Artigos Archives - Protiviti

A ICTS, empresa pioneira em soluções de prevenção de riscos, compliance e segurança no Brasil, participa do Next by Apas, evento que ocorre em 15 de agosto, em São Paulo, para auxiliar o setor supermercadista do ponto de vista da inovação e tecnologia. Durante o encontro, a ICTS irá apresentar a Profit Shield, plataforma de prevenção de perdas de estoque desenvolvida com base em mais de 25 anos de atuação neste tema em clientes varejistas.

A atuação bem-sucedida da ICTS no setor é comprovada em diversos projetos no varejo nacional e internacional, com redução entre 20% a 40% das perdas de estoque. Com uma metodologia fortemente ancorada em análise de informações, a ICTS desenvolveu a Profit Shield, que analisa e ataca as perdas de estoque de forma simples e eficiente, com base em dados.

“O varejo perdeu, somente em 2022, aproximadamente R$ 32 bilhões em mercadorias que geraram custo e não viraram receita na frente de caixa, segundo a Abrappe (Associação Brasileira de Prevenção de Perdas). Nossa proposta com a criação de uma plataforma chega no momento certo para atender essa demanda, contribuindo para alavancar negócios que, muitas vezes, não sobrevivem às perdas”, finaliza Rodrigo de Castro Schiavinato, cofundador da Profit Shield, além de ser diretor executivo de parcerias e inovação e sócio da Protiviti, uma das empresas da ICTS.

Com o avanço da tecnologia e da digitalização das infraestruturas industriais, tornou-se essencial garantir a resiliência cibernética em ambientes de OT (tecnologia operacional). Prova disso é que ambientes como usinas de energia, sistemas de transporte e instalações de manufatura estão cada vez mais expostas a ameaças digitais, o que requer a implementação de medidas robustas de segurança.

Primeiro, vamos entender um pouco sobre os sistemas de OT, que são responsáveis pelo controle e monitoramento de processos industriais essenciais. Diferentemente dos sistemas de tecnologia da informação (TI), que gerenciam dados e informações, este ambiente lida diretamente com a operação física e o controle de equipamentos e processos.

A tecnologia operacional também é definida pela presença de sistemas de controle industrial, dispositivos de campo e redes de comunicação específicas. A interconexão desses componentes com a infraestrutura digital expõe as organizações a ameaças, tornando a resiliência cibernética um requisito crucial na proteção desses sistemas. 

Um dos principais gatilhos de riscos, por exemplo, é a crescente interconexão entre os sistemas de OT e as redes de TI. Essa convergência proporciona eficiência e visibilidade operacional, mas cria uma superfície expandida de ataque. Nesses casos, os invasores cibernéticos podem explorar vulnerabilidades em sistemas de TI para acessar redes de OT, comprometendo a segurança e a continuidade dos serviços fundamentais.

Além disso, as vulnerabilidades específicas e ameaças digitais encontradas nesses ambientes também exigem atenção especial. Muitos desses sistemas foram projetados e implantados antes da consideração adequada à segurança cibernética, resultando em lacunas e fraquezas, dentre as quais estão as falhas de projeto, configurações inadequadas, falta de autenticação robusta, dispositivos desatualizados e ausência de monitoramento.

Um estudo publicado pela Fortinet, de nominado o “Estado da Tecnologia Operacional e Cibersegurança 2023”, revela que a maioria das companhias de tecnologia operacional foram atacadas no ano passado. De acordo com o relatório, essas empresas continuam sendo um alvo desejado pelos cibercriminosos, com 75% delas relatando pelo menos uma invasão no ano passado. O resultado está vinculado à explosão de dispositivos conectados, que aumentou a complexidade para as organizações de OT.

O cenário reforça que a resiliência cibernética passou a desempenhar um papel fundamental na mitigação desses riscos e vulnerabilidades, tendo em vista que este ato se resume na capacidade de um sistema de se adaptar, resistir, se recuperar e seguir operando de maneira segura e eficiente diante de incidentes.

Para isso, avaliar riscos e fazer um planejamento assertivo é o primeiro passo para este processo. Isso envolve identificar as ameaças digitais e vulnerabilidades existentes nos sistemas e redes, bem como avaliar as ameaças potenciais e determinar o impacto que uma violação de segurança poderia ter nas operações.

Com base nessa avaliação, é possível desenvolver um plano de segurança personalizado, que inclua políticas de acesso, segmentação de redes, monitoramento contínuo e implementação de soluções de segurança avançadas, como firewalls industriais e detecção de intrusões.

Dentre os pontos, destaca-se a segmentação de redes e o isolamento de sistemas críticos. Ao dividir a infraestrutura em zonas de segurança e restringir o acesso entre elas, é possível limitar a propagação de um ataque cibernético e minimizar os danos causados. Além disso, é importante isolar estes sistemas, a fim de garantir que não haja conexões diretas com redes não confiáveis, como a internet. E para complementar as etapas citadas, também devemos destacar o monitoramento contínuo dos sistemas e redes em tempo real. E, mesmo com todas as medidas de prevenção, é importante estar preparado para responder a incidentes cibernéticos e se recuperar de desastres por meio de um plano bem definido, sem esquecer de manter testes regulares do plano.

