A importância da temática ESG (ambiental, social e governança, em português) é indiscutível entre executivos do mundo todo. E os números provam essa afirmativa: segundo estudo colaborativo que contou com a Universidade de Oxford, executivos da América do Norte, Europa e Ásia-Pacífico avaliaram essa agenda como extremamente relevante ou, de alguma forma, importante para o sucesso dos negócios na próxima década. A relação entre auditoria interna e ESG também ganha espaço.
Nesse contexto, a pesquisa revela uma crescente compreensão por parte das organizações sobre a necessidade de ajustes de procedimentos, de acordo com as melhores práticas de responsabilidade ambiental, social e de governança. No entanto, como as empresas podem se enquadrar aos desafios das diretrizes ESG em plena era do “Cisne Verde”, analogia que se refere a uma crise financeira causada pelas mudanças climáticas?
Em primeiro lugar, precisamos considerar os serviços de auditoria interna e ESG nestas empresas. De acordo com o Instituto dos Auditores Internos (IIA), esta função ajuda a organização a “atingir seus objetivos, trazendo uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, controle e governança”.
Desse modo, há uma convergência natural entre a perspectiva dos auditores internos e os objetivos que permeiam o gerenciamento de riscos e os controles relacionados às dimensões ESG. Porém, há alguns percalços a serem superados para se ter sucesso nessas operações.
De acordo com a AuditBoard, plataforma de gerenciamento de risco inteligente, entre os principais obstáculos está a chamada “síndrome de desamparo ESG”, que causa a inércia entre os auditores internos em relação ao tema. Essa síndrome representa uma resposta lenta e inadequada, semelhante à paralisação observada em muitos animais diante de uma ameaça iminente.
Nesse contexto, o compartilhamento de objetivos, conhecimento e comunicação são elementos importantes para uma auditoria interna de alto valor agregado. Isso, com profissionais desempenhando o posto de provedores de garantia e consultores, capazes de mitigar riscos e criar cenários para o futuro da organização, adaptando-se aos contextos em constante mudança.
Em vista disso, a gestão de riscos e os controles ESG emergem como um território pioneiro e desafiador, que conta com uma auditoria interna que enfrenta um ambiente complexo e caótico. Mas que, ao mesmo tempo, oferece a oportunidade para que esses profissionais ampliem suas funções convencionais, contribuindo para a construção de um programa ESG abrangente, que pode antecipar futuras auditorias independentes.
Entretanto, os auditores internos ainda carecem de apoio e orientações adequadas em relação ao ESG, o que gera um ponto preocupante para mitigar riscos neste sentido. Com isso, algumas ações são desenvolvidas por organizações profissionais que estão dedicadas à padronização e à normatização de práticas em conjunção com as diretrizes ESG.
Nesse âmbito, as empresas precisam estar preparadas para uma nova realidade, já que, em breve, enfrentarão cobranças ao buscarem crédito no mercado, ao contratarem seguros e ao serem analisadas por investidores, tendo em vista que essa é uma era repleta de riscos e oportunidades, a qual sinaliza o início da “Era do Cisne Verde”.
Consequentemente, a demanda para os auditores internos tende a crescer rapidamente. Esse movimento oferece uma oportunidade única para o setor se posicionar como um agente de transformação. Com uma abordagem proativa, os profissionais podem não só garantir a conformidade com as práticas ESG, mas também moldar ativamente diferentes processos e estratégias que levem em consideração essa nova realidade.
Nessa jornada, a auditoria interna tende a desempenhar um papel fundamental na minimização dos riscos associados ao ‘Cisne Verde’. Por meio da incorporação das perspectivas ESG, o setor é capaz de ajudar a antecipar e mitigar os efeitos disruptivos desses eventos, tornando-se não apenas um verificador de conformidade, mas também um catalisador para a resiliência e a adaptação.
*Bruno Vaz é consultor pleno de Auditoria Interna & Assessoria Financeira da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
O vazamento de informações é uma das principais pautas entre gestores de TI e um dos maiores riscos que as empresas podem enfrentar e precisam tratar. Dados estratégicos, de clientes e de funcionários são exemplos de informações que, se vazadas, podem gerar prejuízos materiais, reputacionais e legais para organizações de qualquer porte.
Sabendo que a mais significante das ameaças tecnológicas é a violação cibernética, que pode causar a exposição dos conteúdos, é muito comum ouvir falar de vazamentos de dados que ocorreram devido a algum ataque cibernético, viabilizado por meio da permissão de acesso externo às informações. Porém, a grande parte destes casos ocorrem internamente nas empresas e são protagonizados por pessoas mal-intencionadas que visam obter alguma vantagem com essa informação.
