Escolar Documentos
Profissional Documentos
Cultura Documentos
Mas e quando sua empresa não está ligada a nenhum dos órgãos reguladores
citados?
Por isso abordaremos aqui os modelos aplicados pelas empresas nanceiras
e não nanceiras, valendo ressaltar que não existem modelos únicos, não
existe uma “receita de bolo” que nos conduz à busca de processos de sucesso,
os modelos são criados conforme nossa necessidade.
Dessa forma, esses sistemas criam uma proteção capaz de mitigar os riscos
das organizações e proteger não só informações e resultados, mas também o
investimento dos acionistas.
Para essa formatação, apresentamos a governança corporativa (GC), que tem
auxiliado muito a implementação de controles internos, contábeis e
nanceiros mais con áveis; a nal, tomou maior grau de importância depois
da safra de escândalos corporativos em meados de 2002, como Enron,
WorldCom, Parmalat e Tyco.
A governança corporativa tornou-se um tema dominante nos negócios. O
interesse por GC não é novo, mas a gravidade dos impactos nanceiros dos
escândalos mencionados anteriormente solapou a con ança dos
investidores, fossem eles individuais ou institucionais, e acentuou a
preocupação na proteção dos stakeholders.1
Em muitos países, a governança cabe a um conselho supervisor responsável
pela proteção dos direitos dos acionistas e dos stakeholders. E o conselho,
por seu turno, trabalha com uma equipe de alta gerência para implementar
princípios de governança que assegurem a e ciência dos processos
organizacionais.
A Organização para a Cooperação e Desenvolvimento Econômico (OCDE)
mostra dois lados complementares da governança:
a. Lado comportamental da governança corporativa: abrange
relacionamentos e padrões de comportamento entre diferentes agentes
em uma empresa de responsabilidade limitada. É o modelo de como
administradores, acionistas e também colaboradores, credores,
clientes-chave e comunidades interagem entre si para formar a
estratégia da empresa.
b. Lado normativo da governança corporativa: designa o conjunto de
regras que regulam esses relacionamentos e comportamentos privados,
o que molda a formação de estratégia corporativa. Essas regras podem
ser normas da empresa (políticas internas), regulamento de segurança
ou requisitos para cotação na bolsa, ou ainda regulamentações próprias
e privadas.
Para falar de controle interno, normas, procedimentos, conformidade,
governança, gestão, riscos, políticas, leis, regulamentos, auditoria,
controladoria, seja qual for a nomenclatura, devemos entender que todos
nós necessitamos de melhorias e estamos na busca pela organização perfeita,
mas não é tão simples, por esse motivo lançamos aqui um questionamento:
em qual nível de maturidade de controles internos sua empresa se encontra?
Entende agora por que falamos tanto de controles internos, sobre a sua
importância, pois a ausência deles pode causar danos irreparáveis a qualquer
organização, e os riscos podem a orar em seus demonstrativos nanceiros e
no caixa da empresa, pois qualquer mudança nos ambientes de negócios ou
na legislação pode afetar tudo aquilo que você acreditava que estava em
ordem.
Falar em e ciência e e cácia traz prestígio e reconhecimento, mas a busca
pelo resultado demanda muito mais que uma boa gestão nanceira ou
alguns documentos publicados na sua rede interna. Necessitamos entender
onde estamos, como chegamos e aonde podemos chegar, e precisamos
mapear os processos, implementar controles e depois reavaliar os riscos;
a nal, já existem organizações que, em muitos momentos, buscam
implementar controles por existirem melhores práticas e depois avaliam a
verdadeira necessidade.
Por esse motivo, nem sempre os controles são e cazes. Historicamente,
mesmo com legislação especí ca, temos muitas di culdades para
implementar processos que sejam adequados aos negócios, geralmente
esbarramos no “faça o mínimo possível somente para atender ao órgão
regulador”.
Infelizmente essa é a cultura do “faz de conta”, ou “me engana que eu gosto”,
quando implementamos algum processo, seja de riscos, compliance,
segurança da informação e controles internos, com o nítido propósito de
atender somente à demanda regulatória. Posso dizer, sem medo de errar, que
os objetivos não serão atingidos, pois devemos implementar governança,
riscos e compliance com o propósito de proteger a organização e as pessoas
envolvidas nele. Se zermos com responsabilidade e honestidade,
conseguiremos atingir os dois objetivos: o regulatório e a proteção da
organização.
Quando identi carmos falhas, elas sempre estarão intimamente atreladas às
tão conhecidas resistências e barreiras, mas não podemos deixar de
evidenciar que são apresentadas sempre as mesmas desculpas, quem nunca
ouviu:
insegurança econômica;
medo do desconhecido;
ameaças ao convívio social e corporativo;
mudanças de hábitos e rotinas;
di culdade de reconhecimento da mudança.
Mas também temos as barreiras organizacionais e corporativas:
desconhecimento da estrutura;
necessidade de engajamento dos grupos de trabalho;
ameaças aos poderes existentes;
con itos de interesses e necessidades pessoais;
experiência anterior de mudanças malsucedidas.
Fidelidade de representação
Veri cabilidade
Neutralidade
Procedimentos
Sistema de informações Sistema contábil
administrativos
Adequadas análises e
Segregação de funções Relatórios de reconciliação contábil
registros
Entendemos que uma gestão de riscos bem estabelecida começa com uma
boa comunicação, pois, dessa forma, todos estarão “na mesma página”,
sabendo apenas o que for realmente útil, verdadeiro e necessário para que
prossigam trabalhando de modo seguro e, ao mesmo tempo, auxiliando a
empresa no atingimento dos objetivos de seu plano de gestão de crises e de
continuidade dos negócios.
É provável que, quando chegarmos ao m da crise provocada pela
pandemia, as organizações que a ela sobreviverem se deparem com algumas
baixas e perdas, mas esperamos que esses dados, mesmo negativos, não
tenham destaque maior do que os aprendizados que advierem com o
período.
Entendemos que esse aprendizado faça sentido de verdade. A nossa sugestão
é revisitar os processos operacionais de sua empresa no que tange ao sistema
de controles internos, compliance, gestão de riscos, gestão de crises e gestão
da continuidade de negócios. Fica a nossa dica: jamais negligencie a
importância de se preocupar com a melhoria contínua e correções que, se
detectada a sua necessidade e implementadas imediatamente, garantirão
valor agregado e perenidade.
A gestão de riscos proporciona um processo de conhecimento dos limites
dos negócios, seus impactos, das possíveis perdas e das oportunidades que
possam surgir. Por isso, entendemos que um bom processo demanda uma
resiliência organizacional, em um nível mais estratégico. A resiliência pode
representar a habilidade da empresa para alterar suas estratégias de maneira
dinâmica ou até mesmo reinventar seu modelo de negócio visando a uma
adaptação ao seu modelo de negócios e processos internos.
