Gestão de riscos Archives - Página 3 de 3 - Protiviti
Logo Protiviti Logo Protiviti
Fale conosco
Conteúdos » Gestão de riscos

A percepção sobre como o mundo é e como ele funciona define o que acreditamos saber e o que nos parece incerto. Ainda que o futuro não seja previsível, a formulação de hipóteses sobre ele, seja por meio da experiência e conhecimento consolidado como pelo uso de modelos estatísticos, tem ganhado cada vez mais importância. Por isso surgiu o gerenciamento de riscos.

O motivo disso é que o ser humano sente a necessidade intrínseca de imaginar as possíveis consequências das suas decisões, de ter uma percepção mínima dos riscos existentes ou prováveis e, claro, se antecipar a estes adotando maneiras de administrá-los. 

No campo dos negócios, riscos são fenômenos naturais. Todo empreendimento comercial envolve riscos, em especial o mais importante de todos: se uma empresa continuará a existir ou não.

Pensando então inicialmente em sua própria sobrevivência, a compreensão do máximo de riscos envolvidos numa ação no mercado ajuda administradores e gestores a tomarem as melhores decisões dentre os cenários prováveis e possíveis.

Níveis de riscos e suas consequências

No gerenciamento de riscos sabe-se que nem todos os riscos não são iguais, eles também não são encarados com o mesmo grau de importância. Alguns são considerados pelos tomadores de decisão mais graves que outros.

Nesse sentido, podemos imaginar três círculos concêntricos, sendo que o círculo mais próximo do centro demanda resoluções imediatas e definitivas. Já os mais distantes precisam de soluções construídas e implementadas a médio e longo prazo.

Riscos do círculo mais interno

Os riscos presentes no círculo mais interno estão ligados a prejuízos financeiros diretos, causados tanto pelas relações comerciais da empresa – clientes e fornecedores inadimplentes – como por desvios, roubos e danos provocados por agentes internos (funcionários e parceiros) e externos (ladrões de forma geral) contra o negócio.

Costumam ser estes os que mais preocupam empresários e administradores, por serem obviamente os tipos de riscos com consequências perniciosas mais evidentes e rápidas para a empresa.

As soluções tomadas para gerenciar esses tipos de riscos podem ser as seguintes medidas segurança no local de trabalho, como:

Riscos do círculo do meio

Os riscos do círculo do meio envolvem igualmente perdas monetárias. No entanto, são consequências de certos atos e omissões ligadas a administração regular do negócio.

Se enquadrariam aqui a não conformidade da empresa com seus deveres comerciais, financeiros, tributários, trabalhistas, judiciais e regulatórios de forma geral.

Os danos nesse caso são, portanto, decorrentes da companhia não se manter em compliance com suas obrigações formais. E são estas as que viabilizam legalmente e financeiramente seu empreendimento e eliminam (ou pelo menos reduzem bastante) a possibilidade de sofrer condenações do Estado-Juiz e sanções dos órgãos reguladores.

Nesses casos, a ferramenta mais utilizada por tomadores de decisão para medir o tamanho destes riscos é o background check (também chamado de due diligence).

Por meio de sua realização, é possível encontrar os mais diversos tipos de gaps e problemas atuais dentro de uma companhia. Também podem descobrir pontos de atenção que demandem soluções imediatas para continuidade de um negócio.

Esta ferramenta pode ser utilizada para o levantamento de qualquer passivo – consolidado ou possível – e irregularidades da companhia. Assim, o background check é o principal meio pelo qual tomadores de decisão podem obter as informações que necessitam.

Gerenciamento de riscos do círculo externo

Finalmente, os riscos que habitam o último e mais externo círculo são todos os que podem ser classificados como riscos de mercado e, consequentemente, são os mais imbuídos de incertezas.

Eles estão ligados a eventos externos a administração da companhia, tais como crises e transformações na economia, além de mudanças importantes na sociedade e nas legislações. E isso não significa que nada possa ser feito por seus gestores para minimizar seus impactos e preparar seus negócios para novos e imprevisíveis cenários.

Os desafios no gerenciamento de riscos de mercado no século XXI vão muito além de garantir o lucro do negócio no balanço anual. É preciso ter uma estrutura gerencial e de atuação que favoreça a constante inovação e qualidade nos produtos e serviços, mantendo o empreendimento alinhado com as necessidades reais do seu público consumidor (onde o marketing é tanto transmissor como receptor de tendências).

Além disso, a esses esforços se somam, atualmente, a preocupação com a diversidade étnica, sexual e de gênero no ambiente de trabalho, a cobrança por uma consciência ambiental e social dos negócios, além de padrões éticos de governança corporativa.

Apanhado geral sobre o gerenciamento de riscos

Apesar de todos os riscos demandarem soluções de profundidade e agilidade distintas, é impraticável para grandes empresas deixar que só uma pessoa gerencie todos os riscos existentes num empreendimento. Igualmente seria inviável financeiramente para pequenos negócios e companhias de médio porte alocar um responsável para cada tipo de risco existentes. 

Um caminho muito mais interessante e recomendável é descentralizar essa responsabilidade, alimentando uma cultura de compliance na corporação, que vá desde a alta direção e chegue até os funcionários mais próximos do operacional do negócio.

A vantagem dessa solução é que quem está diariamente a frente das atividades, nas quais estes riscos possam emergir, possuem uma melhor compreensão dos mesmos e de como lidar com eles.

Além do mais, o gerenciamento dos riscos enquanto obrigação coletiva alimenta entre os colaboradores o chamado senso de dono, fazendo-os se sentirem parte realmente da manutenção e crescimento da empresa onde trabalham.

