Com as empresas em busca de aquisições estratégicas para expandir sua participação de mercado de forma a obter acesso a novas tecnologias ou geografias e aumentar sua competitividade, notam-se tendências que podem continuar a moldar o cenário de fusões e aquisições em 2023.
Entre elas, há uma demanda contínua por empresas de tecnologia e ativos digitais, assim como maior foco nas organizações com perfis ambientais, sociais e de governança (ESG) já desenvolvidos e nas transações internacionais devido à procura por negócios mais globalizados. Além disso, as taxas de juros baixas podem continuar barateando os empréstimos, o que pode encorajar mais empresas a buscar acordos de fusões e aquisições.
Entretanto, num processo que envolva fusão e aquisição, ou seja, num M&A (Mergers & Acquisition), se a migração for dificultosa, podem ocorrer situações indesejadas, como clientes trocarem a empresa pelo concorrente ou certas vulnerabilidades serem exploradas de forma indevida, tornando a reorganização societária e, consequentemente, a transformação digital, um fracasso.
Por exemplo, há casos reais, como uma cisão parcial realizada no setor de seguros que foi descontinuada após recorrentes dificuldades enfrentadas na estruturação operacional, bem como na gestão de acesso para a uma nova subsidiária. Na época, a empresa não possuía estrutura e processos adequados para as atividades de gestão de acesso, sendo assim não se sabia como estava o cenário atual das permissões de acesso aos sistemas core do negócio.
Ou seja, sem a devida estruturação e controle, o processo de concessão de acesso para a nova subsidiária ocorreu de forma incompleta e desordenada, incorrendo em uma série de problemas operacionais e aumento de vulnerabilidades.
Como forma de mitigar os problemas operacionais, foram empregadas soluções de análise de dados para avaliação do cenário e ajuda na tomada de decisões estratégicas. Em pouco tempo o cenário caótico foi sendo minimizado e compreendido pelos indicadores e informações organizadas. No entanto, o desgaste já havia acontecido e o prosseguimento da cisão já não fazia sentido. Se o entendimento de cenário e controle de mudanças fossem operacionalizados de forma antecipada a partir de ferramentas de análise, o resultado teria mais chances de ser positivo.
Outro exemplo, desta vez no setor rodoviário, traz um processo de aquisição para a incorporação de tecnologia que fez com que a empresa adquirente se enquadrasse em novas exigências regulamentadoras. Um dos pontos essenciais para atendimento das exigências impostas consistia na estruturação mais robusta do processo de gestão de acesso aos sistemas incorporados, ou seja, a empresa precisou amadurecer seus processos de forma muito rápida, tendo em vista que havia pouca iniciativa desenhada para gestão de acesso.
Neste caso, o uso de técnicas de análise de dados permitiu melhoria significativa de maturidade ao aferir o cenário e desenhar planos de ação para questões ligadas à IAM (Identity and Access Management) e SoD (Segregation of Duties).
As dificuldades enfrentadas e consequentemente a taxa de insucesso relacionadas ao processo de reorganização societária não ficam restritos apenas aos cenários internos das companhias. Segundo a Forescout, 53% das organizações se depararam com incidentes e problemas críticos de cibersegurança durante um processo de M&A, assim como 65% apresentaram arrependimento em relação ao acordo feito após enfrentarem problemas nessa questão. De forma não isolada, as vulnerabilidades de cibersegurança são exponenciais sem uma solução sólida de IAM instalada.
Isso significa que o processo de M&A terá um grande problema de segurança caso a empresa esteja gerenciando um alto volume de dados descentralizados ou sem uma estratégia de identidade centralizada.
Ter uma solução de análise massiva de dados disponível para execução antes de uma reorganização societária permite que a companhia tenha um panorama mais eficiente do cenário atual sob um contexto geral, não somente para temas voltados à gestão de dados.
Ao realizar uma análise completa e eficiente considerando grandes volumes de dados financeiros e operacionais, é possível que tendências e pontos de falhas sejam identificados levando, a decisões estratégicas mais eficientes e seguras. Ou seja, evita que meses sejam desprendidos integrando sistemas e minimiza o esforço operacional garantindo mais tempo para a equipe se dedicar em assuntos ainda mais críticos. Além disso, o emprego da tecnologia aumenta a taxa de sucesso de fusões e aquisições, pois essas tendem a falhar se não houver um processo claro de integração dos dados.
A implementação de uma ferramenta de análise de dados massivo é uma etapa crítica na jornada de migração em M&A, exigindo dos tomadores de decisão um planejamento antecipado que contemple a avaliação de quais dados e sistemas devem ser mantidos e quais serão descartados.
*Erick Matheus Santos e Rafael Carniato são da área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
A Lei Sarbanes-Oxley (SOX), promulgada nos Estados Unidos e voltada para a governança corporativa, traz as novas questões regulatórias sobre a privacidade de dados e os constantes processos de violações de segurança, forçando as empresas a aumentarem a conscientização e a responsabilidade sobre as ações internas de seus funcionários.
Um dos instrumentos para tal controle é a matriz Segregation of Duties ou Segregação de Funções (SoD). Sem ela, as segregações inadequadas de funções podem dificultar a prevenção, detecção e investigação de fraudes, o que pode levar a declarações financeiras incorretas, punições regulatórias, danos à reputação da empresa e redução da confiança dos investidores. Há também o risco de apropriação indébita de ativos, que envolve terceiros ou funcionários de uma organização que abusam de sua posição para roubá-la por meio de atividade fraudulenta.
Ou seja, se os controles internos não forem confiáveis, abrem-se precedentes para aumentar os testes substantivos pela auditoria interna e pelo auditor externo, traduzindo-se em custos adicionais para a organização. E as descobertas mais sérias podem levar a uma avaliação pelo auditor externo de que a empresa possui uma deficiência significativa ou fraqueza material.
