Pentest e Red Teaming são duas práticas essenciais de cibersegurança que fortalecem a postura de uma organização ao descobrir vulnerabilidades em seus sistemas, redes, pessoas ou processos de negócios. Essas metodologias possuem objetivos, escopos, abordagens e tecnologias distintas. Entenda algumas dessas diferenças a seguir.
O pentest é um ataque simulado direcionado a um sistema ou rede específicos, com o objetivo de descobrir e relatar vulnerabilidades suscetíveis à exploração. Esse tipo de teste é projetado para avaliar controles primários, como gerenciamento de patches e vulnerabilidades, configuração e fortalecimento do sistema, criptografia, segurança de aplicativos, segmentação de rede, gerenciamento de acesso privilegiado e aplicação de políticas de segurança. O escopo desse engajamento é definido, e o custo varia com base na extensão e profundidade da avaliação.
Por outro lado, o red teaming oferece uma avaliação direcionada da postura de segurança de uma organização. Muitas vezes, concentra-se na capacidade de uma ameaça obter acesso não intencional, juntamente com testes de controles detectivos e preventivos.
Controles detectivos vs. controles preventivos
Controles detectivos incluem sistemas de detecção de intrusões (IDS), resposta a incidentes em endpoints (EDR), sistemas de gerenciamento de informações e eventos de segurança (SIEM), análise de logs e detecção de anomalias. Já os controles preventivos envolvem firewalls, listas de controle de acesso, sistemas de prevenção de intrusões (IPS), autenticação multifator (MFA) e segmentação de rede. O objetivo é identificar e explorar vulnerabilidades de maneira semelhante a um atacante real. Ao mesmo tempo, o teste avalia a capacidade da organização de detectar e prevenir ataques. O red teaming é um exercício baseado em objetivos destinado a simular ameaças do mundo real que visam uma organização.
Esses objetivos normalmente incluem a comprometimento do ambiente interno a partir de uma perspectiva externa, acesso a sistemas sensíveis ou interrupção de processos de negócios. Os caminhos de ataque ou metodologias do atacante nos exercícios de red teaming ajudam a avaliar a resiliência de uma organização contra vários atores de ameaças, incluindo estados-nação, crimes organizados e ameaças internas. Essa abordagem exige testadores altamente qualificados, que devem trabalhar de maneira lenta, deliberada e silenciosa para evitar detecção, o que pode resultar em um custo mais alto em comparação com os pentests. A complexidade e sofisticação do exercício, a necessidade de extensa pesquisa e reconhecimento, e a exigência de um maior nível de coordenação entre testadores e a organização são alguns dos fatores que contribuem para o maior custo.
Como escolher entre pentest e red teaming?
As organizações devem basear sua decisão em seus objetivos específicos e tolerância a riscos.
Para o red teaming, em particular, as empresas devem adaptar o escopo e os objetivos para se concentrarem em áreas de riscos-chave.
Por exemplo, um sistema de saúde pode priorizar a proteção de registros médicos. Ao mesmo tempo, uma organização de P&D pode enfatizar a proteção da propriedade intelectual. Já organizações com processos de aquisição complexos podem concentrar-se nos dados financeiros.
Ou seja, ao alinhar a metodologia e áreas críticas, as organizações podem abordar efetivamente as vulnerabilidades potenciais e seu impacto na reputação, compliance e bem-estar financeiro.
Em termos de tecnologia, ambas as práticas empregam várias ferramentas e técnicas, como scanners automatizados de vulnerabilidades, utilitários de teste de penetração manual e scripts personalizados para avaliar redes e sistemas-alvo.
O red teaming visa simular ameaças do mundo real.
Todas as ferramentas e técnicas geralmente são consideradas dentro do escopo, mas podem não ser necessariamente usadas.
O red teaming também pode incorporar engenharia social e avaliações de segurança física para avaliar a conscientização dos funcionários e a aderência às políticas de segurança.
Cibersegurança: práticas essenciais
Pentest e red teaming são práticas cruciais que ajudam a identificar e abordar vulnerabilidades potenciais em sistemas, redes e processos das organizações.
Contratar especialistas externos e imparciais para essas avaliações pode oferecer novas perspectivas e identificar problemas que equipes internas podem ignorar. É crucial não apenas identificar vulnerabilidades, mas também priorizar a remediação e validação oportunas para fortalecer a postura de segurança geral da organização. Ao considerar as descobertas desenvolvidas como parte de um red team ou pentest, os líderes podem tomar decisões informadas para proteger os ativos da organização.
A ICTS, holding de empresas em soluções de prevenção de riscos, compliance e segurança, adquire a totalidade das operações da T4 Compliance, empresa especialista em soluções de governança, riscos, compliance e privacidade de dados.
Com a transação, a Protiviti, empresa da ICTS que atua como um braço de consultoria, auditoria e tecnologia, vai absorver a carteira de serviços de consultoria em GRC (Governança, Risco e Conformidade), investigações e privacidade de dados, se consolidando como a maior empresa de investigações corporativas do Brasil.
Já a Aliant, especializada em plataformas de Compliance e ESG e também pertencente à holding, incorpora a plataforma de due diligence e background check da T4, denominada C.Drive, se tornando a 3ª maior plataforma de diligência do mercado conjuntamente com sua liderança em canais de denúncias.
Com a aquisição, 100 clientes de médio e grande portes se somam à base da ICTS, aumentando sua carteira em 7%, além de ampliar a presença em algumas indústrias relevantes da economia brasileira, como a de energia e do setor financeiro.
Já os clientes da T4, com essa transação, passam a ter acesso a um portfólio mais amplo de soluções como cibersegurança, auditoria interna, gestão de riscos corporativos e continuidade de negócios, que são linhas de negócios pertencentes à Protiviti, assim como canais de denúncias, relato e acolhimento, promovidos pela Aliant, sem contar o acesso à rede global de escritórios da Protiviti Inc.
