Avaliação de Controles Internos Archives - Protiviti
Erick Matheus Santos e Rafael Carniato*

Com as empresas em busca de aquisições estratégicas para expandir sua participação de mercado de forma a obter acesso a novas tecnologias ou geografias e aumentar sua competitividade, notam-se tendências que podem continuar a moldar o cenário de fusões e aquisições em 2023.

Entre elas, há uma demanda contínua por empresas de tecnologia e ativos digitais, assim como maior foco nas organizações com perfis ambientais, sociais e de governança (ESG) já desenvolvidos e nas transações internacionais devido à procura por negócios mais globalizados. Além disso,  as taxas de juros baixas podem continuar barateando os empréstimos, o que pode encorajar mais empresas a buscar acordos de fusões e aquisições.

Entretanto, num processo que envolva fusão e aquisição, ou seja, num M&A (Mergers & Acquisition), se a migração for dificultosa, podem ocorrer situações indesejadas, como clientes trocarem a empresa pelo concorrente ou certas vulnerabilidades serem exploradas de forma indevida, tornando a reorganização societária e, consequentemente, a transformação digital, um fracasso.

Por exemplo, há casos reais, como uma cisão parcial realizada no setor de seguros que foi descontinuada após recorrentes dificuldades enfrentadas na estruturação operacional, bem como na gestão de acesso para a uma nova subsidiária. Na época, a empresa não possuía estrutura e processos adequados para as atividades de gestão de acesso, sendo assim não se sabia como estava o cenário atual das permissões de acesso aos sistemas core do negócio.

Ou seja, sem a devida estruturação e controle, o processo de concessão de acesso para a nova subsidiária ocorreu de forma incompleta e desordenada, incorrendo em uma série de problemas operacionais e aumento de vulnerabilidades.

Como forma de mitigar os problemas operacionais, foram empregadas soluções de análise de dados para avaliação do cenário e ajuda na tomada de decisões estratégicas. Em pouco tempo o cenário caótico foi sendo minimizado e compreendido pelos indicadores e informações organizadas. No entanto, o desgaste já havia acontecido e o prosseguimento da cisão já não fazia sentido. Se o entendimento de cenário e controle de mudanças fossem operacionalizados de forma antecipada a partir de ferramentas de análise, o resultado teria mais chances de ser positivo.

Outro exemplo, desta vez no setor rodoviário, traz um processo de aquisição para a incorporação de tecnologia que fez com que a empresa adquirente se enquadrasse em novas exigências regulamentadoras. Um dos pontos essenciais para atendimento das exigências impostas consistia na estruturação mais robusta do processo de gestão de acesso aos sistemas incorporados, ou seja, a empresa precisou amadurecer seus processos de forma muito rápida, tendo em vista que havia pouca iniciativa desenhada para gestão de acesso.

Neste caso, o uso de técnicas de análise de dados permitiu melhoria significativa de maturidade ao aferir o cenário e desenhar planos de ação para questões ligadas à IAM (Identity and Access Management) e SoD (Segregation of Duties).  

As dificuldades enfrentadas e consequentemente a taxa de insucesso relacionadas ao processo de reorganização societária não ficam restritos apenas aos cenários internos das companhias. Segundo a Forescout, 53% das organizações se depararam com incidentes e problemas críticos de cibersegurança durante um processo de M&A, assim como 65% apresentaram arrependimento em relação ao acordo feito após enfrentarem problemas nessa questão. De forma não isolada, as vulnerabilidades de cibersegurança são exponenciais sem uma solução sólida de IAM instalada.

Isso significa que o processo de M&A terá um grande problema de segurança caso a empresa esteja gerenciando um alto volume de dados descentralizados ou sem uma estratégia de identidade centralizada.

Ter uma solução de análise massiva de dados disponível para execução antes de uma reorganização societária permite que a companhia tenha um panorama mais eficiente do cenário atual sob um contexto geral, não somente para temas voltados à gestão de dados.

Ao realizar uma análise completa e eficiente considerando grandes volumes de dados financeiros e operacionais, é possível que tendências e pontos de falhas sejam identificados levando, a decisões estratégicas mais eficientes e seguras. Ou seja, evita que meses sejam desprendidos integrando sistemas e minimiza o esforço operacional garantindo mais tempo para a equipe se dedicar em assuntos ainda mais críticos. Além disso, o emprego da tecnologia aumenta a taxa de sucesso de fusões e aquisições, pois essas tendem a falhar se não houver um processo claro de integração dos dados.

A implementação de uma ferramenta de análise de dados massivo é uma etapa crítica na jornada de migração em M&A, exigindo dos tomadores de decisão um planejamento antecipado que contemple a avaliação de quais dados e sistemas devem ser mantidos e quais serão descartados.

*Erick Matheus Santos e Rafael Carniato são da área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

De maneira global, o número total de IPOs (Initial Public Offering) diminuiu bastante em 2022. Foram 992 aberturas iniciais de capital no mundo todo, o que equivale a 44% de queda comparado com o número de 2021, de acordo a EY. Com as incertezas econômicas e tensões geopolíticas sendo considerado como o maior desafio do mercado de IPO, as empresas e os investidores continuam esperando por um sentimento mais estável e positivo do mercado de ações.

Na bolsa brasileira não temos um IPO desde agosto de 2021, dado o cenário de volatilidade econômica e a alta dos juros, com a taxa básica de juros, a Selic, chegando a 13,75% ao ano.

