preloader
Your address will show here +12 34 56 78
Como fazer
O mercado de Governança, Riscos e Compliance (GRC) tem crescido no mundo, e no Brasil especialmente. Isso por causa da onda de exigências cada vez maior por programas de Compliance mais complexos, bem estruturados e confiáveis.

Leis mais antigas, como a Sarbanes-Oxley (SOx), já apontavam a necessidade de mecanismos de gestão mais refinados. Agora, com a Lei Anticorrupção no Brasil, ficou ainda mais específica a necessidade de procedimentos e ferramentas GRC para empresas.

É sempre importante relembrar que a Lei Anticorrupção fala detalhadamente que ter um programa de Compliance com procedimentos claros é importante para reduzir sanções e multas. E, na maioria das empresas, isso significa usar pelo menos algumas ferramentas de GRC.

Vale a pena investir?

1 – Indicadores

O uso de ferramentas de GRC para a gestão do seu programa tem um benefício que é particularmente importante. O registro e a produção de indicadores são um diferencial do uso de tecnologia, já que dados manuais além de serem mais escassos e difíceis de obter, podem ser imprecisos.

A sua empresa pode se encontrar sob investigação (interna ou externa) ou sob monitoramento a qualquer momento. As entidades que realizam essas ações vão precisar ter acesso a dados e vão querer conhecer o seu programa de Compliance. Com o uso de ferramentas de qualidade, essas evidências ficam armazenadas, organizadas e a fácil acesso.

Tudo isso é sem contar as recentes leis federal (Lei Anticorrupção) e estaduais que dizem que empresas que não têm Programa de Compliance não podem fazer negócios com esses governos. Usando ferramentas de GRC, a prova da qualidade do seu programa fica em mãos e a rápido acesso.

2 – Gestão e Proteção de Dados

Outra preocupação que se tornou a primeira na lista de muitos executivos é a proteção de dados. A maioria das empresas possui um banco de dados sobre clientes, parceiros, funcionários, etc. E com a facilidade da tecnologia, esses bancos crescem cada vez mais e se tornam cada vez mais complexos.

Infelizmente, esse aumento no volume não foi acompanhado por medidas de segurança, e acompanhamos todos dia os escândalos de vazamento decorrentes disso. Agora, no Brasil, entrará em vigor a Lei Geral de Proteção de Dados (LGPD). A nova lei obriga empresas a tomarem providências para proteger esse enorme volume de dados.

Para isso, é impossível não recorrer tanto a especialistas, quanto a ferramentas adequadas. Nesse setor existem ferramentas de Big Data e segurança de dados em geral que ajudam a criar procedimentos de criptografia, segurança e organização dos dados de acordo com a quantidade.

3 – Gestão de Riscos

A Gestão de Riscos é um pilar do Programa de Compliance, e um dos 3 membros do GRC. Ou seja, é uma estratégia que precisa ser pensada e construída com cuidado. Apesar de ser bastante complexa e envolver uma série de procedimentos independentes, existem ferramentas que automatizam esses processos. Isso torna o trabalho de Gestão de Riscos muito mais fácil.

Por exemplo, algumas fazem a análise de dados e relatórios financeiros, e usam a Inteligência Artificial para identificar e reportar anomalias que podem ser sinal de fraude. Além disso, tem outras que analisam planos e projetos de produtos, serviços, etc. e classificam possíveis riscos antes mesmo da implementação.

4 – Gestão de Políticas e Documentos

Por fim, existem também as ferramentas de Gestão de Políticas e Documentos. Essas políticas corporativas são outro pilar dos programas de Compliance, e um dos primeiros passos na estruturação de um programa de Compliance. Por isso, a gestão delas precisa ser feita com cuidado.

Uma das possibilidades de ferramentas GRC é o próprio clickCompliance. O módulo de Governança de Documentos reúne todas as políticas e documentos da empresa, e facilita a gestão com fluxos de aprovação, possibilidade de revisão e versionamento, coleta automática de aceites, etc.

Tudo isso é importante para o GRC porque cria procedimentos seguros e organizados, além de resultar em evidências fáceis de interpretar e disponíveis para exportar quando necessário.

Então, vale a pena investir?