Os dados pessoais têm se tornado cada vez mais valiosos porque, ao coletar informações, uma empresa ganha mais assertividade para oferecer os produtos certos ao cliente que tem mais afinidade em adquiri-los. E esse valor, que é de conhecimento interno, incentiva os mal-intencionados a vazarem os dados, prejudicando a organização.
Como consequência desse cenário, medidas foram tomadas, como a criação, na Europa, da GDPR (General Data Protection Regulation), e, no Brasil, da Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020, que protege, por meio de regulamentos, os dados pessoais, e aplica sanções como advertências, multas simples ou diárias e até a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Isso fez com que os processos se tornaram mais rigorosos dentro das empresas e medidas foram tomadas para aumentar o controle de acessos, a fim de evitar vazamento de informações, que são relacionados à ‘Segurança da Informação’.
E para que estas práticas sejam bem aplicadas, algumas etapas podem ser executadas, tal como criar processos de atualizações para softwares e sistemas, definir políticas de segurança, não permitir a utilização de programas pirateados ou não confiáveis, monitorar a infraestrutura; treinar os profissionais com boas práticas de segurança da informação e monitorar frequentemente e-mails, documentos, nuvem e demais informações.
Entretanto, é importante destacar que quando o acesso a essas informações é permitido, a responsabilidade pela prevenção ao vazamento passa a ter mais um dono: a ‘Gestão de Acessos’. A prática acontece quando empresas concedem os acessos sem mapear as funções dos profissionais, espelhando perfis de outros usuários, ou ainda sem examinar se o exercício concedido pode gerar algum risco para o negócio. Como resultado dessa ação, colaboradores podem ter permissões incompatíveis com as funções que desempenham e, eventualmente, tirarem vantagem disso.
Dessa forma, a aderência à LGPD envolve muito mais do que apenas ter políticas de privacidade e consentimento apropriados. É essencial que as empresas também foquem na implementação de controles internos, incluindo a gestão de acessos e a segregação de funções (SoD), a fim de minimizar ações indevidas e, consequentemente, aumentar a proteção e conformidade destas informações.
Em suma, a SoD e a LGPD estão intrinsecamente relacionadas quando se trata da proteção dos dados sensíveis, uma vez que essa integração eficaz traz diversos benefícios para as empresas. Além de contribuir com a conformidade legal, essa abordagem fortalece a segurança dos dados, aumenta a confiança dos clientes e parceiros, evita danos à reputação e demonstra compromisso em proteger a privacidade das informações, oferecendo uma vantagem competitiva no mercado regulamentado.
*Eduardo Maia gerente sênior de IT Risk Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
A Organização para a Cooperação e Desenvolvimento Econômico (OCDE) é uma associação intergovernamental que promove a cooperação entre países e parceiros estratégicos em áreas como comércio, investimento, inovação e governança corporativa, entre outras, buscando o desenvolvimento econômico e o bem-estar social. A adesão do Brasil à OCDE é um assunto de grande importância pelo potencial intrínseco de recebimento de investimentos internacionais, facilitação de exportações e aumento da confiança de investidores.
Porém, para que seja realizada, há uma série de exigências a serem cumpridas, como a adoção de instrumentos jurídicos e pré-requisitos estabelecidos pela própria OCDE, tendo como destaque a Governança Corporativa, um conjunto de valores, princípios e processos que visam garantir o funcionamento das organizações de forma ética e eficiente.
Para implementar tal prática, é necessária a supervisão das atividades da empresa, principalmente no âmbito interno, onde pequenas mudanças podem impactar enormemente o resultado. Dentro deste escopo está a auditoria interna, que pode ser pode ser composta por uma equipe própria ou terceirizada, e é responsável por avaliar processos de negócios e controles internos estabelecidos, identificar novos riscos e garantir a conformidade das atividades com as leis e regulamentações. Portanto, se apresenta como um elemento chave, tendo em vista que é ela quem gerencia os riscos das organizações de forma independente, objetiva e confidencial, gerando bases sólidas que servem para atender as expectativas de investidores.
As nações que adotam boas práticas de governança corporativa têm a necessidade de ter um sistema de auditoria interna desenvolvido e independente. E isso se faz presente no Brasil por meio de alguns órgãos, como a AGU (Advocacia-Geral da União), CGU (Controladoria-Geral da União), TCU (Tribunal de Contas da União) e outros, que buscam seguir as Normas do IIA (Institute of Internal Auditors).
A auditoria interna realizada por estes entes pode exercer um papel protagonista na avaliação da conformidade das políticas e dos procedimentos com as normas da OCDE, além de aprovisionar apontamento de oportunidades de melhoria. Isso porque essas organizações fiscalizadoras realizam atividades relacionadas à defesa do patrimônio público e ao incremento da transparência da gestão por meio de ações de auditoria pública, correição, prevenção e combate à corrupção e ouvidoria, sempre visando os cinco princípios da administração pública: legalidade, impessoalidade, moralidade, publicidade e eficiência.
