem de dinheiro e financiamento ao terrorismo, ao FATCA e a nova Lei de Anticorrupção.

Para finalizar, no processo de avaliação de riscos, no momento da identificação dos riscos, é necessário conhecer os pontos mais vulneráveis a ocorrência de fraudes, pois nestes pontos os controles internos devem levar em contas estas ameaças. É recomendável que a organização tenha uma política objetiva de como casos de irregularidade e/ou fraudes serão avaliados e tratados. Um canal de denúncias é um ótimo procedimento para detectar fraudes e/ou comportamentos não éticos.

Se a instituição observar e considerar todos os pontos descritos neste artigo, com certeza ela estará em conformidade com as normas e regulamentos da SUSEP, como também estará dentro do roll das corporações com uma gestão de riscos operacionais com padrão de excelência internacional.

Não deixe para depois, comece trabalhar agora, nós da CrossOver Consulting & Auditing podemos ajudar sua organização neste processo de maneira efetiva, atuando no treinamento dos gestores e staff, no diagnóstico e avaliação, além da capacitação e certificação dos especialistas em controles internos através de nossa parceria com o ICI Brasil o qual é responsável por todas as atividades do Internal Control Institute aqui no Brasil.

Seja feliz!

Agosto 2014, São Paulo, Brasil.