Entre minhas primeiras lembranças como auditor interno, estava o constante refrão de funcionários da minha organização de que, como auditores internos, nosso trabalho era mantê-los "fora da cadeia". Era o jeito brincalhão de sinalizar o quanto éramos importantes para eles. Não os levei muito a sério, porque não conhecia muitas pessoas que tivessem sido presas por causa de falhas de um controle interno ou de conformidade. Mas, como Bob Dylan tão popularmente cantou, "os tempos estão mudando!"

 

A recente admissão de culpa de um ex-diretor de conformidade de uma empresa farmacêutica por conspiração e outras acusações é o mais recente exemplo de que falhas intencionais de conformidade podem levar a gerência executiva à prisão. A prisão de um segundo executivo da empresa, o ex-CEO, mostra que os promotores estão dispostos e capazes de alcançar o alto escalão do C-suite para enviar uma mensagem.

 

As impressionantes prisões dos antigos executivos da Rochester Drug Cooperative refletem os altos riscos associados a certos tipos de falhas de controle e conformidade e, mais especificamente, os perigos de ignorá-los intencionalmente. Alguns chegaram a caracterizar esse como um caso de teste das autoridades federais para a acusação de executivos de empresas farmacêuticas por tráfico de drogas.

 

Os promotores alegam que os dois executivos indiciados foram repetidamente avisados de que a empresa estava distribuindo opioides perigosos, como oxicodona e fentanil, a indivíduos que não tinham necessidade legítima deles. Além disso, a empresa tomou decisões deliberadas de "não investigar, monitorar e reportar" indivíduos que sabia que estavam desviando substâncias controladas para uso ilegítimo, de acordo com os documentos de acusação apresentados pelos promotores à Corte do Distrito Sul de Nova York.

 

Como distribuidora de medicamentos registrada, a Rochester Drug Cooperative era obrigada a manter "controle eficaz contra o desvio de determinadas substâncias controladas para canais que não fossem os médicos, científicos e industriais legítimos", de acordo com o documento de acusação. Também era responsável por reportar à DEA (Drug Enforcement Administration) dos EUA quaisquer "encomendas de tamanho incomum, que se desviassem substancialmente do padrão normal e de frequência incomum".

 

Embora a empresa tenha cumprido com o requisito de criar as políticas e controles necessários, ela é acusada de ignorar vários alertas vermelhos de que as drogas estavam sendo distribuídas para outros fins que não os legítimos. Um dos incidentes mais contundentes citados no documento de acusação foi uma recomendação de 2014 do consultor de conformidade. O consultor exortou que a Rochester Drug cumprisse com a política de due diligence "know-your-customer" (conheça seu cliente) da DEA, avisando que, a menos que a empresa mudasse suas práticas, ela se tornaria um alvo da DEA, "por causa de [sua] cegueira intencional e ignorância deliberada".

 

Supondo que as informações no documento de acusação sejam precisas, esse caso difere de outras falhas recentes e relevantes de governança de três maneiras significantes:

 

1. O processo e as estruturas de conformidade da segunda linha parecem ter funcionado conforme planejado.
2. A primeira linha aparentemente subverteu a segunda linha, ignorando intencionalmente os avisos.
3. A primeira linha repetidamente frustrou a segunda e possivelmente a terceira linha, bem provavelmente sem o conhecimento do conselho.

 

Esse incidente indica a necessidade de que os auditores internos construam relacionamentos fortes com todas as linhas da organização, e não apenas com seus comitês e conselhos de auditoria.

 

• A auditoria interna deve estar posicionada para apoiar os esforços da segunda linha e intervir quando as funções de conformidade da segunda linha forem efetivamente frustradas.
• A auditoria interna deve apresentar um real desafio à administração, quando a administração não conseguir proteger e apoiar processos e estruturas de controle.
• A auditoria interna deve comunicar todas as falhas de gerenciamento de riscos ou de conformidade, primeiramente à administração e, depois, diretamente ao conselho (principalmente se a administração for conivente).
• A auditoria interna deve oferecer algum nível de avaliação (assurance) quanto às informações que são apresentadas ao conselho pela administração.
   

O North American Pulse of Internal Audit de 2019, Defining Alignment in a Dynamic Risk Landscape, aborda o envolvimento da auditoria interna nas informações enviadas ao conselho. Essa é uma área em que a auditoria interna pode melhorar. De acordo com a pesquisa Pulse, quase 6 a cada 10 CAEs relatam que a auditoria interna raramente ou nunca presta avaliação (assurance) quanto à qualidade das informações fornecidas ao conselho, nem tem discussões formais sobre as informações com o conselho e a administração.

 

Conforme as expectativas dos reguladores aumentam em relação à supervisão do conselho, é imperativo que cumpramos com nossas responsabilidades como auditores internos. Ao fazê-lo, não apenas cumpriremos com nossas missões de proteger e melhorar o valor organizacional, mas também poderemos manter os funcionários de nossas organizações fora da cadeia.

 

Aguardo seus comentários.

 

Divulgação:

Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve artigos

semanais para um blog da InternalAuditor.org sobre assuntos e tendências relevantes para a

profissão de auditoria interna.

 

Tradução: IIA Brasil

Revisão Técnica da Tradução: Wagner Martins De Morais, CIA, CCSA, CRMA, CGAP.