Ao compreender os riscos específicos e adotar medidas adequadas, as indústrias podem proteger seus sistemas e redes contra ameaças cibernéticas cada vez mais sofisticadas.

*Allan Campos é sênior manager da Protiviti Brasil, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.

por Julia Silva*

O compliance tem se tornado um tema cada vez mais relevante no agronegócio, não só no Brasil, mas em todo o mundo. Neste contexto, o compliance é particularmente importante por várias razões. Em primeiro lugar, o setor agro é altamente regulamentado, tanto em termos de legislação ambiental, quanto de saúde e segurança alimentar. As empresas que não cumprem as regulamentações podem enfrentar sanções severas, incluindo multas e até mesmo a perda de licenças para operar.

Além disso, a adoção de boas práticas de compliance pode ajudar as empresas do agronegócio a minimizar riscos associados às atividades como o desmatamento ilegal, o trabalho escravo e o uso de agrotóxicos proibidos. Essas atividades não só são ilegais, mas também podem ter impactos negativos na reputação da empresa e afetar sua capacidade de competir em mercados exigentes. Outro aspecto importante do compliance no agronegócio, é a necessidade de monitorar a cadeia de suprimentos. As empresas que atuam no setor muitas vezes compram insumos de vários fornecedores, e é fundamental garantir que esses fornecedores também cumpram as regulamentações aplicáveis.

Após escândalos, tal como a operação “Carne Fraca” instituída em 2017 pela Polícia Federal e, visando uma condução mais ética e sustentável às atividades deste setor, o Ministério da Agricultura, Pecuária e Abastecimento (MAPA) intensificou o trabalho de Compliance e lançou o Pacto pela Integridade e o Selo Agro Mais integridade. Este selo é concedido às empresas somente após demonstrarem que possuem um programa de integridade em vigor, incluindo políticas claras, procedimentos operacionais, treinamentos e monitoramento. Além disso, a empresa deve demonstrar seu compromisso com a transparência e a conformidade com as leis ambientais, trabalhistas e de segurança alimentar, bem como cumprimento de Termo de Ajustamento de Condutas (TAC) e demandas judiciais e atenção às notícias desabonadoras que envolvam as interessadas, seus sócios ou dirigentes, quando couber.

O Selo Agro Mais Integridade é um reconhecimento importante para as empresas do setor agropecuário, pois demonstra seu compromisso com a ética e a conformidade. Isso pode ajudar a aumentar a confiança dos consumidores, investidores e parceiros de negócios, bem como a melhorar a reputação da empresa no mercado. Destarte, as empresas que recebem o Selo Agro Mais Integridade ajudam a impulsionar a imagem do país no mercado internacional como um todo, aumentando a competitividade do setor agropecuário brasileiro.

Em sua 5ª edição, o Selo Agro Mais Integridade demonstra acompanhar temas importantes, tal como a descarbonização dos processos, sistemas e cadeias produtivas das empresas, exigindo, por exemplo, que as empresas interessadas em renovar a premiação, e consequentemente conquistar o “Selo Amarelo”, apresentem a forma como estão contribuindo para esta pauta, tendo como novidade a exigência para que elas comprovem que são aderentes à iniciativa ”Ação Coletiva Anticorrupção da Agroindústria” do Pacto Global da ONU no Brasil até a data de encerramento das inscrições, mesmo não sendo ainda signatária do Pacto Global, ou, no mínimo, que participem da Plataforma de Ação contra Corrupção do referido Pacto Global da ONU no Brasil

Os interessados em obter o ”Selo Agro Mais Integridade” relativo ao exercício de 2023/2024, deverão realizar sua inscrição diretamente no site oficial do Ministério da Agricultura, Pecuária e Abastecimento, no período de 1º de março de 2023 a 02 de junho de 2023, adequando-se aos requisitos e documentações exigidos na Portaria MAPA nº 542/2022, a qual regulamenta a premiação.

A análise será feita pela equipe da Secretaria-Executiva do Comitê Gestor do Selo Mais Integridade (SECG) que elaborará relatório técnico conclusivo, com a avaliação do cumprimento ou não dos principais requisitos pelas empresas e cooperativas inscritas. Caso sejam consideradas aptas, as empresas e cooperativas serão convocadas para a cerimônia de premiação, devendo assinar o Pacto pela Integridade, Responsabilidade Social e Sustentabilidade Ambiental e Uso Adequado da Marca e poderão utilizar a marca “Selo Mais Integridade” de acordo com o disposto no regulamento.

*Julia Silva é Consultora de Compliance na Protiviti Brasil.

Quando falamos de automação de processos, é comum que os colaboradores da empresa se sintam ameaçados. Afinal, não seria a primeira vez que pessoas perdem o emprego para máquinas. Além disso, o avanço de tecnologias de IA como o DALL-E e Chat-GPT conseguem criar conteúdo que pode ser considerado arte e nem sempre é possível diferenciar de criações humanas. Mas quais os benefícios do RPA para os colaboradores?