De acordo com Fernando Fleider, CEO da ICTS, o sócio fundador da T4 Compliance, Matheus Cunha, profissional com grande reconhecimento na área de compliance, transformou a empresa em referência no seu mercado pela excelência no atendimento e agilidade na entrega. Agora, esse trabalho bem-sucedido se soma à experiência da Protiviti, que assume o protagonismo no mercado de GRC.
“Esse é mais um passo na consolidação das nossas soluções de gestão de riscos, compliance e privacidade de dados. Adicionalmente, juntaremos à nossa equipe o conhecimento de profissionais seniores nas suas áreas de atuação”, finaliza Fleider.
Com a aproximação do último trimestre do ano, reuniões para definições orçamentárias começam a ocupar espaço na agenda. A avaliação de indicadores, a análise de faturamento e a prospecção de cenários serão cada vez mais frequentes até o final do ano. E, os setores que não fazem parte da atividade principal da companhia e nem são geradores de receita, precisam batalhar pelas suas fatias orçamentárias. Esse é o caso do setor de compliance.
Embora o Compliance seja essencial na prevenção de fraudes, na transformação cultural ética e na adequação normativa da empresa, a mudança de cenário econômico pode diminuir os recursos destinados à manutenção do setor.
Neste momento, é importante considerar diferentes caminhos para montar o orçamento e o planejamento, que pode passar por ganho de eficiência em tarefas frequentes, compartilhamento dos deveres de conformidade e diminuição da complexidade das atividades.
Ainda de acordo a pesquisa, o mercado apresenta um cenário em que mais de 60% dos setores dedicados ao Compliance são compostos por duas a cinco pessoas. Além dessa configuração enxuta, 72% dos profissionais respondentes não atuam unicamente com compliance e conjugam suas atividades com outras, como privacidade de dados (35%) ou auditoria interna (28%).
Dado à situação de “setores enxutos versus múltiplas demandas”, o ganho de eficiência em atividades de rotina é essencial. Segundo o mesmo estudo, o gerenciamento de canais de denúncia é a líder em frequência (92%), seguido por “conscientizar e buscar apoio da alta liderança da companhia” (87%) e “mapear, monitorar e mitigar os riscos de compliance” (79%).
Outro ponto importante é entender que, como a ética e a conformidade empresarial é um dever de todos, o orçamento não deveria ser somente da área de compliance. Um bom exemplo disso são os treinamentos e as comunicações dos setores de Recursos Humanos e Comunicação Interna, que normalmente possuem planos corporativos e poderiam prever ações de compliance em seus orçamentos. Para isso, é importante montar um bom plano em conjunto entre as áreas, alinhando cronogramas, recursos humanos e financeiros e infraestrutura disponível.
Ainda nesse sentido, de acordo com a pesquisa, os desafios mais complexos citados pelos gestores de compliance são: realizar o monitoramento de terceiros (77%) e inovar na forma de disseminar os conteúdos e os treinamentos de compliance (77%).
Dito isso, como conseguir o ganho de eficiência, o compartilhamento de deveres e a diminuição de complexidade? Os resultados do estudo mostraram que apenas 35% dos participantes trabalham em empresas que escolheram terceirizar atividades de Compliance. Destes, 76% citaram a melhoria na produtividade e na qualidade do serviço.
Ao adotar softwares com rápida curva de aprendizagem e que favoreçam a diminuição da complexidade de tarefas aliado à terceirização de atividades de rotina, os profissionais das enxutas estruturas de Compliance poderão focar seu tempo nas atividades estratégicas da área e nas tomadas de decisão relevantes.
Nesse sentido, as plataformas de canais de denúncia aliado a serviços de análise prévia dos casos podem ser aliados na captação de informações e na preparação das investigações. Desta forma, o compliance fica responsável por decidir se segue com a investigação e, se sim, já possui todos os elementos para isso. Já as plataformas de Due Diligence são excelentes para monitorar e mitigar riscos de terceiros e, atreladas a serviços de análise e atendimento de workflow, deixando para o compliance somente a responsabilidade por aprovar ou reprovar aqueles de alto risco.
A inovação também tem um papel fundamental nesta redução de custos e no planejamento orçamentário: a adoção de plataformas de treinamento mobile via WhatsApp, que aparecem como ponto de disrupção no mercado, é um ótimo exemplo de como alcançar estruturas pulverizadas.
Por fim, uma vertente pouco explorada pelos setores de Compliance é a contratação de relatórios que traçam panoramas evolutivos e comparativos com outras empresas do mesmo setor. O monitoramento de tendências, a identificação de pontos de melhoria e o benchmarking são essenciais para a apresentação de relatórios convincentes em reuniões do gênero.
O processo de fechamento orçamentário não é uma tarefa simples, muito menos rápida – o convencimento da alta administração na importância do compliance não é a parte mais complexa. O desafio é como demonstrar que algo que não traz retorno financeiro (direto) precisa ter um investimento. Neste momento, argumentos sólidos e planos consistentes são fundamentais à obtenção dos recursos necessários para a evolução da jornada do Compliance.
*Yaniv Chor é diretor de Education e Serviços Gerenciados na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
*Pedro César Sousa Oliveira é consultor em Pesquisa e Desenvolvimento da Aliant, empresa especializada em soluções para governança, compliance, ética, privacidade e ESG.
Assunto ainda relativamente recente no Brasil, a Privacidade de Dados é tópico de interesse para toda a sociedade. Nesse sentido, promover discussões e trocas de ideia entre o setor é indispensável para encontrar os melhores caminhos e práticas para garantir a proteção dos dados no Brasil. Para incentivar esse diálogo e trazer luz aos principais tópicos relacionados à privacidade de dados no Brasil, convidamos Waldemar Gonçalves, Diretor-Presidente da ANPD (Autoridade Nacional de Proteção de Dados) para uma entrevista exclusiva.
