A Controladoria-Geral da União (CGU) divulgou recentemente as 84 organizações reconhecidas na edição 2022-2023 do Empresa Pró-Ética, programa que incentiva as companhias a combaterem a corrupção.
O recebimento deste selo é um reconhecimento valorizado no mercado, uma vez que identifica empresas que possuem programas de Compliance efetivos, e que trabalham promovendo a cultura de integridade nos negócios. No entanto, para recebê-lo, a organização precisa realizar planejamento e investimentos, além de dedicação de anos de trabalho de diversos profissionais.
Entretanto, a dúvida que fica entre as empresas que buscam se adequar a esses parâmetros e, mesmo assim, não conseguem conquistar o reconhecimento, está relacionada ao que faltou para estar entre as organizações reconhecidas.
Em primeiro lugar, para conquistar o reconhecimento de Empresa Pró-Ética, a empresa deve atender dez áreas de avaliação, alcançando pontuação igual ou superior a 70 pontos e, cumulativamente, atingir o mínimo de 40% em todas as áreas.
Destas áreas, três se destacaram negativamente no grupo de empresas participantes, e contabilizaram menos de 45% de índice de sucesso, ou seja, são pontos que merecem atenção das organizações. São elas “VI – Controles para assegurar a Precisão e a Clareza dos Registros Contábeis e a Confiabilidade dos Relatórios e Demonstrações Financeiras”, “IX – Monitoramento do Programa de Integridade” e “X – Transparência e Responsabilidade Social”.
O item VI, de controles internos, foi o que as empresas obtiveram as piores notas gerais, dado que apenas 41% das empresas conseguiram demonstrar o atendimento aos requisitos. Neste tópico são abordados a avaliação do processo de gerenciamento de riscos das organizações, independência da atividade da auditoria interna, objetividade, proficiência e devido zelo profissional dos auditores internos.
Fica claro, portanto, a necessidade de as organizações comprometidas com a ética e o combate a fraudes e à corrupção estabelecerem estruturas de gerenciamento de riscos que contemplem a auditoria interna, seja na abordagem de avaliação ou de consultoria.
Independentemente do porte e perfil da empresa, mostra-se determinante ter uma estrutura de auditoria interna cada vez mais empoderada e estratégica, atuando em sinergia com os objetivos de Compliance das corporações. Inclusive, para obter o reconhecimento de Empresa Pró-Ética.
Nesse contexto, os resultados também mostraram o que impediu as organizações de conseguirem o selo, que foi o não tratamento adequado de questões relacionada à segregação de funções e aos limites de alçada. Neste item, apenas 26% das empresas atenderam os requisitos, sinalizando espaço para evoluir a maturidade dos controles internos. Na mesma linha, menos de 40% das organizações demonstraram capacidade de identificar receitas ou despesas fora do padrão, ou identificar sinais suspeitos.
Contudo, por mais que os temas supracitados possam parecer complexos de serem corrigidos, atualmente existem softwares de análises de dados para apoiar nestas questões. Dentre essas ferramentas, podemos mencionar os softwares de analytics, que são capazes de suportar a atividade de auditoria interna e controles internos como um todo e, em alguns casos, eliminar a abordagem amostral, avaliando a população.
Ações como essas, que trabalham com bases de dados cada vez mais complexas e pesadas, podem auxiliar na criação de um ambiente de controles internos, oferecendo garantia razoável de eficácia e eficiência do processo de gerenciamento de riscos.
Por exemplo, não é necessário auditar todo o ciclo de contas a pagar para identificar pontos fora da curva (outliers), como compras por valores muito acima da média para o período. Do mesmo modo que não é mais necessário contratar um especialista em TI apenas para avaliar se há segregação de funções e alçadas de aprovação nos ciclos financeiros das empresas.
Com as bases de dados corretas e completas é possível desenvolver fluxos no software de analytics e gerar mensalmente indicadores que ajudam, após analisados, na correção das lacunas identificadas de forma assertiva e tempestiva.
Por fim, lembramos que o processo de melhoria contínua deve ser adotado, uma vez que as não conformidades identificadas pela Auditoria Interna devem ser tratadas, tendo responsáveis e prazos. Dessa maneira, corrigir lacunas de forma tempestiva é fundamental para mitigar os riscos de fraude e corrupção.