A adoção de RPA já é uma realidade, com previsão de crescimento a uma taxa de 32,8% entre 2021 e 2028. Por isso, é uma prioridade para organizações de diversos setores. Apesar disso, sua adoção ainda possui alguns desafios a serem superados. Alguns deles são a falta de conhecimento dos colaboradores sobre os possíveis impactos que a adoção do RPA pode ter em seu trabalho e a baixa aderência devido ao medo de serem substituídos por mão de obra digital. 

Por isso é importante destacar os benefícios do RPA aos colaboradores humanos. Confira a seguir 4 deles.

Benefícios do RPA para os colaboradores

1. Auxilia sem substituir 

Para automatizar um processo, ele deve possuir determinadas características. Podemos citar, por exemplo:

Essa lista deixa claro que um RPA não é adequado para realizar tarefas complexas que exijam alto grau de cognição e inteligência emocional. Um robô pode buscar palavras-chave em uma lista de conexões do LinkedIn, porém não poderá escolher o melhor candidato para a vaga. Qualquer decisão que exija algum tipo de análise subjetiva precisa de um ser humano. Assim, o RPA pode ser utilizado como um assistente que auxilia o colaborador, completando tarefas tediosas e cansativas que tomam muito tempo e são pouco produtivas quando executadas por um ser humano. 

Além disso, o colaborador que desempenha a tarefa antes da implementação do RPA será uma peça fundamental no desenvolvimento do robô, pois é quem vai fornecer todas as informações sobre o processo que será automatizado. 

2. Contribui para o desenvolvimento profissional 

Sabemos os limites da capacidade humana de manter a atenção a uma atividade monótona e repetitiva. Após algum tempo realizando tarefas desse tipo, o tédio e o cansaço se instalam e começamos a pensar em outras coisas enquanto ainda estamos executando a tarefa. A distração e o cansaço comprometem nosso poder de processamento, aumentando a chance de erros. 

Mas nossa cognição está equipada para lidar com situações mais interessantes do que preencher dezenas de formulários idênticos copiando e colando dados, ou faturar dúzias de Notas Fiscais Eletrônicas numa sequência repetitiva de cliques. Ou seja, ao delegar este tipo de tarefa para um RPA, os colaboradores focam em atividades mais criativas e desafiadoras, aumentando o engajamento e incentivando seu desenvolvimento profissional. Isso funciona ainda melhor se a empresa disponibilizar treinamentos e capacitação em conjunto com um bom plano de carreira. 

3. Uma RPA evita acúmulo de trabalho 

Um grande volume de tarefas frequentemente resulta em trabalho acumulado e uma equipe sobrecarregada, especialmente quando alguém do time precisa se ausentar por questões de saúde ou sai de férias. Neste caso o RPA prova seu valor, seja eliminando o trabalho acumulado ou evitando que o acúmulo ocorra em primeiro lugar. 

4. Aumenta a qualidade de vida no trabalho 

Funcionários altamente capacitados para funções complexas ganham mais autonomia no trabalho quando podem delegar tarefas simples e repetitivas para um RPA. Por isso, o aumento de autonomia alivia o esgotamento (burnout) [6] e aumenta a satisfação do colaborador. Isso faz todo o sentido quando levamos em consideração que as pessoas passam a ter a possibilidade de redescobrir seu propósito dentro da empresa e desempenhar papéis mais alinhados aos seus objetivos profissionais. Assim, o resultado de longo prazo será uma maior qualidade de vida no trabalho, com os benefícios do RPA ficando mais aparentes.

Vale ressaltar que é comum que trabalhadores humanos inicialmente torçam o nariz para o RPA, porém passem a ter uma atitude positiva após a implantação. As organizações que pretendem adotar esta tecnologia de automação devem ter transparência na comunicação com seus colaboradores antes de iniciar o processo, por exemplo, informando-os sobre como o RPA será um aliado, e não um inimigo. 

Por mais que estejamos vivendo uma era de digitalização do trabalho, os recursos mais preciosos de qualquer organização são as pessoas. Portanto é indispensável que exista sinergia entre mão de obra humana e a mão de obra digital. Os benefícios do RPA como ferramenta de auxílio para colaboradores humanos, alinhada a uma cultura de valorização dos recursos humanos, tem o potencial de gerar benefícios que se traduzirão em equipes mais felizes e engajadas. 

*Cristiane dos Santos Costa é consultora de Automação Inteligente de Processos na Protiviti, empresa especializada em soluções para automação e digitalização de processos, compliance, investigação, gestão de riscos, proteção e privacidade de dados.

Fontes de consulta

[1] Costa, S. A. S., Mamede, H. S., & Silva, M. M. (2022). Robotic Process Automation (RPA) adoption: a systematic literature review. Engineering Management in Production and Services, 14(2), 1-12. doi: 10.2478/emj-2022-0012 

[2] Khatib, M. , Almarri, A. , Almemari, A. and Alqassimi, A. (2023) How Does Robotics Process Automation (RPA) Affect Project Management Practices. Advances in Internet of Things, 13, 13-30. doi: 10.4236/ait.2023.132002

[3] Moreira, S; Mamede, H. S.; Santos, A. CENTERIS – International Conference on ENTERprise Information Systems / ProjMAN – International Conference on Project MANagement / HCist – International Conference on Health and Social Care Information Systems and Technologies 2022. Procedia Computer Science 219 (2023) 244–254. 

