Atualização 06/2024: Tendências de IPO no 1º Trimestre de 2024
Desde a publicação do nosso artigo sobre preparação para IPO em 2023, o mercado de Ofertas Públicas Iniciais (IPOs) continuou a evoluir, trazendo consigo novas tendências e insights valiosos para empresas em fase de preparação para abrir seu capital. No primeiro trimestre de 2024, observamos uma notável mudança no panorama dos IPOs, conforme destacado por um relatório recente da Audit Analytics.
No período, 46 novas Ofertas Públicas levantaram um total de U$8.9 bilhões, representando um aumento significativo em comparação com o mesmo período do ano anterior. Este aumento é particularmente impressionante, já que os recursos mais que dobraram em relação ao primeiro trimestre de 2023, registrando um crescimento de 183%.
Além disso, houve uma ligeira elevação no número total de IPOs em comparação com o quarto trimestre de 2023. Este aumento indica uma tendência positiva e uma maior confiança dos investidores no mercado de capitais, apesar das flutuações e desafios enfrentados nos últimos anos.
Uma tendência notável neste trimestre foi a predominância das IPOs tradicionais, que representaram aproximadamente 98% de todos os novos IPOs. Isso sugere que, apesar da crescente popularidade das ofertas diretas e outros métodos alternativos de abertura de capital, as empresas ainda estão optando principalmente pelo modelo tradicional de IPO.
Esses dados atualizados ressaltam a importância contínua de uma preparação sólida e abrangente para as empresas que buscam ingressar no mercado de capitais através de uma Oferta Pública Inicial. Neste contexto, relatórios como o SOC (System and Organization Controls),avaliação dos IPEs (information produced by the entity) e ITGC (IT General Controls) podem desempenhar um papel fundamental, ajudando as empresas a garantir a transparência e a conformidade necessárias para atrair investidores e garantir o sucesso de seu IPO.
Como destacado anteriormente, o SOC Report fornece uma avaliação independente e detalhada dos controles e processos internos de uma empresa, oferecendo assim uma valiosa garantia aos investidores potenciais. Ao abordar questões de segurança cibernética, conformidade regulatória e governança corporativa, as empresas podem mitigar os riscos e aumentar a confiança do mercado, preparando-se de forma mais eficaz para o processo de IPO.
Em resumo, as tendências de IPO observadas no primeiro trimestre de 2024 reforçam a importância da preparação adequada e da compreensão das dinâmicas em evolução do mercado de capitais. Ao incorporar insights atualizados e adaptar suas estratégias conforme necessário, as empresas podem maximizar suas chances de sucesso ao entrar no emocionante mundo das Ofertas Públicas Iniciais.
De maneira global, o número total de IPOs (Initial Public Offering) diminuiu bastante em 2022. Foram 992 aberturas iniciais de capital no mundo todo, o que equivale a 44% de queda comparado com o número de 2021, de acordo a EY. Com as incertezas econômicas e tensões geopolíticas sendo considerado como o maior desafio do mercado de IPO, as empresas e os investidores continuam esperando por um sentimento mais estável e positivo do mercado de ações.
Na bolsa brasileira não temos um IPO desde agosto de 2021, dado o cenário de volatilidade econômica e a alta dos juros, com a taxa básica de juros, a Selic, chegando a 13,75% ao ano.
Mas, para 2023, o mercado prevê um movimento de R$ 80 bilhões na B3. Por isso, as empresas que tiveram de desistir de suas aberturas de capital nos anos de 2021 e 2022 devem priorizar o processo no próximo ano. Desde 2020, 109 empresas chegaram a fazer o primeiro protocolo da oferta na CVM (Comissão de Valores Mobiliários) e a estimativa é de que entre 10 e 15 empresas façam uma abertura de capital ou uma oferta subsequente ao longo do primeiro semestre de 2023. Esse cenário otimista também depende de uma série de variáveis, entre elas, o movimento mais claro de queda da inflação e o fim do aperto monetário no Brasil e no exterior.
Embora as empresas pré-IPO priorizem detalhes financeiros e operacionais e, em menor grau, controles de TI, sabemos que menos atenção ainda é dada aos controles dos fornecedores com os quais estão se envolvendo. Neste cenário, a recomendação é que essas empresas passem a identificar e a entender o ambiente de controle seus prestadores de serviços, sobretudo porque as empresas confiam cada vez mais na infraestrutura e nos aplicativos baseados em nuvem para dar suporte a funções críticas de negócios.
As empresas que ainda não abriram o capital, mas estão considerando, são aconselhadas a solicitar um relatório SOC (Service Organization Controls), que é um atestado do ambiente de controle interno da organização de serviços para checar se há deficiências no ambiente de fornecedores e, com isso, evitar possíveis problemas de auditoria no futuro.
Nesta análise, a administração pode presumir que um investimento em ferramentas e aplicativos de fornecedores terceirizados vem com uma transferência de risco. Infelizmente, este não é necessariamente o caso. Na realidade, a empresa compartilha o risco, ou seja, é sempre responsável por garantir que os controles estejam em vigor, seja em seu próprio ambiente ou em seus fornecedores. Por isso, os relatórios SOC podem revelar problemas de controle no ambiente de controle do fornecedor.