O mais importante, no fim, é que o gerenciamento dos riscos, sejam estes de qualquer um dos círculos assinalados, se torne parte integrante de todo negócio. Ao se converter em meio central para a tomada de decisões, ele permite que qualquer companhia, independente do seu tamanho e mercado, seja resiliente e ágil em todas as suas atividades. Assim, lida com maior profissionalismo com as consequências de eventos previsíveis e até dos imprevisíveis.

Gostou do conteúdo sobre a importância do gerenciamento de riscos? Assine nossa newsletter e receba mais conteúdos como esse.

* Adriel Santana é advogado e Coordenador de Forense e Investigações Empresariais

Conteúdos » Gestão de riscos

Para sobreviverem dentro do contexto da nova economia, executivos de empresas de diferentes portes e segmentos vem implementando um novo conceito de ambiente de trabalho. E nunca se tornou tão importante uma política de gestão de risco e monitoramento de informações.

Hoje, o ambiente de trabalho é balizado pela:

Catalizado pelas novas tendências sociais e avanços tecnológicos, esse novo ambiente de trabalho ganhou força e espaço na sociedade. Hoje é considerado como um standard, um elemento necessário para o sucesso das organizações.

Novos riscos e desafios para os executivos

Porém, nem tudo são flores nesse novo ecossistema de trabalho em que convivemos.

Esse mesmo ambiente que estimula a colaboração, flexibilidade, agilidade e inovação pode abrir espaço para comportamentos inadequados de seus colaboradores.

Há ainda o incremento de situações de assédio e discriminação, e até mesmo de fraudes, outras irregularidades e atos ilícitos, como o sequestro e o vazamento de dados, expondo as organizações a riscos, com impactos financeiros e reputacionais catastróficos.

Aspectos regulatórios e sociais trazem complexidade adicional aos executivos cujo desafio é buscar o equilíbrio entre um ambiente de trabalho estimulante, máxima eficiência, controles efetivos e o compliance.

Neste contexto, torna-se cada vez mais relevante estabelecer abordagens de gestão de risco e controle que sejam eficazes e, ao mesmo tempo, “invisíveis” para a organização. Isso, principalmente, para não burocratizarem processos e atividades chegando ao ponto de sequer serem notados pelas equipes em seu dia a dia.

Gestão de risco e monitoramento de informações ativo: uma abordagem detectiva e preventiva

Utilizando-se do mesmo avanço tecnológico que impulsiona os negócios, o monitoramento ativo do ambiente de trabalho mostra-se como uma alternativa detectiva disponível e viável aos executivos. Principalmente para aqueles que querem agir de modo preventivo diante das ameaças que circundam o novo ambiente de trabalho das organizações.

É possível configurar regras específicas que possam alertar sobre situações suspeitas no ambiente, sejam elas sobre o e-mail, o acesso à internet, à impressora, produtividade da equipe etc.

Após a detecção do incidente e com uma ferramenta adequada em mãos, é possível aprofundar-se na investigação e buscar maiores detalhes sobre o ocorrido.

Diversas irregularidades e riscos podem ser cobertos com o monitoramento ativo, tais como:

Quanto maior o número de entidades sob o monitoramento de informação maior será a capacidade de detecção, prevenção e reação.

Visto a quantidade de riscos existes, podemos dizer que o monitoramento pode ser utilizado por diversas áreas de uma empresa a exemplo, áreas de compliance, recursos humanos, investigação, segurança, qualidade, auditoria, entre outras.

Cuidados para estabelecer sua função de monitoramento

Monitoramento de informação do ambiente corporativo é uma ferramenta útil para a prevenção e mitigação de riscos. Porém, não é incomum o tráfego de dados pessoas. Para estar em conformidade, alguns pontos precisam ser verificados:

Para ter um monitoramento de informação eficaz e maduro, é importante mencionar que a empresa precisa ter:

Conteúdos » Gestão de riscos

É prática usual nas empresas a realização de avaliação de riscos por meio de mapas de risco, mapas de calor e classificações de risco. Elas são baseadas em avaliações subjetivas da criticidade do impacto de possíveis eventos futuros, bem como de sua probabilidade de ocorrência.

Essas abordagens fornecem uma imagem geral dos riscos, parecem simples e compreensíveis para a maioria das pessoas. No entanto, elas geralmente resultam de um processo sistemático e fornecem um perfil aproximado dos riscos da organização.

Principais atribuições de uma avaliação de riscos

Atributos comuns do mapa de riscos incluem os objetivos da Alta Direção baseados em uma estratégia ou plano de negócios. Isso porque é ela quem fornece o contexto para a avaliação. É a partir desse contexto que se cria uma linguagem comum que possibilita a compreensão do universo de riscos relevantes e critérios predeterminados para a realização de uma avaliação de riscos.

Embora todos concordem que uma avaliação de risco eficaz nunca deve terminar com a gerência tendo em mãos uma lista de riscos, não é incomum que as avaliações de riscos tradicionais façam exatamente isso. E isso deixa os tomadores de decisão com poucas informações sobre o que fazer em seguida. Então, por que é um desafio para as empresas ir além de uma avaliação de riscos para um plano acionável? A Protiviti Brasil oferece quatro razões.

Razão 1. Impressões individuais na avaliação de riscos

Primeiro, o processo de avaliação de riscos pode permitir que impressões individuais afetem a avaliação, promovam o “pensamento de grupo” e se antecipem ao pensamento inovador.

Razão 2. Pessoas são diferentes, logo os entendimentos são diferentes

A pesquisa mostrou que escalas derivadas de descrições qualitativas de criticidade e probabilidade são entendidas e usadas de maneira diferente por pessoas diferentes. As avaliações de participantes desinformados costumam ser moderadas nessas escalas e podem distorcer os resultados gerais.  

As interseções em um mapa de risco são médias aritméticas de visões, algumas vezes, amplamente dispersas e não são necessariamente um consenso dos avaliadores participantes.

