Serviços especializados para ajudar você e sua empresa
INTERIM MANAGEMENT & TRANSITION MANAGEMENT
INTERIM MANAGEMENT & TRANSITION MANAGEMENT
COMPLIANCE GERAL
GESTÃO DE RISCO
INVESTIGAÇÕES CORPORATIVAS
GOVERNAÇA CORPORATIVA
ASSISTÊNCIA JURIDICA
COMPLIANCE DIGITAL
NORMAS & SELOS
INTERIM MANAGEMENT & TRANSITION MANAGEMENT
- COMPLIANCE GERAL
- COMPLIANCE DIGITAL
- GOVERNANÇA CORPORATIVA
- GESTÃO DE RISCO
- PMO
- NORMAS & SELOS
- ASSISTÊNCIA JURÍDICA
- INVESTIGAÇÕES CORPORATIVAS
- INTEIRIM & TRANSITION MANAGEMENT
CATÁLOGO REGULATÓRIO
Mapeamento das principais leis e normativos legais brasileiros, e das leis de aplicação extraterritorial a que a empresa deve respeito. O inventário legal será entregue em formato de Quadro Cronológico e poderá incluir as normas internas da empresa e guias de boas práticas de conhecimento público (ex. Questionário Pró Ética; ISO ABNT 19600:2014, ISO ABNT 37001:2016, DOJ – Evaluation of Corporate Compliance Programs, Guia de Boas Práticas de Compliance Febraban, Guia de Implantação de Programa de Integridade nas Empresas Estatais da CGU).
COMPLIANCE RISK ASSESSMENT
Identificação dos riscos aos quais a empresa está exposta vis-à-vis os principais normativos aplicáveis (Catálogo Regulatório). Realizado pela análise de documentos, entrevista de pessoas chave e pesquisa de mercado (notícias públicas), esta última que visa conhecer as práticas do segmento do qual a empresa faz parte. Os riscos identificados são apresentados em Matriz de Risco, mensurados de acordo com sua probabilidade VS. severidade, com indicativo do risco residual, e recomendação(es) de ação(es) para sua gestão e mitigação.
PLANEJAMENTO DE COMPLIANCE
Design, com base na ferramenta de gestão 5W2H, da estrutura do Programa de Compliance compatível com a natureza, porte, complexidade, desenho da estrutura organizacional, nível de risco e o modelo de negócio da empresa, em observância à sua estratégia de negócio e leis a que deve respeito.
O planejamento de escopo é construído pela análise das obrigações legais da empresa e riscos aos quais está exposta, sendo apresentado em Gráfico de Gantt (ou sistema ou outra metodologia definida pelas Partes), acompanhado da descrição pormenorizada de cada uma das tarefas/ações, consequências impactos esperados.
REVISÃO DO CÓDIGO DE CONDUTA E POLÍTICAS COMPLEMENTARES
Criação (ou revisão) do CoC – Código de Conduta (ou CoE – Código de Ética ou COEC – Código de Ética e Conduta) e Políticas complementares, em respeito à cultura/maturidade da empresa e políticas vigentes.
O Código, após aprovação do conteúdo, será entregue em layout gráfico para impressão pelo cliente (ref. a diagramação por designer gráfico, observando a identidade visual e pantone de cores da empresa-cliente).
REVISÃO DO CÓDIGO DE CONDUTA E POLÍTICAS COMPLEMENTARES
Criação (ou revisão) do CoC – Código de Conduta (ou CoE – Código de Ética ou COEC – Código de Ética e Conduta) e Políticas complementares, em respeito à cultura/maturidade da empresa e políticas vigentes.
O Código, após aprovação do conteúdo, será entregue em layout gráfico para impressão pelo cliente (ref. a diagramação por designer gráfico, observando a identidade visual e pantone de cores da empresa-cliente).
CRIAÇÃO DE PROCEDIMENTOS OPERACIONAIS PADRÃO (POP)
Criação ou revisão dos procedimentos que operacionalizam as políticas da empresa (Desk Manuals). São apresentados em fluxogramas e/ou texto corrido.
Os procedimentos poderão ser construídos ou disponibilizados em sistema online que permita a devida integração dos fluxos e conexão com softwares/sistemas utilizados pela empresa, de modo a envolver as pessoas/áreas pertinentes, permitir a programação de alertas de não observância do atendimento de determinado fluxo e/ou sua consequência, e garantir a centralização das informações.
Restrito às políticas criadas ou revisadas pela FourEthicsTM, que poderá recomendar a integração de procedimentos ou sua divisão para garantia do respeito às rotinas e cultura da empresa, ou em reflexo às boas práticas de mercado.
Nota: Inclui até 2 (duas) revisões do conteúdo proposto, cujas sugestões devem ser apresentadas em até 1 (uma) semana da apresentação dos textos originais ou editados em atendimento à 1ª revisão.
AVALIAÇÃO DAS ATRIBUIÇÕES DE COMPLIANCE
Apreciação da descrição do cargo, responsabilidades e linha de reporte do Compliance Officer e sugestão de melhorias, se aplicável, para atendimento das diretrizes legais e boas práticas de mercado, e garantia da autonomia e independência necessárias à função.
COI – CONFLIT OF INTEREST ASSESSMENT
Desenvolvimento, aplicação e análise de Questionário de Conflito de Interesses, que busca identificar situações de potencial risco de sobreposição de interesses pessoais, ou de terceiros, aos interesses da empresa. O Questionário é desenvolvido à luz das políticas internas, leis aplicáveis e orientações/interesses do Cliente, e inclui, mas não se limita, ao reconhecimento de Pessoas Politicamente Expostas (PEP).
Contemplará, se necessário, conceitos e definições que permitirão o esclarecimento das perguntas*. Inclui a apreciação das respostas individualizadas e em grupo, e orientações de tratamento e/ou gestão do conflito eventualmente identificado.
Nota: A FourEthics™ poderá recomendar a realização de Campanha de COI a fim de garantir, pela exemplificação de situações relativas ao negócio, a integral compreensão do significado do termo “conflito de interesse”.
COMUNICAÇÃO EM COMPLIANCE
Técnicas de comunicação corporativa integradas às ações de Governança Corporativa e Compliance, que objetivam a otimização e eficiência dos trabalhos das áreas, sua adequação ante o ambiente em que a empresa se insere e conhecimento das especificidades dos diversos públicos com os quais se relaciona, além da compreensão da cultura interna e dos mercados onde a empresa realiza negócios.
Configura-se pela concepção de estratégias que visam o desenvolvimento ou gerenciamento da reputação corporativa e do corpo diretivo, pela criação de campanhas de divulgação do Programa de Compliance ou iniciativas da área, promoção da existência e confiabilidade do Canal de Denúncias, relacionamento com stakeholders, relações com o governo e gerenciamento de crise.
CRIAÇÃO DO REGIMENTO INTERNO DO COMITÊ DE INTEGRIDADE
Concepção da estrutura e das normas de funcionamento do órgão, em sinergia com outros Comitês eventualmente existentes e operantes; criação dos fluxos de atividades, das regras para nomeação dos membros e sua rotatividade; sugestão da responsabilidade dos integrantes em referência à senioridade e respectivo job descriptions.
ELABORAÇÃO DE MECANISMOS DE CONTROLES INTERNOS
Assessoria aos gestores (funções de coordenação, proprietários do risco), na busca pelos controles adequados em seus processos, relativo à 1ª linha de defesa, que inclui controles de gerência e medidas de controle interno. Contempla a avaliação dos resultados do plano de ação estabelecidos para cada um dos riscos identificados nos processos.
TREINAMENTO PRESENCIAL
Aula expositiva acerca das boas práticas de Compliance. Inclui noções gerais das leis contempladas no Programa, diretrizes do Código de Ética e Conduta e suas políticas complementares; criação de apresentação em PowerPoint; registro da iniciativa (Lista de Presença e imagens); e emissão de Certificado de Participação.
A locação de auditório, contratação de coffee break e outras despesas necessárias à operacionalização do treinamento correrão por conta da empresa.
Empresas que já tiveram seus colaboradores treinados pela FourEthics
TREINAMENTO ONLINE
Conversão do conteúdo do Código de Conduta, ou outra política de interesse, em vídeo aula ou em treinamento online usando quaisquer das técnicas arte em movimento, telestration, arte em movimento, vídeo com fotos ou vídeo com vídeos, e criação de “pílulas de Compliance” (1 a 2 minutos) para garantia da educação continuada.
Inclui, dentre outras coisas e quando necessário, narração de locutor profissional, no idioma português*, design gráfico (identidade visual, GCs, letterings).
Nota: A técnica escolhida como a mais indicada para a disseminação do conteúdo determinará a duração do vídeo.
*Áudio em outro idioma idioma e/ou legenda cotados à parte.
ENTREVISTA DE RESILIÊNCIA ÉTICA
Entrevista exploratória destinada à identificação do perfil do entrevistado (ex. nível de consciência ética), candidato a cargo na empresa ou integrante do Quadro de Funcionários.
Toda entrevista é feita respeitando a dignidade do entrevistado, preservando, dentro de limites razoáveis, a sua identidade e vontade (relativo ao direito de silêncio, interrupção da conversa e/ou qualquer tipo de ação não colaborativa). Também, adotando as medidas de salvaguarda necessárias à preservação da empresa, resguardando-a de eventual ação trabalhista e/ou de danos morais.
Objetivos:
Orientar o processo de contratação ou promoção de colaboradores da empresa-cliente, pela avaliação do seu histórico reputacional, perfil comportamental e quociente de inteligência vis-à-vis às impressões extraídas de entrevista técnica, no intuito de identificar a resiliência ética do entrevistado;
Compor o processo de contratação da empresa-cliente, subsidiando a tomada de decisão de informações que sugerem o nível moral do entrevistado, sua predisposição a seguir regras, prevenindo situações de fraude, corrução e/ou comportamentos discriminatórios ou abusivos.
CONSULTIVO EM COMPLIANCE
Assessoria técnica em Compliance e controles internos, realizada por profissionais com experiência e vivência em empresas de grande porte, multinacionais e em momentos de crise (Ex. Unfair Play, Lava Jato, COB, dentre outros). Inclui a orientação das atividades do dia a dia, emissão de opinião técnica e realização de reuniões para assistência nas diligências rotineiras e, via de regra, não integrantes do escopo de estruturação do Programa de Compliance.
MENTORING & COMPLIANCE COUNSELING
Desenvolvimento do corpo diretivo e outros profissionais líderes para que atuem como Compliance Champions, promotores do Programa de Compliance, guardiões das políticas da empresa (relativo, mas não limitado, ao Tone of the Top). Inclui orientação individualizada de pessoas-chave: área de comunicação (mídia, relações com o investidor), investigação, recursos humanos.
MENTORING & COMPLIANCE COUNSELING
Análise (i) dos fluxos, (ii) acessos e regras de exceção, (iii) efetividade do plano de comunicação (relativo ao incentivo de uso da ferramenta, confiabilidade e seu correto uso), (iv) eventual backlog de registros, (v) perfil dos registros (apócrifo X identificado, preocupações relativas a questões externas/terceiros X internas/colaboradores, área/departamento com maior quantidade de relatos, etc.), (vi) adequabilidade do questionário online, (vii) qualidade do atendimento via telefone, dentre outras coisas.
Inclui a emissão de parecer com recomendações de melhoria.
Nota: A FourEthics™ também realiza a diligência preliminar dos relatos registrados no Canal operacionalizado por terceiro, que configura na análise primária do conteúdo, interação com denunciante para coleta de informações complementares ou esclarecimentos de questões obscuras, e apresentação de estratégia de investigação. Não inclui
MONITORAMENTO
Desenvolvimento do corpo diretivo e outros profissionais líderes para que atuem como Compliance Champions, promotores do Programa de Compliance, guardiões das políticas da empresa (relativo, mas não limitado, à Tone of the Top). Inclui orientação individualizada de pessoas-chave.
MAPA DE MATURIDADE DO PROGRAMA DE COMPLIANCE
Avaliação da estrutura do Programa de Compliance da empresa, normas internacionais e boas práticas de mercado; sua adequabilidade diante da natureza da atividade da empresa, porte, complexidade, desenho da estrutura organizacional, nível de risco, estratégias e leis a que deve respeito. Configura-se no levantamento dos processos e procedimentos de Compliance e de prevenção às más práticas que podem gerar prejuízo de ordem operacional, financeira e/ou reputacional; conhecimento de sistemas e mecanismos adotados pela empresa, práticas costumeiras e sua cultura (valores e comportamentos compartilhados por colaboradores e, eventualmente, por terceiros que atuam em favor da empresa); condução de entrevistas especializadas; validação das leis e normativos a que a empresa deve respeito; realização de benchmarking e identificação das melhores práticas aplicadas ao mercado do qual a empresa faz parte. Referenciado pelas diretrizes da ISO ABNT 37001:2016, ISO ABNT 19600:2014, Questionário Pró-Ética ou outra norma/diretriz de interesse.
DIAGNÓSTICO DE TI E SEGURANÇA DA INFORMAÇÃO
Avaliação da adequabilidade e eficiência dos sistemas de tecnologia e de proteção à informação da empresa-cliente, incluindo mas não se limitando às informações pessoais (relativo à LGPD, GDPR). Inclui a análise (i) dos riscos operacionais de tecnologia e segurança da informação, relacionados aos processos e projetos que possam impactar a integridade, disponibilidade e confidencialidade da empresa, normas internacionais e boas práticas de mercado; (ii) da estrutura de hardware, restrita aos equipamentos destinados a operacionalizar os sistemas implantados; (iii) da infraestrutura de TI, (…)
composta da estrutura física e lógica da rede local (LAN) e rede externa (WAN), a estrutura de cabeamento e fibra ótica, o datacenter e todo o processo de controle de acesso ao ambiente de dados e controles dos ativos de TI da organização; (iv) da estrutura de sistemas (softwares) utilizados (cardápio de sistemas); (v) da efetividade dos controles internos. Também, a apreciação da compatibilidade do sistema de infraestrutura de TI às particularidades da empresa (tamanho, natureza da atividade, etc.); inter-relação entre sistemas proprietários e de terceiros e respectiva segurança da propriedade intelectual, da informação própria e de terceiros (incluindo os dados pessoais protegidos pela legislação nacional e europeia); pertinência do plano de continuidade do negócio, quando existente; e coesão e atualidade das políticas vigentes.
Contempla, também, a avaliação do perfil da equipe e de competência dos profissionais envolvidos nas atividades de gestão administrativa tecnológica e da segurança da informação; e diagnóstico do sistema de gestão documental (físico e digital).
Referências: ISO/IEC 27000:2018 (Sistema de Gerenciamento de Segurança da Informação); ABNT NBR ISO/IEC 38500:2018 (Tecnologia da informação – Governança da TI); ISO/IEC 20000 (Gestão de Serviços de TI); ABNT NBR ISO 22301:2013 (Sistema de Gestão de Continuidade de Negócios); ITIL – Information Technology Infrastructure Library (conjunto de melhores práticas sugeridas para garantir a qualidade nos processos de TI).