Outro fato de que não podemos esquecer é que, por falhas dos planos de
contingência de algumas empresas que funcionavam operacionalmente no
World Trade Center (WTC), no dia do atentado de 11 de setembro de 2001,
elas simplesmente deixaram de existir, pois a contingência havia sido
aplicada justamente na torre ao lado.
Os planos de contingência deveriam ser avaliados segundo três critérios. O
primeiro é a con abilidade, pois o grau de proteção proporcionado pelo
plano contra grandes eventos inesperados afeta o processo dos negócios. O
segundo é a qualidade do plano, que é a disponibilidade operacional; a nal,
é preciso avaliar o tempo necessário para retornar ao funcionamento
normal. E o último é a sustentabilidade, o custo e a adaptabilidade do plano
a mudanças nos recursos e processos. Por exemplo, como resultado de um
plano de contingência con ável e sustentável, o escritório da Fuji Capital
Markets foi capaz de se recuperar dentro de dois dias depois de seu
escritório no World Trade Center ter sofrido um atentado a bomba.
A qualidade de um plano de contingência é proporcional ao tempo e esforço
que os pro ssionais e gestores nele empregaram. O planejamento de
contingência ou de continuidade de negócios pode ser muito dispendioso,
porque os eventos precisam ser considerados maduramente e comunicados
com antecedência, mas a e cácia e a qualidade total da recuperação serão
maiores, ou seja, há um menor risco de falha na recuperação. Portanto
apresentamos a seguir alguns pontos relevantes para um plano de
contingência:
6 A sigla ESG advém do termo em inglês Environmental, Social and Governance – ou, em
português, ASG, referindo-se à Ambiental, Social e Governança. No mundo dos
investimentos, investimento ESG é aquele que incorpora questões ambientais, sociais e de
governança como critérios na análise, indo além das tradicionais métricas econômico-
nanceiras e, com isso, permitindo uma avaliação das empresas de forma holística.
7 Uma das referências, Guia prático de construção de um plano de gestão de crises,
desenvolvido pela CEO do Studio Estratégia, Roberta Volpato Hanoff, está disponível no
link: https://studioestrategia.com.br/2020/03/17/guia-pratico-para-gestao-de-crises-no-
ambiente-organizacional/.
8 Outra referência, Gestão de riscos e continuidade dos negócios em tempos de coronavírus,
é um artigo que aponta nove aspectos essenciais para o gerenciamento de crises na
pandemia. Disponível em: https://www.ibgc.org.br/blog/artigo-gestao-de-riscos-marcos-assi-
roberta-hanoff.
9 O processo de stress testing é amplo, que pode ser aplicado a qualquer empresa, sendo
um meio de veri car como seu patrimônio ou ativos de uma carteira seriam afetados de
acordo com diferentes cenários que pudessem acontecer, trazendo para o modelo de
negócios uma visão das nanças, por meio de uma simulação com os principais indicadores
de juros, moedas, ações, crédito, inadimplência, atividade econômica, en m, todas as
variáveis que possam afetar seus investimentos e negócios.
Capítulo 4
Casos de fraudes
4.1 Conscien zação e cultura
A questão da cultura de controle sempre demonstra grande preocupação no
que tange a controles e prevenção de perdas, seja por erros, seja pelas tão
famigeradas fraudes nanceiras ou corporativas, que ultimamente têm
reduzido os resultados das corporações, causando perdas nanceiras, de
imagem e de reputação, em certos casos, intangíveis. Algumas empresas
vêm, a cada ano, buscando aprimorar o entendimento das causas e motivos
das perdas com fraudes, justamente para implementar melhores controles de
prevenção.
A edição mais recente da pesquisa “Per l do fraudador”,10 realizada pela
KPMG com base em dados apurados em 750 investigações de fraudes em 78
países, mostrou que o típico fraudador empresarial tem entre 36 e 55 anos
(69%), é uma ameaça interna (65% são funcionários), com um cargo de
nível de diretoria (35%) e trabalha na empresa há no mínimo seis anos
(38%). Além disso, ele tem autoridade ilimitada dentro da organização,
podendo transgredir os controles internos (44%).
“Ainda no per l, percebemos que o típico fraudador geralmente é descrito
como autoritário (18%), entretanto, a probabilidade de enxergá-lo como
amigável é três vezes maior do que de vê-lo de outra maneira. Além disso,
ele tende a ser respeitado, com 38% dos fraudadores descrevendo a si
mesmos como bem respeitados na organização”, analisa o sócio da área de
tecnologia forense da KPMG no Brasil, Antonio Gesteira.
Outra conclusão do estudo é que a fraude tem maiores chances de ser
realizada em conluio (62% em contraste com 38% do que a cometida por
um indivíduo sozinho). Embora a maior parte aconteça em empresas mistas
(46%), os homens ainda tendem a unir-se em conluio em maior proporção
do que as mulheres (39% são grupos masculinos, em contraste com 7% de
grupos femininos).
“Mesmo que os controles sejam robustos, os fraudadores podem e irão
esquivar-se deles ou infringi-los. Os fraudadores em conluio são capazes de
driblar controles em 16% dos casos. Importante frisar que partes externas
estão envolvidas em 61% das fraudes deste tipo”, a rma Gesteira.
Vale a pena salientar que os controles internos são uma forma de
identi cação de possibilidades de fraudes, pois existem outras. Por esse
motivo, adotamos a metodologia de melhores práticas e de avaliação de
necessidades de controles com foco nos controles interno e contábil.
Ainda sobre o tema de controles, não podemos deixar de evidenciar as
fraudes ocorridas nos últimos anos, que demonstram ausência de controle,
negligência operacional, ausência de índole e despreparo das auditorias e
dos órgãos reguladores.
Segundo o levantamento, as empresas não estão conseguindo utilizar ao
máximo a tecnologia para combater a fraude, mesmo sendo uma
viabilizadora signi cativa de atividades fraudulentas. A tecnologia é
considerada uma viabilizadora signi cativa para cerca de 25% dos 750
fraudadores investigados. Entretanto, o relatório mostra que as ferramentas
de análise de dados proativas desempenham um papel menor no combate à
fraude, com somente 3% dos fraudadores sendo detectados dessa maneira.
“O caráter ambíguo da tecnologia em termos de fraudes só tende a car mais
acentuado. À medida que a tecnologia se torna mais avançada, também
avançam os esquemas para utilizá-la maliciosamente. Porém, estamos vendo
poucas evidências de que as empresas estão fazendo o mesmo para evitá-la.
Sistemas de monitoramento de ameaças e ferramentas de análise de dados
são imperativos para as organizações que estão na vigilância contra
comportamentos estranhos ou suspeitos”, analisa o sócio da KPMG.
