Controles internos de Compliance: o que são?

Os controles internos são medidas fundamentais de Compliance para que empresas estejam seguras e em conformidade com os reguladores

Controles internos de Compliance: o que são? Controles internos de Compliance: o que são?


Por João Benz, Pedro Branco e Layon Lopes*

O termo “controle interno” pode ser definido como tudo aquilo que é utilizado com o objetivo de garantir a conformidade dos atos de gestão de uma empresa, sendo estes controles internos de Compliance medidas fundamentais para os mais variados tipos de modelos de negócios. Em outras palavras, toda medida de governança interna feita pela empresa, incluindo suas políticas, planos e procedimentos integrados, são medidas de controles internos e possuem um papel fundamental no dia a dia do negócio. 

Conteúdo:

Quais as principais medidas de controles internos de Compliance para fintechs?

O que deve ser previsto e como implementar um sistema de controles internos?

Como efetivamente implementar as medidas de controles internos?

Qual a responsabilidade da administração pela implementação dos controles internos? 

Para aquelas atividades desenvolvidas por fintechs, que na maioria das vezes dependem de regulação de órgãos fiscalizadores, a exemplo do Banco Central (Bacen) ou da Comissão de Valores Mobiliários (CVM ), a existência de um sistema robusto de controles internos empresariais se mostra mais do que incentivado, já que os controles internos se tratam de pré-requisitos para que a empresa obtenha a autorização para desempenhar suas atividades. 

A exigência da implementação de controles internos, por parte do Bacen, buscou alinhar as normas aplicáveis às instituições do sistema financeiro com as melhores práticas reconhecidas internacionalmente, em especial as previstas no documento Framework for Internal Control Systems in Banking Organisations do Comitê de Basileia e no documento Internal Control – Integrated Framework, publicado pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO) em 2013.

Quais as principais medidas de controles internos de Compliance para fintechs

Considerando que a maioria das fintechs precisam buscar autorização para seu funcionamento, seja junto ao Bacen ou à CVM, ou, no mínimo, precisam estar em conformidade com as resoluções editadas por estes órgãos, muitas exigências de controles internos podem ser verificadas nestas próprias resoluções.

Para poder operar na forma de uma Instituição de Pagamento, por exemplo, o Banco Central exige, através da Resolução nº 260/22, que a empresa elabore e implemente uma série de medidas de Compliance, chamadas de sistema de controles internos. O mesmo deve ter como finalidade o atingimento dos seguintes objetivos: 

I – desempenho: relacionado à eficiência e à efetividade no uso dos recursos nas atividades desenvolvidas;

II – informação: relacionado à divulgação voluntária ou obrigatória, interna ou externa, de informações financeiras, operacionais e gerenciais, que sejam úteis para o processo de tomada de decisão; e

III – conformidade: relacionado ao cumprimento de disposições legais, regulamentares e previstas em políticas e códigos internos.

Além disso, o Banco Central exige que o sistema de controles internos seja contínuo e efetivo, abrangendo as atividades de controle para todos os níveis de negócios e para todos os riscos aos quais a instituição está exposta. Os controles internos devem ser revisados de forma periódica, de acordo com a autarquia. 

Dentre os principais pontos que precisam ser observados por este sistema, destacam-se:

Política de prevenção à lavagem de dinheiro e financiamento ao terrorismo (PLDFT): trata-se de instrumento obrigatório para instituições que busquem autorização de funcionamento junto ao Banco Central ou que já estejam autorizadas. Conforme exigido pela Circular 3.978/20 do Bacen, a Política de prevenção à lavagem de dinheiro deve ser compatível com o nível de risco assumido pelo modelo de negócio da Instituição, levando em consideração o perfil de seus clientes, operações, transações, produtos, serviços, funcionários, parceiros e prestadores de serviços. 

Em linhas gerais, é obrigatório que a Política contenha:

  1. a definição de procedimentos voltados à avaliação e à análise prévia de novos produtos e serviços, bem como da utilização de novas tecnologias, tendo em vista o risco de lavagem de dinheiro e de financiamento do terrorismo;
  2.  a avaliação e metrificação interna de risco e a avaliação de efetividade da Política;
  3. a promoção de cultura organizacional de prevenção à lavagem de dinheiro e ao financiamento do terrorismo, contemplando, inclusive, os funcionários, os parceiros e os prestadores de serviços terceirizados;
  4. a capacitação dos funcionários sobre o tema da prevenção à lavagem de dinheiro e ao financiamento do terrorismo; e
  5. a verificação do cumprimento da política, dos procedimentos e dos controles internos, bem como a identificação e a correção das deficiências verificadas.