[4] Why do we make mistakes in repetitive tasks? Podcast. Disponível em: <https://www.thenakedscientists.com/articles/questions/why-do-we-make-mistakes-repetitive-tasks> 15 September 2015. 

[5] OKOYE, Casmir Ikenna; TRUONG, Duc; WARMATE, Fidelis. Robotic Process Automation and its effect on Employees’ Attitude and Behaviour. 

[6] Zhu, Y.-Q. and Kanjanamekanant, K. (2023), “Human–bot co-working: job outcomes and employee responses”, Industrial Management & Data Systems, Vol. 123 No. 2, pp. 515-533. https://doi.org/10.1108/IMDS-02-2022-0114 

[7] H. Harmoko, A. J. Ramírez, J. G. Enr´ıquez, and B. Axmann, ”Identifying the Socio-Human Inputs and Implications in Robotic Process Automation (RPA): A Systematic Mapping Study,” in International Conference on Business Process Management, 2022: Springer, pp. 185-199. 

O Committee of Sponsoring Organizations of the Treadway Commission (COSO) divulgou um guia interpretativo sobre como aplicar efetivamente o Internal Control—Integrated Framework (ICIF) de 2013, que atualmente possui o foco em relatórios financeiros, em relatórios de sustentabilidade e relatos integrados. O guia é resultado de um projeto aprovado pelo conselho do COSO há um ano, com o objetivo de ajudar as organizações a “criar e garantir um ambiente de controles interno eficaz, aplicando o ICIF aos relatórios de sustentabilidade, para a tomada de decisões internas e divulgação de informações para públicos externos”. Isso se aplica tanto aos relatórios voluntários quanto aos obrigatórios, o que é importante observar devido ao estado atual de evolução dos relatórios obrigatórios e ao alto percentual de empresas que já fornecem voluntariamente dados de sustentabilidade a seus stakeholders, respondendo aos interesses do mercado. 

No comunicado de imprensa do COSO anunciando a orientação, a presidente do comitê, Lucia Wind, indicou que o guia global é “extremamente oportuno, dadas as regras finais sobre risco climático da SEC (Securities and Exchange Commission) e do ISSB (International Sustainability Standards Board) que estão por vir”. Wind observou ainda que fortalecer os controles internos é “bom para os negócios”, apoia a “jornada de aprendizado e crescimento” em que as organizações estão “para incorporar princípios de gestão sustentável em sua missão, propósito, governança e estratégias” e “construir confiança em informações de sustentabilidade para os negócios.” 

Guia provavelmente se tornará padrão

Embora a publicação indique que é “não-mandatório” e “expressa apenas as interpretações, opiniões e perspectivas dos autores”, acreditamos que o guia  provavelmente servirá como critério adequado e um padrão de facto para relatórios de sustentabilidade, assim como o ICIF é para o controle interno sobre relatórios financeiros (ICFR) para praticamente todas as empresas de capital aberto. Ele ajudará todas as organizações — públicas ou privadas, grandes ou pequenas —, de uma maneira que é familiar para as funções responsáveis pela elaboração dos relatórios financeiros, que são (ou provavelmente serão) responsáveis também pelos relatórios de sustentabilidade. 

O guia inclui um prefácio escrito pelos dois presidentes do COSO que atuaram durante o desenvolvimento e lançamento do ICIF 2013. Eles apontam que a última edição do ICIF eliminou a palavra “financeiro” do objetivo do relatório. Isso justamente para expandir seu escopo para todas as formas de relatório – interno ou externo, financeiro ou não. Os relatórios corporativos evoluíram para muito além dos relatórios financeiros, incluindo questões ambientais, sociais e de governança (ESG), refletindo informações financeiras e não-financeiras por meio de foco em preservação de recursos, desempenho e criação de valor. 

O guia também articula como o ICIF 2013 pode ser aplicado à atividade e divulgação de informações de sustentabilidade. Ele fornece exemplos específicos de princípios de controle interno relacionados à sustentabilidade e relatórios ESG, operações e conformidade. Os autores reconhecem a urgência da aplicação de controles internos sobre relatórios de sustentabilidade (ICSR) nos Estados Unidos e em outros países como um conceito comparável ao ICFR, conforme definido pela SEC.

O projeto consistiu em pesquisas com terceiros e inúmeras entrevistas com executivos e consultores. Ele atualiza o estudo de 2017 publicado pelo Institute of Management Accountants, “Leveraging the COSO Internal Control— Integrated Framework to Improve Confidence in Sustainability Performance Data”, que defendeu uma maior integração entre as equipes de sustentabilidade e financeira para melhorar a divulgação das informações sobre sustentabilidade, tanto internamente quanto externamente, aprimorando a qualidade de dados para gerenciar questões de sustentabilidade nos negócios  e fornecer informações ESG úteis para decisões aos investidores. Como muitas empresas ainda não iniciaram essa jornada de integração, foi necessária uma atualização do estudo de 2017.  