Razão 3. Experiências passadas podem distorcer uma análise racional

Avaliações subjetivas são, frequentemente, influenciadas pela experiência. Esse é um atalho perigoso no processo de avaliações de riscos. Isso porque se tem algo que aprendemos ao longo dos anos é que o passado nem sempre é um indicador confiável do que esperar no futuro.

Por exemplo, a crise financeira nos ensinou que o que não sabemos é mais importante do que aquilo que sabemos.

A integridade do processo de avaliação de riscos pode ser prejudicada pelo excesso de confiança decorrente de sucessos passados e por uma visão excessivamente simplificada do futuro. 

Razão 4. Situações extremas são deixadas de lado

O processo tradicional de avaliação de riscos oferece poucas informações sobre o que fazer com exposições a eventos extremos. Às vezes, o processo leva a uma conclusão para tirar dos holofotes os chamados riscos de “alto impacto, baixa probabilidade”.

Isso é resultado das baixas probabilidades de eles ocorrerem e de uma falsa sensação de segurança decorrente da falta de precedência histórica. Esses eventos, caso ocorram ou não de forma inesperada, frequentemente causam mais danos.

Portanto, o processo precisa levar em conta fatores como a rapidez ou a velocidade do impacto, a persistência do impacto ao longo do tempo e a prontidão de resposta da organização.

Ainda há espaço para abordagens tradicionais de avaliação de riscos, pois geram reconhecimento e permitem a obtenção rápida de uma visão geral do risco. Principalmente quando uma empresa está apenas iniciando seu percurso pelo ERM (Enterprise Risk Management – Gestão de riscos dos negócios).

No entanto, as abordagens tradicionais perdem seu valor ao longo do tempo e se tornam mais uma ferramenta de “olhar para o passado”. E na verdade elas deveriam ser um exercício prospectivo à medida que o gerenciamento de riscos da empresa evolui.

Dessa forma, mecanismos de avaliação de riscos mais focados podem ser necessários para fornecer informações que a gestão da empresa necessita. Se muito pouco acontecer como resultado do processo de avaliação de riscos de uma organização, este será um sinal claro de que abordagens alternativas devem ser consideradas.

Conteúdos » Gestão de riscos

O varejo pode ser definido como o conjunto de atividades relacionadas à venda de bens e serviços. Ele lida diretamente com o consumidor final, e sua importância é cada vez mais reconhecida no cenário econômico brasileiro. E com ela cresce a necessidade de gerenciamento de riscos de Safety.

Apesar da crise econômica que assolou o país nos últimos anos, o setor tem exibido números expressivos de crescimento. Ele é, inclusive, o gerador do maior número de empregos formais no país.

Segundo o IBGE, o comércio (organizado em atacado e varejo de mercadorias) emprega 22,3% dos trabalhadores formais brasileiros. Levando-se em consideração a quantidade de pessoas em contato com esses ambientes todos os dias, como colaboradores ou clientes, é de fundamental importância que alguns tipos de riscos sejam gerenciados e mitigados.

Dentre as maiores empresas do setor no Brasil, as três principais são supermercadistas, com faturamentos brutos de dezenas de bilhões de reais por ano, seguidos por diversas lojas de departamentos, farmácias e outros segmentos. Levando-se em conta a severidade dos riscos envolvidos e o contato direto com grande número de clientes, a segurança de clientes e funcionários também deve estar na prioridade.

De acordo com informações do Observatório Digital de Saúde e Segurança do Trabalho, desenvolvido pelo Ministério Público do Trabalho e pela Organização Internacional do Trabalho, entre 2012 e 2018 o comércio varejista de mercadorias em geral foi o segundo setor econômico com mais comunicações de acidentes, com 142.909 casos.

Principais pilares para gerenciamento de riscos de Safety

O universo de gerenciamento de riscos de Safety costuma ser bem amplo, mas podemos basear o gerenciamento desses riscos em quatro pilares principais

Pilar 1. Governança

Para que seja possível, efetivamente, mitigar a maior quantidade de riscos identificados, é necessário estar bem claro quem é o responsável pela solução de cada problema.

Essa clareza da responsabilidade e o correto direcionamento são essenciais para uma resolução rápida e efetiva de problemas. Além disso, toda a liderança precisa estar ciente dos riscos envolvidos nos processos em suas áreas. Ou seja, conhecer seus riscos facilita e agiliza o processo de delegação das atividades.

Pilar 2. Conscientização

É fundamental que todos os funcionários estejam cientes das responsabilidades que possuem, uma vez que distrações e falta de comprometimento podem resultar em acidentes gravíssimos.

Assim, não é efetivo apenas o investimento em infraestrutura e melhoria das instalações, tendo em vista que a causa raiz de muitos problemas não é solucionada.

Por exemplo, reformar e instalar proteções para os porta-pallets danificados de um depósito e não conscientizar os operadores das empilhadeiras, fará com que os riscos retornem. E, consequentemente, a empresa terá que fazer o mesmo tipo de investimento com recorrência.

Pilar 3. Mitigação

Uma vez que as pendências forem delegadas às áreas responsáveis (seja Manutenção, Segurança do Trabalho, Operações etc.) é necessário a correta priorização dos itens a serem solucionados e acompanhamento do progresso das soluções.

Por exemplo, havendo identificação de uma saída de emergência obstruída, a equipe da Loja deve atuar de maneira imediata assim que notificado e a área responsável pelo gerenciamento de riscos. Esta, por sua vez, deve verificar se o problema foi realmente solucionado.

Caso seja necessária a aprovação e a liberação de verba para investimentos, é preciso que seja dada ainda maior atenção pela liderança. Isso evita gargalos no processo e atrasos na resolução.

Pilar 4. Documentação

Este último pilar é de extrema importância. Pois auxilia no entendimento dos acidentes e possibilita uma visão de pontos de atenção para evitar futuras ocorrências, atuando de maneira preventiva.