Modus Operandi: Entrevistas, testes remotos e in situ, Self Assessment
Entregáveis:
- MGTI – Mapeamento e Gestão da Tecnologia da Informação (inclui mapeamento de processos);
- Impacto do TI no Negócio/Diagnóstico por meio de BIA (Business Impact Analysis) e Cybersecurity;
- Redefinição de Perfis de Acesso;
- Nível de Maturidade Tecnológica (inclui Gap Analysis à luz das normas de referência);
- Nível de Aderência às Leis de Proteção de Dados;
- Listagem de problemas de TI/Mapa de Riscos: segurança, customização, barreiras, limitações, deficiências, falhas;
- Laudo de Adequabilidade de Gestão Documental Física e Tecnológica;
- Plano de Melhorias (PDCA – Plan, Do, Check & Act).
Nota: A avaliação dos sistemas proprietários inclui exame da sua qualidade e apuração de eventuais inconsistências em decorrência de imperícia, negligência (falha na composição do código e “fechamento de portas de acesso”) ou má fé, que podem resultar em exposição dos mesmos à agentes maliciosos internos ou externos (hackers ou crackes), colocar em risco as atividades da empresa, caso tenham o funcionamento interrompidos ou sejam retirados do ar, ou gerar dano à terceiro.
A análise tecnológica dos sistemas proprietários é integrada com o Diagnóstico de Proteção de Patentes, serviço constante do projeto e realizado pelo escritório parceiro Remer, Villaça e Nogueira Advogados (“RVN”). Os trabalhos do RVN poderão ser estendidos aos sistemas desenvolvidos em parceria (co-design) ou criados para a empresa, quando acordado a transferência da criação. A análise dos sistemas de terceiros inclui a apreciação dos termos dos contratos firmados e medidas adotadas pelas empresas terceiras para adequação às leis de proteção de dados; existência de provedor de serviços de mesmo padrão/nível técnico, caso observada a necessidade de substituição do terceiro (relativo ao Plano de Contingência e Continuidade dos Negócios).
PLANO DE TI E SEGURANÇA DA INFORMAÇÃO: MELHORIAS E GESTÃO CONTÍNUA
Plano de Melhorias: Proposta de iniciativas que visam a revisão das infraestruturas, práticas e rotinas, de modo a garantir aderência às normas e diretrizes de referência, reduzindo a exposição da empresa a eventos decorrentes de falha ou resultantes da inadequabilidade dos sistemas de segurança, dos controles internos.
Gestão Administrativa e Tecnológica: definição de metas, planejamento contínuo, controle permanente; tecnologias dinâmicas (gerenciamento a resposta da empresa à introdução de novas tecnologias), tecnologias estabilizadas (gerenciamento dos recursos da empresa para o uso mais eficiente), organização, barreiras.
Inclui:
- Criação (ou revisão) de Políticas de Acesso;
- Criação (ou revisão) Termo de Uso da Internet, Rede Corporativa, Computadores e Utilização de E-mails Corporativos;
- Política de Segurança da Informação (PSI) – inclui orientações para acesso remoto;
- Política de Controle de Acesso Lógico e Termo de Responsabilidade;
- Política de Proteção de Dados;
- Politica de Uso de Dispositivos Móveis Pessoais (BYOD- Bring Your Own Device), se aplicável/ recomendável;
- Politica de Resposta a Incidentes;
- Política de Descarte, Retenção de Informações e Backups;
- Orientação aos aplicadores/guardiões das políticas em comento (“Train the Trainers”), quando à operacionalização das diretrizes, fiscalização da sua aplicação e disseminação do conteúdo;
- Assistência na criação e implementação (ou revisão) das rotinas relativas à operacionalização das políticas listadas e outras vigentes na empresa-cliente (relativo aos controles internos controles).
DIAGNÓSTICO DE PROTEÇÃO DE PATENTES
Busca aprofundada, de âmbito global, cumulada com análise de inventividade, recomendações de proteção por patente/software e/ou direito autoral e/ou contrato, por invento/produto.
Objetiva identificar soluções passíveis de proteção por propriedade intelectual para apreensão de valor e/ou minimizar riscos de uso de tecnologia ou solução alheia, evitando indenizações. Especialmente relevante no âmbito de aplicativos e sistemas de integração de banco de dados.
Entregável: Laudo de Diagnóstico e Plano Diretivo de Proteção de Propriedade Intelectual
PLANO DE CONTINUIDADE DE TI E GESTÃO DE CRISE EM TI
Elaboração de Guia para o esforço de recuperação das funções que atendem ao conceito de Missão Crítica do Negócio da empresa-cliente, permitindo, na ocorrência de situação de emergência, que empregados e agentes externos designados respondam assertiva e tempestivamente à situação, pela interrupção da causa e/ou de seus efeitos, tratamento dos fatores que impactam ou poderiam impactar a capacidade da empresa de executar suas funções essenciais.
Nossa abordagem inclui, mas não está limitada a:
1. Avaliação dos riscos e estrutura de governança identificados em Diagnóstico de Compliance Digital e outros conexos;
2. Avaliação do Diagnóstico BIA (Business Impact Analysis) e Cybersecurity;
3. Criação e Implementação de Plano DRP¹ e BCP² em consonância da ABNT NBR ISO 22301:2013, incluindo Planos Operacionais;
4. Protocolo de comunicação definido englobando todos os públicos (interno, cliente, mídia, investidores/associados/federados, etc.);
4. Treinamento de planos para todos os associados;
5. Criação de Comitê de Gestão de Crise: regulamento interno, identificação do perfil adequado dos integrantes, treinamento;
6. Exercícios de aderência de planos;
7. Cronogramas de manutenção definidos.
¹ DRP – Disaster Recovery Plan (Plano de Recuperação de Desastres)
² BCP – Business Continuity Plan (Plano de Continuidade de Negócios)
Nota: É prudente que o Plano de Continuidade de Negócio e Gestão de Crise esteja suportado por empresa de comunicação especializada. Também, a automatização de Processos e utilização de Portal de Continuidade de Negócios.
TESTE DE PLANO DE CONTINUIDADE DE NEGÓCIOS
Os exercícios de aderência têm como objetivo verificar a capacidade de recuperação dos processos de negócio em escopo, a partir do Plano de Continuidade de Negócios, seus diversos Planos Operacionais, testando toda estratégia e processos elaborados e, em última análise, validando a eficácia de todo o BCP.
O Plano de Continuidade de Negócios só será considerado implementado com o sucesso dos exercícios de aderência.
MICROLEARNINGS FOURETHICS
Um jeito simples e prático de aprender assuntos relevantes da vida corporativa
CONTEÚDOS DISPONÍVEIS NO SYMPLA PLAY
Desenvolvido na técnica motion graphics, os treinamentos EAD FourEthics são ideais para compor o Plano de Capacitação e Treinamento das empresas e/ou integrar o procedimento de consequências e medidas disciplinares, como treinamentos de reciclagem.
AVALIAÇÃO DA EFETIVIDADE DO CANAL DE DENÚNCIAS
Análise dos (i) fluxos, (ii) acessos e regras de exceção, (iii) efetividade do plano de comunicação (relativo ao incentivo de uso da ferramenta, confiabilidade e seu correto uso), (iv) eventual backlog de registros, (v) perfil dos registros (apócrifo X identificado, preocupações relativas a questões externas/terceiros X internas/colaboradores, área/departamento com maior quantidade de relatos, etc.), (vi) adequabilidade do questionário online, (vii) qualidade do atendimento via telefone, dentre outras coisas.
Inclui a emissão de parecer com recomendações de melhoria.
Nota: A gestão dos relatos registrados no Canal operacionalizado por terceiro, configurado pela análise preliminar do conteúdo, interação com denunciante para coleta de informações complementares ou esclarecimentos de questões obscuras, e apresentação de estratégia de investigação, é cotada à parte, assim como o tratamento de backlog de denúncias (ref. a registros abertos, com apuração em andamento ou não iniciada). Não inclui a aplicação de ferramentas e técnicas de investigação, serviços estes contratados mediante demanda (on demand).
GERENCIAMENTO DE PROJETO
Gerenciamento dos projetos de Compliance Anticorrupção/AML-T e/ou Compliance Digital e/ou inteligência empresarial, eventuais interdependências, com base nas premissas do Guia Project Management Body of Knowledge – PMBOK:
– Gerenciamento de Integração: objetiva identificar, definir, combinar, unificar e coordenar os diversos processos e atividades do gerenciamento de projetos;
– Gerenciamento de Escopo: etapa dedicada à delimitação do trabalho contratado, inibindo modificações que não fazem parte do escopo pré-determinado;
– Gerenciamento do Tempo: permite o cumprimento dos prazos (SLA);
– Gerenciamento de Custos: viabiliza a aderência ao orçamento previamente acordado (inclusive de despesas, em respeito às políticas da empresa);
– Gerenciamento de Qualidade: possibilita que o projeto seja executado de acordo com as necessidades previamente apontadas, dentro de um controle interno de padrões e regras;
– Gerenciamento de Recursos Humanos: administração e supervisão dos processos que organizam e distribuem as funções de cada membro da equipe participante do projeto;
– Gerenciamento das Comunicações: coordenação de todas as informações pertinentes ao projeto, especificando quando e para quem estas devem ser liberadas;
– Gerenciamento de Risco: concentra todos os processos de identificação, análise, respostas, monitoramento e controle, além do planejamento dos riscos de um projeto;
– Gerenciamento de Aquisições: define todos os produtos ou serviços que devem ser adquiridos para o desenvolvimento do projeto.
Inclui constituição e participação em Comitê de Controle de Mudanças, acompanhamento do Planejamento Plurianual de Mapeamento de Processos.
MAPEAMENTO, CRIAÇÃO, IMPLEMENTAÇÃO E GESTÃO DE PROCESSOS E PROCEDIMENTOS
Mapeamento de processos, criação ou revisão de macro processos e assessoria às equipes de Compliance Anticorrupção e AML-T, Compliance Digital e/ou Governança Corporativa na criação dos respectivos processos e procedimentos que operacionalizam as políticas da empresa; proposta e execução do Planejamento Plurianual de Mapeamento de Processos.
São apresentados em fluxogramas e/ou texto corrido.
Referência: APQC – American Productivity & Quality Center – PCF – Process Classification Framework
INVESTIGAÇÃO DEFENSIVA
Assessoria a Advogados na coleta de elementos probatórios que possam auxiliar em defesas técnicas ou em acusações, e garantir os direitos/ interesses de seus clientes, conforme Provimento nº 188/2018 do Conselho Federal da Ordem dos Advogados do Brasil (OAB).
Análise de Viabilidade Técnica para Implantação ou Expansão de Negócios
Análise, sob a ótica da segurança de pessoal e das instalações, do local e de suas condições de segurança, apresentando soluções para eventuais problemas, em relação às instalações e/ou referentes às pessoas que frequentarão a empresa (colaboradores, fornecedores, clientes etc.) ou órgão público.
Inclui, ainda, avaliação da estrutura de segurança pública existente na localidade para fins de gestão junto às autoridades competentes, mitigando os riscos de corrupção impelida por metas agressivas ou possível interesse em promoção/ bonificações, dentre outras coisas.
Vigia de Estação Digital de Trabalho
Acompanhamento completo de computador corporativo/das atividades do usuário-alvo (monitorização forense) no intuito de avaliar o comportamento digital de colaborador, eventual atividade contrária aos interesses da empresa, ócio e/ou inobservância às leis e políticas que devem ser observadas. Consiste na captura e análise de informações, tais como: e-mail/webmail, Chat/mensagens instantâneas, websites visitados, aplicativos e programas usados e/ou instalados, dados digitados, pesquisas on-line, transferência de arquivos e rastreamento de documentos.
Nota: Importante a designação de profissional de TI de confiança da empresa-cliente, que atuará como facilitador de acesso remoto às máquinas de interesse.
Duplicação Forense de HD Corporativo e Análise
Cópia de dispositivo corporativo de armazenamento digital (“clonagem” ou “imagem forense” do dispositivo original) para análise de conteúdo existente e/ou descartado e identificação do perfil comportamental do usuário da máquina de onde extraído, eventual desvio de conduta.
Nota: Poderá ser necessário o acesso físico à máquina do colaborador alvo de inspeção, que será feito pela aplicação de estratégia que garanta o sigilo da iniciativa. A FourEthics™ orientará o Cliente na escolha das palavras-chave (6 a 8 no total) que otimizarão os trabalhos. A FourEthics™ não garante a qualidade e integralidade de cópias realizadas pelo Cliente e esclarece que tal ação poderá prejudicar a qualidade dos seus trabalhos, bem como resultar no questionamento, em juízo, da licitude e legitimidade da prova, resultando, inclusive, na contaminação de outras conexas, integrantes/levantadas no mesmo processo de apuração.
Entrevistas Especializadas
Interlocução com pessoas de interesse, (i) exploratória para ajudar a compor a problemática de uma investigação ou para identificar o perfil do entrevistado (ex. nível de consciência ética), (ii) interrogatória que visa buscar a admissão ou confissão de não conformidade, ou omissão diante do seu conhecimento.
Toda entrevista feita respeita a dignidade do entrevistado, preservando, dentro de limites razoáveis, a sua identidade e vontade (relativo ao direito de silêncio, interrupção da conversa e/ou qualquer tipo de ação não colaborativa). Também, adotando as medidas de salvaguarda necessárias à preservação da empresa, resguardando-a de eventual ação trabalhista, de danos morais e/ou de qualquer outra natureza.
As entrevistas são conduzidas por 2 (dois) profissionais (Entrevistador e Auxiliar de Entrevista).
Nota: A FourEthics™ não tem como garantir, nem intenciona garantir, que os profissionais vinculados ao Cliente com os quais interagir não adotarão quaisquer medidas judiciais contra a empresa-cliente. A recusa do Entrevistado em participar da entrevista, a negativa de resposta a determinada pergunta ou o desejo de encerramento da conversa, antes do seu fim, não resultarão em qualquer penalidade à FourEthics™ que receberá o valor integral pelos serviços prestados.
Infiltração
Técnica investigativa por meio da qual um agente controlado pela FourEthics™ integra equipe de trabalho da empresa-cliente, ocultando sua verdadeira identidade, angariando a confiança dos colaboradores e terceiros relacionados à empresa, com o escopo de colher material probatório suficiente para identificar ilícitos, desarticular potencial organização criminosa, como, por exemplo, para proceder a descoberta dos seus principais integrantes e os crimes a eles imputados.
Vigilância de Pesquisado
Supervisionamento in situ e durante período pré-determinado (diligências em campo) que visa identificar/ comprovar, dentre outras coisas, padrão de vida incompatível com a renda do colaborador, associação ou prática indevida, atividades contrárias às leis concorrenciais.
No intuito de garantir a efetividade do projeto e preservar a integridade dos executores, em toda ocasião e independentemente da severidade e/ou complexidade da situação a ser apurada, 2 (dois) profissionais são designados para a operação.
Assessoria de Grandes Eventos
Assessoria ao realizador do evento na fiscalização e acompanhamento das atividades dos prestadores de serviços de segurança, antes e durante os grandes eventos, com foco preventivo.
