Tag Protiviti

Compliance ainda é utopia no Brasil, aponta pesquisa da Protiviti

A implantação de um programa efetivo de compliance deixou de ser prática exclusiva das grandes corporações e tem ganhado destaque também entre as companhias de pequeno e médio porte. É o que mostra a Pesquisa Nível de Maturidade em Compliance 2018, organizada pela consultoria global da Protiviti. Em sua quarta edição, o estudo reúne informações coletadas entre abril de 2017 e abril de 2018, por meio do Portal de Compliance da Protiviti (www.portaldecompliance.com.br), e conta com 446 organizações, de diferentes portes, setores e regiões, o que revela o interesse geral de adequação.

De acordo com as análises, as organizações, embora conheçam as ferramentas para a implantação de um Programa de Compliance, ainda falham no mapeamento de riscos a que estão expostas. Isso significa que, muitas vezes, os esforços e recursos de alocados não necessariamente mitigam os principais riscos de compliance da empresa. “Ou seja, é como se tivéssemos comprado bons remédios, mas sem saber exatamente qual o problema de saúde. Nota-se que houve uma melhora na visão de compliance, mas a visão de risco ainda é baixa”, explica Heloisa Macari, sócia-diretora da Protiviti.

O estudo mostra que 53% das organizações participantes apresentam nível de compliance médio alto e alto, uma vez que possuem o patrocínio da alta direção da empresa, investindo em elementos fundamentais, como Código de Ética, Canal de Denúncias, Planos de Treinamento e Comunicação, Função Compliance, Auditorias, Monitoramentos e Due Dilligence de Terceiros.

“51% das empresas reconhecem, por exemplo, a necessidade de se fazer a diligência de seus fornecedores e terceiros, pois é possível conhecer o histórico das companhias antes mesmo da negociação. Há a consciência de que se o contratado cometer ilícito, a organização também poderá ser responsabilizada”, ressalta Macari.

Por outro lado, existem elementos que necessitam de mais atenção por parte das empresas e, por falta de conhecimento ou atenção, estão sendo negligenciados ou implantados de maneira equivocada, como a Política Anticorrupção, Indicadores de Gestão, Red Flags para situações não usuais, Assessment de Riscos e desenvolvimento de Planos de Ação para Melhorias. Vale salientar que 46% das empresas nunca realizou o mapeamento dos riscos a que estão expostas, base para a efetividade e eficiência de um Programa de Compliance.

Ainda segundo a pesquisa, as organizações brasileiras têm implementando ferramentas que permitem a criação, a comunicação e o controle de normas e boas práticas em todas as camadas da empresa. Mas ainda há desconhecimento da metodologia, falta de expertise ou limitação orçamentária para o mapeamento dos riscos, vulnerabilidades e consequentes desenvolvimentos de Planos de Ação focados. “Saber onde estão os riscos e fazer a gestão constante deles, por meio de novas medidas, controles e treinamentos, é fator chave para a elevar o Nível de Maturidade em Compliance nas organizações brasileiras”.

Perfil dos pesquisados:

. Região: Os estados mais predominantes na pesquisa foram: São Paulo (27%), Rio de Janeiro (18%), Distrito Federal (18%) e Minas Gerais (7%);

. Faturamento: 30% das empresas participantes são micro, 10% pequena, 13% média, 12% média grande, 26% grande e 9% não informaram os dados;

. Colaboradores: 35% tem até 19 colaboradores, 17% entre 20 e 99, 18% entre 100 e 499, 29% acima de 500 e 1% não informado;

. Setor: 15% holdings, 6% indústrias, 6% Setor de Saúde, 6% Agropecuária, 12% serviços diversos, 55% Outros.

Principais dados:

– 65% das empresas participantes mantém relacionamento com entidades públicas;

– 71% afirmam ter um Código de Ética e Conduta formalizado. O número aumentou 9%, entre 2017 e 2018;

– 58% acreditam que o Código de Ética é divulgado periodicamente aos colaboradores;

– 62% afirmam que a empresa disponibiliza um Canal de Denúncias para o público interno e 56% para fornecedores e terceiros;

– 67% recebem ao menos 1 treinamento da empresa por ano sobre Ética no Ambiente Corporativo, Código de Conduta Ética, Lei e Política Anticorrupção e afins. E apenas 23% recebem 3 ou mais treinamentos por ano;

– 40% das empresas possuem uma área responsável pelo Programa de Compliance.

Portal de Compliance Protiviti (www.portaldecompliance.com.br)

O Portal de Compliance é um canal interativo que esclarece aspectos da Lei 12.846/2013, em vigor desde 29 de janeiro de 2014, também conhecida como Lei Anticorrupção ou Lei da Empresa Limpa. O portal disponibiliza gratuitamente a Avaliação do Nível de Maturidade em Compliance. Qualquer empresa pode acessá-lo e responder ao questionário para receber um relatório com análise dos pontos críticos e dicas para resolvê-los.

Tags, ,

É possível diminuir os riscos de fraude das urnas eletrônicas?

Por Matheus Jacyntho

Estamos em ano de eleições para a presidência da república, período em que percebemos com mais ênfase o cenário de acirramento político que vem desde o pleito de 2014. Após a última eleição, quando a diferença entre os candidatos foi relativamente pequena, alguns setores da sociedade questionaram a legitimidade e a segurança das urnas eletrônicas utilizadas no processo eleitoral.