Nessa entrevista, abordamos tópicos que ainda geram dúvidas no mercado sobre o cumprimento das normas e o setor como um todo, além de buscar compreender os próximos passos da proteção e privacidade de dados no Brasil. Confira a seguir a íntegra.
[Protiviti] Em casos práticos, vemos profissionais dedicados à privacidade de dados no Brasil, à segurança da informação ou ao jurídico acumularem também a função de Encarregado. A ANPD entende que pode haver conflito de interesses a depender do cargo do Encarregado de Dados?
[ANPD – Waldemar Gonçalves] A ANPD ainda não estabeleceu normas complementares sobre as atribuições do encarregado, tema que será objeto de regulamentação, conforme previsto na Agenda Regulatória para o biênio 2023-2024.
Importante salientar que o agente de tratamento, ao indicar o encarregado, deve atentar para que este não esteja ocupando ou não passe a ocupar posição que acarrete conflito de interesses. Presume-se o conflito de interesses no acúmulo da função de encarregado com aquela em que haja responsabilidade pelas decisões referentes ao tratamento de dados pessoais.
O essencial é que o encarregado seja a pessoa responsável por ser o canal de comunicação entre a instituição/empresa na qual atua, os indivíduos e a Autoridade Nacional de Proteção de Dados. Além de ser responsável por conscientizar e orientar o controlador de dados pessoais e os funcionários sobre as boas práticas em proteção de dados pessoais.
O encarregado deve ser a figura que busca garantir uma comunicação adequada, para o atendimento aos direitos dos titulares, e que oriente sobre as práticas de governança de dados pessoais.
[Protiviti] Em paralelo com as regulamentações de privacidade de outros países, a Autoridade tem expectativas para uma atualização na LGPD incluindo a necessidade de o Controlador emitir declaração para comprovar que um direito requerido pelo titular foi atendido? Como, por exemplo, em casos de anonimização, bloqueio ou eliminação de dados?
[ANPD – Waldemar Gonçalves] A LGPD só pode ser modificada ou atualizada pelo legislador, cabendo à Autoridade Nacional de Proteção de Dados apenas a regulamentação dos ditames da lei. Nesse sentido, a ANPD acompanha a atividade parlamentar junto ao Congresso Nacional e procura apoiar decisões dentro dos limites da sua responsabilidade e competência.
A respeito da anonimização e pseudonimização, a Agenda Regulatória 2023-2024 prevê a elaboração de documento que visa orientar e esclarecer o uso dessas técnicas. Essa ação já foi iniciada e será concluída até 2024.
[Protiviti] A Coordenação-Geral de Fiscalização é responsável por analisar as petições dos titulares que possam conter denúncias de descumprimento da LGPD. Tendo em vista a possibilidade de receber diversas petições, a Coordenação prevê estabelecer critérios de priorização para iniciar uma investigação sobre um incidente envolvendo dados pessoais ou demais violações à lei?
[ANPD – Waldemar Gonçalves] Todo processo fiscalizatório realizado pela ANPD é precedido por um monitoramento preliminar. A partir das informações levantadas no monitoramento, a Autoridade decide se estabelece ou não um processo de fiscalização propriamente dito. Ou seja: a fiscalização acontece quando há subsídios para tal e a norma de fiscalização atualmenteestabelece critérios de priorização para a avaliação do tratamento de dados pessoaispelos agentes de tratamento. Além disso, a Agenda Regulatória 2023-2024 também prevê a normatização de critérios para a comunicação de incidentes de segurança envolvendo dados pessoais e o processo de fiscalização desses incidentes.
Recentemente, a ANPD encerrou Consulta Pública sobre a proposta de Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais, que contou com 1.491 contribuições da sociedade.
Isso nos revela que os cidadãos estão preocupados com o tema e estão contribuindo com a ANPD para a elaboração de uma norma justa e democrática.
[Protiviti] No ano de 2021, a ANPD e a SENACON estabeleceram um Acordo de Cooperação Técnica com o objetivo de proteger os dados pessoais dos consumidores. Com base nisso, há planos para ampliar esses acordos de parceria, a fim de alcançar um entendimento padronizado sobre questões relacionadas à privacidade e proteção de dados pessoais em demais setores, como também evitar a duplicidade de esforços em termos de fiscalização?
[ANPD – Waldemar Gonçalves] Sim, queremos ampliar nossos acordos de cooperação. A Autoridade está em constante diálogo com outras instituições para aprimorar as suas próprias práticas e para melhor resguardar os direitos dos titulares de dados pessoais. Neste sentido, a ANPD possui sete Acordos de Cooperação Técnica e Convênios já estabelecidos e outros em fase de elaboração. A Autoridade se articula com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação, conforme previsto na LGPD.
[Protiviti] Segundo dados divulgados pelo Instituto Brasileiro de Geografia e Estatística (IBGE), mais de 15% da população brasileira não utilizou a internet em 2021, meio imprescindível para inclusão social e conscientização da população. Os principais motivos apontados foram de ordem técnica (não saber usar a internet) ou econômica (serviço de acesso ou equipamentos eletrônicos considerados caros). Considerando que as vulnerabilidades sociais se somam ou são potencializadas pelas vulnerabilidades digitais, como a ANPD tem enfrentado o desafio de disseminar ações educativas a grupos mais vulneráveis quanto a temas como proteção de dados pessoais?
[ANPD – Waldemar Gonçalves] Esse é um dos maiores desafios que temos, além de o tema “Proteção de Dados Pessoais e Privacidade” ser algo novo, também necessita de amadurecimento e fomento para a formação de uma cultura de proteção de dados pessoais em nosso País.
Por isso, a ANPD atua fortemente na produção de Guias Orientativos para elucidar sobre os diversos assuntos que permeiam a proteção de dados pessoais. E com isso, estamos dispostos a encarar esses desafios e criar meios de consolidar essa cultura de proteção de dados pessoais no Brasil.
