Nas entidades sujeitas ao Aviso 03/2020, do Banco de Portugal, nos termos da alínea d), do artigo 13.º (Organização do sistema de controlo interno), compete ao órgão de administração assegurar que o sistema de controlo interno da instituição, assenta num processo de monitorização contínua que assegure a adequação e eficácia do sistema de controlo interno ao longo do tempo e que garanta, nomeadamente, a identificação e a correção tempestiva de eventuais deficiências.
Para efeitos do Aviso, o conceito de deficiências é entendido como o conjunto de insuficiências, potenciais ou efetivas, ou das oportunidades de introdução de melhorias que permitam fortalecer a cultura organizacional e os sistemas de gestão de riscos, de governo e controlo interno, relativamente a todas as matérias abrangidas pelo Aviso, incluindo as políticas e práticas remuneratórias.
Estamos perante um conceito de deficiências muito abrangente que contempla insuficiências potenciais ou efetivas, bem como oportunidades de melhoria, sendo essencial que a organização tenha a perceção que o conceito de deficiência não implica, obrigatoriamente, uma apreciação negativa sobre o sistema de controlo interno. Qualquer processo de melhoria continua assenta na identificação de oportunidades de melhoria, as quais, para efeitos do Aviso, constituem deficiências.
O artigo 31.º, do Aviso, aborda o processo de monitorização, estabelecendo que o órgão de administração prova e é responsável pela implementação de um processo de monitorização que compreenda todas as ações e avaliações de controlo desenvolvidas pela instituição com vista a garantir a adequação e eficácia da cultura organizacional da instituição e dos sistemas e governo e de controlo interno, nomeadamente, através da identificação de deficiências na conceção dos controlos, incluindo as relacionadas com a inexistência de controlos, e a sua implementação.
O órgão de administração é responsável por assegurar que as ações e avaliações de controlo referidas nos números anteriores são executadas numa base contínua e como parte integrante das atividades diárias da instituição, sendo complementadas por avaliações autónomas, específicas, periódicas ou extraordinárias, eficazes e completas a realizar pela função de auditoria interna.
A frequência das avaliações referidas no número anterior depende da natureza e magnitude dos riscos inerentes à atividade desenvolvida e da eficácia dos controlos específicos associados.
O órgão de fiscalização realiza ações de controlo dentro das suas competências legais e regulamentares, mantendo um plano plurianual de atividades aprovado e atualizado, que é disponibilizado, de imediato, à autoridade de supervisão competente, sempre que solicitado.
O plano de atividades referido no número anterior inclui uma descrição dos meios materiais, técnicos e humanos necessários para coadjuvar os membros do órgão de fiscalização no exercício das suas funções, os quais são disponibilizados pelo órgão de administração.
As deficiências detetadas no âmbito das ações de controlo referidas nos números anteriores que, quando consideradas individualmente ou quando agregadas, ou por via da sua previsível ocorrência continuada, tenham um dos impactos estabelecidos na metodologia de classificação de deficiências constante de anexo à Instrução do Banco de Portugal n.º 18/2020, são comunicadas, de imediato, à função de gestão de riscos, à função de conformidade ou à função de auditoria interna, consoante apropriado, que passa a ser responsável pela monitorização da implementação das medidas destinadas a corrigi-las.
O órgão de administração é responsável por assegurar que todas as deficiências identificadas são devidamente registadas e reportadas aos níveis de gestão apropriados, de modo a possibilitar a adoção tempestiva de medidas adequadas destinadas a corrigi-las.
Para efeitos do disposto no número anterior, o órgão de administração assegura que a instituição dispõe de uma base de dados de todas as deficiências, que inclui as deficiências detetadas por entidades terceiras, incluindo por autoridades de supervisão, que abrange o grupo no caso de se tratar de uma empresa-mãe, e que compreende, pelo menos:
A descrição de cada deficiência, com identificação da unidade de estrutura a que respeita;
A classificação de cada deficiência, atendendo à metodologia de classificação de deficiências constante de anexo à Instrução do Banco de Portugal n.º 18/2020;
A data em que a deficiência foi identificada e a função, órgão da instituição ou entidade externa responsável pela identificação, sendo que, no caso em que tenha sido identificada pelo revisor oficial de contas ou sociedade de revisores oficiais de contas, é incluída referência ao relatório ou parecer em que essa deficiência foi identificada;
A descrição das medidas destinadas a corrigi-la, o seu estado de implementação e a data prevista para a sua resolução definitiva;
A identificação do colaborador da unidade de estrutura a que respeita a deficiência a quem foi atribuída a responsabilidade por assegurar a implementação das medidas destinadas a corrigi-la e identificação da função de controlo interno responsável pela monitorização da implementação dessas medidas;
A data de resolução de cada deficiência.
O órgão de administração assegura que a instituição dispõe de uma base de dados de todos os incumprimentos detetados, a que se aplica, com as necessárias adaptações, o disposto no número anterior, com exceção da alínea b).
Caso entidades terceiras, incluindo as autoridades de supervisão, detetem e comuniquem à instituição deficiências na cultura organizacional e nos sistemas de governo e controlo interno, os níveis de gestão apropriados e, quando adequado, o órgão de administração, adotam tempestivamente as medidas adequadas e consideradas necessárias para as corrigir.