No entanto, simplesmente obter os relatórios não é suficiente. É importante que a empresa analise os relatórios com cuidado e entenda exatamente quais controles estão em vigor e quais não estão. Os itens a serem observados são se a opinião emitida pelo auditor do serviço possui ressalvas, se há exceções de controle, se há controles habilitados pelo usuário e se o relatório inclui sub prestadores de serviços.
Para empresas de capital aberto, a obtenção e a análise de relatórios SOC é considerada parte de seu controle interno, mas as empresas que pretendem abrir o capital também se beneficiarão da atenção antecipada neste ponto. Entender os requisitos com antecedência pode evitar riscos depois da abertura de capital. Além disso, antecipar os requisitos e os critérios solicitados pela SOC irá dar credibilidade e vantagem competitiva ao ser avaliado por empresas pré-IPO.
*Erick Matheus Santos e Thiago Gomes são gerentes na área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Como o risco de fraude frequentemente é crítico, o processo de contratação de terras do setor sucroalcooleiro deve ser mapeado em fluxos
por Thiago Fernando Ciola*
Um dos principais fatores de sobrevivência e de crescimento das usinas que atuam no setor sucroalcooleiro é a contratação de terras para o cultivo de cana-de-açúcar, seja em áreas próprias ou de terceiros. Isso porque a produção de açúcar, etanol e bioenergia, e dos próprios subprodutos gerados como o bagaço, a torta de filtros, a vinhaça e outros que são transformados em novos produtos quando tratados, depende da matéria prima proveniente desta planta gramínea para gerar benefícios econômicos futuros e contínuos.
Obviamente, a capacidade máxima produtiva da indústria de cada usina é determinante para a definição da quantidade de áreas necessárias a serem contratadas. Do mesmo modo, projetos de investimentos de médio e longo prazos, com desígnio de aumentarem a produtividade, são imprescindíveis, uma vez que alicerçam e direcionam a elaboração dos planos de contratação de terras, tanto para suprir às demandas projetadas nos programas de expansão como para atender o volume de moagem ampliado gradualmente.
Nesse contexto, o processo de prospecção, contratação, produção e obtenção da matéria prima é fundamental à manutenção e ao crescimento da indústria canavieira. Usualmente, a contratação de terras de terceiros acontece por meio de três modalidades distintas: arrendamento rural, parceria agrícola e compra de cana-de-açúcar de fornecedor, cada qual com suas particularidades e riscos. As duas primeiras, que estão disciplinadas no Estatuto da Terra, diferem em termos de natureza e tributação.
No caso da parceria agrícola, a essência da operação é a partilha dos frutos, produtos, lucros ou dos riscos, de forma que tanto o proprietário como o parceiro ficam sujeitos aos riscos, como na hipótese de casos fortuitos e de força maior. Já no arrendamento rural, a essência da operação é a cessão da terra mediante o pagamento de um valor fixo não atrelado à quantidade produzida, e tipificado em contrato, cujo conteúdo garante o uso pelo arrendatário da propriedade rural para exploração.
A compra de cana-de-açúcar de fornecedores, por sua vez, corresponde a uma operação comum de compra e venda, cujo comprador não participa do processo produtivo. Normalmente, essa operação é realizada de duas formas: compra de cana posta na esteira, na qual o fornecedor (proprietário da terra), além da produção, tem a responsabilidade de efetuar a colheita e entregá-la no parque industrial do comprador. Já o segundo modelo se refere à compra de cana em pé no campo, cuja responsabilidade pela colheita e transporte é do comprador. Ou seja, nesta categoria, o fornecedor apenas executa o processo produtivo: preparo, plantio e cultivo da cana-de-açúcar.
A contratação de terras, bem como, a compra de cana-de-açúcar de fornecedores, independente da modalidade acordada, envolve valores financeiros expressivos e implica no estabelecimento de relações que se estreitam e, consequentemente, acabam ensejando riscos que precisam ser monitorados e acompanhados de perto pela gestão das companhias que operam no setor sucroalcooleiro. Por essa razão, a auditoria interna é fundamental para mensurar a efetividade dos controles correlacionados, fornecer subsídios e insights acerca da maturidade do processo e, principalmente, avaliar se as diretrizes organizacionais estão sendo observadas no fluxo das contratações.
Como o risco de fraude frequentemente é crítico, o processo de contratação de terras deve ser mapeado via fluxos, além de contemplar a elaboração de uma matriz de riscos e controles especifica, que abranja a mensuração sobre a interconectividade dos riscos, frente a outros processos de negócio. As contratações efetuadas, por sua vez, precisam ser auditadas anualmente em razão dos contratos firmados serem precificados com base na qualidade do ambiente. Inclusive, no tocante às parceiras agrícolas, é costume serem pactuados contratos de compra da parcela de cana pertencente ao proprietário da terra.
Além da avaliação de qualidade do ambiente de produção das terras contratadas, também existem outras questões importantes: subarrendamentos, cessão de parcerias agrícolas, comissões (pagamentos pela intermediação de terceiros na negociação de terras), pagamentos de luvas (pagamentos a título de indenização por melhorias efetuadas na área de produção quando há transferência da terra de um produtor a outro), concessão de incentivos de produção, doações, concessão de adiantamentos, emissão de carta de crédito como penhor de cana e concessão de benefícios diversos que devem ser objeto de auditoria.
