As empresas aprenderam a priorizar suas iniciativas de gerenciamento de riscos a fim de construir um programa de GRC escalável que crescerá com a empresa e responderá aos desafios operacionais e de compliance.
As empresas fortaleceram seus ambientes de controle interno por meio das seguintes ações:
• Desenvolver diretrizes formais sobre práticas comerciais inaceitáveis;
• Implementando políticas de tolerância zero e procedimentos disciplinares formais;
• Estabelecimento de diretrizes formais sobre práticas comerciais inaceitáveis;
• Condução de ética, consciência antifraude e treinamento em compliance;
• Usando um programa de certificação anual para demonstrar compliance;
• Estabelecer uma linha direta de denúncia.
Além disso, o risco de pessoas pode ser minimizado pela formalização de políticas de recrutamento e retenção de talentos. Deveres devem ser isolados e funções incompatíveis separadas. A revisão e supervisão independentes dos funcionários podem ajudar, assim como a implementação de incentivos baseados em desempenho e avaliações anuais de desempenho.
Um programa de GRC pode ser formalizado com a nomeação de um diretor de risco e comitê de risco dedicado, além de expandir o uso de análises detalhadas e testes de transações. Também é importante conduzir uma investigação e relato oportunos de quaisquer casos de não conformidade.
O compliance e os controles internos podem ser integrados aos fluxos do processo implementando as seguintes medidas:
• Procedimentos de pré-aprovação e limites de autorização para impedir compras ou pagamentos não autorizados;
• Controles específicos sobre presentes de negócios, viagens e entretenimento e doações e contribuições;
• Políticas de revisão detalhada e aprovação de transações não rotineiras;
• Políticas de investigação oportuna de variações significativas em relação ao orçamento ou plano.
Finalmente, a equipe de auditoria interna deve realizar periodicamente uma revisão de compliance e auditoria operacional. A auditoria interna também deve realizar testes trimestrais de controles importantes para confirmar a eficácia operacional, o teste de intrusão e o teste de controles de acesso para reduzir o risco de acesso não autorizado ou alterações nos dados e aplicativos da empresa.
(fonte: https://global.theiia.org/)