Com a aproximação do último trimestre do ano, reuniões para definições orçamentárias começam a ocupar espaço na agenda. A avaliação de indicadores, a análise de faturamento e a prospecção de cenários serão cada vez mais frequentes até o final do ano. E, os setores que não fazem parte da atividade principal da companhia e nem são geradores de receita, precisam batalhar pelas suas fatias orçamentárias. Esse é o caso do setor de compliance.
Embora o Compliance seja essencial na prevenção de fraudes, na transformação cultural ética e na adequação normativa da empresa, a mudança de cenário econômico pode diminuir os recursos destinados à manutenção do setor.
Neste momento, é importante considerar diferentes caminhos para montar o orçamento e o planejamento, que pode passar por ganho de eficiência em tarefas frequentes, compartilhamento dos deveres de conformidade e diminuição da complexidade das atividades.
Ainda de acordo a pesquisa, o mercado apresenta um cenário em que mais de 60% dos setores dedicados ao Compliance são compostos por duas a cinco pessoas. Além dessa configuração enxuta, 72% dos profissionais respondentes não atuam unicamente com compliance e conjugam suas atividades com outras, como privacidade de dados (35%) ou auditoria interna (28%).
Dado à situação de “setores enxutos versus múltiplas demandas”, o ganho de eficiência em atividades de rotina é essencial. Segundo o mesmo estudo, o gerenciamento de canais de denúncia é a líder em frequência (92%), seguido por “conscientizar e buscar apoio da alta liderança da companhia” (87%) e “mapear, monitorar e mitigar os riscos de compliance” (79%).
Outro ponto importante é entender que, como a ética e a conformidade empresarial é um dever de todos, o orçamento não deveria ser somente da área de compliance. Um bom exemplo disso são os treinamentos e as comunicações dos setores de Recursos Humanos e Comunicação Interna, que normalmente possuem planos corporativos e poderiam prever ações de compliance em seus orçamentos. Para isso, é importante montar um bom plano em conjunto entre as áreas, alinhando cronogramas, recursos humanos e financeiros e infraestrutura disponível.
Ainda nesse sentido, de acordo com a pesquisa, os desafios mais complexos citados pelos gestores de compliance são: realizar o monitoramento de terceiros (77%) e inovar na forma de disseminar os conteúdos e os treinamentos de compliance (77%).
Dito isso, como conseguir o ganho de eficiência, o compartilhamento de deveres e a diminuição de complexidade? Os resultados do estudo mostraram que apenas 35% dos participantes trabalham em empresas que escolheram terceirizar atividades de Compliance. Destes, 76% citaram a melhoria na produtividade e na qualidade do serviço.
Ao adotar softwares com rápida curva de aprendizagem e que favoreçam a diminuição da complexidade de tarefas aliado à terceirização de atividades de rotina, os profissionais das enxutas estruturas de Compliance poderão focar seu tempo nas atividades estratégicas da área e nas tomadas de decisão relevantes.
Nesse sentido, as plataformas de canais de denúncia aliado a serviços de análise prévia dos casos podem ser aliados na captação de informações e na preparação das investigações. Desta forma, o compliance fica responsável por decidir se segue com a investigação e, se sim, já possui todos os elementos para isso. Já as plataformas de Due Diligence são excelentes para monitorar e mitigar riscos de terceiros e, atreladas a serviços de análise e atendimento de workflow, deixando para o compliance somente a responsabilidade por aprovar ou reprovar aqueles de alto risco.
A inovação também tem um papel fundamental nesta redução de custos e no planejamento orçamentário: a adoção de plataformas de treinamento mobile via WhatsApp, que aparecem como ponto de disrupção no mercado, é um ótimo exemplo de como alcançar estruturas pulverizadas.
Por fim, uma vertente pouco explorada pelos setores de Compliance é a contratação de relatórios que traçam panoramas evolutivos e comparativos com outras empresas do mesmo setor. O monitoramento de tendências, a identificação de pontos de melhoria e o benchmarking são essenciais para a apresentação de relatórios convincentes em reuniões do gênero.
O processo de fechamento orçamentário não é uma tarefa simples, muito menos rápida – o convencimento da alta administração na importância do compliance não é a parte mais complexa. O desafio é como demonstrar que algo que não traz retorno financeiro (direto) precisa ter um investimento. Neste momento, argumentos sólidos e planos consistentes são fundamentais à obtenção dos recursos necessários para a evolução da jornada do Compliance.
*Yaniv Chor é diretor de Education e Serviços Gerenciados na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
*Pedro César Sousa Oliveira é consultor em Pesquisa e Desenvolvimento da Aliant, empresa especializada em soluções para governança, compliance, ética, privacidade e ESG.
Assunto ainda relativamente recente no Brasil, a Privacidade de Dados é tópico de interesse para toda a sociedade. Nesse sentido, promover discussões e trocas de ideia entre o setor é indispensável para encontrar os melhores caminhos e práticas para garantir a proteção dos dados no Brasil. Para incentivar esse diálogo e trazer luz aos principais tópicos relacionados à privacidade de dados no Brasil, convidamos Waldemar Gonçalves, Diretor-Presidente da ANPD (Autoridade Nacional de Proteção de Dados) para uma entrevista exclusiva.
Nessa entrevista, abordamos tópicos que ainda geram dúvidas no mercado sobre o cumprimento das normas e o setor como um todo, além de buscar compreender os próximos passos da proteção e privacidade de dados no Brasil. Confira a seguir a íntegra.
[Protiviti] Em casos práticos, vemos profissionais dedicados à privacidade de dados no Brasil, à segurança da informação ou ao jurídico acumularem também a função de Encarregado. A ANPD entende que pode haver conflito de interesses a depender do cargo do Encarregado de Dados?
[ANPD – Waldemar Gonçalves] A ANPD ainda não estabeleceu normas complementares sobre as atribuições do encarregado, tema que será objeto de regulamentação, conforme previsto na Agenda Regulatória para o biênio 2023-2024.
