GUIA BÁSICO DE INVESTIGAÇÃO CORPORATIVA

Transcrição

1 GUIA BÁSICO DE INVESTIGAÇÃO CORPORATIVA

2 ÍNDICE PÁGINAS INTRODUÇÃO 3 APROFUNDAR O CASO PARA QUE SE TENHA NOÇÃO REAL DA SITUAÇÃO 4 RECEBIMENTO DE DENÚNCIAS 5 PLANO DE INVESTIGAÇÃO 8 ENTENDIMENTO DOS PROCESSOS ENVOLVIDOS 10 MONITORAMENTO DIGITAL 11 PROCEDIMENTOS PARA CÓPIA DE HD CORPORATIVO 12 COLETA DE DADOS E INFORMAÇÕES EM CAMPO 13 ENTREVISTA MODERNA (EXPLORATÓRIA OU CONFIRMATÓRIA) 14 DESDOBRAMENTO DO TRABALHO (CONTINUAÇÃO DAS ATIVIDADES) 15 ORGANIZAÇÃO DE INDÍCIOS E EVIDÊNCIAS 16 LIMITAÇÕES 17 RECOMENDAÇÕES SOBRE O RISCO DE FRAUDES 18 RELATÓRIO FINAL 19 POTENCIAIS AÇÕES POSTERIORES A UMA INVESTIGAÇÃO 20

3 INTRODUÇÃO A presente metodologia tem como objetivo principal servir como guia à condução de investigações corporativas em empresas públicas ou privadas. As diretrizes aqui apresentadas são de caráter genérico. Detalhes operacionais e escopo de trabalho serão sempre definidos conforme as particularidades de cada caso. A aplicação de uma metodologia é fundamental para garantir a qualidade das provas produzidas e efetividade da investigação. A partir de um trabalho sistemático e organizado, contemplando todas as etapas necessárias ao esclarecimento de casos de fraudes e desvio de conduta, torna-se viável a assertiva tomada de decisão, quer na esfera administrativa ou judicial. Na prática, há diversos canais de comunicação para recebimento de denúncias que podem afetar a reputação e demonstrações financeiras de uma empresa. Tais canais podem ser utilizados por funcionários, prestadores de serviços, fornecedores, clientes e quaisquer outras partes interessadas, conforme a seguir: 1. Canal de Ética (telefone); 2. Endereço Eletrônico ( ); 3. Correspondência (endereço físico); 4. Denúncia via site (formulário vinculado ao endereço eletrônico da empresa); 5. Denúncia Verbal (conversas pessoais). 3

4 APROFUNDAR O CASO PARA QUE SE TENHA NOÇÃO REAL DA SITUAÇÃO DENÚNCIA OU SUSPEITA DE FRAUDE O QUE MOTIVOU A FRAUDE E DESENCADEOU SEUS RESULTADOS Ação maciça Pressão Disposição Oportunidade Capacidade Falhas Racionalização Hábitos 4

5 RECEBIMENTO DE DENÚNCIAS (1/3) A partir do recebimento de uma denúncia deverá ser realizada uma análise preliminar a fim de qualificar seu conteúdo, avaliando se as informações recebidas são suficientes e se as afirmativas são verídicas, além da sua relevância (ex: nomes de fornecedores, funcionários, etc.). A seguir, apresentamos um exemplo de macro-fluxo para tratamento de denúncias, descrevendo as etapas do processo de apuração: Registro da denúncia no 0800 É possível trabalhar com os dados registrados? sim Qualificação da denúncia Registro do Caso como procedente, improcedente ou parcialmente procedente. Adoção de medidas remediativas, inclusive para evitar a reincidência Transcrição e avaliação preliminar da denúncia não Registro de resposta com questionamento(s) ao denunciante prazo de 15 dias não As informações foram confirmadas? sim Encerramento da denúncia sim Registro de novos dados? Análise de dados e elaboração do plano de investigação Emissão do Relatório não Arquivo para monitoramento Aprovação para investigar e definição de programação Realização dos procedimentos de investigação 5