Por último, se os SoDs não estiverem presentes, levanta-se a questão sobre se as informações e provas obtidas são confiáveis, isentas de erros ou podem sugerir a existência de uma distorção material. Como resultado, o auditor pode aumentar o tamanho das amostras, diminuir o limite de testes substantivos ou aumentar os procedimentos de auditoria em geral.
Por isso, os SoDs devem ser proporcionais ao tamanho, à complexidade e ao risco geral das operações de uma empresa e do ambiente de relatórios financeiros, o que os torna importantes nos esforços para reduzir fraudes e aumentar a eficácia operacional.
Controles compensatórios podem existir para mitigar os riscos resultantes da falta de segregação adequada de funções. Entretanto, eles incluem trilhas de auditoria, reconciliação, revisões de supervisão e logs de transações que podem encarecer os custos. Portanto, recomenda-se que a SoD seja implantada por meio de um projeto e sustentada ao longo do tempo.
Prevenir resultados desastrosos
Sem a SoD, qualquer destes cenários mostra claramente a possibilidade de resultados desastrosos, exatamente o que não se tolera na Lei SOX. Como resultado, o objetivo de gerenciamento de risco dos controles SoD é evitar que ações unilaterais ocorram em processos-chave nos quais os efeitos irreversíveis estejam além da tolerância de uma organização a erros ou fraudes.
Independentemente da metodologia, ou do framework que sustenta o processo de gerenciamento de risco de uma empresa, a SoD é assunto relevante, pois a gestão de perfil de acesso é uma preocupação recorrente entre membros de comitês de auditoria, especialmente em períodos de ameaças cibernéticas cada vez mais frequentes.
Para nós, auditores independentes para certificação SOX, é evidente perceber que quanto maior a preocupação com a SoD e seus desdobramentos, de uma maneira preventiva, maior é o nível de maturidade de governança da empresa em todo o seu processo de gerenciamento de riscos.
*Erick Matheus Santos e Gustavo Ferreira são gerentes na área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Com a finalidade de incentivar o quadro funcional que atua na operação primária da atividade canavieira, a qual é caracterizada pelo cultivo de cana-de-açúcar (produção agrícola) e fabricação de seus derivados (produção industrial), como o açúcar, o etanol e a bioenergia, o setor sucroalcooleiro, visando aumentar a produtividade laboral, habitualmente utiliza de políticas de remuneração variável para estimular os colaboradores a desempenharem suas funções de modo melhor, sempre com a superação do nível mínimo admissível de excelência, e, assim, garantir, como consequência natural deste estímulo, maior efetividade e resultados operacionais e financeiros mais eficazes e significativos.
Dentre os recursos que podem compor as políticas de remuneração variável, como a outorga de bônus, de participação nos lucros e resultados, de gratificações (funcional e por habilidades), de compra de ações da empresa (“stock options”) e de comissões, destaca-se a concessão de prêmios financeiros atrelados ao cumprimento de metas pré-estabelecidas.
Esses prêmios ou premiações, além de comporem o macroprocesso de bonificação e valorização profissional dos trabalhadores (que é responsabilidade de Recursos Humanos), correspondem a essência do programa de incentivo aos funcionários, cujo desígnio, já mencionado antes, é simples e axiomático: elevar a produtividade funcional e a qualidade dos serviços executados, via concessão de benefício(s) financeiro(s).
Pelo fato deste benefício ser uma forma de recompensa que atua na principal fonte da motivação humana, a entrega de bons resultados frequentemente alavanca a performance das equipes operacionais, fomenta a competitividade interna, tanto entre funcionários como entre times, além de possibilitar o aprimoramento de competências e habilidades, em razão de gerar engajamento no trabalho, proatividade e reforçar os valores culturais da corporação.
Para cumprir com a sua finalidade, o prêmio de incentivo a produtividade necessita de transparência integral para assegurar legitimidade, de regras formais, concisas e consistentes a fim de garantir integridade, de aprovação do Comitê de Remuneração para salvaguardar a equidade de participação, e, sobretudo, do comprometimento de todos os envolvidos, desde as áreas responsáveis pela sua gestão até os líderes dos entes elegíveis, assim como, das áreas de governança, áreas administrativas e dos fiscais de campo.
No contexto das usinas sucroalcooleiras, a prática de mercado observada é a concessão do prêmio de incentivo a produtividade aos colaboradores que atuam no processo agrícola, especificamente no tocante aos subprocessos do preparo de solo, tratos culturais, fertirrigação, plantio e colheita (corte, transbordo e transporte). Apesar de não ser usual e nem unanimidade, há organizações que agraciam esse benefício aos colaboradores das áreas industrial e de manutenção automotiva e industrial (as áreas administrativas, inclusive abrangendo o controle agrícola, não são elegíveis ao programa).
Prêmio de Incentivo à Produtividade: informações importantes
Como a natureza do prêmio é a superação do desempenho individual, só faz sentido, segundo as melhores práticas, a elegibilidade de profissionais e de áreas organizacionais que sejam passíveis de serem atribuídas metas quantitativas e na conjuntura destas terem viabilidade de mensuração a nível individual, caso contrário, haveria distorção conceitual do incentivo a produtividade e provável caracterização de natureza salarial do prêmio.
O programa de concessão do prêmio é estruturado através de metas quantitativas, que são definidas com base no tipo de trabalho realizado, em consonância as características de cada atividade realizada e a nível individual por colaborador (classe de cargo), com padrões determinados que precisam ser adequados, justos e devidamente divulgados (mais de uma meta é normalmente designada à cada área/serviço e a cada classe de cargo).
Além das metas, existem indicadores categorizados como penalizadores e bonificadores, como no caso de acidentes de trabalho e/ou quebra de maquinário/equipamento, os quais também podem abranger questões qualitativas, técnicas e/ou comportamentais, inclusive relacionadas a segurança do trabalho e a conformidade dos processos, que são aplicados sobre o resultado mensal das metas e que elevam ou diminuem o valor apurado do prêmio.