É fundamental que todas as situações sejam registradas, formando uma massa de dados para análises e direcionamento dos principais problemas que devem ser atacados.

Melhores práticas para mitigar os principais riscos de safety

A melhor forma de atuar no  gerenciamento de riscos de Safety é sempre de maneira preventiva. Lembre-se: podem haver vidas em jogo. Sendo assim, é necessário atenção aos pontos que apresentam maior risco. Vamos a eles?

1. Explosão

Segundo estatísticas do Corpo de Bombeiros de São Paulo, em 2015, considerando residências e ambientes comerciais, foram registrados 3.391 vazamentos com GLP no estado.

Qualquer faísca em contato com gás em ambiente confinado e sem ventilação pode ser o suficiente para causar uma explosão. Por isso, é necessário o máximo de atenção ao realizar as trocas de botijões de gás.

Sempre deve-se verificar se as mangueiras utilizadas estão dentro do prazo de validade, se as conexões estão em boas condições e se há cheiro que possa indicar algum vazamento.

 2. Colapso de Estruturas

Instalar proteções (“caneleiras”) nos pés de porta-pallets dos locais onde há uso de empilhadeiras. O choque de uma empilhadeira pode ser o suficiente para derrubar todos os porta-pallets de uma loja e causar dezenas de mortes.

Há no mercado diversas soluções paliativas para esses impactos, como proteções para os pés dos montantes. Porém, é fundamental que todos os operadores estejam treinados, habilitados e cientes de todos os riscos envolvidos durante a operação de empilhadeiras.

3. Incêndio e Queimaduras

As lojas devem possuir todos os extintores e acessórios de caixas de hidrantes requeridos pela legislação vigente, as saídas de emergência devem estar desobstruídas e a central de alarme de incêndio deve estar 100% funcionais.

Também, deve ser proibida toda a prática de adaptação de fiação elétrica dos circuitos de iluminação para alimentar equipamentos, refrigeradores, etc. De acordo com a Abracopel, em 2018 ocorreram 537 incêndios derivados de curto-circuito, sendo responsáveis por 61 mortes.

4. Choque Elétrico

Todos os fios desencapados devem ser adequados e todos os equipamentos precisam possuir o pino de aterramento. Outro ponto de atenção para ajudar a reduzir a quantidade de acidentes e tornar as instalações elétricas mais seguras é sempre contratar profissionais qualificados para realizar as adequações necessárias.

Conforme o Anuário Estatístico de Acidentes com Origem Elétrica da Abracopel, apenas em 2018 foram registradas 622 mortes decorrentes de choque elétrico, sendo que o Nordeste é a região que registra mais casos, com 42% do total.

5. Queda de Mercadorias

A simples queda de uma caixa com mercadorias é o suficiente para matar um colaborador ou cliente. Para evitar este tipo de acidente é preciso atentar-se para alguns pontos:

6. Corte, Perfuração e Contusão

No piso de vendas, depósitos e retaguardas das lojas há diversos pontos que merecem atenção devido ao grande risco relacionado a cortes, perfurações e contusões. Os principais pontos são:

7. Danos Estruturais

Levando-se em consideração as dimensões das lojas de grandes grupos varejistas e a exposição às diversas condições climáticas, é de se esperar que naturalmente haja fissuras em paredes e pequenas aberturas em juntas de dilatação dos pisos.

No entanto, toda rachadura se inicia como uma fissura, e é necessário observar se há evolução do tamanho e profundidade. Também, é importante atentar-se às docas de recebimento de caminhões com mercadorias, uma vez que as batidas nas paredes contribuem para a deterioração do local.

Uma alternativa para mitigar esse efeito é a instalação de espumas de amortecimento nos pontos de impacto.

Outro ponto de atenção a observar é com relação às estruturas metálicas, como toldos e totens em lojas em cidades litorâneas, uma vez que a maresia intensifica a corrosão e aumenta a degradação dessas armações.

8. Escorregão e Quedas

Por fim, deve-se ter em mente que quanto maior a frequência de limpeza dos corredores dos pisos de vendas menor será a probabilidade de acidentes por escorregão.

Idealmente, para lojas de maior porte, todas as pessoas da equipe de limpeza do piso de vendas devem possuir um radiocomunicador, de modo a agilizar o processo desde a identificação até a mitigação de um ponto com risco. A comunicação através do próprio sistema de som da loja pode muitas vezes não ser tão efetiva.

As escadas, rampas e desníveis das lojas devem possuir as sinalizações adequadas (conforme ABNT NBR 9050), de modo a facilitar a visualização, aumentar o atrito e diminuir as chances de acidentes.

Riscos de safety: mantendo a segurança e confiança dos clientes

O intenso ritmo do comércio varejista pode muitas vezes ofuscar pontos que merecem atenção.

Apesar de as vendas estarem em primeiro plano, o investimento em melhoria das instalações, infraestrutura e treinamento de colaboradores não deve ser negligenciado, uma vez que uma loja mais segura traz mais vantagens a todos. Ou seja, o gerenciamento de riscos de Safety é crítico para o negócio.

Caso algum acidente grave venha a ocorrer, vários serão os impactos resultantes.

Por exemplo, em um colapso das estruturas dos porta-pallets no piso de vendas de uma loja de varejo atacadista devido à imprudência de um operador de empilhadeira, a empresa terá prejuízos financeiros (multas e indenizações, reparo das estruturas, desmobilização da loja e período com loja fechada para adequações).

Mas, principalmente, uma mancha na reputação da marca que dificilmente será reparada, uma vez que a confiança dos clientes será perdida.

Sendo assim, caso uma empresa deste setor deseje estar entre as marcas que mais se destacam, o gerenciamento de riscos de Safety deve ser tratado entre as lideranças com prioridade e celeridade. Tudo isso para se evitar a materialização de um risco previsível e com grandes consequências para o negócio e criar um ambiente onde clientes e colaboradores estejam em sempre segurança.