Ainda, a instituição deve implementar procedimentos de análise das operações e situações selecionadas por meio dos procedimentos de monitoramento, com o objetivo de caracterizá-las ou não como suspeitas de lavagem de dinheiro e de financiamento do terrorismo. Em sendo identificada transação suspeita, a Instituição possui obrigação de encaminhar um relatório ao Conselho de Controle de Atividades Financeiras – Coaf. 

Por último, vale mencionar que as instituições devem indicar formalmente ao Bacen um diretor responsável pelo cumprimento da política de PLD. É necessário que essa pessoa tenha entendimento sobre o assunto, pois, eventualmente, pode ser solicitado que realize entrevista junto ao Bacen. A autoridade monetária inclusive, se reserva ao direito de não aceitar a indicação do diretor e solicitar substituição, o que deve ser cumprido pela instituição. 

  • Procedimentos de conheça seu cliente (“KYC”): se trata de procedimento  de Compliance voltado a garantir a conformidade e a veracidade das informações prestadas pelo Cliente, além de auxiliar na prevenção a fraudes através da análise de crédito e risco das operações financeiras feitas pelo Cliente. Para ser efetivo, o procedimento de KYC deve ser atualizado de forma regular, inclusive mediante a atualização cadastral do próprio cliente. 
  • Procedimentos de conheça seu fornecedor (“KYS”): é o procedimento que visa mitigar riscos de contratação de fornecedores que não cumpram com padrões mínimos de ética ou responsabilidade socioambiental, ou, ainda, que estejam efetivamente incorrendo em crimes, a exemplo de utilização de mão-de-obra infantil.  
  •  Procedimentos de conheça seu funcionário (“KYE”): se trata do procedimento que visa garantir que a instituição não contrate funcionários que possam estar sob conflito de interesses, que nada mais é do que na qual os interesses pessoais do colaborador se sobreponham aos da empresa. A fim de objetificar os entendimentos da empresa sobre o tema, é recomendável a elaboração de uma Política de Conflito de Interesses.  
  • Código de Ética e Conduta: o código de ética é o instrumento mais importante para que a empresa possa expressar sua cultura organizacional e, desta forma, publicizar e formalizar quais atitudes a empresa espera de seus colaboradores e parceiros, bem como delimitar quais as punições para atitudes que não estejam em acordo com o Código de Ética. Para aquelas fintechs reguladas pela CVM, a existência de um Código de Ética também é obrigatório.

Junto com o Código de Ética, é imprescindível que a empresa elabore um rigoroso procedimento de investigação a fim de apurar as denúncias eventualmente recebidas, através de um canal oficial de denúncias. É dever objetivo da empresa garantir a imparcialidade e a confiabilidade deste canal, assegurando respeito e profissionalismo durante todo o fluxo da investigação a ser realizada. 

Ainda, para aquelas instituições que eventualmente mantenham contratações com o poder público, a existência de controles internos é requisito para a celebração de um Acordo de Leniência, instrumento pelo qual a pessoa jurídica pode se beneficiar de reduções de penalidades impostas, no caso da comprovação de eventual ilícito cometido. 

O que deve ser previsto e como implementar um sistema de controles internos? 

O Banco Central define como características essenciais de um sistema de controles internos questões ligadas à cultura de controle, identificação e validação de riscos, atividades de controle e segregação de funções, entre outros. Veja: 

