Sistema de gestão de casos de denúncias

Autores: Marcelo Forma e Cassiano Ricardo Marques Machado, sócios-diretores da ICTS Protiviti

ATUALIZADO

A operacionalização do processo completo que enseja a implantação e a rotina de um canal de denúncias – da captura de informações até o mapeamento das ações decorrentes dos esforços de apuração –, requer cuidados em relação ao registro, manutenção e gestão das informações que serão coletadas e produzidas no dia a dia.

A utilização de planilhas e/ou documentos eletrônicos para manutenção dos dados de denúncias não é o cenário recomendado para a gestão de casos numa empresa, mesmo em contextos de baixa volumetria de relatos. O controle e gestão de acessos, edições e distribuição desses documentos e/ou das informações neles contidas é muitas vezes inexistente ou precário. Mesmo quando há protocolos estabelecidos e uma organização adequada das informações, é necessário ponderar sobre a efetiva blindagem das informações do canal em relação à própria estrutura de TI da empresa.

Subavaliar esses aspectos pode ser um erro fatal no estabelecimento do canal de denúncias, colocando em xeque a capacidade de a organização exercer a efetiva confidencialidade e sigilo exigidos nesse processo, tendo como consequência final a perda de confiança dos colaboradores e demais stakeholders nesse instrumento.

A opção pela utilização de um sistema específico para suportar a gestão de casos mostra-se a mais adequada, seja via desenvolvimento interno, seja via aquisição de pacotes de mercado ou via contratação de um fornecedor desse serviço.

Em qualquer dos casos, a implantação e utilização do sistema de gestão de casos deve atender, antes de qualquer outro requisito, os critérios básicos de segurança de informações: disponibilidade, integridade e confidencialidade.

Tanto o software quanto o ambiente técnico/lógico envolvido, devem seguir as melhores práticas e padrões internacionais de segurança das informações (ex.: ISO 27001). No caso em que o canal de denúncias abranja países do bloco da União Europeia, deve-se atentar ainda aos regulamentos recém-estabelecidos para General Data Protection Regulation (GDPR), em suas diretivas 679 e 680 de abril de 2016, em vigor desde maio de 2018, e que regem a privacidade e segurança de dados pessoais.

Requisitos do sistema de gestão

Do ponto de vista funcional, é desejado que o sistema atenda aos seguintes requisitos:

  • segregação de funções;

  • organização das informações;

  • criação de workflows;

  • criação de alertas;

  • capacidade de vinculação de casos;

  • mecanismos para interação com os denunciantes;

  • aplicação de criptografia;

  • trilhas de auditoria completas;

  • facilidade de acesso às informações registradas;

  • módulo de relatórios e visões gerenciais; e

  • suporte para multi-idiomas.

Segregação de funções

O sistema deve permitir, via gestão dos perfis de usuários no sistema, a atribuição de papéis e responsabilidades e fluxos de trabalho em função do assunto da denúncia, da localidade onde os fatos ocorreram, das pessoas envolvidas e do impacto potencial de cada caso.

Organização das informações

O sistema deve permitir a organização das informações dos casos, de acordo com sua origem (denunciante, responsáveis pela apuração, áreas de suporte) e etapas do desenvolvimento do caso (planejamento, levantamentos internos, levantamentos externos, deliberação, conclusão e ações decorrentes), com a possibilidade de anexação de arquivos (evidências coletadas, pareceres técnicos, atas de deliberação) e de criação dinâmica de novos campos para captura de informações específicas conforme sejam necessárias novas formas de categorização dos casos e captura de dados adicionais.

Criação de workflows

O sistema deve permitir a atribuição e o gerenciamento de atividades específicas designadas aos usuários e outros grupos que contribuem com o processo de apuração, com controle de leitura, tempo de resposta, execução automática de follow-ups e escalamento; tudo isso preservando o sigilo e a confidencialidade.

Criação de alertas

O sistema deve oferecer aos usuários a definição de eventos/lembretes sinalizados em datas específicas, conforme parâmetros definidos.

Capacidade de vinculação de casos

Se os casos envolverem o mesmo contexto e/ou os mesmos personagens, o sistema deve permitir sinergias no desenvolvimento da apuração e também no esforço de atualização de dados no próprio sistema.

Mecanismos para interação com os denunciantes

O sistema deve permitir, mesmo sob anonimato, o registro de perguntas e observações que possam ser respondidas e acompanhadas pelos denunciantes, enriquecendo o processo investigativo.

Aplicação de criptografia

O sistema deve permitir a aplicação de criptografia sobre os dados registrados no desenvolvimento dos casos, estabelecendo um nível adicional de segurança e sigilo sobre os próprios usuários do sistema.

Trilhas de auditoria completas

O sistema deve permitir a rastreabilidade sobre todas as informações inseridas e editadas ao longo da apuração dos casos, com identificação de usuários, data/hora de edições e conteúdos modificados.

Facilidade de acesso às informações registradas

O sistema deve oferecer mecanismos para buscas livres ou estruturadas, simplificando a identificação de um caso em função de suas características e palavras-chave, bem como a verificação de potenciais vínculos entre diferentes casos.

Módulo de relatórios e visões gerenciais

O sistema deve ter módulo de relatórios e visões gerenciais, customizáveis e atualizados em tempo real, provendo indicadores e estatísticas da operação conforme as necessidades específicas da empresa e de cada usuário do sistema. Preferencialmente, deve permitir o compartilhamento de relatórios entre diferentes grupos de usuários e a exportação para versões em formato PDF e/ou Excel. A exportação e extração de dados deve ser uma função controlada do sistema, sendo possível atribuí-la a usuários específicos.

Suporte para multi-idiomas

O sistema deve prever, conforme o contexto de utilização da empresa, uma interface do sistema que comporte múltiplos idiomas. A tradução deve contemplar não apenas os menus e textos da aplicação, mas também os termos específicos utilizados na categorização das denúncias.

Experiência dos usuários

É desejado ainda que o sistema ofereça ótima experiência aos usuários (navegação intuitiva, minimização de cliques, memorização de configurações de tela etc.), que possa ser acessado via internet em conexão segura e encriptada (protocolo HTTPS), mediante login com mecanismo contra acessos automatizados (CAPTCHA), e que esse acesso possa ser realizado a partir de dispositivos móveis (smartphones e tablets), facilitando assim a colaboração e gestão do canal de denúncias num ambiente 100% digital.

Objetivos

Como propósito principal, a plataforma de gestão de casos deve prover segurança aos dados e alavancar a eficiência da operação e gestão do canal na empresa, simplificando atividades de rotina e viabilizando a dedicação dos responsáveis para:

  • efetiva resolução dos casos reportados ao canal;

  • direcionamento de iniciativas estruturais derivadas dos contextos analisados; e

  • evolução contínua do programa de ética e compliance da organização.

Veja a seguir a Nota Prática Indicadores de gestão do canal de denúncias.

Este conteúdo é exclusivo para assinantes Lexis 360

Cadastre-se gratuitamente e tenha acesso ao Lexis 360

Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.