Importante salientar que o agente de tratamento, ao indicar o encarregado, deve atentar para que este não esteja ocupando ou não passe a ocupar posição que acarrete conflito de interesses. Presume-se o conflito de interesses no acúmulo da função de encarregado com aquela em que haja responsabilidade pelas decisões referentes ao tratamento de dados pessoais.
O essencial é que o encarregado seja a pessoa responsável por ser o canal de comunicação entre a instituição/empresa na qual atua, os indivíduos e a Autoridade Nacional de Proteção de Dados. Além de ser responsável por conscientizar e orientar o controlador de dados pessoais e os funcionários sobre as boas práticas em proteção de dados pessoais.
O encarregado deve ser a figura que busca garantir uma comunicação adequada, para o atendimento aos direitos dos titulares, e que oriente sobre as práticas de governança de dados pessoais.
[Protiviti] Em paralelo com as regulamentações de privacidade de outros países, a Autoridade tem expectativas para uma atualização na LGPD incluindo a necessidade de o Controlador emitir declaração para comprovar que um direito requerido pelo titular foi atendido? Como, por exemplo, em casos de anonimização, bloqueio ou eliminação de dados?
[ANPD – Waldemar Gonçalves] A LGPD só pode ser modificada ou atualizada pelo legislador, cabendo à Autoridade Nacional de Proteção de Dados apenas a regulamentação dos ditames da lei. Nesse sentido, a ANPD acompanha a atividade parlamentar junto ao Congresso Nacional e procura apoiar decisões dentro dos limites da sua responsabilidade e competência.
A respeito da anonimização e pseudonimização, a Agenda Regulatória 2023-2024 prevê a elaboração de documento que visa orientar e esclarecer o uso dessas técnicas. Essa ação já foi iniciada e será concluída até 2024.
[Protiviti] A Coordenação-Geral de Fiscalização é responsável por analisar as petições dos titulares que possam conter denúncias de descumprimento da LGPD. Tendo em vista a possibilidade de receber diversas petições, a Coordenação prevê estabelecer critérios de priorização para iniciar uma investigação sobre um incidente envolvendo dados pessoais ou demais violações à lei?
[ANPD – Waldemar Gonçalves] Todo processo fiscalizatório realizado pela ANPD é precedido por um monitoramento preliminar. A partir das informações levantadas no monitoramento, a Autoridade decide se estabelece ou não um processo de fiscalização propriamente dito. Ou seja: a fiscalização acontece quando há subsídios para tal e a norma de fiscalização atualmenteestabelece critérios de priorização para a avaliação do tratamento de dados pessoaispelos agentes de tratamento. Além disso, a Agenda Regulatória 2023-2024 também prevê a normatização de critérios para a comunicação de incidentes de segurança envolvendo dados pessoais e o processo de fiscalização desses incidentes.
Recentemente, a ANPD encerrou Consulta Pública sobre a proposta de Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais, que contou com 1.491 contribuições da sociedade.
Isso nos revela que os cidadãos estão preocupados com o tema e estão contribuindo com a ANPD para a elaboração de uma norma justa e democrática.
[Protiviti] No ano de 2021, a ANPD e a SENACON estabeleceram um Acordo de Cooperação Técnica com o objetivo de proteger os dados pessoais dos consumidores. Com base nisso, há planos para ampliar esses acordos de parceria, a fim de alcançar um entendimento padronizado sobre questões relacionadas à privacidade e proteção de dados pessoais em demais setores, como também evitar a duplicidade de esforços em termos de fiscalização?
[ANPD – Waldemar Gonçalves] Sim, queremos ampliar nossos acordos de cooperação. A Autoridade está em constante diálogo com outras instituições para aprimorar as suas próprias práticas e para melhor resguardar os direitos dos titulares de dados pessoais. Neste sentido, a ANPD possui sete Acordos de Cooperação Técnica e Convênios já estabelecidos e outros em fase de elaboração. A Autoridade se articula com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação, conforme previsto na LGPD.
[Protiviti] Segundo dados divulgados pelo Instituto Brasileiro de Geografia e Estatística (IBGE), mais de 15% da população brasileira não utilizou a internet em 2021, meio imprescindível para inclusão social e conscientização da população. Os principais motivos apontados foram de ordem técnica (não saber usar a internet) ou econômica (serviço de acesso ou equipamentos eletrônicos considerados caros). Considerando que as vulnerabilidades sociais se somam ou são potencializadas pelas vulnerabilidades digitais, como a ANPD tem enfrentado o desafio de disseminar ações educativas a grupos mais vulneráveis quanto a temas como proteção de dados pessoais?
[ANPD – Waldemar Gonçalves] Esse é um dos maiores desafios que temos, além de o tema “Proteção de Dados Pessoais e Privacidade” ser algo novo, também necessita de amadurecimento e fomento para a formação de uma cultura de proteção de dados pessoais em nosso País.
Por isso, a ANPD atua fortemente na produção de Guias Orientativos para elucidar sobre os diversos assuntos que permeiam a proteção de dados pessoais. E com isso, estamos dispostos a encarar esses desafios e criar meios de consolidar essa cultura de proteção de dados pessoais no Brasil.
[Protiviti] O uso de inteligência artificial cada vez mais disseminado entre crianças e adolescentes como, por exemplo, assistentes virtuais, tem se demonstrado um grande desafio frente a vulnerabilidade inerente a esse público. Há expectativa da ANPD de uma atuação preventiva para proteção de dados pessoais de crianças e adolescentes no uso desse tipo de tecnologia?
[ANPD – Waldemar Gonçalves] A ANPD atua de forma responsiva, que engloba a prevenção, o monitoramento, a orientação e a sanção por descumprimento da LGPD.
Para todos os casos atuamos desta forma e já estamos avançando mais na fiscalização desde que o Regulamento de Dosimetria e Sanções Administrativas foi publicado.
Estamos atuando de forma preventiva em diversas áreas que envolvem a proteção de dados pessoais, independente da tecnologia utilizada, incluindo a proteção de dados pessoais de crianças e adolescentes, cabendo destacar que a Agenda Regulatória da ANPD também prevê a regulamentação deste tema.