Nesse sentido, fica claro o papel da auditoria interna no processo de contratação de terras do setor sucroalcooleiro e na compra de cana-de-açúcar, que é mensurar, por meio de exames, análises, testes e avaliações independentes, a efetividade dos controles implantados para garantir a integridade e a eticidade das negociações e contratações. Essa é a base para concluir se os interesses da companhia estão sendo preservados, observados e respeitados pelos colaboradores que a representam e, concomitantemente, dar visibilidade aos achados de auditoria para que as ações corretivas sejam implementadas com a finalidade de sanar deficiências, fragilidades ou vulnerabilidades averiguadas.
Para que a geração de valor seja realmente perceptível do ponto de vista organizacional, é imprescindível que a Auditoria Interna seja capaz de levantar os fatos acontecidos com agilidade, e, através deles, antever situações futuras mediante a identificação de riscos emergentes. De maneira semelhante, para ser viável a mitigação do risco de fraude, é necessário transcender a rotina usual adotada de avaliação de contratos e pagamentos (diretos e obrigações), no sentido dos procedimentos serem expandidos para: vistorias in loco das terras contratadas, confirmação sobre a qualidade destas, pesquisa de vínculos entre terceiros e os colaboradores da organização; aferição quanto a possível descaracterização das parcerias agrícolas, entre outros.
No que tange à avaliação específica sobre a eventual descaraterização das parcerias agrícolas, é vital que a auditoria interna, ainda que apoiada por especialistas, analise se as operações firmadas de parceria não possuem natureza embutida de arrendamentos rurais, mesmo que estas correspondam a um risco assumido pela corporação, uma vez que, a jurisprudência administrativa e jurídica há tempos assentou o entendimento de que o regime de tributação aplicado independe do nome do contrato, mas, sim, da essência da relação jurídica estabelecida entre as partes. Além disso, havendo conflito entre forma e substância essa última sempre prevalecerá.
Desta forma, além das questões internas de cumprimento das regras instituídas e da avaliação quanto ao risco de fraude, também se atribui à auditoria interna a função de verificar o cumprimento dos normativos fiscais e tributários, associados ao processo de contratação de terras, tendo em vista que a conformidade legal é um requisito básico que deve permear todas as atividades de auditoria. Nesse âmbito, fica claro que cada vez mais as expectativas atribuídas à auditoria interna são grandes e vão sendo ajustadas conforme as necessidades de cada companhia.
Garantir a integridade dos processos organizacionais e corroborar a eticidade nos negócios praticados são questões fundamentais para todas as companhias que atuam no ramo da agroindústria, sendo inevitáveis para aquelas que objetivam combater perdas e fomentar a cultura de riscos e controles. Uma organização que não tem visibilidade sobre a realidade dos seus processos internos não está apta a gerenciar riscos e a lidar com as constantes imprevisibilidades do negócio.
Ter uma área de auditoria interna independente não é apenas cumprir com um requisito de governança corporativa, é uma questão de sobrevivência para a continuidade operacional. Por lógica, monitorar e auditar o processo de contratação de terras ou de compra de cana-de-açúcar, que é a base central que possibilita o funcionamento das usinas, não é apenas indispensável, é obrigatório para assegurar a respectiva efetividade e retidão.
*Thiago Fernando Ciola é consultor master da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Os reguladores de diferentes jurisdições têm, cada vez mais, se posicionado com relação aos riscos relacionados aos criptoativos
Um dos tópicos mais importantes e que vem ganhando destaque em toda a indústria de criptomoedas e blockchain é a regulamentação, que se tornou ainda mais necessário com o rápido desenvolvimento da Web 3.0.
Temos acompanhado o desenvolvimento do cenário regulatório do setor, que engloba uma grande variedade de ativos, como stablecoins, tokens não fungíveis (NFTs), ativos criptográficos, contratos inteligentes e moedas digitais do banco central (CBDCs), entre outros.
A maioria dessas inovações descentralizadas permanece na zona cinzenta da regulação global, o que acaba por trazer incertezas quanto à segurança e às garantias.
Os criptoativos podem ser definidos como ativos digitais protegidos por criptografia, presentes em registros distribuídos (Distributed Ledger Technology), que se encontram dentro de uma base de dados descentralizada, a blockchain.
Essa tecnologia permite diversas inovações em potenciais e desafios legais sem precedentes sobre os quais os reguladores apenas recentemente começaram a se conscientizar.
Como as blockchains permitem a existência de sistemas de transações peer-to-peer descentralizados, ou seja, livres de intermediários, são candidatos naturais para a criação de sistemas inovadores de pagamento.
Os reguladores de diferentes jurisdições têm, cada vez mais, se posicionado com relação aos riscos relacionados aos criptoativos.
De maneira geral, a regulação editada nos diferentes países não tem como foco regular a tecnologia em si, mas, sim, os impactos de seu uso em produtos e atividades dentro de determinada área de atuação.
