NFPA 1600: a continuidade, a emergência e o gerenciamento de crises

Essa norma internacional, editada em 2019 pela National Fire Protection Association (NFPA), estabelece um conjunto comum de critérios para todos os programas de gerenciamento de desastres/emergência e continuidade de negócios. O gerenciamento de emergências e continuidade de negócios compreende muitas entidades diferentes, incluindo o governo em diferentes níveis, como, por exemplo, federal, estadual, municipal, negócios comerciais e indústria, organizações sem fins lucrativos e não governamentais e cidadãos individuais.

A NFPA 1600 – Standard on Continuity, Emergency, and Crisis Management é dedicada a ajudar os usuários a se prepararem para qualquer tipo de crise ou desastre – resultante de eventos naturais, humanos ou tecnológicos. Amplamente utilizado por entidades públicas, sem fins lucrativos, não governamentais e privados em uma base local, regional, nacional, internacional e global, a norma continua a evoluir como um padrão vital para o desenvolvimento, implementação, avaliação e manutenção de desastres/programas de gestão de emergências e continuidade de operações.

O gerenciamento de emergências e continuidade de negócios compreende muitas entidades diferentes, incluindo o governo em diferentes níveis, como, por exemplo, federal, estadual, municipal, negócios comerciais e indústria, organizações sem fins lucrativos e não governamentais e cidadãos individuais. Cada uma dessas entidades tem seu próprio foco, missão e responsabilidades exclusivas, recursos e capacidades variados e princípios e procedimentos operacionais.

Conteúdo da norma

Capítulo 1 Administração

1.1 Escopo

1.2 Objetivo

1.3 Aplicação.

Capítulo 2 Publicações referenciadas

2.1 Geral

2.2 Publicações da NFP

2.3 Outras publicações

2.4 Referências para extratos em seções obrigatórias

Capítulo 3 Definições

3.1 Geral

3.2 Definições oficiais da NFPA

3.3 Definições gerais

Capítulo 4 Gestão do programa

4.1 Liderança e compromisso

4.2 Coordenador do programa

4.3 Objetivos de desempenho

4.4 Comitê do programa

4.5 Administração do programa

4.6 Leis e autoridades

4.7 Finanças e administração

4.8 Gerenciamento de registros

Capítulo 5 Planejamento

5.1 Processo de planejamento e projeto

5.2 Avaliação de risco

5.3 Análise de impacto nos negócios (Business Impact Analysis – BIA)

5.4 Avaliação das necessidades de recursos

Capítulo 6 Implementação

6.1 Requisitos comuns do plano

6.2 Prevenção

6.3 Mitigação

6.4 Gestão de crises

6.5 Comunicação de crise e informação pública

6.6 Aviso, notificações e comunicações

6.7 Procedimentos operacionais

6.8 Gestão de incidente

6.9 Operações de emergência/plano de resposta

6.10 Continuidade e recuperação

6.11 Assistência e suporte a funcionários

Capítulo 7 Execução

7.1 Reconhecimento de incidentes

7.2 Relatórios/notificações iniciais

7.3 Plano de ativação e plano de ação para incidentes

7.4 Ative o sistema de gestão de incidentes

7.5 Gestão e comunicação de incidentes em andamento

7.6 Documentação das informações, decisões e ações sobre incidentes

7.7 Estabilização de incidentes

7.8 Desmobilização de recursos e rescisão

Capítulo 8 Treinamento e educação

8.1 Currículo

8.2 Objetivo do currículo

8.3 Escopo e frequência da instrução

8.4 Treinamento do sistema de gestão de incidentes

8.5 Manutenção de registros

8.6 Requisitos regulamentares e do programa

8.7 Educação pública

Capítulo 9 Exercícios e ensaios

9.1 Avaliação do programa

9.2 Metodologia de exercício e ensaios

9.3 Projeto de exercícios e ensaios

9.4 Avaliação de exercícios e ensaios

9.5 Frequência

Capítulo 10 Manutenção e melhoria do programa

10.1 Revisões do programa

10.2 Ação corretiva

10.3 Melhoria contínua

Anexo A Material explicativo
Anexo B Autoavaliação de conformidade com a NFPA 1600, Edição de 2019