[Protiviti] Quais são as expectativas da ANPD quanto ao uso do legítimo interesse como base legal para o tratamento de dados pessoais de crianças e adolescentes, e como a Autoridade planeja equilibrar os interesses das organizações e os direitos de privacidade dos menores nesse contexto?
[ANPD – Waldemar Gonçalves] A ANPD publicou em maio deste ano, o primeiro Enunciado que trata sobre as hipóteses legais que autorizam o tratamento de dados de crianças e adolescentes.
Este Enunciado representa uma primeira iniciativa da ANPD relacionada à proteção de dados pessoais de crianças e de adolescentes e fixa entendimento da Autoridade acerca das possibilidades interpretativas do artigo 14 da LGPD.
De acordo com o Enunciado, o tratamento de dados pessoais de crianças e adolescentes pode ser realizado com base nas hipóteses legais previstas na LGPD, como nos casos de consentimento fornecido pelo titular, de cumprimento de obrigação legal, de proteção à vida ou de atendimento a interesse legítimo do controlador. Em qualquer situação, o melhor interesse da criança e do adolescente deve prevalecer, exigindo avaliação cautelosa por parte do controlador.
Também, com relação ao tema, estamos trabalhando na elaboração de um Guia Orientativo sobre Legítimo Interesse, documento que trará orientações específicas para o tratamento de dados pessoais de crianças e adolescentes com base nessa hipótese legal, em conformidade com o princípio do melhor interesse.
[Protiviti] Como a ANPD espera superar o desafio de regular a transferência internacional de dados segura, sem impactar o desenvolvimento econômico e a inserção de empresas brasileiras no mercado global?
[ANPD – Waldemar Gonçalves] A regulamentação da proteção de dados de uma maneira geral impacta positivamente na inserção das empresas brasileiras no cenário global, aumentando sua competitividade. O estabelecimento de regras claras para proteção de dados pessoais aumenta a segurança jurídica, que, por sua vez, é requisito para o crescimento econômico do País.
A regulamentação das transferências internacionais é apenas uma das muitas dimensões da regulamentação da proteção de dados. Nesse aspecto, a ANPD tem procurado delinear regras mais convergentes possíveis com o que é feito no cenário internacional, de forma a garantir que as regras brasileiras sejam interoperáveis com os diversos sistemas de proteção de dados no mundo.
Além disso, está aberta para contribuições da sociedade consulta pública, que tem o intuito de receber subsídios da sociedade que são essenciais para o aprimoramento do Regulamento, a partir de contribuições valiosas por parte de variados segmentos da sociedade.
[Protiviti] Há previsão para acordos de cooperação entre países, em caso de necessidade de troca de informações entre autoridades, em situações, por exemplo, de incidentes envolvendo dados pessoais?
[ANPD – Waldemar Gonçalves] Sim. A ANPD está trabalhando para estabelecer uma rede de cooperação que possa viabilizar o enforcement extraterritorial da LGPD. A troca de informações entre autoridades é peça essencial nesse esforço. A Autoridade vem atuando junto a autoridades de outros países para o estabelecimento de alianças e troca de informações a respeito das transferências internacionais de dados pessoais.
Atualmente, temos um memorando de entendimentos com a Agência Espanhola de Proteção de Dados (AEPD) com intuito de garantir a colaboração entre os países e uma cooperação conjunta em matéria de proteção de dados pessoais e fornecer um quadro para a troca de conhecimentos técnicos e melhores práticas, a fim de fortalecer as capacidades técnicas de ambas as partes relacionadas à aplicação da lei sobre a proteção de dados pessoais.
[Protiviti] Qual é a responsabilidade do Encarregado pelo Tratamento de Dados Pessoais em caso de violação de dados pessoais? Haverá algum tipo de direito de regresso contra o Encarregado, em caso de responsabilização do controlador ou do operador?
[ANPD – Waldemar Gonçalves] A Lei Geral de Proteção de Dados Pessoais trata exclusivamente sobre o papel do Encarregado e todas as suas atividades estão elencadas em seu art. 41. A Lei não prevê responsabilidade direta do encarregado. A responsabilidade, em regra, é dos agentes de tratamento, isto é, o controlador ou o operador, conforme o caso. O Encarregado poderá responder por atos ilícitos conforme as normas aplicáveis a funcionários de empresas, por exemplo.
Com relação ao direito de regresso, a LGPD também não estabelece regramento específico sobre eventual direito de regresso contra o Encarregado, nos casos de responsabilização do controlador ou operador. Assim, aplicam-se as normas usuais nestes casos, como as que regem as relações entre funcionários e empresas.
O tema está previsto para ser regulamentado na Agenda Regulatória 2023-2024. Após a publicação do regulamento será possível responder questões mais específicas sobre a atuação do encarregado de dados pessoais.
Empresa aposta nos 25 anos de atuação no setor e consolida essa experiência em uma plataforma completa de Inteligência Artificial, capaz de transformar a prevenção de perdas no varejo
O varejo perdeu, somente em 2022, aproximadamente R$ 32 bilhões em mercadorias que geraram custo e não viraram receita na frente de caixa, segundo a Abrappe (Associação Brasileira de Prevenção de Perdas). Diante deste cenário, a ICTS, empresa pioneira em soluções de riscos, compliance e segurança no Brasil, aproveita seus 25 anos de atuação em prevenção de perdas de clientes varejistas e lança a Profit Shield, uma plataforma baseada em Inteligência Artificial e integrada ao ChatGPT que analisa e ataca as perdas de estoque de forma simples e eficiente, com base em dados e semelhante ao papel de um analista.
A solução foi desenvolvida a partir de uma metodologia ancorada em análise de informações, bem como na atuação bem-sucedida da ICTS no setor, comprovada em diversos projetos no varejo nacional e internacional. Com a redução comprovada entre 20% a 40% das perdas de estoque, a plataforma chega ao mercado no momento certo para alavancar negócios que, muitas vezes, não sobrevivem às perdas.