Objetiva, sobretudo, antecipar e possibilitar a correção de eventuais falhas que possam comprometer o evento e, consequentemente, a imagem da empresa ou da gestão pública.
Reengenharia do Sistema de Vigilância
Revisão (ou proposta) da disposição das câmaras de segurança e vigilância, regras de acesso às gravações e de armazenamento, e publicidade do poder de fiscalização do empregador.
Nota: Não estão inclusas as câmeras de segurança e equipamentos acessórios, cuja aquisição deverá ser feita pela empresa-cliente. A FourEthics™ poderá assessorar a empresa-cliente na escolha das tecnologias, cotação de preços, bem como na fiscalização dos serviços de instalação.
Curadoria de Conteúdo de Mídia
Seleção e avaliação de conteúdo resultante de monitoramento de informações divulgadas nos veículos de comunicação nacionais, mídia online, impressa, canais de vídeo, rádio e TV.
O monitoramento é feito pela combinação de palavras-chave previamente acordadas com o Cliente e pode ser referente a:
- Dados passados: informações online relativas a um determinado intervalo de datas;
- Dados dinâmicos: informações que estão circulando nas mídias e redes sociais, e que podem ser extraídas diariamente ou, em fase de gestão de crise, serem;
- obtidas quase que em tempo real, em intervalos de minuto.
Cliente Oculto
Metodologia de avaliação dos representantes da empresa-cliente – colaboradores ou terceiros que atuam em nome/ por ordem da empresa (ex. correspondentes)-, que se dá pela simulação de interesse na aquisição de produtos e/ou serviços, sendo realizada de forma anônima. Pode ser realizada in situ (visitas ao estabelecimento da empresa-cliente ou do terceiro que atua em seu favor), via atendimento telefônico, online, canais de venda e quaisquer outros meios de interação entre a empresa e consumidor.
Objetivo: verificar a observância dos processos e procedimentos da empresa e leis pertinentes, a técnica, o comportamento/postura do(s) Pesquisado(s).
Nota: O uso de nome fictício nas interações com os colaboradores ou terceiros que atuam em nome da empresa não configura, em nenhuma hipótese, em crime de falsidade ideológica, uma vez que trata-se de encenação.
Gestão do Canal de Denúncias
Análise preliminar de todos os reportes registrados no Canal de Denúncias, comunicados ao Compliance Officer ou líderes de área; interação com denunciantes para esclarecimento de aspecto obscuro ou contraditório, solicitação de informações complementares; sugestão de estratégia para apuração do fato/proposta de Plano de Trabalho de Investigação e orientação de equipe interna¹, quando a atividade investigativa não for realizada pela própria FourEthics; retorno ao denunciante.
A orientação da investigação por equipe interna da empresa-cliente está restrita a questões de menor complexidade, cuja severidade, impactos ou partes envolvidas não exigem a condução da atividade por agente externo. A FourEthics™ não realiza transferência de know-how, pelo que determinadas técnicas, metodologias investigativas, sistemas e ferramentas de investigação utilizados pela empresa são protegidos por nossas políticas.
Gestão de Risco, Plano de Continuidade de Negócios e Resiliência Organizacional
Análise e integração das avaliações de risco realizadas pelas equipes de Compliance Geral (Anticorrupção, AML-T, Antitruste), Compliance Digital e Governança Corporativa, moldando-as e complementando-as à luz das Normas ISO ABNT NBR 22301:2012 e ISO ABNT NBR 31000:2018, e criação do Plano de Gestão de Riscos Integrado – estratégias de mitigação e contingência, análise da eficácia das estratégias implementadas, métricas de performance
Criação de Plano de Continuidade e Resiliência Organizacional com base no modelo Plan-Do-Check-Act da Norma ISO 22301 e à luz de duas atividades essenciais: Análise de Impacto no Negócio e Avaliação de Risco. Objetiva definir soluções que permitam recuperar funções críticas nos tempos definidos na Análise do Impacto no Negócio e definir controles preventivos para reduzir a exposição da empresa-cliente ao risco identificado na Avaliação do Risco.
NORMAS TÉCNICAS
CONSULTIVO EM NORMAS ISO
Orientação das atividades de criação (ou revisão) e implementação de Compliance Geral, Compliance Digital e Governança Corporativa, a fim de garantir sua aderência às normas ABNT NBR ISO 22301:2013, ISO ABNT 37001:2016, ISO/IEC 27000:2018, ISO/IEC 38500:2018, ISO/IEC 20000-1:2018, ISO ABNT NBR 31000:2018, e diretriz ISO ABNT 19600:2014.
Teste de aderência às normas, por amostragem, com base em metodologia de Gap Analysis.
Treinamento de aplicação e monitoramento das normas e diretrizes de referência.
INTELIGÊNCIA EMPRESARIAL
VIGIA DE ESTAÇÃO DIGITAL DE TRABALHO
Acompanhamento completo de computador corporativo/das atividades do usuário-alvo (monitorização forense) no intuito de avaliar o comportamento digital de colaborador, eventual atividade contrária aos interesses da empresa, ócio e/ou inobservância às leis e políticas que devem ser observadas.
Consiste na captura e análise de informações, tais como: e-mail/Webmail, Chat/mensagens instantâneas, websites visitados, aplicativos e programas usados e/ou instalados, dados digitados, pesquisas on-line, transferência de arquivos e rastreamento de documentos.
Nota: Importante a designação de profissional de TI de confiança da empresa-cliente, que atuará como facilitador de acesso remoto às máquinas de interesse.
DUPLICAÇÃO FORENSE DE HD CORPORATIVO E ANÁLISE
Cópia de dispositivo corporativo de armazenamento digital (“clonagem” ou “imagem forense” do dispositivo original) para análise de conteúdo existente e/ou descartado e identificação do perfil comportamental do usuário da máquina de onde extraído, eventual desvio de conduta.
Nota: Poderá ser necessário o acesso físico à máquina do colaborador alvo de inspeção, que será feito pela aplicação de estratégia que garanta o sigilo da iniciativa. A FourEthics™ orientará o Cliente na escolha das palavras-chave (6 a 8 no total) que otimizarão os trabalhos.
A FourEthics™ não garante a qualidade e integralidade de cópias realizadas pelo Cliente e esclarece que tal ação poderá prejudicar a qualidade dos seus trabalhos, bem como resultar no questionamento, em juízo, da licitude e legitimidade da prova, resultando, inclusive, na contaminação de provas conexas, integrantes/levantadas no mesmo processo de apuração.
ENTREVISTAS INVESTIGATIVA
Interlocução com pessoas de interesse, (i) exploratória para ajudar a compor a problemática de uma investigação ou para identificar o perfil do entrevistado, (ii) interrogatória que visa buscar a admissão ou confissão de não conformidade, ou omissão diante do seu conhecimento. Ambas entrevistas também objetivam a coleta de elementos necessários ao entendimento ou confirmação da potencial má conduta registrada nos Canais de Denúncia da empresa, identificadas pela auditoria ou departamento de compliance e/ou apontada pelas autoridades.
Toda entrevista é realizada em respeito à dignidade do entrevistado, preservando, dentro de limites razoáveis, a sua identidade e vontade (relativo ao direito de silêncio, interrupção da conversa e/ou qualquer tipo de ação não colaborativa). Também, adotando as medidas de salvaguarda necessárias à preservação da empresa-cliente, resguardando-a de eventual ação trabalhista, de danos morais e/ou de qualquer outra natureza.
As entrevistas são conduzidas por 2 (dois) profissionais: entrevistador e Auxiliar de Entrevista.
Nota: A FourEthics™ não tem como garantir, nem intenciona garantir, que os profissionais vinculados ao Cliente com os quais interagir não adotarão nenhuma medida judicial contra a empresa-cliente.
A recusa do Entrevistado em participar da entrevista, a negativa de resposta a determinada pergunta ou o desejo de encerramento da conversa, antes do seu fim, não resultarão em qualquer penalidade à FourEthics™ que receberá o valor integral pelos serviços prestados.
VIGILÂNCIA DE PESQUISADO
Supervisionamento in situ e durante período pré-determinado (diligências em campo) que visa identificar/ comprovar, dentre outras coisas, padrão de vida incompatível com a renda do colaborador, associação ou prática indevida, atividades contrárias às leis concorrenciais.
No intuito de garantir a efetividade do projeto e preservar a integridade dos executores, em toda ocasião e independentemente da severidade e/ou complexidade da situação a ser apurada, 2 (dois) profissionais são designados para a operação.
INFILTRAÇÃO DE AGENTE
Infiltração na empresa por agente de investigação (“undercover agent”) que assumirá cargo fictício a fim de interagir com os colaboradores e eventuais agentes externos, avaliar rotinas, padrões de comportamento e identificar má conduta individual ou de grupo (quadrilha). Objetiva a obtenção de elementos probatórios relacionados a fatos supostamente criminosos relacionados à empresa-cliente e, via de regra, realizados nas suas dependências.
Nota: O uso de nome fictício nas interações com os colaboradores ou terceiros que atuam em nome da empresa não configura, em nenhuma hipótese, em crime de falsidade ideológica, uma vez que se trata de encenação.
CLIENTE OCULTO
Metodologia de avaliação dos representantes da empresa-cliente – colaboradores ou terceiros que atuam em nome/ por ordem da empresa (ex. Correspondentes)-, que se dá pela simulação de interesse na aquisição de produtos e/ou serviços, sendo realizada de forma anônima. Pode ser realizada in situ (visitas ao estabelecimento da empresa-cliente ou do terceiro que atua em seu favor), via atendimento telefônico, online, canais de venda e quaisquer outros meios de interação entre a empresa e consumidor.
Objetivo: verificar a observância dos processos e procedimentos da empresa e leis pertinentes, a técnica, o comportamento/postura do(s) Pesquisado(s).
Nota: O uso de nome fictício nas interações com os colaboradores ou terceiros que atuam em nome da empresa não configura, em nenhuma hipótese, em crime de falsidade ideológica, uma vez que se trata de encenação.
REENGENHARIA DO SISTEMA DE VIGILÂNCIA
Análise preliminar de todos os reportes registrados no Canal de Denúncias, comunicados ao Compliance Officer ou líderes de área; interação com denunciantes para esclarecimento de aspecto obscuro ou contraditório, solicitação de informações complementares; sugestão de estratégia para apuração do fato/proposta de Plano de Trabalho de Investigação e orientação de equipe interna*, quando a atividade investigativa não for realizada pela própria FourEthicsTM; retorno ao denunciante.
* A orientação da investigação por equipe interna da empresa-cliente está restrita a questões de menor complexidade, cuja severidade, impactos ou partes envolvidas não exijam a condução da atividade por agente externo. A FourEthics™ não realiza transferência de know-how, pelo que determinadas técnicas, metodologias investigativas, sistemas e ferramentas de investigação utilizados pela empresa são protegidos por nossas políticas.
ESTRATÉGIA INVESTIGATIVA
Estudo da potencial não conformidade – informações registradas no Canal de Denúncias da empresa, levadas ao conhecimento da área de Recursos Humanos, Compliance ou a líder de equipe, identificadas em processo de auditoria ou testes de conformidade – e proposta de metodologia de investigação, contendo, no mínimo:
– Extensão: atividade interna versus atividade externa; ações restritas a colaborador da empresa versus envolvimento de terceiro; pessoas que serão objeto de investigação e/ou que poderão contribuir com a apuração do fato (investigados, testemunhas e terceiros relacionados);
– Mecanismos: métodos de identificação e coleta de evidências (inclui estimativa dos resultados esperados);
– Fases: etapas do processo de investigação (objetiva, inclusive, a gestão de orçamento, controle de SLA);
– Riscos legais primaciais.*
* O apontamento de riscos legais é atividade meio e não fim, voltada à orientação dos especialistas da FourEthics™, pelo que não se sobrepõem ou dispensa orientação técnica da área jurídica da empresa ou de terceiro por esta contratado.
ANÁLISE DE EVIDÊNCIAS E EMISSÃO DE RELATÓRIO INVESTIGATIVO
Estudo das evidências identificadas e reunidas pela empresa-cliente e emissão de Relatório Final ou Parecer contento entendimento do fato e das provas apresentadas, recomendação de medida disciplinar adequada à severidade do fato e medidas necessárias à revisão de processos e procedimentos, de modo a evitar reincidência da má conduta.
Nota: A necessidade de contratação de software de processamento de dados, quando licença da empresa-cliente não é cedida à FourEthics™, é cotada à parte.
A FourEthics™ não se responsabiliza pela integralidade e qualidade das evidências coletadas pela empresa-cliente, tampouco pela licitude dos protocolos investigativos aplicados.
CURADORIA DE CONTEÚDO DE MÍDIA
Seleção e avaliação de conteúdo resultante de monitoramento de informações divulgadas nos veículos de comunicação nacionais, mídia online, impressa, canais de vídeo, rádio e TV.
O monitoramento é feito pela combinação de palavras-chave previamente acordadas com o Cliente e pode ser referente a:
– Dados passados: informações online relativas a um determinado intervalo de datas;
– Dados dinâmicos: informações que estão circulando nas mídias e redes sociais, e que podem ser extraídas diariamente ou, em fase de gestão de crise, serem obtidas quase que em tempo real, em intervalos de minuto.
Aplicabilidade:
– Gestão de Crise: fiscalização das veiculações relacionadas à empresa-cliente, a fim de permitir tempestiva resposta, a aplicação de estratégia de contenção dos efeitos negativos relacionados;
– Monitoramento de mídia negativa de parceiros de negócios e comerciais: permite a identificação de aspectos que podem resultar na descontinuidade da parceria, em mancha à reputação da empresa-cliente.
AUDITORIA FORENSE
Processo de auditoria especial, voltado à detecção de irregularidades e/ou fraudes, que engloba aspectos jurídicos, financeiros, processuais, informativos e tecnológicos.
Realizado por equipe multidisciplinar de profissionais que terão atuação específica diante da potencial não conformidade, contribuindo para a prevenção e a redução de riscos na empresa-cliente, ou tratamento/correção de situações que podem resultar em prejuízos de ordem operacional, financeira ou reputacional.
Inclui:
– Mapeamento e avaliação de processos e técnicas de avaliação e classificação de risco, tanto dos processos manuais quanto dos sistemas de informações corporativos;
– Análise das contas e respectivas conciliações, e relatórios emitidos (relativo à acuracidade dos registros financeiros).
Nota: Os trabalhos de auditoria forense são otimizados quando antecedidos pela Duplicação Forense de HD Corporativo e Análise e Vigia de Estação de Trabalho que permitem o direcionamento dos trabalhos.
IDENTIFICAÇÃO E PREVENÇÃO DE CRIMES CIBERNÉTICOS
Identificação de ataques (i) puros ou próprios abrangendo sistemas informatizados, banco de dados, arquivos ou terminais (computadores, smartphones ou tablets) que são atacados por agentes mal-intencionados, após identificação de vulnerabilidade; (ii) impuros ou impróprios, abrangendo ataques onde o dispositivo tecnológico é utilizado como meio para a prática do delito, propiciando a sua execução ou o seu resultado.