Anexo C Guia de preparação para pequenas empresas

Anexo D Comparações entre a NFPA 1600 e as práticas profissionais da DRII, CSA Z1600 e Diretiva Federal de Continuidade 1 e 2

Anexo E NFPA 1600, Edição de 2019, como MSS

Modelos de maturidade do Anexo F

Anexo G APELL

Anexo H Preparação pessoal e/ou familiar

Anexo I Acesso e necessidades funcionais

Anexo J Mídias sociais na gestão de emergências

Anexo K Comunicações de emergência: alertas e avisos públicos em resposta a desastres

Anexo L Gestão de emergências, interoperabilidade dos dados de continuidade e gestão de crises

Anexo M Referências informativas

Essa norma foi adotada pelo Departamento de Segurança Interna dos EUA como padrão de consenso voluntário para preparação para emergências, e a Comissão Nacional de Ataques Terroristas aos Estados Unidos (Comissão do 11 de setembro) reconheceu a NFPA 1600 como uma norma nacional de preparação. As edições de 2013, 2007 e 2010 da NFPA 1600 foram designadas pelo Department of Homeland Security (DHS) para serem usadas por terceiros credenciados, para avaliar e certificar a conformidade de entidades sob seu Programa de Preparação para o Setor Privado (PS Prep).

As revisões significativas na edição de 2019 refletem as necessidades de todos os tipos de empresas e organizações atualmente. A norma foi reorganizada para melhor alinhamento com o modelo PDCA (Planejar-Verificar-Agir) ou Ciclo de Deming. Foram incluídos novos requisitos para estabelecer e manter recursos de gestão de crises incluindo detalhes críticos sobre responsabilidades e processos atribuídos.

O novo Anexo L, sobre interoperabilidade de dados para gestão de emergências, continuidade e gestão de crises, fornece critérios para avaliar as necessidades e capacidades de sua organização, para ajudá-lo a desenvolver planos para preencher quaisquer lacunas. Várias comparações e anexos atualizados refletem as alterações no corpo principal da norma para facilitar a navegação e a aplicação.

Os cinco pontos de atenção em compliance para 2018

Cursos pela internet

Conheça um programa especial de cursos pela internet, com as últimas tendências do mercado. Fique atento aos cursos que estão disponíveis. Acesse o link https://www.target.com.br/produtos/cursos-tecnicos/disponiveis-pela-internet

Jefferson Kiyohara

No contexto de prevenção e combate da corrupção, do assédio e de outras ações antiéticas no ambiente corporativo, destaco os cinco principais pontos de atenção em compliance para as empresas neste ano. A lista contém temas macros, que vão impactar os programas de compliance nas organizações em 2018. O objetivo é alertar executivos e, principalmente, líderes responsáveis por Programas de Compliance, sobre os danos reputacionais e financeiros que estes assuntos podem trazer às companhias se forem negligenciados.

São temas atuais que lidam com questões críticas dentro das empresas como a evolução do combate ao assédio (seja moral ou sexual); o escrutínio regulatório; a consolidação do uso de tecnologias no compliance, e os perigos que residem em eventos de grande movimentação econômica como a Copa do Mundo e a eleição

Abaixo, conheça os cinco pontos de atenção listados para este ano:

1 – Prevenção e combate ao assédio moral e sexual

Uma recente pesquisa da ICTS Outsourcing mostra que quase 30% das denúncias que são recebidas via canal são de práticas abusivas, como o assédio. Isso mostra que é fundamental ter um canal para receber os relatos, bem como um processo sério de apuração e aplicação das sanções cabíveis, além de dar o devido suporte às vítimas. Não basta ter um código de ética proibindo a prática de assédio moral e sexual. É preciso unir forças internamente, por exemplo com o RH, e realizar campanhas de comunicação e treinamento para os colaboradores, agindo de forma preventiva.