Crescimento nos relatórios ESG 

Os autores do guia e o Conselho do COSO concordaram que o crescimento real e projetado dos relatórios ESG – e, mais importante, a confiança depositada nesses relatórios pelas principais partes interessadas – justificou a emissão de orientações específicas adicionais. Mais de 96% do S&P 500, mais de 80% das empresas do índice Russell 1000 e mais de 90% das maiores empresas em mais de 20 países atualmente emitem relatórios públicos voluntários sobre sustentabilidade e/ou fatores ESG. Na maioria dos casos, eles relatam simultaneamente através de vários padrões e frameworks. O objetivo do COSO ao emitir orientações é auxiliar as organizações a desenhar, testar e avaliar o ICSR e melhorar a sustentabilidade e a conformidade agora que as reformas regulatórias estão surgindo e são iminentes.

Com a atualização, a equipe de autores de veteranos do COSO e o conselho do COSO estão fornecendo às organizações a clareza necessária e conselhos robustos que devem agregar valor ao mercado, de maneira consistente com a missão do COSO de desenvolver diretrizes para empresas avaliarem controles internos, gerenciamento de riscos e combate às fraudes. 

Fontes de valor são, principalmente, intangíveis 

O guia aponta que as fontes de valor da empresa mudaram significativamente nas últimas décadas, a ponto de atualmente 90% ou mais do valor de mercado de uma empresa ser atribuído a fatores não refletidos nas demonstrações financeiras tradicionais. Uma parte significativa do valor de uma empresa hoje pode ser atribuída a fatores ESG, como qualidade da força de trabalho, diversidade, cultura e retenção de talentos, acesso e uso responsável de recursos naturais, relacionamentos na cadeia de suprimentos, governança eficaz etc.

COSO - Relatórios ESG
Fonte: Estudo de valor de mercado de ativos intangíveis da Ocean Tomo 

Os 17 princípios ainda se aplicam 

O guia explica como cada um dos 17 princípios do ICIF se aplica especificamente aos relatórios de sustentabilidade e ESG, fornecendo exemplos de casos reais e ilustrativos, juntamente com “insights” dos autores. Os Pontos de Foco explicativos e de apoio também estão incluídos para cada princípio e foram reformulados para mostrar sua aplicação aos relatórios de sustentabilidade.

O documento reitera o conceito de avaliação do ICIF de que uma organização alcançou um sistema eficaz de controles internos quando todos os 17 princípios estão presentes e funcionando. Ao final do guia, três casos são fornecidos para ilustrar esse conceito: uma organização de capital aberto sujeita a regulamentação na divulgação de seus relatórios, um fornecedor de capital fechado iniciando sua jornada de negócios sustentáveis, e uma organização de capital aberto continuando sua evolução em direção à asseguração razoável. 

Principais tópicos do guia COSO

Para encerrar o documento de mais de 100 páginas, os autores fornecem uma lista de 10 pontos principais do relatório. Os mais relevantes para ICSR incluem: 

Guia suplementar COSO: comentário Protiviti 

Este guia é valioso para todas as organizações, pois todas podem se beneficiar de um ICSR eficaz. Tanto organizações que já possuem maturidade na produção de  relatórios ESG , quanto as  que estão começando sua jornada de sustentabilidade, considerarão o guia útil. Mais importante, à medida que o mercado caminha para realizar avaliações de terceiros, as empresas públicas e outras organizações enxergarão o guia como um instrumento na preparação para o processo de validação e na comunicação com os auditores externos. 

O uso de tecnologia e a aquisição de aplicativos de software específicos para relatórios ESG ou a modificação de sistemas de TI existentes também podem ser benéficos para as organizações, pois buscam automatizar processos e controles, bem como a transição de uma atividade “anual e manual” para uma que é automatizada, contínua, segura e confiável.

No momento da emissão deste Flash Report, não há nenhuma exigência ou proposta estipulando que o processo usado para avaliar a eficácia do ICFR (por exemplo, para fins de conformidade com a Seção 404 da Lei Sarbanes-Oxley de 2002 nos EUA) seja aplicada à avaliação do ICSR. Dito isso, certos elementos desse processo podem ser aplicados aos relatórios ESG, como:

Além disso, conforme observado anteriormente, o ICIF 2013 pode ser usado como critério adequado para ICSR, consistente com a abordagem de avaliação do ICFR, incluindo a ênfase de que todos os 17 princípios estão presentes e funcionando de forma efetiva. 

Concordamos com a orientação de que não há motivo para esperar — e há muitos motivos para começar. As organizações devem usar o guia agora para desenhar e operacionalizar atividades de controle eficazes e se preparar para avaliações por terceiros das divulgações de sustentabilidade e relatórios ESG. Os patrocinadores executivos devem garantir que haja colaboração efetiva em toda a organização entre funções relevantes em operações, conformidade, gestão de riscos, auditoria interna, jurídico, tecnologia e sustentabilidade, entre outros, com relação à execução de atividades de controle apropriadas.

A gerência executiva e o conselho devem ser informados sobre a situação das atividades relacionadas aos ICSR bem como os resultados de avaliações periódicas. Os diretores e a alta administração devem garantir que exista o tom correto de cima para baixo sobre a importância das atividades de sustentabilidade, relatórios ESG e os controles internos relacionados. 