Isso preserva a inovação, ao mesmo tempo que exige conceitos bem definidos para a aplicação adequada de regras, existentes ou novas.
Dentre os principais riscos a serem mitigados estão a lavagem de dinheiro, a evasão de divisas, as fraudes contra investidores, a monetização por ransomwares, a aquisição de produtos ilícitos via dark web e o financiamento ao terrorismo.
Ao redor do mundo temos visto diversas iniciativas dos governos em regular os criptoativos. Alguns países tratam criptomoedas como dinheiro, enquanto outros as veem como securities, ou seja, títulos financeiros.
Alguns estão preocupados com impostos sobre ganhos de capital, enquanto outros olham para os impostos no contexto da receita de negociação.
Recentemente, os EUA assinaram um decreto que pode ser considerado um marco para o setor, no qual ressalta o crescimento e a capitalização dos criptoativos, reconhecendo a existência de implicações diretas e indiretas para todos os envolvidos, considerando os indivíduos, os investidores e as empresas.
Entre os principais objetivos definidos no decreto estão as questões relacionadas à proteção dos consumidores -bens e dados, estabilidade financeira e mitigação de práticas ilícitas.
O assunto vem crescendo em importância também na América Latina. Segundo o relatório “Geography of Cryptocurrency 2021”, da Chainalysis, a região recebeu 9% do valor global de criptomoedas em 2021, o equivalente a US$ 353 bilhões.
Ainda segundo o relatório, o Brasil é o maior país da região por volume de transações, com US$ 91 bilhões entre junho de 2020 e julho de 2021 e 39% delas ocorreram via DeFi (Finanças Descentralizadas).
Outro aspecto que demonstra a força do mercado é o grande volume de transações sendo realizadas via investidores institucionais, o que representa 36%.
No Brasil, a Instrução Normativa nº 1.888, de 3 de maio de 2019 (“IN 1.888/2019”), apresenta obrigações aplicáveis para todos os atores do mercado de criptoativos.
Ela buscou dar maior transparência e controle ao mercado, coibindo os ilícitos e a prática de sonegação fiscal pelos investidores.
Por meio dela foram criadas obrigações de envio de informações para pessoas físicas e jurídicas sobre as operações realizadas, como as datas, os tipos, os valores e o endereço das wallet de remessa e de recebimento.
O Projeto de Lei 4.401/2021, aprovado no Senado e atualmente em tramitação na Câmara, tem como objetivo a regulamentação do mercado de criptomoedas e dispõe sobre a atuação de prestadoras de serviços de trocas, transferências e administração de criptoativos, além de oferecer diretrizes para tais operações.
Isso inclui livre iniciativa e concorrência, boas práticas de governança e abordagem baseada em riscos, segurança da informação e proteção de dados pessoais, proteção e defesa de consumidores e usuários, proteção à poupança popular, solidez e eficiência das operações e prevenção à lavagem de dinheiro e ao financiamento do terrorismo em alinhamento com os padrões internacionais.
Ao analisarmos o projeto podemos entender que seu foco recai principalmente nas negociações intermediadas por agentes de mercado – as exchanges, prevendo a segregação patrimonial dos seus recursos financeiros e dos investidores.
Tal medida tem como objetivo proteger as aplicações das pessoas, visto que, caso ocorra a quebra de uma exchange, os recursos dos clientes não poderão ser utilizados em processo de falência ou recuperação judicial.
Outra questão importante é o maior nível de segurança jurídica, com viés penal, dada à escalada nos golpes com esses tipos de ativos no País.
O projeto propõe uma mudança na lei que define os crimes financeiros (Lei nº 7.492), incluindo pessoa jurídica que ofereça serviços referentes a operações com ativos virtuais, inclusive intermediação, negociação ou custódia e que agora, caso quebrada, estará sujeita a sanções penais.
Uma vez aprovado, é esperado que ajude no desenvolvimento do ambiente de negócios como um todo. A expectativa, a longo prazo, é que esse processo regulatório permita a entrada de novos investidores neste mercado, fomentando a economia local e aumentando a liquidez de produtos baseados em criptoativos.
O desafio da regulação é uma questão fundamental para o futuro desse mercado no Brasil e no mundo e, portanto, é importante que os órgãos públicos estejam conscientes do potencial das novas tecnologias do mercado financeiro sem coibir o seu uso de forma livre e aberta.
* Thiago Gomes é gerente de IAFA (Internal Audit & Financial Advisory) da Protiviti Brasil, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Atualmente, todo o mercado está querendo e precisa inovar com a tecnologia, bem como adequar-se às legislações atuais, como a Lei Geral de Proteção de Dados (LGPD), que acaba de ser sancionada pelo presidente da república. Além disso, profissionais de diversos setores passaram a ter como condição fundamental se adaptarem aos assuntos pertinentes à tecnologia da informação, mas não podemos esquecer do famoso termo “back to basics” ou seja, voltar às origens.