2 – Atenção com grandes eventos

Em 2018, vamos ter a Copa do Mundo e as eleições, eventos que ajudam a movimentar a economia e também trazem riscos de compliance para as empresas. Estabeleça regras claras e controles para ações de viagens patrocinadas e eventos, de modo que não ocorram casos que possam ser caracterizados como atos de corrupção ou contrapartidas indevidas. Vale lembrar que no Brasil está proibida a doação por empresas para campanhas políticas. Para evitar que isto não ocorra indevidamente, a empresa deve realizar processos de due diligence em parceiros e fornecedores, além de implantar controles internos para garantir a adequação dos pagamentos realizados.

3 – Regionalização das exigências

Em outubro de 2017, o estado do Rio de Janeiro, com a Lei 7.753, tornou obrigatório que empresas contratadas pelo estado ou suas fundações, a partir de um determinado montante, tenham um programa de compliance. Em fevereiro de 2018, o Distrito Federal, com a lei 6.112, trilhou um caminho similar. Em essência, empresas que participam de licitações públicas e tem a administração pública como cliente, devem estar atentas para estruturar programas de compliance, sob o risco de no futuro próximo não ter condições de atender os requisitos para participar.

4 – Alcance legal além das fronteiras e consolidação das leis anticorrupção na América Latina

Além do Brasil, muitos outros países da América Latina avançaram em termos de legislação anticorrupção em 2017, como o Peru, o México e a Argentina. Em 2018, o ano será de amadurecimento. Empresas brasileiras com operações, parceiros ou representações em países latino-americanos devem ficar atentos para adequar o seu programa de compliance para atender aos novos requisitos.

E a temática não se restringe à questão de corrupção. Em maio de 2018 a GDPR, regulamentação da União Europeia de proteção de dados pessoais e privacidade de cidadãos da comunidade europeia passa a vigorar, e sua aplicação não se restringe às empresas com atuação direta na Europa. Tal cenário demanda a atualização das ações de treinamento e de mapeamento de riscos de compliance.

5 – Ampliação do uso de tecnologias

A tecnologia traz benefícios para a gestão das organizações e não é diferente para os programas de compliance. Auxilia na otimização dos recursos existentes. Ela já se faz presente em muitas empresas no Brasil através de serviços de canal de denúncia e ferramentas de pesquisa reputacional. Em 2017, vimos o fortalecimento dos treinamentos e-learning e do uso de analytics nas auditorias, que devem continuar este ano. Neste ano, a formatação e gestão eletrônica de normativos de compliance e o uso de aplicativos em ações de comunicação e treinamento serão instrumentos que ganharão força no combate a ações antiéticas. Outro ponto a ser destacado é o uso de algoritmos e soluções automatizados nos controles internos.

Jefferson Kiyohara é líder da prática de riscos & compliance da Protiviti.

Ativismo de acionistas previne escândalos como a Lava Jato

Projeto de normas técnicas

Acesse o link https://www.target.com.br/produtos/normas-tecnicas-brasileiras-e-mercosul/projetos-de-normas para ter conhecimento dos Projetos de Norma Brasileiras e Mercosul disponíveis para Consulta Nacional.

Selecione o Comitê Técnico desejado e clique sobre o código ou título para consultar. Ou, se preferir, você pode realizar pesquisas selecionando o produto “Projetos de Normas” e informando a(s) palavra(s) desejada(s).

Jefferson Kiyohara

Há poucas semanas, um renomado fundo de pensão noticiou a introdução de padrões de governanças mais rígidos em seus critérios de investimento, incluindo a avaliação se a empresa possui ou não um programa de integridade efetivo. Tal fato ressalta a importância do papel do investidor e do acionista na contribuição direta para o fortalecimento da cultura de compliance no mundo corporativo brasileiro.