  1. Aspectos relacionados à cultura de controle: trata-se da obrigação de definir a responsabilidade dos funcionários por atos que estejam em desacordo com os procedimentos de controles internos da instituição e da implementação dos meios necessários para averiguar tais responsabilidades. Ainda, é necessário observar a existência da obrigatoriedade de comunicação ao Bacen, sempre que a instituição identificar problemas e demais situações de não conformidade com os padrões de conduta regulados por seus procedimentos de controles internos;
  2. Aspectos relacionados à identificação e avaliação de riscos: é dever da instituição dispor de meios para identificar e avaliar continuamente os fatores internos e externos que possam representar riscos aos objetivos da instituição. A revisão e atualização periódica dos sistemas de controles internos, com a inclusão de medidas relacionadas a riscos novos ou não abordados anteriormente se mostra o meio mais eficaz para cumprir tal obrigatoriedade;
  3. Aspectos relacionados às atividades de controle e segregação de funções: além da elaboração e implementação das políticas e procedimentos de controle, é dever da instituição elaborar um sistema de aprovação e autorização de transações sensíveis, além de dispor da segregação apropriada das funções atribuídas aos seus integrantes, de forma a evitar situações de conflito de interesses;
  4. Aspectos relacionados à informação e comunicação: os canais de comunicação da instituição devem se mostrar efetivos e confiáveis, dispondo, inclusive, de testes periódicos de segurança para os sistemas de informações e de tecnologia e planos de retomada e contingência em virtude de eventual interrupção da prestação de seus serviços; e
  5. Implementação de aspectos relacionados ao monitoramento: é dever da instituição garantir a existência de um monitoramento contínuo de suas atividades, mediante avaliações periódicas, inclusive por parte da auditoria interna, acerca da eficácia dos sistemas de controles internos e dos principais riscos associados às atividades da instituição. 

Como efetivamente implementar as medidas de controles internos?

A elaboração das políticas e procedimentos de Compliance que integram o sistema de controles internos acima mencionadas são, definitivamente, o primeiro e principal passo para que a empresa implemente seus controles internos e esteja em conformidade com a exigência de órgãos reguladores, entretanto, não basta a elaboração destas políticas: é preciso implementá-las. 

O desafio de implementar o sistema de controles internos pode ser bastante significativo e exige sinergia entre lideranças de diferentes times da empresa, sendo que as principais medidas que corroboram para a implementação são as seguintes:

  • Treinamentos periódicos: após a constituição de qualquer política de controle interno, é imprescindível que a empresa proporcione o treinamento adequado para todos os colaboradores que, eventualmente, tenham contato com o objeto da política. O treinamento é uma etapa vital para capacitar os colaboradores perante as novas diretrizes impostas;
  • Clareza e comunicação: ao implementar novas políticas, a empresa deve ter ciência de que dúvidas e questionamentos vão existir. É importante, neste sentido, estabelecer a comunicação de forma clara com colaboradores, clientes e fornecedores sobre as novas diretrizes, bem como designar pontos de contato para sanar as dúvidas existentes; 
  • Procedimentos: a chave para o sucesso da implementação dos mecanismos de controles internos, sem dúvida, é a efetividade e eficiência dos procedimentos criados pela empresa. Cada mecanismo de controle interno exige um fluxo diferente para ser corretamente implementado, a exemplo da realização de due diligences para checagem de fornecedores, no caso do controle de KYS. 

Qual a responsabilidade da administração pela implementação dos controles internos? 

Através da já mencionada Resolução 260/22, o Banco Central definiu que o conselho de administração e a diretoria da Instituição devem se envolver ativamente na definição dos sistemas de controles internos, garantindo:

I –a promoção de elevados padrões éticos e de integridade;

II – o estabelecimento de cultura organizacional com ênfase na relevância dos sistemas de controles internos e no engajamento de cada funcionário no processo de controle interno;

III – a manutenção de estrutura organizacional adequada para garantir a qualidade e a efetividade dos sistemas e processos de controles internos; e

IV – a garantia de recursos adequados e suficientes para o exercício das atividades relacionadas aos sistemas de controles internos, de forma independente, objetiva e efetiva.

Ainda, compete à diretoria ou ao conselho de administração da Instituição tomar as medidas necessárias para identificar, medir, monitorar e controlar os riscos de acordo com os níveis de riscos definidos, inclusive designando um diretor responsável junto ao Banco Central para garantir o cumprimento das medidas de controles internos. 

Desta maneira, considerando que diversos controles internos são exigidos pelo Banco Central para que a instituição possa operar suas atividades, é fundamental que a empresa esteja bem orientada por uma assessoria jurídica especializa em Compliance, a fim de orientá-la quanto ao desenvolvimento e à correta implementação das políticas e procedimentos que compõe o procedimento de controles internos. 

Dúvidas? A equipe do Silva Lopes Advogados pode te ajudar!

*Lopes é CEO do Silva Lopes Advogados, Branco é sócio de Compliance e Benz é integrante do time do escritório.