Face ao anteriormente exposto recomenda-se que a CAUD:
Assegure que as políticas e procedimentos relativos ao processo de monitorização são apropriadas quanto ao seu desenho e conceção;
Obtenha apoio especializado junto de entidades independentes e com competência para tal que assegurem a realização de testes à eficácia operacional dos controlos implementados, sendo critico que o encerramento de cada uma das deficiências identificadas e registadas apenas ocorra após confirmação do seu detetor;
Assegure a existência de um processo de encerramento efetivo das deficiências de controlo interno por partes dos respetivos detetores;
Promova, regularmente, reuniões com os responsáveis das funções de controlo de modo a conhecer qual o grau de implementação dos planos de ação em curso de modo a interagir com os membros executivos do Conselho de Administração reforçando a necessidade de os planos de ação serem implementados e mantidas as datas previstas para a sua conclusão;
Assegure a existências de políticas e procedimentos que garantam que nas situações mais críticas, caso os prazos previstos não sejam cumpridos existe um processo de escalonamento da decisão de prorrogação pelo próprio Conselho de Administração;
Promova a centralização do acompanhamento de todas as ações de controlo, internas e externas, junto da função de auditoria interna, competindo à mesma acompanhar as ações de controlo externas, promovendo a comunicação com a CAUD caso seja necessário desbloquear questões de acesso a informação, agendamento de reuniões ou cumprimento de prazos. Esta abordagem permite que a função de auditoria interna tenha toda a informação que lhe permita avaliar da necessidade de reavaliar o seu plano anual de atividades, ou reformular o plano plurianual.
A Instrução n.º 18/2020, do Banco de Portugal, no seu Anexo II apresenta a metodologia de classificação das deficiências.
A CAUD deverá apreciar a adequação da metodologia que vier a ser definida pela instituição de modo a assegurar que a mesma à adequada à sua dimensão e complexidade das suas operações.
De igual modo, a CAUD deverá apreciar as conclusões da função de auditoria interna quanto à adequação da classificação das deficiências identificadas no relatório anual de autoavaliação do Conselho de Administração.
Adicionalmente, a Instrução n.º 18/2020, regula os deveres de reporte à autoridade de supervisão das entidades abrangidas pelo Aviso.
Este modelo de monitorização poderá consistir num Benchmark a adotar em entidades não sujeitas ao Aviso, mas que decidam adotar o modelo como uma boa prática.
Face ao exposto, podemos concluir que a CAUD tem um papel relevante no processo de monitorização, competindo-lhe assegurar que o mesmo é efetivo e que a organização como um todo apreende o modelo e desenvolve as necessárias atividades, nomeadamente, que:
o órgão de administração promove uma cultura organizacional assente num adequado modelo de governo, num sistema de gestão de risco efetivo, num sistema de informação que responda às necessidades da organização e de um sistema de controlo interno assente na avaliação do risco;
os colaboradores da instituição participam nas ações de controlo, nomeadamente através da execução de procedimentos de revisão nas tarefas executadas, previamente à sua formalização transmissão a terceiros, e da comunicação a nível hierárquico superior de todas as deficiências que detetem ou tomem conhecimento, sendo este um dos principais indicadores do grau de maturidade da cultura organizacional;
a gestão intermédia desenvolve ações de controlo sobre as suas áreas da sua responsabilidade, verificando se os colaboradores desempenham adequadamente as suas funções, analisando eventuais desvios face aos objetivos estabelecidos, mantendo um ambiente de controlo e canais de comunicação apropriados e suficientes e assegurando que os riscos se encontram devidamente identificados e geridos;
as funções de controlo, em particular a função de conformidade / compliance, promove testes à eficácia operacional dos controlos essenciais aos controlos relevantes para mitigar os riscos de conformidade;
função de auditoria interna realiza ações de modo a avaliar a eficácia do processo de monitorização como um todo; e
o Revisor Oficial de Contas realize trabalho em áreas relevantes, nomeadamente ao nível do controlo interno na área do combate ao branqueamento de capitais e prevenção do financiamento ao terrorismo, modelos de imparidades e outras consideradas relevantes.
Uma das formas de identificar o grau de maturidade de uma organização consiste em analisar quais são os detetores das deficiências de controlo interno:
Numa entidade onde a cultura organizacional seja madura, teremos a 1.ª e 2.ª linhas de defesa como os principais detetores das deficiências de controlo interno;
O oposto, uma entidade na qual os principais detetores das deficiências de controlo interno seja o Revisor Oficial de Contas e/ou a função de auditoria interna, significa uma cultura organizacional “jovem” necessitando de esforços significativos de formação, sensibilização e, eventualmente, reforços e densificação das políticas e procedimentos.
Compete à CAUD efetuar essa avaliação, comunicá-la ao Conselho de Administração e promover que sejam tomadas as medidas que forem mais adequadas.
Um Conselho de Administração no qual seja difícil aos membros da CAUD transmitirem esta visão, carece de formação nesta temática sendo reconhecido que existem temas culturais a ultrapassar, bem como a necessidade de reforçar a formação em temas de Governance no mundo académico.
Comments