Categorias
Auditoria

Código de Ética e Conduta: Já Implantou na Sua Empresa?

Código de Ética e Conduta é conjunto de normas e princípios que devem ser seguidos por todas as entidades da empresa: colaboradores, prestadores de serviço e fornecedores.

As regras precisam ser formalmente definidas, publicadas e divulgadas. Garantir que as normas são conhecidas e entendidas é o primeiro passo.

A Comunicação Interna tem papel fundamental neste processo e pode auxiliar na criação e divulgação de material informativo. Podem ser usados murais, folders, comunicados por e-mail, artigos na intranet, eventos e palestras.

Uma vez que o assunto é conhecido e entendido, a incidência de desvios “por falta de conhecimento” diminui, e as situações realmente relevantes e propositais são reconhecidas e tratadas com o rigor necessário.

O código de ética deve ser parte de algo maior: um programa de Integridade e Compliance. O programa deve reger todas as frentes: definição e revisão de normas, monitoramento contínuo, identificação de desvios, responsabilização, mapear a causa raiz, recomendar correções no processo e acompanhar os planos de ação.

Canal de Conduta

Canal de Conduta é um conjunto de meios de comunicação onde as denúncias possam ser registradas de forma organizada, imparcial e se necessário de forma anônima. Pode ser uma linha telefônica, um e-mail, ou um formulário em um site.

Um protocolo único de registro da manifestação é útil para acompanhamento das ações de investigação e envio de respostas ao denunciante.

Algumas companhias optam por terceirizar este serviço para empresas especializadas. Estas empresas já possuem expertise, sistemas e infraestrutura para atendimento imediato e escalável. Se a demanda aumenta, o SLA é renegociado e assumido.

Apuração de Denúncias

A denúncia é apenas o começo de um processo maior de apuração. O relato deve ser encarado de forma imparcial e tratado a princípio como um “suposto” acontecimento. O relatante precisa fornecer um mínimo de informações como:

  • Data do evento;
  • Local;
  • Pessoas envolvidas;
  • Descrição do ocorrido.

Infelizmente algumas pessoas podem tentar usar denúncias falsas para prejudicar terceiros. Outros objetivos podem ser tratar insatisfações com RH, problemas de gestão ou assuntos administrativos. A experiência do investigador permite diferenciar os casos fake de denuncias reais.

Após a analise preliminar, é necessário somar evidências mais robustas como imagens de câmera, registros e logs de transações em sistemas.

O acesso às bases de dados, SQL, ferramentas de auditoria e análise de dados (Galvanize ACL Analytics, IDEA, Arbutus) e ferramentas forenses (Encase, Nuix) complementam a busca por evidências sistêmicas. As ferramentas forenses permitem resgatar provas mesmo quando houve intenção de destruição (apagar arquivos, destruir o HD) ou mascaramento (esteganografia, criptografia).

A Microsoft dispõe de ferramentas como o Search Content e Advanced e-Discovery para buscas em caixas de e-mail, skype, teams, sharepoint e outras ferramentas do Office365. Ambas são encontradas no Security and Compliance Center – um portal dedicado para GRC.

Aos poucos, a Microsoft têm inserido ferramentas para LGPD, que já são usadas para o GDPR fora do Brasil. Por exemplo, lá é possível criar regras de classificação da informação e prevenção de vazamento de dados (DLP).

Tão importante quanto a tecnologia, o profundo conhecimento dos processos da empresa, estatística e de auditoria contábil permitem melhor entendimento do acontecido e obtenção de evidências consistentes.

As evidências devem ser preservadas adequadamente em um “laboratório”, segregado da rede corporativa, quando possível. Também há situações em que um tabelião precisa registrar uma ata notatorial para garantir a validade legal.

Medidas Disciplinares

Uma vez confirmada a conduta indevida, os atores devem ser responsabilizados.

Sanção disciplinar é a responsabilização pela conduta inadequada. Deve ser razoável e proporcional à situação identificada. Além da gravidade, deve-se verificar se há reincidência do colaborador. Quanto maior a reincidência, há mais indícios de que a ação foi intencional e premeditada.