O ativismo pode ser positivo para as companhias, mas se adotado com visão de curto prazo, como fogo de palha, poderá ter efeito contrário e trazer riscos e desgastes à imagem da companhia. Tipicamente envolve questões distintas que vão da estratégia financeira, passando por aquisições, fusões e cisões, e também assuntos envoltos em responsabilidade social e ambiental. O ativismo do acionista pode ser um importante passo de fomentação ao compliance, por exemplo, ao incentivar que a organização implemente um Programa Efetivo de Compliance, e que posteriormente o mesmo seja reconhecido – o selo Empresa Pró-Ética e a certificação ISO 37001 são bons exemplos de opções.

Pois bem, pensando no ativismo sob o prisma de promover o compliance, vejo como uma iniciativa positiva trazendo ganhos para o investidor e para a companhia. No caso da empresa, ao adotar um programa de compliance efetivo, a organização mitiga riscos reputacionais e financeiros, reduz a probabilidade de ocorrência de fraudes e crimes monetários como a corrupção. Todas essas medidas ajudam a organização a preservar a sua saúde financeira, seus relacionamentos e seus negócios com os stakeholders, além de atrair e reter talentos sustentados por uma cultura organizacional sólida e ética.

Já para o investidor é um reforço à transparência e perenidade do negócio, e à concretização dos ganhos futuros, trazendo tranquilidade de não ser surpreendido por mídias negativas, sanções ou multas, que podem gerar consequências como perdas financeiras relevantes e danos reputacionais traduzidos pela queda no valor das ações, por exemplo.

Há investidores que buscam o risco e exigem um prêmio por isto. Mas não os riscos associados à possibilidade de crimes financeiros como a corrupção, o suborno e lavagem de dinheiro. Um investidor pode sim ser surpreendido por perdas substanciais em organizações que tinham um modelo de negócio promissor e sólido, assim como histórico de resultados financeiros positivos, porém sem a preocupação com a cultura ética e o compliance da sua marca. A existência de um programa de compliance efetivo atrairá investidores, independentemente do apetite ao risco de cada um deles.

E mesmo tendo um fator de atratividade sob os olhos do investidor, o Programa de Compliance maduro não é realidade na maioria das empresas brasileiras. Por isso, o ativismo de investidores e acionistas por compliance pode ajudar na mudança deste cenário, condicionando o seu investimento à adoção de medidas de compliance efetivas reais e duradouras. Além da proteção dos investimentos, trata-se de uma contribuição evolutiva para os negócios e, sobretudo, numa colaboração ativa para um País mais ético e justo.

Jefferson Kiyohara é líder da prática de riscos & compliance da Protiviti.

As regras do compliance para os presentes de final de ano

Normas comentadas

NBR 14039 – COMENTADA de 05/2005Instalações elétricas de média tensão de 1,0 kV a 36,2 kV – Versão comentada.

Nr. de Páginas: 87

NBR 5410 – COMENTADA de 09/2004Instalações elétricas de baixa tensão – Versão comentada.

Nr. de Páginas: 209

Antonio Carlos Hencsey

A troca de presentes e entretenimento pode fortalecer as relações comerciais, mas por outro lado o envio de regalos e divertimentos, como jantares e idas a shows ou peças teatrais, podem criar, ou aparentar, influências inadequadas no ambiente de trabalho. Todo cuidado é pouco ao receber mimos do parceiro ou fornecedor, uma prática muito comum que ocorre agora, principalmente, durante as festas de fim de ano. Tudo porque o recebimento de gratificações tem grades chances de ser visto como propinas, capazes de manchar a reputação e destoar as disposições do código de normas e condutas éticas da companhia.