Dessa forma, com uma prática madura de auditoria interna, a adesão do Brasil à OCDE pode contribuir para o fortalecimento da cultura de conformidade no país, sendo um bom caminho de redução de índices de corrupção e fraudes, uma vez que, ao identificar pontos críticos nas organizações, é possível recomendar planos de ações para reparar vulnerabilidades.
*Luiz Antonio Guedes da Silva é consultor de Auditoria Interna e Assessoria Financeira da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Pesquisa Next-Gen IA 2023: os desafios que a Auditoria Interna enfrenta são claros para os executivos do setor: diante da escassez de novos talentos e de uma demanda cada vez maior para apoiar a transformação digital das empresas, o cenário exige da área um posicionamento cada vez mais estratégico. A pesquisa foi realizada pela Protiviti Inc.
A relevância da próxima geração de Auditoria Interna
Os desafios que a Auditoria Interna enfrenta são claros para os executivos do setor: diante da escassez de novos talentos e de uma demanda cada vez maior para apoiar a transformação digital das empresas, o cenário exige da área um posicionamento cada vez mais estratégico. Em meio a esse contexto, os Chief Audit Executives (CAEs) estão focados: é preciso aumentar a relevância da Auditoria Interna com o Conselho, Executivos e outras partes interessadas.
Nas funções de Auditoria Interna, elevar a relevância e o valor entregue pelos times requer evolução e melhorias contínuas por meio de inovação e transformação. Os resultados da Next-Generation Internal Audit Survey (Next-Gen IA) de 2023 da Protiviti revelam também desafios paralelos, tais como a aquisição de novos talentos e a necessidade de avançar na capacitação tecnológica da área. Navegue a seguir pelos destaques da pesquisa, que ouviu mais de 550 executivos e C-levels do setor de Auditoria Interna.
A evolução dos riscos empresariais coloca os profissionais da Auditoria Interna no centro das atenções. A situação se torna mais alarmante com o cenário de dificuldades na contratação e retenção do auditor interno. De acordo com a pesquisa Next-Gen IA (Next-Generation Internal Audit Survey), realizada pela Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados, 43% dos executivos do setor relatam falta de acesso a habilidades e talentos específicos necessário para essa área.
“A escassez de recursos e talentos que atuem com demandas atuais, como o uso de tecnologia nas rotinas do setor, ocorre em um momento no qual a expectativa é de que o auditor interno assuma um papel de protagonista nos riscos que surgem diariamente em um ambiente inóspito como o que vivemos. Além disso, as regulamentações e as mudanças nas prioridades de negócios trazem um componente adicional aos desafios”, esclarece Bruno Giometti, diretor de Auditoria Interna da Protiviti Brasil.
A pesquisa, que entrevistou 573 executivos, incluindo chefes executivos, diretores e gerentes de auditoria de empresas de todo mundo, sendo 60% delas com receitas de US$ 1 bilhão ou mais, identificou ainda que a escassez de profissionais está conectada a profissionais que transitam com proficiência e naturalidade nas mais diversas tecnologias que fazem parte dos negócios, como aprendizado de máquina, automação e análise de dados. Apenas 31% dos executivos têm acesso a esse tipo de perfil de auditor em suas equipes, o que dificulta a função de auditoria interna de inovar e agregar maior valor aos stakeholders.
Os Executivos de Auditoria (CAEs), que correspondem a 36% dos entrevistados, trouxeram grande preocupação com o aumento do custo dos salários e, em especial, à forte pressão das companhias para que haja uma maior eficiência financeira, e, ainda, 34% apontaram os desafios de construir e manter uma cultura focada na entrega de valor em meio a modelos de trabalho híbrido e remoto.
O estudo sugere que é vital que os líderes de auditoria desenvolvam estratégias para atrair, reter e treinar pessoas qualificadas, mantendo o pé no acelerador quando se trata de evoluir e maximizar a relevância da função para o futuro.
Diante deste cenário, as áreas de auditoria interna têm buscado estratégias alternativas para garantir o acesso aos talentos e, especial, às habilidades certas para as demandas, incluindo acordos de co-sourcing e programas de auditoria rotativa, como um complemento crítico para a contratação e as atividades de treinamento. “Isso é especialmente relevante para conjuntos de habilidades tecnológicas difíceis de encontrar”, finaliza Giometti.
A Tecnologia da Informação (TI), composto também por empresas de Segurança da Informação (SI), tem ganhado cada vez mais importância na economia global. Consequentemente, a responsabilidade das empresas do setor em relação à sustentabilidade ambiental, social e de governança (ESG) cresce na mesma proporção. De acordo com a Gartner, até 2026, a sustentabilidade ambiental será uma das prioridades para 70% das empresas que contratam serviços de TI. Isso se deve à crescente atenção dos consumidores e investidores em relação às questões de ESG e à busca por fornecedores alinhados com esses valores.