*Jefferson Kiyohara é diretor de Forensics & Integrity | Compliance e ESG, e Gustavo Ferreira é gerente na área de Internal Audit & Financial Advisory, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
O vazamento de informações é uma das principais pautas entre gestores de TI e um dos maiores riscos que as empresas podem enfrentar e precisam tratar. Dados estratégicos, de clientes e de funcionários são exemplos de informações que, se vazadas, podem gerar prejuízos materiais, reputacionais e legais para organizações de qualquer porte.
Sabendo que a mais significante das ameaças tecnológicas é a violação cibernética, que pode causar a exposição dos conteúdos, é muito comum ouvir falar de vazamentos de dados que ocorreram devido a algum ataque cibernético, viabilizado por meio da permissão de acesso externo às informações. Porém, a grande parte destes casos ocorrem internamente nas empresas e são protagonizados por pessoas mal-intencionadas que visam obter alguma vantagem com essa informação.
Os dados pessoais têm se tornado cada vez mais valiosos porque, ao coletar informações, uma empresa ganha mais assertividade para oferecer os produtos certos ao cliente que tem mais afinidade em adquiri-los. E esse valor, que é de conhecimento interno, incentiva os mal-intencionados a vazarem os dados, prejudicando a organização.
Como consequência desse cenário, medidas foram tomadas, como a criação, na Europa, da GDPR (General Data Protection Regulation), e, no Brasil, da Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020, que protege, por meio de regulamentos, os dados pessoais, e aplica sanções como advertências, multas simples ou diárias e até a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Isso fez com que os processos se tornaram mais rigorosos dentro das empresas e medidas foram tomadas para aumentar o controle de acessos, a fim de evitar vazamento de informações, que são relacionados à ‘Segurança da Informação’.
E para que estas práticas sejam bem aplicadas, algumas etapas podem ser executadas, tal como criar processos de atualizações para softwares e sistemas, definir políticas de segurança, não permitir a utilização de programas pirateados ou não confiáveis, monitorar a infraestrutura; treinar os profissionais com boas práticas de segurança da informação e monitorar frequentemente e-mails, documentos, nuvem e demais informações.
Entretanto, é importante destacar que quando o acesso a essas informações é permitido, a responsabilidade pela prevenção ao vazamento passa a ter mais um dono: a ‘Gestão de Acessos’. A prática acontece quando empresas concedem os acessos sem mapear as funções dos profissionais, espelhando perfis de outros usuários, ou ainda sem examinar se o exercício concedido pode gerar algum risco para o negócio. Como resultado dessa ação, colaboradores podem ter permissões incompatíveis com as funções que desempenham e, eventualmente, tirarem vantagem disso.
Dessa forma, a aderência à LGPD envolve muito mais do que apenas ter políticas de privacidade e consentimento apropriados. É essencial que as empresas também foquem na implementação de controles internos, incluindo a gestão de acessos e a segregação de funções (SoD), a fim de minimizar ações indevidas e, consequentemente, aumentar a proteção e conformidade destas informações.
Em suma, a SoD e a LGPD estão intrinsecamente relacionadas quando se trata da proteção dos dados sensíveis, uma vez que essa integração eficaz traz diversos benefícios para as empresas. Além de contribuir com a conformidade legal, essa abordagem fortalece a segurança dos dados, aumenta a confiança dos clientes e parceiros, evita danos à reputação e demonstra compromisso em proteger a privacidade das informações, oferecendo uma vantagem competitiva no mercado regulamentado.
*Eduardo Maia gerente sênior de IT Risk Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
A Lei Sarbanes-Oxley (SOX), promulgada nos Estados Unidos e voltada para a governança corporativa, traz as novas questões regulatórias sobre a privacidade de dados e os constantes processos de violações de segurança, forçando as empresas a aumentarem a conscientização e a responsabilidade sobre as ações internas de seus funcionários.