É importante ressaltar que itens promocionais de baixo valor, tais como canetas, calendários, blocos de anotações ou outros brindes menores, que normalmente possuem a logomarca da empresa, não se encaixam na categoria de gratificação indevida. Aqui é falado de presentes de alto valor, que superam as cifras de 150 reais e que podem influenciar a objetividade do presenteado quando for tomar uma decisão comercial.

Alguns cuidados podem (e devem) ser tomados para que as empresas sigam suas regras de ética e compliance sem apresentar grosseria no momento do recebimento do presente em face ao período de festividades.

– Reforce com todos os colaboradores as políticas de oferta e recebimento de gratificações estabelecidas pela sua empresa. Delimite um preço para os presentes a serem recebidos. Por exemplo, itens acima de R$ 100 já são considerados fora do padrão de item promocional de baixo valor.

– Proponha conversas sobre o porquê da oferta de presentes. Faça reflexões com a equipe a fim de identificar qual a motivação de quem presenteia. Interesse comercial ou apenas um ato de agradecimento por mais um ano de parceria?

– Deixe claro que mesmo que o profissional acredite ser isento ou não influenciável pelo recebimento de alguma gratificação, somos seres humanos. Não existe neutralidade total nas relações interpessoais. Sempre algum viés ou vínculo é estabelecido com esta ação.

– Sabemos que a alta direção, em alguns casos, recebe presentes como forma de reforçar vínculos estratégicos para a organização, mas estes também devem seguir as políticas estabelecidas. Lembre-se: o exemplo vem de cima. Ao receberem os presentes é preciso, de forma explicita, que seja cumprido os procedimentos padrão, deixando clara a importância que esta prática tem para a empresa.

– Valorize os profissionais que agirem da forma certa. As pessoas podem sentir que estão perdendo algo ao negarem um presente ou entregarem o item para a área responsável. Demonstre ao colaborador a importância de cumprir as normas éticas da organização e fortaleça a conduta do funcionário para as outras pessoas da empresa.

Antonio Carlos Hencsey é líder de prática de ética & compliance da Protiviti.

Como as novas tecnologias apoiam o combate à corrupção nas empresas

Cassiano Machado

Atos de corrupção e outros desvios são cada vez mais difíceis de serem perpetuados sem deixar rastros digitais. Os avanços na tecnologia ampliaram a capacidade de as empresas prospectarem cada vez mais informações sobre a ocorrência de atos ilícitos em seu ambiente e interfaces, potencializando a descoberta destas irregularidades e a condução efetiva das investigações.

Nesta realidade, o Big Data e o Data Analytics contribuem de forma relevante nas estruturas de controle e investigações. Estas tecnologias processam e analisam dados capturados de diferentes origens, tornando-se uma rica fonte para o desenvolvimento de análises preditivas e correlações, além de trazerem ganhos para a eficácia dos esforços de apuração das irregularidades.

Assim como o mapeamento de dados na internet, por meio de buscas automáticas ou manuais de conteúdos disponíveis nas redes sociais, marketplaces, como o Mercado Livre, e órgãos públicos e privados de informação, permitem o entendimento de diversos aspectos, dentre eles, o perfil comportamental e o estilo de vida do investigado fora do ambiente corporativo. É possível analisar suas redes de relacionamentos, situação patrimonial, posição societária, histórico judicial e até sua presença em listas de restrições financeiras ou governamentais.

Logs de acesso físico, varredura de arquivos em rede, análise forense de discos rígidos e celulares, além da análise de imagens de circuito interno de TV são também outras fontes de dados digitais disponíveis que ajudam as organizações a detectarem o ato ilícito de seus colaboradores. Inclusive contando com a ação de denunciantes, de dentro ou fora do ambiente de trabalho, que podem encaminhar ao canal de denúncias da empresa evidências em formato digital, como gravações de áudio, vídeo e fotos.