Diante deste cenário, para que o setor se mantenha em ascensão, é crucial não se atentar às questões ESG apenas em operações próprias, mas também em toda a cadeia de fornecimento para que, desta forma, seja viável sua manutenção no mercado ao longo do tempo. Isso porque, nos últimos tempos, as empresas têm se deparado com impactos em sua imagem e em suas operações devido à má atuação de terceiros e, conforme os principais frameworks de mercado, terceirizar uma atividade não significa evitar riscos, mas sim compartilhar.
Em termos de regulações e legislação, é possível citar a resolução CMN nº 4893, que se trata de uma importante ferramenta de regulamentação do sistema financeiro brasileiro e busca aumentar a segurança e a estabilidade do setor por meio da adoção de boas práticas de governança, gestão de riscos e compliance. Sua implementação contribui para um sistema financeiro mais saudável e transparente, o que beneficia tanto as instituições financeiras quanto os seus clientes.
Além disso, a SASB (Sustainability Accounting Standards Board), que é uma organização sem fins lucrativos e desenvolve padrões contábeis de sustentabilidade para diversas indústrias, entre elas, as de TI, busca evidenciar fatores ESG relevantes em termos de impactos financeiros e operacionais para as empresas. Dentro destes fatores evidenciados pela SASB para o setor de TI, podemos destacar o crescimento da oferta de serviços baseados em nuvem, que implica no aumento do número de data centers e equipamentos de hardware. Portanto, gerenciar o uso de energia e água é um importante valor ambiental para os acionistas, que estão voltados às mudanças climáticas e às oportunidades de inovação em eficiência energética e energia renovável.
Outro ponto da SASB para o setor são as crescentes ameaças de segurança de dados, como os ataques cibernéticos e de engenharia social, que colocam em risco seus próprios dados e de seus clientes. Uma gestão eficaz da Segurança da Informação nessa área, começando pela matriz SoD (Segregation Of Duties), é importante para reduzir os riscos regulatórios e de reputação que podem levar a uma diminuição da receita, menor participação de mercado e ações regulatórias envolvendo possíveis multas e outros custos legais.
Em linha com a categoria de capital humano, nota-se que a indústria de TI está enfrentando a escassez de funcionários qualificados, o que leva a altas taxas de rotatividade e concorrência para adquirir novos talentos. Algumas empresas estão contratando estrangeiros e operações offshore, enquanto outras contribuem para programas de educação e treinamento para expandir a disponibilidade de funcionários qualificados domésticos. Portanto, é possível inferir que, para garantir a qualidade dos serviços prestados por fornecedores, as empresas da indústria de TI podem considerar a realização de auditorias que verifiquem a qualificação técnica dos funcionários desses fornecedores, bem como suas práticas de recrutamento, treinamento e retenção de talentos.
É importante ressaltar que os padrões da SASB para a indústria de TI fornecem às empresas orientações claras sobre quais tópicos de sustentabilidade financeiramente relevantes devem ser divulgados em seus relatórios, buscando disponibilizar informações úteis aos investidores e outras partes interessadas. Além disso, a adoção destes conceitos divulgados pela SASB pode auxiliar as empresas a identificarem e gerenciarem os riscos, aprimorando a estratégia, melhorando as operações e a reputação, o que garantirá, assim, a sustentabilidade do negócio ao longo do tempo.
Em resumo, fica um recado em especial para as empresas do universo de TI: buscar se atentar não somente às questões de governança, mas também aos aspectos ambientais e sociais caso queiram se manter relevantes no mercado, sem obviamente se esquecerem da cadeia de fornecedores, que também pode causar impactos em suas operações e imagens.
Com as empresas em busca de aquisições estratégicas para expandir sua participação de mercado de forma a obter acesso a novas tecnologias ou geografias e aumentar sua competitividade, notam-se tendências que podem continuar a moldar o cenário de fusões e aquisições em 2023.
Entre elas, há uma demanda contínua por empresas de tecnologia e ativos digitais, assim como maior foco nas organizações com perfis ambientais, sociais e de governança (ESG) já desenvolvidos e nas transações internacionais devido à procura por negócios mais globalizados. Além disso, as taxas de juros baixas podem continuar barateando os empréstimos, o que pode encorajar mais empresas a buscar acordos de fusões e aquisições.
Entretanto, num processo que envolva fusão e aquisição, ou seja, num M&A (Mergers & Acquisition), se a migração for dificultosa, podem ocorrer situações indesejadas, como clientes trocarem a empresa pelo concorrente ou certas vulnerabilidades serem exploradas de forma indevida, tornando a reorganização societária e, consequentemente, a transformação digital, um fracasso.