“Sem o devido controle, as perdas de mercadorias podem ser maiores do que o lucro do varejista e, em muitos casos, quando avaliadas, determinam se há lucro ou prejuízo na operação. A Profit Shield preenche essa lacuna, ajudando a operar de forma sustentável, reduzindo desperdícios e desvios e otimizando a rentabilidade”, explica Rodrigo de Castro Schiavinato, cofundador da Profit Shield, além de ser diretor executivo de parcerias e inovação e sócio da Protiviti, uma das empresas da ICTS.
A ferramenta opera no gerenciamento de indicadores-chave para os varejistas. São eles: quebras, que incluem avarias, vencimentos e desperdícios; inventário, direcionado à identificação de estoques negativos, erros de ajustes e divergências entre estoque físico e teórico; volume de estoques versus a sua relação com as perdas; descontos, provisionando uma visão clara da perda de receita gerada pelas rebaixas de preço; e, por fim, venda e margem, cuja função é avaliar a saúde do sortimento integrando dados de venda, margem e quebra identificada, permitindo tomar decisões sobre rebalanceamento de itens ou até retirada de produtos.
Toda a informação controlada pela plataforma é apresentada a partir de relatórios objetivos, trazendo visibilidade dos resultados de perdas das empresas por meio de um dashboard organizado e focado nas principais análises. Além disso, é possível monitorar e alertar automaticamente as lojas com maiores desvios de perda.
“A análise das perdas de estoque promove muitos dados na operação do varejo. Seja no descarte dos itens avariados e vencidos ou no ajuste de inventário, elas geram informações que a Profit Shield converte em conhecimento poderoso para a prevenção de desperdícios e desvios de mercadorias”, complementa Schiavinato.
Com a inteligência promovida na redução de perdas, a Profit Shield propicia uma série de benefícios à saúde do negócio, como mais eficiência operacional, melhoria na qualidade do serviço, menos custos e aumento de rentabilidade. Isso sem contar a redução de desperdícios de produtos, que significa jogar menos produtos fora e, consequentemente, operar de forma mais sustentável, gerando menos resíduos e convertendo mais valor à sociedade.
Reduzir as ineficiências e os desperdícios promove às empresas mais capital para investir em novas iniciativas, como pontos de venda e empregos, contribuindo para a expansão do negócio. “A Profit Shield agrega toda experiência de uma consultoria especializada e consolida essa inteligência em uma plataforma completa, que é capaz de transformar a gestão de perdas de estoque do varejo”, finaliza Schiavinato.
Em dezembro de 2022 foi lançada a primeira norma do Brasil e do mundo voltada à gestão de ESG (Social, Ambiental e Governança): a PR 2030, conhecida também como Prática Recomendada 2030, e fruto de um amplo trabalho liderado pela Associação Brasileira de Normas Técnicas (ABNT) e pela Organização Internacional de Normalização (ISO).
Esta nova regra consiste em uma normativa que oferece orientações sobre os passos necessários para incorporar os aspectos ambientais, sociais e de governança nos negócios. A regulamentação possibilita, sobretudo, que qualquer organização, independente do porte ou setor, identifique o próprio estágio de maturidade para definir estratégias de desenvolvimento alinhadas aos pilares do ESG.
Além disso, a prática recomendada traduz e reforça o uso de padrões como a Global Reporting Initiative (GRI) – ou Iniciativa Global de Informação, em tradução livre –, a Sustainability Accounting Standards Board (SASB), que significa Conselho de Normas Contábeis de Sustentabilidade; a International Integrated Reporting Council (IIRC), que é o Conselho Internacional de Relato Integrado; e o Carbon Disclosure Project (CDP) ou Projeto de Divulgação de Carbono.
Estas siglas vão de encontro das diretrizes e das questões regulatórias atuais, como as Normas da Comissão de Valores Mobiliários (CVM) e os Objetivos de Desenvolvimento Sustentável (ODS) da Organização das Nações Unidas (ONU).
Na busca por apoiar a melhoria contínua dos processos e modelos de negócios, a norma propõe três ações:
1.Sete passos para incorporar o ESG: por ser uma jornada individual e única para cada organização, esses passos são sugeridos para incorporar o ESG dentro da estratégia e do modelo de gestão. São eles: Conhecer o caminho; Ter a intenção estratégica (visão, propósitos e diretrizes); Diagnosticar (levantamento de práticas ESG); Planejar o escopo de ESG; Implementar (materialidade, objetivos, metas e estratégia); Medir e Monitorar (o que foi planejado e implementado); e, por fim, Relatar e Comunicar (canal de transparência para todas as partes interessadas sobre as ações tomadas e os caminhos a serem percorridos pela empresa).
2. Modelo de avaliação e direcionamento: permite que a organização identifique o estágio de maturidade em relação aos critérios ESG, servindo como apoio para a liderança definir estratégia, objetivos e metas. A escala conta com cinco níveis: “Elementar”, ou seja, ações que ainda não podem ser consideradas práticas ESG, pois há apenas o atendimento à legislação; “Não Integrado”, que são atividades dispersas não integradas com a gestão; “Gerencial”, caracterizada por uma liderança com atuação mais consciente e processos estruturados; “Estratégico”, no qual a liderança está à frente dos processos de ESG e as práticas possuem objetivos, metas, indicadores e monitoramento; e, por fim, “Transformador”, quando a empresa já posicionou o ESG como base de seu modelo estratégico de negócio e tem a vocação para inspirar outras organizações.
3. Guia de temas e critérios baseados nos três eixos (Ambiental, Social e de Governança):aqui são descritos todos os critérios que fazem parte de cada ‘tema material’, ou seja, tudo o que gera impacto em torno da organização, sejam eles positivos ou negativos. Neste contexto, é possível encontrar uma abordagem mais profunda com descrição, exemplos de boas práticas e listagem para fontes de informações adicionais. Isso possibilita que o guia seja aproveitado por empresas de todos os portes, principalmente as pequenas e médias inseridas em uma cadeia de fornecimento de grandes organizações.
