boletim informativo - cloud object storage | store ... · cara com um aparato sofisticado de...

1www.b2finance-group.com

Boletim Informativo

2 www.b2finance-group.com

Boletim InformativoAno 2 Ed. 37 - 20 de agosto de 2015

NESTA EDIÇÃO

5

8

9

11

12

14

16

18

9 FATOS SOBRE SEGURANÇA EM COMPUTADORES QUE OS ESPECIALISTAS GOSTARIAM QUE TODOS SOUBESSEM

ACREDITEM, O CLIENTE NUNCA MAIS VOLTA

AUDITORIA PARA PEQUENAS E MÉDIAS EMPRESAS

NORMAS BRASILEIRAS DE CONTABILIDADE PARA PMEs (PEQUENAS E MÉDIAS EMPRESAS)

PETROBRAS ANUNCIA QUE VAI AUMENTAR CONTROLE INTERNO PARA EVITAR FRAUDES

AVALIAÇÃO DE RISCO SEGUNDO O COSO - Controles Internos 2013

PONDERAÇÃO ENTRE PRIVACIDADE E AVANÇO ECONÔMICO É DESAFIO NA PROTEÇÃO DE DADOS

A MATEMÁTICA DA CORRUPÇÃO

EDITORIAL

Caros leitores, o Boletim Informativo da b2finance tem como objetivo trazer informações importantes sobre o dia a dia das áreas de outsourcing, auditoria, tecnologia e consultoria, levantando as principais notícias do mercado, os impactos que as empresas sofrem, dicas, novidades e tendências.

Há mais de 20 anos no mercado, a b2finance vive em constante aprimoramento e leva valor aos clientes que buscam serviços de qualidade, por isso acredita na importância de se manter sempre atualizada e a par das mudanças do mercado em que está inserida.

EXPEDIENTE

Agência Ideia da CoisaComunicação

Jornalista responsável: Juliana Garcia | MTB: 63.694 [email protected] Ideia da Coisa Comunicação11 3476-7328 | 11 98209-8903Gilmara MachadoGabriela Utuari

Projeto GráficoMatchbox branding, comunicação e designwww.matchboxdesign.com.br


Abel Babini

Fabricio Amorim

Rodrigo Granja

Luiz Dias

Partner Technology

Alameda Mamoré, 911 – 19º andar | Alphaville Barueri | SP | 06454-040 | BR+55 11 3173-4499 +55 11 95030-4489 [email protected]

Partner Technology

Av. Antonio Carlos Camitre, 511- 1º andarSorocaba | SP | 18047-620 | BR+55 15 3327-0777 +55 15 99158-8300 [email protected]

Partner Technology

Alameda Mamoré, 911 – 19º andar | Alphaville Barueri | SP | 06454-040 | BR+55 11 3173-4499 +55 19 98848-0470luiz.gustavo@b2finance-group.comwww.b2finance-group.com

Partner Technology

Alameda Mamoré, 911 – 19º andar | AlphavilleBarueri | SP | 06454-040| BR +55 19 3705-4301 +55 19 98848-0469rodrigo.granja@b2finance-group.comwww.b2finance-group.com

Formado em Administração de Empresas, com extensão em Gestão de Negócios e Projetos, atua há 20 anos na área de TI, em empresas brasileiras e internacionais específicas do segmento de ERP, sempre em posição de gestão e liderança em serviços e projetos. Atualmente, responde pela área de serviços da b2finance, onde atua na gestão de mais de 70 profissionais.

Com mais de dez anos de experiência profissional na prestação de serviços de consultoria sistêmica, é formado em Engenharia da Computação e sócio de Business Intelligence na b2finance. Em seu vasto currículo profissional constam serviços prestados para empresas nacionais e multinacionais de diversos segmentos, relacionados a departamentos administrativos e produtivos. Atuou como arquiteto de soluções, implementando rotinas e soluções que agregaram valor os negócios do cliente.

Com formação em Análises de Sistemas, tem mais de 15 anos de experiência na área de Consultoria em Sistemas de Gestão Empresarial (ERP), atendendo mais de 200 clientes da Região Metropolitana de Campinas. Com conhecimentos em Gerenciamento de Projetos e Equipes de TI, cita como suas principais competências liderança e habilidades de negociação com clientes internos e externos. É atualmente um dos responsáveis pela área de tecnologia da b2finance.

Formado em Análise de Sistemas e com MBA em Gestão Empresarial, atua desde 2009 como Gestor de Serviços. Dentre suas qualificações, destacam-se gerenciamento de projetos de implantação de sistema de gestão empresarial (ERP) envolvendo todas as áreas da empresa, liderança de equipes, negociação comercial de projetos e gestão baseada em indicadores.


Editorial

Colaborou:

Jorge Oronzo - Partner | Auditoria

O CAMINHO DO TRAINEE QUE SAIU DA ROCINHA E CHEGOU À AMBEV

Todos os anos, dezenas de milha-res de candidatos tentam a apro-vação no programa de trainee da Ambev, um dos mais cobiçados - e, portanto, concorridos - do Brasil. Neste ano, um dos jovens do seleto grupo de aprovados é Luiz Fernando Souza que estreou em janeiro no programa. Sua tra-jetória de esforço e dedicação fez com que sua sorte mudasse algumas vezes em apenas duas décadas de vida, boa parte delas vividas na comunidade da Roci-nha, no Rio de Janeiro.

A primeira virada: Como estudante da rede pública de educação, Luiz viu sua sorte mudar a primeira vez aos 13 anos com a visita de uma entidade pri-vada à escola. Entre quase 1.500 inscritos em 2005, o jovem ficou entre os 122 alunos selecionados para ganhar uma bolsa integral em um colégio particular. Após uma série de avaliações, como provas de português, conheci-mentos gerais, lógica e entrevis-tas em grupo, ele foi transferido para uma instituição de ponta. O apoio partiu do Instituto Social para Motivar, Apoiar e Reconhe-cer Talentos (Ismart) que trabalha para dar acesso a jovens talentos de baixa renda em programas de desenvolvimento e orientação profissional, do ensino funda-mental à universidade. “Durante dois anos, para acompanhar a turma, estudei nas duas escolas

ao mesmo tempo”, diz Luiz. Além da mensalidade, a bolsa também garantia a alimentação, gastos com transporte e o material es-colar. No meio do caminho, outros estudantes acabaram desistindo do processo – o programa exige que o aluno mantenha boas no-tas. Mas, não Luiz.