Um dos instrumentos para tal controle é a matriz Segregation of Duties ou Segregação de Funções (SoD). Sem ela, as segregações inadequadas de funções podem dificultar a prevenção, detecção e investigação de fraudes, o que pode levar a declarações financeiras incorretas, punições regulatórias, danos à reputação da empresa e redução da confiança dos investidores. Há também o risco de apropriação indébita de ativos, que envolve terceiros ou funcionários de uma organização que abusam de sua posição para roubá-la por meio de atividade fraudulenta.
Ou seja, se os controles internos não forem confiáveis, abrem-se precedentes para aumentar os testes substantivos pela auditoria interna e pelo auditor externo, traduzindo-se em custos adicionais para a organização. E as descobertas mais sérias podem levar a uma avaliação pelo auditor externo de que a empresa possui uma deficiência significativa ou fraqueza material.
Por último, se os SoDs não estiverem presentes, levanta-se a questão sobre se as informações e provas obtidas são confiáveis, isentas de erros ou podem sugerir a existência de uma distorção material. Como resultado, o auditor pode aumentar o tamanho das amostras, diminuir o limite de testes substantivos ou aumentar os procedimentos de auditoria em geral.
Por isso, os SoDs devem ser proporcionais ao tamanho, à complexidade e ao risco geral das operações de uma empresa e do ambiente de relatórios financeiros, o que os torna importantes nos esforços para reduzir fraudes e aumentar a eficácia operacional.
Controles compensatórios podem existir para mitigar os riscos resultantes da falta de segregação adequada de funções. Entretanto, eles incluem trilhas de auditoria, reconciliação, revisões de supervisão e logs de transações que podem encarecer os custos. Portanto, recomenda-se que a SoD seja implantada por meio de um projeto e sustentada ao longo do tempo.
Prevenir resultados desastrosos
Sem a SoD, qualquer destes cenários mostra claramente a possibilidade de resultados desastrosos, exatamente o que não se tolera na Lei SOX. Como resultado, o objetivo de gerenciamento de risco dos controles SoD é evitar que ações unilaterais ocorram em processos-chave nos quais os efeitos irreversíveis estejam além da tolerância de uma organização a erros ou fraudes.
Independentemente da metodologia, ou do framework que sustenta o processo de gerenciamento de risco de uma empresa, a SoD é assunto relevante, pois a gestão de perfil de acesso é uma preocupação recorrente entre membros de comitês de auditoria, especialmente em períodos de ameaças cibernéticas cada vez mais frequentes.
Para nós, auditores independentes para certificação SOX, é evidente perceber que quanto maior a preocupação com a SoD e seus desdobramentos, de uma maneira preventiva, maior é o nível de maturidade de governança da empresa em todo o seu processo de gerenciamento de riscos.
*Erick Matheus Santos e Gustavo Ferreira são gerentes na área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Atualmente, todo o mercado está querendo e precisa inovar com a tecnologia, bem como adequar-se às legislações atuais, como a Lei Geral de Proteção de Dados (LGPD), que acaba de ser sancionada pelo presidente da república. Além disso, profissionais de diversos setores passaram a ter como condição fundamental se adaptarem aos assuntos pertinentes à tecnologia da informação, mas não podemos esquecer do famoso termo “back to basics” ou seja, voltar às origens.
A TI é um imperativo organizacional, ou seja, todas as atividades dependem dela em algum nível para funcionarem. Não se trata de uma função secundária, mas sim um fim em si mesma, pois seu objetivo é dar suporte, criar e entregar valor para o negócio. Além disso, essa disciplina tem macros objetivos, como consolidar e entregar os benefícios para as áreas de negócio, cuja função é garantir os resultados realizando-os conforme planejado, assim como otimizar riscos criando uma consistência nessa realização de resultados, além de aprimorar recursos, utilizando-os de forma eficiente para gerar resultados de forma consistente.
O negócio e a tecnologia da informação precisam falar a mesma língua. Se a empresa está em fase de recessão, não adianta a TI ter planos de expansão. Ao mesmo tempo, se a empresa estiver em fase de inovação, não adianta a área de tecnologia estar em fase de estabilização. Isso significa que é necessário o alinhamento com a estratégia corporativa.
