Compliance

Começar. É Gratuito
ou inscrever-se com seu endereço de e-mail
Rocket clouds
Compliance por Mind Map: Compliance

1. Tone from the top

2. Comunicação e Treinamento

3. Controles Internos

4. Due Diligence

4.1. Príncípios

4.1.1. Baseada no risco

4.1.2. Categorização

4.1.3. Racionalização (Fazer Sentido)

4.1.4. Aplicabilidade Consistente

4.1.5. Registro

4.1.6. Periodicidade

4.1.7. Multidisciplinar

4.2. Objetivos

4.2.1. Verificar Histórico de Práticas comerciais antiéticas

4.2.2. Conhecer Estrutura Societária

4.2.3. Identificar Potenciais agentes

4.2.4. Identificar Passivos em processos de M&A

4.2.5. Entender o Terceiro

4.2.6. Avaliar níveis e processos de controle

4.2.7. Testes de transação

4.3. Etapas

4.3.1. Estruturando o processo

4.3.1.1. Criando estrutura base

4.3.1.1.1. Conforme os Níveis de Risco

4.3.1.1.2. Categorização Inerente

4.3.1.1.3. Documentos de diligência

4.3.1.1.4. Estágios e mecanismos de Controle

4.3.1.2. Execução e Monitoramento

4.3.1.2.1. Reclassificação do terceiro ou categoria

4.3.1.2.2. Estabelecer / Rever periodicidade da análise para fornecedor ou categoria

4.3.1.2.3. Rever red flags

4.3.1.2.4. Atuação dos process owners

4.3.1.3. Resultados do DD

4.3.1.3.1. Aceitação do terceiro

4.3.1.3.2. DD Adicional

4.3.1.3.3. Revisão de contrato

4.3.1.3.4. Encerrar relacionamento

4.3.2. O que analisar?

4.3.2.1. Documentos

4.3.2.1.1. Contrato social

4.3.2.1.2. Estrutura societária

4.3.2.1.3. Processos judiciais e adm.

4.3.2.1.4. Contratos anteriores

4.3.2.1.5. Notícias

4.3.2.1.6. Denúncias

4.3.2.2. Pessoas

4.3.2.2.1. Entrevistar responsáveis

4.3.2.2.2. Possibilitar resposta

4.3.2.3. Referências / parceiros de negócio

4.3.2.3.1. Pesquisar por parceiros do 3º

4.3.2.3.2. Pedir referências sobre atividades

4.3.2.4. Processos

4.3.2.4.1. Canais de denúncia e vendas

4.3.2.4.2. Investigações internas

4.3.2.4.3. Programa de compliance

4.3.2.4.4. Pagamentos, recebimentos, etc.

4.3.2.4.5. Controle Interno

4.3.2.4.6. Auditoria

5. Auditoria e Monitoramento

6. Canal de Denúncia

7. POP - Código de Conduta

7.1. Objetivos

7.1.1. Despersonificar a Gestão

7.1.2. Uniformizar e direcionar comportamentos

7.1.3. Promover segurança na gestão

7.1.4. Resposta aos riscos

7.2. Tipos de Políticas e diretrizes

7.2.1. Código de Conduta

7.2.1.1. Conteúdo

7.2.1.1.1. Tone at the top

7.2.1.1.2. Explicação do código (objetivos e finalidade)

7.2.1.1.3. Princípios gerais + Especificidade da organização (ambiente interno e externos)

7.2.1.1.4. Esclarecer quanto à estrutura de regulação

7.2.1.1.5. Política de não retaliação

7.2.1.1.6. Perguntas e respostas, exemplos, cenários (ser tangível)

7.2.1.1.7. Canal de dúvidas

7.2.1.1.8. Canal de denúncias

7.2.1.1.9. Proteção ao denunciante de boa-fé

7.2.1.1.10. Aplicação de sanções

7.2.1.2. Diretrizes para fazer o CoC

7.2.1.2.1. Refletir os Princípios e valores da organização

7.2.1.2.2. Língua nativa do usuário

7.2.1.2.3. Disponível ao público - publicidade

7.2.1.2.4. Sem termos complexos, vagos ou dúbios

7.2.1.2.5. Obvio não existe - explicar tudo como quer

7.2.1.2.6. Deve ser revisado periodicamente

7.2.1.2.7. Aprovação da alta administração

7.2.1.2.8. Fácil compreensão

7.2.1.2.9. Acessibilidade

7.2.1.2.10. Responsabilidade adicional dos gestores

7.2.2. Políticas específicas

7.2.2.1. Política Anticorrupção

7.2.2.2. Política de brindes e presentes

7.2.2.3. Política de denúncias

7.2.2.4. Política de gestão de fornecedores

7.2.2.5. Política de Due Diligence

7.2.2.6. Diretrizes de análises do controle interno

7.2.2.7. Diretrizes de auditoria interna