Por exemplo, há casos reais, como uma cisão parcial realizada no setor de seguros que foi descontinuada após recorrentes dificuldades enfrentadas na estruturação operacional, bem como na gestão de acesso para a uma nova subsidiária. Na época, a empresa não possuía estrutura e processos adequados para as atividades de gestão de acesso, sendo assim não se sabia como estava o cenário atual das permissões de acesso aos sistemas core do negócio.
Ou seja, sem a devida estruturação e controle, o processo de concessão de acesso para a nova subsidiária ocorreu de forma incompleta e desordenada, incorrendo em uma série de problemas operacionais e aumento de vulnerabilidades.
Como forma de mitigar os problemas operacionais, foram empregadas soluções de análise de dados para avaliação do cenário e ajuda na tomada de decisões estratégicas. Em pouco tempo o cenário caótico foi sendo minimizado e compreendido pelos indicadores e informações organizadas. No entanto, o desgaste já havia acontecido e o prosseguimento da cisão já não fazia sentido. Se o entendimento de cenário e controle de mudanças fossem operacionalizados de forma antecipada a partir de ferramentas de análise, o resultado teria mais chances de ser positivo.
Outro exemplo, desta vez no setor rodoviário, traz um processo de aquisição para a incorporação de tecnologia que fez com que a empresa adquirente se enquadrasse em novas exigências regulamentadoras. Um dos pontos essenciais para atendimento das exigências impostas consistia na estruturação mais robusta do processo de gestão de acesso aos sistemas incorporados, ou seja, a empresa precisou amadurecer seus processos de forma muito rápida, tendo em vista que havia pouca iniciativa desenhada para gestão de acesso.
Neste caso, o uso de técnicas de análise de dados permitiu melhoria significativa de maturidade ao aferir o cenário e desenhar planos de ação para questões ligadas à IAM (Identity and Access Management) e SoD (Segregation of Duties).
As dificuldades enfrentadas e consequentemente a taxa de insucesso relacionadas ao processo de reorganização societária não ficam restritos apenas aos cenários internos das companhias. Segundo a Forescout, 53% das organizações se depararam com incidentes e problemas críticos de cibersegurança durante um processo de M&A, assim como 65% apresentaram arrependimento em relação ao acordo feito após enfrentarem problemas nessa questão. De forma não isolada, as vulnerabilidades de cibersegurança são exponenciais sem uma solução sólida de IAM instalada.
Isso significa que o processo de M&A terá um grande problema de segurança caso a empresa esteja gerenciando um alto volume de dados descentralizados ou sem uma estratégia de identidade centralizada.
Ter uma solução de análise massiva de dados disponível para execução antes de uma reorganização societária permite que a companhia tenha um panorama mais eficiente do cenário atual sob um contexto geral, não somente para temas voltados à gestão de dados.
Ao realizar uma análise completa e eficiente considerando grandes volumes de dados financeiros e operacionais, é possível que tendências e pontos de falhas sejam identificados levando, a decisões estratégicas mais eficientes e seguras. Ou seja, evita que meses sejam desprendidos integrando sistemas e minimiza o esforço operacional garantindo mais tempo para a equipe se dedicar em assuntos ainda mais críticos. Além disso, o emprego da tecnologia aumenta a taxa de sucesso de fusões e aquisições, pois essas tendem a falhar se não houver um processo claro de integração dos dados.
A implementação de uma ferramenta de análise de dados massivo é uma etapa crítica na jornada de migração em M&A, exigindo dos tomadores de decisão um planejamento antecipado que contemple a avaliação de quais dados e sistemas devem ser mantidos e quais serão descartados.
*Erick Matheus Santos e Rafael Carniato são da área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
A Lei Sarbanes-Oxley (SOX), promulgada nos Estados Unidos e voltada para a governança corporativa, traz as novas questões regulatórias sobre a privacidade de dados e os constantes processos de violações de segurança, forçando as empresas a aumentarem a conscientização e a responsabilidade sobre as ações internas de seus funcionários.
Um dos instrumentos para tal controle é a matriz Segregation of Duties ou Segregação de Funções (SoD). Sem ela, as segregações inadequadas de funções podem dificultar a prevenção, detecção e investigação de fraudes, o que pode levar a declarações financeiras incorretas, punições regulatórias, danos à reputação da empresa e redução da confiança dos investidores. Há também o risco de apropriação indébita de ativos, que envolve terceiros ou funcionários de uma organização que abusam de sua posição para roubá-la por meio de atividade fraudulenta.
Ou seja, se os controles internos não forem confiáveis, abrem-se precedentes para aumentar os testes substantivos pela auditoria interna e pelo auditor externo, traduzindo-se em custos adicionais para a organização. E as descobertas mais sérias podem levar a uma avaliação pelo auditor externo de que a empresa possui uma deficiência significativa ou fraqueza material.
