Tags compliance - Auditoria Interna, Auditoria Contínua e Data Analytics

Código de Ética e Conduta é conjunto de normas e princípios que devem ser seguidos por todas as entidades da empresa: colaboradores, prestadores de serviço e fornecedores.

As regras precisam ser formalmente definidas, publicadas e divulgadas. Garantir que as normas são conhecidas e entendidas é o primeiro passo.

A Comunicação Interna tem papel fundamental neste processo e pode auxiliar na criação e divulgação de material informativo. Podem ser usados murais, folders, comunicados por e-mail, artigos na intranet, eventos e palestras.

Uma vez que o assunto é conhecido e entendido, a incidência de desvios “por falta de conhecimento” diminui, e as situações realmente relevantes e propositais são reconhecidas e tratadas com o rigor necessário.

O código de ética deve ser parte de algo maior: um programa de Integridade e Compliance. O programa deve reger todas as frentes: definição e revisão de normas, monitoramento contínuo, identificação de desvios, responsabilização, mapear a causa raiz, recomendar correções no processo e acompanhar os planos de ação.

Canal de Conduta

Canal de Conduta é um conjunto de meios de comunicação onde as denúncias possam ser registradas de forma organizada, imparcial e se necessário de forma anônima. Pode ser uma linha telefônica, um e-mail, ou um formulário em um site.

Um protocolo único de registro da manifestação é útil para acompanhamento das ações de investigação e envio de respostas ao denunciante.

Algumas companhias optam por terceirizar este serviço para empresas especializadas. Estas empresas já possuem expertise, sistemas e infraestrutura para atendimento imediato e escalável. Se a demanda aumenta, o SLA é renegociado e assumido.

Apuração de Denúncias

A denúncia é apenas o começo de um processo maior de apuração. O relato deve ser encarado de forma imparcial e tratado a princípio como um “suposto” acontecimento. O relatante precisa fornecer um mínimo de informações como:

Data do evento;
Local;
Pessoas envolvidas;
Descrição do ocorrido.

Infelizmente algumas pessoas podem tentar usar denúncias falsas para prejudicar terceiros. Outros objetivos podem ser tratar insatisfações com RH, problemas de gestão ou assuntos administrativos. A experiência do investigador permite diferenciar os casos fake de denuncias reais.

Após a analise preliminar, é necessário somar evidências mais robustas como imagens de câmera, registros e logs de transações em sistemas.

O acesso às bases de dados, SQL, ferramentas de auditoria e análise de dados (Galvanize ACL Analytics, IDEA, Arbutus) e ferramentas forenses (Encase, Nuix) complementam a busca por evidências sistêmicas. As ferramentas forenses permitem resgatar provas mesmo quando houve intenção de destruição (apagar arquivos, destruir o HD) ou mascaramento (esteganografia, criptografia).

A Microsoft dispõe de ferramentas como o Search Content e Advanced e-Discovery para buscas em caixas de e-mail, skype, teams, sharepoint e outras ferramentas do Office365. Ambas são encontradas no Security and Compliance Center – um portal dedicado para GRC.

Aos poucos, a Microsoft têm inserido ferramentas para LGPD, que já são usadas para o GDPR fora do Brasil. Por exemplo, lá é possível criar regras de classificação da informação e prevenção de vazamento de dados (DLP).

Tão importante quanto a tecnologia, o profundo conhecimento dos processos da empresa, estatística e de auditoria contábil permitem melhor entendimento do acontecido e obtenção de evidências consistentes.

As evidências devem ser preservadas adequadamente em um “laboratório”, segregado da rede corporativa, quando possível. Também há situações em que um tabelião precisa registrar uma ata notatorial para garantir a validade legal.

Medidas Disciplinares

Uma vez confirmada a conduta indevida, os atores devem ser responsabilizados.

Sanção disciplinar é a responsabilização pela conduta inadequada. Deve ser razoável e proporcional à situação identificada. Além da gravidade, deve-se verificar se há reincidência do colaborador. Quanto maior a reincidência, há mais indícios de que a ação foi intencional e premeditada.

Alguns exemplos de medidas disciplinares são:

Advertência verbal;
Advertência por escrito;
Suspensão;
Demissão;
Demissão por justa causa.

Como funciona um RPA?

Normalmente, há um primeiro mapeamento de processo por um analista de negócios. Neste momento, ele identifica “atividades braçais”, repetitivas, com pouca ou nenhuma decisão envolvida.

Em seguida, são mapeados os sistemas envolvidos, tipos de acesso, usuários, perfis, funções, forma de autenticação na ferramenta. Isso permite configurar o robô para simular um acesso humano.

Depois, são listados todos os passos em sequência de execução. Aqui, também são verificadas as exceções que podem ocorrer e como tratar cada possibilidade. Em programação chamamos isso de algoritimo.

Testes de integridade dos dados podem ser necessários.

O RPA autônomo utiliza inteligência artificial para tomar decisões sozinho e até a aprender novos fluxos.

Riscos em RPA

A execução automática de um erro que era cometido esporadicamente de forma manual pode aumentar exponencialmente um problema.

Se o processo está um caos, não adianta automatizar o caos. Dê um passo atrás, faça um mapeamento de processo, identifique atividades desnecessárias, duplicadas, e revise os controles.

RPA no GRC

Governança, Riscos e Compliance podem aproveitar o potencial dos robôs e substituir atividades repetitivas como consultas de due dilligence, busca de informações para apurações de denúncias de ética e conduta, testes de controles, auditoria interna, auditoria contínua, preenchimento de cadastros, envio automatico de e-mails, geração de relatórios e etc..

A Harvard Business Review publicou um artigo em inglês, intitulado: “Você está desenvolvendo habilidades que não serão automatizadas?”. Gurus falam que algumas profissões irão acabar? O que você pensa sobre o futuro da Auditoria Interna, Riscos e Compliance? Comente a respeito!