Empresas que são mais eficazes no gerenciamento e mitigação de seus riscos operacionais, financeiros e de compliance – ou seja, prevenção e detecção de falhas de controle e instâncias de descumprimento – são aquelas que têm o tom certo no topo e nas pessoas certas – ou seja, funcionários que são tecnicamente qualificados e possuem uma conscientização apropriada de suas funções e responsabilidades em relação à detecção e prevenção de riscos – gerenciando e monitorando os processos corretos – ou seja, o conjunto certo de atividades de controle interno razoáveis e inesperadas.

Quando o tom certo é definido no topo e os comportamentos aceitáveis no local de trabalho são guiados e reforçados por um código de conduta, ética empresarial e treinamento periódico de conscientização de fraude, os funcionários ficam mais suscetíveis a fazer a coisa certa e as empresas poderão construir uma cultura sustentável de compliance e gestão de riscos.

A integridade do ambiente de controle interno de uma empresa (e, portanto, sua capacidade de mitigar e gerenciar os riscos relevantes) está diretamente relacionada às seguintes questões:

• A gerência define o tom certo, de modo que os funcionários são solicitados a fazer as coisas certas e a fazer as coisas certas da primeira vez?
• A empresa possui um código formal de ética e conduta comercial?
• A gerência implementou um programa formal de GRC?
• As políticas e os procedimentos da empresa foram atualizados adequadamente e foram adequadamente divulgados aos funcionários?
• A empresa possui um processo formal de recrutamento e retenção de talentos?
• Os funcionários são obrigados a participar de treinamentos periódicos de conscientização?
• Os funcionários são obrigados a confirmar sua compreensão de seus papéis e responsabilidades em relação à prevenção e detecção de riscos?
• A empresa possui uma linha direta de denúncia?
• As atividades de controle são testadas periodicamente para confirmar sua eficácia?
• As deficiências de controle são reportadas a tempo?
• As ações corretivas são implementadas a tempo para mitigar as deficiências de controle identificadas?

A mitigação eficaz do risco é toda sobre ter empregados qualificados e treinados aplicando os procedimentos corretos de controle interno em uma base consistente. As empresas podem ter políticas e procedimentos de controle perfeitamente planejados, mas se não forem executadas corretamente, a eficácia do processo de mitigação de riscos será significativamente reduzida; isso é conhecido como risco de pessoas.

Para ajudar a mitigar os riscos de pessoas relacionadas, as empresas devem utilizar suas práticas de contratação para incluir verificações de referência e de fundo. Devem incorporar responsabilidades de gerenciamento de risco nas metas de desempenho, remuneração e incentivos do funcionário. Criar incentivos vinculados ao desempenho dos funcionários e outras métricas de curto e longo prazo, como os resultados operacionais da empresa e remuneração dos pagamentos para atingir os objetivos específicos de mitigação de risco.

(fonte: https://global.theiia.org/)