O Tribunal Superior Eleitoral (TSE) realiza, desde 2009, Testes Públicos de Segurança do Sistema Eletrônico de Votação (Urnas Eletrônicas), porém em um ambiente muito controlado, de difícil utilização de ferramentas e com prazo limitado para conclusão. Ainda assim, os participantes dos testes conseguiram identificar vulnerabilidades que possibilitariam a um atacante fraudar uma eleição[1].

Para reduzir os riscos de fraude, o TSE recomendou a inserção de um processo de auditoria do Sistema Eletrônico por meio da impressão do voto. Assim, o eleitor conseguiria verificar se o voto impresso corresponde ao realizado na urna e a impressão cairia automaticamente em um compartimento lacrado sem intervenção humana. Caso alguma suspeita de fraude fosse levantada, seria possível recontar os votos impressos e conferir com o boletim da Urna enviado ao TSE.

A discussão sobre a adoção do voto impresso chegou até o Supremo Tribunal Federal (STF), que decidiu que a versão impressa viola a garantia constitucional do segredo do voto, já que seria possível identificar o eleitor. Por fim, o Tribunal afirmou que estudos constataram o custo relativamente mais alto do voto impresso por eleitor.[2]

Sendo assim, em curto prazo, para as eleições de 2018, não será possível implementar a auditoria do voto eletrônico a partir de sua impressão. Talvez nem mesmo em cenário de médio prazo será possível. É importante ressaltar que este controle é considerado reativo, ou seja, caso seja comprovada uma fraude pela auditoria do voto impresso, teremos impactos, por exemplo, na política e economia, visto que seria necessária uma nova eleição.

Quando comparamos esse processo a outros setores, podemos analisar os testes realizados pelos bancos em suas aplicações de Internet Banking. Estes sistemas são testados praticamente de forma ininterrupta, provendo um alto nível de segurança da informação. Caso alguma vulnerabilidade seja implementada involuntariamente em ambiente de produção, é bem provável que os testes internos identifiquem a falha antes que um atacante externo consiga explorá-la.

Partindo da premissa que não existem sistemas 100% seguros e que a auditoria pelo voto impresso não está autorizada, é razoável considerar uma mudança no foco da segurança do voto eletrônico para a realização de mais testes periódicos do Sistema Eletrônico de Votação e da flexibilização do modo como os atuais testes são permitidos.

Os pesquisadores ou empresas contratadas poderiam ter acesso às Urnas Eletrônicas por mais tempo e condições para elaborar testes mais precisos e direcionados para o ambiente do Sistema Eletrônico de Votação. Desta maneira, seria possível identificar proativamente as vulnerabilidades, bem como o TSE providenciar as correções necessárias e os pesquisadores testarem novamente para comprovar que a remediação foi efetiva.

Portanto, na contramão do atual cenário que preconiza a adoção do voto impresso, a realização de mais testes periódicos e de maior duração, poderia diminuir significativamente o risco de fraudes no Sistema Eletrônico de Votação.

Matheus Jacyntho, gerente da área de cybersecurity da Protiviti, consultoria global especializada em finanças, tecnologia, operações, governança, risco e auditoria interna.

[1] http://www.researchgate.net/publication/323470546?channel=doi&linkId=5a9761de0f7e9ba42974d0c9&showFulltext=true

2 Portal do STF – http://www2.stf.jus.br/portalStfInternacional/cms/destaquesNewsletter.php?sigla=newsletterPortalInternacionalJurisprudencia&idConteudo=291605

Tags, , , , , , ,

Lei Anticorrupção aqueceu o mercado de compliance

Acaba de completar cinco anos (29 de agosto) que a Lei Anticorrupção entrou em vigor, tendo como objetivo punir as empresas que pratiquem atos de corrupção contra a administração pública. Durante esse período, as corporações tiveram que ser mais rígidas e ter maior controle sobre contratos públicos, movimentando o mercado de trabalho da área de compliance, cujos profissionais são responsáveis por prestar suporte no planejamento dos projetos estratégicos de uma organização e implantar as normas e procedimentos que envolvam a gestão de riscos.

De acordo com especialistas da Robert Half, primeira e maior empresa de recrutamento especializado no mundo que atua no Brasil há 11 anos, desde que a Lei Anticorrupção entrou em vigor, em 2013, foi nítido o aumento da demanda de contratação na área de compliance. Nos últimos três anos, a valorização salarial desses profissionais ficou entre 20% e 25%, em relação aos anos anteriores.

Os profissionais mais requisitados são os que têm experiência nas áreas Jurídica – com especialidade em Direito Civil, Empresarial, Societário e Governança Corporativa – e Financeira – com foco em controles internos e auditoria interna e de riscos. Os cargos mais buscados são os de Analista de compliance, CCO (Chief Compliance Officer), Coordenadores e Especialistas de compliance.

Em geral, esses profissionais vêm do mercado financeiro, da indústria farmacêutica e de multinacionais. Novos profissionais também estão sendo desenvolvidos para atuar na função, normalmente vindos de consultorias, auditorias, escritórios jurídicos e áreas de controles internos.