Legislação e regulamentação dos programas de incentivo
Antes da promulgação da lei nº 13.467/2017 (reforma trabalhista), a jurisprudência vigente, em termos trabalhistas e tributários, era de que o valor pago com habitualidade a título de prêmio tinha natureza salarial, corresponderia a contraprestação do trabalho e, portanto, se enquadraria no conceito de gratificação paga ordinariamente, devendo, por lógica, integrar o salário dos trabalhadores até mesmo para a incidência de contribuições previdenciárias.
Contudo, como o artigo nº 457 da CLT (Consolidação das Lei Trabalho) foi modificado pela reforma trabalhista de 2017, houve a retirada da natureza salarial dos prêmios, uma vez que a redação alterada de tal artigo foi explicita ao expressar que importâncias, ainda que habituais, pagas a título de prêmios e abonos não integram a remuneração do emprego, não se incorporam ao contrato de trabalho e não constituem base de incidência de qualquer encargo trabalhista e previdenciário.
Tendo em vista que o parágrafo 4º do artigo nº 457 da CLT define “prêmios” como sendo as liberalidades concedidas pelo empregador aos seus empregados, em forma de bens, serviços ou valor em dinheiro, em virtude de desempenho superior ao ordinariamente esperado no exercício das atividades, é de vital importância que a outorga desse benefício esteja suportada por critérios críveis e embasada em evidências que realmente corroborem o desempenho individual acima daquele esperado para a execução normal dos serviços
Prêmios concedidos que não representam uma performance acima do esperado, que não estejam alicerçados em metas verdadeiramente mensuradas, que foram/são pagos mensalmente durante o ano fiscal sem interrupção, inclusive em períodos de férias coletivas e na entressafra, e/ou que refletem percentual exacerbado ou superior ao salário pactuado em contrato estão sendo, aparentemente, reconhecidos pela jurisprudência trabalhista atual como natureza salarial, inclusive com decisões referenciando o artigo nº 9 da CLT, que discorre sobre a nulidade de atos praticados com objetivo de fraudar os diretos trabalhistas.
Conformidade, riscos e a importância da auditoria interna
Sob as perspectivas de conformidade e riscos, é fundamental que o programa de incentivo a produtividade seja regularmente auditado, revisado e avaliado, pois o atingimento dos intentos pretendidos com a outorga do prêmio somente é susceptível de ser ratificado quando avaliações e exames são realizados. Nesse caso, considerando o conteúdo da NBC TI “Da Auditoria Interna” (norma expedida pelo Conselho Federal de Contabilidade), cabe a auditoria interna avaliar a integridade, adequação, eficácia, eficiência e economicidade dos processos, dos sistemas de informações e de controles internos, com vistas a assistir à administração da entidade no cumprimento dos seus objetivos.
Por meio dos procedimentos de auditoria, é precípuo e imprescindível verificar se as metas estabelecidas são factíveis de serem alcançadas e, principalmente, validar a consistência da produtividade de cada classe de cargo tipificada como dentro do esperado, a qual não deve ser remunerada via prêmio, isto é, examinar se a aferição da produtividade que definiu o desempenho dos colaboradores, de acordo com as funções existentes, como dentro do esperado faz mesmo sentido e se encontra ou não alicerçada por premissas adequadas.
Auditoria interna e adequação de valores do prêmio de incentivo
Para ponderar sobre as faixas de produtividade que são recompensadas por refletirem desempenhos acima do esperado, recomenda-se primeiro compreender e homologar a produtividade enquadrada pelos responsáveis como sendo aquela dentro do esperado para cada área, cargo e função. Por essa razão, a auditoria interna deve examinar essa questão básica, pois se ela não estiver adequada, precisa e substanciada por premissas legítimas, a concessão do prêmio e os seus objetivos já estarão incorretos e deficientes. De nada adiantará existir ações de incentivo a produtividade, se a organização não tiver mensurado corretamente quais são os desempenhos quantitativos elencados como dentro do esperado e acima do esperado.
Em citação análoga, não faz sentido um colaborador receber num mês o prêmio de produtividade por desempenho acima do esperado na proporção de 50%, 60%, 70% ou 90% do seu salário base/nominal, uma vez que, nesta circunstância, estaria evidente a existência de erros na formulação do programa de incentivo funcional, pois se o desempenho dentro do esperado, que não gera a outorga do prêmio financeiro, corresponde ao salário recebido pelo empregado por oito horas diárias de trabalho durante 30 dias, como conseguiria um colaborador aumentar em 50% o seu ganho mensal? Quer dizer, quantas horas, além das 40 semanais, seriam necessárias para que ele aumentasse em 50% a sua produtividade?
Do mesmo modo, não é adequado atribuir metas universais aos colaboradores elegíveis, como a moagem mensal (quantidade de cana-de-açúcar processada), aproveitamento de tempo de moagem, eficiência industrial, entre outras, já que a superação do trabalho mensal a ser premiada deve estar estruturada no menor nível de medição possível, por cada tipo de atividade e ser inerente a função exercida por cada serviço elencado, pois somente assim é possível reconhecer esforços individuais ainda que indicadores globais não sejam atingidos.
Nesse sentido, as metas devem considerar o perfil de cada subárea (preparo, tratos, plantio, CTT, etc.), os equipamentos e/ou veículos usados nas atividades e a natureza dos serviços. Por exemplo, os funcionários que atuam na colheita devem ter metas peculiares, próprias e diferenciadas, segundo cada tipo de maquinário/veículo utilizado (considerando, inclusive, a capacidade operacional destes), assim como, essas metas precisam ser distintas daquelas definidas às equipes que atuam no preparo de solo, mesmo porque, os trabalhos não são iguais. Por essa razão, a auditoria interna tem que examinar anualmente a adequabilidade das metas definidas e avaliar se os conceitos impregnados na formulação delas realmente são devidos e retratam as particularidades de todas as etapas do processo agrícola.