A pesquisa apontou ainda que os fraudadores especialistas em tecnologia
estão utilizando-a de diversas formas: cerca de 24% estavam vinculados à
criação de informações falsas ou enganosas em registros contábeis; 20%
envolviam fraudadores disseminando informações falsas ou enganosas por
e-mail ou outra plataforma de envio de mensagens; 13% envolviam
criminosos abusando do acesso autorizado a sistemas de computador.
“É importante que as empresas invistam em controle interno. O número de
fraudadores capazes de praticar ações que visam tirar vantagem de controles
de cientes aumentou para 27%, em comparação com os 18% do relatório de
2013. Além disso, 44% foram detectados como resultado de uma pista ou
reclamação e apenas a metade disso como resultado de uma revisão da
administração. A globalização e a regulamentação são apenas algumas das
megatendências que reforçam os motivos pelos quais os controles nas
empresas são mais importantes do que nunca”, naliza Gesteira.
Em adendo a esta seção, foi proposta pela SEC a exigência de certi cação mais abrangente
incluindo os controles internos e os procedimentos para emissão de relatórios nanceiros bem
como os controles e procedimentos de sua divulgação.
Essa declaração está fortemente focada nas demonstrações nanceiras, exigindo que a
administração faça certas a rmações sobre elas.
Seção 404
Esta seção da lei exige a apresentação à SEC de relatórios de controles internos, que devem ser
apresentados junto das demonstrações nanceiras.
Deve ser informado quem é responsável por estabelecer e manter uma estrutura interna de
controles internos e procedimentos para relatórios nanceiros na organização e como é feita a
avaliação da e cácia desses controles e procedimentos.
Essas informações devem ser atestadas por um auditor externo.
É necessário um procedimento de controle interno das demonstrações nanceiras, com uma
rigorosa avaliação deste, por meio de auditoria interna e externa.
Seção 407
Em seu Comitê de Auditoria, a organização deve comunicar a existência do especialista
nanceiro, atestar que este conhece os princípios contábeis geralmente aceitos e possui
experiência na preparação ou auditoria das demonstrações e dos controles contábeis.
Inclui:
Inclui:
Ambiente interno
Compreende o tom da organização e con gura as bases para determinar
como o risco é visto e localizado pelas pessoas da organização, incluindo o
gerenciamento losó co do risco e do apetite a ele, a integridade, os valores
éticos e o ambiente no qual ocorrem as operações.
Os riscos têm várias origens, visto que podem ser criados pelo homem e
advir de causas naturais, de crescimento econômico de longo prazo ou da
força da evolução tecnológica.
Por conseguinte, as pessoas veem os riscos sob óticas diferentes, e a sua
localização pode tornar-se extremamente difícil. Assim, um ambiente
interno deve propiciar um clima adequado para a realização dessas
atividades de antevisão, localização e entendimento dos riscos.
Outro fator importante reside no apetite pelo risco, que determinará as
vantagens que poderão ser criadas a partir de uma gestão estratégica de
recursos e operações.
Gerenciamento
Liderança e Pessoas e Responsabilidade
de riscos e
estratégia comunicação e reforços
infraestrutura
Comunicar
Compartilhar informações Medidas de performance Acesso a sistema
missão e
e conhecimento e recompensas e segurança
objetivos
Controle de risco
Os riscos são analisados considerando probabilidade e impacto como base
para determinar qual deles deve ser administrado e controlado, sob uma
base própria e residual. Já que o risco pode ser entendido como a
volatilidade de resultados inesperados, relacionados ao valor das operações
da organização, os gestores devem criar procedimentos e sistemas efetivos
quanto à análise das potencialidades de ocorrência e dos impactos sobre os
ativos.
Existem vários riscos associados às operações e atividades empresariais,
porém, cabe aos gestores a tarefa de, ao identi carem os riscos, escolher a
ordem na qual eles devem ser mitigados.
Reação ao risco
A gerência promoverá a seleção das reações ao risco quanto a evitá-lo,
aceitá-lo, reduzi-lo ou dividi-lo, desenvolvendo, assim, um conjunto de
ações para alinhar os riscos à tolerância e ao apetite da organização.
A reação sempre dependerá da capacidade de as pessoas envolvidas na
administração perceberem, em tempo hábil, sua existência. A habilidade do
gestor determina as potencialidades de suas reações e, dessa forma,
estabelece como tirar vantagem das oportunidades.
Após sua identi cação e mensuração, os riscos devem passar por um
processo de seleção em confronto com as regras e os procedimentos que
determinarão a tolerância da organização em relação a eles. Como fator de
prudência no caminho de geração de valor para o acionista, entendemos que
a medição será o fator-chave e deve estar alinhada ao apetite da organização
pelos riscos.
Atividades de controle
Políticas e procedimentos são estabelecidos e implementados para ajudar a
assegurar que as reações ao risco sejam efetivadas. Na criação do sistema de
controles internos, o fundamento está na criação de políticas e
procedimentos não apenas para sua implementação, mas também para sua
manutenção e para as atividades de acompanhamento.
As atividades de controle podem ser desenvolvidas tanto por pessoas quanto
por máquinas e equipamentos utilizados no processo operacional das
instituições. Tais atividades visam assegurar que as ações e iniciativas sejam
tomadas no sentido de prever os riscos associados para elaboração dos
objetivos da organização.
Informação e comunicação
A informação relevante é identi cada, capturada e divulgada de maneira
padronizada e em tempo hábil, para possibilitar às pessoas o cumprimento
de sua responsabilidade. A efetiva comunicação também ocorre em amplo
sentido, abrangendo todos os setores da organização.
A transmissão de notícias relevantes é o fator primordial em uma
organização moderna que deseja atingir seus objetivos com relativo sucesso.
Para tanto, uma estrutura de transmissão de informações e conhecimento
deve ser criada e desenvolvida para conduzir as pessoas ao caminho da
realização dos objetivos da organização.
Não podemos deixar de considerar que são necessários canais adequados de
comunicação em todos os níveis e em todas as direções dentro da
organização, possibilitando a identi cação e a circulação das informações
relevantes e das responsabilidades inerentes às atividades desenvolvidas.
Esse mecanismo fortalecerá a cultura e a identidade organizacional e gerará
comprometimento das pessoas com seus objetivos.
Interna Externa
Expectativa de comportamento e
Perspectivas do negócio
conduta
Responsabilidades e delegação de Ética e conduta
autoridade
Objetivos/missão/visão e valores
Transparência sobre os mecanismos de
gerenciamento de riscos
Linguagem comum de riscos
Monitoramento
A totalidade de iniciativas de gerenciamento de risco é monitorada e, para
isso, são necessárias modi cações. O monitoramento é feito continuamente
pelas atividades gerenciais, avaliações individuais ou ambas.