Por último, se os SoDs não estiverem presentes, levanta-se a questão sobre se as informações e provas obtidas são confiáveis, isentas de erros ou podem sugerir a existência de uma distorção material. Como resultado, o auditor pode aumentar o tamanho das amostras, diminuir o limite de testes substantivos ou aumentar os procedimentos de auditoria em geral.
Por isso, os SoDs devem ser proporcionais ao tamanho, à complexidade e ao risco geral das operações de uma empresa e do ambiente de relatórios financeiros, o que os torna importantes nos esforços para reduzir fraudes e aumentar a eficácia operacional.
Controles compensatórios podem existir para mitigar os riscos resultantes da falta de segregação adequada de funções. Entretanto, eles incluem trilhas de auditoria, reconciliação, revisões de supervisão e logs de transações que podem encarecer os custos. Portanto, recomenda-se que a SoD seja implantada por meio de um projeto e sustentada ao longo do tempo.
Prevenir resultados desastrosos
Sem a SoD, qualquer destes cenários mostra claramente a possibilidade de resultados desastrosos, exatamente o que não se tolera na Lei SOX. Como resultado, o objetivo de gerenciamento de risco dos controles SoD é evitar que ações unilaterais ocorram em processos-chave nos quais os efeitos irreversíveis estejam além da tolerância de uma organização a erros ou fraudes.
Independentemente da metodologia, ou do framework que sustenta o processo de gerenciamento de risco de uma empresa, a SoD é assunto relevante, pois a gestão de perfil de acesso é uma preocupação recorrente entre membros de comitês de auditoria, especialmente em períodos de ameaças cibernéticas cada vez mais frequentes.
Para nós, auditores independentes para certificação SOX, é evidente perceber que quanto maior a preocupação com a SoD e seus desdobramentos, de uma maneira preventiva, maior é o nível de maturidade de governança da empresa em todo o seu processo de gerenciamento de riscos.
*Erick Matheus Santos e Gustavo Ferreira são gerentes na área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Com a finalidade de incentivar o quadro funcional que atua na operação primária da atividade canavieira, a qual é caracterizada pelo cultivo de cana-de-açúcar (produção agrícola) e fabricação de seus derivados (produção industrial), como o açúcar, o etanol e a bioenergia, o setor sucroalcooleiro, visando aumentar a produtividade laboral, habitualmente utiliza de políticas de remuneração variável para estimular os colaboradores a desempenharem suas funções de modo melhor, sempre com a superação do nível mínimo admissível de excelência, e, assim, garantir, como consequência natural deste estímulo, maior efetividade e resultados operacionais e financeiros mais eficazes e significativos.
Dentre os recursos que podem compor as políticas de remuneração variável, como a outorga de bônus, de participação nos lucros e resultados, de gratificações (funcional e por habilidades), de compra de ações da empresa (“stock options”) e de comissões, destaca-se a concessão de prêmios financeiros atrelados ao cumprimento de metas pré-estabelecidas.
Esses prêmios ou premiações, além de comporem o macroprocesso de bonificação e valorização profissional dos trabalhadores (que é responsabilidade de Recursos Humanos), correspondem a essência do programa de incentivo aos funcionários, cujo desígnio, já mencionado antes, é simples e axiomático: elevar a produtividade funcional e a qualidade dos serviços executados, via concessão de benefício(s) financeiro(s).
Pelo fato deste benefício ser uma forma de recompensa que atua na principal fonte da motivação humana, a entrega de bons resultados frequentemente alavanca a performance das equipes operacionais, fomenta a competitividade interna, tanto entre funcionários como entre times, além de possibilitar o aprimoramento de competências e habilidades, em razão de gerar engajamento no trabalho, proatividade e reforçar os valores culturais da corporação.
Para cumprir com a sua finalidade, o prêmio de incentivo a produtividade necessita de transparência integral para assegurar legitimidade, de regras formais, concisas e consistentes a fim de garantir integridade, de aprovação do Comitê de Remuneração para salvaguardar a equidade de participação, e, sobretudo, do comprometimento de todos os envolvidos, desde as áreas responsáveis pela sua gestão até os líderes dos entes elegíveis, assim como, das áreas de governança, áreas administrativas e dos fiscais de campo.
No contexto das usinas sucroalcooleiras, a prática de mercado observada é a concessão do prêmio de incentivo a produtividade aos colaboradores que atuam no processo agrícola, especificamente no tocante aos subprocessos do preparo de solo, tratos culturais, fertirrigação, plantio e colheita (corte, transbordo e transporte). Apesar de não ser usual e nem unanimidade, há organizações que agraciam esse benefício aos colaboradores das áreas industrial e de manutenção automotiva e industrial (as áreas administrativas, inclusive abrangendo o controle agrícola, não são elegíveis ao programa).