Mas, para 2023, o mercado prevê um movimento de R$ 80 bilhões na B3. Por isso, as empresas que tiveram de desistir de suas aberturas de capital nos anos de 2021 e 2022 devem priorizar o processo no próximo ano. Desde 2020, 109 empresas chegaram a fazer o primeiro protocolo da oferta na CVM (Comissão de Valores Mobiliários) e a estimativa é de que entre 10 e 15 empresas façam uma abertura de capital ou uma oferta subsequente ao longo do primeiro semestre de 2023. Esse cenário otimista também depende de uma série de variáveis, entre elas, o movimento mais claro de queda da inflação e o fim do aperto monetário no Brasil e no exterior.

Embora as empresas pré-IPO priorizem detalhes financeiros e operacionais e, em menor grau, controles de TI, sabemos que menos atenção ainda é dada aos controles dos fornecedores com os quais estão se envolvendo. Neste cenário, a recomendação é que essas empresas passem a identificar e a entender o ambiente de controle seus prestadores de serviços, sobretudo porque as empresas confiam cada vez mais na infraestrutura e nos aplicativos baseados em nuvem para dar suporte a funções críticas de negócios.

As empresas que ainda não abriram o capital, mas estão considerando, são aconselhadas a solicitar um relatório SOC (Service Organization Controls), que é um atestado do ambiente de controle interno da organização de serviços para checar se há deficiências no ambiente de fornecedores e, com isso, evitar possíveis problemas de auditoria no futuro.

Nesta análise, a administração pode presumir que um investimento em ferramentas e aplicativos de fornecedores terceirizados vem com uma transferência de risco. Infelizmente, este não é necessariamente o caso. Na realidade, a empresa compartilha o risco, ou seja, é sempre responsável por garantir que os controles estejam em vigor, seja em seu próprio ambiente ou em seus fornecedores. Por isso, os relatórios SOC podem revelar problemas de controle no ambiente de controle do fornecedor.

No entanto, simplesmente obter os relatórios não é suficiente. É importante que a empresa analise os relatórios com cuidado e entenda exatamente quais controles estão em vigor e quais não estão. Os itens a serem observados são se a opinião emitida pelo auditor do serviço possui ressalvas, se há exceções de controle, se há controles habilitados pelo usuário e se o relatório inclui sub prestadores de serviços.

Para empresas de capital aberto, a obtenção e a análise de relatórios SOC é considerada parte de seu controle interno, mas as empresas que pretendem abrir o capital também se beneficiarão da atenção antecipada neste ponto. Entender os requisitos com antecedência pode evitar riscos depois da abertura de capital. Além disso, antecipar os requisitos e os critérios solicitados pela SOC irá dar credibilidade e vantagem competitiva ao ser avaliado por empresas pré-IPO.

*Erick Matheus Santos e Thiago Gomes são gerentes na área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

As organizações estão sentindo o calor e a pressão para inovar e criar maneiras de fazer com que seus negócios permanecerem relevantes. Para as instituições financeiras, em particular, esta situação é ainda mais presente devido à forte concorrência dos gigantes do setor, bem como as startups “nascidas digitais”.

Com o cenário regulatório em constante mudança, equilibrar requisitos regulamentares e de conformidade complexos com esforços para aumentar a eficácia e reduzir custos por meio da transformação digital, exigirá processos de negócios mais inteligentes e que demandam atenção com a segurança da informação.

As inovações permitem o acesso ideal do usuário aos sistemas, garantindo a manutenção das medidas de segurança apropriadas. Para um número crescente de organizações, usuários internos e externos estão acessando sistemas de todo o mundo e de uma variedade de dispositivos. Isso significa que as identidades desses usuários e seus acessos associados, em vez da rede, estão formando o novo limite de segurança em torno da organização.

Essa mudança de paradigma destaca a importância de acertar o gerenciamento de identidade e acesso (IAM), tanto para facilitar os negócios quanto para ficar à frente dos requisitos de auditoria, conformidade e regulamentação. Analisando a Instrução Normativa nº 001/2001, temos o Princípio da Segregação de Funções, uma regra de controle interno para evitar falhas ou fraudes na entidade, descentralizando o poder e estabelecendo independência para as funções de execução operacional, custódia física e contabilização da informação. Ela alerta que ninguém deve ter sob sua inteira responsabilidade todas as fases inerentes a uma operação.

A informação tem um ciclo de vida de quatro fases: manuseio, no qual dado é criado e manuseado; transporte, que são os meios para o envio dos dados de um local a outro; armazenagem, onde o dado está guardado/custodiado; e descarte, ou seja, quando se dá o ciclo final à informação.

Analisando estas etapas, um dado pode ser vazado como ato intencional em algumas dessas fases para obter algum ganho ou vantagem e, em um ambiente competitivo, cujas mudanças de processo e tecnologia podem impulsionar a organização a novos patamares ou causar riscos significativos e possíveis impactos negativos, é crucial a adoção de medidas proteção de dados para que eles não caiam nas mãos de alguém mal-intencionado em qualquer etapa do seu ciclo de vida.

Cabe a adoção de procedimentos de segurança como estratégia de prevenção de ataque cibernético, evitando o vazamento de informações sigilosas das empresas. Portanto, para permanecer relevante e permitir que a empresa tenha sucesso em um cenário em rápida mudança, mantendo uma forte postura de risco e segurança, programas, processos, governança e tecnologia de gerenciamento de identidade e acesso precisam ser alinhados.

Investir em uma equipe capacitada na terceirização deste serviço que seja especializada, com profissionais que tenham domínio do tema e que sejam capacitados para proteção de dados, deve ser levado em consideração num mundo cada vez mais digital e com empresas ingressando para a cultura Data Driven.

*Erick Matheus Santos é gerente na área de Internal Audit & Financial Advisory da Protiviti.