[Protiviti] O uso de inteligência artificial cada vez mais disseminado entre crianças e adolescentes como, por exemplo, assistentes virtuais, tem se demonstrado um grande desafio frente a vulnerabilidade inerente a esse público. Há expectativa da ANPD de uma atuação preventiva para proteção de dados pessoais de crianças e adolescentes no uso desse tipo de tecnologia?
[ANPD – Waldemar Gonçalves] A ANPD atua de forma responsiva, que engloba a prevenção, o monitoramento, a orientação e a sanção por descumprimento da LGPD.
Para todos os casos atuamos desta forma e já estamos avançando mais na fiscalização desde que o Regulamento de Dosimetria e Sanções Administrativas foi publicado.
Estamos atuando de forma preventiva em diversas áreas que envolvem a proteção de dados pessoais, independente da tecnologia utilizada, incluindo a proteção de dados pessoais de crianças e adolescentes, cabendo destacar que a Agenda Regulatória da ANPD também prevê a regulamentação deste tema.
[Protiviti] Quais são as expectativas da ANPD quanto ao uso do legítimo interesse como base legal para o tratamento de dados pessoais de crianças e adolescentes, e como a Autoridade planeja equilibrar os interesses das organizações e os direitos de privacidade dos menores nesse contexto?
[ANPD – Waldemar Gonçalves] A ANPD publicou em maio deste ano, o primeiro Enunciado que trata sobre as hipóteses legais que autorizam o tratamento de dados de crianças e adolescentes.
Este Enunciado representa uma primeira iniciativa da ANPD relacionada à proteção de dados pessoais de crianças e de adolescentes e fixa entendimento da Autoridade acerca das possibilidades interpretativas do artigo 14 da LGPD.
De acordo com o Enunciado, o tratamento de dados pessoais de crianças e adolescentes pode ser realizado com base nas hipóteses legais previstas na LGPD, como nos casos de consentimento fornecido pelo titular, de cumprimento de obrigação legal, de proteção à vida ou de atendimento a interesse legítimo do controlador. Em qualquer situação, o melhor interesse da criança e do adolescente deve prevalecer, exigindo avaliação cautelosa por parte do controlador.
Também, com relação ao tema, estamos trabalhando na elaboração de um Guia Orientativo sobre Legítimo Interesse, documento que trará orientações específicas para o tratamento de dados pessoais de crianças e adolescentes com base nessa hipótese legal, em conformidade com o princípio do melhor interesse.
[Protiviti] Como a ANPD espera superar o desafio de regular a transferência internacional de dados segura, sem impactar o desenvolvimento econômico e a inserção de empresas brasileiras no mercado global?
[ANPD – Waldemar Gonçalves] A regulamentação da proteção de dados de uma maneira geral impacta positivamente na inserção das empresas brasileiras no cenário global, aumentando sua competitividade. O estabelecimento de regras claras para proteção de dados pessoais aumenta a segurança jurídica, que, por sua vez, é requisito para o crescimento econômico do País.
A regulamentação das transferências internacionais é apenas uma das muitas dimensões da regulamentação da proteção de dados. Nesse aspecto, a ANPD tem procurado delinear regras mais convergentes possíveis com o que é feito no cenário internacional, de forma a garantir que as regras brasileiras sejam interoperáveis com os diversos sistemas de proteção de dados no mundo.
Além disso, está aberta para contribuições da sociedade consulta pública, que tem o intuito de receber subsídios da sociedade que são essenciais para o aprimoramento do Regulamento, a partir de contribuições valiosas por parte de variados segmentos da sociedade.
[Protiviti] Há previsão para acordos de cooperação entre países, em caso de necessidade de troca de informações entre autoridades, em situações, por exemplo, de incidentes envolvendo dados pessoais?
[ANPD – Waldemar Gonçalves] Sim. A ANPD está trabalhando para estabelecer uma rede de cooperação que possa viabilizar o enforcement extraterritorial da LGPD. A troca de informações entre autoridades é peça essencial nesse esforço. A Autoridade vem atuando junto a autoridades de outros países para o estabelecimento de alianças e troca de informações a respeito das transferências internacionais de dados pessoais.
Atualmente, temos um memorando de entendimentos com a Agência Espanhola de Proteção de Dados (AEPD) com intuito de garantir a colaboração entre os países e uma cooperação conjunta em matéria de proteção de dados pessoais e fornecer um quadro para a troca de conhecimentos técnicos e melhores práticas, a fim de fortalecer as capacidades técnicas de ambas as partes relacionadas à aplicação da lei sobre a proteção de dados pessoais.
[Protiviti] Qual é a responsabilidade do Encarregado pelo Tratamento de Dados Pessoais em caso de violação de dados pessoais? Haverá algum tipo de direito de regresso contra o Encarregado, em caso de responsabilização do controlador ou do operador?
[ANPD – Waldemar Gonçalves] A Lei Geral de Proteção de Dados Pessoais trata exclusivamente sobre o papel do Encarregado e todas as suas atividades estão elencadas em seu art. 41. A Lei não prevê responsabilidade direta do encarregado. A responsabilidade, em regra, é dos agentes de tratamento, isto é, o controlador ou o operador, conforme o caso. O Encarregado poderá responder por atos ilícitos conforme as normas aplicáveis a funcionários de empresas, por exemplo.
Com relação ao direito de regresso, a LGPD também não estabelece regramento específico sobre eventual direito de regresso contra o Encarregado, nos casos de responsabilização do controlador ou operador. Assim, aplicam-se as normas usuais nestes casos, como as que regem as relações entre funcionários e empresas.
O tema está previsto para ser regulamentado na Agenda Regulatória 2023-2024. Após a publicação do regulamento será possível responder questões mais específicas sobre a atuação do encarregado de dados pessoais.