“São buscados profissionais com habilidade de atuação pautadas em processos e políticas internas e que sejam discretos, pois lidam com muitos temas confidenciais e informações sigilosas. Profissionais metódicos, organizados e com alto nível de comunicação também são muito valorizados, pois lidam com muitos processos e temas multidisciplinares que transitam em todos os níveis de uma organização, da alta gestão ao corpo administrativo e operacional”, explica Leonardo Berto, gerente de negócios da Robert Half.

O profissional de compliance é de extrema importância para as empresas e sua demanda é crescente desde o aprofundamento das grandes investigações anticorrupção no Brasil, que serviu como base para uma mudança estrutural principalmente em empresas de capital aberto, subsidiarias de grupos multinacionais e organizações com investimentos no mercado internacional. “São profissionais que têm como objetivo garantir transparência e ética nos processos de uma companhia, desde a gestão do dia a dia, relacionamento com colaboradores, processos internos e relações comerciais”, finaliza Berto.

Na consultoria global Protiviti, especializada em gestão de riscos, ética, auditoria interna e compliance, a demanda por serviços relacionados às práticas de compliance quadruplicou após a implementação da Lei Anticorrupção, que veio acompanhada de uma crise político-econômica enfrentada pelo Brasil nos últimos anos.

“A Lei Anticorrupção, a eclosão e os desdobramentos de operações como a Lava Jato mostraram às companhias que, para se destacar e sobreviver, é preciso dar mais atenção aos riscos e buscar por adequação. A conscientização se dá também porque a medida é severa e afeta o caixa da empresa caso não esteja em dia com as conformidades éticas”, explica Heloisa Macari, sócia-diretora da área de compliance da Protiviti.

Heloisa acredita que com o passar dos anos a falsa impressão de que investir em compliance é um desperdício de dinheiro foi perdendo força nas organizações. O entendimento das empresas agora é buscar maturidade em seus programas de conformidade, o que resulta no impulsionamento da procura por medidas éticas mais bem estruturadas.

“Embora as empresas conheçam as ferramentas para a implantação de um programa efetivo de compliance, elas ainda falham no mapeamento de riscos a que estão expostas. Nota-se que houve uma melhora na visão de compliance, mas esta visão prática de risco ainda é baixa”, alerta a especialista.

Tags, , , , ,

Protiviti promove hackathon em busca de soluções de automatização para as empresas

Com o objetivo de encontrar soluções inovadoras para melhorar a gestão nas empresas, a consultoria Protiviti anuncia a primeira edição do Hackathon RPA (Robotic Process Automation), que acontece neste sábado, dia 04, em São Paulo. A iniciativa, em parceria com a Superclient, desafiará os participantes a automatizar atividades manuais e repetitivas ligadas a processos internos e ofertas para clientes.

O desafio está em sua segunda fase e terá seis horas de duração. Na primeira etapa, que aconteceu em junho, as equipes montaram suas propostas de automatização de processos e apresentaram para comitê de especialistas da Protiviti e da Superclient, que escolheram as melhores ideias com base no ganho de eficiência, redução de custo e facilidade de implantação. Neste sábado, as equipes colocarão suas estratégias em prática ao criar robôs que promovam automação em atividades internas que são comuns para diversas empresas.

Os robôs desenvolvidos serão avaliados por critérios como criatividade, proposta inicial versus entrega e impacto no negócio, seja no viés de oportunidade de novas receitas ou redução custos.

“A ideia da Protiviti com o Hackathon RPA, além dos ganhos de eficiência internos, é promover o mercado de inovação com um time preparado para suportar as empresas no processo de transformação digital”, explica Thiago Guimarães, gerente da área de Business Performance Improvement (BPI) da Protiviti, consultoria especializada em gestão de negócios, tecnologia, riscos e auditoria interna.

Tags, , , , , ,

Uso do Data Analytics é prioridade para auditores em 2018, aponta pesquisa da Protiviti

Um levantamento da consultoria global Protiviti realizado com auditores do mundo todo aponta, que iniciativas de Transformação Digital farão cada vez mais parte do dia a dia das atividades de auditoria interna das empresas neste ano. De acordo com a pesquisa, 60% dos profissionais entrevistados planejam realizar auditorias de controle interno usando data analysis gerados de sistemas tecnológicos como robótica, digitalização e Machine Learning.

O relatório aponta que as empresas europeias e asiáticas são as organizações que mais se apoiam nos recursos proporcionados pela Transformação Digital como forma de obterem uma visão mais analítica de seus processos internos. Atualmente, 76% das companhias de cada de um destes continentes já utilizam dados de análise como parte do processo de auditoria.

Em relação aos europeus, os auditores asiáticos ainda são os que mais acreditam na qualidade dos dados extraídos por meio da tecnologia, já que 59% destes profissionais dizem que interagem estrategicamente com as capacidades do analytics contra 58% da ala europeia. O levantamento também traz os temas que apresentam maiores riscos para a área de auditoria das empresas neste ano. Fraudes, ameaças de segurança cibernética, risco de terceiros e cultura corporativa lideram a lista de preocupações.