A resposta dessa pergunta na verdade vai depender da sua empresa. Na maioria dos casos, vale a pena sim investir em ferramentas. Elas diminuem custos com pessoal e perdas resultantes de burocracia e falta de eficiência. Além disso, ajudam a alcançar as demandas das legislações cada vez mais exigentes e específicas.

Para escolher, é preciso analisar as necessidades e prioridades do seu Programa de Compliance. Isso pode depender do tamanho da empresa, o setor, o produto ou serviço que realiza. O importante a se lembrar é não contratar ferramentas demais. Isso pode não ser sustentável financeiramente.

Além disso, pequenas empresas costumam conseguir realizar muitas tarefas manualmente. Para elas, então, pode não valer tanto a pena investir em ferramentas GRC. No final, o importante é conhecer o que está disponível no mercado e tomar uma decisão baseado nas suas necessidades para ver quais e quantas ferramentas valem a pena investir para a sua empresa.

 
0

Fique por Dentro
Às vezes parece que as áreas de Compliance, e outras ligadas ao direito em geral, não se misturam com tecnologia. O direito costuma ser mais tradicional e o Compliance burocrático. Enquanto isso, a tecnologia tem fama de inovador, de agilizar processos e otimizar produtividade. No entanto, percebemos cada vez mais as possibilidades (e necessidades) de integrar essas duas áreas. Um exemplo claro é o uso da Inteligência Artificial no Compliance.

Um estudo da FCA e do Instituto Internacional de Finanças concluiu que as tecnologias de inteligência artificial e aprendizado de máquina facilitam a conformidade regulatória com mais eficiência do que as tecnologias existentes.

A demanda neste segmento por recursos de Inteligência Artificial e Machine Learning é alta. Estima-se que atinja US$ 6,45 bilhões até 2020, com crescimento de 76% ao ano (Frost & Sullivan). Existem diversas aplicações possíveis: workflows, Canais de Denúncias, atendimento, monitoramento de legislação, gestão de riscos, etc.

Alguns benefícios do uso da Inteligência Artificial no Compliance são o aumento da eficiência, produtividade e da precisão de relatórios. Isso porque a I.A. consegue percorrer uma quantidade muito maior de dados em menos tempo. Depois, faz uma análise rápida e com a precisão de uma máquina.

Inteligência Artificial no Judiciário

  • VICTOR – STF

Uma tecnologia já em fase de estágio supervisionado no Supremo Tribunal Federal (STF) é o VICTOR. A Inteligência Artificial será usada para conversão de imagens em textos no processo digital, separação do começo e do fim de um documento (peça processual, decisão, etc.), separação e classificação das peças processuais mais utilizadas nas atividades do STF e a identificação dos temas de repercussão geral de maior incidência.

De acordo com o STF, as tarefas que os servidores do Tribunal levam, em média, 44 minutos, o VICTOR fará em menos de 5 segundos. Assim será possível realocar servidores para tarefas mais complexas dos processos.
  • Sócrates – STJ

O Superior Tribunal de Justiça (STJ) também já está desenvolvendo um projeto de Inteligência Artificial. O sistema chamado de Sócrates vai produzir um exame automatizado do recurso e do acórdão recorrido, a apresentação de referências legislativas, a listagem de casos semelhantes e a sugestão da decisão.

De acordo com o STJ, esse uso da inteligência artificial deve reduzir o tempo entre a distribuição e a primeira decisão no recurso especial em 25%.

Usando Inteligência Artificial no Compliance

Big data

O objetivo do Big Data é conseguir organizar e facilitar a compreensão de volumes muito grandes de dados. Hoje em dia podemos ter acesso a dados sobre empresas que, se bem interpretados, podem ser valiosos para a análise de riscos, prevenção à fraude e lavagem de dinheiro, etc.

No entanto, é quase impossível fazer esse trabalho de organização manualmente. Ferramentas de Big Data segmentam, caracterizam e ordenam dados para que o profissional de Compliance utilize seu tempo apenas na interpretação e aplicação desses dados no programa de Compliance.

Atendimento

Outra tarefa que costuma tomar o tempo de profissionais de Compliance é o atendimento a funcionários e terceiros. Felizmente, cada vez mais funcionários têm procurado o setor de Compliance para tirar dúvidas sobre processos, políticas e outras questões relacionadas à ética e integridade na empresa.