A TI é um imperativo organizacional, ou seja, todas as atividades dependem dela em algum nível para funcionarem. Não se trata de uma função secundária, mas sim um fim em si mesma, pois seu objetivo é dar suporte, criar e entregar valor para o negócio. Além disso, essa disciplina tem macros objetivos, como consolidar e entregar os benefícios para as áreas de negócio, cuja função é garantir os resultados realizando-os conforme planejado, assim como otimizar riscos criando uma consistência nessa realização de resultados, além de aprimorar recursos, utilizando-os de forma eficiente para gerar resultados de forma consistente.
O negócio e a tecnologia da informação precisam falar a mesma língua. Se a empresa está em fase de recessão, não adianta a TI ter planos de expansão. Ao mesmo tempo, se a empresa estiver em fase de inovação, não adianta a área de tecnologia estar em fase de estabilização. Isso significa que é necessário o alinhamento com a estratégia corporativa.
Neste aspecto é que a TI está tentando criar e agregar valor, e o risco de segurança pode colocar tudo a perder, seja utilizando recurso de forma ineficiente, entregando resultados instáveis, ou até mesmo causando rupturas em legislações vigentes. Com este cenário latente vem a pergunta: vou precisar de apoio da área de Riscos, além da Tecnologia da Informação?
Sim! Identificar, avaliar, responder e monitorar riscos são atividades em que o departamento de riscos vai ajudar a TI a estar alinhada com a estratégia corporativa. Visto isto, entendemos que a gestão foca em planejar, construir, executar e monitorar as atividades em alinhamento, sem esquecer de ter a direção definida pela governança para criar valor alcançando os objetivos, pois ela é quem dita o rumo da TI, ou seja, em última instancia é a governança que é a responsável por garantir essa entrega de valor.
Vale ressaltar que o gerenciamento de riscos é uma das ferramentas chaves da governança. Entendendo isso, você terá alinhamento estratégico, entregará valor, otimizará os recursos, as performances e a conformidade para, enfim, estar pronto para evoluir com os assuntos em alta no mercado como Data Analytics, Auditoria Contínua, Robotics, Machine Learning e certificar, ou não, seus processos em Segurança da Informação.
*Erick Matheus dos Santos é gerente da área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
O momento da pandemia do COVID-19 é sem precedentes, porém não altera as necessidades regulatórias, em alguns casos. Nossas obrigações como auditores internos, não mudam. Para empresas que atendem à legislação Sarbanes Oxley (SOX), permanece a necessidade de garantir um efetivo framework de controles internos, promovendo assim razoáveis garantias às suas demonstrações financeiras por meio da auditoria da comunicação remota.
Muitas das melhores práticas e lições aprendidas sobre auditoria que vimos nogerenciamento do trabalho remoto parecerão muito familiares para você. E, algumas vezes por serem óbvias, podem ser desprezadas. Portanto, devemos ser mais formais e deliberados em um ambiente remoto.
Veja dicas para auditoria da comunicação remota
Devemos estar atentos e tomar as seguintes ações em nosso novo ambiente:
Dica 1) Dedique tempo adequado ao planejamento
Defina as partes interessadas e considere as áreas em que podemos precisar compensar os problemas de conectividade. Considere os canais de comunicação disponíveis para sua empresa, cliente ou pessoal de auditoria externa; e adapte cada canal ao que melhor se ajusta ao seu público.
Dica 2) Definir protocolo de auditoria da comunicaçãoremota
Uma programação de comunicação padrão manterá as equipes remotas juntas, apesar de estarem fisicamente distanciadas. Pense nos métodos ágeis, usando breves reuniões diárias da equipe, oferecendo oportunidade de conexão pessoal enquanto trabalhamos 100% remotamente.
Também é necessária uma conexão frequente com os patrocinadores do projeto para manter continuamente as expectativas alinhadas.
Dica 3) Use uma plataforma comum para compartilhar documentos
Se você ainda não utiliza uma plataforma compartilhada para trocar informações entre sua empresa, o cliente e as equipes de auditoria externa, esse é um dos primeiros obstáculos a serem superados.
Uma solução que funcionou bem é aproveitar plataformas como SharePoint. Isso é econômico, seguro e requer menos tempo para começar a funcionar, em comparação com a implementação de uma ferramenta ou com sistemas de transferência de arquivos que podem não ser tão seguros.
Dica 4) Estabelecer linhas de propriedade claras
Quando equipes estão trabalhando juntas em uma sala de conferências, talvez não precisemos ser tão formais com a atribuição de controles ou ações específicas do projeto para cada membro da equipe. Para permitir que os membros da equipe avancem com confiança, devemos permitir que eles se apropriem de áreas explícitas.
Os conceitos ágeis podem ser úteis nessa situação como uma maneira de atribuir trabalho a funcionários e clientes em sprints; e faça com que as pessoas envolvidas nesses sprints se encontrem para uma reunião em vídeo todos os dias até a conclusão. A comunicação frequente é fundamental para ajudar um ao outro a equilibrar as cargas de trabalho para manter o engajamento em movimento.
Dica 5) Considere o meio de comunicação
Foi percebido grande agilidade ao conectar-se rapidamente com empresas que utilizam plataformas de videoconferência, tais como, Microsoft Teams, Zoom ou WebEx. É muito importante que os auditores internos interajam com os process owners e control owners, pois você pode ler expressões faciais e reações para avaliar melhor se eles realmente entendem seus processos e controles.