6 RECEBIMENTO DE DENÚNCIAS (2/3) Todo relato recebido (com ou sem anexo/ evidência) e identificado efetivamente como relevante (denúncia procedente) é cadastrado em um controle interno, arquivado em pasta específica e seguro dentro da área responsável na empresa (Exemplo: Departamento de Compliance). Caso a denúncia tenha sido recebida por carta, esta deverá ser digitalizada e armazenada, conforme procedimento já descrito. Durante o processo de análise preliminar, os seguintes aspectos gerais deverão ser verificados: 1. Identificar o denunciante, sempre que possível, bem como a motivação de sua denúncia uma denúncia pode ser verdadeira ou não, sua motivação pode ser baseada em valores éticos/morais ou para desviar a atenção da companhia e/ou prejudicar alguém, entre outras razões; 2. Levantar todas as informações disponíveis do(s) denunciado(s) nos sistemas/bancos de dados da companhia e, se pertinente, em fontes abertas de pesquisas públicas para traçar o perfil da(s) pessoa(s) citada(s). Recomenda-se a elaboração de uma Rede de Relacionamentos e de uma Linha do Tempo do(s) denunciado(s), registrando eventuais informações conflitantes (fatos, pessoas, contratos, empresas, superiores, subordinados, áreas/departamentos, etc.). Essas iniciativas permitirão, além da consolidação dos detalhes da investigação em um único documento, o entendimento geral do contexto sob análise; 3. O trabalho de investigação deve ser preciso, objetivo e neutro aos fatos descritos. É importante observar se o fato narrado se configura como fraude, erro, reclamação ou engano, pois o tratamento de cada uma destas questões é diferenciado. 6

7 RECEBIMENTO DE DENÚNCIAS (3/3) Confirmada a aparente legitimidade da denúncia (denúncia de boa-fé), deve-se classificar a ocorrência, o que pode contemplar, dentre outras coisas, áreas afetas, unidade da empresa onde ocorreu a fraude, natureza da fraude denunciada e origem da denúncia (fonte interna ou externa). Estas informações são importantes para fins de acompanhamento estatístico e de resgate histórico de dados (ou tendência/ comportamental) no futuro, se necessário. Também, para identificação das áreas de maior risco na empresa e que, eventualmente, merecem maior atenção pela equipe de Compliance. Após a investigação, o parecer/ relatório (Procedente, Improcedente ou Desqualificado), que terá como estrutura, sumário, conclusão e recomendações, deve também ser arquivado e integrado aos controles, no último caso, quando confirmam a necessidade de ações pontuais ou continuadas. Este documento também será oportuno à elaboração de estatísticas, avaliação da curva de amadurecimento dos públicos de interesse relativo à confiabilidade no canal, conhecimento das diretrizes da empresa e medidas adotadas, sem retaliação, no tratamento de denúncias e do Programa de Compliance. Os resultados estatísticos finais, senão o relatório por si, poderão ser apresentados aos Comitês de Ética e Auditoria. Esta classificação também é relevante para que a empresa possa compor relatórios gerenciais, com o objetivo de mapear áreas de risco e para a tomada de decisões estratégicas além das pertinentes ao Programa de Compliance. 7

8 PLANO DE INVESTIGAÇÃO (1/2) Após avaliação preliminar da denúncia, é preciso desenhar o planejamento operacional dos trabalhos de investigação. Recomenda-se que o plano, antes de executado, seja submetido à Diretoria e/ou Comitê de Ética para, dentre outras coisas, chancela das ações (e investimento) propostas. Este plano deverá conter, necessariamente: 1. Informações de identificação do caso, tais como data, autor, para quem se destina o plano, número da denúncia e assunto; 2. Contexto sobre o caso, com a clara identificação do que está sendo denunciado, onde ocorrem os fatos relevantes e quem são os envolvidos (incluindo eventuais testemunhas); 3. Escopo de Trabalho, incluindo um diagrama com a visão geral dos principais passos em linha cronológica e o detalhamento operacional, em formato de planilha, contendo os campos fato a ser apurado, documentos / fontes a serem verificados, procedimento previsto e detalhamento do que se pretende fazer e resultados esperados ; 4. Organograma das pessoas envolvidas, identificando quem são os alvos iniciais, seus superiores, subordinados e/ou outros terceiros relacionados; 5. Se envolver empresas e contratos, uma planilha contendo, dentre outras coisas, quais são as empresas mencionadas, valores envolvidos (contraprestação pelo(s) produto(s) vendido(s) e/ou serviço(s) ofertado(s), e eventuais reembolsos), origem da relação comercial (área/ pessoa solicitante, responsável pelo recebimento produto(s) ou acompanhamento do(s) serviço(s), etc.; 8