Empresa aposta nos 25 anos de atuação no setor e consolida essa experiência em uma plataforma completa de Inteligência Artificial, capaz de transformar a prevenção de perdas no varejo
O varejo perdeu, somente em 2022, aproximadamente R$ 32 bilhões em mercadorias que geraram custo e não viraram receita na frente de caixa, segundo a Abrappe (Associação Brasileira de Prevenção de Perdas). Diante deste cenário, a ICTS, empresa pioneira em soluções de riscos, compliance e segurança no Brasil, aproveita seus 25 anos de atuação em prevenção de perdas de clientes varejistas e lança a Profit Shield, uma plataforma baseada em Inteligência Artificial e integrada ao ChatGPT que analisa e ataca as perdas de estoque de forma simples e eficiente, com base em dados e semelhante ao papel de um analista.
A solução foi desenvolvida a partir de uma metodologia ancorada em análise de informações, bem como na atuação bem-sucedida da ICTS no setor, comprovada em diversos projetos no varejo nacional e internacional. Com a redução comprovada entre 20% a 40% das perdas de estoque, a plataforma chega ao mercado no momento certo para alavancar negócios que, muitas vezes, não sobrevivem às perdas.
“Sem o devido controle, as perdas de mercadorias podem ser maiores do que o lucro do varejista e, em muitos casos, quando avaliadas, determinam se há lucro ou prejuízo na operação. A Profit Shield preenche essa lacuna, ajudando a operar de forma sustentável, reduzindo desperdícios e desvios e otimizando a rentabilidade”, explica Rodrigo de Castro Schiavinato, cofundador da Profit Shield, além de ser diretor executivo de parcerias e inovação e sócio da Protiviti, uma das empresas da ICTS.
A ferramenta opera no gerenciamento de indicadores-chave para os varejistas. São eles: quebras, que incluem avarias, vencimentos e desperdícios; inventário, direcionado à identificação de estoques negativos, erros de ajustes e divergências entre estoque físico e teórico; volume de estoques versus a sua relação com as perdas; descontos, provisionando uma visão clara da perda de receita gerada pelas rebaixas de preço; e, por fim, venda e margem, cuja função é avaliar a saúde do sortimento integrando dados de venda, margem e quebra identificada, permitindo tomar decisões sobre rebalanceamento de itens ou até retirada de produtos.
Toda a informação controlada pela plataforma é apresentada a partir de relatórios objetivos, trazendo visibilidade dos resultados de perdas das empresas por meio de um dashboard organizado e focado nas principais análises. Além disso, é possível monitorar e alertar automaticamente as lojas com maiores desvios de perda.
“A análise das perdas de estoque promove muitos dados na operação do varejo. Seja no descarte dos itens avariados e vencidos ou no ajuste de inventário, elas geram informações que a Profit Shield converte em conhecimento poderoso para a prevenção de desperdícios e desvios de mercadorias”, complementa Schiavinato.
Com a inteligência promovida na redução de perdas, a Profit Shield propicia uma série de benefícios à saúde do negócio, como mais eficiência operacional, melhoria na qualidade do serviço, menos custos e aumento de rentabilidade. Isso sem contar a redução de desperdícios de produtos, que significa jogar menos produtos fora e, consequentemente, operar de forma mais sustentável, gerando menos resíduos e convertendo mais valor à sociedade.
Reduzir as ineficiências e os desperdícios promove às empresas mais capital para investir em novas iniciativas, como pontos de venda e empregos, contribuindo para a expansão do negócio. “A Profit Shield agrega toda experiência de uma consultoria especializada e consolida essa inteligência em uma plataforma completa, que é capaz de transformar a gestão de perdas de estoque do varejo”, finaliza Schiavinato.
Em dezembro de 2022 foi lançada a primeira norma do Brasil e do mundo voltada à gestão de ESG (Social, Ambiental e Governança): a PR 2030, conhecida também como Prática Recomendada 2030, e fruto de um amplo trabalho liderado pela Associação Brasileira de Normas Técnicas (ABNT) e pela Organização Internacional de Normalização (ISO).
Esta nova regra consiste em uma normativa que oferece orientações sobre os passos necessários para incorporar os aspectos ambientais, sociais e de governança nos negócios. A regulamentação possibilita, sobretudo, que qualquer organização, independente do porte ou setor, identifique o próprio estágio de maturidade para definir estratégias de desenvolvimento alinhadas aos pilares do ESG.
Além disso, a prática recomendada traduz e reforça o uso de padrões como a Global Reporting Initiative (GRI) – ou Iniciativa Global de Informação, em tradução livre –, a Sustainability Accounting Standards Board (SASB), que significa Conselho de Normas Contábeis de Sustentabilidade; a International Integrated Reporting Council (IIRC), que é o Conselho Internacional de Relato Integrado; e o Carbon Disclosure Project (CDP) ou Projeto de Divulgação de Carbono.
Estas siglas vão de encontro das diretrizes e das questões regulatórias atuais, como as Normas da Comissão de Valores Mobiliários (CVM) e os Objetivos de Desenvolvimento Sustentável (ODS) da Organização das Nações Unidas (ONU).
Na busca por apoiar a melhoria contínua dos processos e modelos de negócios, a norma propõe três ações:
1.Sete passos para incorporar o ESG: por ser uma jornada individual e única para cada organização, esses passos são sugeridos para incorporar o ESG dentro da estratégia e do modelo de gestão. São eles: Conhecer o caminho; Ter a intenção estratégica (visão, propósitos e diretrizes); Diagnosticar (levantamento de práticas ESG); Planejar o escopo de ESG; Implementar (materialidade, objetivos, metas e estratégia); Medir e Monitorar (o que foi planejado e implementado); e, por fim, Relatar e Comunicar (canal de transparência para todas as partes interessadas sobre as ações tomadas e os caminhos a serem percorridos pela empresa).