O compartilhamento de telas durante essas sessões facilita para todos os participantes que visualizam a mesma agenda, narrativa, fluxo de processos etc. Também permite que os control owners compartilhem arquivos.
Dica 6) Feche o cicloda auditoria da comunicação remota
Acompanhe todas as chamadas com um resumo das informações abordadas, decisões acordadas na chamada e responsabilidade e propriedade pelas próximas etapas. Isso ajudará a confirmar que, mesmo no ambiente disperso em que estamos trabalhando, todos saíram da chamada com o mesmo entendimento.
O esboço de um plano para essas áreas estabelecerá as bases para uma auditoria da comunicação remota bem-sucedida da equipe em um ambiente de trabalho remoto e apoiará a execução contínua do engajamento além desses tempos extraordinários.
Como vimos, um bom planejamento e algumas ações não apenas garantem a boa comunicação como melhoram os processos de trabalho e de auditoria. Em tempos de trabalho remoto, manter o time unido e engajado é um dos maiores desafios das empresas. Mas, felizmente, a tecnologia e algumas boas práticas de gestão podem garantir isso.
* Gustavo Ferreira é gerente de auditoria interna e assessoria financeira da Protiviti
As organizações estão sentindo o calor e a pressão para inovar e criar maneiras de fazer com que seus negócios permanecerem relevantes. Para as instituições financeiras, em particular, esta situação é ainda mais presente devido à forte concorrência dos gigantes do setor, bem como as startups “nascidas digitais”.
Com o cenário regulatório em constante mudança, equilibrar requisitos regulamentares e de conformidade complexos com esforços para aumentar a eficácia e reduzir custos por meio da transformação digital, exigirá processos de negócios mais inteligentes e que demandam atenção com a segurança da informação.
As inovações permitem o acesso ideal do usuário aos sistemas, garantindo a manutenção das medidas de segurança apropriadas. Para um número crescente de organizações, usuários internos e externos estão acessando sistemas de todo o mundo e de uma variedade de dispositivos. Isso significa que as identidades desses usuários e seus acessos associados, em vez da rede, estão formando o novo limite de segurança em torno da organização.
Essa mudança de paradigma destaca a importância de acertar o gerenciamento de identidade e acesso (IAM), tanto para facilitar os negócios quanto para ficar à frente dos requisitos de auditoria, conformidade e regulamentação. Analisando a Instrução Normativa nº 001/2001, temos o Princípio da Segregação de Funções, uma regra de controle interno para evitar falhas ou fraudes na entidade, descentralizando o poder e estabelecendo independência para as funções de execução operacional, custódia física e contabilização da informação. Ela alerta que ninguém deve ter sob sua inteira responsabilidade todas as fases inerentes a uma operação.
A informação tem um ciclo de vida de quatro fases: manuseio, no qual dado é criado e manuseado; transporte, que são os meios para o envio dos dados de um local a outro; armazenagem, onde o dado está guardado/custodiado; e descarte, ou seja, quando se dá o ciclo final à informação.
Analisando estas etapas, um dado pode ser vazado como ato intencional em algumas dessas fases para obter algum ganho ou vantagem e, em um ambiente competitivo, cujas mudanças de processo e tecnologia podem impulsionar a organização a novos patamares ou causar riscos significativos e possíveis impactos negativos, é crucial a adoção de medidas proteção de dados para que eles não caiam nas mãos de alguém mal-intencionado em qualquer etapa do seu ciclo de vida.
Cabe a adoção de procedimentos de segurança como estratégia de prevenção de ataque cibernético, evitando o vazamento de informações sigilosas das empresas. Portanto, para permanecer relevante e permitir que a empresa tenha sucesso em um cenário em rápida mudança, mantendo uma forte postura de risco e segurança, programas, processos, governança e tecnologia de gerenciamento de identidade e acesso precisam ser alinhados.
Investir em uma equipe capacitada na terceirização deste serviço que seja especializada, com profissionais que tenham domínio do tema e que sejam capacitados para proteção de dados, deve ser levado em consideração num mundo cada vez mais digital e com empresas ingressando para a cultura Data Driven.
Muito vem se discutindo nos últimos anos sobre as mudanças que sofrerão algumas profissões em função do crescimento tecnológico mundial. Neste grupo profissional estão os auditores e deles não se espera nada diferente de disso. Isso traz questões como a auditoria contínua.
Os profissionais de Auditoria Interna, responsáveis pela avaliação independente dos riscos e controles das empresas, assim como pela identificação de oportunidades de melhoria em seus processos de negócios, passaram a assumir, mais recentemente, um papel importante nas estruturas de gestão de riscos.
Trata-se de um desafio para os profissionais da área. A adequação a esse cenário em que novos papéis são exigidos é um ponto fundamental para as empresas que buscam agilidade, diferencial de conhecimento e estratégias mais eficientes.
No atual e complexo cenário econômico, vem aumentando o foco na adoção de formas inovadoras para avaliar e gerenciar riscos. E, os avanços tecnológicos estão pavimentando o caminho para o uso de Auditoria Contínua e Monitoramento Contínuo nos processos, transações, sistemas e controles das organizações.
