Estudo analisa falhas das defesas internas da Petrobras

Trabalho avalia caso revelado pela Operação Lava Jato à luz das normas COSO, referência internacional em controles internos e gestão de riscos

O comprometimento de um dos componentes de controles internos previstos nas boas técnicas de gestão desencadeou a série de problemas — e desvios bilionários — revelados na Petrobras pela Operação Lava Jato.

Essa análise faz parte de um trabalho de conclusão do curso de Ciências Contábeis da Trevisan Escola de Negócios, de São Paulo. O grupo de formandos resolveu analisar — à luz dos conceitos e técnicas de controles internos estabelecidos pelo COSO — as causas que levaram ao maior escândalo de corrupção já relevado publicamente no país.

No caso, uma falha anulou um dos pilares clássicos de gestão — o “Ambiente de controle” —, “que, por consequência, comprometeu o funcionamento dos demais”.

Os componentes que formam a espinha dorsal dos controles internos, estabelecidos pelo sistema que é uma das referências mundiais para o gerenciamento de riscos, são o “Ambiente de controle”, a “Avaliação de risco”, as “Atividades de controle”, a “Informação e comunicação” e as “Atividades de monitoramento”.

No resumo da ópera, a situação apurada pela turma da Trevisan é aquela exposta de maneira mais dispersa em boa parte do noticiário envolvendo os desvios apontados pela Lava Jato na petroleira: “Ambiente de controles internos falho, suscetível à manipulação”.

“A principal falha de controles é reconhecidamente a quebra do primeiro componente do COSO, relacionado ao comprometimento ético de alguns membros da alta administração”, aponta o estudo, que teve orientação do professor Fabio Coimbra, responsável pela disciplina de Governança Corporativa.

A partir dessa situação, houve espaço para uma série de outras falhas nos demais pilares dos controles internos, tais como problemas na identificação do risco de a direção burlar o sistema ou não agir conforme padrões éticos, bem como no risco de fraude em si, monitoramento deficiente na companhia, irregularidades na contratação de terceiros e comunicação precária ao público externo .

O estudo lembra que as investigações ainda estão em andamento, mas os prejuízos decorrentes de ignorar as boas práticas de gestão somaram R$ 6 bilhões só em valores oficialmente reconhecidos pela companhia com os desvios.

Avaliação de risco

Como agora se sabe, havia um campo aberto à ocorrência de fraudes e desvios na maior empresa brasileira e uma das principais petroleiras do mundo. Apesar disso, o quadro de riscos apresentado pela companhia não apontou essa possibilidade, tampouco os possíveis impactos se eles viessem a ocorrer. “O que demonstra uma falha das aplicações”, diz o estudo.

“As evidências levam a entender que o risco de fraude na Petrobras não foi considerado como significativo, provavelmente pelo fato de a companhia estar apta a atender aos requerimentos internacionais de estrutura de controles internos, altos níveis de governança corporativa e transparência das suas operações.”

Essa passagem revela que, formalmente, a empresa cumpria as exigências de estrutura de controles internos, tanto da legislação brasileira quanto da dos EUA, onde é listada em Bolsa de Valores.

Como membro de um mercado fiscalizado pela Securities and Exchance Comission (SEC, a CVM dos Estados Unidos), por exemplo, a Petrobras precisa necessariamente atender às regras estabelecidas pela comissão, que prevêem alinhamento às normas norte-americanas da Lei Sarbane-Oxley (SOX).

Uma delas determina que as companhias listadas no órgão devem “implantar e manter sistemas de gestão de controles internos” a fim de mitigar fraudes — o que é também um dos princípios do COSO.

Isso existia na companhia, sem no entanto ter sido suficiente para impedir os desvios. Após o início da divulgação dos casos de corrupção, a empresa criou o Comitê Especial Independente para acompanhar as investigações internas.

O estudo aponta também a necessidade de atuação efetiva do Conselho de Administração, como estabelece o COSO. No caso, ele deveria ser o responsável por  evitar o descasamento entre a estrutura de controles existente e a prática real na companhia.

Segundo o COSO, o conselho precisa ter independência da administração, sendo responsável por fiscalizar a realização dos controles internos.

“Cabe ao conselho [de administração] identificar e analisar a possibilidade de um risco, mesmo de baixa probabilidade, de grande impacto à organização acontecer”, aponta o estudo, lembrando que posteriormente a Petrobras perdeu o grau de investimento de três agências de rating (Moody’s, S&P e Fitch) e o valor das ações no início de 2016 era quase um quinto do registrado antes do escândalo.

“É visível a falha em todo o processo de identificação e avaliação do risco, ainda que a companhia alegue adoção de medidas diretas no processo de gestão de risco.”

