A governança corporativa tornou-se um elemento central para a sustentabilidade e credibilidade das organizações. Nesse contexto, ganha destaque o modelo das linhas de defesa proposto pelo Instituto dos Auditores Internos (IIA), que organiza os papéis e responsabilidades dentro da estrutura de controles internos.
A área de compliance atua na segunda linha, sendo responsável por estabelecer diretrizes, monitorar riscos e garantir a conformidade. Já a auditoria interna atua com independência, como terceira linha, avaliando a efetividade dos controles e da gestão de riscos.
No entanto, quando saímos da teoria e avançamos para a prática, é comum que ainda haja confusão entre os papéis dessas áreas, especialmente no que diz respeito à atuação da auditoria interna no programa de compliance.
Afinal, qual é o papel da Auditoria Interna no Programa de Compliance?
A resposta depende, em grande medida, da estrutura de governança adotada pela organização.
Antes de aprofundar esse ponto, é importante reforçar que a área de compliance é responsável por estruturar, implementar, monitorar e disseminar as diretrizes que compõem o programa de compliance. Além disso, os resultados gerados pelos processos de compliance podem ser utilizados como insumos relevantes para o planejamento da auditoria interna.
A partir disso, a atuação da auditoria interna pode variar conforme o modelo organizacional adotado. A seguir, destacam-se dois cenários comuns:
Cenário 1: Auditoria interna vinculada à mesma estrutura de Compliance
Quando a auditoria interna está subordinada à mesma gestão da área de compliance, sua atuação tende a ser mais limitada no que se refere à avaliação independente do programa de compliance.
Isso não impede, contudo, que haja colaboração entre as áreas. Nesse modelo, a auditoria pode:
- Utilizar a matriz de riscos de compliance como insumo para seu planejamento;
- Avaliar os principais riscos identificados pela área de compliance;
- Verificar se as obrigações de compliance, dentre essas regulatórias, estão sendo devidamente monitoradas;
- Analisar contratos com terceiros classificados como de alto risco;
- Identificar oportunidades de melhoria nos processos de controle.
Apesar dessas contribuições, a independência da auditoria pode ficar comprometida, especialmente na avaliação direta da efetividade do próprio programa de compliance.
Cenário 2: Auditoria interna independente da área de compliance
Neste cenário, a auditoria interna possui estrutura e gestão independentes, o que garante maior autonomia, independência e objetividade em sua atuação.
Dessa forma, torna-se possível realizar auditorias completas no programa de compliance, avaliando:
- A efetividade dos controles de compliance;
- A aderência às políticas e normas internas;
- A maturidade do programa;
- A eficiência dos mecanismos de monitoramento e resposta a riscos.
Esse modelo é considerado mais robusto do ponto de vista de governança, pois fortalece a segregação de funções e assegura maior credibilidade às avaliações realizadas. No entanto, cumpre destacar se a organização não optar por esse modelo pode optar pela contratação de auditores independentes para realizar a auditoria interna do programa de compliance.
Embora Compliance e Auditoria Interna possuam papéis distintos, suas atuações são complementares e fundamentais para a eficácia da governança corporativa.
A clareza na definição de responsabilidades, aliada a uma estrutura organizacional que preserve a independência da Auditoria Interna, é essencial para garantir avaliações imparciais e fortalecer o Programa de Compliance.
Mais do que discutir “quem faz o quê”, o ponto central está em como essas áreas podem atuar de forma complementar, preservando suas autonomias, para fortalecer os controles internos, mitigar riscos e promover uma cultura ética e com foco na sustentabilidade organizacional.
Conheça o MBA em Compliance da LEC