Por falar em canal de denúncia, a ferramenta pode ser o primeiro passo das companhias no combate à corrupção. Com o apoio da internet, dos smartphones e das conexões globais de dados e telefonia o canal interliga o denunciante com a estrutura especializada de captação de denúncia, agilizando a etapa de investigação sem risco de exposição do denunciante. A Odebrecht, por exemplo, reforçou o seu compliance ao terceirizar o Linha de Ética, um canal dedicado a receber relatos e denúncias de comportamentos não éticos e violações às políticas internas, regras e legislações.

Todas estas tecnologias já estão disponíveis e outras estão em plena evolução. Quando empregadas com inteligência, expandem a capacidade de combate à corrupção e outras irregularidades nas empresas, promovendo inibição, maior segurança e facilidade para o registro de denúncias e para a detecção de sinais suspeitos e coleta de evidências. Tudo isso maximiza a capacidade de gestão e atuação preventiva e investigativa das organizações.

Cassiano Machado é sócio-diretor da ICTS Outsourcing.

Cursos pela internet

Conheça um programa especial de cursos pela internet, com as últimas tendências do mercado. Fique atento aos cursos que estão disponíveis. Acesse o link https://www.target.com.br/produtos/cursos-tecnicos/disponiveis-pela-internet

Pós-Lava Jato: quatro passos para a recuperação da imagem de empresas

Cursos pela internet

Conheça um programa especial de cursos pela internet, com as últimas tendências do mercado. Fique atento aos cursos que estão disponíveis. Acesse o link https://www.target.com.br/produtos/cursos-tecnicos/disponiveis-pela-internet

Jefferson Kiyohara

Casos de corrupção, de cartel, lavagem de dinheiro, falhas na segurança alimentar, problemas de qualidade, entre outros temas, têm levado empresas a serem alvos de escândalos nos últimos anos e, por consequência, ganharem destaque na mídia de forma negativa. Planos de gestão de crise são acionados, declarações à mídia são feitas e ações de pronta resposta e mitigação de danos são realizadas, sem contar toda tratativa no âmbito legal a ser feita.

Contudo, visando a perenidade do negócio, é preciso ir além de ações mais estruturais. Como medida básica, um bom caminho a trilhar é a estruturação de um Programa Efetivo de Compliance, muitas vezes reforçando um programa já existente. Paralelo a este fortalecimento está o cuidado com a imagem corporativa desgastada, que pode sim ser recuperada, mas é um processo que demanda tempo e recursos, além de ações e atitudes que demonstrem a preocupação com o ocorrido e uma vontade real de fazer diferente e melhor.

Para a recuperação de imagem, o caminho da empresa pode envolver outras tantas iniciativas. Tendo em vista a questão da reputação e do compliance, existem quatro importantes passos que podem servir como orientação para a de credibilidade e, por fim, reconquistar a boa imagem perante os steakeholders. As dicas das quatro iniciativas a serem tomadas são:

Diagnóstico e remediação – é essencial entender a causa raiz do problema. A organização deve realizar uma apuração profunda, de modo a identificar falhas nos processos e controles e promover as ações corretivas e de melhoria que se façam necessárias. Revisão de processos e normativos, automatização de controles e investimento em inteligência são exemplos de ações. É fundamental o problema não se repetir.

Comprometimento – todos na organização devem se comprometer com a não repetição do problema ocorrido. A nova postura esperada deve ser adotada como um mantra, na prática, tornando-se real através de um conjunto de ações realizadas e finalizadas. Não há espaço para comportamentos dúbios ou que gerem dúvidas. Investimentos devem ser feitos de forma estruturada e significativa

Trazer credibilidade – trazer novos profissionais, ou parceiros de negócio, que emprestem a sua reputação à empresa e implementem uma nova filosofia de trabalho é um caminho utilizado por muitas empresas. Outra opção é buscar um parecer, um selo ou certificação independente e especializado, que seja reconhecido no mercado.