O acompanhamento das medidas adotadas favorece a realização dos
objetivos e a criação de valor. Assim, o monitoramento constante das
atividades, dos riscos e dos eventos possibilita previsões e embasa as
modi cações necessárias ao aperfeiçoamento das estruturas quanto às falhas
ou adaptações às mudanças.
procedimentos proporcionais;
compromisso de nível superior;
avaliação de risco;
devida diligência;
comunicação (incluindo treinamento);
monitoramento e revisão.
ambiente de controle;
avaliação de risco;
atividades de controle;
informação e comunicação;
atividades de monitoramento.
identi ca o risco;
avalia a gravidade do risco;
prioriza o risco;
implementa respostas de risco;
desenvolve visão de portfólio.
Uma vez identi cados os riscos, devemos avaliá-los e re etir sobre eles com
base nas seguintes perguntas:
A norma comenta que a gestão de riscos pode ser in uenciada por qualquer
divergência de opiniões, vieses, percepções de risco e de julgamentos.
Devemos avaliar as in uências e a qualidade da informação; as hipóteses
não podem ser descartadas, e as limitações técnicas devem ser avaliadas.
Tudo isso deve ser extremamente considerado, documentado e comunicado
aos tomadores de decisão. Todos os eventos sempre terão algumas
características de incerteza difíceis de quanti car, neste caso uma
combinação de técnicas pode fornecer um melhor discernimento. Mais uma
vez salientamos que não existe modelo único para gerenciamento de riscos.
O tratamento de riscos dependerá da forma como identi camos e
analisamos os riscos, a decisão sobre o que fazer de acordo com a estratégia
e os métodos mais apropriados para tratar essas informações, por isso a
política de gestão de riscos auxiliará nas questões dos tipos e dos níveis de
riscos da organização.
Vale a pena salientar aqui que, depois de avaliar os riscos inerentes e de nir
qual e como será o tratamento dos riscos, precisamos também de nir
quanto do tratamento poderá reduzir o nosso risco inerente e, por meio
dessas informações, elaborar nossa estratégia de tratamento do risco
residual.
Quando estabelecemos as de nições sobre o risco inerente e residual,
devemos evidenciar que:
Para auxiliar a todos sobre o tratamento dos riscos, devemos evidenciar que
os riscos residuais são aqueles que devem permanecer e vão permanecer a
menos que encerremos a operação/o processo/o projeto, durante todo o
ciclo de vida desse processo, mesmo que uma implementação de tratamento
e de resposta aos riscos sejam bem planejada e realizada. Portanto, podemos
dizer que esses riscos são aceitos pelo processo desde que o apetite a risco
esteja bem de nido e os limites de exposição também muito bem de nidos e
monitorados. Sendo assim, podemos citar como exemplo: imagine que você
esteja realizando uma construção de um prédio em uma zona propensa a
terremotos ou estacione seu carro em uma zona propensa a alagamentos,
hoje não está chovendo ainda, mas tudo pode acontecer.
Segundo a norma ISO, devemos balancear os potenciais benefícios com
relação à possibilidade de alcançar os objetivos do negócio, avaliando os
custos, a dedicação, o nível de esforços despendido na implementação e as
possíveis desvantagens. O tratamento não é realizado por modelos
exclusivos, mas com modelos apropriados às circunstâncias e à
complexidade de suas operações e processos; portanto, podemos considerar
os seguintes pontos:
Tabela
de Financeiro Imagem Operacional Compliance
impactos
Gravíssimo,
Parada parcial dos Interrupção das
compromete a
serviços, afeta a atividades com
organização e seus
De 5,1% capacidade de multas e sanções
4 Alto executivos, exigindo o
a 7% realização das regulatórias, e
gerenciamento de
atividades interrupção por
crises e tomada de
operacionais algumas semanas
decisões
Tabela de
Possibilidade de ocorrência Motivo da exposição
probabilidades
Figura 8.1 – Exemplo de uma Matriz 5 X 5 – Muito alto, Alto, Médio, Baixo e Muito baixo
Todas as vezes que nos referimos a riscos, o que mais sensibiliza a alta
administração é a severidade, em outras palavras, a possibilidade de perdas
nanceiras mobiliza mais a proteção dos negócios. Podemos classi car os
riscos como sendo de:
Como fazer que esta análise apresente um resultado que deverá ser
apresentado para os gestores responsáveis pelo processo, cujo procedimento
traz as exposições detectadas na análise e depois para os comitês de riscos.
Caso você tenha um implementado, para que as situações de maior
fragilidade estejam sendo divulgadas e permeadas de maneira adequada por
toda a hierarquia, aqui mora o perigo, pois essa apresentação necessita ser
simples e aplicável, em que o impacto é o que mais importa, juntamente com
a probabilidade. Cuidado ao apresentar indicadores com que somente a área
de riscos tenha familiaridade, apresente valores e percentuais de erros e
falhas, assim você incorpora a necessidade do negócio com o engajamento
das pessoas.
O seu comitê irá deliberar a respeito da propensão ao risco que a
organização está disposta a correr, ou sugerir mudanças por meio de novas
implementações, mudanças no seu apetite a riscos corporativos, das suas
políticas internas e até no aprimoramento dos processos de controles
internos, sendo muito mais estratégicos.
É importante salientar que, a cada nova implementação, o grau de exposição
ao risco será reavaliado. As mudanças na estrutura do negócio, dos produtos
ou processos farão parte dessa avaliação e, sempre que necessário, serão
levadas para decisão em comitês especí cos de riscos para que,
posteriormente, sejam reportadas ao comitê de risco e possam ser
monitorados os resultados e o processo de gerenciamento de riscos.
Não podemos deixar de apontar o fato de que o envolvimento da equipe de
gestão de riscos operacionais e controles internos com a criação de controles
mais so sticados e aprimoramento dos controles existentes será
fundamental para minimizar os riscos e atingir os objetivos de nidos pela
organização. Fica aqui outra dica: nunca faça nada sem avaliar a sinergia do
risco estratégico com o risco operacional, pois muitas organizações têm se
perdido por falta de alinhamento entre o planejado e o realizado.
Neste capítulo, vamos apresentar algumas sugestões para você gerenciar os riscos
corporativos e operacionais, na forma de avaliar, melhorar e adaptar ao seu negócio com
base na simplicidade e efetividade dos processos de gestão de riscos, em nossa experiência
e nos resultados da implementação de metodologias de gerenciamento de riscos dos
negócios e métodos de gestão, como COSO-ERM, normas ISO, normativos de órgãos
reguladores, entre outros modelos geralmente aceitos.
Quanto mais aplicamos e estudamos, mais fácil se torna nossa metodologia. Cuidado com
as ofertas de mapeamento de riscos, sem a descrição dos processos operacionais, manuais
de procedimentos, políticas operacionais e uxos macros dos seus principais processos.
Entenda que, sem isso, seu gerenciamento de riscos está fadado ao fracasso ou a gastos
absurdos com so wares que serão severamente criticados pela ausência de informações,
justamente por não realizar as ações citadas.
Análise SWOT
S O
Forças (Strenghts) Oportunidades (Opportunities)
W T
Fraquezas (Weaknesses) Ameaças (Threats)
Fonte: Albert Humphrey.