Segundo Alessandro Gratão, sócio das práticas de Auditoria Interna, Forensic e Financial Advisory da Protiviti Brasil, a auditoria interna agrega valor de fato, porém ainda há muito o que se fazer. ” É preciso atuar com uma função mais estratégica estruturando a terceira linha de defesa para combater ofensores da imagem, patrimônio, rentabilidade e perenidade das empresas, que são responsabilidades inerentes as quais a auditoria precisa buscar apoio nas soluções e inovações tecnológicas disponíveis atualmente”, explica Gratão,

O executivo ainda diz que o uso de analytics na auditoria está em estágio inicial no Brasil porque é necessário superar algumas barreiras como limitação orçamentária para aquisição e manutenção de ferramentas de data analysis, baixa maturidade de processos e, consequentemente, problemas de qualidade na origem de dados. “Além disso precisamos investir mais na capacitação de profissionais com aptidão para performar análises avançadas de dados que viabilizem informações consistentes para tomada de decisão”, finaliza.

Tags, , , , , ,

Lava Jato torna o brasileiro mais ético, aponta estudo da Protiviti

A implementação da Lei Anticorrupção e a eclosão da Lava Jato reforçaram a preocupação das empresas com as questões éticas. Mas, na prática, como reage o profissional brasileiro diante da corrupção, fraude, desvios e má-conduta? As respostas estão na pesquisa bienal “Perfil Ético dos Profissionais Brasileiros”, realizada pela consultoria global Protiviti com 6.277 profissionais de distintos níveis hierárquicos em 146 diferentes companhias.

O estudo indica como os funcionários se posicionam quando estão expostos a dilemas éticos existentes no seu dia a dia laboral. De acordo com o levantamento, 47% dos trabalhadores denunciam atos irregulares no ambiente organizacional, enquanto 53% apresentam resistências por medo das possíveis consequências. Na pesquisa anterior, ocorrida em 2015, os números apresentados eram de 40% e 60% respectivamente. Esse crescimento de 17,5% de pessoas que denunciam atos ilícitos mostra que as pessoas começam a enxergar que a conveniência a atos antiéticos tem causas externas.

“Embora as empresas estejam cada vez menos tolerantes a atos antiéticos e o profissional sinta que pode ser prejudicado por saber da ocorrência de ilicitudes e se omitir, o medo de exposição e retaliação por denunciar ainda está presente, mas a divulgação constante da Lava Jato promove a conscientização sobre a queda da impunidade em relação a atitudes não éticas”, explica Antonio Carlos Hencsey, líder da prática de Ética & Compliance na Protiviti, consultoria global especializada em finanças, tecnologia, operações, governança, risco e auditoria interna.

O estudo também observa que 15% dos profissionais avaliados têm baixa flexibilidade moral, ou seja, apresentam valores morais internalizados e sólidos. Já 35% tem uma flexibilidade moral média baixa, ou seja, seus valores morais ainda são sólidos e estão ancorados num contexto afetivo-social maior, como família e amigos, e 36% apresentam média flexibilidade, o que indica que possuem tendência a agir de forma correta, porém, em situações de pressão e não identificação de uma saída correta podem flexibilizar sua conduta.

“Esses percentuais mostram que, caso a empresa estimule e dê condições para que ações éticas sejam tomadas, como um canal de denúncia anônimo, que contempla processos investigativos e tratamentos adequados, políticas claras e reflexões sobre ética frequentes, 86% da população interna tenderiam a agir de acordo com o que é correto. Neste cenário, apenas 14% da população apresentaria um perfil somado de média alta e alta flexibilidades apresentando maior probabilidade de riscos. Porém, em empresas que não oferecem condições para que as pessoas se posicionem em relação a atitudes ilícitas, os 36% com média flexibilidade tenderiam a compactuar com atitudes ilícitas mesmo que não concordando com elas, elevando para 50% o potencial de risco vindo dos colaboradores”, explica Hencsey.

Outros índices positivos trazidos na pesquisa são que 63% dos respondentes não repassam dados sigilosos por medo de serem prejudicados no mercado de trabalho ou pegos atuando de forma irregular. Esse mesmo percentual (63%) dos entrevistados também não furtariam ou fariam mau uso dos bens materiais da empresa com receio de forte condenação social. No quesito pagamentos e recebimentos ilícitos, 57% dos trabalhadores respondentes afirmaram que esta prática não faz parte de suas relações profissionais por receio de serem punidos, sem porém demonstrarem um distanciamento moral relevante com essa prática. Além disso, a gratificação indevida é vista com maus olhos para 56% dos profissionais entrevistados pela Protiviti.

Vale ressaltar que quando abordados sobre o receio da punição em reportar aos superiores os erros próprios ou de terceiros, 66% dos profissionais deixam de denunciar. Isso mostra que ainda há falta de visão do colaborador sobre as consequências futuras pela omissão do ato e o descomprometimento em não se envolver com a missão e os valores da empresa.

A Protiviti sinaliza que a análise deste ano traz duas conclusões inéditas. A primeira é que os profissionais brasileiros estão mais atentos a este momento nacional, e as empresas devem utilizar todos os recursos disponíveis para potencializarem essa mudança. Já o segundo ponto é relacionado a uma nova maneira das companhias avaliarem os candidatos e colaboradores frente a dilemas éticos por meio de metodologias diferenciadas.

“Há um processo exclusivo da Protiviti, chamado de Compliance Individual, que vem ganhando espaço nas organizações brasileiras porque auxilia a empresa a conhecer o candidato através do seu posicionamento, seu histórico, suas motivações, receios e expectativas. Tudo isso para convergir cada vez mais a percepção do candidato ou profissional efetivo com os valores éticos da companhia”, conclui Hencsey.