Protocolos:
– Pentest Black Box Externo Compliance;
– Pentest Black Box Externo Advanced;
– Red Team;
– Pentest Black Box & Gray Box em Aplicação Web;
– Pentest Black Box & Gray Box em Mobile App.
Assistência Jurídica
Assistência jurídica continua aos especialistas e parceiros FourEthicsTM, realizada por profissionais seniores experts em terceiro setor, direito público, leis de proteção de dados, dentre outras matérias.
Objetiva orientar a interpretação e aplicação das leis pertinentes, verificar a adequabilidade das recomendações apresentadas, bem como assessorar as equipes, quando e se aplicável, na análise de contratos (ref. à análise dos contratos da empresa com a Administração Pública e integrantes da iniciativa privada, quanto, dentre outras coisas, a observância das leis de proteção de dados).
Serviço prestado por profissionais habilitados na Ordem dos Advogados do Brasil ou entidade correspondente em país integrante da União Europeia.
Nota: A assistência jurídica não se sobrepõe, tampouco visa substituir o trabalho dos escritórios especializados que prestam serviços à empresa, configurando em atividade meio deste projeto e não atividade fim.
INTERIM MANAGEMENT & TRANSITION MANAGEMENT
COMPLIANCE COVERAGE
Cobertura de Compliance Officers – Interim Management & Transition Management – no caso de interrupções temporárias, planejadas ou não. Inclui, quando necessário: (i) substituição temporária de Compliance Officers; (ii) reforço de time de Compliance para execução de projetos; (iii) participação em Comitês de Gestão de Riscos e Compliance, e Comitês de Produtos/Serviços e Iniciativas de Negócios; (v) estruturação da área/ departamento de compliance; e (vi) assessoramento na contratação e formação de um Oficial de Compliance.
MEMBRO ESPECIALISTA E INDEPENDENTE EM COMITÊS DE COMPLIANCE/ ÉTICA
Participação, como conselheiro independente (Advisor/ Independent Member of Committee), nas reuniões mensais e extraordinárias do Comitê de Ética/ Compliance, Risco, Novos Produtos e Auditoria.
A responsabilidade na atuação de conselheiro respeitará os princípios contidos no documento Comitê de Ética do Cliente – Estrutura e Funcionamento, quando existente, desde que confirmada razoabilidade na descrição e atribuições do cargo, e não haja conflito entre esta atividade e outras exercidas pelo profissional independente.
BACKGROUND CHECK
BACKGROUND CHECK PESSOA FÍSICA - NÍVEL 1
Também denominada Pesquisa Básica, configura na identificação, compilação e análise de informações de Pessoa Física, tais como: informações gerais (dados pessoais, de residência e contatos); criminais (ocorrências pregressas e atuais, se disponíveis); restrições consignadas em listas restritivas (Ex. CEIS, OFAC); identificação se se trata de Pessoa Politicamente Exposta (PEP).
Nota: Toda pesquisa é feita pela integração de inteligência artificial e humana, e, em toda ocasião, sempre nos limites permitidos por lei.
BACKGROUND CHECK PESSOA FÍSICA - NÍVEL 2
Pesquisa (Nível 2, também denominado intermediário) e compilação de informações de Pessoa Física (Background Check). Inclui: informações gerais (dados pessoais, de residência e contatos); criminais (ocorrências pregressas e atuais, se disponíveis); registros nos tribunais e órgãos do Estado de residência do(a) Pesquisado(a); restrições consignadas em listas restritivas (Ex. CEIS, OFAC); participação em empresas; rede de relacionamentos (familiares e vizinhos); restrição financeira; identificação se se trata de Pessoa Politicamente Exposta (PEP); pesquisa primacial com base na mídia eletrônica.
Inclui a pesquisa de precedentes de até 2 (dois) familiares, quando identificados.
Nota: Toda pesquisa é feita pela integração de inteligência artificial e humana, e, em toda ocasião, sempre nos limites permitidos por lei.
BACKGROUND CHECK PESSOA FÍSICA - NÍVEL 3
Pesquisa (Nível 3, também denominado avançada) e compilação de informações de Pessoa Física (Background Check). Inclui: informações gerais (dados pessoais, de residência e contatos); criminais (ocorrências pregressas e atuais, se disponíveis); registros nos tribunais e órgãos do Estado de residência do(a) Pesquisado(a); restrições consignadas em listas restritivas (Ex. CEIS, OFAC); participação em empresas; rede de relacionamentos (familiares e vizinhos); restrição financeira; identificação se se trata de Pessoa Politicamente Exposta (PEP); pesquisa primacial com base na mídia eletrônica; levantamento patrimonial disponível em registros públicos (bens móveis e imóveis), e trabalho de campo para mapeamento de bens e estudo de estilo de vida. Inclui a pesquisa de precedentes de até 2 (dois) familiares, quando identificados.
Nota: Toda pesquisa é feita pela integração de inteligência artificial e humana, e, em toda ocasião, sempre nos limites permitidos por lei.
BACKGROUND CHECK PESSOA JURÍDICA - NÍVEL 1
Pesquisa (Nível 1, também denominada básica) e compilação de informações domínio público de Pessoa Jurídica (Background Check), tais como: identificação de estrutura societária e suas eventuais alterações; identificação de filiais e unidades operacionais; situação Fiscal (Federal, Estadual ou Municipal) e financeira; processos judiciais nas comarcas de registro; análise de listas restritivas locais; pesquisa reputacional com base em mídia eletrônica.
Nota: Toda pesquisa é feita pela integração de inteligência artificial e humana, e, em toda ocasião, sempre nos limites permitidos por lei.
BACKGROUND CHECK PESSOA JURÍDICA - NÍVEL 2
Pesquisa (Nível 2, também denominada intermediária) e compilação de informações de domínio público de Pessoa Jurídica (Background Check), tais como: identificação de estrutura societária e suas eventuais alterações, identificação de filiais e unidades operacionais, situação Fiscal (Federal, Estadual ou Municipal) e financeira; processos judiciais nas comarcas de registro; pesquisa reputacional com base em mídia eletrônica; análise de listas restritivas locais e internacionais (ex. CNEP, OFAC, EU); exame do histórico reputacional de 2 sócios Pessoas Físicas, incluindo, mas não se limitando à confirmação se se configuram em Pessoas Politicamente Expostas (PEP) e registros criminais (atuais e pregressos, quando existentes).
Nota: Toda pesquisa é feita pela integração de inteligência artificial e humana, e, em toda ocasião, sempre nos limites permitidos por lei.
BACKGROUND CHECK PESSOA JURÍDICA - NÍVEL 3
Pesquisa (Nível 3, também denominada avançada) e compilação de informações de domínio público de Pessoa Jurídica (Background Check), tais como: identificação de estrutura societária e suas eventuais alterações, identificação de filiais e unidades operacionais, situação Fiscal (Federal, Estadual ou Municipal) e financeira; processos judiciais nas comarcas de registro; pesquisa reputacional com base em mídia eletrônica; análise de listas restritivas locais e internacionais (ex. CNEP, OFAC, EU); levantamento patrimonial disponível em registros públicos e/ou identificados em diligências de campo (contemplando bens móveis, imóveis e participação em empresas); exame do histórico reputacional de 2 sócios Pessoas Físicas, incluindo, mas não se limitando à confirmação se se configuram em Pessoas Politicamente Expostas (PEP) e registros criminais (atuais e pregressos, quando existentes).
Nota: Toda pesquisa é feita pela integração de inteligência artificial e humana, e, em toda ocasião, sempre nos limites permitidos por lei.
Avaliação de Governança Corporativa e Plano de Melhoria
Avaliação detalhada das estruturas e práticas de governança corporativa da organização, incluindo entrevistas in loco. Serão avaliados:
- Adequabilidade do Estatuto Social e documentos relacionados
- Compromisso com a boa governança corporativa e aderência de práticas
- Estrutura e funcionamento do Conselho de Administração
- Ambiente de controle interno e gestão de riscos
- Transparência e divulgação das informações (inclui avaliação dos planos de gestão de reputação, crises e comunicação institucional)
- Negócios entre partes relacionadas e tratamento de conflitos
- Tratamento oferecido aos acionistas
Entregáveis: Diagnóstico dos gaps em relançar as melhores práticas e Plano de Melhoria, que inclui, mas não está limitada à apresentação de pontos fracos, inconsistências e/ou vulnerabilidades relacionadas à governança corporativa e os respectivos métodos para sua priorização; Workshop “A função do Conselho e os deveres dos Conselheiros”.
Ações Corretivas e de Melhoria do Ambiente de Governança Corporativa
Implementação das ações de melhoria recomendadas e aprovadas pela Companhia. Inclui, mas não está limitado a:
01- Redação (ou revisão) dos Estatutos e regulamentos do Conselho e eficiência dos Comitês, Gestão de Conflitos;
02- Revisão e proposta de escopo de atividades e responsabilidades, revisão de regimentos e definição de pauta anual de temas e decisões (inclui Painel de Indicadores);
03- Revisão do Plano de Remuneração e condições acessórias (D&O) para os administradores;
04- Implementação do Programa de Engajamento de Conselheiros Independentes (identificação, convite e integração);
05- Implementação do Processo de Avaliação de Desempenho dos Administradores e dos membros de Comitês (premissas, critérios e atividades);
06- Implantação do Portal de Governança (solução tecnológica para compartilhar
documentos, interação, tomada de decisão e registro).
Nota: A FourEthics poderá recomendar a união de um ou mais documentos, a substituição ou criação de outros, como resultado da etapa de avaliação. Inclui até 2 (duas) revisões do conteúdo proposto. Revisões extras serão cobradas por hora.
Gestão de Risco, Plano de Continuidade de Negócios e Resiliência Organizacional
Análise e integração das avaliações de risco realizadas pelas equipes de Compliance Geral (Anticorrupção, AML-T, Antitruste), Compliance Digital e Governança Corporativa, moldando-as e complementando-as à luz das Normas ISO ABNT NBR 22301:2012 e ISO ABNT NBR 31000:2018, e criação do Plano de Gestão de Riscos Integrado – estratégias de mitigação e contingência, análise da eficácia das estratégias implementadas, métricas de performance.
Criação de Plano de Continuidade e Resiliência Organizacional com base no modelo Plan-Do-Check-Act da Norma ISO 22301 e à luz de duas atividades essenciais: Análise de Impacto no Negócio e Avaliação de Risco. Objetiva definir soluções que permitam recuperar funções críticas nos tempos definidos na Análise do Impacto no Negócio e definir controles preventivos para reduzir a exposição da empresa-cliente ao risco identificado na Avaliação do Risco.
Auditoria de Conformidade ISO
Auditoria Interna em conformidade com os requisitos das normas ISO 19600:2014 & ISO NBR 37001:2016.
Processos passíveis de auditoria:
- Compras/ Viagens e gastos correlatos
- Comercial/Vendas
- Compliance
- Contas a Pagar (contas e obrigações financeiras, comissões/bonificações)
- Contratos e Faturamento (gestão de contratos, cobrança de inadimplentes)
- Controladoria
- Jurídico
- Comunicação/Marketing (inclui as iniciativas de patrocínio)
- Recursos Humanos/ Treinamentos
- Alta Direção
Metodologia
- Análise preliminar da documentação do Sistema de Gestão (Manual ou equivalente);
- Preparação do Plano da Auditoria;
- Reunião de Abertura (Kick-off Meeting);
- Avaliação de adequação da documentação;
- Auditoria de conformidade em campo;
- Reunião de encerramento, com apresentação dos resultados;
- Elaboração de Relatório Final – relato descritivo das não-conformidades encontradas e conclusões da auditoria (em meio eletrônico), de acordo com padrão FourEthics™ ou modelo estabelecido pelo Cliente.
Avaliação de Aderência ao Pró-Ética
Levantamento dos processos e procedimentos de compliance e de prevenção às más práticas que evidenciem a existência de um Programa de Compliance efetivo, aderente às leis pertinentes e às boas práticas de mercado; conhecimento de sistemas e mecanismos adotados pela empresa, práticas costumeiras e sua cultura (valores e comportamentos compartilhados por colaboradores e, eventualmente, por terceiros que atuam em favor da empresa); condução de entrevistas especializadas; validação preliminar das leis e normativos a que a empresa deve respeito; realização de benchmarking e identificação das melhores práticas aplicadas pelo mercado do qual o Cliente faz parte, com foco especial em empresas do mesmo segmento que receberam o Selo e/ou que são signatárias do Pacto Empresarial pela Integridade e Contra a Corrupção. Referência: Questionário Pró-Ética – iniciativa da CGU e Instituto Ethos; Pacto Empresarial pela Integridade e Contra a Corrupção – Instituto Ethos.
Etapas:
- Levantamento dos processos e procedimentos de Compliance e conexos ao Programa de Compliance;
- Estudo dos documentos e informações colocados à disposição pela empresa e/ou identificados pela FourEthics™ em atividade in loco;
- Entrevista de pessoas-chave;
- Condução de background check independente, de modo a levantar informações complementares solicitadas no Questionário Pró-Ética e/ou pelo Pacto Empresarial pela Integridade e Contra a Corrupção;
- Indicação da aderência da empresa ao Programa de interesse adotando o critério: atende, atende parcialmente, não atende;
- Apresentação de recomendação para correção de processos/procedimentos e/ou para melhoria das práticas vigentes;
- Organização das informações/evidências aderentes ao Programa em diretório colocado à disposição pela empresa, apontando aquelas que deverão ser atualizadas na época de cadastro ao Programa (Ex.: Certidões Negativas).
Os trabalhos in company não serão necessariamente realizados em dias consecutivos, podendo as visitas serem organizadas conforme definição das fases de trabalho definidas em reunião de kickoff. Nota: No desempenho deste trabalho, a FourEthics™ poderá aplicar Questionário de Assessment que poderá ser preenchido pelo Cliente isoladamente ou em conjunto com especialista da FourEthics™.
Os critérios do Programa Empresa Pró-Ética poderão sofrer ajuste no interim entre este trabalho, ações para melhoria e/ou correção do Programa de Compliance da Empresa, e abertura do prazo para cadastro, pelo que a FourEthics™ não garante, nem tenciona garantir que suas orientações e documentos eventualmente reunidos estarão aderentes aos novos critérios, devendo a empresa-cliente realizar novo teste de aderência ao Programa, simular o preenchimento do Questionário na véspera da abertura do período de cadastro e o que mais for necessário à conquista do Selo Pró-Ética.
Assistência Jurídica
Assistência jurídica continua aos especialistas e parceiros FourEthicsTM, realizada por profissionais seniores experts em terceiro setor, direito público, leis de proteção de dados, dentre outras matérias.
Objetiva orientar a interpretação e aplicação das leis pertinentes, verificar a adequabilidade das recomendações apresentadas, bem como assessorar as equipes, quando e se aplicável, na análise de contratos (ref. à análise dos contratos da empresa com a Administração Pública e integrantes da iniciativa privada, quanto, dentre outras coisas, a observância das leis de proteção de dados).