A análise SWOT é feita por meio da identi cação e da análise dos pontos fracos e fortes
da organização, e das oportunidades e ameaças às quais está exposta. Aqui ca nossa dica:
parece simples identi car, mas demonstrar fraqueza e ameaças faz com que as pessoas,
em certos casos, ocultem informações por medo de expor uma fragilidade, mas a
ferramenta é justamente para fortalecer esses pontos.
Como frisamos anteriormente e apesar de parecer simples, esse método se mostra
bastante e caz na identi cação dos fatores que in uenciam no funcionamento da
organização, fornecendo informações bastante úteis no processo de planejamento
estratégico.
Pode-se dividir a análise SWOT em duas partes:
Devemos avaliar também o ambiente sobre o qual não há controle, mas deve ser
monitorado continuamente, pois constitui base fundamental para o planejamento
estratégico:
Fonte: Imagem adaptada por Vlamir Garcia, palestra de Controles Internos – Trevisan (2011).
K Key = chave
P Performance = desempenho
I Indicator = indicador
Logo, um KPI pode ser um dado/uma informação ou uma razão operacional, mas é mais
comum ser uma razão. A diferença é que o KPI é diretamente ligado a um objetivo da sua
empresa, ou seja, mesmo que você tenha um concorrente em sua indústria,
provavelmente ele terá objetivos diferentes; portanto, utilizarão KPIs diferentes.
Para de nir o KPI que deverá ser usado, deve-se:
objetividade;
mensurável;
veri cável;
valor agregado;
comunicação;
consenso no objetivo de nido;
comprometimento dos envolvidos.
Perspectiva de
Perspectiva de Perspectiva de processos
Perspectiva nanceira aprendizado e
clientes internos
crescimento
Perspectiva de
Perspectiva de Perspectiva de processos
Perspectiva nanceira aprendizado e
clientes internos
crescimento
Como não é possível realizar uma viagem com base apenas no controle de velocidade,
avaliar os indicadores de desempenho do carro facilita alcançar os objetivos. Então
podemos dizer que ter indicadores nanceiros não será su ciente para garantir que a
organização esteja caminhando na direção correta. Necessitamos monitorar e avaliar,
juntamente com os resultados econômico- nanceiros, o nosso desempenho no mercado
junto aos nossos clientes, o nosso desempenho dos processos internos e pessoas (aqui os
controles internos se fazem presentes), as inovações e as novas tecnologias.
Tudo isso avaliado periodicamente permite que tenhamos uma gestão operacional em que
as pessoas, as tecnologias, as inovações – lógico, se bem implementadas aos processos
internos das organizações – possibilitarão alavancar o nosso desempenho junto aos
clientes, e a organização obterá os resultados nanceiros esperados. Assim, podemos
a rmar que estamos criando valor com ativos intangíveis, agora imagine alinhar a uma
boa gestão de controles internos, compliance e riscos, como seremos respeitados por todas
as partes interessadas.
controle de documentos;
controle de registros;
controle de produtos em não conformidade;
ação corretiva;
ação preventiva;
auditoria interna;
além de um processo completo de um determinado departamento ou setor.
Como pré-requisitos, podemos dizer que um bom procedimento deve conter a seguinte
estrutura (melhores práticas):
logotipo da empresa;
título da instrução de trabalho;
código (numeração padrão) da instrução de trabalho;
nome do responsável pela elaboração e aprovação;
data da emissão e data da revisão (quando ocorrer);
número da revisão;
número total de páginas da instrução de trabalho;
conteúdo objetivo e de fácil entendimento;
anexos quando necessários ( uxograma, formulários, modelos).
Cuidado para não confundir uma instrução de trabalho com o manual de procedimentos
operacionais, pois eles podem ter layouts e estruturas bem parecidas, mas cada um tem
uma função diferente para sua organização.
Seguem algumas dicas especiais que poderão auxiliar você na elaboração de instrução de
trabalho, que também podem ser aplicadas aos seus procedimentos operacionais:
Sempre que possível faça uma avaliação e realize testes em todos os modelos de
formulários de instrução de trabalho, e estabeleça um padrão que melhor se
adapte às necessidades da sua organização.
Nunca faça nada sozinho, sempre que possível envolva toda a sua equipe na
descrição das rotinas. Não existe melhor forma de obter uma informação do
processo operacional do que conversar com quem realmente faz.
Tenha implementado um passo a passo, a nal deveremos padronizar toda a
documentação para execução de atividades e conteúdo para posteriores
treinamentos. Isso mesmo, não basta implementar, temos que treinar as pessoas
na leitura, no entendimento e na aplicação das regras operacionais.
Muito cuidado ao escrever qualquer documento, utilize recursos que sejam
didáticos e de fácil entendimento, seja para um sênior, seja para um novato que
acabou de ser admitido, com uma descrição do passo a passo, fazendo com que
o conteúdo que bem objetivo e entendível.
Quanto maior for o conhecimento sobre o processo, maior será a segurança
para a execução das atividades. Vale salientar que será fundamental, pois a
instrução de trabalho deve contemplar os Equipamentos de Proteção Individual
(EPIs) para execução das atividades de modo a prevenir acidentes (lembre-se
aqui do Hazop).
É importante salientar que uma instrução de trabalho tem como objetivo
orientar o uso de recursos necessários para a realização da atividade; a nal,
depois que identi camos os recursos, devemos orientar adequadamente o uso
correto de instrumentos, equipamentos, máquinas etc.
Parece simples, mas a distribuição das cópias desses documentos deve ser
devidamente controlada; houve uma oportunidade em que identi camos 23
cópias de um mesmo documento na rede interna em um cliente.
Deixar as instruções de trabalho sempre disponíveis ao setor responsável e aos
outros setores envolvidos.
Providenciar as revisões das instruções de trabalho periodicamente
(anualmente) e sempre que houver alguma alteração ou mudança na execução
das rotinas.
Uma dica essencial é que evitemos utilizar termos técnicos ou muitas
abreviações; caso necessite utilizá-los, mantenha sempre uma tabela de
orientação com o signi cado de cada um.
E, por favor, nunca utilize o nome do colaborador que executa a atividade, mas
sempre o cargo e/ou função.
Identi cados os processos, deverá ser elaborado um uxograma macro, contendo todos
os departamentos e seus respectivos processos. Os objetivos da elaboração desse
documento são:
1. Visualizar toda a organização de uma forma sistêmica pela complexidade de seus
processos.
2. De nir junto ao comitê especí co e/ou alta administração a prioridade de análise
dos processos.
3. Permitir o controle dos processos mapeados e pendentes.
De nidas as prioridades, o pro ssional de riscos deverá realizar novas entrevistas com os
responsáveis diretos e indiretos pela elaboração dos uxogramas de modo detalhado.