Tags, , ,

45% das empresas brasileiras possuem alto grau de exposição à riscos de corrupção, aponta pesquisa da Protiviti

Após três anos da promulgação da Lei Anticorrupção, que pune empresas por manobras ilícitas, a maioria das companhias brasileiras ainda apresentam baixo movimento para implementar controles rígidos de combate à corrupção e fraudes. A constatação é da última pesquisa realizada pela consultoria global Protiviti com 1417 participações. Segundo o levantamento, apenas 4% das organizações realizam um programa de compliance efetivo seguindo as principais diretrizes nacionais e internacionais, enquanto 45% destas organizações ainda estão com o nível de compliance baixo, em extrema situação de exposição a riscos de corrupção.

Dentre as razões da baixa aderência apontadas pelas empresas estão fatores como o desconhecimento de metodologias aplicáveis de compliance, a falta de conhecimento interno para garantir o cumprimento das leis que envolvem governança corporativa e a limitação orçamentária.

O cenário é preocupante, segundo a consultoria, porque somente 34% das instituições analisadas já mapearam os riscos de exposição depois da regulamentação da Lei Anticorrupção no País, enquanto apenas 36% adotaram processos de análise de terceiros (due dilligence) para identificar os eventuais riscos vindos de prestadores de serviços ou parceiros de negócios externos. Já 38% das empresas ouvidas para a pesquisa disseram que promoveram no último ano práticas de compliance somente por meio de treinamentos ou comunicados gerais.

Para Yaniv Chor, líder da Prática de Riscos & Compliance da Protiviti, apesar de haver um aumento de 81% pelo interesse no tema compliance em relação ao levantamento de 2016, os números da pesquisa sinalizam que a situação ainda é preocupante devido à necessidade de melhorar a qualidade dos elementos de compliance existentes nas organizações. “Muitas ações são realizadas de forma desordenada ou difusa nas empresas, sem uma estrutura adequada para consolidar ações e garantir a efetividade do programa”, completa o especialista.

Quanto às medidas de compliance mais usadas pelas empresas atualmente, a análise detectou que 66% das companhias disponibilizam um canal de denúncia como ponto de interação para os colaboradores relatarem atos ilícitos dentro da companhia. “Apesar de ser um elemento presente, 26% das empresas que possuem um canal de denúncia não possuem um processo formal de isenção na apuração, tratamento e registro das informações, o que torna o serviço ineficiente”, explica Chor.

Os outros dois elementos de combate à corrupção mais presentes nas empresas são o código de conduta, usado por 65% das instituições, uma vez que diversas empresas já possuíam este elemento, em decorrência de movimentos anteriores como por exemplo a Lei SOX, governança corporativa, gestão da ética, etc, e o manual de políticas e procedimentos internos próprios, implementado por 64% das companhias – no entanto, destas empresas, 49% afirmaram não possuir uma política específica sobre o tema “anticorrupção”.

Os dados da pesquisa “Nível de maturidade de compliance das organizações brasileiras” são originados do Portal de Compliance, um website no qual a Protiviti oferece às companhias a possibilidade de avaliarem gratuitamente seu nível de maturidade em Compliance e de aderência às melhores práticas de um programa de integridade, além de explicar, de forma pragmática, como desenvolver os 8 passos para um programa efetivo de Compliance. Todas as empresas interessadas em avaliar sua situação em relação à exposição a riscos e seu grau de maturidade em compliance podem acessar o website www.portaldecompliance.com.br.

O infográfico com os principais destaques do estudo pode ser acessado através do link www.protiviti.com/BR-por/risk-compliance/nivelmaturidade

Tags, , ,

A crise financeira e os ciberataques: o que fazer?

Por Vivaldo Junior

Em função dos últimos ataques virtuais, o sinal de alerta soou e, mesmo diante da crise econômica mundial, as empresas veem gradativamente voltando a investir mais em segurança e tecnologia. O futuro é promissor, conforme aponta o Gartner. Em sua recente pesquisa, o instituto prevê que em 2018 cerca de 90% das companhias terão algum tipo de estrutura relacionada à segurança de dados.

Apesar de sempre existirem ameaças virtuais, o conceito se popularizou há poucos anos por conta das ameaças passarem de ser vírus ou trojans para esquemas complexos de sequestro de dados ou de informações privilegiadas. Como é o caso dos atuais Ransomwares e de pragas como Stuxnet, que são totalmente direcionadas a um fim lucrativo.

Vulnerabilidades chamadas de 0-day, até então nunca divulgadas, têm impactado todos os setores da indústria. Falhas como HeartBleed e ShellShock ou até mesmo recentemente a suíte de ferramentas da NSA, que vazou na internet com o codinome “Shadow Brokers”, na qual continha várias falhas 0-days, sendo a mais importante delas denominada “Eternal Blue”, tornam-se o principal vetor de ataque para o Ransomware WannaCry.

Os ataques ocorrem por todos os lados. Segundo reportagem publicada na Reuters, o site de relacionamento Ashley Madison teve seus dados vazados obrigando a companhia a pagar 11,2 milhões de dólares como indenização aos seus clientes pela exposição de dados. Já a operadora de telefonia Verizon, uma das maiores do mundo, também sofreu com a disseminação dos dados de seus clientes porque seu fornecedor, o Nice System, estava com um servidor na Amazon aberto para navegação, dando a possibilidade de hackers má intencionados baixarem os dados armazenados.