Obviamente, a validação das metas tipificadas e suas faixas ou escalas percorre a análise do cálculo de como a organização apurou/definiu a produtividade quantitativa inerente aos desempenhos superiores àqueles esperados para o exercício de cada função. Entretanto, o processo de auditoria tem que ir além e não ser jamais limitado ou restringindo. Questões relacionadas aos riscos existentes e a avaliação de efetividade dos controles internos, em especial os que contemplam as atividades de aprovação, revisão, conferência, conciliação e a própria segregação de função, são elementos indispensáveis a serem executados.
O processo de apuração mensal do prêmio, seja este efetuado de forma manual (planilhas) ou sistêmica, deve ser objeto de avaliação e recálculo (procedimento mandatório e crucial), incluindo conciliação dos inputs e das bases de dados. Um benchmarking de mercado também precisa ser considerado como procedimento natural para dar perceptibilidade aos tomadores de decisão acerca das melhores práticas de mercado vigentes e de novas tendências que, presumivelmente, poderiam fortalecer o programa implementado.
Outra questão que tem de ser examinada com profundidade é a possibilidade de elevação relevante dos riscos operacionais, em decorrência de, no afã de obter melhores resultados, os colaboradores beneficiários estarem, porventura, incorrendo em riscos ou assumindo mais riscos que normalmente assumiriam ou incorreriam para alcançar as metas fixadas. Além disso, as metas instituídas necessitam ser avaliadas comparativamente às metas estipuladas em outros benefícios, como no caso da participação de lucros e resultados, dado o fato de ser totalmente indevido o uso de metas iguais em benefícios/programas distintos.
Ainda que a concessão do prêmio de incentivo a produtividade seja um mecanismo bastante importante para alavancar a produtividade operacional das companhias sucroalcooleiras e sucroenergéticas, esse propósito de impulsionamento somente é capaz de ser atingido se os preceitos usados no desenvolvimento e manutenção do programa deste benefício forem apropriados, fidedignos e estiverem alinhados aos objetivos estratégicos da organização.
Para tanto, o uso e aplicação da auditoria interna são essenciais, uma vez que, a visibilidade quanto à conformidade, efetividade e adequabilidade de tal programa apenas é possível de ser dada pelo seu intermédio, já que ela, a auditoria interna, tem a função de agregar valor ao resultado das organizações, apresentando, à este fim, subsídios para o aperfeiçoamento dos processos, da gestão e dos controles internos mediante a emissão de recomendações que minimizem ou mitiguem as deficiências, fragilidades e/ou inconformidades identificadas.
* Thiago Fernando Ciola é consultor master da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
De maneira global, o número total de IPOs (Initial Public Offering) diminuiu bastante em 2022. Foram 992 aberturas iniciais de capital no mundo todo, o que equivale a 44% de queda comparado com o número de 2021, de acordo a EY. Com as incertezas econômicas e tensões geopolíticas sendo considerado como o maior desafio do mercado de IPO, as empresas e os investidores continuam esperando por um sentimento mais estável e positivo do mercado de ações.
Na bolsa brasileira não temos um IPO desde agosto de 2021, dado o cenário de volatilidade econômica e a alta dos juros, com a taxa básica de juros, a Selic, chegando a 13,75% ao ano.
Mas, para 2023, o mercado prevê um movimento de R$ 80 bilhões na B3. Por isso, as empresas que tiveram de desistir de suas aberturas de capital nos anos de 2021 e 2022 devem priorizar o processo no próximo ano. Desde 2020, 109 empresas chegaram a fazer o primeiro protocolo da oferta na CVM (Comissão de Valores Mobiliários) e a estimativa é de que entre 10 e 15 empresas façam uma abertura de capital ou uma oferta subsequente ao longo do primeiro semestre de 2023. Esse cenário otimista também depende de uma série de variáveis, entre elas, o movimento mais claro de queda da inflação e o fim do aperto monetário no Brasil e no exterior.
Embora as empresas pré-IPO priorizem detalhes financeiros e operacionais e, em menor grau, controles de TI, sabemos que menos atenção ainda é dada aos controles dos fornecedores com os quais estão se envolvendo. Neste cenário, a recomendação é que essas empresas passem a identificar e a entender o ambiente de controle seus prestadores de serviços, sobretudo porque as empresas confiam cada vez mais na infraestrutura e nos aplicativos baseados em nuvem para dar suporte a funções críticas de negócios.
As empresas que ainda não abriram o capital, mas estão considerando, são aconselhadas a solicitar um relatório SOC (Service Organization Controls), que é um atestado do ambiente de controle interno da organização de serviços para checar se há deficiências no ambiente de fornecedores e, com isso, evitar possíveis problemas de auditoria no futuro.
Nesta análise, a administração pode presumir que um investimento em ferramentas e aplicativos de fornecedores terceirizados vem com uma transferência de risco. Infelizmente, este não é necessariamente o caso. Na realidade, a empresa compartilha o risco, ou seja, é sempre responsável por garantir que os controles estejam em vigor, seja em seu próprio ambiente ou em seus fornecedores. Por isso, os relatórios SOC podem revelar problemas de controle no ambiente de controle do fornecedor.
No entanto, simplesmente obter os relatórios não é suficiente. É importante que a empresa analise os relatórios com cuidado e entenda exatamente quais controles estão em vigor e quais não estão. Os itens a serem observados são se a opinião emitida pelo auditor do serviço possui ressalvas, se há exceções de controle, se há controles habilitados pelo usuário e se o relatório inclui sub prestadores de serviços.
Para empresas de capital aberto, a obtenção e a análise de relatórios SOC é considerada parte de seu controle interno, mas as empresas que pretendem abrir o capital também se beneficiarão da atenção antecipada neste ponto. Entender os requisitos com antecedência pode evitar riscos depois da abertura de capital. Além disso, antecipar os requisitos e os critérios solicitados pela SOC irá dar credibilidade e vantagem competitiva ao ser avaliado por empresas pré-IPO.