Neste aspecto é que a TI está tentando criar e agregar valor, e o risco de segurança pode colocar tudo a perder, seja utilizando recurso de forma ineficiente, entregando resultados instáveis, ou até mesmo causando rupturas em legislações vigentes. Com este cenário latente vem a pergunta: vou precisar de apoio da área de Riscos, além da Tecnologia da Informação?
Sim! Identificar, avaliar, responder e monitorar riscos são atividades em que o departamento de riscos vai ajudar a TI a estar alinhada com a estratégia corporativa. Visto isto, entendemos que a gestão foca em planejar, construir, executar e monitorar as atividades em alinhamento, sem esquecer de ter a direção definida pela governança para criar valor alcançando os objetivos, pois ela é quem dita o rumo da TI, ou seja, em última instancia é a governança que é a responsável por garantir essa entrega de valor.
Vale ressaltar que o gerenciamento de riscos é uma das ferramentas chaves da governança. Entendendo isso, você terá alinhamento estratégico, entregará valor, otimizará os recursos, as performances e a conformidade para, enfim, estar pronto para evoluir com os assuntos em alta no mercado como Data Analytics, Auditoria Contínua, Robotics, Machine Learning e certificar, ou não, seus processos em Segurança da Informação.
*Erick Matheus dos Santos é gerente da área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
As organizações estão sentindo o calor e a pressão para inovar e criar maneiras de fazer com que seus negócios permanecerem relevantes. Para as instituições financeiras, em particular, esta situação é ainda mais presente devido à forte concorrência dos gigantes do setor, bem como as startups “nascidas digitais”.
Com o cenário regulatório em constante mudança, equilibrar requisitos regulamentares e de conformidade complexos com esforços para aumentar a eficácia e reduzir custos por meio da transformação digital, exigirá processos de negócios mais inteligentes e que demandam atenção com a segurança da informação.
As inovações permitem o acesso ideal do usuário aos sistemas, garantindo a manutenção das medidas de segurança apropriadas. Para um número crescente de organizações, usuários internos e externos estão acessando sistemas de todo o mundo e de uma variedade de dispositivos. Isso significa que as identidades desses usuários e seus acessos associados, em vez da rede, estão formando o novo limite de segurança em torno da organização.
Essa mudança de paradigma destaca a importância de acertar o gerenciamento de identidade e acesso (IAM), tanto para facilitar os negócios quanto para ficar à frente dos requisitos de auditoria, conformidade e regulamentação. Analisando a Instrução Normativa nº 001/2001, temos o Princípio da Segregação de Funções, uma regra de controle interno para evitar falhas ou fraudes na entidade, descentralizando o poder e estabelecendo independência para as funções de execução operacional, custódia física e contabilização da informação. Ela alerta que ninguém deve ter sob sua inteira responsabilidade todas as fases inerentes a uma operação.
A informação tem um ciclo de vida de quatro fases: manuseio, no qual dado é criado e manuseado; transporte, que são os meios para o envio dos dados de um local a outro; armazenagem, onde o dado está guardado/custodiado; e descarte, ou seja, quando se dá o ciclo final à informação.
Analisando estas etapas, um dado pode ser vazado como ato intencional em algumas dessas fases para obter algum ganho ou vantagem e, em um ambiente competitivo, cujas mudanças de processo e tecnologia podem impulsionar a organização a novos patamares ou causar riscos significativos e possíveis impactos negativos, é crucial a adoção de medidas proteção de dados para que eles não caiam nas mãos de alguém mal-intencionado em qualquer etapa do seu ciclo de vida.
Cabe a adoção de procedimentos de segurança como estratégia de prevenção de ataque cibernético, evitando o vazamento de informações sigilosas das empresas. Portanto, para permanecer relevante e permitir que a empresa tenha sucesso em um cenário em rápida mudança, mantendo uma forte postura de risco e segurança, programas, processos, governança e tecnologia de gerenciamento de identidade e acesso precisam ser alinhados.
Investir em uma equipe capacitada na terceirização deste serviço que seja especializada, com profissionais que tenham domínio do tema e que sejam capacitados para proteção de dados, deve ser levado em consideração num mundo cada vez mais digital e com empresas ingressando para a cultura Data Driven.