Conforme os sistemas evoluem, as ferramentas usadas para ataques cibernéticos também progridem na mesma escala. Com isso, as empresas precisam estar atentas a ter um processo de gestão de risco e compliance, contando com uma equipe dedicada especificamente na área de segurança da informação.

Devemos nos perguntar o quanto vale nossos dados e até quando deixaremos nossas informações desprotegidas a ponto de comprometer e causar prejuízos imensos às corporações e às pessoas. O alcance da internet em lugares onde antes não havia, a popularização de smartphones e tablets e todo esse crescimento de infraestrutura, desencadeou a facilidade de hoje de qualquer adolescente má intencionado ter a acesso a conteúdos privados.

Antigamente tínhamos os CPDs (Central de Processamento de Dados), onde ficava praticamente toda a infraestrutura de TI da empresa. Evoluímos e hoje temos data center, big data, auditoria, tudo colaborando para expansão dos setores de tecnologia, porém essa evolução amplia exponencialmente áreas que envolvem risco, compliance e segurança.

Na prática, as empresas devem criar times específicos com habilidades distintas, análise de vulnerabilidades, gestão de risco e incidentes. Caso não seja possível criar um time interno, a ação correta é contar com apoio de consultorias especializadas. Tudo isso de forma orquestrada para blindar o ambiente digital da empresa.

Como diversas pesquisas apontam, as empresas terão que invariavelmente investir em segurança da informação, adquirir ou contratar ferramentas e pessoal especializado. Dessa forma, quanto mais rápido esse investimento acontecer, mais protegida a empresa estará, evitando surpresas por conta das novas brechas de segurança para barrar, principalmente, a possibilidade de dados vazarem e resultar em prejuízos financeiros e reputacionais incalculáveis.

Vivaldo Junior é IT Consulting na Protiviti, consultoria global especializada em finanças, tecnologia, operações, governança, risco e auditoria interna.

Tags,

Cresce o uso do Big Data na apuração de fraudes, aponta pesquisa da Protiviti

A consultoria global Protiviti promoveu uma pesquisa mundial com mais de 900 profissionais de auditoria interna para saber o grau de usabilidade da análise de dados na detecção e prevenção de fraudes e corrupção. Os profissionais afirmam no levantamento que 66% dos processos ligados à auditoria interna já são realizados com o apoio do Big Data. Segundo os entrevistados, o principal benefício de usar a tecnologia na apuração de fraudes é a possibilidade de obter uma visão em tempo real dos riscos organizacionais e de realizar pré-auditorias baseadas em riscos.

Atualmente, os recursos do Big Data são usados mais na busca de pista de anomalias financeiras, como, por exemplo, o controle de alçada em pedidos de compras, duplicidade, pagamentos em desacordo com critérios contratuais, revisão da folha de pagamentos, dentre outras inconsistências ocorridas em operações contábeis.

Apesar da tendência positiva, 34% dos departamentos de auditoria não empregam a análise de dados como parte dos processos de auditoria e, entre aqueles que já usam o Big Data, só 10% conseguem classificar as funções da ferramenta em termos quantitativos.

De acordo com a pesquisa, o desafio para 60% dos auditores entrevistados é identificar onde estão os dados, enquanto 56% apontam as limitações dos seus sistemas. Apenas 22% dos executivos ouvidos classificam a qualidade dos dados como excelente ou boa.

“Os departamentos de auditoria interna começam a adotar a análise de dados, mas o caminho entre teoria e prática é longo. Há uma ala de profissionais de auditoria que consideram o uso do data analytics valioso. Em contrapartida, há uma que necessita de apoio para materializar as informações extraídas do Big Data”, explica Brian Christensen, vice-presidente executivo de auditoria interna e assessoria financeira global da Protiviti.

No Brasil, as organizações despertam os seus interesses de empregar a análise de dados em casos de descoberta e prevenção de fraude. As áreas de auditorias de bancos, de hospitais e de empresas de telecom, por exemplo, estão mais propensas a utilizarem os recursos do Big Data. Mesmo incipiente, o Brasil tem um case de sucesso simbólico no que tange à adoção de data analytics. “A inteligência de cruzamento de informações da Lava Jato, por exemplo, utiliza o analytics” complementa Alessandro Gratão, líder das práticas de Auditoria Interna e Financial Advisory na operação brasileira da Protiviti, consultoria global especializada em Gestão de Riscos, Auditoria Interna, Compliance, Gestão da Ética, Prevenção à Fraude e Gestão da Segurança.

Tags, ,

Gestão de inventários: reduzindo custos e otimizando resultados – Por André Cilurzo

Em um cenário econômico adverso, de baixa previsibilidade de resultados, em que as empresas buscam aumentar sua lucratividade e reduzir custos operacionais e despesas, o processo de inventário passa a ser uma ferramenta de gestão secundária. Isso pode acontecer pelas dificuldades dos gestores de identificarem retorno em um processo visto como oneroso para a organização. Em virtude deste fato, muitas empresas apenas realizam os processos/ciclos que lhe são obrigatórios pela lei ou pela regulamentação do setor em que atuam.