2. Modelo de avaliação e direcionamento: permite que a organização identifique o estágio de maturidade em relação aos critérios ESG, servindo como apoio para a liderança definir estratégia, objetivos e metas. A escala conta com cinco níveis: “Elementar”, ou seja, ações que ainda não podem ser consideradas práticas ESG, pois há apenas o atendimento à legislação; “Não Integrado”, que são atividades dispersas não integradas com a gestão; “Gerencial”, caracterizada por uma liderança com atuação mais consciente e processos estruturados; “Estratégico”, no qual a liderança está à frente dos processos de ESG e as práticas possuem objetivos, metas, indicadores e monitoramento; e, por fim, “Transformador”, quando a empresa já posicionou o ESG como base de seu modelo estratégico de negócio e tem a vocação para inspirar outras organizações.
3. Guia de temas e critérios baseados nos três eixos (Ambiental, Social e de Governança):aqui são descritos todos os critérios que fazem parte de cada ‘tema material’, ou seja, tudo o que gera impacto em torno da organização, sejam eles positivos ou negativos. Neste contexto, é possível encontrar uma abordagem mais profunda com descrição, exemplos de boas práticas e listagem para fontes de informações adicionais. Isso possibilita que o guia seja aproveitado por empresas de todos os portes, principalmente as pequenas e médias inseridas em uma cadeia de fornecimento de grandes organizações.
Após verificarmos estas etapas, é notório que a existência de uma norma como a PR 2030 facilitará o desenvolvimento e a padronização de ações, metas, políticas, diretrizes e conteúdo. Na busca pelo equilíbrio entre prioridades financeiras e os valores ESG, a prática recomendada possibilita que as empresas sigam em uma mesma direção, dentro de um processo mais sólido e focado.
Apesar de a PR 2030 disponibilizar um “padrão”, cada empresa deve ter cuidado e sensibilidade ao incorporá-la. Se olharmos, por exemplo, para o levantamento de riscos ESG, ainda negligenciado no mercado, cabe à cada empresa conhecer suas maiores forças e os impactos que causa, sejam positivos ou negativos, principalmente em relação ao setor em que atua e o que afeta cada um dos três pilares do ESG.
Em suma, para ajudar na balança de impactos, bem como nas formas de gerenciamento, a norma apresenta uma metodologia e possibilita que as empresas encontrem direções dentro da complexa jornada ESG. A ferramenta pode ser usada tanto por grandes empresas como por fornecedores de pequeno e médio portes, sendo que este segundo público deve ser mais beneficiado pela norma, uma vez que os fornecedores da área nem sempre têm recursos financeiros e humanos para suportar a jornada ESG. Logo, a norma traz padrões e boas práticas sobre como implementá-la com eficácia, a fim de começar a jornada por um caminho mais seguro.
*Tarsila Lopes e Beatriz Busti são consultoras de Sustentabilidade da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
O Committee of Sponsoring Organizations of the Treadway Commission (COSO) divulgou um guia interpretativo sobre como aplicar efetivamente o Internal Control—Integrated Framework (ICIF) de 2013, que atualmente possui o foco em relatórios financeiros, em relatórios de sustentabilidade e relatos integrados. O guia é resultado de um projeto aprovado pelo conselho do COSO há um ano, com o objetivo de ajudar as organizações a “criar e garantir um ambiente de controles interno eficaz, aplicando o ICIF aos relatórios de sustentabilidade, para a tomada de decisões internas e divulgação de informações para públicos externos”. Isso se aplica tanto aos relatórios voluntários quanto aos obrigatórios, o que é importante observar devido ao estado atual de evolução dos relatórios obrigatórios e ao alto percentual de empresas que já fornecem voluntariamente dados de sustentabilidade a seus stakeholders, respondendo aos interesses do mercado.
No comunicado de imprensa do COSO anunciando a orientação, a presidente do comitê, Lucia Wind, indicou que o guia global é “extremamente oportuno, dadas as regras finais sobre risco climático da SEC (Securities and Exchange Commission) e do ISSB (International Sustainability Standards Board) que estão por vir”. Wind observou ainda que fortalecer os controles internos é “bom para os negócios”, apoia a “jornada de aprendizado e crescimento” em que as organizações estão “para incorporar princípios de gestão sustentável em sua missão, propósito, governança e estratégias” e “construir confiança em informações de sustentabilidade para os negócios.”
Guia provavelmente se tornará padrão
Embora a publicação indique que é “não-mandatório” e “expressa apenas as interpretações, opiniões e perspectivas dos autores”, acreditamos que o guia provavelmente servirá como critério adequado e um padrão de facto para relatórios de sustentabilidade, assim como o ICIF é para o controle interno sobre relatórios financeiros (ICFR) para praticamente todas as empresas de capital aberto. Ele ajudará todas as organizações — públicas ou privadas, grandes ou pequenas —, de uma maneira que é familiar para as funções responsáveis pela elaboração dos relatórios financeiros, que são (ou provavelmente serão) responsáveis também pelos relatórios de sustentabilidade.
O guia inclui um prefácio escrito pelos dois presidentes do COSO que atuaram durante o desenvolvimento e lançamento do ICIF 2013. Eles apontam que a última edição do ICIF eliminou a palavra “financeiro” do objetivo do relatório. Isso justamente para expandir seu escopo para todas as formas de relatório – interno ou externo, financeiro ou não. Os relatórios corporativos evoluíram para muito além dos relatórios financeiros, incluindo questões ambientais, sociais e de governança (ESG), refletindo informações financeiras e não-financeiras por meio de foco em preservação de recursos, desempenho e criação de valor.