As organizações estão utilizando tecnologias como fator de mudança na forma com que avaliam a efetividade dos controles e o monitoramento do seu desempenho.
Mas o que é Auditoria Contínua?
Auditoria Contínua é uma ferramenta de gestão que possibilita a avaliação contínua dos processos e controles internos. Isso é feito por meio de inspeção com foco no cruzamento de dados eletrônicos sobre transações críticas de forma recorrente e em larga escala.
Tem o objetivo de identificar exceções ou obter “percepções” de forma tempestiva a partir de critérios e gatilhos pré-definidos. Em outras palavras, são gerados relatórios de forma automatizada que contêm dados indicativos de operações que estão em desacordo com as normas e procedimentos da organização.
Qual a diferença entre Auditoria Contínua e Monitoramento Contínuo?
Auditoria Contínua
A Auditoria Contínua é uma função de controle e poderá utilizar o monitoramento contínuo como evidência indireta do desempenho, conformidade e qualidade de um processo. A frequência da implementação de um processo de auditoria contínua baseia-se na avaliação do nível de risco das transações ou do objeto da auditoria.
Além disso, ela poderá usar parâmetros operacionais, além de outros padrões de análises comparativas, permitindo ao auditor aferir o resultado de suas recomendações.
Monitoramento Contínuo
O Monitoramento Contínuo é uma função gerencial, não uma função de auditoria interna. Em algumas circunstâncias o monitoramento pode ser comparado com um sistema gerencial.
Tem como objetivo monitorar o desenvolvimento das atividades dos processos, sistemas e dados, além de resultar na avaliação do desempenho e da conformidade dos processos e das operações, provendo correções ou ajustes necessários.
Como as empresas estão se adaptando a isso?
Boa parte das empresas vem adotando a terceirização total ou parcial dos trabalhos de auditoria interna, bem como a implantação e execução de auditoria contínua sendo que esses serviços podem reduzir custos ao longo do tempo. Isso ajuda a melhorar a informação de risco necessária para apoiar a tomada de decisões estratégicas em toda a organização.
De maneira geral, a Auditoria Contínua têm total relação com tecnologia e a tendência é de aperfeiçoamento constante, com foco em automatizações e acompanhamento de processos afim de mitigar falhas operacionais, erros e até mesmo fraudes, fortalecendo as estruturas de governança corporativa das empresas.
Na Pesquisa de Conformidade com a Sarbanes-Oxley (SOX) da Protiviti, cerca de 700 entrevistados de organizações de capital aberto foram ouvidos durante o ano de 2019.
Nesse estudo anual, a Protiviti identifica tendências e padrões na aplicação da SOX. Neste artigo, falaremos sobre tendência de diminuição de custos, evolução do tempo médio para implementação e demais percepções dos gestores sobre o método.
Tendência decrescente de custo de conformidade em SOX
A partir de resultados obtidos pela pesquisa Sarbanes-Oxley da Protiviti 2019 foi possível identificar uma diminuição dos custos em relação ao ano anterior.
Considerando que vivemos um momento de mudanças nas regras contábeis (Leasing e Receitas) e os grandes esforços de transformação digital nas áreas de auditoria e controle das organizações, faria sentido pensar em aumento de custos, mas não é o que foi constatado nas pesquisas.
Tendência de aumento em horas para o cumprimento da lei
Outro resultado que chama bastante atenção é o tempo médio empregado pelas organizações para os controles de SOX. A maioria das empresas dedicou mais horas a essa atividade do que no ano anterior (as horas aumentaram 10% ou mais).
Mudanças externas nos padrões contábeis e de auditoria, bem como alterações na forma como essas regras estão sendo aplicadas pelas autoridades reguladoras, são alguns dos fatores que contribuem para o aumento das horas de conformidade.
Mudanças internas, geralmente relacionadas à transformação digital e à adoção de tecnologias emergentes, também exigem que as equipes de auditoria passem mais tempo examinando possíveis novos problemas de controle e os riscos relacionados.
Além disso, o PCAOB (Conselho de Supervisão Contábil de Empresa Pública) continuou seu controle meticuloso de auditorias realizadas por empresas de auditoria externa. E isso geralmente se traduz em auditores externos empregando mais tempo em seus testes e análises relacionados à SOX, bem como na qualidade e consistência geral de suas auditorias.
Instrumentos de controle
Em se tratando da SOX, podemos dizer que existe um conjunto mais ou menos estável de instrumentos de controle. No entanto, a necessidade de identificar com maior precisão falhas de controle em diferentes áreas das companhias, vem levando a implementação de novas estratégias ligadas às mudanças que estão acontecendo nas organizações.
Além disso, novos pronunciamentos contábeis, orientações do PCAOB sobre a precisão do controle, orientações da SEC acerca da necessidade de considerar ameaças cibernéticas ao implementar e testar controles internos provavelmente contribuíram para aumentar a quantidade e os tipos de controle.
Na pesquisa Sarbanes-Oxley da ICTS Protiviti 2019 esse aumento foi percebido. Em comparação com os dados do ano anterior, houve saltos significativos no uso de análise de dados pelas empresas, bem como por seus auditores externos.