O detalhamento do processo é fundamental, uma vez que toda essa documentação servirá
de suporte para identi cação dos riscos, elaboração dos pontos de controle para
formalização por meio da elaboração de normas e procedimentos.
Na elaboração dos uxogramas, é importante que as atividades sejam separadas por área,
o que permitirá melhor visualização do documento, aprimorando a análise para
racionalização, análise de riscos e identi cação de melhorias.
Para toda possibilidade de risco, é necessário haver algum ponto de controle para sua
mitigação, de acordo com o que é mais viável. Avaliar os controles é de fundamental
importância, pois, quando e cientes, reduzem a possibilidade de materialização dos
riscos e auxiliam na identi cação para proposição de melhorias.
Durante o mapeamento, é possível identi car riscos já materializados, isto é, problemas
identi cados cujo impacto negativo já é presente. Para essa situação, é necessária uma
avaliação imediata, devendo ser tratada com prioridade. Segue um breve descritivo das
etapas do uxo.
Levantamento de informações
Entrevistas com os principais executivos da organização
Entrevistas com os funcionários operacionais
Levantamento dos procedimentos dos processos
EVENTOS
Guerras,
Crescimento Mudança de Desenvolvimento Proteção Normas de saúde e
terrorismo,
da indústria gerações de tecnologia ambietal segurança
con itos
Política Taxas de
externa câmbio
Integridade Internet e IOT Logística reversa Compliance/integridade
Invasão e
Importação Conduta e Normas especí cas da
Corrupção vazamento de Re orestamento
e exportação comportamento indústria
dados
Você deve estar se perguntando, ao tomar conhecimento do modelo Pestel, como pode
demonstrar os benefícios de implementar em minha organização a metodologia de
análise Pestel. A questão é o custo? O escopo? Podemos dizer, sem medo de errar, que o
maior custo da análise do modelo Pestel é o tempo, pois alguns programas adicionais
podem ajudar a organizar a obtenção de informações e o famoso feedback; a nal,
podemos realizá-lo por meio de um simples documento utilizando uma planilha em MS
Excel.
A análise do modelo Pestel deve der feita de forma objetiva e direta. A quantidade de
pesquisa necessária, com a avaliação de quanto tempo será dedicado e com que
frequência você deve fazer a análise para sua organização, vai depender do tamanho,
porte e da complexidade dos negócios. O que mais impressiona nessa metodologia é que
qualquer pessoa pode fazer a análise Pestel, pois, enquanto uma equipe gera um relatório
com os resultados, uma outra pessoa também pode executar a análise dos riscos sem
problemas e com grande chance de sucesso, engajamento e conhecimento, que fortalecem
esta etapa.
Imagine ter que implementar uma gestão de riscos com análise de eventos externos sem a
análise Pestel. Os ambientes que afetam direta e indiretamente os negócios podem passar
despercebidos por falta de identi cação e validação, com isso podemos analisar muitos
fatores diferentes que in uenciam o negócio e afetariam o sucesso do seu produto ou
serviço. Devemos incentivar um processo de planejamento e capacitação interna para que
haja uma compreensão mais profunda do planejamento estratégico e operacional do seu
negócio.
A análise Pestel serve para que possamos analisar e avaliar as organizações de forma
ampla, objetiva e funcional, podendo ser utilizada para seus produtos, planos de
marketing e relacionamento com clientes, conforme a especi cidade de cada um. Quando
usamos nos novos projetos dentro da organização, a análise Pestel pode proporcionar um
aumento da conscientização corporativa sobre as possíveis ameaças, seja de um
concorrente existente, seja de um concorrente eminente, seja dentro de seus próprios
produtos.
Vamos supor que a sua organização esteja buscando expandir os negócios e você
descobriu que estão projetando a instalação de uma grande empresa nas imediações e
poderá haver um aumento de aproximadamente 15% no crescimento da população nessa
cidade. Isso pode ser excelente para os seus negócios, se o aumento for
predominantemente de pessoas com idades diversi cadas, enquanto o seu mercado-alvo
está na faixa de 20 a 30 anos. Essa poderá ser uma chance de alcançar um novo público
com um novo produto, mas requer estudos.
Com a análise Pestel, você terá a capacidade de examinar com riqueza de detalhes as
alterações e poderá desenvolver um plano para minimizar todo ou qualquer aumento ou
redução no seu lucro, isso se o negócio puder ser atingido pelo que pode ser denominado
como uma ameaça inesperada. As oportunidades, geralmente, são externas; portanto, ao
utilizar a análise Pestel, para que possamos estudar os ambientes externos, as
oportunidades podem ser encontradas e utilizadas para fortalecer o negócio de sua
organização.
Fica aqui outra dica importante: se você pretende executar a análise Pestel, tente
identi car primeiramente o motivo e desenvolva uma ideia de negócio ou para entender
melhor o seu público-alvo, pois ela pode fornecer resultados abaixo do esperado,
dependendo do escopo e da necessidade.
Partindo para uma análise mais conclusiva, o CSA é uma metodologia que permite que os
diversos riscos associados às atividades desenvolvidas sejam devidamente identi cados,
administrados e mitigados, principalmente por meio de reuniões estruturadas e da
utilização dos questionários pelos gestores.
A questão crítica para o sucesso do CSA é o aculturamento sobre os riscos e controles de
suas atividades pelos gestores dos processos e por todos os funcionários da organização,
de modo que o reporte e a identi cação dos riscos não estejam associados a punições,
mas enfatizem a melhoria dos processos e, consequentemente, dos resultados da
organização.
Outros fatores importantes para o seu êxito são a escolha do facilitador e a de nição clara
do objetivo que se quer atingir com o processo. O facilitador deve ter habilidade para
conduzir o processo, encorajando a participação de todos os envolvidos.
A de nição do escopo do processo é fundamental para que a atividade alcance os
resultados esperados. Para isso, devemos de nir a função e o objetivo desse método, e o
nível de detalhe que será trabalhado.
Para a gestão do risco operacional, o CSA pode ser útil na identi cação tanto dos riscos já
incorridos como dos potenciais. Essa identi cação permitirá à organização estabelecer
controles nas atividades que apresentem riscos potenciais e trabalhar na mitigação dos já
existentes e identi cados.
Um processo de obtenção de autoavaliação de riscos e controles deve ser realizado com
perguntas de fácil entendimento e de preferência que sejam padronizadas para todos os
processos, pois, quando realizamos perguntas especí cas para o processo, existe a grande
possibilidade de perder o senso de comparabilidade dos riscos.
Em outras palavras, a montagem do questionário deve levar em consideração o volume de
operações, controles internos, compliance, segurança da informação, riscos, auditoria,
entre outros questionamentos. A seguir algumas sugestões de questões que podem ser
aplicadas em seus processos de CSA:
O importante é que a quantidade de questões não seja muito grande, tendo em vista que
algumas áreas possuem mais que um processo, como, por exemplo, o departamento
jurídico, que geralmente tem três processos: contencioso, societário e contratos. Então,
imagine um questionário com 30 questões: neste caso, seriam 90 questões a serem
realizadas, sobrecarregando o nosso cliente interno.