No entanto, principalmente em empresas grandes, a quantidade de e-mails, ligações, etc. pode atrapalhar o dia a dia do trabalho. Por isso, um ChatBot que faça esse atendimento pode reduzir drasticamente o tempo desperdiçado com questões simples.

Por exemplo, o Compliance Bot do clickCompliance usa Machine Learning para responder perguntas de funcionários sobre qualquer coisa relacionada ao programa de Compliance da empresa. Só se o Bot não conseguir responder à pergunta que a dúvida é encaminhada ao setor de Compliance.

Monitoramento de Legislação

Um uso importante da Inteligência Artificial no Compliance é para monitorar legislações. Leis estão mudando todo dia, e agora que o Compliance e as regulamentações de empresas estão em alta, é preciso ficar muito atento às novas leis às quais sua empresa pode estar sujeita.

Ferramentas de I.A podem monitorar a internet e outros canais específicos por mudanças na legislação e notificar a equipe de Compliance. Assim, seu programa de Compliance fica sempre em dia com as leis.

Canal de Denúncias

Outra utilidade da I.A é em um dos pilares mais básicos do programa de Compliance, o Canal de Denúncias. O clickCompliance foi selecionado em um edital da Faperj, e está trabalhando em um projeto de inovação de I.A em Canais de Denúncias chamado Denúncia Inteligente.

O projeto vai criar um atendente virtual para captar denúncias através de um número de telefone. Ele ainda vai identificar quais informações precisa solicitar ao denunciante e classificar o nível de importância para a equipe de Compliance.

Não só a ferramenta será uma opção de hotline mais barata, por não precisar de atendentes humanos e treinados, como, por ser um robô, terá toda a segurança dos dados da denúncia que um erro humano poderia deixar escapar.

Mais informações serão compartilhadas em breve. No nosso evento Compliance Talks, que aconteceu  em São Paulo e agora vai acontecer em Belo Horizonte, também apresentaremos o projeto, como vai funcionar e como sua empresa pode contribuir e receber benefícios prévios.

Você pode fazer sua inscrição abaixo na lista de espera do evento, já que as vagas já se esgotaram. 

 
0

Como fazer
Vamos imaginar uma situação de uma empresa que tem 1000 colaboradores e 10 políticas corporativas gerais e algumas políticas específicas para determinados setores. Além disso, tem documentos como normas, atas, regulamentos, etc., que também precisam ser vistos, lidos e aceitos por determinados funcionários. Nesse caso, terá que ser feita uma Gestão de Documentos.

Nós entendemos perfeitamente o quanto é complexo fazer a gestão de todos esses documentos. Por isso, o clickCompliance tem um módulo de Governança de Documentos que se baseia em softwares de Gerenciamento Eletrônico de Documentos (GED).

No entanto, é cheio de funcionalidades especificamente pensadas para o setor de Compliance. Por exemplo, versionamento de políticas, fluxos de aprovação das políticas e gráficos e relatórios de aceites. Vamos explicar tudo em detalhes a seguir.

O que é Gerenciamento Eletrônico de Documentos?

GED é uma técnica administrativa que busca tornar acessíveis e bem organizados todos os documentos de uma empresa.
Fica tudo em um mesmo local e acessível por todos os colaboradores, além de estar em pastas e subdivisões de acordo com a necessidade da empresa.

Isso ajuda a tornar o dia a dia mais organizado e eficiente. Reduz burocracia, perda de tempo buscando documentos e reduz a ocupação de espaço físico com pastas e armários.

Ainda por cima, os documentos ficam guardadas para sempre e nas mesmas condições. Só precisam ser impressos quando necessário.

O que o clickCompliance faz?

O módulo de Governança de Documentos do clickCompliance usa como base o o GED, mas vai além disso com funcionalidades pensadas para otimizarem especificamente a gestão de documentos do dia a dia do Compliance.

Coloca na nuvem

O clickCompliance fica hospedado na nuvem da Microsoft, o Azure. Isso torna o acesso possível de qualquer dispositivo em qualquer lugar, bastando ter acesso à internet. É também o que permite as constantes atualizações e melhorias que fazemos no sistema.