9 PLANO DE INVESTIGAÇÃO (2/2) (Cont.) 6. O mapeamento dos processos envolvidos; 7. Os nomes dos profissionais designados para o trabalho; 8. Os nomes dos responsáveis que supervisionarão os trabalhos e servirão de suporte às atividades em âmbito corporativo (profissionais que não estejam diretamente envolvidos na investigação, por exemplo, CEO, Diretor de Auditoria); 9. Verificação de eventual histórico de denúncias relativos aos investigados; 10. A Rede de Relacionamentos e a Linha do Tempo deverão estar no Plano de Investigação, se necessários; 11. Formalização de possíveis limitações que impediram a realização de determinada atividade. 9

10 ENTENDIMENTO DOS PROCESSOS ENVOLVIDOS Para que uma apuração seja bem-sucedida é fundamental que o processo, onde se insere a suposta fraude, seja mapeado, antes mesmo que ações específicas de investigação sejam tomadas. O mapeamento e compreensão de outros processos eventualmente conexos ao principal também é pertinente, vez que garantirá a assertividade dos testes e dos passos a serem executados durante a apuração. Para mapeamento dos processos, a equipe de investigações NÃO deverá, em um primeiro momento, entrevistar os responsáveis pela área onde a suposta fraude ocorreu. Isso, para evitar prejuízos às atividades posteriores - incorrer no risco de entrevistar eventual envolvido na potencial irregularidade. 10

11 MONITORAMENTO DIGITAL Um dos recursos que poderá ser adotado como ferramenta de investigação é o monitoramento dos s corporativos e das estações de trabalho dos denunciados, que deverá ser previamente autorizado pela alta gestão da empresa. Destaca-se que, no Brasil, há entendimento judicial de que a empresa, para o exercício integral do seu poder diretivo, especificamente quanto a fiscalização e controle das atividades de seus empregados, deve adotar políticas claras quanto ao uso de seus sistemas de mensageria, equipamentos e rede. Por essa razão, torna-se prudente avisar os empregados, com antecedência, que não há privacidade, dentre outras coisas, no uso do corporativo e que este é de uso exclusivo para assuntos do trabalho. 11

12 PROCEDIMENTOS PARA CÓPIA DE HD CORPORATIVO Além do monitoramento digital, os computadores corporativos utilizados pelos funcionários denunciados são uma relevante fonte de informação, bem como os backups dos servidores de rede e exchange da Companhia. A coleta de informações em meio digital deverá seguir, sempre, as melhores práticas da ciência forense digital, mantendo a respectiva cadeia de custódia dos arquivos digitais, conforme Procedimento Forense Digital. O procedimento de cópia dos HDs envolvidos na investigação poderá ser realizado diante de um Tabelião de Notas de Registro Civil, sempre que necessário, a fim de que sua validade seja inquestionável. Reitera-se a importância de existência de uma política prévia e clara sobre esses tipos de atividades (monitoramento digital e cópia forense de HD corporativo). Os funcionários da empresa devem ter a ciência de que a companhia tem o direito legal de monitorar seus ativos informações, processos, s, computadores e etc.-, sem a necessidade de aviso prévio ao colaborador. 12

13 COLETA DE DADOS E INFORMAÇÕES EM CAMPO A etapa de coleta de dados/informações poderá ser realizada por meio de entrevistas, pesquisa em sistemas/bancos de dados da companhia, documentos e registros oficiais, dentre outros meios. Além disso, pesquisas em fontes abertas de informação, disponibilizadas pela rede mundial de computadores também devem ser consideradas. A seguir, alguns exemplos de fontes de coleta: 1. Dados obtidos em entrevistas com denunciantes e testemunhas, envolvidos ou não na suposta fraude; 2. Documentos oficiais da companhia relacionados aos fatos, tais como contratos, notas fiscais, relatórios, prontuário de funcionários, etc. 3. Fotografias a serem registradas pela equipe de investigação de rua (engenharia social), se pertinentes e úteis; 4. Documentos digitais de qualquer tipo, se transitados na infraestrutura da companhia; 5. Relatórios antigos e casos reincidentes ou correlacionados. 13

14 ENTREVISTA MODERNA (EXPLORATÓRIA OU CONFIRMATÓRIA) Após a identificação de indícios e evidência na etapa anterior, deve ser avaliada a necessidade de realização de entrevistas modernas. Estas deverão ser previamente organizadas pela elaboração de um roteiro/ questionário, a ser validado pela alta gestão da empresa. Cuidados especiais com entrevistas investigativas também deverão ser considerados, tais como, sempre que possível, a preparação do local onde serão realizadas, revisão das técnicas a serem aplicadas, designação de testemunha, observação e anotação de linguagem corporal e reações fisiológicas dos entrevistados, etc. A apresentação de determinadas evidências e/ou indícios diretamente para aos suspeitos de terem cometido a fraude pode ser adotada como estratégia, com o objetivo de, pela análise das respostas e reações, obter novos elementos, nome de outras pessoas envolvidas ou, até mesmo, uma confissão. Em casos de confissão, recomenda-se que o procedimento seja formalizado mediante carta de próprio punho, escrita pelo funcionário que afirma ter cometido a fraude. 14