Serviço prestado por profissionais habilitados na Ordem dos Advogados do Brasil ou entidade correspondente em país integrante da União Europeia.
Nota: A assistência jurídica não se sobrepõe, tampouco visa substituir o trabalho dos escritórios especializados que prestam serviços à empresa, configurando em atividade meio deste projeto e não atividade fim.
- Anticorrupção, AML-T, Concorrencial
- Compliance Digital
- Project Management Office
- Processos
- Mais Serviços
- Governança Corporativa
- Gestão de Risco
- Normas e Selos
- Assistência Jurídica
CATÁLOGO REGULATÓRIO
Mapeamento das principais leis e normativos legais brasileiros, e das leis de aplicação extraterritorial a que a empresa deve respeito. O inventário legal será entregue em formato de Quadro Cronológico e poderá incluir as normas internas da empresa e guias de boas práticas de conhecimento público (ex. Questionário Pró Ética; ISO ABNT 19600:2014, ISO ABNT 37001:2016, DOJ – Evaluation of Corporate Compliance Programs, Guia de Boas Práticas de Compliance Febraban, Guia de Implantação de Programa de Integridade nas Empresas Estatais da CGU).
COMPLIANCE RISK ASSESSMENT
Identificação dos riscos aos quais a empresa está exposta vis-à-vis os principais normativos aplicáveis (Catálogo Regulatório). Realizado pela análise de documentos, entrevista de pessoas chave e pesquisa de mercado (notícias públicas), esta última que visa conhecer as práticas do segmento do qual a empresa faz parte. Os riscos identificados são apresentados em Matriz de Risco, mensurados de acordo com sua probabilidade VS. severidade, com indicativo do risco residual, e recomendação(es) de ação(es) para sua gestão e mitigação.
PLANEJAMENTO DE COMPLIANCE
Design, com base na ferramenta de gestão 5W2H, da estrutura do Programa de Compliance compatível com a natureza, porte, complexidade, desenho da estrutura organizacional, nível de risco e o modelo de negócio da empresa, em observância à sua estratégia de negócio e leis a que deve respeito.
O planejamento de escopo é construído pela análise das obrigações legais da empresa e riscos aos quais está exposta, sendo apresentado em Gráfico de Gantt (ou sistema ou outra metodologia definida pelas Partes), acompanhado da descrição pormenorizada de cada uma das tarefas/ações, consequências impactos esperados.
REVISÃO DO CÓDIGO DE CONDUTA E POLÍTICAS COMPLEMENTARES
Criação (ou revisão) do CoC – Código de Conduta (ou CoE – Código de Ética ou COEC – Código de Ética e Conduta) e Políticas complementares, em respeito à cultura/maturidade da empresa e políticas vigentes.
O Código, após aprovação do conteúdo, será entregue em layout gráfico para impressão pelo cliente (ref. a diagramação por designer gráfico, observando a identidade visual e pantone de cores da empresa-cliente).
REVISÃO DO CÓDIGO DE CONDUTA E POLÍTICAS COMPLEMENTARES
Criação (ou revisão) do CoC – Código de Conduta (ou CoE – Código de Ética ou COEC – Código de Ética e Conduta) e Políticas complementares, em respeito à cultura/maturidade da empresa e políticas vigentes.
O Código, após aprovação do conteúdo, será entregue em layout gráfico para impressão pelo cliente (ref. a diagramação por designer gráfico, observando a identidade visual e pantone de cores da empresa-cliente).
CRIAÇÃO DE PROCEDIMENTOS OPERACIONAIS PADRÃO (POP)
Criação ou revisão dos procedimentos que operacionalizam as políticas da empresa (Desk Manuals). São apresentados em fluxogramas e/ou texto corrido.
Os procedimentos poderão ser construídos ou disponibilizados em sistema online que permita a devida integração dos fluxos e conexão com softwares/sistemas utilizados pela empresa, de modo a envolver as pessoas/áreas pertinentes, permitir a programação de alertas de não observância do atendimento de determinado fluxo e/ou sua consequência, e garantir a centralização das informações.
Restrito às políticas criadas ou revisadas pela FourEthicsTM, que poderá recomendar a integração de procedimentos ou sua divisão para garantia do respeito às rotinas e cultura da empresa, ou em reflexo às boas práticas de mercado.
Nota: Inclui até 2 (duas) revisões do conteúdo proposto, cujas sugestões devem ser apresentadas em até 1 (uma) semana da apresentação dos textos originais ou editados em atendimento à 1ª revisão.
AVALIAÇÃO DAS ATRIBUIÇÕES DE COMPLIANCE
Apreciação da descrição do cargo, responsabilidades e linha de reporte do Compliance Officer e sugestão de melhorias, se aplicável, para atendimento das diretrizes legais e boas práticas de mercado, e garantia da autonomia e independência necessárias à função.
COI – CONFLIT OF INTEREST ASSESSMENT
Desenvolvimento, aplicação e análise de Questionário de Conflito de Interesses, que busca identificar situações de potencial risco de sobreposição de interesses pessoais, ou de terceiros, aos interesses da empresa. O Questionário é desenvolvido à luz das políticas internas, leis aplicáveis e orientações/interesses do Cliente, e inclui, mas não se limita, ao reconhecimento de Pessoas Politicamente Expostas (PEP).
Contemplará, se necessário, conceitos e definições que permitirão o esclarecimento das perguntas*. Inclui a apreciação das respostas individualizadas e em grupo, e orientações de tratamento e/ou gestão do conflito eventualmente identificado.
Nota: A FourEthics™ poderá recomendar a realização de Campanha de COI a fim de garantir, pela exemplificação de situações relativas ao negócio, a integral compreensão do significado do termo “conflito de interesse”.
COMUNICAÇÃO EM COMPLIANCE
Técnicas de comunicação corporativa integradas às ações de Governança Corporativa e Compliance, que objetivam a otimização e eficiência dos trabalhos das áreas, sua adequação ante o ambiente em que a empresa se insere e conhecimento das especificidades dos diversos públicos com os quais se relaciona, além da compreensão da cultura interna e dos mercados onde a empresa realiza negócios.
Configura-se pela concepção de estratégias que visam o desenvolvimento ou gerenciamento da reputação corporativa e do corpo diretivo, pela criação de campanhas de divulgação do Programa de Compliance ou iniciativas da área, promoção da existência e confiabilidade do Canal de Denúncias, relacionamento com stakeholders, relações com o governo e gerenciamento de crise.
CRIAÇÃO DO REGIMENTO INTERNO DO COMITÊ DE INTEGRIDADE
Concepção da estrutura e das normas de funcionamento do órgão, em sinergia com outros Comitês eventualmente existentes e operantes; criação dos fluxos de atividades, das regras para nomeação dos membros e sua rotatividade; sugestão da responsabilidade dos integrantes em referência à senioridade e respectivo job descriptions.
ELABORAÇÃO DE MECANISMOS DE CONTROLES INTERNOS
Assessoria aos gestores (funções de coordenação, proprietários do risco), na busca pelos controles adequados em seus processos, relativo à 1ª linha de defesa, que inclui controles de gerência e medidas de controle interno. Contempla a avaliação dos resultados do plano de ação estabelecidos para cada um dos riscos identificados nos processos.
TREINAMENTO PRESENCIAL
Aula expositiva acerca das boas práticas de Compliance. Inclui noções gerais das leis contempladas no Programa, diretrizes do Código de Ética e Conduta e suas políticas complementares; criação de apresentação em PowerPoint; registro da iniciativa (Lista de Presença e imagens); e emissão de Certificado de Participação.
A locação de auditório, contratação de coffee break e outras despesas necessárias à operacionalização do treinamento correrão por conta da empresa.
Empresas que já tiveram seus colaboradores treinados pela FourEthics
TREINAMENTO ONLINE
Conversão do conteúdo do Código de Conduta, ou outra política de interesse, em vídeo aula ou em treinamento online usando quaisquer das técnicas arte em movimento, telestration, arte em movimento, vídeo com fotos ou vídeo com vídeos, e criação de “pílulas de Compliance” (1 a 2 minutos) para garantia da educação continuada.
Inclui, dentre outras coisas e quando necessário, narração de locutor profissional, no idioma português*, design gráfico (identidade visual, GCs, letterings).
Nota: A técnica escolhida como a mais indicada para a disseminação do conteúdo determinará a duração do vídeo.
*Áudio em outro idioma idioma e/ou legenda cotados à parte.
ENTREVISTA DE RESILIÊNCIA ÉTICA
Entrevista exploratória destinada à identificação do perfil do entrevistado (ex. nível de consciência ética), candidato a cargo na empresa ou integrante do Quadro de Funcionários.
Toda entrevista é feita respeitando a dignidade do entrevistado, preservando, dentro de limites razoáveis, a sua identidade e vontade (relativo ao direito de silêncio, interrupção da conversa e/ou qualquer tipo de ação não colaborativa). Também, adotando as medidas de salvaguarda necessárias à preservação da empresa, resguardando-a de eventual ação trabalhista e/ou de danos morais.
Objetivos:
Orientar o processo de contratação ou promoção de colaboradores da empresa-cliente, pela avaliação do seu histórico reputacional, perfil comportamental e quociente de inteligência vis-à-vis às impressões extraídas de entrevista técnica, no intuito de identificar a resiliência ética do entrevistado;
Compor o processo de contratação da empresa-cliente, subsidiando a tomada de decisão de informações que sugerem o nível moral do entrevistado, sua predisposição a seguir regras, prevenindo situações de fraude, corrução e/ou comportamentos discriminatórios ou abusivos.
CONSULTIVO EM COMPLIANCE
Assessoria técnica em Compliance e controles internos, realizada por profissionais com experiência e vivência em empresas de grande porte, multinacionais e em momentos de crise (Ex. Unfair Play, Lava Jato, COB, dentre outros). Inclui a orientação das atividades do dia a dia, emissão de opinião técnica e realização de reuniões para assistência nas diligências rotineiras e, via de regra, não integrantes do escopo de estruturação do Programa de Compliance.
MENTORING & COMPLIANCE COUNSELING
Desenvolvimento do corpo diretivo e outros profissionais líderes para que atuem como Compliance Champions, promotores do Programa de Compliance, guardiões das políticas da empresa (relativo, mas não limitado, ao Tone of the Top). Inclui orientação individualizada de pessoas-chave: área de comunicação (mídia, relações com o investidor), investigação, recursos humanos.
MENTORING & COMPLIANCE COUNSELING
Análise (i) dos fluxos, (ii) acessos e regras de exceção, (iii) efetividade do plano de comunicação (relativo ao incentivo de uso da ferramenta, confiabilidade e seu correto uso), (iv) eventual backlog de registros, (v) perfil dos registros (apócrifo X identificado, preocupações relativas a questões externas/terceiros X internas/colaboradores, área/departamento com maior quantidade de relatos, etc.), (vi) adequabilidade do questionário online, (vii) qualidade do atendimento via telefone, dentre outras coisas.
Inclui a emissão de parecer com recomendações de melhoria.
Nota: A FourEthics™ também realiza a diligência preliminar dos relatos registrados no Canal operacionalizado por terceiro, que configura na análise primária do conteúdo, interação com denunciante para coleta de informações complementares ou esclarecimentos de questões obscuras, e apresentação de estratégia de investigação. Não inclui
MONITORAMENTO
Desenvolvimento do corpo diretivo e outros profissionais líderes para que atuem como Compliance Champions, promotores do Programa de Compliance, guardiões das políticas da empresa (relativo, mas não limitado, à Tone of the Top). Inclui orientação individualizada de pessoas-chave.
MAPA DE MATURIDADE DO PROGRAMA DE COMPLIANCE
Avaliação da estrutura do Programa de Compliance da empresa, normas internacionais e boas práticas de mercado; sua adequabilidade diante da natureza da atividade da empresa, porte, complexidade, desenho da estrutura organizacional, nível de risco, estratégias e leis a que deve respeito. Configura-se no levantamento dos processos e procedimentos de Compliance e de prevenção às más práticas que podem gerar prejuízo de ordem operacional, financeira e/ou reputacional; conhecimento de sistemas e mecanismos adotados pela empresa, práticas costumeiras e sua cultura (valores e comportamentos compartilhados por colaboradores e, eventualmente, por terceiros que atuam em favor da empresa); condução de entrevistas especializadas; validação das leis e normativos a que a empresa deve respeito; realização de benchmarking e identificação das melhores práticas aplicadas ao mercado do qual a empresa faz parte. Referenciado pelas diretrizes da ISO ABNT 37001:2016, ISO ABNT 19600:2014, Questionário Pró-Ética ou outra norma/diretriz de interesse.
DIAGNÓSTICO DE TI E SEGURANÇA DA INFORMAÇÃO
Avaliação da adequabilidade e eficiência dos sistemas de tecnologia e de proteção à informação da empresa-cliente, incluindo mas não se limitando às informações pessoais (relativo à LGPD, GDPR). Inclui a análise (i) dos riscos operacionais de tecnologia e segurança da informação, relacionados aos processos e projetos que possam impactar a integridade, disponibilidade e confidencialidade da empresa, normas internacionais e boas práticas de mercado; (ii) da estrutura de hardware, restrita aos equipamentos destinados a operacionalizar os sistemas implantados; (iii) da infraestrutura de TI, (…)
composta da estrutura física e lógica da rede local (LAN) e rede externa (WAN), a estrutura de cabeamento e fibra ótica, o datacenter e todo o processo de controle de acesso ao ambiente de dados e controles dos ativos de TI da organização; (iv) da estrutura de sistemas (softwares) utilizados (cardápio de sistemas); (v) da efetividade dos controles internos. Também, a apreciação da compatibilidade do sistema de infraestrutura de TI às particularidades da empresa (tamanho, natureza da atividade, etc.); inter-relação entre sistemas proprietários e de terceiros e respectiva segurança da propriedade intelectual, da informação própria e de terceiros (incluindo os dados pessoais protegidos pela legislação nacional e europeia); pertinência do plano de continuidade do negócio, quando existente; e coesão e atualidade das políticas vigentes.
Contempla, também, a avaliação do perfil da equipe e de competência dos profissionais envolvidos nas atividades de gestão administrativa tecnológica e da segurança da informação; e diagnóstico do sistema de gestão documental (físico e digital).
Referências: ISO/IEC 27000:2018 (Sistema de Gerenciamento de Segurança da Informação); ABNT NBR ISO/IEC 38500:2018 (Tecnologia da informação – Governança da TI); ISO/IEC 20000 (Gestão de Serviços de TI); ABNT NBR ISO 22301:2013 (Sistema de Gestão de Continuidade de Negócios); ITIL – Information Technology Infrastructure Library (conjunto de melhores práticas sugeridas para garantir a qualidade nos processos de TI).