Faculdade de Direito: A dedicação nos estudos e o in-centivo de seus professores do ensino médio, que enxergaram nele um forte potencial, o leva-ram a optar pelo curso de Direi-to, anos depois. O objetivo es-tava traçado e na mira estava a PUC-Rio. Era a chance de ajudar seus pais e ter uma vida melhor, fora da Rocinha. “Todos os dias eu passava em frente ao campus e dizia aos meus pais: um dia eu ainda vou estudar lá”, descreve. O estudo diário para o processo de seleção de bolsas da universida-de rendeu frutos. Além do auxílio, Luiz também garantiu uma vaga no Programa Universidade para Todos (ProUni). Em pouco tempo, estava estudando e trabalhando. Durante os cinco anos de facul-dade, estagiou em grandes escri-tórios, como Mattos Filho Advo-gados e chegou a ser efetivado no fim de sua graduação. Porém, a vida na Rocinha não era fácil. Além da falta de segurança na comunidade, Luiz sofria precon-ceito ao subir o morro de terno e gravata depois do trabalho. “O clima não era legal. As pesso-as me viam e me chamavam de pastor por conta da minha rou-pa”, diz. Com auxílio de bolsa da Fundação Estudar, que tem como objetivo potencializar jovens ta-

lentos por meio de orientação, preparação e financiamento de carreira, ele conseguiu alugar um apartamento em outra região.

A grande virada: o trainee da Ambev: No ano passado: mais uma mu-dança. Agora advogado, Luiz foi um dos 70 mil inscritos no pro-grama de trainee da Ambev e um dos 24 aprovados. A decisão de largar o escritório para ser trainee veio com a vontade de enfrentar novos desafios. “Acomodar-me não era uma opção. Quis fugir da minha zona de conforto”, relata. A preparação para as etapas foi feita com muito estudo sobre a empresa e seus valores – ele não chegou a se inscrever em outros programas. Segundo Luiz, que hoje mora em São Paulo e segue em uma das etapas do programa, a principal dica para alcançar um cargo em uma grande companhia é ter vontade e saber realmente qual o motivo de querer trabalhar naquele lugar. É preciso saber aonde se quer chegar e não pen-sar só no dinheiro”. Seu próximo sonho: tornar-se sócio da com-panhia. Que história maravilho-sa!!!!! Alguns podem pensar e fa-lar – “Que rapaz de sorte não???” Sorte??? Não acredito em sorte. Acredito que a sorte nada mais é que a união entre a capacidade mais dedicação mais estudo. Se conseguir dosar bem todas essas possibilidades, você terá sempre sorte. Portanto, devemos tomar muito cuidado para não ficar sem sorte!

(Fonte: Exame)


Todos os dias ouvimos falar em falhas de seguran-ça, vírus e gangues de hackers malignos que podem roubar todos os seus dados ou algo até pior. Mas o que há de verdade nessas ameaças digitais? Foi realizada uma pesquisa com especialistas em segu-rança de computadores para separar o mito do fato. Veja o que eles dizem:

1. Ter uma senha forterealmente evita muitos ataques: Para quase todos os casos existem duas soluções simples que valem para a maioria dos usuários: senhas fortes e autenticação em dois passos. Os especialistas disseram que o maior problema é que a mídia se concentra em falar sobre os hacks mais profundos e complicados, o que faz muitos acreditarem que não há muito o que fazer para se defender deles. Mas isso não é verdade. Os especialistas percebem muito niilismo na mídia, na indústria da segurança e no público geral desde o vazamento dos documentos de Snowden. Isso geralmente é expressado com as pessoas jogando as mãos para o alto e dizendo “não há nada a ser feito para ficar seguro”. É verdade que há pouco o que a maioria das pessoas pode fazer ao dar de cara com um aparato sofisticado de inteligência com a habilidade de reescrever firmware de disco rígido, mas isso não deveria dissuadir usuários de fazerem o que podem para se proteger de ataques mais possíveis e nem profissionais de segurança de desenvolver proteções fáceis de serem usadas contra adversários realistas. Os usuários podem se proteger da maioria das ameaças possíveis ao seguir esses dois passos simples: a) instalando um gerenciador de senhas e usando-o para criar senhas únicas para cada serviço que eles usam e b) ativando opções de autenticação em dois passos (normalmente via mensagens de texto) em suas contas de e-mail e redes sociais.

2. Só porque um dispositivo

é novo não quer dizer que ele seja seguro: Quando você tira seu smartphone, tablet ou laptop da caixa, ele tem cheiro de novo e as baterias duram que é uma maravilha. Mas isso não significa que seu computador já não esteja infectado por malwares ou cheio de vulnerabilidades de segurança. Eu ouvi isso de diversos especialistas de segurança que entrevistei. Eles acreditam que um dos maiores mitos de segurança é que dispositivos iniciam suas vidas completamente seguros, e se tornam menos seguros com o passar do tempo. Isso não é verdade, especialmente considerando que diversos dispositivos vinham com adwares como o Superfish pré-instalados. É por isso que o Superfish é um negócio tão grande. Eles construíram uma backdoor nele, e fizeram um bem ruim e incompetente, e agora qualquer pessoa consegue atravessá-la. Quando você depende de códigos escritos por outra pessoa, por um serviço online ou algo que você não controla, grandes são as chances de que ele não aja de acordo com o seu interesse, já que ele tenta te vender algo. Há uma boa chance de o código já ser pertencente a alguém ou comprometido com outra pessoa. Não temos uma boa forma de lidar com confiança e gerenciamento agora. E todas as pessoas estarão usando esses códigos. O outro problema, que ganhou espaço na mídia no começo do ano com o ataque FREAK, é que muitas máquinas saem de fábrica com backdoors pré-instaladas. Isso é feito devido a pedidos governamentais para facilitar que agências de inteligência e policiais rastreiem adversários. Mas, infelizmente, essas backdoors também são vulnerabilidades de segurança que qualquer pessoa pode usar. O que é realmente importante de se entender é que, se você construir um sistema de monitoramento em algo como uma rede de celulares ou em um sistema de criptografia, qualquer um consegue entrar lá dentro. Você criou uma vulnerabilidade no sistema, e, claro, você pode controlar um pouco o acesso. Mas, no fim do dia, uma backdoor é uma backdoor, e qualquer pessoa pode atravessá-la.

9 Fatos sobre segurança em computadores que os especialistas gostariam que todos soubessem


3. Mesmo os melhores softwares do mundo contam com falhas de segurança: Muitos de nós acreditamos que softwares e redes suficientemente bons são completamente seguros. Por causa disso, muitos usuários ficam bravos quan-do máquinas ou serviços que eles usam se mostram vulneráveis a ataques. Afinal de contas, se podemos projetar um carro seguro, porque não conseguimos um smartphone seguro? Não é questão de conse-guir a ciência e a tecnologia certa para isso? Eles acreditam que a segurança da informação é meio que como a medicina – um pouco de arte e ciência – em vez de ciência pura. Isso porque nossa tecno-logia foi construída por humanos e está sendo usa-da por humanos com motivações pouco científicas. Portanto, a segurança da informação é muito como a medicina – é tanto uma arte quanto uma ciên-cia. Talvez isso seja porque humanos construíram a tecnologia e a internet. Acreditamos que somos capazes de construí-las perfeitamente, mas a com-plexidade do que construímos e a esperança de fa-zer tudo ser seguro é quase impossível. Garantir a segurança exigiria que tivéssemos zero bugs e isso significa que a economia não está do lado do defen-sor. Os defensores precisam ter certeza de que não existem bugs nos softwares que eles usam ou es-crevem (normalmente muitos milhões de linhas de códigos, se você considerar o sistema operacional), enquanto o atacante só precisa encontrar um bug.