A cada questão formulada, geralmente identi camos ao lado a resposta do gestor para que
possamos entender os motivos que proporcionaram a análise dos riscos, que podem ser
alto, médio ou baixo.
Se uma matriz de riscos nunca foi elaborada, devemos iniciar com uma análise simples,
até porque ela é feita pelo gestor, pois neste momento a percepção de risco é dele, mas não
estamos impedidos de criar um cenário diferente para que haja uma avaliação mais
criteriosa.
Vale a pena evidenciar que este é um processo de análise macro, e sempre teremos que
realizar a visita in loco ou presencial para que possamos realmente validar o processo mais
a fundo, identi cando atividades, metodologias e tarefas exercidas, que serão realizadas
conforme indicadores de criticidade de riscos, determinando o cronograma de revisão e
análise.
Uma vez elaborados os questionários para as áreas e os processos, devemos compilar os
dados obtidos para que possamos elencar os processos com maior criticidade conforme as
questões apresentadas. Se levarmos em consideração um questionário de 15 questões,
teremos respostas individuais com suas análises de riscos entre alto, médio e baixo,
conforme a percepção dos gestores entrevistados, frisando que a nossa opinião não deve
se sobrepor a do gestor. A tabela a seguir exempli ca um relatório com a compilação de
dados:
Nível de risco
Tecnologia
Homologação Marcos Assi 8 3 4
da Informação
Tecnologia
Infraestrutura Marcos Assi 6 5 4
da Informação
Gostaria de destacar que os itens anteriores são eventos padrões. Caso a sua empresa
possua outra periodicidade, a avaliação deve ocorrer separadamente do processo, por isso
citamos relatórios que possuem periodicidade bimestral, trimestral, semestral, anual,
entre outras.
Outra informação de suma importância em gestão de riscos corporativos diz respeito ao
momento em que de nimos, com anuência da diretoria, a métrica de valores das perdas
conforme determina o apetite de riscos do negócio e de seus gestores; assim, podemos
citar, como exemplos, os valores a seguir:
Esse modelo é utilizado para análises iniciais e serve até mesmo para uma ideia do plano
de continuidade com base nas perdas possíveis, para provisão de riscos do negócio.
Quando apresentado dessa forma, ca mais objetiva a identi cação das perdas por
período de inatividade.
12 Aula sobre Técnicas de Análise de Risco. Faculdade de Tecnologia Senai Cimatec – Engenharia Elétrica.
Disponível em: https://www.docsity.com/pt/tecnicas-de-analise-de-risco-3/5208175/. Acesso em: 20 jan.
2021.
13 A sigla ESG advém do termo em inglês Environmental, Social and Governance – em português, ASG,
referindo-se a Ambiental, Social e Governança. No mundo dos investimentos, investimento ESG é aquele
que incorpora questões ambientais, sociais e de governança como critérios na análise, indo além das
tradicionais métricas econômico- nanceiras e, com isso, permitindo uma avaliação das empresas de forma
holística. Disponível em: https://conteudos.xpi.com.br/esg/. Acesso em: 21 jan. 2021.
Capítulo 10
Segurança da informação
10.1 Conceito
Todos os sistemas estão sujeitos a falhas, erros e mau uso de recursos em
geral. O sistema de informação é um valioso recurso para a organização.
Para que seja utilizado da melhor forma possível e esteja protegido contra
eventuais atos de violação e sinistros, é necessário que os controles sejam
considerados desde a fase da sua concepção.
Todos os controles são ferramentas que podem estar integradas ou não a
determinado sistema de informação aplicativo, visando à obtenção de
segurança contra ameaças presentes ou potenciais no ambiente de
tecnologia da informação.
A segurança da informação é um dos assuntos mais importantes entre as
preocupações de qualquer organização. Con dencialidade, con abilidade,
integridade e disponibilidade da informação estão diretamente ligadas à
segurança.
Segurança da informação é, atualmente, um dos mecanismos de maior
importância na promoção da integridade de uma estrutura de rede, na qual
trafeguem as informações e a base de dados, comuns e/ou restritas. Nessa
preocupação com segurança estão inclusos os hardwares que armazenam
tais informações.
É importante tornar essas informações con áveis e garantir que o seu uso
não trará nenhuma consequência danosa tanto para si como para outros
usuários da organização.
A elaboração de uma política de segurança da informação é uma tarefa
complexa e trabalhosa. Devido a alguns fatores, como monitoramento
contínuo, revisões e atualizações periódicas, seus benefícios muitas vezes só
serão notados em médio ou longo prazo.
Muitos entendem que a segurança da informação é causadora de geração de
custos. Entretanto, devido à dependência da tecnologia da informação, na
situação atual do mundo dos negócios, na qual o crescimento do uso de
tecnologias nos direciona na busca de redução dos custos e no aumento da
produtividade, com sistemas cada vez mais interligados, cria-se a
necessidade de tornar essa tecnologia segura e con ável.
É necessário desenvolver e implementar uma política de segurança da
informação em uma organização. A ISO 27000 demonstra que ela é de
extrema importância no combate às ameaças aos ativos de uma organização.
Vale a pena salientar que é um conjunto de diretrizes, normas e orientações
de procedimentos que visam conscientizar e orientar os funcionários,
clientes, parceiros, colaboradores e fornecedores para o uso seguro dos
ativos, que são as informações da empresa.
Como sugestão, necessitamos criar um grupo de trabalho ou uma comissão
composta de diversos pro ssionais dos principais departamentos da
empresa, pois, quanto mais abrangente for essa comissão, maior será a
divulgação das diretrizes de segurança na organização. É importante
salientar que, quanto mais abrangente for o grupo, maiores serão os
requisitos de segurança das atividades que ele exerce na organização.
Essa análise dos riscos de cada ativo deve considerar o impacto no negócio
causado por uma falha de segurança e a probabilidade de sua ocorrência.
Outro fator a ser considerado é que essa análise deve ser refeita
periodicamente de acordo com o ativo, para que se veri que como está a
situação do risco residual do ativo que pode ter aumento com o surgimento
de um novo risco.
Devemos fazer uma análise dos tipos de ativos que devem ser protegidos e a
quais dedicaremos esforços para aplicar os investimentos em segurança.
Também é importante lembrar que o custo da proteção do ativo não deve
ser maior que o valor nanceiro do ativo ou do impacto causado por uma
falha de segurança nesse ativo. Portanto, devemos avaliar o que proteger.
Com os ativos e seus respectivos riscos de nidos, passamos para a fase de
implementação dos controles necessários. Não podemos esquecer que os
controles variam de acordo com a necessidade de cada organização e eles
não eliminam os riscos, mas os minimizam para um percentual aceitável.