Modus Operandi: Entrevistas, testes remotos e in situ, Self Assessment
Entregáveis:
- MGTI – Mapeamento e Gestão da Tecnologia da Informação (inclui mapeamento de processos);
- Impacto do TI no Negócio/Diagnóstico por meio de BIA (Business Impact Analysis) e Cybersecurity;
- Redefinição de Perfis de Acesso;
- Nível de Maturidade Tecnológica (inclui Gap Analysis à luz das normas de referência);
- Nível de Aderência às Leis de Proteção de Dados;
- Listagem de problemas de TI/Mapa de Riscos: segurança, customização, barreiras, limitações, deficiências, falhas;
- Laudo de Adequabilidade de Gestão Documental Física e Tecnológica;
- Plano de Melhorias (PDCA – Plan, Do, Check & Act).
Nota: A avaliação dos sistemas proprietários inclui exame da sua qualidade e apuração de eventuais inconsistências em decorrência de imperícia, negligência (falha na composição do código e “fechamento de portas de acesso”) ou má fé, que podem resultar em exposição dos mesmos à agentes maliciosos internos ou externos (hackers ou crackes), colocar em risco as atividades da empresa, caso tenham o funcionamento interrompidos ou sejam retirados do ar, ou gerar dano à terceiro.
A análise tecnológica dos sistemas proprietários é integrada com o Diagnóstico de Proteção de Patentes, serviço constante do projeto e realizado pelo escritório parceiro Remer, Villaça e Nogueira Advogados (“RVN”). Os trabalhos do RVN poderão ser estendidos aos sistemas desenvolvidos em parceria (co-design) ou criados para a empresa, quando acordado a transferência da criação. A análise dos sistemas de terceiros inclui a apreciação dos termos dos contratos firmados e medidas adotadas pelas empresas terceiras para adequação às leis de proteção de dados; existência de provedor de serviços de mesmo padrão/nível técnico, caso observada a necessidade de substituição do terceiro (relativo ao Plano de Contingência e Continuidade dos Negócios).
PLANO DE TI E SEGURANÇA DA INFORMAÇÃO: MELHORIAS E GESTÃO CONTÍNUA
Plano de Melhorias: Proposta de iniciativas que visam a revisão das infraestruturas, práticas e rotinas, de modo a garantir aderência às normas e diretrizes de referência, reduzindo a exposição da empresa a eventos decorrentes de falha ou resultantes da inadequabilidade dos sistemas de segurança, dos controles internos.
Gestão Administrativa e Tecnológica: definição de metas, planejamento contínuo, controle permanente; tecnologias dinâmicas (gerenciamento a resposta da empresa à introdução de novas tecnologias), tecnologias estabilizadas (gerenciamento dos recursos da empresa para o uso mais eficiente), organização, barreiras.
Inclui:
- Criação (ou revisão) de Políticas de Acesso;
- Criação (ou revisão) Termo de Uso da Internet, Rede Corporativa, Computadores e Utilização de E-mails Corporativos;
- Política de Segurança da Informação (PSI) – inclui orientações para acesso remoto;
- Política de Controle de Acesso Lógico e Termo de Responsabilidade;
- Política de Proteção de Dados;
- Politica de Uso de Dispositivos Móveis Pessoais (BYOD- Bring Your Own Device), se aplicável/ recomendável;
- Politica de Resposta a Incidentes;
- Política de Descarte, Retenção de Informações e Backups;
- Orientação aos aplicadores/guardiões das políticas em comento (“Train the Trainers”), quando à operacionalização das diretrizes, fiscalização da sua aplicação e disseminação do conteúdo;
- Assistência na criação e implementação (ou revisão) das rotinas relativas à operacionalização das políticas listadas e outras vigentes na empresa-cliente (relativo aos controles internos controles).
DIAGNÓSTICO DE PROTEÇÃO DE PATENTES
Busca aprofundada, de âmbito global, cumulada com análise de inventividade, recomendações de proteção por patente/software e/ou direito autoral e/ou contrato, por invento/produto.
Objetiva identificar soluções passíveis de proteção por propriedade intelectual para apreensão de valor e/ou minimizar riscos de uso de tecnologia ou solução alheia, evitando indenizações. Especialmente relevante no âmbito de aplicativos e sistemas de integração de banco de dados.
Entregável: Laudo de Diagnóstico e Plano Diretivo de Proteção de Propriedade Intelectual
PLANO DE CONTINUIDADE DE TI E GESTÃO DE CRISE EM TI
Elaboração de Guia para o esforço de recuperação das funções que atendem ao conceito de Missão Crítica do Negócio da empresa-cliente, permitindo, na ocorrência de situação de emergência, que empregados e agentes externos designados respondam assertiva e tempestivamente à situação, pela interrupção da causa e/ou de seus efeitos, tratamento dos fatores que impactam ou poderiam impactar a capacidade da empresa de executar suas funções essenciais.
Nossa abordagem inclui, mas não está limitada a:
1. Avaliação dos riscos e estrutura de governança identificados em Diagnóstico de Compliance Digital e outros conexos;
2. Avaliação do Diagnóstico BIA (Business Impact Analysis) e Cybersecurity;
3. Criação e Implementação de Plano DRP¹ e BCP² em consonância da ABNT NBR ISO 22301:2013, incluindo Planos Operacionais;
4. Protocolo de comunicação definido englobando todos os públicos (interno, cliente, mídia, investidores/associados/federados, etc.);
4. Treinamento de planos para todos os associados;
5. Criação de Comitê de Gestão de Crise: regulamento interno, identificação do perfil adequado dos integrantes, treinamento;
6. Exercícios de aderência de planos;
7. Cronogramas de manutenção definidos.
¹ DRP – Disaster Recovery Plan (Plano de Recuperação de Desastres)
² BCP – Business Continuity Plan (Plano de Continuidade de Negócios)
Nota: É prudente que o Plano de Continuidade de Negócio e Gestão de Crise esteja suportado por empresa de comunicação especializada. Também, a automatização de Processos e utilização de Portal de Continuidade de Negócios.
TESTE DE PLANO DE CONTINUIDADE DE NEGÓCIOS
Os exercícios de aderência têm como objetivo verificar a capacidade de recuperação dos processos de negócio em escopo, a partir do Plano de Continuidade de Negócios, seus diversos Planos Operacionais, testando toda estratégia e processos elaborados e, em última análise, validando a eficácia de todo o BCP.
O Plano de Continuidade de Negócios só será considerado implementado com o sucesso dos exercícios de aderência.
MICROLEARNINGS FOURETHICS
Um jeito simples e prático de aprender assuntos relevantes da vida corporativa
CONTEÚDOS DISPONÍVEIS NO SYMPLA PLAY
Desenvolvido na técnica motion graphics, os treinamentos EAD FourEthics são ideais para compor o Plano de Capacitação e Treinamento das empresas e/ou integrar o procedimento de consequências e medidas disciplinares, como treinamentos de reciclagem.
AVALIAÇÃO DA EFETIVIDADE DO CANAL DE DENÚNCIAS
Análise dos (i) fluxos, (ii) acessos e regras de exceção, (iii) efetividade do plano de comunicação (relativo ao incentivo de uso da ferramenta, confiabilidade e seu correto uso), (iv) eventual backlog de registros, (v) perfil dos registros (apócrifo X identificado, preocupações relativas a questões externas/terceiros X internas/colaboradores, área/departamento com maior quantidade de relatos, etc.), (vi) adequabilidade do questionário online, (vii) qualidade do atendimento via telefone, dentre outras coisas.
Inclui a emissão de parecer com recomendações de melhoria.
Nota: A gestão dos relatos registrados no Canal operacionalizado por terceiro, configurado pela análise preliminar do conteúdo, interação com denunciante para coleta de informações complementares ou esclarecimentos de questões obscuras, e apresentação de estratégia de investigação, é cotada à parte, assim como o tratamento de backlog de denúncias (ref. a registros abertos, com apuração em andamento ou não iniciada). Não inclui a aplicação de ferramentas e técnicas de investigação, serviços estes contratados mediante demanda (on demand).
GERENCIAMENTO DE PROJETO
Gerenciamento dos projetos de Compliance Anticorrupção/AML-T e/ou Compliance Digital e/ou inteligência empresarial, eventuais interdependências, com base nas premissas do Guia Project Management Body of Knowledge – PMBOK:
– Gerenciamento de Integração: objetiva identificar, definir, combinar, unificar e coordenar os diversos processos e atividades do gerenciamento de projetos;
– Gerenciamento de Escopo: etapa dedicada à delimitação do trabalho contratado, inibindo modificações que não fazem parte do escopo pré-determinado;
– Gerenciamento do Tempo: permite o cumprimento dos prazos (SLA);
– Gerenciamento de Custos: viabiliza a aderência ao orçamento previamente acordado (inclusive de despesas, em respeito às políticas da empresa);
– Gerenciamento de Qualidade: possibilita que o projeto seja executado de acordo com as necessidades previamente apontadas, dentro de um controle interno de padrões e regras;
– Gerenciamento de Recursos Humanos: administração e supervisão dos processos que organizam e distribuem as funções de cada membro da equipe participante do projeto;
– Gerenciamento das Comunicações: coordenação de todas as informações pertinentes ao projeto, especificando quando e para quem estas devem ser liberadas;
– Gerenciamento de Risco: concentra todos os processos de identificação, análise, respostas, monitoramento e controle, além do planejamento dos riscos de um projeto;
– Gerenciamento de Aquisições: define todos os produtos ou serviços que devem ser adquiridos para o desenvolvimento do projeto.
Inclui constituição e participação em Comitê de Controle de Mudanças, acompanhamento do Planejamento Plurianual de Mapeamento de Processos.
MAPEAMENTO, CRIAÇÃO, IMPLEMENTAÇÃO E GESTÃO DE PROCESSOS E PROCEDIMENTOS
Mapeamento de processos, criação ou revisão de macro processos e assessoria às equipes de Compliance Anticorrupção e AML-T, Compliance Digital e/ou Governança Corporativa na criação dos respectivos processos e procedimentos que operacionalizam as políticas da empresa; proposta e execução do Planejamento Plurianual de Mapeamento de Processos.
São apresentados em fluxogramas e/ou texto corrido.
Referência: APQC – American Productivity & Quality Center – PCF – Process Classification Framework
INVESTIGAÇÃO DEFENSIVA
Assessoria a Advogados na coleta de elementos probatórios que possam auxiliar em defesas técnicas ou em acusações, e garantir os direitos/ interesses de seus clientes, conforme Provimento nº 188/2018 do Conselho Federal da Ordem dos Advogados do Brasil (OAB).
Análise de Viabilidade Técnica para Implantação ou Expansão de Negócios
Análise, sob a ótica da segurança de pessoal e das instalações, do local e de suas condições de segurança, apresentando soluções para eventuais problemas, em relação às instalações e/ou referentes às pessoas que frequentarão a empresa (colaboradores, fornecedores, clientes etc.) ou órgão público.
Inclui, ainda, avaliação da estrutura de segurança pública existente na localidade para fins de gestão junto às autoridades competentes, mitigando os riscos de corrupção impelida por metas agressivas ou possível interesse em promoção/ bonificações, dentre outras coisas.
Vigia de Estação Digital de Trabalho
Acompanhamento completo de computador corporativo/das atividades do usuário-alvo (monitorização forense) no intuito de avaliar o comportamento digital de colaborador, eventual atividade contrária aos interesses da empresa, ócio e/ou inobservância às leis e políticas que devem ser observadas. Consiste na captura e análise de informações, tais como: e-mail/webmail, Chat/mensagens instantâneas, websites visitados, aplicativos e programas usados e/ou instalados, dados digitados, pesquisas on-line, transferência de arquivos e rastreamento de documentos.
Nota: Importante a designação de profissional de TI de confiança da empresa-cliente, que atuará como facilitador de acesso remoto às máquinas de interesse.
Duplicação Forense de HD Corporativo e Análise
Cópia de dispositivo corporativo de armazenamento digital (“clonagem” ou “imagem forense” do dispositivo original) para análise de conteúdo existente e/ou descartado e identificação do perfil comportamental do usuário da máquina de onde extraído, eventual desvio de conduta.
Nota: Poderá ser necessário o acesso físico à máquina do colaborador alvo de inspeção, que será feito pela aplicação de estratégia que garanta o sigilo da iniciativa. A FourEthics™ orientará o Cliente na escolha das palavras-chave (6 a 8 no total) que otimizarão os trabalhos. A FourEthics™ não garante a qualidade e integralidade de cópias realizadas pelo Cliente e esclarece que tal ação poderá prejudicar a qualidade dos seus trabalhos, bem como resultar no questionamento, em juízo, da licitude e legitimidade da prova, resultando, inclusive, na contaminação de outras conexas, integrantes/levantadas no mesmo processo de apuração.
Entrevistas Especializadas
Interlocução com pessoas de interesse, (i) exploratória para ajudar a compor a problemática de uma investigação ou para identificar o perfil do entrevistado (ex. nível de consciência ética), (ii) interrogatória que visa buscar a admissão ou confissão de não conformidade, ou omissão diante do seu conhecimento.
Toda entrevista feita respeita a dignidade do entrevistado, preservando, dentro de limites razoáveis, a sua identidade e vontade (relativo ao direito de silêncio, interrupção da conversa e/ou qualquer tipo de ação não colaborativa). Também, adotando as medidas de salvaguarda necessárias à preservação da empresa, resguardando-a de eventual ação trabalhista, de danos morais e/ou de qualquer outra natureza.
As entrevistas são conduzidas por 2 (dois) profissionais (Entrevistador e Auxiliar de Entrevista).
Nota: A FourEthics™ não tem como garantir, nem intenciona garantir, que os profissionais vinculados ao Cliente com os quais interagir não adotarão quaisquer medidas judiciais contra a empresa-cliente. A recusa do Entrevistado em participar da entrevista, a negativa de resposta a determinada pergunta ou o desejo de encerramento da conversa, antes do seu fim, não resultarão em qualquer penalidade à FourEthics™ que receberá o valor integral pelos serviços prestados.
Infiltração
Técnica investigativa por meio da qual um agente controlado pela FourEthics™ integra equipe de trabalho da empresa-cliente, ocultando sua verdadeira identidade, angariando a confiança dos colaboradores e terceiros relacionados à empresa, com o escopo de colher material probatório suficiente para identificar ilícitos, desarticular potencial organização criminosa, como, por exemplo, para proceder a descoberta dos seus principais integrantes e os crimes a eles imputados.
Vigilância de Pesquisado
Supervisionamento in situ e durante período pré-determinado (diligências em campo) que visa identificar/ comprovar, dentre outras coisas, padrão de vida incompatível com a renda do colaborador, associação ou prática indevida, atividades contrárias às leis concorrenciais.
No intuito de garantir a efetividade do projeto e preservar a integridade dos executores, em toda ocasião e independentemente da severidade e/ou complexidade da situação a ser apurada, 2 (dois) profissionais são designados para a operação.
Assessoria de Grandes Eventos
Assessoria ao realizador do evento na fiscalização e acompanhamento das atividades dos prestadores de serviços de segurança, antes e durante os grandes eventos, com foco preventivo.
Objetiva, sobretudo, antecipar e possibilitar a correção de eventuais falhas que possam comprometer o evento e, consequentemente, a imagem da empresa ou da gestão pública.