Após verificarmos estas etapas, é notório que a existência de uma norma como a PR 2030 facilitará o desenvolvimento e a padronização de ações, metas, políticas, diretrizes e conteúdo. Na busca pelo equilíbrio entre prioridades financeiras e os valores ESG, a prática recomendada possibilita que as empresas sigam em uma mesma direção, dentro de um processo mais sólido e focado.
Apesar de a PR 2030 disponibilizar um “padrão”, cada empresa deve ter cuidado e sensibilidade ao incorporá-la. Se olharmos, por exemplo, para o levantamento de riscos ESG, ainda negligenciado no mercado, cabe à cada empresa conhecer suas maiores forças e os impactos que causa, sejam positivos ou negativos, principalmente em relação ao setor em que atua e o que afeta cada um dos três pilares do ESG.
Em suma, para ajudar na balança de impactos, bem como nas formas de gerenciamento, a norma apresenta uma metodologia e possibilita que as empresas encontrem direções dentro da complexa jornada ESG. A ferramenta pode ser usada tanto por grandes empresas como por fornecedores de pequeno e médio portes, sendo que este segundo público deve ser mais beneficiado pela norma, uma vez que os fornecedores da área nem sempre têm recursos financeiros e humanos para suportar a jornada ESG. Logo, a norma traz padrões e boas práticas sobre como implementá-la com eficácia, a fim de começar a jornada por um caminho mais seguro.
*Tarsila Lopes e Beatriz Busti são consultoras de Sustentabilidade da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
O Committee of Sponsoring Organizations of the Treadway Commission (COSO) divulgou um guia interpretativo sobre como aplicar efetivamente o Internal Control—Integrated Framework (ICIF) de 2013, que atualmente possui o foco em relatórios financeiros, em relatórios de sustentabilidade e relatos integrados. O guia é resultado de um projeto aprovado pelo conselho do COSO há um ano, com o objetivo de ajudar as organizações a “criar e garantir um ambiente de controles interno eficaz, aplicando o ICIF aos relatórios de sustentabilidade, para a tomada de decisões internas e divulgação de informações para públicos externos”. Isso se aplica tanto aos relatórios voluntários quanto aos obrigatórios, o que é importante observar devido ao estado atual de evolução dos relatórios obrigatórios e ao alto percentual de empresas que já fornecem voluntariamente dados de sustentabilidade a seus stakeholders, respondendo aos interesses do mercado.
No comunicado de imprensa do COSO anunciando a orientação, a presidente do comitê, Lucia Wind, indicou que o guia global é “extremamente oportuno, dadas as regras finais sobre risco climático da SEC (Securities and Exchange Commission) e do ISSB (International Sustainability Standards Board) que estão por vir”. Wind observou ainda que fortalecer os controles internos é “bom para os negócios”, apoia a “jornada de aprendizado e crescimento” em que as organizações estão “para incorporar princípios de gestão sustentável em sua missão, propósito, governança e estratégias” e “construir confiança em informações de sustentabilidade para os negócios.”
Guia provavelmente se tornará padrão
Embora a publicação indique que é “não-mandatório” e “expressa apenas as interpretações, opiniões e perspectivas dos autores”, acreditamos que o guia provavelmente servirá como critério adequado e um padrão de facto para relatórios de sustentabilidade, assim como o ICIF é para o controle interno sobre relatórios financeiros (ICFR) para praticamente todas as empresas de capital aberto. Ele ajudará todas as organizações — públicas ou privadas, grandes ou pequenas —, de uma maneira que é familiar para as funções responsáveis pela elaboração dos relatórios financeiros, que são (ou provavelmente serão) responsáveis também pelos relatórios de sustentabilidade.
O guia inclui um prefácio escrito pelos dois presidentes do COSO que atuaram durante o desenvolvimento e lançamento do ICIF 2013. Eles apontam que a última edição do ICIF eliminou a palavra “financeiro” do objetivo do relatório. Isso justamente para expandir seu escopo para todas as formas de relatório – interno ou externo, financeiro ou não. Os relatórios corporativos evoluíram para muito além dos relatórios financeiros, incluindo questões ambientais, sociais e de governança (ESG), refletindo informações financeiras e não-financeiras por meio de foco em preservação de recursos, desempenho e criação de valor.
O guia também articula como o ICIF 2013 pode ser aplicado à atividade e divulgação de informações de sustentabilidade. Ele fornece exemplos específicos de princípios de controle interno relacionados à sustentabilidade e relatórios ESG, operações e conformidade. Os autores reconhecem a urgência da aplicação de controles internos sobre relatórios de sustentabilidade (ICSR) nos Estados Unidos e em outros países como um conceito comparável ao ICFR, conforme definido pela SEC.
O projeto consistiu em pesquisas com terceiros e inúmeras entrevistas com executivos e consultores. Ele atualiza o estudo de 2017 publicado pelo Institute of Management Accountants, “Leveraging the COSO Internal Control— Integrated Framework to Improve Confidence in Sustainability Performance Data”, que defendeu uma maior integração entre as equipes de sustentabilidade e financeira para melhorar a divulgação das informações sobre sustentabilidade, tanto internamente quanto externamente, aprimorando a qualidade de dados para gerenciar questões de sustentabilidade nos negócios e fornecer informações ESG úteis para decisões aos investidores. Como muitas empresas ainda não iniciaram essa jornada de integração, foi necessária uma atualização do estudo de 2017.
Crescimento nos relatórios ESG
Os autores do guia e o Conselho do COSO concordaram que o crescimento real e projetado dos relatórios ESG – e, mais importante, a confiança depositada nesses relatórios pelas principais partes interessadas – justificou a emissão de orientações específicas adicionais. Mais de 96% do S&P 500, mais de 80% das empresas do índice Russell 1000 e mais de 90% das maiores empresas em mais de 20 países atualmente emitem relatórios públicos voluntários sobre sustentabilidade e/ou fatores ESG. Na maioria dos casos, eles relatam simultaneamente através de vários padrões e frameworks. O objetivo do COSO ao emitir orientações é auxiliar as organizações a desenhar, testar e avaliar o ICSR e melhorar a sustentabilidade e a conformidade agora que as reformas regulatórias estão surgindo e são iminentes.
