Upload
lenhan
View
214
Download
0
Embed Size (px)
Citation preview
ÍNDICE PÁGINAS
INTRODUÇÃO 3
APROFUNDAR O CASO PARA QUE SE TENHA NOÇÃO REAL DA SITUAÇÃO 4
RECEBIMENTO DE DENÚNCIAS 5
PLANO DE INVESTIGAÇÃO 8
ENTENDIMENTO DOS PROCESSOS ENVOLVIDOS 10
MONITORAMENTO DIGITAL 11
PROCEDIMENTOS PARA CÓPIA DE HD CORPORATIVO 12
COLETA DE DADOS E INFORMAÇÕES EM CAMPO 13
ENTREVISTA MODERNA (EXPLORATÓRIA OU CONFIRMATÓRIA) 14
DESDOBRAMENTO DO TRABALHO (CONTINUAÇÃO DAS ATIVIDADES) 15
ORGANIZAÇÃO DE INDÍCIOS E EVIDÊNCIAS 16
LIMITAÇÕES 17
RECOMENDAÇÕES SOBRE O RISCO DE FRAUDES 18
RELATÓRIO FINAL 19
POTENCIAIS AÇÕES POSTERIORES A UMA INVESTIGAÇÃO 20
INTRODUÇÃO
A presente metodologia tem como objetivo principal servir como guia à condução de investigações corporativas em empresas
públicas ou privadas. As diretrizes aqui apresentadas são de caráter genérico. Detalhes operacionais e escopo de trabalho serão
sempre definidos conforme as particularidades de cada caso.
A aplicação de uma metodologia é fundamental para garantir a qualidade das provas produzidas e efetividade da investigação. A
partir de um trabalho sistemático e organizado, contemplando todas as etapas necessárias ao esclarecimento de casos de fraudes
e desvio de conduta, torna-se viável a assertiva tomada de decisão, quer na esfera administrativa ou judicial.
Na prática, há diversos canais de comunicação para recebimento de denúncias que podem afetar a reputação e demonstrações
financeiras de uma empresa. Tais canais podem ser utilizados por funcionários, prestadores de serviços, fornecedores, clientes e
quaisquer outras partes interessadas, conforme a seguir:
1. Canal de Ética (telefone);
2. Endereço Eletrônico (e-mail);
3. Correspondência (endereço físico);
4. Denúncia via site (formulário vinculado ao endereço eletrônico da empresa);
5. Denúncia Verbal (conversas pessoais).
3
®SYARD - all rights reserved
4
O QUE MOTIVOU A FRAUDE E DESENCADEOU SEUS RESULTADOS
Ação maciça
Pressão
Racionalização
Capacidade
Oportunidade
Disposição
Falhas
Hábitos
DENÚNCIA OU
SUSPEITA DE FRAUDE
APROFUNDAR O CASO PARA QUE SE TENHA NOÇÃO REAL DA SITUAÇÃO
®SYARD - all rights reserved
RECEBIMENTO DE DENÚNCIAS (1/3)
5
Registro da
denúncia no 0800
Transcrição e
avaliação preliminar
da denúncia
É possível trabalhar com os
dados registrados?
Registro de resposta com
questionamento(s) ao
denunciante – prazo de 15 dias
Registro de novos dados?
A partir do recebimento de uma denúncia deverá ser realizada uma análise preliminar a fim de qualificar seu conteúdo, avaliando se as
informações recebidas são suficientes e se as afirmativas são verídicas, além da sua relevância (ex: nomes de fornecedores,
funcionários, etc.). A seguir, apresentamos um exemplo de macro-fluxo para tratamento de denúncias, descrevendo as etapas do
processo de apuração:
sim
não
não
Arquivo para monitoramento
Qualificação da denúnciasim
As informações foram
confirmadas?
não
Análise de dados e elaboração
do plano de investigação
sim
Aprovação para investigar e
definição de programação
Realização dos procedimentos
de investigação
Emissão do Relatório
Encerramento da denúncia
Registro do Caso como
procedente, improcedente ou
parcialmente procedente.
Adoção de medidas
remediativas, inclusive para
evitar a reincidência
®SYARD - all rights reserved
6
Todo relato recebido (com ou sem anexo/ evidência) e identificado efetivamente como relevante (denúncia procedente) é cadastrado
em um controle interno, arquivado em pasta específica e seguro dentro da área responsável na empresa (Exemplo: Departamento de
Compliance).
Caso a denúncia tenha sido recebida por carta, esta deverá ser digitalizada e armazenada, conforme procedimento já descrito.
Durante o processo de análise preliminar, os seguintes aspectos gerais deverão ser verificados:
1. Identificar o denunciante, sempre que possível, bem como a motivação de sua denúncia – uma denúncia pode ser verdadeira
ou não, sua motivação pode ser baseada em valores éticos/morais ou para desviar a atenção da companhia e/ou prejudicar
alguém, entre outras razões;
2. Levantar todas as informações disponíveis do(s) denunciado(s) nos sistemas/bancos de dados da companhia e, se
pertinente, em fontes abertas de pesquisas públicas para traçar o perfil da(s) pessoa(s) citada(s). Recomenda-se a
elaboração de uma “Rede de Relacionamentos” e de uma “Linha do Tempo” do(s) denunciado(s), registrando eventuais
informações conflitantes (fatos, pessoas, contratos, empresas, superiores, subordinados, áreas/departamentos, etc.). Essas
iniciativas permitirão, além da consolidação dos detalhes da investigação em um único documento, o entendimento geral do
contexto sob análise;
3. O trabalho de investigação deve ser preciso, objetivo e neutro aos fatos descritos. É importante observar se o fato narrado se
configura como fraude, erro, reclamação ou engano, pois o tratamento de cada uma destas questões é diferenciado.
RECEBIMENTO DE DENÚNCIAS (2/3)
®SYARD - all rights reserved
7
Confirmada a aparente legitimidade da denúncia (denúncia de boa-fé), deve-se classificar a ocorrência, o que pode contemplar, dentre
outras coisas, áreas afetas, unidade da empresa onde ocorreu a fraude, natureza da fraude denunciada e origem da denúncia (fonte
interna ou externa). Estas informações são importantes para fins de acompanhamento estatístico e de resgate histórico de dados (ou
tendência/ comportamental) no futuro, se necessário. Também, para identificação das áreas de maior risco na empresa e que,
eventualmente, merecem maior atenção pela equipe de Compliance.
Após a investigação, o parecer/ relatório (Procedente, Improcedente ou Desqualificado), que terá como estrutura, sumário, conclusão
e recomendações, deve também ser arquivado e integrado aos controles, no último caso, quando confirmam a necessidade de ações
pontuais ou continuadas. Este documento também será oportuno à elaboração de estatísticas, avaliação da curva de amadurecimento
dos públicos de interesse – relativo à confiabilidade no canal, conhecimento das diretrizes da empresa e medidas adotadas, sem
retaliação, no tratamento de denúncias – e do Programa de Compliance. Os resultados estatísticos finais, senão o relatório por si,
poderão ser apresentados aos Comitês de Ética e Auditoria.
Esta classificação também é relevante para que a empresa possa compor relatórios gerenciais, com o objetivo de mapear áreas de
risco e para a tomada de decisões estratégicas além das pertinentes ao Programa de Compliance.
RECEBIMENTO DE DENÚNCIAS (3/3)
®SYARD - all rights reserved
8
Após avaliação preliminar da denúncia, é preciso desenhar o planejamento operacional dos trabalhos de investigação.
Recomenda-se que o plano, antes de executado, seja submetido à Diretoria e/ou Comitê de Ética para, dentre outras coisas, chancela
das ações (e investimento) propostas.
Este plano deverá conter, necessariamente:
1. Informações de identificação do caso, tais como data, autor, para quem se destina o plano, número da denúncia e assunto;
2. Contexto sobre o caso, com a clara identificação do que está sendo denunciado, onde ocorrem os fatos relevantes e quem
são os envolvidos (incluindo eventuais testemunhas);
3. Escopo de Trabalho, incluindo um diagrama com a visão geral dos principais passos em linha cronológica e o detalhamento
operacional, em formato de planilha, contendo os campos “fato a ser apurado”, “documentos / fontes a serem verificados”,
“procedimento previsto” e “detalhamento do que se pretende fazer e resultados esperados”;
4. Organograma das pessoas envolvidas, identificando quem são os alvos iniciais, seus superiores, subordinados e/ou outros
terceiros relacionados;
5. Se envolver empresas e contratos, uma planilha contendo, dentre outras coisas, quais são as empresas mencionadas,
valores envolvidos (contraprestação pelo(s) produto(s) vendido(s) e/ou serviço(s) ofertado(s), e eventuais reembolsos),
origem da relação comercial (área/ pessoa solicitante, responsável pelo recebimento produto(s) ou acompanhamento do(s)
serviço(s), etc.;
PLANO DE INVESTIGAÇÃO (1/2)
®SYARD - all rights reserved
9
PLANO DE INVESTIGAÇÃO (2/2)
(Cont.)
6. O mapeamento dos processos envolvidos;
7. Os nomes dos profissionais designados para o trabalho;
8. Os nomes dos responsáveis que supervisionarão os trabalhos e servirão de suporte às atividades em âmbito
corporativo (profissionais que não estejam diretamente envolvidos na investigação, por exemplo, CEO, Diretor de
Auditoria);
9. Verificação de eventual histórico de denúncias relativos aos investigados;
10. A Rede de Relacionamentos e a Linha do Tempo deverão estar no Plano de Investigação, se necessários;
11. Formalização de possíveis limitações que impediram a realização de determinada atividade.
®SYARD - all rights reserved
ENTENDIMENTO DOS PROCESSOS ENVOLVIDOS
Para que uma apuração seja bem-sucedida é fundamental que o processo, onde se insere
a suposta fraude, seja mapeado, antes mesmo que ações específicas de investigação
sejam tomadas.
O mapeamento e compreensão de outros processos eventualmente conexos ao principal
também é pertinente, vez que garantirá a assertividade dos testes e dos passos a serem
executados durante a apuração.
Para mapeamento dos processos, a equipe de investigações NÃO deverá, em um primeiro
momento, entrevistar os responsáveis pela área onde a suposta fraude ocorreu. Isso, para
evitar prejuízos às atividades posteriores - incorrer no risco de entrevistar eventual
envolvido na potencial irregularidade.
10
®SYARD - all rights reserved
MONITORAMENTO DIGITAL
11
®SYARD - all rights reserved
Um dos recursos que poderá ser adotado como ferramenta
de investigação é o monitoramento dos e-mails corporativos
e das estações de trabalho dos denunciados, que deverá ser
previamente autorizado pela alta gestão da empresa.
Destaca-se que, no Brasil, há entendimento judicial de que a
empresa, para o exercício integral do seu poder diretivo,
especificamente quanto a fiscalização e controle das
atividades de seus empregados, deve adotar políticas claras
quanto ao uso de seus sistemas de mensageria,
equipamentos e rede. Por essa razão, torna-se prudente
avisar os empregados, com antecedência, que não há
privacidade, dentre outras coisas, no uso do e-mail
corporativo e que este é de uso exclusivo para assuntos do
trabalho.
PROCEDIMENTOS PARA CÓPIA DE HDCORPORATIVO
Além do monitoramento digital, os computadores corporativos utilizados pelos funcionários denunciados são uma relevante fonte de informação, bem como os backups dos servidores de rede e exchange da Companhia. A coleta de informações em meio digital deverá seguir, sempre, as melhores práticas da ciência forense digital, mantendo a respectiva “cadeia de custódia” dos arquivos digitais, conforme “Procedimento Forense Digital”.
O procedimento de cópia dos HDs envolvidos na investigação poderá ser realizado diante de um Tabelião de Notas de Registro Civil, sempre que necessário, a fim de que sua validade seja inquestionável.
Reitera-se a importância de existência de uma política prévia e clara sobre esses tipos de atividades (monitoramento digital e cópia forense de HD corporativo). Os funcionários da empresa devem ter a ciência de que a companhia tem o direito legal de monitorar seus ativos – informações, processos, e-mails, computadores e etc.-, sem a necessidade de aviso prévio ao colaborador.
12
®SYARD - all rights reserved
COLETA DE DADOS E INFORMAÇÕES EM CAMPO
A etapa de coleta de dados/informações poderá ser realizada por meio de entrevistas, pesquisa em sistemas/bancos de dados da
companhia, documentos e registros oficiais, dentre outros meios. Além disso, pesquisas em fontes abertas de informação,
disponibilizadas pela rede mundial de computadores também devem ser consideradas.
A seguir, alguns exemplos de fontes de coleta:
1. Dados obtidos em entrevistas com denunciantes e testemunhas, envolvidos ou não na suposta fraude;
2. Documentos oficiais da companhia relacionados aos fatos, tais como contratos, notas fiscais, relatórios, prontuário de
funcionários, etc.
3. Fotografias a serem registradas pela equipe de investigação de rua (engenharia social), se pertinentes e úteis;
4. Documentos digitais de qualquer tipo, se transitados na infraestrutura da companhia;
5. Relatórios antigos e casos reincidentes ou correlacionados.
13
®SYARD - all rights reserved
ENTREVISTA MODERNA
(EXPLORATÓRIA OU CONFIRMATÓRIA) Após a identificação de indícios e evidência na etapa anterior,
deve ser avaliada a necessidade de realização de entrevistas
modernas. Estas deverão ser previamente organizadas pela
elaboração de um roteiro/ questionário, a ser validado pela alta
gestão da empresa.
Cuidados especiais com entrevistas investigativas também
deverão ser considerados, tais como, sempre que possível, a
preparação do local onde serão realizadas, revisão das técnicas
a serem aplicadas, designação de testemunha, observação e
anotação de linguagem corporal e reações fisiológicas dos
entrevistados, etc.
A apresentação de determinadas evidências e/ou indícios
diretamente para aos suspeitos de terem cometido a fraude
pode ser adotada como estratégia, com o objetivo de, pela
análise das respostas e reações, obter novos elementos, nome
de outras pessoas envolvidas ou, até mesmo, uma confissão.
Em casos de confissão, recomenda-se que o procedimento seja
formalizado mediante carta de próprio punho, escrita pelo
funcionário que afirma ter cometido a fraude.
14
®SYARD - all rights reserved
DESDOBRAMENTO DO
TRABALHO
(CONTINUAÇÃO DAS
ATIVIDADES)
Após a fase de entrevistas, se houver, e/ou análise dos dados,
é possível que novos ciclos de coletas sejam necessários, o que
exigirá novas verificações e sua eventual consolidação em um
report, seguindo o mesmo procedimento já descrito.
Caso haja a necessidade de alteração do escopo de trabalho,
recomenda-se anotar em papéis de trabalho tais alterações,
validando-as com a gerência e/ou diretoria, para que novas
etapas de trabalho, ou novas fases de investigação, sejam
oficiais e devidamente organizadas de forma clara e objetiva
e/ou integradas à investigação preliminar, quando conveniente.
15
®SYARD - all rights reserved
ORGANIZAÇÃO DE INDÍCIOS E
EVIDÊNCIAS
Encerradas as etapas de coleta, de processamento e análise, surge a necessidade de iniciar a confecção dos relatórios conclusivos e organização dos indícios (rastros) e evidências (provas).
Neste momento é fundamental que todo o material seja classificado por tipo (se indício ou evidência) e por grau de importância/ sensibilidade e prioridade.
Todas as evidências deverão ser arquivadas como papéis de trabalho e deverão ser apresentadas para a alta direção da empresa, Comitê de Ética e/ou Auditoria. Nesse caso, é de extrema importância que os papéis de trabalho sejam arquivados de forma segura e padronizada, para que em caso de necessidade futura, esta documentação esteja disponível para subsidiar ações futuras de interesse da companhia.
16
®SYARD - all rights reserved
LIMITAÇÕES
17
Em determinados casos, as ações planejadas e não realizadas devem entrar no campo de limitações com as suas respectivas
justificativas, visando resguardar possíveis questionamentos de autoridades legais ou setores da companhia.
Assim, deve-se criar um capítulo específico no relatório onde serão explicadas as principais ações que não foram realizadas, bem
como seus motivos, preservando a transparência institucional das atividades de investigação da empresa, bem como o corpo técnico
envolvido.
®SYARD - all rights reserved
RECOMENDAÇÕES SOBRE RISCOS
18
Recomenda-se que, em todos os
casos de fraudes ou desvios de
conduta, um capítulo do relatório
final seja dedicado à analise do
risco da fraude constatada ou na
iminência de ocorrer, indicando
suas consequências primárias e
secundárias, além do risco residual
(risco absoluto/inerente
ponderado pelo grau de
controle/exposição).
Assim sendo, os relatórios deverão
contemplar recomendações e/ou
planos de ação voltados para
melhoria de processos de
governança corporativa, controles
internos e prevenção à fraudes,
colaborando de forma efetiva para
a melhoria das atividades da
companhia, sua perenidade, além
de evitar a reincidência do(s)
fato(s) apurado(s).
®SYARD - all rights reserved
RELATÓRIO FINAL
A última etapa do trabalho é a confecção do relatório final de apuração. Esse relatório deverá conter, de forma resumida, o teor da
denúncia, informações históricas sobre o objeto denunciado, os principais procedimentos e ações tomadas durante a investigação, as
pessoas eventualmente entrevistadas, os resultados das apurações e a apresentação dos indícios e evidências, além da conclusão
final sobre o caso e a descrição das recomendações, planos de auditoria e ações disciplinares (se aplicável).
O relatório final do trabalho de investigação deve identificar de forma geral:
1. Quem (mapear os envolvidos);
2. Fez o que e como (modus operandi);
3. Quando (mapear os períodos dos aspectos narrados, organizando, conforme informações disponíveis, o que aconteceu de
forma cronológica, verificando a coerência das informações existentes e disponibilizadas);
4. Onde (sob qual diretoria/unidade/área);
5. Porque (procurar entender a motivação do caso).
É importante que o relatório indique os responsáveis pela execução das ações acordadas e os respectivos prazos, para fins de
gerenciamento de follow up.
19
®SYARD - all rights reserved
20
Demissão simples
Demissão por justa causa
Recuperaçãodos valores
Processos cíveis e criminais
Confissão
POSSÍVEIS AÇÕES POSTERIORES A UMA INVESTIGAÇÃO
®SYARD - all rights reserved