4. Todo site e app deveria usar HTTPS: Você já deve ter ouvido rumores sobre o HTTPS. Ele é lento. É apenas para websites que precisam de ul-tra segurança. Não funciona tão bem. Tudo isso é mentira. Há um equívoco perigoso de que muitos sites e apps não precisam de HTTPS. Outro equí-voco sério está na operação de websites, como jor-nais e redes de publicidade, que acham que “como não processamos pagamentos de cartão de crédito, nosso site não precisa ser HTTPS, e nosso app não precisa usar HTTPS”. Todos os sites na web precisam ser HTTPS, porque sem HTTPS é fácil para hackers, bisbilhoteiros ou programas de vigilância governa-mental verem exatamente o que as pessoas leem no seu site, quais dados seu app está processando, ou até mesmo modificar ou alterar esses dados de formas maliciosas.

5. A nuvem não é segura – ela na verdade cria novos problemas de segurança: Tudo hoje em dia está na nuvem. Seus e-mails fi-cam guardados lá, junto com suas fotos, suas men-sagens, registros médicos, documentos bancários e

até mesmo a sua vida sexual. E a nuvem é mais se-gura do que você imagina – só que ela também cria novos problemas de segurança que você nem imagi-nava que poderiam existir. Os especialistas sugerem que você comece a pensar em usar uma metáfora fí-sica mais familiar: sua casa é a sua casa, e você sabe exatamente quais são as precauções de segurança que você tomou para evitar intrusões – e quais são as vantagens e desvantagens. Você tem uma tran-ca? Um sistema de alarme? Grades na janela? Ou você não quis colocar nada disso porque poderia in-terferir na decoração? Ou você vive em um prédio de apartamentos no qual algumas dessas coisas são gerenciadas para você? Talvez tenha um porteiro na frente do prédio, ou o acesso a cada andar é restrito a quem tem um cartão especial. Colocar seus dados na nuvem é como viver em um prédio bastante se-guro. Só que um pouco mais estranho. Serviços na nuvem são capazes de correlacionar dados através de seus consumidores, não apenas ver as coisas de uma pessoa específica. Você pode não controlar o acesso ao lugar no qual seus dados estão armaze-nados, mas há alguém na recepção do prédio 24 ho-ras por dia, 7 dias por semana, e ele observa os logs e padrões de uso do mesmo jeito. É mais ou menos como imunidade coletiva. Muitas coisas saltam ime-diatamente: eis um único endereço de IP entrando em diversas contas diferentes, em um país comple-tamente diferente do que essas contas costumam ser logadas. Oh, e cada uma dessas contas rece-beu um arquivo em particular ontem – talvez seja um arquivo malicioso, e todas essas contas foram comprometidas? Mas se for um ataque com alvo de-finido, os sinais são mais sutis. Quando você tenta defender um sistema de nuvem, você está atrás de uma agulha em um palheiro, porque você tem mui-tos dados para lidar. Muito se diz sobre “big data” e aprendizado de máquinas atualmente, mas estamos apenas começando a arranhar a superfície de como encontrar as pegadas sutis de hackers. Um hacker habilidoso vai saber como se mover silenciosamente e sem deixar nenhum tipo de padrão para ser de-tectado por um sistema. Em outras palavras, alguns métodos automáticos de ataques são incrivelmente óbvios para sistemas na nuvem. Mas também é mais fácil se esconder deles.

6. Atualizações de software são cruciais para a sua proteção: Poucas coisas irritam mais do que pop-ups avisando de atualização de programas. Frequentemente você precisa conectar um dispositivo, e esperar até que as atualizações acabem de ser instaladas. Mas elas frequentemente são aquilo que fica entre você e um hacker. Essas mensagens de atualização de softwa-re não estão lá apenas para te irritar: a frequência dessas atualizações depende menos de novos re-cursos de software e mais de alguma falha obscu-


ra que pode permitir que um hacker ganhe contro-le sobre o seu sistema. Essas correções de softwa-re consertam problemas que foram identificados publicamente e possivelmente usados em ataques pela internet. Você não passaria dias sem limpar e enfaixar uma ferida no seu braço, certo? Então não faça isso com o seu computador.

7. Hackers não são criminosos:Apesar de décadas de evidências contrárias, a maio-ria das pessoas pensam que hackers são adversá-rios malvados que não querem nada além de roubar seus preciosos bens digitais. Mas hackers também podem ser bons – os chamados “White Hat” são os que invadem sistemas com o objetivo de chegar lá antes dos caras maus. Assim que as vulnerabili-dades são encontradas, elas podem ser corrigidas. Além disso, hackers não são criminosos. Só porque alguém sabe como invadir algo, não significa que ele vá usar esse conhecimento para machucar pesso-as. Muitos hackers ajudam a fazer as coisas ficarem mais seguras. Na verdade, é que precisamos de ha-ckers porque só software não são suficientes para proteção. Sim, programas antivírus são um bom começo. Mas, no fim das contas, você precisa de especialistas em segurança como hackers para se defender de adversários que são seres humanos: a segurança é menos sobre construir muros e mais so-bre como ativar guardas de segurança. Ferramentas de defesa sozinhas não conseguem parar um hacker dedicado e com recursos. Se alguém quiser demais, pode comprar todas as ferramentas de segurança que o alvo tem e testar o ataque contra uma versão simulada da rede do alvo. Combater isso não exi-ge apenas boas ferramentas, mas também pessoas que saibam como usar essas ferramentas. Outro fa-tor importante é que hackers maliciosos são rara-mente a maior ameaça. Em vez disso, a ameaça vem de pessoas que você não suspeita – e suas moti-vações podem ser muito mais complicadas do que mero roubo: muitas vezes um empregado interno é uma grande ameaça e pode derrubar um negócio – intencionalmente ou não. Além disso, existem tipos distintos de atores externos ameaçadores (cibercri-minosos, hacktivistas ou outros financiados por go-vernos) com motivações e capacidades diferentes.

8. Ciberataques e ciberterrorismo são muito

raros: Como muitos especialistas com quem conversei me disseram, sua maior ameaça é alguém que invade a sua conta por ter descoberto sua senha. Mas isso não impede que pessoas se desesperem com uma possibilidade de “ciberataques” mortais. Sim, existem formas de se hackear um veículo que esteja em qualquer parte do mundo; sim, dispositivos como marca-passos e bombas de insulina contém endereços IP ou então são ativados via Bluetooth – mas frequentemente esse tipo de ataque exige proximidade física para acesso e ferramentas que são sofisticadas demais e exigem tempo para serem desenvolvidas e implementadas. Dito isso, não deveríamos ignorar os milhões de dispositivos conectados (Internet das Coisas) que aumentam nossa superfície de ataque. Basicamente, muitos temem ciberataques da mesma forma que temem serial killers. São as mais assustadoras de todas as ameaças. Mas também são as mais improváveis. Em relação ao ciberterrorismo, os especialistas disseram o seguinte: “Ciberterrorismo (até hoje) não existe… o que é atribuído a ciberterrorismo hoje é algo mais como hacktivismo, como ganhar acesso ao Twitter para postar propaganda do Estado Islâmico”.