Yuri Ribeiro é Consultor de riscos e performance na Protiviti Brasil, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.

Conteúdos » Gestão de riscos

A interrupção das atividades de transportes de carga não é uma novidade. Só no Brasil, há histórico de greve nos anos 1999, 2008, 2013, 2015, 2017, além da recente paralisação nacional organizada em função do reajuste do preço do óleo diesel. Este cenário não é exclusivo do nosso país, de acordo com o Relatório de Resiliência no Supply Chain de 2017, do Business Continuity Institute (BCI). Realizado em 64 países, o documento apresenta a Interrupção das Atividades de Transporte como a 5ª maior causa de ruptura no Supply Chain, precedida por questões relacionadas a telecomunicações e ciberataques. Nesse sentido, a gestão de continuidade de negócios é essencial.

O relatório aponta que os principais impactos destas rupturas estão relacionados a perda de produtividade e de receita e aumento dos custos após o evento, seguindo o perfil da realidade brasileira. Pela ótica de perda de produtividade, algumas empresas sofrem rapidamente com as rupturas, principalmente, aquelas que trabalham com alto giro ou baixos estoques, como as indústrias automobilísticas no modelo just in time ou varejistas, bem como os operadores logísticos, que contam com centros de distribuição e precisam de recorrência no fluxo de entrega.

Além disso, por conta do desabastecimento, também há perda de receita, que pode vir a comprometer de 2% a 5% do faturamento mensal das companhias. Com relação ao aumento de custos, no setor agropecuário, por exemplo, em que a escassez de produtos afeta rapidamente os preços, é possível que haja aumento de mais de 100%. Para se ter uma ideia, na greve de 2015, o preço da batata subiu 250%.
Se este assunto não é novidade para os empresários brasileiros, por que sempre em situações de paralisações há surpresas e os impactos são tão significantes? A resposta está na falta de um Programa de Gestão de Continuidade de Negócios e Crises, que permite as organizações se prepararem para reagirem ao evento de forma rápida e retomarem as atividades com o menor impacto.

Para quem ainda não sabe, o primeiro passo do programa é o planejamento. Nesta fase, são identificados os processos e recursos críticos à empresa, para que sejam traçadas alternativas com o intuito de evitar e/ou minimizar impactos e definir os papéis e responsabilidades dos executivos e suas equipes. Dessa forma, é possível identificar, por exemplo, outros fornecedores ou parceiros de distribuição, que podem atender em casos de emergências, ou formas de aumentar o nível de estoque, conforme o tempo de ruptura médio provável.

A segunda fase, a de preparação, envolve a execução de passos previstos no planejamento, a formalização e a divulgação dos planos para os responsáveis, como no exemplo anterior, em que é preciso entrar em contato com os parceiros e fornecedores, para definir os gatilhos e o formato de abastecimento de itens críticos, ou aumentar os espaços para atender o novo nível de estoque. Essas etapas são as mais importantes e seguem o princípio de que “o momento de consertar o telhado é quando o sol está brilhando”. Após o planejamento e a preparação, a empresa passa a ter um plano com ações definidas, para ser ativado no momento de um evento, como no caso da greve dos caminhoneiros.

A implantação de um Programa de Gestão de Continuidade de Negócios e Crises é fundamental para a resiliência das empresas em situações de interrupções e crises, tanto que 74% das que foram analisadas no relatório da BCI contam com um plano de continuidade. Vale ressaltar ainda que o compromisso da alta gestão aumentou de 33%, em 2015, para 41%, em 2017.

Por Victor Tubino, gerente de BPI (Business Performance Improvement) e Risk Management e líder da prática de Distribuição e Gestão de Estoques da Protiviti do Brasil

Conteúdos » Gestão de riscos

O monitoramento de informação não é apenas uma boa prática para a segurança de dados das empresas, mas uma necessidade. Um levantamento realizado pela Protiviti Brasil mostra que entre 2014 e 2018, dos 32 mil incidentes analisados nas empresas que participaram da pesquisa, mais de 70% eram relativos ao vazamento de informações.

O vazamento de informações confidenciais tornou-se um dos principais desafios de negócios globalmente. Hoje, nenhuma indústria ou empresa está 100% protegida contra perda e/ou roubo de dados. Garantir a segurança das informações está se tornando parte integrante dos processos de negócio e papel do monitoramento de informação.

Vazamentos mais comuns são a divulgação de resultados, planejamento financeiro, projetos estratégicos, dados dos colaboradores e dados de clientes. Normalmente esses vazamentos ocorrem internamente, cometidos por pessoas da organização.

É importante também conhecer a relação que existe entre os tipos de incidentes como, por exemplo, um incidente detectado sobre perda de talento, que ocorre quando o colaborador pretende deixar a empresa, geralmente está associado aos incidentes vazamento de informação. Quando o colaborador decide deixar a empresa, ele inicia um processo de transferência de arquivos para seu e-mail particular, para que ele possa utilizar essas informações em outras empresas que ele virá a trabalhar.

Com a lei geral de proteção de dados (LGPD) que entrou em vigor em agosto de 2020, os cuidados com os dados devem ser ainda maiores. Isso significa que as empresas precisam monitorar toda movimentação realizada, garantindo a segurança destas informações.

Além do vazamento de informações o monitoramento de informação pode detectar fraudes corporativas. E, quando há a falta de monitoramento de informação, a maioria dos riscos só são detectados depois de ser tornarem um problema. E essa detecção tardia da ameaça interna reduz as opções de correção.

Uma fraude não acontece da noite para o dia. O fraudador vai testando o ambiente, inicialmente de uma forma mais tímida e assim aumentando o risco de grandes fraudes. Com um monitoramento de informação efetivo é possível verificar indícios precoces da intenção.