*Erick Matheus Santos e Thiago Gomes são gerentes na área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Como o risco de fraude frequentemente é crítico, o processo de contratação de terras do setor sucroalcooleiro deve ser mapeado em fluxos
por Thiago Fernando Ciola*
Um dos principais fatores de sobrevivência e de crescimento das usinas que atuam no setor sucroalcooleiro é a contratação de terras para o cultivo de cana-de-açúcar, seja em áreas próprias ou de terceiros. Isso porque a produção de açúcar, etanol e bioenergia, e dos próprios subprodutos gerados como o bagaço, a torta de filtros, a vinhaça e outros que são transformados em novos produtos quando tratados, depende da matéria prima proveniente desta planta gramínea para gerar benefícios econômicos futuros e contínuos.
Obviamente, a capacidade máxima produtiva da indústria de cada usina é determinante para a definição da quantidade de áreas necessárias a serem contratadas. Do mesmo modo, projetos de investimentos de médio e longo prazos, com desígnio de aumentarem a produtividade, são imprescindíveis, uma vez que alicerçam e direcionam a elaboração dos planos de contratação de terras, tanto para suprir às demandas projetadas nos programas de expansão como para atender o volume de moagem ampliado gradualmente.
Nesse contexto, o processo de prospecção, contratação, produção e obtenção da matéria prima é fundamental à manutenção e ao crescimento da indústria canavieira. Usualmente, a contratação de terras de terceiros acontece por meio de três modalidades distintas: arrendamento rural, parceria agrícola e compra de cana-de-açúcar de fornecedor, cada qual com suas particularidades e riscos. As duas primeiras, que estão disciplinadas no Estatuto da Terra, diferem em termos de natureza e tributação.
No caso da parceria agrícola, a essência da operação é a partilha dos frutos, produtos, lucros ou dos riscos, de forma que tanto o proprietário como o parceiro ficam sujeitos aos riscos, como na hipótese de casos fortuitos e de força maior. Já no arrendamento rural, a essência da operação é a cessão da terra mediante o pagamento de um valor fixo não atrelado à quantidade produzida, e tipificado em contrato, cujo conteúdo garante o uso pelo arrendatário da propriedade rural para exploração.
A compra de cana-de-açúcar de fornecedores, por sua vez, corresponde a uma operação comum de compra e venda, cujo comprador não participa do processo produtivo. Normalmente, essa operação é realizada de duas formas: compra de cana posta na esteira, na qual o fornecedor (proprietário da terra), além da produção, tem a responsabilidade de efetuar a colheita e entregá-la no parque industrial do comprador. Já o segundo modelo se refere à compra de cana em pé no campo, cuja responsabilidade pela colheita e transporte é do comprador. Ou seja, nesta categoria, o fornecedor apenas executa o processo produtivo: preparo, plantio e cultivo da cana-de-açúcar.
A contratação de terras, bem como, a compra de cana-de-açúcar de fornecedores, independente da modalidade acordada, envolve valores financeiros expressivos e implica no estabelecimento de relações que se estreitam e, consequentemente, acabam ensejando riscos que precisam ser monitorados e acompanhados de perto pela gestão das companhias que operam no setor sucroalcooleiro. Por essa razão, a auditoria interna é fundamental para mensurar a efetividade dos controles correlacionados, fornecer subsídios e insights acerca da maturidade do processo e, principalmente, avaliar se as diretrizes organizacionais estão sendo observadas no fluxo das contratações.
Como o risco de fraude frequentemente é crítico, o processo de contratação de terras deve ser mapeado via fluxos, além de contemplar a elaboração de uma matriz de riscos e controles especifica, que abranja a mensuração sobre a interconectividade dos riscos, frente a outros processos de negócio. As contratações efetuadas, por sua vez, precisam ser auditadas anualmente em razão dos contratos firmados serem precificados com base na qualidade do ambiente. Inclusive, no tocante às parceiras agrícolas, é costume serem pactuados contratos de compra da parcela de cana pertencente ao proprietário da terra.
Além da avaliação de qualidade do ambiente de produção das terras contratadas, também existem outras questões importantes: subarrendamentos, cessão de parcerias agrícolas, comissões (pagamentos pela intermediação de terceiros na negociação de terras), pagamentos de luvas (pagamentos a título de indenização por melhorias efetuadas na área de produção quando há transferência da terra de um produtor a outro), concessão de incentivos de produção, doações, concessão de adiantamentos, emissão de carta de crédito como penhor de cana e concessão de benefícios diversos que devem ser objeto de auditoria.
Nesse sentido, fica claro o papel da auditoria interna no processo de contratação de terras do setor sucroalcooleiro e na compra de cana-de-açúcar, que é mensurar, por meio de exames, análises, testes e avaliações independentes, a efetividade dos controles implantados para garantir a integridade e a eticidade das negociações e contratações. Essa é a base para concluir se os interesses da companhia estão sendo preservados, observados e respeitados pelos colaboradores que a representam e, concomitantemente, dar visibilidade aos achados de auditoria para que as ações corretivas sejam implementadas com a finalidade de sanar deficiências, fragilidades ou vulnerabilidades averiguadas.
Para que a geração de valor seja realmente perceptível do ponto de vista organizacional, é imprescindível que a Auditoria Interna seja capaz de levantar os fatos acontecidos com agilidade, e, através deles, antever situações futuras mediante a identificação de riscos emergentes. De maneira semelhante, para ser viável a mitigação do risco de fraude, é necessário transcender a rotina usual adotada de avaliação de contratos e pagamentos (diretos e obrigações), no sentido dos procedimentos serem expandidos para: vistorias in loco das terras contratadas, confirmação sobre a qualidade destas, pesquisa de vínculos entre terceiros e os colaboradores da organização; aferição quanto a possível descaracterização das parcerias agrícolas, entre outros.