9. Darknet e Deepweb não são a mesma coisa: Os especialistas entendem que um dos maiores problemas que existe hoje com a cobertura da mí-dia de cibercrimes é a confusão no uso dos termos “Darknet” e “Deepweb”. Eles explicam que esses termos realmente significam: a Deepweb se refere a uma parte da internet, especificamente a world wide web (assim tudo começa com www) que não é indexada por mecanismos de busca, e assim não pode ser acessado via Google. A Darknet se refere a redes que não fazem parte da world wide web, que exigem softwares separados para serem acessadas. Por exemplo, o Silk Road e muitos mercados ilícitos são hospedados em redes da Darknet como I2P ou Tor. Então arranje um cofre para a sua senha, use au-tenticação em dois passos, visite apenas sites que usam HTTPS e pare de se preocupar com ataques sofisticados vindos da Darknet. E lembre-se, hackers também podem te proteger.

(Fonte: Linkedin)

Colaborou: Jorge OronzoPartner | Auditoria


Tempos atrás, Sam Walton, fundador da maior rede de varejo do mundo, a Wal--Mart, abriu um programa de treinamento para seus funcionários, com muita sabedoria. Quando todos esperavam uma palestra so-bre vendas ou atendimento, ele iniciou com as seguintes palavras:

- “Eu sou o homem que vai a um restaurante, senta-se à mesa e espera paciente-mente, enquanto o garçom faz tudo, menos anotar o meu pedido”.

- “Eu sou o homem que vai a uma loja e espera calado, enquanto os vendedores terminam suas conversas particulares”.

- “Eu sou o homem que en-tra num posto de gasolina e nunca usa a buzina, mas espera pacientemente que o empregado termine a leitu-ra do seu jornal”.

- “Eu sou o homem que explica sua desesperada urgência por uma peça, mas não reclama quando a

recebe somente após três semanas de espera”.

- “Eu sou o homem que, quando entra num estabe-lecimento comercial, parece estar pedindo um favor, implorando por um sorriso ou esperando apenas ser notado”.

Você deve estar pensando que sou uma pessoa quieta, paciente, do tipo que nunca cria problemas. Engana-se! Sabe quem eu sou? Eu sou o cliente que nunca mais volta! Divirto-me vendo milhões sendo gastos todos os anos em anúncios de toda ordem, para levar-me de novo à sua empresa, sendo que quando fui lá pela primeira vez, tudo o que deveriam ter feito era apenas uma pequena genti-leza, simples e barata: tratar--me com um pouco mais de cortesia. Só existe um che-fe: O CLIENTE. E ele pode demitir todas as pessoas da empresa, do presidente ao faxineiro, simplesmente levando o seu dinheiro para gastar em outro lugar.

(Fonte: Linkedin)

Acreditem, o cliente nunca mais volta

Preocupado com a pro-posta de Eduardo Cunha, que prevê equiparar a cor-reção das contas do Fun-do de Garantia do Tempo de Serviço (FGTS) à da caderneta de poupança, a equipe econômica pre-para medida que paga uma espécie de ‘dividen-do’ anual aos cotistas, ou seja, o governo vai apre-sentar ao Congresso uma proposta para mudar a forma de remuneração da conta dos trabalhadores no FGTS. Com a iniciati-va, tenta evitar a aprova-ção de um projeto apadri-nhado pelo presidente da Câmara, Eduardo Cunha (PMDB-RJ), que corrige o FGTS pelo índice da ca-derneta de poupança e, na prática, dobra a remu-neração do Fundo para os depósitos feitos a partir de janeiro de 2016. Cunha afirmou que colocará esse projeto para votação na semana que vem.

Governo propõe dividir parte do lucro do FGTS com os trabalhadores

FIQUEM ATENTOS!



A auditoria deixou há mui-to tempo de ser exclusivida-de de grandes corporações e empresas com capital nego-ciados em bolsa de valores, chamadas SA´s. O principal objetivo da auditoria sempre foi emitir uma opinião sobre as demonstrações contábeis por meio de testes suporta-dos pelas normas brasileiras de auditoria, avaliando se a empresa está de acordo com as normas e as práticas es-tabelecidas pela legislação. Entretanto, hoje em dia, ape-nas emitir uma opinião fria não é o bastante. Todo tra-balho de auditoria deve ser acompanhado por uma carta à gerência ou relatório de re-comendações, que trata de controles internos e tem o va-lor de uma consultoria, como uma visão independente, que auxilia a empresa ser mais efi-ciente e mitigar os riscos cor-porativos. Os procedimentos de auditoria para chegarmos a esses objetivos são anali-ses de evidências a respeito de fatos, valores e divulga-ções apresentadas nas de-monstrações contábeis. Fre-quentemente, iniciam-se tais procedimentos com a análise dos controles internos da em-presa auditada com o intuito de avaliar a confiabilidade do fluxo de informações geradas para contabilidade. Como produto desses procedimen-tos, são disponibilizados os relatórios de recomendações, contendo sugestões para re-

gularização e aprimoramento das deficiências de controles internos identificadas, bem como os riscos envolvidos. Não são identificados apenas erros ou exceções, mas tam-bém uma forma de tornar o sistema operacional da em-presa mais competente, elimi-nando custos desnecessários com controles dispensáveis e ineficazes. Isso quer dizer que, em todo trabalho de auditoria contratado para emissão da opinião independente, uma empresa está, indiretamen-te, submetendo seus prin-cipais ciclos operacionais a uma análise crítica profunda, como uma consultoria muito bem fundamentada. Ainda há uma grande resistência por parte de pequenas e médias empresas para contratar uma empresa independente para auditar suas demonstrações contábeis, principalmente pelo valor do investimento. Percebemos que os gesto-res destas empresas ignoram as falhas de controle interno existente em seu fluxo ope-racional, portanto não consi-deram os benefícios oriundos da realização de uma boa auditoria independente. Au-ditoria que, além de permitir uma maior transparência na divulgação das demonstra-ções contábeis, proporciona uma melhoria considerável na governança corporativa, com enriquecimento na qualida-de das informações recebidas pela alta gestão da empresa

Auditoria para pequenas e médias empresas

Poucas semanas da apro-vação do decreto número 8.420, que regulamentou a Lei Anticorrupção em 18 de março de 2015, a Con-troladoria Geral da União (CGU) publicou duas por-tarias e uma instrução normativa regulamentan-do o decreto. É de espe-cial interesse a de número 909 de 07/04/2015, pu-blicada em 08 de abril de 2015, que dispõe sobre a avaliação de programas de integridade de pessoas jurídicas. Ela tem o mérito de esclarecer em detalhes não só os requisitos de efetividade de um progra-ma de integridade, mas também os documentos que deverão ser produzi-dos em caso de audito-ria ou investigação para comprovar a efetividade do programa. Resumida-mente, a pessoa jurídica deverá apresentar um re-latório de perfil e um re-latório de conformidade com o programa.

Regulamentação do decreto nº 8420 lei anticorrupação 12.846/13

FIQUEM ATENTOS!


auditada. A auditoria também favorece a empresa auditada pelo fato de trazer uma vi-são externa sobre o setor que essa empresa está inserida, podendo antecipar a expo-sição ao risco da companhia pelo modelo de seu negócio, seja em virtude da estrutura corporativa e da alavancagem ou devido ao perfil dos execu-tivos. Quanto maior o nível de monitoramento do ambiente corporativo de uma determi-nada empresa, menor será a propensão da ocorrência de irregularidades. Apesar da re-alização periódica de audito-ria independente sobre os sis-temas de controle interno não se constituir como uma garan-tia de inexistência de desvios intencionais, a sua execução

inibe e desestimula tal práti-ca. A administração das em-presas de pequeno e médio porte necessita entender que o auditor independente não tem como objetivo a identi-ficação de fraudes e quais-quer outros tipos de irregu-laridades semelhantes (para isso, trabalhos direcionados e pontuais devem ser estabe-lecidos). O resultado do seu trabalho melhora a eficiência operacional da empresa au-ditada, proporcionando um aperfeiçoamento nos contro-les internos dos seus princi-pais ciclos operacionais. A im-plantação de uma cultura de controle interno, por parte das pequenas e médias empresas brasileiras, baseada na reali-zação periódica de auditoria

independente sobre os seus sistemas de controle interno, proporcionará maior trans-parência, segurança e melhor qualidade da informação para a sua direção, seus sócios, possíveis compradores, ban-cos e outros. Segundo estudo da International Shareholder Services, as empresas cujos procedimentos correspondem ao mais alto grau de gover-nança, conquistaram margens líquidas de lucro 21,66% acima da média de seu segmento, o que afasta de vez o “fantas-ma” de uma auditoria ser um alto investimento sem retor-no.

(Fonte: Dioclécio Oechsler é Sócio de

Auditoria da BDO RCS)

Colaborou: Jorge Oronzo Partner | Auditoria


A NBC-TG-1000 é a norma brasileira de contabilidade para atender as práticas con-tábeis específicas no âmbito das pequenas e médias empresas. Os pronunciamentos contábeis internacionais estão requeridos e sua convergência aprovada para implemen-tação a partir de 2010, com a entrada em vi-gor da Lei 11.638/07. Na prática, muitas em-presas de pequeno e médio porte, desde a divulgação da NBC-TG 1000, aprovada pela Resolução CFC 1.255/2009, ainda não estão enquadradas nesta norma e muitos conta-dores e empresários destas empresas não priorizaram a implementação de sua conta-bilidade para atender esses preceitos legais. E como saber se a minha empresa está obri-gada a atender a NBC-TG-1000? O Conse-lho Federal de Contabilidade conceitua que as empresas de pequeno e médio porte que não possuem obrigação pública de presta-ção de contas para fins gerais dos usuários externos, não são Pequenas e Médias Em-presas – PMEs:

Desta forma, atendendo ao conceito de pe-quenas e médias empresas, os principais elementos contábeis, dentre os diversos elencados na NBC, que merecem atenção são:

a) As PMEs que possuem estoques devem seguir as normas de contabilidade para apuração e mensuração dos estoques pelo custo de aquisição, custo de transformação e aloca-ção de custos indiretos da produ-ção. Algumas empresas continuam utili-zando os critérios arbitrados pela legislação fiscal, não estando de acordo com as práti-cas contábeis atuais;

b) O imobilizado deverá atender os cri-térios de ser um ativo tangível que gera benefícios futuros, seu custo pode ser mensurado de maneira confiável e a empresa analisa pe-riodicamente a vida útil econômica do bem e se não existem indícios de descontinuidade e recuperação desses ativos. O uso do tratamento do imobilizado através de critérios fiscais não é aceito nestas práticas contábeis;

c) As receitas são reconhecidas quando da venda de produtos, mercadorias e servi-ços e devem seguir os conceitos de competência e não os conceitos de caixa, ainda utilizados por muitas empre-sas;

d) As provisões, principalmente para pas-

Normas brasileiras de contabilidade para PMEs (pequenas e médias empresas)

Empresas com negociações de ações e outros instrumentos de dívidas no mercado;

Bancos, cooperativas de crédito, corretoras de seguro, bancos de investimentos;

Empresas de grande porte que, de acordo com a Lei 11.638/07, são aquelas que possuem faturamento anual acima de R$300 milhões e/ou total de seus ativos acima de R$240 milhões;



sivos contingentes, que são aquelas sobre processos judiciais na esfera trabalhista, fiscal ou cível, devem ser avaliadas e registradas contabilmente toman-do-se em conta a probabilidade de ocorrência desfavorável para a empresa. Esta situação em muitas em-presas somente é registrada quando há o pagamento na finalização do processo; e

e) Preparação das demonstrações financeiras e as respectivas notas explicativas, requisito o qual a grande maioria das PMEs não estão atendendo.O Conselho Federal de Contabilidade no uso de suas atribuições procura identificar as empresas e seus contadores que não es-tão seguindo as práticas contábeis defini-das na NBC-TG-1000, através de fiscaliza-ções com caráter de orientação e, em alguns casos, aplicando punições. Muitas fiscaliza-

ções que foram efetuadas demonstraram uma realidade distante do ideal e, em diver-sos casos apurados, as PMEs não possuem uma escrituração contábil para apresenta-ção e cumprimento das regras legais. Com o propósito de incentivar as PMEs a escriturar suas informações financeiras e atender aos pronunciamentos da NBC-TG-1000, está em andamento um projeto (Acordo Públi-co) para que as empresas possam cadastrar suas Demonstrações Financeiras de acordo com a norma contábil e usufruir de linhas de financiamentos e participação em proces-sos licitatórios de empresas públicas.

Caso sua empresa ainda não tenha aderido às Normas Brasileiras de Contabilidade, conte com a b2Finance. Nossos profissionais poderão atender suas solicitações e auxiliar neste momento de adequação.

A Petrobras anunciou que vai aprimorar os controles internos da companhia para evitar frau-des e desvios como os que foram descobertos pela Operação Lava Jato. O anúncio das medidas foi feito pelo presidente da esta-tal, Aldenir Bendine, durante solenidade de repatriação de R$69 milhões recebidos pelo ex-gerente da estatal, Pedro Barusco, de uma empresa de navios-plataforma da Holan-

da. Segundo Bendine, embora a estatal tenha sido vítima de “um grupo de pessoas que se valeram de seus cargos ou do poderio econômico para lesar o patrimônio da empresa, a com-panhia não vai aceitar a condi-ção de vítima com passividade”.

“Estamos agindo para tirar lições do ocorri-do, a fim de fortalecer as instituições. Uma

delas é a destinação desses recursos, que estão retornando para a empresa, para aprimorar a nossa governança. Estamos lançando ainda um conjunto adicional de medidas para aprimo-rar os controles inter-nos da companhia”,

Petrobras anuncia que vai aumentar controle interno para evitar fraudes


disse Bendine. Uma das provi-dências diz respeito ao proces-so de gestão de fornecedores, que a Petrobras tornou mais rigoroso. As empresas agora deverão prestar informações detalhadas sobre estrutura, fi-nanças e mecanismos de con-formidade (compliance), com-bate à fraudes e à corrupção, sendo avaliada pelo processo conhecido como Due Diligence de Integridade. Segundo nota da estatal, o objetivo é au-mentar a segurança nas con-tratações de bens e serviços e diminuir os riscos em relação a práticas de fraude e corrupção. Neste sentido, apenas os for-necedores que comprovarem a adoção das medidas serão mantidos no cadastro da Pe-trobras e poderão participar de processos licitatórios. A nota diz que a revisão da situação dos fornecedores começa com as empresas bloqueadas cau-telarmente em função das evi-dências levantadas pelas in-vestigações da Operação Lava Jato. Serão avaliadas também aquelas que estão em proces-so de renovação ou em fase de inclusão no cadastro corpora-tivo. Os novos contratos serão assinados junto a fornecedores

que tenham sido aprovados no novo modelo de análise de in-tegridade. A Petrobras também está tomando medidas para aumentar o controle interno. Uma delas é a limitação das decisões individuais em todos os níveis da companhia, pro-movendo decisões colegiadas. Outra iniciativa é a criação de dois novos comitês – estratégi-co e financeiro – para assesso-rar o Conselho de Administra-ção na apreciação de pautas, aprofundando a análise de to-dos os temas submetidos.

“Todos os projetos elaborados e aprova-dos dentro da com-panhia agora também têm de ser subme-tidos à avaliação de uma matriz que leva em conta os possí-veis riscos, inclusive do ponto de vista de controle e transpa-rência”, diz a nota. Para estimular de-núncias de indícios de irre-gularidades, a Petrobras vai contratar uma ouvidoria ex-terna independente, que fica-rá disponível 24 horas por dia,

em diversos idiomas. Também ficará aberta ao público exter-no e para denúncias anônimas. O formato já é adotado pelas maiores empresas de petróleo com boas práticas de gover-nança. A auditoria interna ago-ra passa a participar de todas as reuniões da Diretoria Exe-cutiva da Petrobras, o que, se-gundo a empresa,

“pode contribuir para a elaboração dos pla-nos de auditoria des-de o início da aprova-ção dos projetos”.A fim de aumentar o rigor das sanções a empregados envol-vidos em casos de desrespei-to às normas da Petrobras, a empresa decidiu criar o Comitê de Correição, vinculado à Di-retoria de Governança, Risco e Conformidade. O papel desse colegiado é assegurar que as punições aplicadas contra os empregados dentro da compa-nhia sejam adequadas à gravi-dade das irregularidades. Além disso, o comitê tem a prerro-gativa de punir gestores que deixem de apurar ou punir seus subordinados.

(Fonte: Agencia Brasil)



Neste artigo vamos falar es-pecificamente do componente denominado como avaliação de risco (risk assessment). Te-nho observado nos cursos e nos projetos de consultoria que ainda pairam muitas dúvidas sobre este tema, principalmen-te no atendimento deste que-sito no processo de implanta-ção de um sistema de controle interno aderente a esta melhor prática. Antes de seguir em frente é imperativo relembrar o conceito de risco definido pelo Committee of Sponsoring Or-ganizations of the Treadway Commission – COSO, vejamos: “Risco é a possibilidade de que um evento ocorra e impacte negativamente a condição da empresa de atingir objetivos previamente estabelecidos. ”

Fica claro, através da definição acima, a necessidade de co-nhecermos os objetivos ope-racionais, para que possamos pensar em riscos, pois, se não for desta forma, o processo

de avaliação de riscos pode-rá não ser eficaz. A estrutura COSO ICF solicita que traba-lhemos três objetivos básicos, são eles: Operacional: res-ponsável pela eficiência, efi-cácia e economia dos proces-sos operacionais; Reporting: responsável pela exatidão e consistência dos registros dos dados e informações origina-das e/ou processadas através dos processos operacionais; e Conformidade: este objetivo é responsável pela empresa estar em conformidade com Leis, normas e regulamentos através dos processos opera-cionais. Importante mencionar que um processo operacional somente tem razão de existir se ele tiver uma conexão clara com os objetivos estratégicos da organização. Assim, é man-datório identificar, de manei-ra detalhada, os objetivos de cada um dos processos opera-cionais existentes na empresa. Como já sabemos, esta nova estrutura COSO conta com 17 princípios relacionados com os cinco componentes. Para este componente, existem quatro princípios definidos, são eles: a) A organização especifica os objetivos com clareza suficien-te, de modo a permitir a iden-tificação e avaliação dos riscos associados aos objetivos; b) A organização identifica os riscos à realização de seus objetivos por toda a entidade e analisa os riscos como uma base para

determinar de que forma de-vem ser gerenciados; c) A organização considera o potencial de fraudes na avalia-ção dos riscos à realização dos objetivos; e d) A organização identifica e avalia as mudanças que poderiam afetar de forma significativa o sistema de con-troles interno. De uma maneira simples, o processo de avalia-ção de riscos é composto por três etapas distintas:1) Identificação dos riscos; 2) avaliação da magnitude do ris-co através da leitura matricial de probabilidade e impacto; e 3) Identificação da resposta ao risco e implementação da ati-vidade de controle. Importante frisar que, na avaliação de ris-cos operacionais, quando fa-lamos de mitigação dos riscos, estamos falando da inclusão de uma atividade de controle interno como resposta ao risco, mitigando a probabilidade de ocorrência, e/ou minimizando o impacto. Como normalmente não é possível avaliar todos os processos operacionais da or-ganização em um curto espa-ço de tempo, será necessária a definição de um plano de tra-balho e minha sugestão é que você elabore uma lista de pro-cessos baseada na magnitude dos riscos envolvidos. Para isto, os passos sugeridos são: a) Elabore um mapa de riscos para identificar os processos operacionais com maior mate-rialidade, levantando qual é o

Avaliação de risco segundo o COSO - Controles Internos 2013

Nív

el d

e en

tidad

eD

ivis

ãoU

nida

de o

pera

cion

alFu

nção

Informação e comunicação

Atividades de monitoramento

Atividades de controle

Avaliação de riscos

Ambiente de controle

Confor

midade

Divulga

ção

Operac

ional



risco de impactar a condição da empresa e não atingir os seus objetivos estratégicos; b) Determine o alinhamento do processo com os objetivos es-tratégicos; c) Elabore uma lista de proces-sos operacionais, listando-os a partir dos que apresentam maior risco para os com menor risco, de forma que você possa avaliar primeiro os processos com maior risco. Isto não quer dizer que os processos de bai-xo risco não serão avaliados, é simplesmente uma forma mais eficiente de direcionarmos os recursos da área de controles internos primeiramente para os processos com maior risco. Muito bem, agora que conhe-cemos os conceitos importan-tes, de forma prática, indico os seguintes procedimentos para o atendimento dos princípios do COSO para este compo-nente de avaliação de riscos, são eles: a) Identifique os objetivos do processo operacional sob ava-liação (é importante mencionar que quanto mais analítico for a identificação dos objetivos, mais fácil será a identificação dos riscos inerentes associa-dos a esses objetivos); b) Com base nos objetivos identificados, elabore um in-ventário de riscos inerentes, isto é, riscos associados a cada um dos objetivos. Poderá ser relevante, nesta etapa, a iden-

tificação dos fatores de riscos, pois muitas vezes as respostas ao risco são mais apropriadas para o fator de risco, do que para o risco propriamente dito; c) Baseado nas características do processo avaliado, é neces-sário identificar as ameaças de ocorrência de fraude, identifi-cando, inclusive, as vulnerabi-lidades do processo, isto é, se acontecer uma fraude onde, no processo, ela ocorrerá; d) Identifique os riscos de TI que possam impactar o pro-cesso, principalmente quanto ao acesso, processamento, se-gurança e rastreabilidade dos dados e informações; e) Elabore uma matriz de ris-co para o processo, avaliando a probabilidade de ocorrência e, se ocorrendo, o seu impac-to. A legenda ou tabela utili-zada nesta avaliação deve ser padrão para a organização, de maneira que exista comparabi-lidade e amplo entendimento da avaliação; f) O próximo passo é o ali-nhamento das atividades de controles, identificadas no fluxograma do processo, com os riscos identificados acima. Neste ponto, você poderá en-contrar riscos que não têm ne-nhum controle associado, con-troles que não têm nenhum risco associado, ou então, con-troles associados a um ou mais riscos, e vice-versa; g) Para os riscos sem nenhum

controle associado é impor-tante avaliar a possibilidade de adoção de um novo contro-le, lembrando que controles in-ternos tem custo; h) Para controles internos sem nenhum risco associado, é ne-cessário avaliar a possibilidade de eliminação do mesmo; i) Para controles associados aos riscos, é necessário avaliar e testar sua efetividade quanto à resposta ao risco. A avaliação de riscos deve ser um processo dinâmico, pois os riscos ineren-tes ao processo são influencia-dos pelo ambiente de negó-cios e por fatores externos e internos, fatores estes, que po-dem ser desde uma alteração na legislação até a implemen-tação de um novo sistema de processamento de dados. Para finalizar, gostaria de frisar que o gerenciamento de riscos e do sistema de controles internos é uma responsabilidade da alta administração e também do gestor responsável pelo pro-cesso operacional. O especia-lista em controles internos é o apoio especializado para que os gestores desempenhem suas responsabilidades de go-vernança com eficiência e efi-cácia.

(Fonte: Eduardo Person Pardini - Speaker, Consultant expert on Corporate governance, Risk ma-nagement, Internal control and Internal Audi)


Ponderação entre provacidade e avanço econômico é desafio na proteção de dadosCom o avanço da tecnologia, fica cada vez mais acirrado o embate entre o direito à privacidade e a necessidade do uso de dados pessoais coleta-dos na internet para o crescimento da economia e a evolução da ciência e tecnologia. O assun-to, ainda polêmico, foi o tema do 2º Seminário Compliance em Privacidade e Proteção de Da-dos Pessoais, que reuniu advogados, professo-res, membros do Poder Público e representantes de multinacionais no dia 11 de agosto. No final do ano, a Casa Civil irá avaliar o texto do ante-projeto de lei que regula a proteção de dados e que foi aberto para debate público no início do primeiro semestre. Além de ponderar sobre o uso de dados, a privacidade e a responsabilidade de quem manipula essas informações, o objetivo é definir se haverá uma agência reguladora.

“O direito à privacidade é funda-mental e não absoluto, e avaliar as questões de proteção de da-dos sob a ótica clássica da Jus-tiça brasileira seria anacrônico. A decisão individual sobre essas informações não pode ser tratada de forma absoluta, pois existem também interesses da sociedade. Esse equilíbrio é necessário e com a lei queremos deixar o processo de exposição de dados bem mais claro e seguro, para que ambas as partes - a pessoa e a instituição que manipula a informação - sai-bam como proceder”,disse Danilo Doneda, colaborador da Secretaria Nacional do Consumidor do Ministério da Justi-ça, que atuou na elaboração do anteprojeto. Se-

gundo ele, o conceito que vem sendo trabalhado ao redor do mundo e que foi utilizado no Brasil é o de que a transparência deve ser diretamente proporcional ao poder, e a privacidade, inversa-mente proporcional. Ou seja, o Estado, que tem muita força, deve abrir o máximo possível de seus dados; já uma pessoa deve ter mecanismos para se proteger. Doneda também afirma não fazer sentido criar a lei sem uma agência regulatória.

“No mundo, são 102 países que criaram lei de proteção de dados, e 92 dessas nações também cria-ram a agência para regular”.

Consentimento e finalidade: Classicamente, a política de uso de dados é ba-seada no consentimento, mas várias modalida-des de coleta de informação seguem outros ca-minhos. Além dos dados coletados por meio de cadastro, há mais três tipos: dados observados (quando se avalia os aspectos do uso da inter-net, como, por exemplo, onde se clicou e o que se buscou); dados inferidos (a partir do que foi coletado e observado, é tirada uma conclusão e um dado é criado); e dados preditivos (quando é feita uma análise sobre todos os outros tipos de dados, criando-se uma previsão). Em sua apre-sentação, Doneda falou sobre a necessidade de se repensar o conceito de consentimento. Ad-vogado especializado no tema, Gustavo Artese concorda com essa revisão:

“Existem essas formas de cole-tar dados sem o consentimento, e isso deixa tudo mais complexo. Até porque, no momento da co-leta dos dados, a instituição ou empresa pode não ter certeza da



finalidade daquilo. O uso às vezes é feito lá na frente, em um projeto que dê de volta algo para a socie-dade. Por isso, temos que ter uma lei muito aberta para que efetiva-mente consiga nos levar a regular tudo isso”. Artese, que é líder das práticas de propriedade intelectual, privacidade e direito digital do Vella, Buosi e Guidoni Advogados e professor da USP, ressalta a importância de se preservar e fomen-tar o avanço que a manipulação de dados vem promovendo.

“Essa lei não pode ter um viés ide-ológico de forma que estabeleça o direito de privacidade como ab-soluto, porque ao fazer isso ela irá prejudicar a economia de dados. E a política industrial do século XXI é a indústria do uso de dados, então você tem que ter uma re-gulamentação responsável, que preserve o direito de privacida-de [ninguém nega isso], mas que não prejudique essa evolução. O assunto é sobre a lógica de pon-deração de interesses. Ao mesmo tempo que a tecnologia fica mais invasiva, também traz mais bene-fícios devidos ao seu uso criativo”, afirma.

Alívio ao Judiciário: Doneda diz que a criação da agência regulató-ria vai retirar “uma grande carga de tecnicismo que o Judiciário terá que enfrentar caso a lei seja aprovada sem um órgão regulador”. Além disso, afirma que, caso todo litígio que envolva o pro-cesso de dados seja levado a juízes, isso poderá resultar em decisões que venham tarde demais.

“O tema é complexo e é possível que os juízes demorem bastante tempo para tomar decisões que precisam ser rápidas”. Jennifer Stoddart, que por dez anos atuou como comissionaria da Agência Canadense de Privaci-dade (órgão que regula a proteção de dados na-quele país e que virou referência internacional), diz que, pela sua experiência,

“as empresas e pessoas sempre evitam uma briga na Justiça con-tra a agência, buscando acordos”. “Para que ela [agência reguladora] possa cada vez mais ser repre-sentativa na sociedade, tem que colocar a cara para fora. Fomentá-vamos várias ações de divulgação para que as pessoas soubessem que existe uma regulação. Não adiantar ficar em uma torre de Brasília isolada do resto do Brasil”, aconselhou Jennifer.

(Fonte: Fernando Martines - site do CONJUR)


A matemática da corrupçãoA equação abaixo é uma adaptação, uma mes-cla do conceito do triângulo da fraude desen-volvido por Donald Cressey (numerador da equação), com um quarto elemento: a possibi-lidade de punição (denominador da equação).

O conceito principal diz respeito às variáveis envolvidas, sua correlação e que tipo de ação deve ser tomada para neutralizar ou fortalecer cada uma delas, de acordo com o objetivo de se ter um resultado que seja perto de zero. Note que o objetivo nunca será medir a corrupção, por se tratar de variáveis intangíveis, mas de entender como as variáveis envolvidas se correlacionam e trabalhar para minimizar a corrupção. A Corrupção (termo escolhido para figurar na equação, mas que pode facilmente ser substituído por fraude ou qualquer outro ato ilícito ou antiético) é razão direta da motivação, oportunidade e racionalização, e razão inversa da probabilidade de punição. A primeira variável desta equação é a Motivação ou Pressão, todo ato de corrupção (ou fraude) tem uma motivação. Ela pode ser dificuldade em pagar dívidas; problemas resultantes de falhas pessoais; ganho de status (desejo de ter padrão de vida além daquele que seus meios podem proporcionar); e as relações empregador-empregado (tratamento injusto do empregador). Veja bem que nem sempre a motivação é a falta de caráter ou desonestidade. A fragilidade financeira pode ser uma motivação forte. Para minimizar esta variável temos ferramentas preventivas, como um trabalho sério e contínuo de conscientização, a percepção do gestor quanto a mudanças no comportamento do colaborador, técnicas de KYE (Know Your Employee), KYS (Know Your Supplier) e KYC (Know your Customer), além de atividades detectivas, por exemplo, quando padrão de vida não condiz com os ganhos e, com o auxílio de processos de KYE mais extensos, pode identificar o ato ilícito. O ser humano apresenta mecanismos mentais que ajustam a sua concepção de si mesmo, de modo que ele se considere uma pessoa boa e confiável. Para tal, muitas vezes, julga situações onde sua conduta

foi equivocada e busca uma justificativa capaz de amenizar ou eliminar seu próprio sentimento de culpa, este mecanismo é a Racionalização. Justificativas como “as coisas sempre foram assim nesta empresa”, “estamos fazendo isso para um bem maior” e “se não fizermos deste jeito não seremos competitivos” são usadas para que se possa conviver continuamente com a situação. A racionalização pode ser gerenciada com o tom que a alta gestão dá a questões éticas, a clara definição de limites e, complementarmente, com programas de conscientização e ética. O terceiro componente é a Oportunidade: quão fácil é conseguir levar a frente os atos de corrupção ou fraude? Isto está ligado diretamente com a estrutura de controles internos da empresa. Quanto mais forte for esta estrutura, menores serão as oportunidades de fraude. É certo que nenhuma estrutura de controle nos dá segurança absoluta, portanto, por menor que seja, a oportunidade sempre existirá. O objetivo de Gestores de Controles Internos e Auditores é minimizar esta variável e diminuir consideravelmente as oportunidades de atos ilícios. A última variável, que não faz parte da teoria original de Cressey e que compõe o denominador da nossa equação, é a Probabilidade de Punição. Se ela tende a zero, por menor que seja o resultado do denominador, a corrupção tende ao infinito, ou seja, se o ambiente é permissivo, se as punições previstas em políticas não são aplicadas, se a alta gestão da empresa aceita determinadas ações e não as pune, de nada adianta os programas de conscientização, a força dos controles internos e os programas de KYC, KYE e KYS. A ausência de punição, quer seja por omissão ou motivada pela alta gestão da empresa, faz com que, apesar de ter todos os programas e técnicas de Controles e Compliance implementados e em funcionamento, elas sirvam somente como uma obrigação para a sociedade, órgãos reguladores, fornecedores, acionistas, etc. Faz do trabalho dos profissionais de Compliance algo frustrante e sem sentido, além de tornar o ambiente da corporação tóxico e no limite, comprometendo os objetivos de longo prazo da organização. O oposto desta situação, ou seja, a certeza de que atos ilícitos serão identificados e rigorosamente punidos fazem com que a corrupção tenda a zero. (Fonte: David Vasconcelos – site Linkedin)

Colaborou: Jorge Oronzo - Partner | Auditoria


Colaboradores desta edição

Unidades

Jorge OronzoPartner | Auditoria Office São Paulo – Barra [email protected]

Abel BabiniPartner | Technology Office São Paulo - [email protected]

Marco Enzo TortoraPartner | Auditoria Office São Paulo – Barra [email protected]

Barueri - SP

Campinas - SP

São Paulo - SP

Bauru - SP

Rio de Janeiro - RJ

Sorocaba - SP

Curitiba - PR

São José do RioPreto - SP

Al. Mamoré, 911 - 19º andarAlphaville | 06454-040Barueri - SP+55 11 3173-4499

Polo de Alta Tecnologia II, Sl.0951/0952 – CPqDCampinas - SP+55 19 3705-4301

Av. Francisco Matarazzo,1500, 5º andar, Torre NovaYork | 05001-903São Paulo - SP+55 11 3803-4300

R. Padre Francisco Van Der Mas, 9 - Vl Engler17047-020Bauru - SP+55 19 3705-4301

Av. José da Silva de Azevedo Neto, 200Torre Ecology VII, sala 219Barra da Tijuca - RJ 20091-020+55 21 99670-4717

Av. Antônio Carlos Comitre, 540 - Sala 11/13, Campolim | 18047-620Sorocaba - SP+55 15 3327-0777

R. Pedro Viriato Parigot de Sousa, 3901, 8º andar, conj. 85 | 81280-330Curitiba - PR+55 41 3209-3111

R. Dr. Raul Silva, 721 - Vila Redentora | 15015-020São José do Rio Preto - SP+55 19 3705-4301

facebook.com/b2finance

Contato: [email protected]

linkedin.com/company/b2finance-consult-&-outsourcing

boletim informativo - cloud object storage | store ... · cara com um aparato sofisticado de...

Documents