A maior parte do gerenciamento de risco é, na verdade, o gerenciamento de incidentes e o foco está no forense.

Quais os riscos de um ambiente de trabalho sem monitoramento de informação?

Com o monitoramento de informação no ambiente é possível cobrir diversas irregularidades e riscos, tais como:

Quanto maior o número de entidades sob o monitoramento de informação maior será a capacidade de detecção, prevenção e reação.

Visto a quantidade de riscos existes, podemos dizer que o monitoramento pode ser utilizado por diversas áreas de uma empresa a exemplo, áreas de compliance, recursos humanos, investigação, segurança, qualidade, auditoria, entre outras.

Quais são as áreas que trazem mais estes tipos de incidentes

Em pesquisa realizada ao logo destes 10 anos na ICTS Protiviti, mostrou que operações/manufatura e comercial concentram mais de 50% dos incidentes detectados. Isso mostra que devemos estar mais atentos a elas, mas sem deixar de lado as demais áreas como a financeira, marketing, recursos humanos, logística.

Quais os níveis organizacionais com maiores riscos?

Segundo nossa experiência de mais de 10 anos, 100% das empresas possuem dados suficiente para detectar e prevenir diversos riscos.

Monitoramento de informação de Acordo com a Lei

Monitoramento de informação do ambiente corporativo é uma ferramenta útil para a prevenção e mitigação de riscos. Porém, não é incomum o tráfego de dados pessoas. Para estar em conformidade, alguns pontos precisam ser verificados:

Os 4 pilares para um processo maduro de monitoramento envolvem unir

Confira os pilares do monitoramento de informação eficaz e maduro.

Dividimos o monitoramento em três níveis de maturidade

Podemos classificar o monitoramento de informações das empresas em três níveis de maturidade. Leia e veja em qual a sua organização se encaixa.

Como vimos o monitoramento de informação é fundamental para corporações que desejam evitar perdas por atitudes antiéticas, fraudes, vazamentos entre outros. E para isso, é preciso seguir alguns pilares que garantem que a empresa tenha total maturidade para lidar com esse processo, seja de forma preventiva ou reativa.

Conteúdos » Gestão de riscos

O marketplace é uma espécie de shopping center virtual no qual empresas ou pessoas vendem seus produtos em uma plataforma centralizada que as conecta com potenciais consumidores. E, como todo negócio online ou físico, é passível de fraudes. Existem plataformas puras de marketplace, como Ebay e Mercado Livre, e plataformas híbridas, nas quais as empresas cedem espaço para as outras organizações venderem seus produtos.

Este segundo modelo foi idealizado e implantado pela Amazon em 2014. Seu sucesso foi tão grande que se espalhou pelo mundo como rastilho de pólvora. No Brasil, os gigantes do comércio eletrônico, como B2W, Magazine Luiza, Carrefour, ente outros, aplicam o modelo de marketplace em suas plataformas.

Porém, há riscos que estas empresas estão expostas ao permitir que sellers (nome dado às empresas que se cadastram no marketplace) vendam produtos em seu ambiente virtual. E isso pode trazer impactos, principalmente, à imagem e aos resultados financeiros do negócio. Vamos explorar alguns riscos a seguir. Confira!

Marketplace: sellers incapazes de atender a demanda de venda

Em geral, são empresas individuais ou de pequeno porte, que não têm capital de giro para sustentar altos estoques. E isso pode fazer com que eles não tenham capacidade de atender a alta demanda das vendas no marketplace.

Isto também acontece quando a empresa cai na armadilha de vender com preços baixíssimos, se iludindo com o volume de vendas, mas não se atentando à baixa margem e incapacidade de financiar a compra de novos produtos.

Para tratar este risco, é importante que a plataforma crie gatilhos de venda no início da vida do seller, delimitando o volume de venda. Isso permite testar a capacidade de atendimento do seller aos seus clientes.

Sellers fantasmas

Há casos de fraudadores que se apropriam de dados de empresas para cadastrá-las em marketplaces. Ou ainda, criam empresas para forjar vendas e nunca entregar os produtos. Este tipo de fraude tem vida curta, pois, o nível de reclamação dos clientes rapidamente sinalizará que algo está errado.

Porém, até lá, a imagem do marketplace poderá ficar arranhada. Além disso, essas fraudes podem acontecer em alto volume, pelo uso de robôs de cadastro. Com isso, é possível criar dezenas de sellers fantasmas ao mesmo tempo.

Uma das saídas para isso é travar o pagamento do seller e realizá-lo apenas após a confirmação da entrega do item. Outra solução é a implantação de inteligência artificial para análise de comportamento (user behavior analytics – UBA).

Essa é uma ferramenta que capta o comportamento do usuário e consegue identificar se há um ser humano por trás da máquina ou um robô realizando processos em massa. Ela também avalia a idoneidade do dispositivo de onde esse cadastro está sendo feito.

Venda de produtos irregulares (piratas, sem certificação)

Segundo um estudo da MarkMonitor, em parceria com a Vitreos World, aproximadamente um terço dos usuários da internet foram enganados e levados a comprar produtos falsificados. No Brasil, basta entrar no Reclame Aqui que a insatisfação com a surpresa de receber produtos falsificados comprados em marketplace é recorrente.

Este é um risco difícil, mas possível de mitigar. Algoritmos de aprendizado de máquina (Machine Learning) podem ser treinados para identificar variações de preço improváveis para um mesmo produto e, assim, apontar o risco da venda de itens falsificados.

Outro problema crítico é a venda de itens sem certificação de agências reguladoras. As principais infrações recaem sobre itens não homologados pela ANATEL (dispositivos eletrônicos), ANVISA (suplementos alimentares e vitaminas), INMETRO (brinquedos) e ANAC (drones).