Com a atualização, a equipe de autores de veteranos do COSO e o conselho do COSO estão fornecendo às organizações a clareza necessária e conselhos robustos que devem agregar valor ao mercado, de maneira consistente com a missão do COSO de desenvolver diretrizes para empresas avaliarem controles internos, gerenciamento de riscos e combate às fraudes.
Fontes de valor são, principalmente, intangíveis
O guia aponta que as fontes de valor da empresa mudaram significativamente nas últimas décadas, a ponto de atualmente 90% ou mais do valor de mercado de uma empresa ser atribuído a fatores não refletidos nas demonstrações financeiras tradicionais. Uma parte significativa do valor de uma empresa hoje pode ser atribuída a fatores ESG, como qualidade da força de trabalho, diversidade, cultura e retenção de talentos, acesso e uso responsável de recursos naturais, relacionamentos na cadeia de suprimentos, governança eficaz etc.
O guia explica como cada um dos 17 princípios do ICIF se aplica especificamente aos relatórios de sustentabilidade e ESG, fornecendo exemplos de casos reais e ilustrativos, juntamente com “insights” dos autores. Os Pontos de Foco explicativos e de apoio também estão incluídos para cada princípio e foram reformulados para mostrar sua aplicação aos relatórios de sustentabilidade.
O documento reitera o conceito de avaliação do ICIF de que uma organização alcançou um sistema eficaz de controles internos quando todos os 17 princípios estão presentes e funcionando. Ao final do guia, três casos são fornecidos para ilustrar esse conceito: uma organização de capital aberto sujeita a regulamentação na divulgação de seus relatórios, um fornecedor de capital fechado iniciando sua jornada de negócios sustentáveis, e uma organização de capital aberto continuando sua evolução em direção à asseguração razoável.
Principais tópicosdo guia COSO
Para encerrar o documento de mais de 100 páginas, os autores fornecem uma lista de 10 pontos principais do relatório. Os mais relevantes para ICSR incluem:
Concentre-se no objetivo final do ICSR, que é alcançado quando todos os 17 princípios estão presentes e funcionando. A personalização e adaptação podem variar para cada organização com base na maturidade, indústria, recursos e requisitos.
Comece a usar o COSO ICIF-2013 agora. Não há necessidade de esperar por novas regulações.
A maioria, se não todos, dos 17 princípios se aplicam à sustentabilidade de uma forma comparável à contabilidade e relatórios financeiros tradicionais. Pode ser possível aproveitar atividades de controle e documentações de demonstrações financeiras.
A avaliação de riscos e a determinação da materialidade são atividades essenciais para aprimorar o foco no que importa.
Certifique-se de abordar os controles gerais de TI, que são uma consideração crítica no desenho e avaliação de qualquer sistema de controle interno incluindo informações de sustentabilidade e relatórios ESG.
Não se esqueça dos objetivos operacionais e de conformidade, dos riscos relacionados e das atividades necessárias para obter um controle interno eficaz nessas áreas.
O ICIF-2013 foi projetado para ser usado essencialmente em qualquer área, função, local ou atividade, por exemplo, folha de pagamento, segurança e terceirização. Use-o para mais do que apenas relatórios financeiros e sustentabilidade.
Obtenha garantia interna e confiança nos relatórios de sustentabilidade antes de progredir para a verificação externa. Aproveite sua função de auditoria interna para fornecer avaliação objetiva e outros conselhos.
Torne os relatórios ESG, internos e externos, uma atividade automatizada, eficiente e contínua – não um exercício “anual e manual”.
Guia suplementar COSO: comentário Protiviti
Este guia é valioso para todas as organizações, pois todas podem se beneficiar de um ICSR eficaz. Tanto organizações que já possuem maturidade na produção de relatórios ESG , quanto as que estão começando sua jornada de sustentabilidade, considerarão o guia útil. Mais importante, à medida que o mercado caminha para realizar avaliações de terceiros, as empresas públicas e outras organizações enxergarão o guia como um instrumento na preparação para o processo de validação e na comunicação com os auditores externos.
O uso de tecnologia e a aquisição de aplicativos de software específicos para relatórios ESG ou a modificação de sistemas de TI existentes também podem ser benéficos para as organizações, pois buscam automatizar processos e controles, bem como a transição de uma atividade “anual e manual” para uma que é automatizada, contínua, segura e confiável.
No momento da emissão deste Flash Report, não há nenhuma exigência ou proposta estipulando que o processo usado para avaliar a eficácia do ICFR (por exemplo, para fins de conformidade com a Seção 404 da Lei Sarbanes-Oxley de 2002 nos EUA) seja aplicada à avaliação do ICSR. Dito isso, certos elementos desse processo podem ser aplicados aos relatórios ESG, como:
Definir o escopo para questões materiais, itens significativos;
Determinar os objetivos do relatório de sustentabilidade/ESG;
Identificar processos de suporte e métricas, bem como seus controles relacionados para garantir confiabilidade, integridade e consistência;
Avaliar e remediar o desenho dos controles;
Testar a eficácia operacional, remediar e retestar conforme necessário;
Concluindo sobre a eficácia geral do ICSR;
Relatar publicamente sobre a eficácia do ICSR, voluntariamente ou sob exigência, ou relatar em particular para partes interessadas internas ou externas que precisam de dados ESG;
Monitorar e avaliar os efeitos de mudanças no ICSR.
Além disso, conforme observado anteriormente, o ICIF 2013 pode ser usado como critério adequado para ICSR, consistente com a abordagem de avaliação do ICFR, incluindo a ênfase de que todos os 17 princípios estão presentes e funcionando de forma efetiva.