Divisões em pastas

É claro que não poderia faltar o básico. Você pode classificar cada documento no portal em um tipo de documento (Ata, normativo, manual, política corporativa, etc.), e por setor (documentos financeiros, de compras, de RH, etc.). E isso não é só para os administradores, os funcionários também acessam organizados assim.

Além de ser mais organizado, essa divisão de tipos de documentos pode ser replicada nos seus gráficos e indicadores, facilitando a visualização de acordo com a organização que a sua empresa acha melhor.

Fluxos de aprovação

O fluxo de aprovação é uma estrutura interna que permite o escalonamento da aprovação de alguma nova política ou documento, ou alguma mudança, de acordo com a hierarquia interna da sua empresa.

Ou seja, vamos supor que uma nova política do setor financeiro será adicionada ao clickCompliance. A primeira pessoa que precisa aprovar receberá a notificação para fazer isso. Depois a próxima pessoa e assim em diante até ter sido aprovada pelo topo da hierarquia configurada.
Se houver mudança ou for reprovada, o fluxo volta do início. Só ao ser totalmente aprovada ela é publicada.

Controle de validade

O portal também permite configurar a validade de um documento ou política. Quando esse tempo passar, será preciso que todos os colaboradores que precisam aceitar ela reaceitem. Tudo isso de forma automática, sem o profissional de Compliance precisar se preocupar.

Versionamento

Também é possível fazer revisões no portal ou criar novas versões de documentos. Ou seja, se um documento que precisa ser aceito for alterado tanto que mudou o sentido do conteúdo, você marca como uma versão.

Assim, vaio passar novamente pelo fluxo de aprovação e todos que precisam aceitar o documento novamente vão receber uma notificação para fazer isso.

Já se for uma alteração pequena, como uma correção, você marca como uma revisão. Assim não será preciso passar pelo fluxo de aprovação nem ser aceita de novo.

 
0

Fique por Dentro
A LGPD tem sido discutida a muito tempo, e é um marco para a proteção de dados. O tema se tornou muito importante após os diversos escândalos de vazamento de dados dos últimos anos. Mas, se o problema é proteção de dados, o que o Compliance tem a ver com isso?

Duas coisas muito importantes tornam o Compliance o setor fundamental para a adequação da empresa à LGPD. O primeiro, é porque é dever do Compliance garantir que a empresa esteja de acordo com legislações referentes a ela. Por exemplo, precisa estabelecer processos e políticas para assegurar o cumprimento das leis no dia a dia.

Além disso, a LGPD é uma lei que, se não seguida à risco, pode acarretar danos imensos à reputação e imagem da empresa, além de multas pesadas. Isso é especialmente possível devido à grande publicidade e cobrança que têm vindo dos incidentes envolvendo dados de usuários.

Ou seja, o Compliance, afinal, tem o dever de garantir a segurança de dados de acordo com a LGPD da mesma forma que previne contra riscos derivados de outras legislações. Criando processos, políticas, documentos, programas de prevenção e gestão de riscos. E uma das recomendações mais importantes nesse processo é a nomeação de um Data Protection Officer (DPO).

O que é o Data Protection Officer (DPO)

O DPO é uma pessoa (ou empresa) nomeada pela pessoa jurídica que detêm os dados que precisam ser tratados (a controladora). Ele será o elo entre essa pessoa jurídica, os titulares dos dados (pessoas nominais aos quais os dados se referem) e a Autoridade Nacional de Proteção de Dados (ANPD), que ainda está em processo de elaboração.

É recomendado que seja uma pessoa ou área independente da empresa, ou até terceirizada. Assim, ela pode exercer suas atividades sem restrições e intermediações da empresa, já que nem sempre as medidas ou investigações serão em prol dos interesses imediatos da empresa.

Outra recomendação é que a identidade e informações de contato dessa pessoa, ou de um responsável pelo setor, estejam disponíveis. É preciso que funcionários, clientes e demais pessoas externas possam acessar o DPO para fazer questionamentos, tirar dúvidas e exigir seus direitos previstos na LGPD.