Reengenharia do Sistema de Vigilância
Revisão (ou proposta) da disposição das câmaras de segurança e vigilância, regras de acesso às gravações e de armazenamento, e publicidade do poder de fiscalização do empregador.
Nota: Não estão inclusas as câmeras de segurança e equipamentos acessórios, cuja aquisição deverá ser feita pela empresa-cliente. A FourEthics™ poderá assessorar a empresa-cliente na escolha das tecnologias, cotação de preços, bem como na fiscalização dos serviços de instalação.
Curadoria de Conteúdo de Mídia
Seleção e avaliação de conteúdo resultante de monitoramento de informações divulgadas nos veículos de comunicação nacionais, mídia online, impressa, canais de vídeo, rádio e TV.
O monitoramento é feito pela combinação de palavras-chave previamente acordadas com o Cliente e pode ser referente a:
- Dados passados: informações online relativas a um determinado intervalo de datas;
- Dados dinâmicos: informações que estão circulando nas mídias e redes sociais, e que podem ser extraídas diariamente ou, em fase de gestão de crise, serem;
- obtidas quase que em tempo real, em intervalos de minuto.
Cliente Oculto
Metodologia de avaliação dos representantes da empresa-cliente – colaboradores ou terceiros que atuam em nome/ por ordem da empresa (ex. correspondentes)-, que se dá pela simulação de interesse na aquisição de produtos e/ou serviços, sendo realizada de forma anônima. Pode ser realizada in situ (visitas ao estabelecimento da empresa-cliente ou do terceiro que atua em seu favor), via atendimento telefônico, online, canais de venda e quaisquer outros meios de interação entre a empresa e consumidor.
Objetivo: verificar a observância dos processos e procedimentos da empresa e leis pertinentes, a técnica, o comportamento/postura do(s) Pesquisado(s).
Nota: O uso de nome fictício nas interações com os colaboradores ou terceiros que atuam em nome da empresa não configura, em nenhuma hipótese, em crime de falsidade ideológica, uma vez que trata-se de encenação.
Gestão do Canal de Denúncias
Análise preliminar de todos os reportes registrados no Canal de Denúncias, comunicados ao Compliance Officer ou líderes de área; interação com denunciantes para esclarecimento de aspecto obscuro ou contraditório, solicitação de informações complementares; sugestão de estratégia para apuração do fato/proposta de Plano de Trabalho de Investigação e orientação de equipe interna¹, quando a atividade investigativa não for realizada pela própria FourEthics; retorno ao denunciante.
A orientação da investigação por equipe interna da empresa-cliente está restrita a questões de menor complexidade, cuja severidade, impactos ou partes envolvidas não exigem a condução da atividade por agente externo. A FourEthics™ não realiza transferência de know-how, pelo que determinadas técnicas, metodologias investigativas, sistemas e ferramentas de investigação utilizados pela empresa são protegidos por nossas políticas.
Gestão de Risco, Plano de Continuidade de Negócios e Resiliência Organizacional
Análise e integração das avaliações de risco realizadas pelas equipes de Compliance Geral (Anticorrupção, AML-T, Antitruste), Compliance Digital e Governança Corporativa, moldando-as e complementando-as à luz das Normas ISO ABNT NBR 22301:2012 e ISO ABNT NBR 31000:2018, e criação do Plano de Gestão de Riscos Integrado – estratégias de mitigação e contingência, análise da eficácia das estratégias implementadas, métricas de performance
Criação de Plano de Continuidade e Resiliência Organizacional com base no modelo Plan-Do-Check-Act da Norma ISO 22301 e à luz de duas atividades essenciais: Análise de Impacto no Negócio e Avaliação de Risco. Objetiva definir soluções que permitam recuperar funções críticas nos tempos definidos na Análise do Impacto no Negócio e definir controles preventivos para reduzir a exposição da empresa-cliente ao risco identificado na Avaliação do Risco.
NORMAS TÉCNICAS
CONSULTIVO EM NORMAS ISO
Orientação das atividades de criação (ou revisão) e implementação de Compliance Geral, Compliance Digital e Governança Corporativa, a fim de garantir sua aderência às normas ABNT NBR ISO 22301:2013, ISO ABNT 37001:2016, ISO/IEC 27000:2018, ISO/IEC 38500:2018, ISO/IEC 20000-1:2018, ISO ABNT NBR 31000:2018, e diretriz ISO ABNT 19600:2014.
Teste de aderência às normas, por amostragem, com base em metodologia de Gap Analysis.
Treinamento de aplicação e monitoramento das normas e diretrizes de referência.
INTELIGÊNCIA EMPRESARIAL
VIGIA DE ESTAÇÃO DIGITAL DE TRABALHO
Acompanhamento completo de computador corporativo/das atividades do usuário-alvo (monitorização forense) no intuito de avaliar o comportamento digital de colaborador, eventual atividade contrária aos interesses da empresa, ócio e/ou inobservância às leis e políticas que devem ser observadas.
Consiste na captura e análise de informações, tais como: e-mail/Webmail, Chat/mensagens instantâneas, websites visitados, aplicativos e programas usados e/ou instalados, dados digitados, pesquisas on-line, transferência de arquivos e rastreamento de documentos.
Nota: Importante a designação de profissional de TI de confiança da empresa-cliente, que atuará como facilitador de acesso remoto às máquinas de interesse.
DUPLICAÇÃO FORENSE DE HD CORPORATIVO E ANÁLISE
Cópia de dispositivo corporativo de armazenamento digital (“clonagem” ou “imagem forense” do dispositivo original) para análise de conteúdo existente e/ou descartado e identificação do perfil comportamental do usuário da máquina de onde extraído, eventual desvio de conduta.
Nota: Poderá ser necessário o acesso físico à máquina do colaborador alvo de inspeção, que será feito pela aplicação de estratégia que garanta o sigilo da iniciativa. A FourEthics™ orientará o Cliente na escolha das palavras-chave (6 a 8 no total) que otimizarão os trabalhos.
A FourEthics™ não garante a qualidade e integralidade de cópias realizadas pelo Cliente e esclarece que tal ação poderá prejudicar a qualidade dos seus trabalhos, bem como resultar no questionamento, em juízo, da licitude e legitimidade da prova, resultando, inclusive, na contaminação de provas conexas, integrantes/levantadas no mesmo processo de apuração.
ENTREVISTAS INVESTIGATIVA
Interlocução com pessoas de interesse, (i) exploratória para ajudar a compor a problemática de uma investigação ou para identificar o perfil do entrevistado, (ii) interrogatória que visa buscar a admissão ou confissão de não conformidade, ou omissão diante do seu conhecimento. Ambas entrevistas também objetivam a coleta de elementos necessários ao entendimento ou confirmação da potencial má conduta registrada nos Canais de Denúncia da empresa, identificadas pela auditoria ou departamento de compliance e/ou apontada pelas autoridades.
Toda entrevista é realizada em respeito à dignidade do entrevistado, preservando, dentro de limites razoáveis, a sua identidade e vontade (relativo ao direito de silêncio, interrupção da conversa e/ou qualquer tipo de ação não colaborativa). Também, adotando as medidas de salvaguarda necessárias à preservação da empresa-cliente, resguardando-a de eventual ação trabalhista, de danos morais e/ou de qualquer outra natureza.
As entrevistas são conduzidas por 2 (dois) profissionais: entrevistador e Auxiliar de Entrevista.
Nota: A FourEthics™ não tem como garantir, nem intenciona garantir, que os profissionais vinculados ao Cliente com os quais interagir não adotarão nenhuma medida judicial contra a empresa-cliente.
A recusa do Entrevistado em participar da entrevista, a negativa de resposta a determinada pergunta ou o desejo de encerramento da conversa, antes do seu fim, não resultarão em qualquer penalidade à FourEthics™ que receberá o valor integral pelos serviços prestados.
VIGILÂNCIA DE PESQUISADO
Supervisionamento in situ e durante período pré-determinado (diligências em campo) que visa identificar/ comprovar, dentre outras coisas, padrão de vida incompatível com a renda do colaborador, associação ou prática indevida, atividades contrárias às leis concorrenciais.
No intuito de garantir a efetividade do projeto e preservar a integridade dos executores, em toda ocasião e independentemente da severidade e/ou complexidade da situação a ser apurada, 2 (dois) profissionais são designados para a operação.
INFILTRAÇÃO DE AGENTE
Infiltração na empresa por agente de investigação (“undercover agent”) que assumirá cargo fictício a fim de interagir com os colaboradores e eventuais agentes externos, avaliar rotinas, padrões de comportamento e identificar má conduta individual ou de grupo (quadrilha). Objetiva a obtenção de elementos probatórios relacionados a fatos supostamente criminosos relacionados à empresa-cliente e, via de regra, realizados nas suas dependências.
Nota: O uso de nome fictício nas interações com os colaboradores ou terceiros que atuam em nome da empresa não configura, em nenhuma hipótese, em crime de falsidade ideológica, uma vez que se trata de encenação.
CLIENTE OCULTO
Metodologia de avaliação dos representantes da empresa-cliente – colaboradores ou terceiros que atuam em nome/ por ordem da empresa (ex. Correspondentes)-, que se dá pela simulação de interesse na aquisição de produtos e/ou serviços, sendo realizada de forma anônima. Pode ser realizada in situ (visitas ao estabelecimento da empresa-cliente ou do terceiro que atua em seu favor), via atendimento telefônico, online, canais de venda e quaisquer outros meios de interação entre a empresa e consumidor.
Objetivo: verificar a observância dos processos e procedimentos da empresa e leis pertinentes, a técnica, o comportamento/postura do(s) Pesquisado(s).
Nota: O uso de nome fictício nas interações com os colaboradores ou terceiros que atuam em nome da empresa não configura, em nenhuma hipótese, em crime de falsidade ideológica, uma vez que se trata de encenação.
REENGENHARIA DO SISTEMA DE VIGILÂNCIA
Análise preliminar de todos os reportes registrados no Canal de Denúncias, comunicados ao Compliance Officer ou líderes de área; interação com denunciantes para esclarecimento de aspecto obscuro ou contraditório, solicitação de informações complementares; sugestão de estratégia para apuração do fato/proposta de Plano de Trabalho de Investigação e orientação de equipe interna*, quando a atividade investigativa não for realizada pela própria FourEthicsTM; retorno ao denunciante.
* A orientação da investigação por equipe interna da empresa-cliente está restrita a questões de menor complexidade, cuja severidade, impactos ou partes envolvidas não exijam a condução da atividade por agente externo. A FourEthics™ não realiza transferência de know-how, pelo que determinadas técnicas, metodologias investigativas, sistemas e ferramentas de investigação utilizados pela empresa são protegidos por nossas políticas.
ESTRATÉGIA INVESTIGATIVA
Estudo da potencial não conformidade – informações registradas no Canal de Denúncias da empresa, levadas ao conhecimento da área de Recursos Humanos, Compliance ou a líder de equipe, identificadas em processo de auditoria ou testes de conformidade – e proposta de metodologia de investigação, contendo, no mínimo:
– Extensão: atividade interna versus atividade externa; ações restritas a colaborador da empresa versus envolvimento de terceiro; pessoas que serão objeto de investigação e/ou que poderão contribuir com a apuração do fato (investigados, testemunhas e terceiros relacionados);
– Mecanismos: métodos de identificação e coleta de evidências (inclui estimativa dos resultados esperados);
– Fases: etapas do processo de investigação (objetiva, inclusive, a gestão de orçamento, controle de SLA);
– Riscos legais primaciais.*
* O apontamento de riscos legais é atividade meio e não fim, voltada à orientação dos especialistas da FourEthics™, pelo que não se sobrepõem ou dispensa orientação técnica da área jurídica da empresa ou de terceiro por esta contratado.
ANÁLISE DE EVIDÊNCIAS E EMISSÃO DE RELATÓRIO INVESTIGATIVO
Estudo das evidências identificadas e reunidas pela empresa-cliente e emissão de Relatório Final ou Parecer contento entendimento do fato e das provas apresentadas, recomendação de medida disciplinar adequada à severidade do fato e medidas necessárias à revisão de processos e procedimentos, de modo a evitar reincidência da má conduta.
Nota: A necessidade de contratação de software de processamento de dados, quando licença da empresa-cliente não é cedida à FourEthics™, é cotada à parte.
A FourEthics™ não se responsabiliza pela integralidade e qualidade das evidências coletadas pela empresa-cliente, tampouco pela licitude dos protocolos investigativos aplicados.
CURADORIA DE CONTEÚDO DE MÍDIA
Seleção e avaliação de conteúdo resultante de monitoramento de informações divulgadas nos veículos de comunicação nacionais, mídia online, impressa, canais de vídeo, rádio e TV.
O monitoramento é feito pela combinação de palavras-chave previamente acordadas com o Cliente e pode ser referente a:
– Dados passados: informações online relativas a um determinado intervalo de datas;
– Dados dinâmicos: informações que estão circulando nas mídias e redes sociais, e que podem ser extraídas diariamente ou, em fase de gestão de crise, serem obtidas quase que em tempo real, em intervalos de minuto.
Aplicabilidade:
– Gestão de Crise: fiscalização das veiculações relacionadas à empresa-cliente, a fim de permitir tempestiva resposta, a aplicação de estratégia de contenção dos efeitos negativos relacionados;
– Monitoramento de mídia negativa de parceiros de negócios e comerciais: permite a identificação de aspectos que podem resultar na descontinuidade da parceria, em mancha à reputação da empresa-cliente.
AUDITORIA FORENSE
Processo de auditoria especial, voltado à detecção de irregularidades e/ou fraudes, que engloba aspectos jurídicos, financeiros, processuais, informativos e tecnológicos.
Realizado por equipe multidisciplinar de profissionais que terão atuação específica diante da potencial não conformidade, contribuindo para a prevenção e a redução de riscos na empresa-cliente, ou tratamento/correção de situações que podem resultar em prejuízos de ordem operacional, financeira ou reputacional.
Inclui:
– Mapeamento e avaliação de processos e técnicas de avaliação e classificação de risco, tanto dos processos manuais quanto dos sistemas de informações corporativos;
– Análise das contas e respectivas conciliações, e relatórios emitidos (relativo à acuracidade dos registros financeiros).
Nota: Os trabalhos de auditoria forense são otimizados quando antecedidos pela Duplicação Forense de HD Corporativo e Análise e Vigia de Estação de Trabalho que permitem o direcionamento dos trabalhos.
IDENTIFICAÇÃO E PREVENÇÃO DE CRIMES CIBERNÉTICOS
Identificação de ataques (i) puros ou próprios abrangendo sistemas informatizados, banco de dados, arquivos ou terminais (computadores, smartphones ou tablets) que são atacados por agentes mal-intencionados, após identificação de vulnerabilidade; (ii) impuros ou impróprios, abrangendo ataques onde o dispositivo tecnológico é utilizado como meio para a prática do delito, propiciando a sua execução ou o seu resultado.
Protocolos:
– Pentest Black Box Externo Compliance;
– Pentest Black Box Externo Advanced;
– Red Team;
– Pentest Black Box & Gray Box em Aplicação Web;
– Pentest Black Box & Gray Box em Mobile App.