7.2.2.8. Etc.

8. Investigações internas

9. Risk Assessment

9.1. Delimitar o risco de compliance

9.2. Documentar, documentar, documentar

9.3. Identificar possível periodicidade da avaliação

9.4. Etapas da análise

9.4.1. Conheça a organização

9.4.1.1. Área de atuação

9.4.1.2. Terceiros (e clientes)

9.4.1.3. Áreas envolvidas com poder público

9.4.1.4. Áreas com risco intrínseco

9.4.1.5. POPs

9.4.1.6. Conversa prévia (não é entrevista)

9.4.1.7. Cultura

9.4.1.8. Riscos já materializados

9.4.1.9. Perfil de colaboradores

9.4.1.10. Casos já denunciados na ouvidoria e canal de denúncias, etc.

9.4.2. Conhecer sua jurisdição e fontes de informações

9.4.2.1. Leis (UKBA, FCPA, LAC)

9.4.2.2. Relatórios de auditoria

9.4.2.3. Área regulamentada (Anvisa, anatel, aneel, etc.)

9.4.2.4. Manuais

9.4.2.5. Códigos e normas existentes

9.4.3. Montar Grade de Riscos

9.4.3.1. Quais fatores de riscos existem? (Como o risco de materializada - subornar, falsificar, sonegar, etc.)

9.4.3.2. Quais grupos de riscos existentes (riscos ambientais, criminais, administrativos, de corrupção, financeiros, etc.)

9.4.4. Matriz de Impacto e probabilidade

9.4.4.1. Análise qualitativa

9.4.4.2. Análise quantitativa

9.4.4.3. Graduação do risco

9.4.4.3.1. Probabilidade

9.4.4.3.2. Impacto

9.4.5. Apurar grau de Risco Inerente

9.4.5.1. Classificar o risco antes da análise dos controles

9.4.6. Planejar Entrevistas

9.4.6.1. Outline - roteiro

9.4.6.2. Por área ou por tema?

9.4.6.3. Correlação de áreas com os fatores de riscos a que estão expostas

9.4.6.4. O que (área, tema ou risco), quem, quando, onde, por que, como, quanto? 5W2H

9.4.7. Realizar Entrevistas

9.4.7.1. Crítica dos Process owners

9.4.7.1.1. Controles existentes

9.4.7.1.2. Mitigações propostas

9.4.7.1.3. Risco superestimado

9.4.7.2. Encontrar o risco atual

9.4.7.3. Buscar soluções para chegar ao risco target

9.4.7.4. Questionamento sobre processos

9.4.7.5. Verificação e mapeamento (contas contábeis, due diligence, estoque, etc.)

9.4.7.6. Entrevista de uma área pode trazer fragilidades de outras

9.4.7.7. Relatório de entrevista

9.4.8. Matriz de risco atual

9.4.8.1. Recalcular os riscos com as informações coletadas na entrevista

9.4.8.2. Avaliar previamente os controle existentes

9.4.8.3. Verificação e mapeamento (contas contábeis, due diligence, estoque, etc.)

9.4.9. Matriz de Risco desejável (target)

9.4.9.1. Recomendações para mitigar os riscos

9.4.9.1.1. Verificar e construir PoPs

9.4.9.1.2. Contratação de terceiros (sistema)

9.4.9.1.3. Melhoria de processos

9.4.9.1.4. Testes de notas

9.4.9.1.5. Periodicidade de análises

9.4.9.2. Responsabilidade para Mitigar (owner)

9.4.9.3. Prazo para implementar medidas

9.4.9.4. Classificação e reclassificação

9.4.10. Fazer relatório de Risk Assessment

9.4.10.1. Índice

9.4.10.2. Sumário executivo

9.4.10.2.1. Resumo das principais red flags

9.4.10.2.2. Principais Finding

9.4.10.3. Tratar analiticamente das red flags

9.4.10.4. Principais recomendações

9.4.10.5. Relatar os steakholders

9.4.10.5.1. Entrevistados

9.4.10.5.2. Responsáveis

9.4.10.5.3. Papeis de trabalho

9.4.10.6. Relatório de Próximos passos

9.4.10.7. Planilha resumida da matriz de risco (inerente, atual e target)

9.4.11. Monitoramento da Execução do Plano de ação

9.4.11.1. Envolver departamentos para monitoramento

9.4.11.1.1. Compliance officer não é o dono do compliance, apenas o gestor

9.4.11.2. Categorização de Terceiros

9.4.11.3. Testes

9.4.11.4. Due diligence

9.4.11.5. Faxina de cadastro

9.4.11.6. Auditorias

9.4.11.7. Investigações