Em resumo, a presidente do COSO observou que a maioria das empresas está agora em “diversos estágios de implementação de controles e processos de governança sobre a coleta, revisão e relatório de informações de sustentabilidade, incluindo a criação de equipes multifuncionais. De muitas maneiras, relatórios de sustentabilidade dos negócios ainda estão sujeitos a evolução e inovação.” Esses comentários reforçam porque todas as organizações, independentemente do tamanho, setor, propriedade e geografia, podem se beneficiar desse guia patrocinado pelo COSO à medida que desenvolvem, amadurecem e continuam a evoluir e expandir suas operações de sustentabilidade, monitoramentos e atividades de conformidade. 

Acaba de ser divulgada a edição 2023 do ranking Leaders League, que reúne as melhores empresas de consultoria, escritórios de advocacia e empresas do setor. A organização é uma editora fundada em Paris, em 1996, focada em produzir relatórios e pesquisas voltadas para executivos e C-levels ao redor do mundo.

Em 2023, a Protiviti Brasil foi reconhecida entre as Melhores Consultorias de Compliance, estreando na categoria Líder – a mais alta do ranking.

via Leaders League

Além disso, a empresa também foi premiada como Excelente entre os Melhores Especialistas em Forensics e Complex Investigations, subindo de categoria em relação ao último ano e como Altamente Recomendada entre as Melhores Consultorias de Gestão de Riscos, citada pela primeira vez.

A Protiviti também conta com a premiação como Excelente entre os Melhores Assessores em LGPD, pelo segundo ano consecutivo.

Os rankings produzidos pela editora são reconhecidos ao redor do mundo e reconhecidos por sua metodologia de pesquisa imparcial, compreensiva e transparente. Confira as premiações no site.

Sobre a Leaders League

A Leaders League é uma empresa de serviços empresariais sediada em Paris e uma agência de classificação com presença global. Além disso, a organização organiza eventos para executivos, rankings abrangentes e análises detalhadas projetadas para unir os mercados globais. Fundada em 1996, em Paris, a Leaders League é uma agência de classificação internacional e serviços empresariais com foco nas seguintes indústrias:

• Jurídica • Private Equity e Serviços Financeiros • Capital Humano • Inovação e Marketing • Gestão de Patrimônio e Gestão de Ativos A empresa organiza mais de 20 eventos de alto nível em capitais globais como Paris, Nova York e São Paulo, além de produzir classificações internacionais e conteúdo de notícias para as indústrias jurídica, financeira, tecnológica e de RH.

A Leaders League é composta por 150 profissionais distribuídos em vários locais ao redor do mundo, incluindo a sede em Paris e escritórios em Londres, Madri, Lima, Milão, Rio de Janeiro e São Paulo.

O WAF (Web Application Firewall) é uma camada de segurança importante para as empresas que possuem aplicações web, como sites, plataformas de e-commerce, sistemas de gerenciamento de conteúdo (CMS), entre outros. É uma espécie de “muro” virtual que fica entre os usuários da internet e o site da empresa, ajudando a proteger os aplicativos web ao filtrar e monitorar o tráfego entre o aplicativo web e a internet. O WAF protege as aplicações contra ameaças cibernéticas que visam explorar vulnerabilidades nas aplicações web para obter informações sensíveis ou derrubar o site.

As ameaças cibernéticas são cada vez mais frequentes e sofisticadas, e podem causar prejuízos financeiros, perda de dados e até mesmo danos à imagem da empresa. Muitos pensam que os ataques hackers são realizados especificamente por pessoas por trás de computadores. Não é bem assim: os hackers utilizam ferramentas de automação para vasculhar em altíssima velocidade e 24 horas por dia sites que sejam vulneráveis a ataques, independentemente de seu porte. É como se um ladrão pudesse testar a abertura de todas as portas das casas de um quarteirão em segundos. Pior do que isso – todas as portas das casas e apartamentos de uma cidade inteira em questão de minutos. Por isso, é fundamental que as empresas tenham uma solução de segurança cibernética que inclua um WAF para proteger suas aplicações web.

O que é WAF e para que ele serve?

O WAF é configurado para interceptar o tráfego de entrada e saída entre o cliente e o servidor da aplicação web. No tráfego de entrada, o WAF verifica se há atividades suspeitas, identificando padrões maliciosos de tráfego que indicam tentativas de invasão, como injeção de SQL, cross-site scripting (XSS), tentativas de força bruta, entre outros. Já no tráfego de saída, o WAF trabalha identificando se há tentativas de extrair informações do servidor, como dados sensíveis dos usuários. Nesses casos, o WAF pode bloquear ou permitir com restrições a saída de dados, protegendo as informações da empresa. Além disso, o WAF pode ser configurado para bloquear tráfego de países ou regiões específicas, ajudando a reduzir o número de ataques que chegam às aplicações.

Um dos ataques mais comuns que o WAF protege é o DDoS (ataque de negação de serviço). Esses ataques são executados por meio do envio de tráfego excessivo para a aplicação web, o que faz com que o servidor fique sobrecarregado e não consiga processar as solicitações legítimas. Imagine que uma estrada é um site da internet e os carros são os usuários que acessam o site. Quando há um engarrafamento, muitos carros congestionam a estrada, tornando o trânsito lento ou até parando completamente. O resultado é que o site fica fora do ar, causando prejuízos financeiros e danos à imagem da empresa.