O que faz o DPO

O Data Protection Officer deve ter conhecimentos não só sobre dados, mas de processos de Governança Corporativa. Ele deve ser o responsável por fazer fiscalização e governança de acordo com a LGPD, e orientar funcionários e terceiros da empresa em como proteger e manusear devidamente os dados que a empresa possui.

Além disso, deve estar pronto para receber reclamações e denúncias e responder questionamentos de pessoas sobre o uso de dados na empresa. Por fim, é também a pessoa responsável por dialogar com a Autoridade Nacional de Proteção de Dados e prestar qualquer esclarecimento a ela e outras agências reguladoras.

Minha empresa precisa de um DPO?

A adoção de um DPO não é obrigatória para todas as empresas. A LGPD especifica que empresas que detêm um volume alto de dados pessoais ou sensíveis (raça e etnia, convicção religiosa, opinião política, filiação sindical, dados de saúde, opção sexual, genético-biométrico, ou dados de crianças) precisam sim ter um profissional destinado à proteção dos dados.

No entanto, é recomendado que qualquer empresa que tenha recursos para investir em um DPO faça isso. É um sinal de compromisso com a ética e segurança, importante não só para a reputação da empresa, mas para a ANPD. Além disso, as empresas ao redor do mundo têm sofrido sanções pesadas em incidentes envolvendo dados. Por isso, tudo indica que a ANPD também fará uma fiscalização rigorosa.


 
0

Anticorrupção

O que é?

O Compliance Trabalhista é uma parte do programa de Compliance que qualquer empresa precisa ter. Basicamente, é um conjunto de medidas e procedimentos que vão ajudar a prevenir e proteger a empresa em casos que podem infringir legislações trabalhistas.

Com isso, o maior benefício que percebemos é reduzir a quantidade de ações trabalhistas, que causam grandes perdas financeiras a empresas brasileiras. Isso é significativo, já que o Brasil é o país com maior número de ações desse tipo no mundo.

Outra redução de gasto vem com uma menor incidência de atos ilícitos. Esse é um benefício não só do Compliance Trabalhista, mas do Compliance em geral. Fraudes, desvio de dinheiro, multas e gastos com auditorias e reparação de reputação acumulam despesas para empresas que têm que lidar com corrupção.

As duas principais frentes do Compliance trabalhista são no setor de Recursos Humanos (RH) e na Saúde e Segurança do Trabalho (SST).

Compliance Trabalhista em Recursos Humanos

Dentro dos Recursos Humanos, o Compliance Trabalhista lida com duas funções: Recrutamento e seleção e manutenção do ambiente e relações de trabalho.

  • Recrutamento e seleção

Nesse ponto é importante focar não só na contratação de empregados diretos, mas na relação da empresa com terceiros. Isso porque a empresa pode se responsabilizar pelas inadimplências trabalhistas da empresa contratada. A solução é fazer uma boa Due Diligence trabalhista antes de contratar qualquer terceiro. Isso é conhecido como Know Your Customer, ou KYC.

Quanto aos empregados diretos da empresa, também é possível fazer uma “Due Diligence” antes e durante a seleção de novos funcionários. Isso deve ser feito dentro dos limites da legislação para evitar que essa investigação não resulte na não contratação por causa de preconceitos.

O nome desse Due Diligence é conhecido como Know Your Employee, ou KYE. O único propósito deve ser a busca por empregados que mostrem disposição e concordância com os valores da empresa e senso pessoal de ética. É também recomendado incluir no processo provas de conhecimento anticorrupção para medir o comprometimento ético do candidato.

  • Ambiente e relações de trabalho

O RH também tem a função de manter a qualidade do ambiente de trabalho e das relações entre os funcionários. Isso é importante porque casos de assédio moral e sexual podem levar a ações trabalhistas que além de afetarem o ambiente de trabalho, mancham a reputação da empresa e levam a gastos financeiros.

O mais importante é criar boas e claras políticas corporativas. Os documentos precisam estar claros e mostrar quais são os valores da empresa, e o que pode ou não pode ser feito. Ainda é preciso ter procedimentos que garantem a leitura, entendimento e aceite dessas políticas.

Com um Canal de Denúncias, os problemas podem ser resolvidos dentro da empresa em vez de levar a ações judiciais. Também inspira confiança na empresa. Com esse controle interno, também é possível formalizar punições e ações a serem tomadas a partir do Código de Ética.