Concordamos com a orientação de que não há motivo para esperar — e há muitos motivos para começar. As organizações devem usar o guia agora para desenhar e operacionalizar atividades de controle eficazes e se preparar para avaliações por terceiros das divulgações de sustentabilidade e relatórios ESG. Os patrocinadores executivos devem garantir que haja colaboração efetiva em toda a organização entre funções relevantes em operações, conformidade, gestão de riscos, auditoria interna, jurídico, tecnologia e sustentabilidade, entre outros, com relação à execução de atividades de controle apropriadas.
A gerência executiva e o conselho devem ser informados sobre a situação das atividades relacionadas aos ICSR bem como os resultados de avaliações periódicas. Os diretores e a alta administração devem garantir que exista o tom correto de cima para baixo sobre a importância das atividades de sustentabilidade, relatórios ESG e os controles internos relacionados.
Em resumo, a presidente do COSO observou que a maioria das empresas está agora em “diversos estágios de implementação de controles e processos de governança sobre a coleta, revisão e relatório de informações de sustentabilidade, incluindo a criação de equipes multifuncionais. De muitas maneiras, relatórios de sustentabilidade dos negócios ainda estão sujeitos a evolução e inovação.” Esses comentários reforçam porque todas as organizações, independentemente do tamanho, setor, propriedade e geografia, podem se beneficiar desse guia patrocinado pelo COSO à medida que desenvolvem, amadurecem e continuam a evoluir e expandir suas operações de sustentabilidade, monitoramentos e atividades de conformidade.
Acaba de ser divulgada a edição 2023 do ranking Leaders League, que reúne as melhores empresas de consultoria, escritórios de advocacia e empresas do setor. A organização é uma editora fundada em Paris, em 1996, focada em produzir relatórios e pesquisas voltadas para executivos e C-levels ao redor do mundo.
Em 2023, a Protiviti Brasil foi reconhecida entre as Melhores Consultorias de Compliance, estreando na categoria Líder – a mais alta do ranking.
via Leaders League
Além disso, a empresa também foi premiada como Excelente entre os Melhores Especialistas em Forensics e Complex Investigations, subindo de categoria em relação ao último ano e como Altamente Recomendada entre as Melhores Consultorias de Gestão de Riscos, citada pela primeira vez.
A Protiviti também conta com a premiação como Excelente entre os Melhores Assessores em LGPD, pelo segundo ano consecutivo.
Os rankings produzidos pela editora são reconhecidos ao redor do mundo e reconhecidos por sua metodologia de pesquisa imparcial, compreensiva e transparente. Confira as premiações no site.
Sobre a Leaders League
A Leaders League é uma empresa de serviços empresariais sediada em Paris e uma agência de classificação com presença global. Além disso, a organização organiza eventos para executivos, rankings abrangentes e análises detalhadas projetadas para unir os mercados globais. Fundada em 1996, em Paris, a Leaders League é uma agência de classificação internacional e serviços empresariais com foco nas seguintes indústrias:
• Jurídica • Private Equity e Serviços Financeiros • Capital Humano • Inovação e Marketing • Gestão de Patrimônio e Gestão de Ativos A empresa organiza mais de 20 eventos de alto nível em capitais globais como Paris, Nova York e São Paulo, além de produzir classificações internacionais e conteúdo de notícias para as indústrias jurídica, financeira, tecnológica e de RH.
A Leaders League é composta por 150 profissionais distribuídos em vários locais ao redor do mundo, incluindo a sede em Paris e escritórios em Londres, Madri, Lima, Milão, Rio de Janeiro e São Paulo.
Este ano, a pesquisa Top Risks contou com a participação de 1.300 profissionais de gestão executiva, identificando suas percepções sobre o impacto desses riscos em suas organizações em 2023. Além desses insights sobre riscos de curto prazo em 2023, os entrevistados também deram suas opiniões sobre o impacto desses riscos daqui uma década, em 2032.
Conheça quais riscos corporativos se destacam para executivos e C-Levels do Brasil e do mundo.
No cenário corporativo contemporâneo, empresas e organizações de todos os segmentos precisam navegar águas turbulentas e em constante movimento. Nesse contexto, quais os principais desafios e riscos observados pelos executivos? Para ajudar a identificar essas ameaças e permitir que as organizações se preparem para o futuro, a Protiviti e a ERM Iniciative realizaram a pesquisa Top Risks 2023, que identifica os principais riscos ao negócio na percepção de executivos e C-levels ao redor do mundo.
Este ano, a pesquisa Top Risks contou com a participação de 1.300 profissionais de gestão executiva. Isso permitiu identificar suas percepções sobre o impacto desses riscos em suas organizações em 2023. Além desses insights sobre riscos de curto prazo em 2023, os entrevistados também deram suas opiniões sobre o impacto desses riscos daqui uma década, em 2032.
Um mundo complexo, dinâmico e cheio de incertezas. Esse é o cenário corporativo contemporâneo, com o qual empresas e organizações de todos os segmentos precisam lidar diariamente, navegando em águas turbulentas e em constante movimento. Nesse contexto, quais são os principais desafios e riscos observados pelos executivos? Quais preocupações de destacam? A Pesquisa Top Risks 2023 responde algumas dessas questões.
Para ajudar a identificar essas ameaças e permitir que as organizações se preparem melhor para o futuro, a Protiviti e a ERM Iniciative (NC State University) realizaram o Top Risks 2023, 11ª edição da pesquisa anual que identifica os principais riscos ao negócio, na percepção de executivos e C-levels ao redor do mundo. Este ano, a pesquisa contou com a participação de 1.300 profissionais de gestão executiva, identificando quais as percepções sobre o impacto desses riscos em suas organizações em 2023. Além desses insights sobre riscos de curto prazo em 2023, os entrevistados também deram suas opiniões sobre o impacto desses riscos daqui uma década, em 2032.
Com a transformação acelerada dos negócios e os constantes desafios de um mundo cada vez mais dinâmico, a Gestão de Riscos contribui para a tomada de decisão e antecipa eventos desfavoráveis, direcionando de modo decisivo o desenvolvimento sustentável do negócio.