No que tange à avaliação específica sobre a eventual descaraterização das parcerias agrícolas, é vital que a auditoria interna, ainda que apoiada por especialistas, analise se as operações firmadas de parceria não possuem natureza embutida de arrendamentos rurais, mesmo que estas correspondam a um risco assumido pela corporação, uma vez que, a jurisprudência administrativa e jurídica há tempos assentou o entendimento de que o regime de tributação aplicado independe do nome do contrato, mas, sim, da essência da relação jurídica estabelecida entre as partes. Além disso, havendo conflito entre forma e substância essa última sempre prevalecerá.
Desta forma, além das questões internas de cumprimento das regras instituídas e da avaliação quanto ao risco de fraude, também se atribui à auditoria interna a função de verificar o cumprimento dos normativos fiscais e tributários, associados ao processo de contratação de terras, tendo em vista que a conformidade legal é um requisito básico que deve permear todas as atividades de auditoria. Nesse âmbito, fica claro que cada vez mais as expectativas atribuídas à auditoria interna são grandes e vão sendo ajustadas conforme as necessidades de cada companhia.
Garantir a integridade dos processos organizacionais e corroborar a eticidade nos negócios praticados são questões fundamentais para todas as companhias que atuam no ramo da agroindústria, sendo inevitáveis para aquelas que objetivam combater perdas e fomentar a cultura de riscos e controles. Uma organização que não tem visibilidade sobre a realidade dos seus processos internos não está apta a gerenciar riscos e a lidar com as constantes imprevisibilidades do negócio.
Ter uma área de auditoria interna independente não é apenas cumprir com um requisito de governança corporativa, é uma questão de sobrevivência para a continuidade operacional. Por lógica, monitorar e auditar o processo de contratação de terras ou de compra de cana-de-açúcar, que é a base central que possibilita o funcionamento das usinas, não é apenas indispensável, é obrigatório para assegurar a respectiva efetividade e retidão.
*Thiago Fernando Ciola é consultor master da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Os reguladores de diferentes jurisdições têm, cada vez mais, se posicionado com relação aos riscos relacionados aos criptoativos
Um dos tópicos mais importantes e que vem ganhando destaque em toda a indústria de criptomoedas e blockchain é a regulamentação, que se tornou ainda mais necessário com o rápido desenvolvimento da Web 3.0.
Temos acompanhado o desenvolvimento do cenário regulatório do setor, que engloba uma grande variedade de ativos, como stablecoins, tokens não fungíveis (NFTs), ativos criptográficos, contratos inteligentes e moedas digitais do banco central (CBDCs), entre outros.
A maioria dessas inovações descentralizadas permanece na zona cinzenta da regulação global, o que acaba por trazer incertezas quanto à segurança e às garantias.
Os criptoativos podem ser definidos como ativos digitais protegidos por criptografia, presentes em registros distribuídos (Distributed Ledger Technology), que se encontram dentro de uma base de dados descentralizada, a blockchain.
Essa tecnologia permite diversas inovações em potenciais e desafios legais sem precedentes sobre os quais os reguladores apenas recentemente começaram a se conscientizar.
Como as blockchains permitem a existência de sistemas de transações peer-to-peer descentralizados, ou seja, livres de intermediários, são candidatos naturais para a criação de sistemas inovadores de pagamento.
Os reguladores de diferentes jurisdições têm, cada vez mais, se posicionado com relação aos riscos relacionados aos criptoativos.
De maneira geral, a regulação editada nos diferentes países não tem como foco regular a tecnologia em si, mas, sim, os impactos de seu uso em produtos e atividades dentro de determinada área de atuação.
Isso preserva a inovação, ao mesmo tempo que exige conceitos bem definidos para a aplicação adequada de regras, existentes ou novas.
Dentre os principais riscos a serem mitigados estão a lavagem de dinheiro, a evasão de divisas, as fraudes contra investidores, a monetização por ransomwares, a aquisição de produtos ilícitos via dark web e o financiamento ao terrorismo.
Ao redor do mundo temos visto diversas iniciativas dos governos em regular os criptoativos. Alguns países tratam criptomoedas como dinheiro, enquanto outros as veem como securities, ou seja, títulos financeiros.
Alguns estão preocupados com impostos sobre ganhos de capital, enquanto outros olham para os impostos no contexto da receita de negociação.
Recentemente, os EUA assinaram um decreto que pode ser considerado um marco para o setor, no qual ressalta o crescimento e a capitalização dos criptoativos, reconhecendo a existência de implicações diretas e indiretas para todos os envolvidos, considerando os indivíduos, os investidores e as empresas.
Entre os principais objetivos definidos no decreto estão as questões relacionadas à proteção dos consumidores -bens e dados, estabilidade financeira e mitigação de práticas ilícitas.
O assunto vem crescendo em importância também na América Latina. Segundo o relatório “Geography of Cryptocurrency 2021”, da Chainalysis, a região recebeu 9% do valor global de criptomoedas em 2021, o equivalente a US$ 353 bilhões.
Ainda segundo o relatório, o Brasil é o maior país da região por volume de transações, com US$ 91 bilhões entre junho de 2020 e julho de 2021 e 39% delas ocorreram via DeFi (Finanças Descentralizadas).
Outro aspecto que demonstra a força do mercado é o grande volume de transações sendo realizadas via investidores institucionais, o que representa 36%.
No Brasil, a Instrução Normativa nº 1.888, de 3 de maio de 2019 (“IN 1.888/2019”), apresenta obrigações aplicáveis para todos os atores do mercado de criptoativos.
Ela buscou dar maior transparência e controle ao mercado, coibindo os ilícitos e a prática de sonegação fiscal pelos investidores.
Por meio dela foram criadas obrigações de envio de informações para pessoas físicas e jurídicas sobre as operações realizadas, como as datas, os tipos, os valores e o endereço das wallet de remessa e de recebimento.
O Projeto de Lei 4.401/2021, aprovado no Senado e atualmente em tramitação na Câmara, tem como objetivo a regulamentação do mercado de criptomoedas e dispõe sobre a atuação de prestadoras de serviços de trocas, transferências e administração de criptoativos, além de oferecer diretrizes para tais operações.