Outros procedimentos de reforço de um bom ambiente de trabalho devem ser formalizados. Essas atividades devem ser feitas em conjunto com a equipe de RH, mas o Compliance também deve estar presente. É ele que vai formalizar as normas e procedimentos, e garantir o fortalecimento dos valores, normas e missões da empresa.

Compliance Trabalhista na Saúde e Segurança do Trabalho

Outra face do Compliance Trabalhista é a Saúde e Segurança do Trabalho (SST). Acidentes ou doenças ocupacionais são ocorrências que podem levar a ações trabalhistas, uma das coisas que o Compliance Trabalhista busca evitar.

Mas além disso, a SST é regulamentada por diversas normas e legislações muito específicas e numerosas. Por isso, é importante ter um profissional de Compliance para garantir que a empresa está em conformidade com cada uma dessas regulamentações.

Um exemplo é garantir que existem políticas, procedimentos e controles internos que devem ser seguidos no dia a dia por todos. Seguem abaixo três exemplos desse tipo de norma ou procedimento.

  • Mapeamento de riscos

Antes de qualquer coisa, é sempre importante que a empresa faça um mapeamento de riscos geral. No caso de SST, se procura áreas, funções e atividades mais propícias ou vulneráveis a acidentes. Depois, você deixa isso registrado e propõe medidas de correção para cada um.

Essas medidas podem ser novas políticas corporativas que ajudam a clarificar como o funcionário deve agir em determinada situação, sinalizações adequadas de perigo e cautela no espaço de trabalho, normas que estabelecem equipamentos de proteção individual (EPI’s), etc.

  • O Perfil Profissiográfico Previdenciário

O Perfil Profissiográfico Previdenciário, ou PPP, é um documento que pode começar a ser elaborado durante o mapeamento de riscos. É obrigatório para qualquer empresa que exponha os funcionários a agentes nocivos físicos, biológicos, químicos e outros que podem prejudicar a integridade física.

Este documento vai reunir dados e informações sobre o ambiente de trabalho de cada funcionário. Ou seja, os riscos identificados no mapeamento de riscos, possível contato com insalubridade, detalhamento de agentes nocivos presentes no ambiente de trabalho, etc.

Você pode ver o formulário e instruções para preenchimento no site do INSS.

  • O Programa de Prevenção de Riscos Ambientais

Já este programa é muito parecido com o Programa de Compliance. Ele tem uma legislação, mas não é uma norma ou documento físico que precisa ser entregue. É um conjunto de ações, diretrizes e metodologias que devem ser seguidos pela empresa para garantir a preservação da saúde e segurança dos funcionários.

A diferença é que o PPRA deve ser parte do programa de Compliance em empresas que expõem os colaboradores a possíveis riscos à integridade física.

Como garantir o Compliance Trabalhista

Vimos a importância de aplicar o Compliance Trabalhista em qualquer Programa de Compliance. Agora, seguem algumas formas de garantir isso na prática.

  • Due Diligence

O Due Diligence é uma técnica muito forte no Compliance Trabalhista, principalmente no RH. É importante conhecer previamente nossos funcionários e nossos parceiros comerciais para garantir que a empresa não vai sofrer as consequências das ações de indivíduos ou terceiros.

  • Canal de Denúncias

Já o Canal de Denúncias é um pilar do Compliance que garante que a empresa tome conhecimento de acontecimentos possivelmente problemáticos. Assim, é possível estabelecer planos de reparação e prevenção de futuros incidentes.

  • Treinamentos

Prevenção é uma parte muito importante do Compliance em geral. E ter bons treinamentos são uma forma de garantir que os funcionários estão cientes e pratiquem como reagir dentro das normas e valores da empresa, evitando ainda mais atividades ilícitas e antiéticas.


 
0

Como fazer
As áreas e técnicas que existem dentro do GRC (Governança, Riscos e Compliance) são diversas e muito complexas. É preciso ter muita calma e organização para ser eficiente na implantação de estratégias de GRC, e escolher bem o que é melhor para cada empresa.

Nesse blogpost vamos mostrar 4 dicas para você ter o básico da implementação de GRC e conseguir traçar os próximos passos de forma mais organizada.


O que é GRC?