Pesquisas apontam que entre as maiores empresas brasileiras dos setores de varejo, bens de consumo e farmacêutico, 62% das companhias realizam inventários como parte de sua rotina para atualização de estoque (sem considerar os obrigatórios por lei). Os números mostram que são empresas cientes dos benefícios de um processo de inventário bem estruturado.

Para ter uma ideia prática destas benesses, um programa de inventário, quando realizado de acordo com as melhores práticas de mercado, pode apresentar não apenas um retorno financeiro de longo prazo, mas também melhor transparência e acuracidade nos resultados, consistência nos ajustes, conhecimento dos reais níveis de estoque e a identificação do nível de perdas real da empresa.

Além disso, para a geração dos benefícios esperados na gestão de inventários é imprescindível a definição de um formato de documento consistente com o modelo de negócio da empresa, considerando o planejamento de todas as fases do ciclo, que engloba desde a preparação até a finalização do pós-inventário.

O processo de apuração e equalização da relação física versus sistemas incorre em ajustes de estoque, impactando diretamente na gestão de abastecimento, tais como, redução de rupturas; redução dos custos de estoque; e redução de custos indiretos de compras e logística.

Após tais ajustes, é possível identificar o nível real de perdas da empresa, os itens críticos visados para furtos e desvios internos, e prover o direcionamento de ações mais assertivas para redução de perdas desconhecidas. A partir dessa análise, é comum balizar que parte dessas perdas são ocasionadas por problemas e falhas em processos, como a não conferência de recebimento e inversões de códigos de produtos. Esse balizamento propicia o direcionamento de ações para redução das perdas mais consistentes e perenes.

A não realização de alguma etapa, coloca em risco todo o investimento destinado à realização do ciclo de inventários, bem como podendo incorrer, de maneira direta, em resultados distorcidos e definição de ações ineficazes para a redução das perdas e a ruptura de produtos.

Um case que elucida na prática os resultados da estruturação de um ciclo de inventários é o de um varejista que necessitava fechar o seu balanço contábil. A empresa tinha como demanda da auditoria externa a realização de inventários em todas as suas unidades físicas dentro do período de dois meses. De acordo com o cenário apresentado, na etapa de planejamento, foi realizado um processo de sourcing de terceiros para o modelo de inventário definido.

Para garantir que todos recebessem todas as informações necessárias para realização do ciclo, foram desenvolvidos processos e documentos, como o procedimento operacional de organização, um plano de comunicação com as lojas e um dashboard para acompanhamento e controle da operação e dos custos do projeto. Com base no acompanhamento deste dashboard, foi identificado como custo elevado o deslocamento das equipes operacionais, tanto da empresa terceira quanto dos colaboradores internos.

Em face da distância das bases operacionais da empresa terceira, os impactos logísticos atingiam R$ 500 mil. Foram identificadas as quatro lojas com maior custo de deslocamento, localizadas nos estados do Pará e Maranhão, assim como, os clientes, da empresa terceirizada, situados próximos às lojas críticas, o que permitiu a sugestão de alteração das datas de realização de inventários dos outros clientes da empresa terceira para que ocorressem de forma sequencial, permitindo, assim, a diluição do custo de deslocamento entre os clientes.

Após os devidos ajustes, houve uma redução de aproximadamente 20% do total do custo de deslocamento. No período de dois meses foi realizado o ciclo completo de inventário em todas as lojas da rede, contando com a validação da auditoria externa em diversas unidades, o que mostra o impacto e a importância de um planejamento e preparação robustos, que garantam a equalização das atividades durante os inventários, mesmo em um cenário altamente adverso, principalmente pela escassez de tempo.

Portanto, o ponto focal está na complexidade das operações e os modelos de negócio de cada companhia, que permite que existam infinitas variáveis, interagindo e influenciando no resultado de um ciclo de inventários. Assim, um mapeamento apurado dos fatores críticos, não limitados aos apresentados neste artigo, definem a correta atuação dos diversos níveis hierárquicos e garantem o controle dos custos e a garantia dos resultados esperados por cada empresa.

André Cilurzo, gerente de Governança, Riscos e Compliance da Protiviti, consultoria global especializada em finanças, tecnologia, operações, governança, risco e auditoria interna.

Tags, , , ,

Protiviti alerta sobre a gestão de vulnerabilidade em TI

Faturar bitcoins, vender dados e até mesmo realizar pagamentos, ou transferências, usando o ERP das empresas são alguns dos métodos habilidosos de invasão promovidas por hackers atualmente. A periculosidade é aumentada se pensar que tais ações contra a organização podem ser feitas por qualquer agente, seja um estranho ou até mesmo um colaborador mal-intencionado.

“A situação é preocupante porque as motivações de ciberataques deixaram de ser apenas para ganhos financeiros. São abordagens inovadoras que promovem danos físicos, roubam segredos comerciais, realizam invasões virtuais como forma de protesto e utilizam a infraestrutura comprometida para realizar outras invasões”, explica Marco Ribeiro, líder da prática de gestão de risco de TI da Protiviti, consultoria global especializada em Gestão de Riscos, Auditoria Interna, Compliance, Gestão da Ética, Prevenção à Fraude e Gestão da Segurança.