Dados mostram que os ataques DDoS estão cada vez mais comuns e mais sofisticados. Para se ter uma ideia da magnitude desse tipo de ataque, em 2020, a Cloudflare atingiu o recorde de mitigação de ataques DDoS em sua rede global, bloqueando 17,2 milhões de requisições por segundo. Isso reforça a necessidade de que as empresas tenham um WAF em suas soluções de segurança cibernética para se proteger contra ameaças cibernéticas.

Como escolher um Web Application Firewall?

Escolher um WAF pode ser uma tarefa desafiadora, mas existem alguns critérios que podem ajudar na sua análise:

Além desses critérios, é importante considerar a reputação do fornecedor de WAF no mercado, avaliando suas referências e avaliações de clientes. O Web Application Firewall (WAF) da Cloudflare é reconhecido por sua qualidade e inovação, sendo avaliado positivamente por empresas de pesquisa como a Gartner e a Forrester. Em 2021, a Gartner reconheceu a Cloudflare como um Líder em seu Quadrante Mágico para Serviços de Proteção de Aplicativos Web. A Forrester também destacou a Cloudflare como uma forte opção para as empresas que procuram proteger seus aplicativos da web em seu relatório Forrester Wave: Serviços de Proteção de Aplicativos Web. Essas avaliações destacam a capacidade da Cloudflare de fornecer soluções WAF de alta qualidade e sua reputação como líder em segurança cibernética.

Em resumo, o WAF é uma camada de segurança importante para proteger as aplicações web das empresas contra ameaças cibernéticas. Com a crescente sofisticação dos ataques, é fundamental que a sua empresa invista em soluções de segurança cibernética que incluam um WAF para garantir a segurança dos seus dados, a disponibilidade de seus serviços online e, consequentemente, preservar a reputação e imagem perante os seus clientes online.

Muitos são os desafios enfrentados pelos gestores de Compliance das diversas organizações do Brasil. E certamente cumprir com todas as suas responsabilidades, respeitando o orçamento existente, é um deles. Percebemos que o aumento da complexidade e das áreas de atuação do Programa de Compliance, faz com que muitas empresas busquem mais profissionais para compor a equipe da área e, assim, dar conta das demandas e exigências. Contudo, muitas vezes não há orçamento de compliance para contratar mais pessoas, ou existem situações nas quais a contratação de um profissional não resolveria o problema. Então quais seriam as opções?

Nestes casos, um importante aliado são as plataformas ou sistemas, que trazem o benefício de automação e ganho de eficiência, e muitas vezes com melhores resultados. Por exemplo, na atividade de diligências, uma plataforma permite consultar diversas bases e fontes rapidamente, retornando com um score sobre os riscos, o que facilita o processo de decisão. Podemos citar que essa medida traz ainda a vantagem de permitir acompanhar o histórico e promove a rastreabilidade, sem contar que pode ser integrada com o sistema de gestão (ERP) utilizado pela organização, no processo de homologação de fornecedores e compras.

Outros pilares do Programa de Compliance também podem se beneficiar da tecnologia, como o mapeamento de riscos de Compliance, que geralmente é registrado numa planilha Excel. A evolução é realizar o processo numa plataforma de GRC (Governança, Riscos e Conformidade). Neste modelo, há ganhos na proteção dos dados confidenciais e controle de acesso, na possibilidade de criar tarefas para cada atividade prevista no plano de ação, atribuindo prazo e responsável, e uma atuação colaborativa, além da possibilidade de integrar com um módulo de auditoria, favorecendo a geração de indicadores e do trabalho da auditoria interna. O mesmo raciocínio é válido para o processo de análise de dados, que existem em quantidade cada vez maior nas organizações. As soluções de analytics cobrem de forma mais rápida e efetiva as análises em comparação com as macros em planilhas.

A governança do Programa de Compliance pode também ser favorecida com uma plataforma para a organização dos comitês e a respectiva convocação de seus membros, a organização de pautas e atas de reunião com controle de agenda e fluxo de informações, além da possibilidade de comprovação e acompanhamento. Com a tecnologia, há ganho na confidencialidade, rastreabilidade e transparência de informações, respeitando as alçadas existentes. Isso porque a centralização de dados e documentos num repositório único, com controle e registro de acessos, também favorece a governança. O fluxo sistêmico para gerenciar situações de conflito de interesses, como autorizações para participação em eventos, viagens e presentes também aprimora a governança do programa, e pode ser feita com aplicativos e uso de robôs.

Pensando nas práticas de prevenção à lavagem de dinheiro, o uso de ferramentas com Inteligência Artificial para identificar padrões e situações atípicas, indo além do que as regras conseguem identificar, é um diferencial para reduzir falsos positivos e conseguir maior efetividade na identificação de casos suspeitos, além de otimizar o uso dos analistas humanos.

Outra opção é a terceirização com mão-de-obra experiente. A terceirização permite a empresa ter acesso a especialistas, inclusive de forma temporária ou em tempo parcial, para cobrir necessidades operacionais do dia a dia e picos de demanda ou ausência da equipe própria em razão de licença médica ou maternidade, por exemplo. Há empresas inclusive que terceirizam a gestão do Programa de Compliance por não ter interesse em atuar com equipe própria ou não ter o conhecimento técnico de como realizar o trabalho.

