Ícone do site Auditoria Interna, Auditoria Contínua e Data Analytics

Código de Ética e Conduta: Já Implantou na Sua Empresa?

Código de Ética e Conduta é conjunto de normas e princípios que devem ser seguidos por todas as entidades da empresa: colaboradores, prestadores de serviço e fornecedores.

As regras precisam ser formalmente definidas, publicadas e divulgadas. Garantir que as normas são conhecidas e entendidas é o primeiro passo.

A Comunicação Interna tem papel fundamental neste processo e pode auxiliar na criação e divulgação de material informativo. Podem ser usados murais, folders, comunicados por e-mail, artigos na intranet, eventos e palestras.

Uma vez que o assunto é conhecido e entendido, a incidência de desvios “por falta de conhecimento” diminui, e as situações realmente relevantes e propositais são reconhecidas e tratadas com o rigor necessário.

O código de ética deve ser parte de algo maior: um programa de Integridade e Compliance. O programa deve reger todas as frentes: definição e revisão de normas, monitoramento contínuo, identificação de desvios, responsabilização, mapear a causa raiz, recomendar correções no processo e acompanhar os planos de ação.

Canal de Conduta

Canal de Conduta é um conjunto de meios de comunicação onde as denúncias possam ser registradas de forma organizada, imparcial e se necessário de forma anônima. Pode ser uma linha telefônica, um e-mail, ou um formulário em um site.

Um protocolo único de registro da manifestação é útil para acompanhamento das ações de investigação e envio de respostas ao denunciante.

Algumas companhias optam por terceirizar este serviço para empresas especializadas. Estas empresas já possuem expertise, sistemas e infraestrutura para atendimento imediato e escalável. Se a demanda aumenta, o SLA é renegociado e assumido.

Apuração de Denúncias

A denúncia é apenas o começo de um processo maior de apuração. O relato deve ser encarado de forma imparcial e tratado a princípio como um “suposto” acontecimento. O relatante precisa fornecer um mínimo de informações como:

Infelizmente algumas pessoas podem tentar usar denúncias falsas para prejudicar terceiros. Outros objetivos podem ser tratar insatisfações com RH, problemas de gestão ou assuntos administrativos. A experiência do investigador permite diferenciar os casos fake de denuncias reais.

Após a analise preliminar, é necessário somar evidências mais robustas como imagens de câmera, registros e logs de transações em sistemas.

O acesso às bases de dados, SQL, ferramentas de auditoria e análise de dados (Galvanize ACL Analytics, IDEA, Arbutus) e ferramentas forenses (Encase, Nuix) complementam a busca por evidências sistêmicas. As ferramentas forenses permitem resgatar provas mesmo quando houve intenção de destruição (apagar arquivos, destruir o HD) ou mascaramento (esteganografia, criptografia).

A Microsoft dispõe de ferramentas como o Search Content e Advanced e-Discovery para buscas em caixas de e-mail, skype, teams, sharepoint e outras ferramentas do Office365. Ambas são encontradas no Security and Compliance Center – um portal dedicado para GRC.

Aos poucos, a Microsoft têm inserido ferramentas para LGPD, que já são usadas para o GDPR fora do Brasil. Por exemplo, lá é possível criar regras de classificação da informação e prevenção de vazamento de dados (DLP).

Tão importante quanto a tecnologia, o profundo conhecimento dos processos da empresa, estatística e de auditoria contábil permitem melhor entendimento do acontecido e obtenção de evidências consistentes.

As evidências devem ser preservadas adequadamente em um “laboratório”, segregado da rede corporativa, quando possível. Também há situações em que um tabelião precisa registrar uma ata notatorial para garantir a validade legal.

Medidas Disciplinares

Uma vez confirmada a conduta indevida, os atores devem ser responsabilizados.

Sanção disciplinar é a responsabilização pela conduta inadequada. Deve ser razoável e proporcional à situação identificada. Além da gravidade, deve-se verificar se há reincidência do colaborador. Quanto maior a reincidência, há mais indícios de que a ação foi intencional e premeditada.

Alguns exemplos de medidas disciplinares são:

Sair da versão mobile