Reconstruir relacionamentos – a nova postura, os compromissos públicos e as ações de melhoria realizadas devem ser divulgadas aos principais stakeholders, incluindo clientes, parceiros, fornecedores, acionistas, sistema financeiro e agências reguladoras. Demonstrar mudança e transparência. Um caminho adotado por muitas empresas é adotar um portal na internet para isto. Deve-se tomar o cuidado de não cometer exageros na promoção e trabalhar com fatos e dados, demonstrando a real evolução e efetividade do Programa de Compliance. Buscar influenciar o mercado com as boas práticas também é importante.

Jefferson Kiyohara é líder da prática de riscos & compliance da Protiviti.

Uma jornada chamada compliance: quais os próximos passos?

Clicando aqui é possível ter conhecimento dos Projetos de Normas Brasileiras e Mercosul, disponíveis para Consulta Nacional. Selecione o Comitê Técnico desejado e clique sobre o código ou título para consultar e votar.

Jefferson Kiyohara

Muitas organizações investem na estruturação ou aprimoramento de seu Programa de Compliance com recursos próprios, realocando profissionais da área jurídica, de gestão de riscos, auditoria interna, recursos humanos e qualidade. Outras contam com o suporte de terceiros especializados, ou buscam modelos híbridos.

Organizações lucrativas e filantrópicas, brasileiras e estrangeiras, pequenas, médias e grandes, enfim, um universo diverso e múltiplo tem se movimentado para promover uma cultura de compliance. Na atual conjuntura, é fundamental patrocinar e promover este tipo de iniciativa de forma contínua. O Compliance uma jornada. Se fosse projeto, teria começo, meio e fim. Mas o trabalho de Compliance não tem fim. Ter esta ideia clara ajuda as empresas a entenderem melhor o desafio de se implantar um Programa Efetivo de Compliance.

Uma pesquisa de nível de maturidade de Programas de Compliance nas organizações demonstra que os elementos mais presentes são o código de ética, os treinamentos e o canal de denúncias. Eles são parte de um Programa, mas per si não fazem o Programa ser efetivo.

O primeiro movimento é operacionalizar e viabilizar elementos básicos, para então a iniciativa ter continuidade, percorrendo os oito passos para um Programa Efetivo de Compliance, garantindo, dessa forma, o devido monitoramento e retroalimentação do processo, sempre com foco na melhoria contínua.

Por exemplo, a empresa pode ter um código de ética, mas ele de fato é compreendido por todos os colaboradores? Houve assimilação do conteúdo? As regras estabelecidas são factíveis na prática e compatíveis com a realidade do negócio? Os colaboradores incorporaram no dia a dia os elementos?

Para sanar as questões acima, a solução é a realização de uma auditoria de cultura de compliance, prática ainda pouco adotada pelas organizações, e que permite a definição de uma estratégia eficaz de treinamento e comunicação, dado que captura a visão dos colaboradores sobre o Programa, bem como suas percepções, crenças e valores.

Outro exemplo: algumas organizações estabelecem políticas de presentes e hospitalidade, de doações e patrocínios. Mas o que garante que as regras de fato foram disseminadas, internalizadas e que estão adequadas? Indo além: há controles internos no processo para identificar casos de não conformidade com a regra?

Organizações com Programas mais maduros investem em auditoria de compliance e em fingeprints, que são algoritmos que se acoplam ao ERP da empresa e permitem identificar situações suspeitas numa escala de criticidade e risco – dando foco e eficiência para a equipe de apuração e investigação. Pode-se ainda acoplar um monitoramento de transações críticas.

Os esforços e investimentos para estruturar Programas de Compliance são dignos de destaque e os responsáveis devem ser reconhecidos por tal esforço com o devido patrocínio da alta direção, tendo o suporte necessário para promover os próximos passos desta jornada, além de permitir a evolução da maturidade do Programa e a construção contínua de uma cultura de ética e compliance robusta.

Jefferson Kiyohara é líder da prática de riscos & compliance da Protiviti.