Assistência Jurídica
Assistência jurídica continua aos especialistas e parceiros FourEthicsTM, realizada por profissionais seniores experts em terceiro setor, direito público, leis de proteção de dados, dentre outras matérias.
Objetiva orientar a interpretação e aplicação das leis pertinentes, verificar a adequabilidade das recomendações apresentadas, bem como assessorar as equipes, quando e se aplicável, na análise de contratos (ref. à análise dos contratos da empresa com a Administração Pública e integrantes da iniciativa privada, quanto, dentre outras coisas, a observância das leis de proteção de dados).
Serviço prestado por profissionais habilitados na Ordem dos Advogados do Brasil ou entidade correspondente em país integrante da União Europeia.
Nota: A assistência jurídica não se sobrepõe, tampouco visa substituir o trabalho dos escritórios especializados que prestam serviços à empresa, configurando em atividade meio deste projeto e não atividade fim.
INTERIM MANAGEMENT & TRANSITION MANAGEMENT
COMPLIANCE COVERAGE
Cobertura de Compliance Officers – Interim Management & Transition Management – no caso de interrupções temporárias, planejadas ou não. Inclui, quando necessário: (i) substituição temporária de Compliance Officers; (ii) reforço de time de Compliance para execução de projetos; (iii) participação em Comitês de Gestão de Riscos e Compliance, e Comitês de Produtos/Serviços e Iniciativas de Negócios; (v) estruturação da área/ departamento de compliance; e (vi) assessoramento na contratação e formação de um Oficial de Compliance.
MEMBRO ESPECIALISTA E INDEPENDENTE EM COMITÊS DE COMPLIANCE/ ÉTICA
Participação, como conselheiro independente (Advisor/ Independent Member of Committee), nas reuniões mensais e extraordinárias do Comitê de Ética/ Compliance, Risco, Novos Produtos e Auditoria.
A responsabilidade na atuação de conselheiro respeitará os princípios contidos no documento Comitê de Ética do Cliente – Estrutura e Funcionamento, quando existente, desde que confirmada razoabilidade na descrição e atribuições do cargo, e não haja conflito entre esta atividade e outras exercidas pelo profissional independente.
BACKGROUND CHECK
BACKGROUND CHECK PESSOA FÍSICA - NÍVEL 1
Também denominada Pesquisa Básica, configura na identificação, compilação e análise de informações de Pessoa Física, tais como: informações gerais (dados pessoais, de residência e contatos); criminais (ocorrências pregressas e atuais, se disponíveis); restrições consignadas em listas restritivas (Ex. CEIS, OFAC); identificação se se trata de Pessoa Politicamente Exposta (PEP).
Nota: Toda pesquisa é feita pela integração de inteligência artificial e humana, e, em toda ocasião, sempre nos limites permitidos por lei.
BACKGROUND CHECK PESSOA FÍSICA - NÍVEL 2
Pesquisa (Nível 2, também denominado intermediário) e compilação de informações de Pessoa Física (Background Check). Inclui: informações gerais (dados pessoais, de residência e contatos); criminais (ocorrências pregressas e atuais, se disponíveis); registros nos tribunais e órgãos do Estado de residência do(a) Pesquisado(a); restrições consignadas em listas restritivas (Ex. CEIS, OFAC); participação em empresas; rede de relacionamentos (familiares e vizinhos); restrição financeira; identificação se se trata de Pessoa Politicamente Exposta (PEP); pesquisa primacial com base na mídia eletrônica.
Inclui a pesquisa de precedentes de até 2 (dois) familiares, quando identificados.
Nota: Toda pesquisa é feita pela integração de inteligência artificial e humana, e, em toda ocasião, sempre nos limites permitidos por lei.
BACKGROUND CHECK PESSOA FÍSICA - NÍVEL 3
Pesquisa (Nível 3, também denominado avançada) e compilação de informações de Pessoa Física (Background Check). Inclui: informações gerais (dados pessoais, de residência e contatos); criminais (ocorrências pregressas e atuais, se disponíveis); registros nos tribunais e órgãos do Estado de residência do(a) Pesquisado(a); restrições consignadas em listas restritivas (Ex. CEIS, OFAC); participação em empresas; rede de relacionamentos (familiares e vizinhos); restrição financeira; identificação se se trata de Pessoa Politicamente Exposta (PEP); pesquisa primacial com base na mídia eletrônica; levantamento patrimonial disponível em registros públicos (bens móveis e imóveis), e trabalho de campo para mapeamento de bens e estudo de estilo de vida. Inclui a pesquisa de precedentes de até 2 (dois) familiares, quando identificados.
Nota: Toda pesquisa é feita pela integração de inteligência artificial e humana, e, em toda ocasião, sempre nos limites permitidos por lei.
BACKGROUND CHECK PESSOA JURÍDICA - NÍVEL 1
Pesquisa (Nível 1, também denominada básica) e compilação de informações domínio público de Pessoa Jurídica (Background Check), tais como: identificação de estrutura societária e suas eventuais alterações; identificação de filiais e unidades operacionais; situação Fiscal (Federal, Estadual ou Municipal) e financeira; processos judiciais nas comarcas de registro; análise de listas restritivas locais; pesquisa reputacional com base em mídia eletrônica.
Nota: Toda pesquisa é feita pela integração de inteligência artificial e humana, e, em toda ocasião, sempre nos limites permitidos por lei.
BACKGROUND CHECK PESSOA JURÍDICA - NÍVEL 2
Pesquisa (Nível 2, também denominada intermediária) e compilação de informações de domínio público de Pessoa Jurídica (Background Check), tais como: identificação de estrutura societária e suas eventuais alterações, identificação de filiais e unidades operacionais, situação Fiscal (Federal, Estadual ou Municipal) e financeira; processos judiciais nas comarcas de registro; pesquisa reputacional com base em mídia eletrônica; análise de listas restritivas locais e internacionais (ex. CNEP, OFAC, EU); exame do histórico reputacional de 2 sócios Pessoas Físicas, incluindo, mas não se limitando à confirmação se se configuram em Pessoas Politicamente Expostas (PEP) e registros criminais (atuais e pregressos, quando existentes).
Nota: Toda pesquisa é feita pela integração de inteligência artificial e humana, e, em toda ocasião, sempre nos limites permitidos por lei.
BACKGROUND CHECK PESSOA JURÍDICA - NÍVEL 3
Pesquisa (Nível 3, também denominada avançada) e compilação de informações de domínio público de Pessoa Jurídica (Background Check), tais como: identificação de estrutura societária e suas eventuais alterações, identificação de filiais e unidades operacionais, situação Fiscal (Federal, Estadual ou Municipal) e financeira; processos judiciais nas comarcas de registro; pesquisa reputacional com base em mídia eletrônica; análise de listas restritivas locais e internacionais (ex. CNEP, OFAC, EU); levantamento patrimonial disponível em registros públicos e/ou identificados em diligências de campo (contemplando bens móveis, imóveis e participação em empresas); exame do histórico reputacional de 2 sócios Pessoas Físicas, incluindo, mas não se limitando à confirmação se se configuram em Pessoas Politicamente Expostas (PEP) e registros criminais (atuais e pregressos, quando existentes).
Nota: Toda pesquisa é feita pela integração de inteligência artificial e humana, e, em toda ocasião, sempre nos limites permitidos por lei.
Avaliação de Governança Corporativa e Plano de Melhoria
Avaliação detalhada das estruturas e práticas de governança corporativa da organização, incluindo entrevistas in loco. Serão avaliados:
- Adequabilidade do Estatuto Social e documentos relacionados
- Compromisso com a boa governança corporativa e aderência de práticas
- Estrutura e funcionamento do Conselho de Administração
- Ambiente de controle interno e gestão de riscos
- Transparência e divulgação das informações (inclui avaliação dos planos de gestão de reputação, crises e comunicação institucional)
- Negócios entre partes relacionadas e tratamento de conflitos
- Tratamento oferecido aos acionistas
Entregáveis: Diagnóstico dos gaps em relançar as melhores práticas e Plano de Melhoria, que inclui, mas não está limitada à apresentação de pontos fracos, inconsistências e/ou vulnerabilidades relacionadas à governança corporativa e os respectivos métodos para sua priorização; Workshop “A função do Conselho e os deveres dos Conselheiros”.
Ações Corretivas e de Melhoria do Ambiente de Governança Corporativa
Implementação das ações de melhoria recomendadas e aprovadas pela Companhia. Inclui, mas não está limitado a:
01- Redação (ou revisão) dos Estatutos e regulamentos do Conselho e eficiência dos Comitês, Gestão de Conflitos;
02- Revisão e proposta de escopo de atividades e responsabilidades, revisão de regimentos e definição de pauta anual de temas e decisões (inclui Painel de Indicadores);
03- Revisão do Plano de Remuneração e condições acessórias (D&O) para os administradores;
04- Implementação do Programa de Engajamento de Conselheiros Independentes (identificação, convite e integração);
05- Implementação do Processo de Avaliação de Desempenho dos Administradores e dos membros de Comitês (premissas, critérios e atividades);
06- Implantação do Portal de Governança (solução tecnológica para compartilhar
documentos, interação, tomada de decisão e registro).
Nota: A FourEthics poderá recomendar a união de um ou mais documentos, a substituição ou criação de outros, como resultado da etapa de avaliação. Inclui até 2 (duas) revisões do conteúdo proposto. Revisões extras serão cobradas por hora.
Gestão de Risco, Plano de Continuidade de Negócios e Resiliência Organizacional
Análise e integração das avaliações de risco realizadas pelas equipes de Compliance Geral (Anticorrupção, AML-T, Antitruste), Compliance Digital e Governança Corporativa, moldando-as e complementando-as à luz das Normas ISO ABNT NBR 22301:2012 e ISO ABNT NBR 31000:2018, e criação do Plano de Gestão de Riscos Integrado – estratégias de mitigação e contingência, análise da eficácia das estratégias implementadas, métricas de performance.
Criação de Plano de Continuidade e Resiliência Organizacional com base no modelo Plan-Do-Check-Act da Norma ISO 22301 e à luz de duas atividades essenciais: Análise de Impacto no Negócio e Avaliação de Risco. Objetiva definir soluções que permitam recuperar funções críticas nos tempos definidos na Análise do Impacto no Negócio e definir controles preventivos para reduzir a exposição da empresa-cliente ao risco identificado na Avaliação do Risco.
Auditoria de Conformidade ISO
Auditoria Interna em conformidade com os requisitos das normas ISO 19600:2014 & ISO NBR 37001:2016.
Processos passíveis de auditoria:
- Compras/ Viagens e gastos correlatos
- Comercial/Vendas
- Compliance
- Contas a Pagar (contas e obrigações financeiras, comissões/bonificações)
- Contratos e Faturamento (gestão de contratos, cobrança de inadimplentes)
- Controladoria
- Jurídico
- Comunicação/Marketing (inclui as iniciativas de patrocínio)
- Recursos Humanos/ Treinamentos
- Alta Direção
Metodologia
- Análise preliminar da documentação do Sistema de Gestão (Manual ou equivalente);
- Preparação do Plano da Auditoria;
- Reunião de Abertura (Kick-off Meeting);
- Avaliação de adequação da documentação;
- Auditoria de conformidade em campo;
- Reunião de encerramento, com apresentação dos resultados;
- Elaboração de Relatório Final – relato descritivo das não-conformidades encontradas e conclusões da auditoria (em meio eletrônico), de acordo com padrão FourEthics™ ou modelo estabelecido pelo Cliente.
Avaliação de Aderência ao Pró-Ética
Levantamento dos processos e procedimentos de compliance e de prevenção às más práticas que evidenciem a existência de um Programa de Compliance efetivo, aderente às leis pertinentes e às boas práticas de mercado; conhecimento de sistemas e mecanismos adotados pela empresa, práticas costumeiras e sua cultura (valores e comportamentos compartilhados por colaboradores e, eventualmente, por terceiros que atuam em favor da empresa); condução de entrevistas especializadas; validação preliminar das leis e normativos a que a empresa deve respeito; realização de benchmarking e identificação das melhores práticas aplicadas pelo mercado do qual o Cliente faz parte, com foco especial em empresas do mesmo segmento que receberam o Selo e/ou que são signatárias do Pacto Empresarial pela Integridade e Contra a Corrupção. Referência: Questionário Pró-Ética – iniciativa da CGU e Instituto Ethos; Pacto Empresarial pela Integridade e Contra a Corrupção – Instituto Ethos.
Etapas:
- Levantamento dos processos e procedimentos de Compliance e conexos ao Programa de Compliance;
- Estudo dos documentos e informações colocados à disposição pela empresa e/ou identificados pela FourEthics™ em atividade in loco;
- Entrevista de pessoas-chave;
- Condução de background check independente, de modo a levantar informações complementares solicitadas no Questionário Pró-Ética e/ou pelo Pacto Empresarial pela Integridade e Contra a Corrupção;
- Indicação da aderência da empresa ao Programa de interesse adotando o critério: atende, atende parcialmente, não atende;
- Apresentação de recomendação para correção de processos/procedimentos e/ou para melhoria das práticas vigentes;
- Organização das informações/evidências aderentes ao Programa em diretório colocado à disposição pela empresa, apontando aquelas que deverão ser atualizadas na época de cadastro ao Programa (Ex.: Certidões Negativas).
Os trabalhos in company não serão necessariamente realizados em dias consecutivos, podendo as visitas serem organizadas conforme definição das fases de trabalho definidas em reunião de kickoff. Nota: No desempenho deste trabalho, a FourEthics™ poderá aplicar Questionário de Assessment que poderá ser preenchido pelo Cliente isoladamente ou em conjunto com especialista da FourEthics™.
Os critérios do Programa Empresa Pró-Ética poderão sofrer ajuste no interim entre este trabalho, ações para melhoria e/ou correção do Programa de Compliance da Empresa, e abertura do prazo para cadastro, pelo que a FourEthics™ não garante, nem tenciona garantir que suas orientações e documentos eventualmente reunidos estarão aderentes aos novos critérios, devendo a empresa-cliente realizar novo teste de aderência ao Programa, simular o preenchimento do Questionário na véspera da abertura do período de cadastro e o que mais for necessário à conquista do Selo Pró-Ética.
Assistência Jurídica
Assistência jurídica continua aos especialistas e parceiros FourEthicsTM, realizada por profissionais seniores experts em terceiro setor, direito público, leis de proteção de dados, dentre outras matérias.
Objetiva orientar a interpretação e aplicação das leis pertinentes, verificar a adequabilidade das recomendações apresentadas, bem como assessorar as equipes, quando e se aplicável, na análise de contratos (ref. à análise dos contratos da empresa com a Administração Pública e integrantes da iniciativa privada, quanto, dentre outras coisas, a observância das leis de proteção de dados).
Serviço prestado por profissionais habilitados na Ordem dos Advogados do Brasil ou entidade correspondente em país integrante da União Europeia.
Nota: A assistência jurídica não se sobrepõe, tampouco visa substituir o trabalho dos escritórios especializados que prestam serviços à empresa, configurando em atividade meio deste projeto e não atividade fim.