Para quem é este playbook — e porquê?

Se é auditor interno, jurista ou responsável de compliance numa PME, provavelmente acumula funções. Quando chega uma denúncia, precisa de um processo disciplinado que proteja pessoas, preserve evidência e produza decisões justas — sem paralisar o negócio. Este playbook concentra boas práticas em passos práticos, checklists e papéis claros para ir da receção ao fecho, com confiança.

Fluxo de investigação — visão geral

  1. Receção & confirmação — registe, assegure confidencialidade e confirme receção.
  2. Triagem — avalie âmbito, risco, conflitos e base legal; decida investigar ou remeter.
  3. Planeamento — defina hipóteses, papéis (RACI), fontes, entrevistas, cronograma e SLAs.
  4. Recolha & preservação de evidência — registos estruturados, hashes, controlos de armazenamento.
  5. Entrevistas — justas, proporcionais e devidamente documentadas.
  6. Análise & conclusões — teste hipóteses, pese credibilidade e ligue às políticas.
  7. Resultados & remediação — ações corretivas, melhorias de controlo, feedback ao denunciante.
  8. Fecho & aprendizagem — métricas, KPIs e melhoria contínua.

Passo 1 — Triagem com disciplina

Objetivo: decidir de forma rápida, justa e defensável.

Verificações (use a folha de triagem descarregável):

  • Elegibilidade & âmbito: a alegação enquadra-se na política e no quadro europeu?
  • Conflitos & independência: confirme o owner do caso e a via de escalamento (considere advogado externo).
  • Classificação de risco: segurança de pessoas, dados/privacidade, impacto financeiro, risco legal/media.
  • Base legal (RGPD): documente finalidades, minimização e retenção; envolva o DPO quando necessário.
  • Proporcionalidade: investigação formal é necessária ou basta uma revisão dirigida?

Decisões:
(a) acusar receção & registar;
(b) escalar para investigação;
(c) remeter/recusar com fundamentação.

SLA sugerido: acusar receção em 7 dias e atualizar/fechar em até 3 meses (norma programática).

Passo 2 — Defina papéis e um RACI

A clareza evita desvios. No mínimo:

  • Case Owner (Responsável): conduz o dia a dia.
  • Sponsor (Accountable): aprova âmbito e conclusões.
  • Aconselhamento (Consulted): RH, DPO, IT forensics, advogado externo.
  • Notificados (Informed): direção, comissão de auditoria quando proporcional.

Atividades RACI: receção & registo, decisão de triagem, planeamento, recolha de evidência, relato & conclusões.

Passo 3 — Construa o plano de investigação

Um bom plano poupa horas mais tarde. Inclua:

  • Enunciado da alegação & hipóteses a testar.
  • Mapa de evidência: sistemas, documentos, testemunhas e datas de corte.
  • Lista & ordem de entrevistas: contexto neutro → corroborativas → visados.
  • Salvaguardas: confidencialidade, prevenção de retaliação e bem-estar.
  • Cronograma & SLAs: quem faz o quê e quando, com pontos de escalamento.
  • Tratamento de dados: base legal, minimização, retenção, transferências (ver iPrivacy.eu).

Use a tabela de Plano de Investigação do template para tarefas, responsáveis e prazos.

Passo 4 — Regras de ouro para a evidência

  • Registe tudo: ID de Evidência, descrição, origem, data/hora, quem recolheu e onde está guardada.
  • Integridade: hashes/checksums para ficheiros; lacres invioláveis para provas físicas.
  • Versionamento: não edite originais; trabalhe em cópias protegidas.
  • Controlo de acessos: menor privilégio; registe quem acede.
  • Retenção & eliminação: identifique categorias de dados pessoais; aplique prazos definidos.

Consulte as tabelas Registo de Evidência e Cadeia de Custódia no template.

Passo 5 — Entrevistas justas e fiáveis

  • Preparação: objetivos, perguntas abertas e guião padrão (finalidade, confidencialidade, direitos).
  • Ambiente: local privado e neutro; ofereça acompanhante se a política permitir.
  • Técnica: comece amplo, aprofunde, solicite documentos, evite perguntas sugestivas.
  • Registos: notas contemporâneas; se gravar, recolha consentimento e guarde com segurança.
  • Seguimentos: confirme factos e pendentes em 48–72 horas.

Passo 6 — Análise e conclusões

  • Triangule documentos, dados e testemunhos; rastreie contradições.
  • Aplicar standards: pese credibilidade, corroboração e plausibilidade; ligue ao código/políticas.
  • Relatório: factos → quebras de política (se houver) → causas-raiz → impacto.
  • Revisão de qualidade: jurídico/DPO para devido processo e privacidade.

Passo 7 — Resultados, remediação e feedback ao denunciante

  • Ações proporcionais: coaching, atualização de políticas, medidas disciplinares quando necessário.
  • Melhorias de controlo: fechar gaps (segregação de funções, revisões de acessos, formação).
  • Feedback ao denunciante: respeitoso, sem retaliação, e limitado ao que é lícito partilhar.
  • Encerramento: registe conclusões, arquive com segurança, atualize KPIs.

Riscos & mitigação

  • Alargamento de âmbito: feche o plano; expansões exigem aprovação do sponsor.
  • Contaminação de evidência: preserve originais e documente manuseamento.
  • Violação de privacidade: recolha o estritamente necessário; documente base legal e retenção.
  • Retaliação: monitorize alterações adversas em termos/condições de envolvidos.
  • Atrasos: monitorize SLAs; escale cedo.

Mini-cenário

É denunciado favorecimento de um fornecedor por um técnico de compras.

  • Triagem confirma relevância e risco moderado.
  • Plano define hipóteses: (H1) padrões de compra invulgares; (H2) laços pessoais; (H3) quebras de política.
  • Evidência: registos P2P, emails (pesquisa dirigida), ficha de fornecedor, entrevistas (requisitante, financeiro, técnico).
  • Conclusões: duas aprovações contornadas; hospitalidade não registada; email indica pressão indevida.
  • Resultado: advertência escrita, formação obrigatória e reforço de aprovações secundárias.
  • Feedback enviado ao denunciante dentro do prazo.

Medir o que importa (KPIs)

Apoie-se no nosso artigo de KPIs de Compliance: tempo de acusar receção, tempo para decisão de triagem, tempo para aprovação do plano, duração média, percentagem de casos substanciados, taxa de conclusão de remediação e satisfação das partes. Ligue as melhorias ao plano anual de compliance.

Ferramentas que aceleram

  • iCompliance.eu — serviços personalizados para adaptar a implementação às suas necessidades, serviços CCOaaS.
  • iComply.pt — plataforma para receção, gestão de casos, registos de evidência e trilhos de auditoria.
  • iPrivacy.eu — apoio RGPD, serviços DPOaaS e templates de tratamento de dados.
  • iBlow.eu — análises comparativas de leis e guias práticos para PME.
  • iBlow.euDescarregar folha de triagem

👉 Faça parte da conversa que está a moldar o futuro do trabalho! Agendar Reunião!

Veja outros artigos que podem ser do seu interesse.

Esperamos que tenha gostado deste artigo.

Obrigado!

Constantino Ferreira

iBlow.eu

Desenho de um avião de papel verde, para pedir para fazer parte da comunidade iBlow.eu Subscrever para receber futuros artigos