Isso inclui livre iniciativa e concorrência, boas práticas de governança e abordagem baseada em riscos, segurança da informação e proteção de dados pessoais, proteção e defesa de consumidores e usuários, proteção à poupança popular, solidez e eficiência das operações e prevenção à lavagem de dinheiro e ao financiamento do terrorismo em alinhamento com os padrões internacionais.
Ao analisarmos o projeto podemos entender que seu foco recai principalmente nas negociações intermediadas por agentes de mercado – as exchanges, prevendo a segregação patrimonial dos seus recursos financeiros e dos investidores.
Tal medida tem como objetivo proteger as aplicações das pessoas, visto que, caso ocorra a quebra de uma exchange, os recursos dos clientes não poderão ser utilizados em processo de falência ou recuperação judicial.
Outra questão importante é o maior nível de segurança jurídica, com viés penal, dada à escalada nos golpes com esses tipos de ativos no País.
O projeto propõe uma mudança na lei que define os crimes financeiros (Lei nº 7.492), incluindo pessoa jurídica que ofereça serviços referentes a operações com ativos virtuais, inclusive intermediação, negociação ou custódia e que agora, caso quebrada, estará sujeita a sanções penais.
Uma vez aprovado, é esperado que ajude no desenvolvimento do ambiente de negócios como um todo. A expectativa, a longo prazo, é que esse processo regulatório permita a entrada de novos investidores neste mercado, fomentando a economia local e aumentando a liquidez de produtos baseados em criptoativos.
O desafio da regulação é uma questão fundamental para o futuro desse mercado no Brasil e no mundo e, portanto, é importante que os órgãos públicos estejam conscientes do potencial das novas tecnologias do mercado financeiro sem coibir o seu uso de forma livre e aberta.
* Thiago Gomes é gerente de IAFA (Internal Audit & Financial Advisory) da Protiviti Brasil, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Atualmente, todo o mercado está querendo e precisa inovar com a tecnologia, bem como adequar-se às legislações atuais, como a Lei Geral de Proteção de Dados (LGPD), que acaba de ser sancionada pelo presidente da república. Além disso, profissionais de diversos setores passaram a ter como condição fundamental se adaptarem aos assuntos pertinentes à tecnologia da informação, mas não podemos esquecer do famoso termo “back to basics” ou seja, voltar às origens.
A TI é um imperativo organizacional, ou seja, todas as atividades dependem dela em algum nível para funcionarem. Não se trata de uma função secundária, mas sim um fim em si mesma, pois seu objetivo é dar suporte, criar e entregar valor para o negócio. Além disso, essa disciplina tem macros objetivos, como consolidar e entregar os benefícios para as áreas de negócio, cuja função é garantir os resultados realizando-os conforme planejado, assim como otimizar riscos criando uma consistência nessa realização de resultados, além de aprimorar recursos, utilizando-os de forma eficiente para gerar resultados de forma consistente.
O negócio e a tecnologia da informação precisam falar a mesma língua. Se a empresa está em fase de recessão, não adianta a TI ter planos de expansão. Ao mesmo tempo, se a empresa estiver em fase de inovação, não adianta a área de tecnologia estar em fase de estabilização. Isso significa que é necessário o alinhamento com a estratégia corporativa.
Neste aspecto é que a TI está tentando criar e agregar valor, e o risco de segurança pode colocar tudo a perder, seja utilizando recurso de forma ineficiente, entregando resultados instáveis, ou até mesmo causando rupturas em legislações vigentes. Com este cenário latente vem a pergunta: vou precisar de apoio da área de Riscos, além da Tecnologia da Informação?
Sim! Identificar, avaliar, responder e monitorar riscos são atividades em que o departamento de riscos vai ajudar a TI a estar alinhada com a estratégia corporativa. Visto isto, entendemos que a gestão foca em planejar, construir, executar e monitorar as atividades em alinhamento, sem esquecer de ter a direção definida pela governança para criar valor alcançando os objetivos, pois ela é quem dita o rumo da TI, ou seja, em última instancia é a governança que é a responsável por garantir essa entrega de valor.
Vale ressaltar que o gerenciamento de riscos é uma das ferramentas chaves da governança. Entendendo isso, você terá alinhamento estratégico, entregará valor, otimizará os recursos, as performances e a conformidade para, enfim, estar pronto para evoluir com os assuntos em alta no mercado como Data Analytics, Auditoria Contínua, Robotics, Machine Learning e certificar, ou não, seus processos em Segurança da Informação.
*Erick Matheus dos Santos é gerente da área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
O momento da pandemia do COVID-19 é sem precedentes, porém não altera as necessidades regulatórias, em alguns casos. Nossas obrigações como auditores internos, não mudam. Para empresas que atendem à legislação Sarbanes Oxley (SOX), permanece a necessidade de garantir um efetivo framework de controles internos, promovendo assim razoáveis garantias às suas demonstrações financeiras por meio da auditoria da comunicação remota.
Muitas das melhores práticas e lições aprendidas sobre auditoria que vimos nogerenciamento do trabalho remoto parecerão muito familiares para você. E, algumas vezes por serem óbvias, podem ser desprezadas. Portanto, devemos ser mais formais e deliberados em um ambiente remoto.
Veja dicas para auditoria da comunicação remota
Devemos estar atentos e tomar as seguintes ações em nosso novo ambiente:
Dica 1) Dedique tempo adequado ao planejamento
Defina as partes interessadas e considere as áreas em que podemos precisar compensar os problemas de conectividade. Considere os canais de comunicação disponíveis para sua empresa, cliente ou pessoal de auditoria externa; e adapte cada canal ao que melhor se ajusta ao seu público.
Dica 2) Definir protocolo de auditoria da comunicaçãoremota
Uma programação de comunicação padrão manterá as equipes remotas juntas, apesar de estarem fisicamente distanciadas. Pense nos métodos ágeis, usando breves reuniões diárias da equipe, oferecendo oportunidade de conexão pessoal enquanto trabalhamos 100% remotamente.