Estar em conformidade com agências reguladoras e certificadoras é um grande desafio hoje para os marketplaces. É importante haver uma cláusula de aceite na qual o seller declare que seus itens estão em conformidade com regulações e leis locais.

Além disso, o marketplace pode também definir riscos para algumas categorias que podem passar por análise mais detalhada antes da aprovação para divulgação do item no site. Uma relação estreita  entre fabricantes e marketplace ajuda na proteção das marcas e, assim, evitam fraudes.

Cliente fantasma

Neste caso, os sellers podem forjar vendas fantasmas utilizando dados de cartão adquiridos, por exemplo, da deep web. Dessa forma, o marketplace criado é utilizado com a principal finalidade de “sacar” o dinheiro dos cartões de crédito roubados por meio de vendas que não existem.

Este ataque também pode ocorrer por meio de robôs que executam processos em massa. Logo, uma solução de UBA também pode ser aplicada para conter esse risco.

Como prevenir fraudes no marketplace

A criatividade e as amplas possibilidades de fraudes demandam uma abordagem multidisciplinar de prevenção. Ela deve abarcar um processo com múltiplos modelos para identificação e tratamento deste problema.

Abaixo, são apresentadas algumas soluções para prevenção de fraudes no marketplace. Confira!

Due Diligence e scoring de risco do seller

Esta diligência consiste na avaliação de dados cadastrais e dados financeiros do seller, que deve resultar em um scoring com base em regras pré-determinadas. Estas devem considerar os dados enviados per se, como, por exemplo: data de abertura, tamanho da empresa, CNAE, etc.

Também deve realizar análise externa das informações, como, por exemplo: checagem do CNPJ na Receita Federal, avaliação dos sócios da empresa etc.

O scoring de risco pode determinar, por exemplo, o volume de venda permitido pelo seller, que pode subir de acordo com o nível de serviço (entregas atendidas e avaliação de consumidores) que o mesmo terá na plataforma ao longo do tempo.

Monitoramento do cadastro de produtos

O cadastro dos produtos deve ser monitorado pela plataforma, garantindo que itens falsificados, não homologados ou proibidos por lei não sejam vendidos. Este processo pode ser feito por meio de algoritmos de deep learning que conseguem identificar o item da foto e cruzar com a descrição dada ao produto.

Além disso, é possível solicitar alguns campos que, se preenchidos, podem aumentar a confiabilidade do item (ex.: código universal, código EAN). Outra forma de monitorar o cadastro é aplicar um algoritmo de machine learning para acompanhar o preço do produto e cruzá-lo com o mesmo em outros sellers. Em caso de grandes divergências, o item pode ser bloqueado para averiguação.

User Behavior Biometrics/Analytics no marketplace

Com base na captura dos dados do usuário que está acessando a plataforma, é possível identificar tanto as características do dispositivo como o comportamento do usuário. Isto permite identificar, por exemplo, se há um humano ou um programa (robô) por trás das ações no marketplace.

Além disso, é possível detectar dispositivos com características suspeitas como, por exemplo: um celular recém habilitado, sem nenhum aplicativo instalado, conectado constantemente a um carregador — características incomuns e fora da média dos usuários.

Além dessas, existem outras soluções que são aplicáveis na identificação e tratamento de fraudes no marketplace e no comércio eletrônico, em geral. A aplicação delas de forma isolada ou complementar depende do nível de precisão desejado e da capacidade de investimento possível para a contenção desse risco. O lado positivo é que, com a popularização da inteligência artificial, há cada vez mais mecanismos para conter fraudes e riscos no marketplace.

Conteúdos » Gestão de riscos

Em 2017, o COSO – The Comitee of Sponsoring Organizations –  liberou a atualização do modelo de gestão de riscos corporativos, com uma abordagem que integra riscos à estratégia e performance das organizações. Dentre outras coisas, esta atualização aproxima a gestão de riscos dos executivos e da alta administração das empresas, que tinham suas expectativas frustradas pelo desalinhamento entre as suas necessidades e a entrega recebida.

Apesar da atualização do COSO, o insucesso da implantação de riscos corporativos está mais relacionado a erros e incompreensões do que o próprio modelo em si. Algumas causas encontradas:

O novo modelo faz reflexões acertadas sobre equívocos de interpretação do antigo modelo (COSO 2004). Dentre eles, identifica que o “gerenciamento de riscos corporativos não é uma lista de riscos” e “vai além do controle interno”.

Modelos de avaliação de riscos corporativos vencedores devem passar por uma reflexão sobre a missão e visão da organização, a relação delas com a estratégia definida, os objetivos e metas de performance das áreas e a oscilação aceita para essas metas. Metodologias como cadeia de valor, análise SWOT, Value at Risk, metas SMART, dentre outras que suportam o planejamento estratégico, são insumos valiosos para os riscos corporativos.

A implantação de riscos corporativos bem-sucedida deve desdobrar o tratamento dos riscos em planos de ação geralmente multidisciplinares (entre áreas), com resultados diretamente atrelados às metas de performance.

Por último, mas não menos importante, a governança sobre os riscos deve ocorrer junto ao conselho de administração, com participação intensa dos altos executivos (presidente e diretores), que precisam estar alinhados ao propósito do modelo, que é a criação e preservação de valor da organização.

Ao cumprir esta agenda, o modelo de riscos corporativos atende às expectativas da organização e de seus líderes e, principalmente, traz resultados efetivos para o negócio.

Conteúdos » Gestão de riscos

A Lei de Proteção de Dados Europeia (GDPR), atuante desde 25 de maio, e a Lei de Proteção de Dados (LGPD ou PLC 53/2018), que entrará em vigor em fevereiro de 2020, atualmente criam um movimento intense em plataformas e aplicativos da internet no que tange à atualização dos termos e condições de uso, onde também estão presentes as políticas de privacidade de dados.