Prêmio de Incentivo à Produtividade: informações importantes
Como a natureza do prêmio é a superação do desempenho individual, só faz sentido, segundo as melhores práticas, a elegibilidade de profissionais e de áreas organizacionais que sejam passíveis de serem atribuídas metas quantitativas e na conjuntura destas terem viabilidade de mensuração a nível individual, caso contrário, haveria distorção conceitual do incentivo a produtividade e provável caracterização de natureza salarial do prêmio.
O programa de concessão do prêmio é estruturado através de metas quantitativas, que são definidas com base no tipo de trabalho realizado, em consonância as características de cada atividade realizada e a nível individual por colaborador (classe de cargo), com padrões determinados que precisam ser adequados, justos e devidamente divulgados (mais de uma meta é normalmente designada à cada área/serviço e a cada classe de cargo).
Além das metas, existem indicadores categorizados como penalizadores e bonificadores, como no caso de acidentes de trabalho e/ou quebra de maquinário/equipamento, os quais também podem abranger questões qualitativas, técnicas e/ou comportamentais, inclusive relacionadas a segurança do trabalho e a conformidade dos processos, que são aplicados sobre o resultado mensal das metas e que elevam ou diminuem o valor apurado do prêmio.
Legislação e regulamentação dos programas de incentivo
Antes da promulgação da lei nº 13.467/2017 (reforma trabalhista), a jurisprudência vigente, em termos trabalhistas e tributários, era de que o valor pago com habitualidade a título de prêmio tinha natureza salarial, corresponderia a contraprestação do trabalho e, portanto, se enquadraria no conceito de gratificação paga ordinariamente, devendo, por lógica, integrar o salário dos trabalhadores até mesmo para a incidência de contribuições previdenciárias.
Contudo, como o artigo nº 457 da CLT (Consolidação das Lei Trabalho) foi modificado pela reforma trabalhista de 2017, houve a retirada da natureza salarial dos prêmios, uma vez que a redação alterada de tal artigo foi explicita ao expressar que importâncias, ainda que habituais, pagas a título de prêmios e abonos não integram a remuneração do emprego, não se incorporam ao contrato de trabalho e não constituem base de incidência de qualquer encargo trabalhista e previdenciário.
Tendo em vista que o parágrafo 4º do artigo nº 457 da CLT define “prêmios” como sendo as liberalidades concedidas pelo empregador aos seus empregados, em forma de bens, serviços ou valor em dinheiro, em virtude de desempenho superior ao ordinariamente esperado no exercício das atividades, é de vital importância que a outorga desse benefício esteja suportada por critérios críveis e embasada em evidências que realmente corroborem o desempenho individual acima daquele esperado para a execução normal dos serviços
Prêmios concedidos que não representam uma performance acima do esperado, que não estejam alicerçados em metas verdadeiramente mensuradas, que foram/são pagos mensalmente durante o ano fiscal sem interrupção, inclusive em períodos de férias coletivas e na entressafra, e/ou que refletem percentual exacerbado ou superior ao salário pactuado em contrato estão sendo, aparentemente, reconhecidos pela jurisprudência trabalhista atual como natureza salarial, inclusive com decisões referenciando o artigo nº 9 da CLT, que discorre sobre a nulidade de atos praticados com objetivo de fraudar os diretos trabalhistas.
Conformidade, riscos e a importância da auditoria interna
Sob as perspectivas de conformidade e riscos, é fundamental que o programa de incentivo a produtividade seja regularmente auditado, revisado e avaliado, pois o atingimento dos intentos pretendidos com a outorga do prêmio somente é susceptível de ser ratificado quando avaliações e exames são realizados. Nesse caso, considerando o conteúdo da NBC TI “Da Auditoria Interna” (norma expedida pelo Conselho Federal de Contabilidade), cabe a auditoria interna avaliar a integridade, adequação, eficácia, eficiência e economicidade dos processos, dos sistemas de informações e de controles internos, com vistas a assistir à administração da entidade no cumprimento dos seus objetivos.
Por meio dos procedimentos de auditoria, é precípuo e imprescindível verificar se as metas estabelecidas são factíveis de serem alcançadas e, principalmente, validar a consistência da produtividade de cada classe de cargo tipificada como dentro do esperado, a qual não deve ser remunerada via prêmio, isto é, examinar se a aferição da produtividade que definiu o desempenho dos colaboradores, de acordo com as funções existentes, como dentro do esperado faz mesmo sentido e se encontra ou não alicerçada por premissas adequadas.
Auditoria interna e adequação de valores do prêmio de incentivo
Para ponderar sobre as faixas de produtividade que são recompensadas por refletirem desempenhos acima do esperado, recomenda-se primeiro compreender e homologar a produtividade enquadrada pelos responsáveis como sendo aquela dentro do esperado para cada área, cargo e função. Por essa razão, a auditoria interna deve examinar essa questão básica, pois se ela não estiver adequada, precisa e substanciada por premissas legítimas, a concessão do prêmio e os seus objetivos já estarão incorretos e deficientes. De nada adiantará existir ações de incentivo a produtividade, se a organização não tiver mensurado corretamente quais são os desempenhos quantitativos elencados como dentro do esperado e acima do esperado.