São muitas as opções para fazer o melhor uso do orçamento existente. Encontrar o melhor mix no uso de recursos internos, consultoria, serviços terceirizados e plataformas tecnológicas é o caminho para conseguir fazer mais com menos nos Programas de Compliance. É algo fundamental em tempos de austeridade nos quais os holofotes estão nas organizações para adoção efetiva dos pilares e das práticas de Governança, Riscos e Compliance.

*Jefferson Kiyohara é diretor de Compliance & Sustentabilidade da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

Entre as ferramentas do Compliance está a Diligência de Terceiros (Due Diligence), o conjunto de pesquisas usadas para mapear os riscos de contratar um terceiro

por Beatriz Busti e Laura Veloso*

A urgência de incluir o ESG (Environmental, Social, Governance) na estratégia das empresas já é uma realidade e carrega como responsabilidade a construção de uma cultura empresarial baseada na promoção dos temas ambientais, sociais e de governança, promovendo, assim, a garantia de futuro do negócio.

A Governança, um dos pilares do ESG, objetiva estruturar políticas, estratégias e métricas que vão apoiar o desenvolvimento da empresa, como o Compliance, peça importante da garantia da integridade, transparência e atendimento das normas, além de embasar e fomentar as ações socioambientais que a empresa queira emplacar.

Entre as ferramentas do Compliance está a Diligência de Terceiros (Due Diligence), que é o conjunto de pesquisas usadas para mapear os riscos de contratar um terceiro e tomar uma decisão corporativa baseada em dados, assim como para monitorar as eventuais medidas mitigadoras ou os resultados localizados. Tal prática, além de um importante recurso para evitar riscos empresariais, é um reforço trazido pelo recém promulgado Decreto nº 11.129/2022, que regulamenta a Lei Anticorrupção (Lei nº 12.846/13).

Mídias ou processos sobre escândalos de corrupção, presença em listas de restrição por trabalho análogo à escravidão, envolvimento com desmatamento ilegal, multas ou processos ambientais são alguns dos exemplos de resultados que o terceiro pode apresentar numa pesquisa de Due Diligence, sendo crucial tal conhecimento para a tomada de decisão de uma contratação.

No que tange às práticas ambientais de parceiros, a Due Diligence para avaliar a diligência de terceiros mostrará a regularidade de licenças, sejam elas de operação ou ambientais, as boas práticas aplicáveis à sustentabilidade, bem como o atendimento às leis e normas relacionadas e se, em algum momento, houve autuação por órgãos como IBAMA, ANVISA ou reguladores locais.

Sobre as condutas sociais que o parceiro pratica com os seus colaboradores, a pesquisa revelará questões como os projetos de diversidade e inclusão, o desenvolvimento de laços com a comunidade e o cumprimento das normas trabalhistas, o que envolve a regularidade no recolhimento de encargos e do atendimento à CLT, especialmente quando se tratam de horas extras, assim como o pagamento adequado do pacote de benefícios. 

Nas três esferas de gestão ESG – ambiental, social e governança, a empresa deverá elaborar a sua matriz de decisão a partir do que entende como relevante em se tratando dos apontamentos trazidos pela Due Diligence, utilizando de análise de documentação e entrevistas, sem esquecer de considerar as boas práticas alinhadas com suas políticas internas de redução de impacto e o nível de risco que está disposta a assumir.

Vale destacar que pontos de atenção encontrados não precisam gerar a automática exclusão do terceiro. Caso isso ocorra, é possível recomendar medidas que atenuem os riscos da contratação. Como manutenção da consciência sobre o risco total da companhia, é necessária a reavaliação periódica do terceiro, o que compreende a aplicação de auditorias e avaliações que contemplam tanto o atendimento às normas e leis, como o alinhamento às boas práticas e a maturidade da empresa em ESG.

Como uma forma de mitigar o risco, pode ser criado um plano de ação de aprimoramento do terceiro, contemplando a inclusão de cláusulas como anticorrupção, incisivas sobre as práticas trabalhistas e o atendimento às normas e lei ambientais, a aplicação de um código de conduta para fornecedores e, inclusive, a realização de treinamentos para os gestores do contrato.

É recomendável ainda que as verificações da Due Diligence para a diligência de terceiros constem em contrato para que seja possível solicitar ao fornecedor os mais diversos documentos e informações. Essa prática é uma das ferramentas de desenvolvimento de fornecedores, o que ajuda a elevar o nível dos serviços prestados no mercado. Quando as empresas se unem em prol do desenvolvimento ambiental, social e de governança, toda a sociedade ganha.

*Beatriz Busti é consultora pleno de Sustentabilidade e ESG e Laura Veloso é consultora pleno de Compliance. Ambas atuam na ICTS Protiviti, empresa especializada em soluções para compliance, investigação, gestão de riscos, proteção e privacidade de dados.

Fonte: Exame – https://exame.com/esg/fazer-uma-boa-due-dilligence-pode-ser-a-diferenca-entre-ter-ou-nao-boas-praticas-esg-2/

Leia também: