Categoria: Auditoria

Posts sobre Auditoria. Clique e veja artigos sobre Auditoria, técnicas, ferramentas, metodologia, cursos, certificações e muitos outros assuntos relevantes!

Auditoria ou Auditar vem da raiz em latim audire que significa ouvir. Um significado mais abrangente seria: analisar, mapear padrões e desvios e identificar a causa de um problema.

Mapear a causa raiz de um problema é um grande desafio visto que esta é bem diferente de uma justificativa ou simples admissão de responsabilidade.

Trata-se do fato gerador do apontamento. Porém – que realmente levou à este desvio? Qual controle falhou para a materialização do risco?

Categorias
Auditoria Compliance

O que significa Integridade?

O que significa integridade? Seria um sinônimo de Compliance? Integridade vem do latim integritate. Com raiz latina, integridade significa retidão moral, inteireza, condição de ser inculpe e sem defeito. Também pode se referir a integridade física, social e falando de tecnologia, de integridade de dados. Focaremos aqui, no sentido humano, profissional, corporativo e no serviço público.

Em tempos de corrupção desenfreada, vivemos uma crescente necessidade de retomada da ética na sociedade e nas corporações. Mas o que é ética?

Responder o que é integridade depende de varios fatores: normalmente é considerada uma virtude moral, pode ter uma motivação espiritual, pode ser fruto do âmbito familiar, formação acadêmica ou simplesmente da personalidade.

Estudiosos do comportamento humano já tentaram estudar a influência do ambiente em que a pessoa vive na formação de seu caráter e na escolha de suas ações. Veja o exemplo abaixo:

Teoria das janelas quebradas

O psicólogo de Stanford Philip Zimbardo realizou um experimento social, depois publicado em um artigo entitulado “Janelas Quebradas”.

Ele deixou um carro sem placas no bairro do Bronx (um bairro menos favorecido) e um segundo carro nas mesmas condições em Palo Alto, região mais próspera na Califórnia.

Zimbardo observou que minutos após o abandono, o carro que estava no Bronx começou a ser depenado. Os primeiros indivíduos, levaram o radiador, a bateria e outras peças do carro. Em 24 horas, o carro do Bronx estava completamente depenado e as crianças já o utilizavam como playground.

Em Palo Alto, sete dias após o abandono, o carro permanecia intacto.

Seria o vandalismo uma característica exclusiva de bairros pobres? Veja o que Philip fez a seguir.

O cientista deu um golpe de martelo na janela, abandonando novamente o carro no bairro rico.

Pouco depois, mais pessoas se juntaram para a destruição. Os vândalos de Palo Alto eram bem vestidos, pessoas de cabelos cortados e aparentemente respeitáveis.

Este resultado demonstra um sentimento de manada, quase instintivo, de algumas pessoas. Ele independe exclusivamente de posição social ou formação educacional.

Há variáveis mais complexas para explicar a mudança de comportamento repentina após a primeira janela quebrada em Palo Alto.

Basta um estopim, uma ação rebelde, para desencadear um efeito dominó onde indivíduos tidos como íntegros passam a mimetizar o mesmo comportamento questionável, desagradável, ilegal ou imoral, todos da mesma forma, sem direção planejada.

Diz-se que há 3 grupos de pessoas quando se fala de integridade

  • “Integridade nata”: a pessoa íntegra segue as regras, tem um código de ética próprio, não faz concessões, independentemente do contexto, da situação pessoal, de eventuais perdas financeiras ou até mesmo danos físicos ou emocionais. Valorizam a honestidade acima de tudo. Também são conhecidos como objetores de consciência.
  • “Depende da situação”: O segundo grupo é íntegro em geral, mas em situações específicas de fortes emoções, desequilíbrio emocional, sentimento de injustica, desejo de vingança ou risco de segurança iminente, ou até de vida cedem à pressão e desobedecem seus próprios princípios e consciência. Para estes são comuns as seguintes justificativas: “os fins justificam os meios. Fulano faz coisas piores do que eu. Não prejudiquei ninguém!.”
  • “Nunca”: Por fim há um terceiro grupo: os não íntegros por natureza. Desobedecem por bel prazer, a transgressão é gratuita – às vezes sem nenhum benefício pessoal. No entanto, a maioria quer tirar vantagens: símbolos do “jeitinho brasileiro”. Usam subterfúgios para fugir da fiscalização. Não há como conter: é da natureza deles.

A natureza do escorpião

Em uma antiga fábula, uma tartaruga estava às margens de um rio, preparando-se para atravessá-lo, quando o escorpião chegou e pediu uma carona. A tartaruga lhe disse: “Estás louco? Depois, Tu me picará e eu vou morrer.” O escorpião retrucou: “Se você morrer, eu também morrerei, pois não sei nadar.”

A tartaruga deu carona e começou a travessia. Na metade do caminho, o escorpião pifou a tartaruga que lhe carregava. “O que você fez? Nós dois vamos morrer! Caráter não muda mesmo!”, disse a tartaruga, ao que o escorpião afirmou: “Não pude me conter, é a minha natureza.”

O que significa Integridade Corporativa?

A Governança Corporativa estabelece normas, políticas e procedimentos a serem seguidos para mitigar riscos.

Normalmente há um código de conduta estabelecido e publicado para os colaboradores seguirem essas regras.

Apurações e responsabilizações por desvios de conduta normalmente vem em medidas ou sanções disciplinares: advertência verbal, por escrito, suspensão, desligamento e até mesmo a temida “justa causa”.

Programa de Compliance

O Programa de Compliance é o conjunto de recursos, processos, ferramentas e comunicações que refletem como a Companhia lida com este tema sério. Fazem parte deste programa ações como treinamentos, palestras, comunicação interna em murais, mídia eletrônica e etc..

Um canal de conduta facilita o recebimento de denúncias estruturadas e fundamentadas. Além disso, este instrumento aumenta a percepção de que a empresa tem uma cultura de combate à fraudes e corrupção.

Quem fiscaliza tudo isso? Uma metodologia de Auditoria Interna, amplamente divulgada pelo IIA Brasil sugere 3 linhas de defesa IIA:

As tres linhas de defesa (Roncarati, acesso em 09/2019)
  • Primeira linha de defesa: gestor do processo precisa ter o comprometimento na defesa da empresa;
  • Segunda linha de defesa: Controles Internos / Gerenciamento de Riscos, Gestão de Compliance, auxiliam na criação do mapa de risco;
  • Terceira linha de defesa: Auditoria Interna testa a efetividade dos controles internos e aponta as deficiências em um relatório de acordo com o planejamento de Auditoria.
  • Auditorias externas: corroboram achados de forma independente. As 4 principais (Big Four) empresas de consultoria e auditoria externa são: Deloitte, PwC, E&Y e KPMG.

Compliance e Fiscalização na Administração Pública

Na administração pública os órgãos de vigilância são necessários pela ficalização do cumprimento regulatório e da transparência do processo. No setor público existem centenas de órgãos, agências e entidades reguladoras e fiscalizadoras. Veja alguns exemplos de agência reguladora:

  • ANS: Saúde;
  • ANVISA: Vigilância Sanitária;
  • BACEN: Banco Central;
  • PROCON: Direito do Consumidor:
  • ANATEL: Telefonia.
  • ANPD: Autoridade Nacional de Proteção de Dados, será responsável por fiscalizar o cumprimento da LGPD.

Também existem organizações não governamentais que representam classes de trabalhadores. Essas tem certo papel de fiscalização legal e de ética profissional. Alguns exemplos:

  • CFM: Conselho Federal de Medicina;
  • CRM: Conselho Regional de Medicina;
  • OAB: Ordem dos Advogados do Brasil.

Leia mais sobre integridade, janelas quebradas e efeito manada

Janelas Quebradas (Dráuzio Varella, acesso em 09/2019)

This 1967 classroom experiment proved how easy it was for Americans to become Nazis (Timeline, acesso em 09/2019)

Professor americano que simulou um regime nazista na sala de aula fala à Folha sobre as consequências da lição (Folha, acesso em 09/2019)

Naturezas (Globo, acesso em 09/2019)

Categorias
Auditoria Compliance LGPD

Nova Lei De Proteção Dados e a Auditoria Interna

LGPD – Lei Geral de Proteção de Dados.

LGPD significa Lei Geral de Proteção de Dados – a nova lei nº 13.709/2018, semelhante à GDPR, amplia o marco civil da internet e estabelece parâmetros de proteção ao cidadão nos processos de coleta, retenção, utilização e exclusão de dados pessoais.

Certamente, os profissionais de Auditoria Interna e TI, Governança Corporativa e Compliance, e até mesmo de TI devem estudar o tema com cuidado. Novos desafios profissionais surgem na era do Big Data.

GDPR

A Lei de Dados é sobretudo inspirada na GDPR (General Data Protection Regulation), lei européia com a mesma finalidade.

A GDPR já provocou profundas mudanças em empresas com operação na Europa e já podemos ver algumas dessas mudanças aqui.

Para citar alguns exemplos da aplicação da lei na Europa: Whatsapp, Facebook e Google já possuem funções de controle privacidade contendo explicações de como as informações são utilizadas, revisão de consentimento e até mesmo download dos dados pessoais cadastrados nas plataformas.

Objetivos

  • Clareza: o cidadão tem o direito de ser informado com clareza quais são os dados coletados e como eles serão utilizados;
  • Classificação dos dados: dados pessoais e dados pessoais sensíveis;
  • Papéis e Responsabilidades – a nova lei define diretos e deveres para cada um dos envolvidos: titular, controlador, processador;
  • Consentimento: informações só poderão ser coletadas, controladas ou processadas com o consentimento do titular.

Principais exigências da nova lei

  • Solicitação de confirmação da existência de dados pessoais;
  • Acesso aos próprios dados.
  • Possibilidade de correção dos dados: informações incompletas, inexatas ou desatualizadas;
  • Anonimizar, bloquear ou excluir dados tratados indevidamente;
  • Portabilidade dos dados para outra empresa;
  • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
  • Revogação do consentimento.

Dados Pessoais

Dados pessoais são características únicas do indivíduo como CPF, RG, data de nascimento etc.

Estes dados são o foco da nova lei, porém algumas implicações legais deverão ser consideradas. Por exemplo: uma situação conflitante em que o cidadão exige a exclusão dos dados mas uma outra lei exige a retenção ou até mesmo a divulgação compulsória daquela informação.

Alguns dados não são estritamente pessoais, mas, quando correlacionados permitem a identificação de um indivíduo. Desta forma, juntando alguns atributos como idade, sexo, endereço, número de telefone ou e-mail é possível identificar alguém sem saber necessariamente o seu CPF.

Dados sensíveis

Dados sensíveis são informações que possam trazer algum tipo de constrangimento quando divulgadas sem autorização. Quando mal controlados, esses dados tem potencial de utilização para atacar, discriminar ou constranger outros (bullying). Alguns exemplos de dados sensíveis: Crença, orientação sexual, histórico de saúde.

Preferências pessoais como hábitos de compra, histórico de localização são amplamente explorados em campanhas de marketing digital. Normalmente presente em cookies, esses dados também passarão a ser protegidos pela lei de dados. O marco civil da internet, lei 12965, foi o pontapé inicial nessa jornada. A lei de acesso à informação (12.527/2011) é também revisitada nessa nova legislação.

Consentimento de uso

A Organização deverá estar preparada para solicitar o consentimento de uso de dados pessoais, indicando claramente o objetivo da utilização.

Este consentimento poderá ser revisado (ampliado ou reduzido), delimitado ou até mesmo revogado a critério do indivíduo dono dos dados.

Forget my Data

Esqueça meus dados! Amparados pela nova lei de proteção de dados, os consumidores terão o direito de solicitar a exclusão de dados pessoais a qualquer momento.

A exclusão de dados pessoais poderá ser parcial ou total.

Uma prática comum em Tecnologia da Informação é a exclusão lógica de informações. Ao invés de realmente excluir o dado, ele é marcado com uma flag de inativação. No entanto, o dado continua lá e pode ser “reativado” à qualquer momento. Este tipo de exclusão fake terá de ser revisto, remodelado, e pode alterar completamente a lógica e o código fonte de algumas aplicações.

Data Protection Officer

DPO ou Data Protection Officer será o profissional responsável por garantir o cumprimento da nova lei de proteção de dados pessoais. Consequentemente, novas oportunidades de trabalho surgirão para profissionais relacionadas à riscos, controles internos e segurança da informação.

Além de conhecimento técnico serão necessárias ferramentas tecnológicas para auxiliar a jornada de LGPD:

  • Data Discovery
  • Data Quality, Integrity & Cleansing
  • Data Classification
  • Data Loss Prevention

A Microsoft já adotou medidas para incluir essas ferramentas na nuvem do Office 365, como por exemplo o Security & Compliance Center.

ANPD

Por fim, tudo isso precisará de fiscalização. A Autoridade Nacional de Proteção de Dados será o orgão governamental responsável por fiscalizar a aplicação da nova lei de dados. Assim sendo, a agência poderá inclusive aplicar multas quando identificar violações da lei.

você está offline!