O guia também articula como o ICIF 2013 pode ser aplicado à atividade e divulgação de informações de sustentabilidade. Ele fornece exemplos específicos de princípios de controle interno relacionados à sustentabilidade e relatórios ESG, operações e conformidade. Os autores reconhecem a urgência da aplicação de controles internos sobre relatórios de sustentabilidade (ICSR) nos Estados Unidos e em outros países como um conceito comparável ao ICFR, conforme definido pela SEC.
O projeto consistiu em pesquisas com terceiros e inúmeras entrevistas com executivos e consultores. Ele atualiza o estudo de 2017 publicado pelo Institute of Management Accountants, “Leveraging the COSO Internal Control— Integrated Framework to Improve Confidence in Sustainability Performance Data”, que defendeu uma maior integração entre as equipes de sustentabilidade e financeira para melhorar a divulgação das informações sobre sustentabilidade, tanto internamente quanto externamente, aprimorando a qualidade de dados para gerenciar questões de sustentabilidade nos negócios e fornecer informações ESG úteis para decisões aos investidores. Como muitas empresas ainda não iniciaram essa jornada de integração, foi necessária uma atualização do estudo de 2017.
Crescimento nos relatórios ESG
Os autores do guia e o Conselho do COSO concordaram que o crescimento real e projetado dos relatórios ESG – e, mais importante, a confiança depositada nesses relatórios pelas principais partes interessadas – justificou a emissão de orientações específicas adicionais. Mais de 96% do S&P 500, mais de 80% das empresas do índice Russell 1000 e mais de 90% das maiores empresas em mais de 20 países atualmente emitem relatórios públicos voluntários sobre sustentabilidade e/ou fatores ESG. Na maioria dos casos, eles relatam simultaneamente através de vários padrões e frameworks. O objetivo do COSO ao emitir orientações é auxiliar as organizações a desenhar, testar e avaliar o ICSR e melhorar a sustentabilidade e a conformidade agora que as reformas regulatórias estão surgindo e são iminentes.
Com a atualização, a equipe de autores de veteranos do COSO e o conselho do COSO estão fornecendo às organizações a clareza necessária e conselhos robustos que devem agregar valor ao mercado, de maneira consistente com a missão do COSO de desenvolver diretrizes para empresas avaliarem controles internos, gerenciamento de riscos e combate às fraudes.
Fontes de valor são, principalmente, intangíveis
O guia aponta que as fontes de valor da empresa mudaram significativamente nas últimas décadas, a ponto de atualmente 90% ou mais do valor de mercado de uma empresa ser atribuído a fatores não refletidos nas demonstrações financeiras tradicionais. Uma parte significativa do valor de uma empresa hoje pode ser atribuída a fatores ESG, como qualidade da força de trabalho, diversidade, cultura e retenção de talentos, acesso e uso responsável de recursos naturais, relacionamentos na cadeia de suprimentos, governança eficaz etc.
O guia explica como cada um dos 17 princípios do ICIF se aplica especificamente aos relatórios de sustentabilidade e ESG, fornecendo exemplos de casos reais e ilustrativos, juntamente com “insights” dos autores. Os Pontos de Foco explicativos e de apoio também estão incluídos para cada princípio e foram reformulados para mostrar sua aplicação aos relatórios de sustentabilidade.
O documento reitera o conceito de avaliação do ICIF de que uma organização alcançou um sistema eficaz de controles internos quando todos os 17 princípios estão presentes e funcionando. Ao final do guia, três casos são fornecidos para ilustrar esse conceito: uma organização de capital aberto sujeita a regulamentação na divulgação de seus relatórios, um fornecedor de capital fechado iniciando sua jornada de negócios sustentáveis, e uma organização de capital aberto continuando sua evolução em direção à asseguração razoável.
Principais tópicosdo guia COSO
Para encerrar o documento de mais de 100 páginas, os autores fornecem uma lista de 10 pontos principais do relatório. Os mais relevantes para ICSR incluem:
Concentre-se no objetivo final do ICSR, que é alcançado quando todos os 17 princípios estão presentes e funcionando. A personalização e adaptação podem variar para cada organização com base na maturidade, indústria, recursos e requisitos.
Comece a usar o COSO ICIF-2013 agora. Não há necessidade de esperar por novas regulações.
A maioria, se não todos, dos 17 princípios se aplicam à sustentabilidade de uma forma comparável à contabilidade e relatórios financeiros tradicionais. Pode ser possível aproveitar atividades de controle e documentações de demonstrações financeiras.
A avaliação de riscos e a determinação da materialidade são atividades essenciais para aprimorar o foco no que importa.
Certifique-se de abordar os controles gerais de TI, que são uma consideração crítica no desenho e avaliação de qualquer sistema de controle interno incluindo informações de sustentabilidade e relatórios ESG.
Não se esqueça dos objetivos operacionais e de conformidade, dos riscos relacionados e das atividades necessárias para obter um controle interno eficaz nessas áreas.
O ICIF-2013 foi projetado para ser usado essencialmente em qualquer área, função, local ou atividade, por exemplo, folha de pagamento, segurança e terceirização. Use-o para mais do que apenas relatórios financeiros e sustentabilidade.
Obtenha garantia interna e confiança nos relatórios de sustentabilidade antes de progredir para a verificação externa. Aproveite sua função de auditoria interna para fornecer avaliação objetiva e outros conselhos.
Torne os relatórios ESG, internos e externos, uma atividade automatizada, eficiente e contínua – não um exercício “anual e manual”.
Guia suplementar COSO: comentário Protiviti
Este guia é valioso para todas as organizações, pois todas podem se beneficiar de um ICSR eficaz. Tanto organizações que já possuem maturidade na produção de relatórios ESG , quanto as que estão começando sua jornada de sustentabilidade, considerarão o guia útil. Mais importante, à medida que o mercado caminha para realizar avaliações de terceiros, as empresas públicas e outras organizações enxergarão o guia como um instrumento na preparação para o processo de validação e na comunicação com os auditores externos.