A maioria das organizações utilizou ferramentas tecnológicas para testar os controles da seção 404 da SOX em 2018 e 2019, mais frequentemente para contas a pagar, controles gerais de TI e processos de conciliação contábil.
Também houve um crescimento substancial no uso de ferramentas tecnológicas para áreas como o fluxo de trabalho de aprovação automatizado e a avaliação do controle de acesso/segregação de funções.
Embora essas ferramentas possam não conter tecnologia de ponta, seu uso proporciona ganhos de eficiência que podem ser medidos, comunicados e usados como evidência da necessidade de investir em formas mais avançadas de automação.
Também, digno de nota, mais organizações estão começando a empregar tecnologias avançadas, como automação de processos robóticos (RPA) e aprendizado de máquina/deep learning nas suas iniciativas.
Embora os números ainda sejam relativamente baixos, eles aumentaram significativamente em relação ao ano anterior. Essa tendência acompanha a pesquisa da ICTS Protiviti sobre o uso crescente de RPA e da inteligência artificial.
Além disso, uma gama mais ampla de atividades de controle está sendo apoiada por tecnologia avançada em comparação com anos anteriores do nosso estudo. Por exemplo, mais de 60% dos auditores externos utilizam ferramentas tecnológicas para testar os controles da Seção 404 da SOX e quase metade utiliza a análise de dados como parte do processo.
Com este artigo, esperamos ter trazido um breve resumo sobre os resultados observados na pesquisa Sarbanes-Oxley da Protiviti 2019. Como você pôde acompanhar, houve mudanças significativas na forma como as organizações fazem conformidade a SOX, com diminuição de custos e aumento de médio das horas empregadas nesse trabalho. Além disso, também tivemos a ascensão de novos tipos de controle interno.
Você gostou deste conteúdo? Assine nossa newsletter e receba mais dicas como essa.
Evidência é prerrogativa da auditoria remota. Se um processo ou controle não puder ser evidenciado, é difícil dizer que o mesmo ocorre e é mais difícil ainda dizer se o controle mitiga ou não o risco associado. O processo de auditoria poderia ser comparado a São Tomé: ver para crer? E nesses tempos de crise como a pandemia do coronavírus, na qual a quarentena obriga tanto o auditor quanto o auditado a trabalhar à distância, como fazer para obter as evidências do processo de auditoria remota?
Como obter evidências na auditoria remota
Em empresas Data Driven, essa necessidade se torna mais simples. Isso pois os processos e os controles são evidenciados pelo caminho do dado. O processo é acompanhado desde a criação do dado e por todo o caminho que ele percorre, identificando os controles existentes e as eventuais brechas e falhas no processo. A partir daí, a auditoria foca nas exceções.
Já a auditoria remota em empresas que possuem processos manuais, nos quais os sistemas não permitem o acompanhamento do ciclo de vida do dado, a abordagem de auditoria automatizada tende a não funcionar.
Porém, com as novas tecnologias já disponíveis, é possível estar “ao lado” do auditado, mesmo estando distante. Ferramentas de videoconferência nos permitem, por exemplo, ver e conversar com o auditado, além de acompanhar o que ele executa no seu computador, por meio do compartilhamento de tela.
Essas ferramentas permitem, também, a gravação do que está sendo conversado e mostrado, e o que pode agilizar o processo, uma vez que o auditor não precisa pausar a conversa para anotar os itens identificados. Ainda, se alinhado com o auditado, essa gravação não poderia servir como evidência do processo?
Prioridades vs auditoria à distância
O tempo do auditado é um ofensor significativo do processo de auditoria. Agendar reuniões raramente é fácil e, depois de agendadas, muitas delas são canceladas.
Em nosso dia a dia, várias demandas surgem, sendo algumas (ou várias) são priorizadas em detrimento da auditoria remota. Afinal, quem gosta de ser auditado?
Me uso como exemplo desse cenário de novas demandas ao longo do dia, pois quando estou no escritório, muitas pessoas me procuram demandando alguma questão que eu “possa ajudar”. A famosa curva de rio, que não permite ir de um ponto a outro sem ser abordado para algum assunto. Por isso, não raramente me coloco em home office para realizar alguma tarefa prioritária, na busca incansável pela produtividade.
Nesse momento que estamos em Home Office, auditor e auditado, podemos aproveitar esse tempo produtivo. Todos estão se adaptando às novas rotinas, então aproveitemos essa nova fase para nos posicionar e mostrar a prioridade que a auditoria continua a ter.
Auditoria não foi e não será mais prioritária do que a continuidade dos negócios. Mas, com o negócio funcionando e a produtividade em alta, vai sobrar um tempo para a auditoria.
O momento atual está nos fazendo repensar os modelos de trabalho. Precisamos também repensar o modelo da auditoria. Se a forma comum de fazer auditoria não pode ser executada, faremos de um novo jeito, com novas maneiras de mapear os processos, novas maneiras de identificar os riscos e evidenciar a efetividade dos controles.
Gostou deste artigo sobre auditoria remota? Então assine o nosso newsletter! Assim poderemos enviar mais materiais relevantes para o seu e-mail!
*Eduardo Maia é gerente de auditoria interna e assessoria financeira da Protiviti.