Também é necessária uma conexão frequente com os patrocinadores do projeto para manter continuamente as expectativas alinhadas.
Dica 3) Use uma plataforma comum para compartilhar documentos
Se você ainda não utiliza uma plataforma compartilhada para trocar informações entre sua empresa, o cliente e as equipes de auditoria externa, esse é um dos primeiros obstáculos a serem superados.
Uma solução que funcionou bem é aproveitar plataformas como SharePoint. Isso é econômico, seguro e requer menos tempo para começar a funcionar, em comparação com a implementação de uma ferramenta ou com sistemas de transferência de arquivos que podem não ser tão seguros.
Dica 4) Estabelecer linhas de propriedade claras
Quando equipes estão trabalhando juntas em uma sala de conferências, talvez não precisemos ser tão formais com a atribuição de controles ou ações específicas do projeto para cada membro da equipe. Para permitir que os membros da equipe avancem com confiança, devemos permitir que eles se apropriem de áreas explícitas.
Os conceitos ágeis podem ser úteis nessa situação como uma maneira de atribuir trabalho a funcionários e clientes em sprints; e faça com que as pessoas envolvidas nesses sprints se encontrem para uma reunião em vídeo todos os dias até a conclusão. A comunicação frequente é fundamental para ajudar um ao outro a equilibrar as cargas de trabalho para manter o engajamento em movimento.
Dica 5) Considere o meio de comunicação
Foi percebido grande agilidade ao conectar-se rapidamente com empresas que utilizam plataformas de videoconferência, tais como, Microsoft Teams, Zoom ou WebEx. É muito importante que os auditores internos interajam com os process owners e control owners, pois você pode ler expressões faciais e reações para avaliar melhor se eles realmente entendem seus processos e controles.
O compartilhamento de telas durante essas sessões facilita para todos os participantes que visualizam a mesma agenda, narrativa, fluxo de processos etc. Também permite que os control owners compartilhem arquivos.
Dica 6) Feche o cicloda auditoria da comunicação remota
Acompanhe todas as chamadas com um resumo das informações abordadas, decisões acordadas na chamada e responsabilidade e propriedade pelas próximas etapas. Isso ajudará a confirmar que, mesmo no ambiente disperso em que estamos trabalhando, todos saíram da chamada com o mesmo entendimento.
O esboço de um plano para essas áreas estabelecerá as bases para uma auditoria da comunicação remota bem-sucedida da equipe em um ambiente de trabalho remoto e apoiará a execução contínua do engajamento além desses tempos extraordinários.
Como vimos, um bom planejamento e algumas ações não apenas garantem a boa comunicação como melhoram os processos de trabalho e de auditoria. Em tempos de trabalho remoto, manter o time unido e engajado é um dos maiores desafios das empresas. Mas, felizmente, a tecnologia e algumas boas práticas de gestão podem garantir isso.
* Gustavo Ferreira é gerente de auditoria interna e assessoria financeira da Protiviti
As organizações estão sentindo o calor e a pressão para inovar e criar maneiras de fazer com que seus negócios permanecerem relevantes. Para as instituições financeiras, em particular, esta situação é ainda mais presente devido à forte concorrência dos gigantes do setor, bem como as startups “nascidas digitais”.
Com o cenário regulatório em constante mudança, equilibrar requisitos regulamentares e de conformidade complexos com esforços para aumentar a eficácia e reduzir custos por meio da transformação digital, exigirá processos de negócios mais inteligentes e que demandam atenção com a segurança da informação.
As inovações permitem o acesso ideal do usuário aos sistemas, garantindo a manutenção das medidas de segurança apropriadas. Para um número crescente de organizações, usuários internos e externos estão acessando sistemas de todo o mundo e de uma variedade de dispositivos. Isso significa que as identidades desses usuários e seus acessos associados, em vez da rede, estão formando o novo limite de segurança em torno da organização.
Essa mudança de paradigma destaca a importância de acertar o gerenciamento de identidade e acesso (IAM), tanto para facilitar os negócios quanto para ficar à frente dos requisitos de auditoria, conformidade e regulamentação. Analisando a Instrução Normativa nº 001/2001, temos o Princípio da Segregação de Funções, uma regra de controle interno para evitar falhas ou fraudes na entidade, descentralizando o poder e estabelecendo independência para as funções de execução operacional, custódia física e contabilização da informação. Ela alerta que ninguém deve ter sob sua inteira responsabilidade todas as fases inerentes a uma operação.
A informação tem um ciclo de vida de quatro fases: manuseio, no qual dado é criado e manuseado; transporte, que são os meios para o envio dos dados de um local a outro; armazenagem, onde o dado está guardado/custodiado; e descarte, ou seja, quando se dá o ciclo final à informação.
Analisando estas etapas, um dado pode ser vazado como ato intencional em algumas dessas fases para obter algum ganho ou vantagem e, em um ambiente competitivo, cujas mudanças de processo e tecnologia podem impulsionar a organização a novos patamares ou causar riscos significativos e possíveis impactos negativos, é crucial a adoção de medidas proteção de dados para que eles não caiam nas mãos de alguém mal-intencionado em qualquer etapa do seu ciclo de vida.
Cabe a adoção de procedimentos de segurança como estratégia de prevenção de ataque cibernético, evitando o vazamento de informações sigilosas das empresas. Portanto, para permanecer relevante e permitir que a empresa tenha sucesso em um cenário em rápida mudança, mantendo uma forte postura de risco e segurança, programas, processos, governança e tecnologia de gerenciamento de identidade e acesso precisam ser alinhados.
Investir em uma equipe capacitada na terceirização deste serviço que seja especializada, com profissionais que tenham domínio do tema e que sejam capacitados para proteção de dados, deve ser levado em consideração num mundo cada vez mais digital e com empresas ingressando para a cultura Data Driven.