O uso de tecnologia e a aquisição de aplicativos de software específicos para relatórios ESG ou a modificação de sistemas de TI existentes também podem ser benéficos para as organizações, pois buscam automatizar processos e controles, bem como a transição de uma atividade “anual e manual” para uma que é automatizada, contínua, segura e confiável.
No momento da emissão deste Flash Report, não há nenhuma exigência ou proposta estipulando que o processo usado para avaliar a eficácia do ICFR (por exemplo, para fins de conformidade com a Seção 404 da Lei Sarbanes-Oxley de 2002 nos EUA) seja aplicada à avaliação do ICSR. Dito isso, certos elementos desse processo podem ser aplicados aos relatórios ESG, como:
Definir o escopo para questões materiais, itens significativos;
Determinar os objetivos do relatório de sustentabilidade/ESG;
Identificar processos de suporte e métricas, bem como seus controles relacionados para garantir confiabilidade, integridade e consistência;
Avaliar e remediar o desenho dos controles;
Testar a eficácia operacional, remediar e retestar conforme necessário;
Concluindo sobre a eficácia geral do ICSR;
Relatar publicamente sobre a eficácia do ICSR, voluntariamente ou sob exigência, ou relatar em particular para partes interessadas internas ou externas que precisam de dados ESG;
Monitorar e avaliar os efeitos de mudanças no ICSR.
Além disso, conforme observado anteriormente, o ICIF 2013 pode ser usado como critério adequado para ICSR, consistente com a abordagem de avaliação do ICFR, incluindo a ênfase de que todos os 17 princípios estão presentes e funcionando de forma efetiva.
Concordamos com a orientação de que não há motivo para esperar — e há muitos motivos para começar. As organizações devem usar o guia agora para desenhar e operacionalizar atividades de controle eficazes e se preparar para avaliações por terceiros das divulgações de sustentabilidade e relatórios ESG. Os patrocinadores executivos devem garantir que haja colaboração efetiva em toda a organização entre funções relevantes em operações, conformidade, gestão de riscos, auditoria interna, jurídico, tecnologia e sustentabilidade, entre outros, com relação à execução de atividades de controle apropriadas.
A gerência executiva e o conselho devem ser informados sobre a situação das atividades relacionadas aos ICSR bem como os resultados de avaliações periódicas. Os diretores e a alta administração devem garantir que exista o tom correto de cima para baixo sobre a importância das atividades de sustentabilidade, relatórios ESG e os controles internos relacionados.
Em resumo, a presidente do COSO observou que a maioria das empresas está agora em “diversos estágios de implementação de controles e processos de governança sobre a coleta, revisão e relatório de informações de sustentabilidade, incluindo a criação de equipes multifuncionais. De muitas maneiras, relatórios de sustentabilidade dos negócios ainda estão sujeitos a evolução e inovação.” Esses comentários reforçam porque todas as organizações, independentemente do tamanho, setor, propriedade e geografia, podem se beneficiar desse guia patrocinado pelo COSO à medida que desenvolvem, amadurecem e continuam a evoluir e expandir suas operações de sustentabilidade, monitoramentos e atividades de conformidade.
Este ano, a pesquisa Top Risks contou com a participação de 1.300 profissionais de gestão executiva, identificando suas percepções sobre o impacto desses riscos em suas organizações em 2023. Além desses insights sobre riscos de curto prazo em 2023, os entrevistados também deram suas opiniões sobre o impacto desses riscos daqui uma década, em 2032.
Conheça quais riscos corporativos se destacam para executivos e C-Levels do Brasil e do mundo.
No cenário corporativo contemporâneo, empresas e organizações de todos os segmentos precisam navegar águas turbulentas e em constante movimento. Nesse contexto, quais os principais desafios e riscos observados pelos executivos? Para ajudar a identificar essas ameaças e permitir que as organizações se preparem para o futuro, a Protiviti e a ERM Iniciative realizaram a pesquisa Top Risks 2023, que identifica os principais riscos ao negócio na percepção de executivos e C-levels ao redor do mundo.
Este ano, a pesquisa Top Risks contou com a participação de 1.300 profissionais de gestão executiva. Isso permitiu identificar suas percepções sobre o impacto desses riscos em suas organizações em 2023. Além desses insights sobre riscos de curto prazo em 2023, os entrevistados também deram suas opiniões sobre o impacto desses riscos daqui uma década, em 2032.
Um mundo complexo, dinâmico e cheio de incertezas. Esse é o cenário corporativo contemporâneo, com o qual empresas e organizações de todos os segmentos precisam lidar diariamente, navegando em águas turbulentas e em constante movimento. Nesse contexto, quais são os principais desafios e riscos observados pelos executivos? Quais preocupações de destacam? A Pesquisa Top Risks 2023 responde algumas dessas questões.
Para ajudar a identificar essas ameaças e permitir que as organizações se preparem melhor para o futuro, a Protiviti e a ERM Iniciative (NC State University) realizaram o Top Risks 2023, 11ª edição da pesquisa anual que identifica os principais riscos ao negócio, na percepção de executivos e C-levels ao redor do mundo. Este ano, a pesquisa contou com a participação de 1.300 profissionais de gestão executiva, identificando quais as percepções sobre o impacto desses riscos em suas organizações em 2023. Além desses insights sobre riscos de curto prazo em 2023, os entrevistados também deram suas opiniões sobre o impacto desses riscos daqui uma década, em 2032.
Com a transformação acelerada dos negócios e os constantes desafios de um mundo cada vez mais dinâmico, a Gestão de Riscos contribui para a tomada de decisão e antecipa eventos desfavoráveis, direcionando de modo decisivo o desenvolvimento sustentável do negócio.
Impulsione a sua performance e conhecimento em Gestão de Riscos, com grandes especialistas do mercado, aprendendo os fundamentos e aplicações práticas sobre o tema.