Impulsione a sua performance e conhecimento em Gestão de Riscos, com grandes especialistas do mercado, aprendendo os fundamentos e aplicações práticas sobre o tema.
No centro do debate político das eleições 2022, a corrupção e suas consequências.
por Mário Spinelli*
O Brasil viverá em 2022 uma das eleições presidenciais mais conturbadas de sua história. No centro do debate político, embora em menor intensidade em relação a 2018, estará a corrupção e suas consequências. E não poderia ser diferente. Há evidências científicas consistentes de que a corrupção, entre outros efeitos devastadores, piora a qualidade dos serviços públicos, amplia a vulnerabilidade social e inibe o desenvolvimento econômico. Mas, talvez, o mais grave de seus danos seja justamente ampliar a desconfiança da sociedade nas instituições democráticas e nos agentes do Estado.
Esse cenário tem reflexos na própria atuação dos órgãos de controle da administração pública. Muitas vezes, acaba por se criar uma espécie de assimetria de forças entre controladores e gestores, em que os primeiros fundamentam sua atuação nessa desconfiança – resultante da alta percepção à corrupção – enquanto aos últimos resta tentar provar, quando for o caso, sua boa-fé no exercício da função pública.
Não se pode obviamente menosprezar os efeitos da corrupção. Muito pelo contrário. Em uma nação com níveis alarmantes de desigualdade como o Brasil, ela ainda é mais cruel, impossibilitando aos mais pobres terem acesso a serviços públicos de qualidade.
Justamente por isso também é necessário fortalecer as regras do jogo político e as instituições de controle, antes e depois das eleições, aprimorando sua atuação e diminuindo as oportunidades para que gestores mal-intencionados possam se beneficiar indevidamente do dinheiro público.
Também é preciso fortalecer a transparência e garantir o acesso a informações públicas, de modo a permitir que a sociedade se consolide como um ator relevante, monitorando a atuação dos gestores e a forma pela qual o recurso proveniente dos impostos é utilizado.
Sendo assim, o controle adequado é essencial à boa gestão, porém, seja ele interno ou externo, quando aplicado de forma exagerada e desproporcional sobre o gestor público de boa-fé, traz como resultado direto, no mínimo, três fatores prejudiciais à eficiência administrativa.
Em primeiro lugar, tem crescido nos órgãos públicos o fenômeno conhecido como o “apagão das canetas”. Ninguém quer decidir ou inovar com medo de ter sua decisão contestada no futuro e vir a sofrer as consequências disso.
Outro ponto importante é o afastamento de bons quadros e de gente honesta dos cargos de chefia e de confiança devido ao medo de eventuais responsabilizações por atos praticados, abrindo espaço para oportunistas de plantão – esses sim destemidos, justamente pelo fato de não terem nada a perder.
Por fim, a terceira e não menos danosa consequência é uma tendência de gestores passarem a decidir não conforme o que consideram a melhor para atender ao interesse público, mas sim pelo que acham que o controle julgará ser o mais adequado. É o gestor decidindo não em acordo com a boa técnica ou com informações qualificadas, mas sim com a cabeça do controlador.
De certo modo, as alterações ocorridas na Lei de Introdução às Normas do Direito Brasileiro e, mais recentemente, na Lei de Improbidade Administrativa, assim como os mecanismos administrativos, como é o caso dos termos de ajustamento de gestão, refletiram o desconforto existente, na medida em que estabeleceram, por exemplo, do dolo e do erro grosseiro como elementos subjetivos necessários à responsabilização pessoal do agente público.
Ou seja, parece bem claro que essa preocupação, além do Poder Legislativo, também chegou a muitos dos órgãos de controle, o que pode ser, sim, um bom sinal. Mas ainda é pouco. É preciso restabelecer o protagonismo que cabe à gestão pública e delimitar o papel do controle. Cada um dentro do papel institucional que lhe cabe.
Além disso, é necessário aprimorar a própria ação do controle para enfocar a prevenção e torná-la cada vez mais capaz de “separar o joio do trigo”. Ou seja, buscar dar ao controle a capacidade de detectar e punir severamente os que desviam recursos públicos para que a impunidade se torne um incentivo a tais práticas, e tratar com a devida cautela gestores que eventualmente cometem erros não intencionais e inerentes ao processo decisório, para os quais, muitas vezes, uma simples orientação ou recomendação pode ser o melhor caminho.
Em outras palavras, jogar em um mesmo balaio corruptos e gestores públicos de boa-fé que eventualmente cometem falhas não dolosas só serve para atender ao interesse dos primeiros, tão acostumados a se beneficiar impunemente da corrupção.
Não se quer aqui defender que gestores que falham não sejam punidos. Em certos casos, mesmo os erros não intencionais, diante de sua gravidade, demandam sim a devida atividade disciplinar. O que se precisa evitar são eventuais punições desproporcionais a erros que muitas vezes são inerentes ao processo decisório, àqueles que não produzem grandes prejuízos e que dos quais não decorre qualquer benefício pessoal aos envolvidos ou lesão grave ao interesse público.
O necessário fortalecimento do controle e, por conseguinte, dos mecanismos de combate à corrupção precisam ser ajustados, calibrados e repensados para que não se transformem em um obstáculo a uma gestão pública eficiente, transparente, inovadora e atenta às demandas sociais. Ou seja, a melhoria do setor público brasileiro e o próprio combate efetivo à corrupção passam obrigatoriamente pelo fortalecimento da gestão e uma ressignificação de sua relação com o controle público. E esse tema precisa fazer parte do debate político, antes e depois das eleições.
*Mário Spinelli é professor da Escola de Administração de Empresa de São Paulo da FGV, doutor em Administração Pública e Governo e atual diretor executivo de Compliance Regulatório na ICTS Protiviti, empresa especializada em soluções para compliance, investigação, gestão de riscos, proteção e privacidade de dados. Foi ouvidor-geral da Petrobras, controlador-geral do Município de São Paulo e controlador-geral de Minas Gerais.