Como forma de alertar as empresas, a Protiviti aponta seis passos práticos cujo objetivo é avaliar e tratar os riscos de TI na identificação e correção de ataques por meio de uma auditoria baseada na gestão de vulnerabilidade. A estratégia da Protiviti é ressaltada num momento em que o custo médio devido a um vazamento chega a R$ 4.5 milhões, conforme dados do Ponemon Institute reportado no IBM cost of breach 2016. Já em fraudes relacionadas às vulnerabilidades de TI, a Association of Certified Fraud Examiners (ACFE) aponta prejuízos financeiros que chegam a 5% do faturamento anual das empresas.

Trazendo outros números para a realidade do Brasil, que é considerado o País mais atacado da América Latina, temos que os atacantes permanecem em média 242 dias sem serem identificados no ambiente e TI, sendo que outros 99 dias são necessários, em média, para que seja feita a contenção do ataque.

De acordo com a consultoria, a primeira medida preventiva é mapear a estrutura organizacional da empresa com atenção total para área de TI. O primordial nesta fase inicial é saber os motivos pelos quais os executivos acionam a área e conhecer todos os colaboradores e fornecedores, que têm passagens livres nos sistemas da companhia. Tendo este mapeamento em mãos, a segunda dica é saber como são executadas as atividades em Segurança da Informação. É pertinente nesse momento averiguar quais ações são inseridas nos processos de negócios da empesa. O terceiro passo é verificar se os riscos são medidos de acordo com o impacto ao negócio. E, principalmente, se há uma área da companhia dedicada à gestão de riscos.

A quarta etapa envolve a questão se os serviços fornecidos pela TI e SI estão definidos e catalogados, assim como, se estão estabelecidos através de processos e procedimentos. Um adendo importante neste estágio é saber se os controles são monitorados e se os eventuais incidentes são reportados aos responsáveis.

Já a quinta atitude é compreender as vulnerabilidades e os riscos que passam no ambiente de TI da empresa. De que forma a infraestrutura, os sistemas e as informações são protegidas? Há rotina de testes técnicos e de seus controles na operação de TI? São as duas indagações chaves a serem feitas.

Por fim, o sexto e último passo mostra como reportar os riscos ao board. A consultoria orienta três ações básicas: consolidar as vulnerabilidades em riscos relacionados a TI; associar quais riscos estão ligados às demandas de negócios e operacionais; e manter um dashboard periódico com riscos e planos de mitigação.

Portanto, a área de de TI das empresas pode servir de recurso para atacantes cometerem crimes eletrônicos e fraudes no ambiente interno ou em terceiros, sem que tenhamos conhecimento. Ataques como contra a DynDNS que comprometeu sites e serviços como o Twitter e o Spotify, promovido pela botnet Mirai, confirmam esta tendência. “O alerta é similar às instituições com ambientes na nuvem e que enfrentam os mesmos riscos dos ambientes convencionais. No entanto, devido ao grande volume de dados armazenados de várias origens, o cloud se torna um pool atrativo para os cibercriminosos. É preciso enfrentar esta realidade”, finaliza Ribeiro.

Tags, , ,

Protiviti debate sobre os riscos de ciberataques e ameaças virtuais

De acordo com dados do Centre for Strategic and International Studies, o custo anual de crimes digitais e roubo de propriedade intelectual no mundo é de US$ 445 bilhões. Quando se fala em fraudes relacionadas às vulnerabilidades de TI, a Association of Certified Fraud Examiners (ACFE) aponta prejuízos financeiros que chegam a 5% do faturamento anual das empresas.

No Brasil, que é considerado o país mais atacado da América Latina, os números seguem a mesma tendência e registrou, somente em 2014, um aumento de 197% em incidentes de segurança da informação, dos quais 45% representaram fraudes.

Diante deste cenário, a Protiviti no Brasil, consultoria especializada em gestão de finanças, tecnologia, operações, governança, risco e auditoria interna, apresentará, durante a 37ª edição do Congresso Brasileiro de Auditoria Interna (Conbrai), que acontece em São Paulo, a palestra “Ciberataques e ameaças virtuais: como enfrentar esta realidade”.

Ministrada por Marco Ribeiro, diretor de IT Consulting da Protiviti no Brasil, a palestra abordará aspectos práticos que devem ser considerados para gerenciar os riscos de ataques presentes nas empresas.

Num cenário em que as empresas estão cada vez mais conectadas e dependentes de tecnologia, portanto mais expostas, será discutido como conhecer e tratar as vulnerabilidades de forma contínua. Além da conscientização das companhias em segurança da informação, o executivo abordará a necessidade de adequar o nível de proteção do ambiente tecnológico.

“Embora os setores mais expostos, como financeiro, manufatura, varejo e governamental, sejam os que apresentam mais incidentes em segurança da informação, todos os demais segmentos estão sujeitos a ataques cibernéticos e devem ampliar proteções e monitorar vulnerabilidades em TI”, finaliza Ribeiro.

Palestra: “Ciberataques e ameaças virtuais: como enfrentar esta realidade”

Palestrante: Marco Ribeiro, diretor de IT Consulting da Protiviti no Brasil
Data: 27 de setembro
Horário: 17h10
Local: Transamérica Expo Center
Endereço: Av. Doutor Mário Vilas Boas Rodrigues, 387 – Santo Amaro, São Paulo/ SP.

Tags, ,