Em citação análoga, não faz sentido um colaborador receber num mês o prêmio de produtividade por desempenho acima do esperado na proporção de 50%, 60%, 70% ou 90% do seu salário base/nominal, uma vez que, nesta circunstância, estaria evidente a existência de erros na formulação do programa de incentivo funcional, pois se o desempenho dentro do esperado, que não gera a outorga do prêmio financeiro, corresponde ao salário recebido pelo empregado por oito horas diárias de trabalho durante 30 dias, como conseguiria um colaborador aumentar em 50% o seu ganho mensal? Quer dizer, quantas horas, além das 40 semanais, seriam necessárias para que ele aumentasse em 50% a sua produtividade?
Do mesmo modo, não é adequado atribuir metas universais aos colaboradores elegíveis, como a moagem mensal (quantidade de cana-de-açúcar processada), aproveitamento de tempo de moagem, eficiência industrial, entre outras, já que a superação do trabalho mensal a ser premiada deve estar estruturada no menor nível de medição possível, por cada tipo de atividade e ser inerente a função exercida por cada serviço elencado, pois somente assim é possível reconhecer esforços individuais ainda que indicadores globais não sejam atingidos.
Nesse sentido, as metas devem considerar o perfil de cada subárea (preparo, tratos, plantio, CTT, etc.), os equipamentos e/ou veículos usados nas atividades e a natureza dos serviços. Por exemplo, os funcionários que atuam na colheita devem ter metas peculiares, próprias e diferenciadas, segundo cada tipo de maquinário/veículo utilizado (considerando, inclusive, a capacidade operacional destes), assim como, essas metas precisam ser distintas daquelas definidas às equipes que atuam no preparo de solo, mesmo porque, os trabalhos não são iguais. Por essa razão, a auditoria interna tem que examinar anualmente a adequabilidade das metas definidas e avaliar se os conceitos impregnados na formulação delas realmente são devidos e retratam as particularidades de todas as etapas do processo agrícola.
Obviamente, a validação das metas tipificadas e suas faixas ou escalas percorre a análise do cálculo de como a organização apurou/definiu a produtividade quantitativa inerente aos desempenhos superiores àqueles esperados para o exercício de cada função. Entretanto, o processo de auditoria tem que ir além e não ser jamais limitado ou restringindo. Questões relacionadas aos riscos existentes e a avaliação de efetividade dos controles internos, em especial os que contemplam as atividades de aprovação, revisão, conferência, conciliação e a própria segregação de função, são elementos indispensáveis a serem executados.
O processo de apuração mensal do prêmio, seja este efetuado de forma manual (planilhas) ou sistêmica, deve ser objeto de avaliação e recálculo (procedimento mandatório e crucial), incluindo conciliação dos inputs e das bases de dados. Um benchmarking de mercado também precisa ser considerado como procedimento natural para dar perceptibilidade aos tomadores de decisão acerca das melhores práticas de mercado vigentes e de novas tendências que, presumivelmente, poderiam fortalecer o programa implementado.
Outra questão que tem de ser examinada com profundidade é a possibilidade de elevação relevante dos riscos operacionais, em decorrência de, no afã de obter melhores resultados, os colaboradores beneficiários estarem, porventura, incorrendo em riscos ou assumindo mais riscos que normalmente assumiriam ou incorreriam para alcançar as metas fixadas. Além disso, as metas instituídas necessitam ser avaliadas comparativamente às metas estipuladas em outros benefícios, como no caso da participação de lucros e resultados, dado o fato de ser totalmente indevido o uso de metas iguais em benefícios/programas distintos.
Ainda que a concessão do prêmio de incentivo a produtividade seja um mecanismo bastante importante para alavancar a produtividade operacional das companhias sucroalcooleiras e sucroenergéticas, esse propósito de impulsionamento somente é capaz de ser atingido se os preceitos usados no desenvolvimento e manutenção do programa deste benefício forem apropriados, fidedignos e estiverem alinhados aos objetivos estratégicos da organização.
Para tanto, o uso e aplicação da auditoria interna são essenciais, uma vez que, a visibilidade quanto à conformidade, efetividade e adequabilidade de tal programa apenas é possível de ser dada pelo seu intermédio, já que ela, a auditoria interna, tem a função de agregar valor ao resultado das organizações, apresentando, à este fim, subsídios para o aperfeiçoamento dos processos, da gestão e dos controles internos mediante a emissão de recomendações que minimizem ou mitiguem as deficiências, fragilidades e/ou inconformidades identificadas.
* Thiago Fernando Ciola é consultor master da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