15 DESDOBRAMENTO DO TRABALHO (CONTINUAÇÃO DAS ATIVIDADES) Após a fase de entrevistas, se houver, e/ou análise dos dados, é possível que novos ciclos de coletas sejam necessários, o que exigirá novas verificações e sua eventual consolidação em um report, seguindo o mesmo procedimento já descrito. Caso haja a necessidade de alteração do escopo de trabalho, recomenda-se anotar em papéis de trabalho tais alterações, validando-as com a gerência e/ou diretoria, para que novas etapas de trabalho, ou novas fases de investigação, sejam oficiais e devidamente organizadas de forma clara e objetiva e/ou integradas à investigação preliminar, quando conveniente. 15

16 ORGANIZAÇÃO DE INDÍCIOS E EVIDÊNCIAS Encerradas as etapas de coleta, de processamento e análise, surge a necessidade de iniciar a confecção dos relatórios conclusivos e organização dos indícios (rastros) e evidências (provas). Neste momento é fundamental que todo o material seja classificado por tipo (se indício ou evidência) e por grau de importância/ sensibilidade e prioridade. Todas as evidências deverão ser arquivadas como papéis de trabalho e deverão ser apresentadas para a alta direção da empresa, Comitê de Ética e/ou Auditoria. Nesse caso, é de extrema importância que os papéis de trabalho sejam arquivados de forma segura e padronizada, para que em caso de necessidade futura, esta documentação esteja disponível para subsidiar ações futuras de interesse da companhia. 16

17 LIMITAÇÕES Em determinados casos, as ações planejadas e não realizadas devem entrar no campo de limitações com as suas respectivas justificativas, visando resguardar possíveis questionamentos de autoridades legais ou setores da companhia. Assim, deve-se criar um capítulo específico no relatório onde serão explicadas as principais ações que não foram realizadas, bem como seus motivos, preservando a transparência institucional das atividades de investigação da empresa, bem como o corpo técnico envolvido. 17

18 RECOMENDAÇÕES SOBRE RISCOS Recomenda-se que, em todos os casos de fraudes ou desvios de conduta, um capítulo do relatório final seja dedicado à analise do risco da fraude constatada ou na iminência de ocorrer, indicando suas consequências primárias e secundárias, além do risco residual (risco absoluto/inerente ponderado pelo grau de controle/exposição). Assim sendo, os relatórios deverão contemplar recomendações e/ou planos de ação voltados para melhoria de processos de governança corporativa, controles internos e prevenção à fraudes, colaborando de forma efetiva para a melhoria das atividades da companhia, sua perenidade, além de evitar a reincidência do(s) fato(s) apurado(s). 18

19 RELATÓRIO FINAL A última etapa do trabalho é a confecção do relatório final de apuração. Esse relatório deverá conter, de forma resumida, o teor da denúncia, informações históricas sobre o objeto denunciado, os principais procedimentos e ações tomadas durante a investigação, as pessoas eventualmente entrevistadas, os resultados das apurações e a apresentação dos indícios e evidências, além da conclusão final sobre o caso e a descrição das recomendações, planos de auditoria e ações disciplinares (se aplicável). O relatório final do trabalho de investigação deve identificar de forma geral: 1. Quem (mapear os envolvidos); 2. Fez o que e como (modus operandi); 3. Quando (mapear os períodos dos aspectos narrados, organizando, conforme informações disponíveis, o que aconteceu de forma cronológica, verificando a coerência das informações existentes e disponibilizadas); 4. Onde (sob qual diretoria/unidade/área); 5. Porque (procurar entender a motivação do caso). É importante que o relatório indique os responsáveis pela execução das ações acordadas e os respectivos prazos, para fins de gerenciamento de follow up. 19

20 POSSÍVEIS AÇÕES POSTERIORES A UMA INVESTIGAÇÃO Confissão Demissão simples Processos cíveis e criminais Demissão por justa causa Recuperação dos valores 20

21 Proibida a cópia ou alteração, no todo ou em parte, sem a expressa autorização da SYARD. Todos os direitos de autoria reservados.