Em linhas gerais, ambas as leis regulamentam como as empresas devem tratar os dados pessoais de seus usuários e estabelece punições para condutas abusivas. Mas qual a relação da aprovação destas leis com este movimento de atualização das políticas de privacidade? O que, afinal de contas, é alterado nestes termos e por quê?

Para responder tais perguntas, segue uma análise dos principais aplicativos e redes sociais, para que você conheça as mudanças. O resultado desta comparação surpreendeu justamente pela ausência de mudanças substanciais.

As mudanças

Embora não haja uma pesquisa específica a esse respeito, há uma percepção geral de que a maioria dos usuários nunca lê os “Termos de Uso” destas plataformas e, como consequência, não leem também a “Política de Privacidade”. Tanto é verdade que alguns dos serviços analisados sequer disponibilizam uma versão em português – como é o caso do LinkedIn, Waze e WhatsApp.

Existem, até mesmo, sites especializados em resumir e apresentar os principais tópicos destes termos para facilitar a vida dos usuários – como no caso do site https://tosdr.org (tosdr = Terms Of Service Didn’t Read), cujo próprio nome brinca com o fato de que as pessoas não lêem estes termos.

De fato, a vida dos usuários não é fácil quando se trata de garantir sua privacidade. Além de muito extensas e cansativas, as políticas de privacidade não dão a opção de continuar utilizando o serviço plenamente sem que o usuário autorize o uso das informações coletadas. A única alternativa para não concordar com o uso é cancelar sua conta e deixar de utilizar o serviço – como mostra o aviso abaixo:

“A continuação do uso de nossos serviços ratifica sua aceitação de nossa Política de Privacidade e alterações posteriores. Caso você não concorde com a Política de Privacidade revisada, pare de utilizar os Serviços. Consulte nossa Política de Privacidade periodicamente”. (WhatsApp)

Então, alguém poderia dizer: “Eu não quero me expor. Portanto, não vou usar estes aplicativos”. Mas você sabia que mesmo assim seus dados podem estar sendo coletados?

O Facebook e todas as empresas do grupo, por exemplo, coletam dados sobre você mesmo sem ter uma conta com eles. Sim, é isso! O Facebook estabelece inúmeras parcerias com outros serviços on-line, tais como jogos, portais de compras e vários outros produtos virtuais os quais estabelecem uma relação de compartilhamento dos dados dos usuários. O aviso a seguir aponta isso:

“Esses parceiros fornecem informações sobre suas atividades fora do Facebook, inclusive informações sobre seu dispositivo, os sites que você acessa, as compras que faz, os anúncios que visualiza e sobre o uso que faz dos serviços deles – independentemente de ter ou não uma conta ou de estar conectado ao Facebook.” (Texto extraído da última versão da política de dados do Facebook divulgada em 19 de abril de 2018.)

Como se não bastasse esse tipo de parceria, temos também um outro elemento importante que pode permitir que os aplicativos acessem dados sobre você. Por mais que você não esteja conectado a nenhuma dessas redes, caso alguma pessoa que você conheça e que o tenha em sua lista de contatos tenha compartilhado esta informação com os aplicativos, minimamente estes aplicativos terão acesso ao seu nome, número de telefone e qualquer outro dado que esta pessoa tenha registrado sobre você – como e-mail, endereço, empresa em que trabalha, etc.

Portanto, concluímos que o único jeito de não ter seus dados compartilhados na internet seria estar completamente desconectado da civilização moderna, sequer fazendo uso de boa parte dos serviços públicos ou cumprindo com suas obrigações de cidadão.

Mas se você não tiver vocação para se tornar um ermitão, você pode, opcionalmente, entender o que, afinal de contas, essas empresas fazem com seus dados pessoais. E é neste sentido que as novas Políticas de Privacidade se aprimoraram. Estão, de maneira geral, deixando mais clara a forma como os dados são coletados e utilizados.

As semelhanças sobre as empresas analisadas

Um consenso evidente entre as empresas analisadas – dentre as quais Facebook, iFoof, Waze, Uber, Twitter e Instagram – é o fato de todas elas compartilharem suas informações, seja com parceiros, afiliados ou com prestadores de serviço. Ainda na onda do compartilhamento, estas empresas também recebem outros dados, não informados por você, mas compartilhados por outros aplicativos ou provedores de serviço.

Outro ponto percebido foi a modificação nas novas políticas quanto à forma de divulgação de futuras alterações. Em alguns casos, os aplicativos comunicavam as alterações apenas por um aviso em suas páginas. Já nas novas políticas, as empresas se comprometem a comunicar novas versões de maneira mais enfática, seja enviando e-mail ou utilizando outras formas de mensagens para os usuários – como no exemplo abaixo, do iFood:

“Se fizermos alguma alteração na política em termos materiais, colocaremos um aviso no nosso site, juntamente com a Política de Privacidade atualizada.” (iFood versão anterior) versus “Se fizermos alguma alteração na política em termos materiais, podemos colocar um aviso no nosso website, aplicativo ou te enviar um e-mail, juntamente com a Política de Privacidade atualizada. Por isso, é sempre importante manter seus dados de contato atualizados.” (iFood versão atualizada)

Mas se no final das contas poucos leem estes termos, de que vai adiantar avisar sobre as novas versões, com a entrada da LGPD? Na prática, não vai mudar muita coisa, assim como a essência das políticas também não mudou muita coisa ainda. Os aplicativos continuarão coletando seus dados, compartilhando e fazendo uso deles para as inúmeras análises sobre o comportamento dos usuários.

O que a nova lei de proteção de dados nos oferece, portanto, é a punição para eventuais casos de abuso no uso dos dados. Empresas que não estiverem em conformidade com a nova lei poderão arcar com multas e punições severas, o que pode criar uma barreira de entrada para “aventureiros” nesta área.