Alguns exemplos de medidas disciplinares são:

  • Advertência verbal;
  • Advertência por escrito;
  • Suspensão;
  • Demissão;
  • Demissão por justa causa.
Categorias
Auditoria Data Analytics Data Science Tecnologia da Informação

Auditoria Contínua: mapeando padrões, desvios e causa

Auditoria ou Auditar vem da raiz em latim audire que significa ouvir. Um significado mais abrangente seria: analisar, mapear padrões e desvios e identificar a causa de um problema.

Mapear a causa raiz de um problema é um grande desafio visto que esta é bem diferente de uma justificativa ou simples admissão de responsabilidade.

Trata-se do fato gerador do apontamento. Porém – que realmente levou à este desvio? Qual controle falhou para a materialização do risco?

Auditoria Contínua

A Auditoria Contínua é ainda mais desafiadora. Como uma máquina pode identificar problemas, falhas e até mesmo fraudes sem o julgamento humano?

Entender como auditar problemas ou fraudes a partir de padrões é condição sine qua non para automatizar testes de Auditoria Interna. Aliás, esta expressão também é latina:

sine qua non: Sem à qual não há razão de ser

latim, wikipedia

Técnicas

Existem muitas técnicas para identificar outliers. Mas, vejamos duas óticas de análise:

Aderência à regras

Quando um processo possui um fluxo e regras bem definidas, é muito fácil comparar prática e teoria. Primeiramente, podemos simplesmente testar a aderência às regras.

Por exemplo, ao analisar os pedidos de compra da Companhia uma das preocupações pode ser a alçada de aprovação.

Assim sendo, caso exista uma política de alçadas, é simples comparar se a aprovação de um pedido de R$ 2.000,00, por exemplo, foi aprovado por alguém com alçada suficiente.

Identificando padrões e desvios

Um processo estabelecido compreende uma ação ou conjunto de ações constantes – rotina. Portanto, se é possível identificar um padrão de periodicidade, vale a pena avaliar os casos que fogem à regra.

Na contabilidade por exemplo, existem tipos de documentos e contas contábeis específicas para cada situação. Conhecer estes padrões permite identificar exceções e identificar erros nos lançamentos.

O erro operacional, a ineficiência e até mesmo fraude – todos têm uma dimensão em comum: a rotina.

‘Corrupção” vem do latim “rumpere”, ou romper, quebrar. Da mesma origem latina vem a palavra “rota”, através de “ruptura”, que virou “rupta” (um caminho aberto) no latim vulgar e está na origem do francês “route”, rota, e também de “rotina”. “Corrupção” e “rotina” vão se encontrar…

Luís Fernando Verríssimo (O Globo, 13/04/04)

Geralmente, na auditoria, são os outliers (casos que fogem do padrão) que indicam problemas, possibilidades de melhoria ou desvios de conduta.

Auditoria Contínua: identificando padrões, outliers e causa raiz
Outliers em vermelho (Khan Academy)

Implantar um código de ética na empresa, é essencial para o aculturamento dos colaboradores. Parte de um programa de ética, o código especifica claramente qual é a conduta esperada do colaborador, o que ele não deve fazer e como ele será responsabilizado no caso de desvios.

O Discurso do Método na Auditoria

Em 1637, o filósofo e matemático francês René Descartes definiu 4 passos para desenvolver um raciocínio. Esses quatro passos podem orientá-lo na identificação de problemas. São eles:

  • Receber escrupulosamente as informações, examinando sua racionalidade e sua justificação. Verificar a verdade, a boa procedência daquilo que se investiga – aceitar o que seja indubitável, apenas. Esse passo relaciona-se muito ao ceticismo.
  • Análise, ou divisão do assunto em tantas partes quanto possível e necessário.
  • Síntese, ou elaboração progressiva de conclusões abrangentes e ordenadas a partir de objetos mais simples e fáceis até os mais complexos e difíceis.
  • Enumerar e revisar minuciosamente as conclusões, garantindo que nada seja omitido e que a coerência geral exista.

Enablers da Auditoria Contínua

Em conclusão, para aprender mais sobre Auditoria Contínua, procure obter conhecimentos específicos de Tecnologia da Informação, uso de ferramentas de Audit Analytics e Data Science para facilitar essas análises na auditoria interna.

Referências sobre padrões e desvios

Outliers in scatter plots (Khan Academy, 15/08/2019)

Corruptelas (Veríssimo, O Globo 13/04/14)

você está offline!