A Governança, Riscos e Compliance é um conjunto de estratégias que busca otimizar a administração da sua empresa. Alguns fundamentos são a transparência, eficiência, responsabilidade e prevenção. Ou seja, ajuda a fazer a gestão da sua empresa da melhor forma possível para todos os seus stakeholders.

Leia a seguir 4 formas de garantir que seu GRC está sendo implantado com uma base sólida de planejamento através de mapeamentos estratégicos dentro da empresa. Ter tudo muito bem documentado e organizado é a melhor forma de começar esse trabalho longo e complexo.


1. Mapear processos internos

Processos e controles internos são todas as estruturas processuais que existem para a administração da empresa. Alguns exemplos são a gestão de riscos e auditorias internas. Mas podem ser coisas menores, como normativos, campanhas e pesquisas.

Consideramos esse passo importante porque é preciso primeiro saber qual é a estrutura já existente na empresa. Você vai precisar entender quais são os pontos que já estão sendo trabalhados, quais não precisam ser trabalhados, quais precisam de tratamento mas não têm, etc.

É só depois disso que você vai poder seguir com os próximos passos da implementação do GRC. Se não, pode acabar desperdiçando tempo e trabalho em coisas desnecessárias para a realidade de sua empresa, ou que já são bem-feitas.


2. Mapear as áreas e funções na empresa

Outra dica importante é conhecer a sua empresa, seus funcionários e suas áreas. Ter essa visão completa da estrutura interna da empresa é útil para diversos passos do Compliance e da gestão de riscos.

Por exemplo, depois, ao fazer o mapeamento de risco, você poderia já ter documentado e à disposição as áreas da empresa, e os funcionários e seus cargos. Isso é a base para identificar quais os maiores riscos e onde estão, já que diferentes cargos e setores estão expostos a diferentes riscos.

Por exemplo, funcionários com cargos mais altos são mais propensos a cometerem crimes financeiros, e de mais baixos a cometerem infrações à normas de conduta. Já funcionários da área de compras são mais suscetíveis a infrações relacionadas a fornecedores e terceiros.

Outra utilidade para esse mapeamento é para designar mais organizadamente as políticas corporativas. Existem algumas políticas que não precisam ser lidas e aceitas por determinados funcionários, como políticas específicas sobre compras.


3. Mapear o desempenho e indicadores atuais da empresa

Ter um controle do desempenho atual do GRC na sua empresa é fundamental. E ter uma noção não basta, é preciso ver indicadores e documentações reais. Ter esse controle vai te ajudar a ver na prática o que você vai ter que fazer de fato.

Várias organizações nacionais e internacionais colocam o monitoramento como uma das partes fundamentais dos programas de Compliance. No Brasil, isso está disposto nas Diretrizes para Empresas Privadas para implementação de programas de Compliance da CGU, por exemplo.

E esses indicadores não são só úteis para projetar ações e procedimentos para os pontos que não estão tendo bom desempenho ou não estão sendo eficientes. Servem também para fazer uma comparação no futuro. Como você vai saber se as suas estratégias estão tendo o efeito desejado se você não pode comparar a como estava antes? 


4. Mapear planos futuros e metas

A última dica que sugerimos é fazer um planejamento não só das próximas ações, mas também de suas metas e objetivos. Ter um norte ajuda a manter a produtividade da equipe, e também a fazer o acompanhamento da progressão do programa.

Analisando o desempenho das suas campanhas, das melhoras ou pioras em relação a detecção de riscos e outras métricas, você consegue perceber se suas projeções poderão ser cumpridas ou não. Assim, é possível ajustar seus recursos e esforços para alcançar melhor seus objetivos.

Por exemplo, ao identificar quais são as suas prioridades, você consegue adaptar com muito mais facilidade sua força de trabalho para cumprir aquilo de maior valor para o GRC da sua empresa.

Como vimos, o GRC é muito abrangente e envolve processos complexos. Muitas vezes uma empresa não tem condições de agir em todas as frentes. Essas 4 dicas de pontos de partida podem ajudar a fazer o seu programa de GRC o mais eficiente e organizado possível de acordo com a sua realidade.
0

POSTS ANTERIORESPage 1 of 7SEM NOVOS POSTS