Prevenção de agressão entre parceiros: risco do dispositivo sem ultrapassar os limites.

Por que a agressão entre amigos é um problema que deve ser levado a sério

O registro de ponto por terceiros ocorre quando um funcionário registra a entrada ou a saída de outro. Geralmente, quem o pratica não se sente culpado — “eles estavam atrasados, então eu os cobri” —, mas o custo é o mesmo: horas pagas por tempo não trabalhado, folha de pagamento sujeita a contestações e um registro que não corresponde à realidade. Para uma equipe pequena com margens de lucro apertadas, o custo acumulado costuma ser maior do que o esperado.

O instinto é combater a troca de socos entre amigos com controles mais rigorosos: biometria, captura de fotos, rastreamento contínuo de localização. Algumas dessas ferramentas têm sua utilidade. A maioria das equipes não precisa delas, e a versão proporcional da mesma defesa geralmente funciona melhor.

Comece com o modelo de ameaças, não com a tecnologia.

Antes de adicionar controles, descreva o problema real em sua empresa:

• Cobertura casual. Um funcionário usa o tablet compartilhado para registrar o ponto de um colega que está dois minutos atrasado. Frequente, de baixa intenção, difícil de comprovar. - Marcação de ponto coordenada. Dois funcionários se substituem regularmente para inflar as horas trabalhadas. Menos frequente, de maior intenção, deixa um padrão. - Marcação de ponto fora do escritório. Um funcionário registra o ponto de casa ou em trânsito. Específico para relógios de ponto móveis; visível em verificações de localização. - Compartilhamento de conta. Um funcionário acessa a conta de outro para registrar o ponto. Raro, mas viola todas as premissas de auditoria.

Padrões diferentes exigem respostas diferentes. Um ambiente de trabalho com tablets compartilhados apresenta riscos fundamentalmente diferentes de um ambiente com dispositivos pessoais. Criar um conjunto único de controles para ambos os casos resulta em controles que não se adequam a nenhum deles.

O uso de dispositivos pessoais para ataques é sua maior vantagem

A mudança mais eficaz é substituir o uso de dispositivos compartilhados pelo registro de ponto em dispositivos pessoais sempre que possível. Quando cada funcionário registra o ponto em seu próprio celular, várias coisas se tornam mais fáceis ao mesmo tempo:

• O registro de ponto está vinculado a um dispositivo conhecido, não a um terminal público. - Os sinais de localização são relevantes porque o dispositivo geralmente acompanha a pessoa. - Um dispositivo que registra o ponto repentinamente para dois funcionários diferentes é um sinal de alerta óbvio. - As credenciais da conta não são compartilhadas casualmente no início de cada turno.

Isso não significa entregar um dispositivo extra aos funcionários. Para a maioria das equipes, o smartphone pessoal já é o terminal de ponto mais seguro do prédio, desde que a política da empresa o trate dessa forma.

Use a identificação de dispositivos com cuidado

A identificação do dispositivo — o registro de sinais estáveis sobre o dispositivo que efetua o registro de ponto — é uma das ferramentas mais eficazes contra a marcação de ponto coordenada por colegas. O sistema pode sinalizar um registro de ponto feito em um dispositivo que historicamente foi usado por um funcionário diferente ou que repentinamente muda de plataforma, versão do sistema operacional ou identificadores de hardware.

Alguns princípios mantêm isso proporcional:

• Sinalize, não aplique punições automáticas. Uma troca de dispositivo pode ser um novo telefone ou uma restauração de fábrica, não necessariamente fraude. - Exponha o padrão, não a impressão digital bruta. Os gerentes devem ver “este dispositivo foi usado por três funcionários neste mês”, não um banco de dados de identificadores. - Limite a retenção. Os dados do dispositivo devem ser eliminados na mesma proporção que os registros de ponto a que se referem. - Divulgue a prática. O fato de o sistema usar sinais do dispositivo deve estar na descrição para o funcionário, não escondido em um aviso de privacidade.

Os sinais de localização complementam os sinais do dispositivo

Um soco disparado do dispositivo certo, mas no lugar errado, é suspeito de uma maneira diferente de um soco disparado do dispositivo errado. Emparelhar os dois proporciona um sinal mais forte sem aumentar o controle de nenhum deles individualmente.

Para equipes de escritório e loja, o Wi-Fi aprovado é uma verificação particularmente eficaz: um dispositivo pessoal conectado à rede da empresa no momento do registro de ponto é difícil de falsificar sem estar presente no local. Para equipes de campo, um registro de ponto em um local georreferenciado incorreto é o sinal mais útil. A combinação — dispositivo conhecido, local esperado — é muito mais confiável do que qualquer um dos dois isoladamente.

Dispositivos compartilhados precisam de controles de dispositivo compartilhado

Alguns locais de trabalho realmente precisam de um terminal compartilhado: um tablet na recepção, um quiosque na entrada do depósito, uma estação de trabalho na clínica. Dispositivos compartilhados são inerentemente mais suscetíveis a fraudes no registro de ponto, e os controles devem refletir isso.

• Um código pessoal curto ou PIN por turno , rotacionado periodicamente. - Verificação por foto no momento do registro de ponto , com a imagem anexada ao registro. - Vinculação de localização rigorosa , de forma que o dispositivo compartilhado aceite apenas registros de ponto do local atribuído. - Revisão de padrões para registros de ponto consecutivos feitos por funcionários diferentes no mesmo segundo.

A verificação por foto recebe muita atenção. É eficaz, mas também é o controle mais invasivo desta lista — use-a apenas em dispositivos genuinamente compartilhados e certifique-se de que a política explique exatamente como as imagens são usadas e armazenadas.

Procure por padrões que o sistema já consegue identificar

Uma quantidade surpreendente de agressões entre parceiros pode ser detectada apenas pela análise de padrões, sem a necessidade de novas tecnologias:

• Registros de ponto de dois funcionários que sempre chegam no mesmo intervalo de um minuto. - Um dispositivo que registra o ponto de dois funcionários diferentes no mesmo dia. - Um funcionário específico cujas correções sempre descrevem um colega ausente. - Registros de ponto fora do local de trabalho que sempre coincidem com o turno de outro funcionário.

Esses padrões emergem em uma análise básica de exceções. Um relatório semanal de padrões geralmente detecta mais do que uma implementação biométrica drástica.

O que não fazer

Alguns controles comuns fazem mais mal do que bem:

• Rastreamento contínuo de localização para “provar” que alguém esteve no trabalho o dia todo. Desproporcional ao problema e prejudicial à confiança. - Captura biométrica sem divulgação ou base legal. Diversas jurisdições regulamentam rigorosamente os dados biométricos e podem impor penalidades que superam em muito a fraude que se pretende prevenir. - Exposição pública. Publicar registros de faltas sinalizadas em um quadro não impede a fraude; ensina à equipe que o sistema é hostil. - Autodisciplina de tolerância zero. Falsos positivos são inevitáveis. Um controle que os pune mina sua própria credibilidade.

O fator de dissuasão mais eficaz não é um controle mais rigoroso, mas sim um processo de revisão confiável, no qual padrões suspeitos sejam identificados e discutidos.

Vincule a política aos controles

A política de controle de ponto deve mencionar explicitamente o registro de ponto por terceiros, descrever os controles em linguagem clara e explicar o que acontece quando o sistema identifica um padrão. Os funcionários devem saber que o registro de ponto por dispositivo pessoal é obrigatório, que os sinais de localização e do dispositivo são registrados e que a fraude confirmada é tratada com seriedade — sem que os funcionários do dia a dia se sintam suspeitos por padrão.

Uma política que todos entendem realiza a maior parte do trabalho de prevenção. A tecnologia apenas torna a política aplicável quando necessário.

Leitura relacionada

• Controle de ponto por geolocalização e privacidade do funcionário - Manual de exceções de frequência - Lista de verificação para aplicativo de ponto eletrônico móvel - Produto: conformidade , frequência precisa