Em decorrência da Lava Jato, a Petrobras responde a ação coletiva e outros 23 processos individuais movidos por investidores na Justiça norte-americana. Eles pedem ressarcimento por se considerarem lesados com a queda no valor das ações decorrente da corrupção na empresa.

Guarda-chuva

No sistema do COSO, debaixo do guarda-chuva dos cinco componentes dos controles internos encontram-se 17 princípios de administração.

Alguns deles passaram a ser familiares, mesmo que de forma indireta, ao leitor leigo do noticiário da Lava Jato.

Ao componente “Ambiente de controle”, por exemplo, estão associados princípios como compromisso da organização com integridade e ética, além da independência do conselho de administração.

Já a “Informação e comunicação” estabelece princípios tais como comunicar-se com público externo sobre assuntos que afetam o funcionamento dos controles internos; enquanto “Atividades de monitoramento” prevêem que a organização comunique deficiências de controle interno aos responsáveis “por tomar ações corretivas”.

Tratam-se de aplicações de gestão que a Lava Jato demonstrou —e o estudo aponta — não existirem ou terem sido de alguma forma negligenciadas na estrutura da companhia.

De acordo com os autores, os componentes e princípios do COSO precisam se interrelacionar para formar o “mínimo” necessário para a existência de um sistema de controles internos que atue de maneira eficaz dentro de uma empresa.

O princípio número 1 do sistema (comprometimento com integridade), apontado como uma espécie e “erro original” de gestão na Petrobras, precisa consolidar políticas e ações éticas, tendo como “fator estratégico” o envolvimento da alta direção nesse processo, aponta o estudo.

“A não aderência às regras implantadas, por motivações diversas, inclusive no que concerne a condutas inconsistentes com a integridade e os valores éticos por parte da alta administração, pode acarretar má reputação à organização e até mesmo prejuízo, …, em decorrência de práticas criminosas”, dizem os autores.

O que é?

O trabalho “O Caso de Corrupção da Petrobras sob a perspectiva do COSO 2013” foi realizado por Carla Cristina de Oliveira Santos, Priscilla Ferreira Augusto Silva, Taís da Silva França e Webert Ferreira de Almeida e apresentado em junho passado.

O trabalho foi inteiramente baseado nas informações públicas disponíveis sobre o caso. Segundo seus autores, pretende contribuir com o amadurecimento das estratégias de Governança Corporativa de forma a mitigar falhas e riscos de fraude que comprometem as empresas.

Motivação que está na origem do COSO. O Committee of Sponsoring Organizations of the Treadway Comission é a marca registrada de uma organização criada nos EUA em 1985 voltada a ações de prevenção de fraudes nos processos das empresas.

As recomendações expressas pela comissão são consideradas referência e aplicadas nas áreas de controles internos e gestão de riscos de empresas ao redor do mundo, incluindo as do Brasil.

O Instituto dos Auditores Internos do Brasil, por exemplo, baseia nele seu modelo conceitual de sistemas de controle interno.

O objetivo da metodologia é prover uma “razoável segurança” para as empresas.

O termo “razoável” é empregado em decorrência das limitações de abrangência dos controles internos. Limitações impostas pelo fato de que todo sistema é operado por pessoas, passíveis de erros ou de más ações.

“De acordo com o COSO (2013) a probabilidade de eficácia do ambiente de controles está limitada pelos riscos inerentes a todo sistema de controles internos, incluindo possíveis falhas no julgamento humano para tomada de decisão, e eventos externos”, aponta o trabalho do pessoal da Trevisan. “Adicionalmente, os controles podem ser burlados por duas ou mais pessoas em conluio ou pela administração na tentativa de suplantar o sistema.”

A publicação dos modelos criados pelo COSO chama-se Framework for Internal Control Systems, cuja primeira versão é de 1992 e a mais recente, de 2013 (sendo aplicada a partir de 2014).

Lacunas

Como o estudo se baseou em informações públicas sobre o caso, não tendo acesso a informações internas da companhia, algumas lacunas continuam em aberto. Uma delas é saber se a companhia utilizava-se de tecnologia eficiente para apoiar os controles interno. Outra, seria ver como a Petrobras fazia a divulgação interna das ações nesta área.

Poderia ser assim

De qualquer forma, com base no COSO, o trabalho aponta uma série de medidas preventivas que poderiam ter sido tomadas para evitar a ocorrência das falhas reveladas no caso.

São elas: políticas rígidas para nomeação de cargos, com independência e vínculo do profissional à função, e monitoramento desses requisitos; análise rigorosa dos riscos motivados por fatores internos ou externos que possam comprometer os resultados da companhia; revisão periódica da política de controles internos da companhia; estabelecimento de canais de comunicação que garantam sigilo e anonimato; implantação de sistemas de controles rígidos, principalmente em áreas de risco elevado (como fornecedores) e avaliar continuamente esse sistema.