Esta obra busca evidenciar os riscos e seus controles; portanto, a política de
segurança é peça importante em uma gestão de compliance. A seguir
apresentamos algumas sugestões que devem fazer parte de uma política de
segurança da informação:
segurança organizacional;
gestão de ativos;
segurança física e do ambiente;
controle de acesso;
uso de intranet e internet;
dispositivos móveis;
acesso remoto;
utilização de e-mail corporativo;
utilização de impressoras;
acesso a datacenter;
realização, guarda e recuperação de backups;
aquisição, desenvolvimento e manutenção de sistemas de
informação;
gerenciamento de incidentes de segurança da informação;
gestão de continuidade de negócio;
conformidade e controles.
centralização e descentralização;
organização e departamentalização;
funções da administração/gestão;
administração do tempo;
administração do desempenho;
comportamento humano;
comunicação pessoal;
grupos formais e informais;
administração das diferenças (positivas e negativas);
reconhecimento e valorização;
competitividade;
inteligência de negócios.
Con dencialidade
Integridade
Disponibilidade
Sensibilidade
Identi cação
Autenticação
Autorização
Não repúdio
Perímetro de segurança
Controle de acesso
Governança
Criticidade
Estratégia
Arquitetura
Gestão
Risco
Exposição
Vulnerabilidades
Ameaças
Risco residual
Impacto
Ataques
Gap analysis
Controles
Contramedidas
Políticas
Padrões
Classi cação de dados
Auditabilidade (trilhas de auditoria ou log)
Métricas de segurança e monitoração
Análise de impacto nos negócios (BIA)
Análise de dependências nos negócios
ISO 27002: código de práticas para segurança da informação. Está estruturada em 11 seções de
controles de segurança da informação que juntas totalizam 39 categorias. Cada seção a seguir tem
uma série de controles que podem ser implementados, dependendo do tamanho e da necessidade
de cada empresa. Cada categoria principal de segurança da informação contém:
Devemos veri car se a avaliação dos riscos está dentro dos padrões e
critérios estabelecidos pela organização. Caso não esteja satisfatória, a
atividade pode ser refeita de forma que possamos revisar, aprofundar e
detalhar ainda mais a avaliação, assegurando que os riscos possam ser
adequadamente avaliados.
Implementar controles para reduzir, reter, evitar ou transferir os riscos é
mais uma das etapas que podem auxiliar no sucesso do seu projeto; porém,
se o tratamento do risco não for satisfatório e não facilitar a obtenção de um
nível de risco residual aceitável, deve-se iniciar novamente a atividade ou o
processo até que os riscos residuais sejam devidamente identi cados,
explicados e aceitos pelos gestores da organização. O tratamento do risco
pode avaliar as seguintes variáveis:
Por esse motivo, acreditamos que, para o seu negócio ser sustentável nesse
imenso desa o, e haja desa o, tanto na mudança da gestão quanto na forma
de continuar o seu negócio, entendemos que a gestão de riscos deverá ter
seu papel com o grau de relevância para manutenção de seus produtos e
serviços, colaboradores e gestores, clientes e, por que não, seus fornecedores;
a nal, todos fazem parte de sua cadeia de valor.
Entendemos que uma gestão de riscos bem estabelecida começa com boa
comunicação, pois, dessa forma, todos estarão “na mesma página”, sabendo
apenas o que for realmente útil, verdadeiro e necessário para que prossigam
trabalhando de modo seguro e, ao mesmo tempo, auxiliando a empresa no
atingimento dos objetivos de seu plano de gestão de crises e de continuidade
dos negócios.
É provável que, quando chegarmos ao m da crise provocada pela
pandemia, as organizações que a ela sobreviverem se deparem com algumas
baixas e perdas, mas esperamos que esses dados, mesmo negativos, não
tenham destaque maior do que os aprendizados que advierem com o
período.
Entendemos que esse aprendizado faça sentido de verdade. A nossa sugestão
é revisitar os processos operacionais de sua empresa no que tange ao sistema
de controles internos, compliance, gestão de riscos, gestão de crises e gestão
da continuidade de negócios. Fica a nossa dica: jamais negligencie a
importância de se preocupar com a melhoria contínua e com correções
necessárias que, se detectadas e implementadas imediatamente, garantirão
valor agregado e perenidade.
Implementação da LGPD: por onde começar?
Controlador, operador e encarregado: estes pro ssionais são fundamentais nas empresas que
pretendem implantar a LGPD
É importante entender que devemos interpretar o que diz a lei, pois a GDPR
entende que o DPO tem atividades implícitas por extensão natural do cargo.
E isso é muito importante: evidenciar como poderemos manter registro das
operações de tratamento de dados e como deveremos informar,
regularmente, a conformidade e os riscos à alta administração e,
principalmente, como manter a sinergia dos processos em conjunto com
controles internos, compliance, riscos e auditoria interna.
Dessa forma, o encarregado estimula o tratamento de dados pessoais, mas
não trata os dados, tem como principal função orientar todos sobre as
melhores práticas de privacidade e deverá ser o canal de comunicação,
adotando todas as providências necessárias para o controlador car em
conformidade com a legislação e colaborar na revisão do código de conduta
com os itens para proteção dos dados pessoais.
Segundo alguns especialistas, algumas posições podem ser con itantes com
a função de DPO, tais como CEO, COO, CFO, coordenador de marketing,
coordenador de RH, coordenador de TI, somente para citar alguns.
Contudo, sempre devemos avaliar o porte da organização e se existem
condições de estabelecer essa independência.
Todos têm que indicar o encarregado de dados? A princípio sim. Segundo a
lei, a ANPD poderá dispensar a necessidade de indicação do DPO,
conforme a natureza, o porte da entidade ou o volume de operações de
tratamento de dados. Como ainda não temos nenhuma de nição do
regulador no Brasil, devemos aguardar o que virá pela frente.
Outro item muito importante é o Art. 44 da lei que determina:
O tratamento de dados pessoais será irregular quando deixar de observar a
legislação ou quando não fornecer a segurança que o titular dele pode esperar,
consideradas as circunstâncias relevantes, entre as quais:
I – O modo pelo qual é realizado;
II – O resultado e os riscos que razoavelmente dele se esperam;
III – As técnicas de tratamento de dados pessoais disponíveis à época em que
foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da segurança
dos dados o controlador ou o operador que, ao deixar de adotar as medidas de
segurança previstas no art. 46 desta Lei, der causa ao dano.
Em outras palavras, o DPO não será responsável pelo não cumprimento das
obrigações relacionadas ao tratamento de dados pessoais; porém, se passar
instruções inadequadas, que venham a gerar danos aos titulares de dados,
seja por negligência, alguma imperícia ou imprudência, poderá sim ser
responsabilizado, conforme já previsto no art. 43, III da referida lei.
Portanto, procure um encarregado de dados ou DPO que possa: