A gestão de denúncias envolve os processos necessários e suas interações

O whistleblowing ou a denúncia é o ato de relatar suspeita de irregularidades ou risco de irregularidades. Os estudos e as experiências demonstraram que uma grande proporção de irregularidades chega ao conhecimento da organização afetada por meio de relatórios de pessoas dentro ou próximas à organização. A gestão de denúncias deve ser tratada como um importante mecanismo de governança, cabendo, na maioria dos casos, aos conselhos/comitês de auditoria a responsabilidade de medir sua eficácia.

Este grupo está agora se movendo em direção ao uso de sistemas de denúncia de irregularidades além de relatar irregularidades e começando a entender que incutir uma cultura transparente de falar é percebido pelas partes interessadas como um sinal de boa saúde. No entanto, muitas outras organizações ainda têm uma posição diferente sobre o assunto.

Algumas das razões oferecidas para não facilitar a gestão de denúncias incluem a autonegação ou autoproteção pela administração da empresa; uma cultura não transparente ou medo de denúncias abusivas; não é um mandato regulatório na maioria dos países; falta de orçamento ou outras prioridades de investimento; e falta de conhecimento sobre os benefícios.

Por isso, deve-se facilitar as medidas apropriadas de conscientização e treinamento do pessoal. Esse deve abordar algumas questões, como um sistema de gestão de denúncias, política, processos, procedimentos, ferramentas e deveres a serem cumpridos da organização; sua contribuição para a efetividade do sistema de gestão de denúncias; como reconhecer as irregularidades; como e a quem o pessoal pode relatar suspeitas de irregularidades; como e a quem o pessoal pode fazer perguntas sobre o sistema de gestão de denúncias; como o pessoal pode ajudar a prevenir, evitar e proteger de condutas prejudiciais; informações sobre apoio e recursos disponíveis; proteções disponíveis ao utilizar o sistema de gestão de denúncias; disposições previstas na legislação local pertinente; impacto de não relatar irregularidades e suas potenciais consequências; informações para potenciais denunciantes sobre aconselhamento confidencial independente disponível; código de conduta ou código de ética ou equivalente da organização, se houver; explicação das consequências de não compliance da política de denúncias, por exemplo, fazer conscientemente relatos falsos e ter condutas prejudiciais pode justificar ações disciplinares.

Assim, todo o pessoal deve entender que, embora muitas vezes possa ser desejável ou necessário que os indivíduos primeiro relatem irregularidades ao seu gestor, também pode ser desejável ou necessário denunciar irregularidades por meio de outros canais fornecidos pela organização, especialmente se um gestor não agir adequadamente ou for conflitante; a política de denúncia não é um substituto aos gestores responsáveis pelo seu local de trabalho; o sistema de gestão de denúncias provê canais e proteções complementares de relatos, e os gestores são fundamentais para sua implementação. Além disso, a política de denúncia não impede um relato individual às autoridades competentes e o sistema de gestão de denúncias não substitui as obrigações legais locais de informar às autoridades competentes, quando aplicável.

O pessoal deve receber medidas de conscientização sobre denúncias e treinamento na sua admissão e regularmente (em intervalos planejados, determinados pela organização), conforme apropriado aos seus papéis, os riscos de não conformidade aos quais estão expostos e quaisquer mudanças de circunstâncias. As medidas de conscientização e os programas de treinamento devem ser periodicamente atualizados conforme necessário, para refletir quaisquer novas informações pertinentes.

A empresa deve implementar os procedimentos que abordem medidas de conscientização e treinamento para parceiros de negócios que atuem em seu nome ou em seu benefício. Esses procedimentos devem identificar os parceiros de negócios para os quais tais medidas de conscientização e treinamento são necessárias, seu conteúdo e os meios pelos quais o treinamento deve ser fornecido.

Os processos em prática para assegurar que todas as partes interessadas, incluindo o denunciante e quaisquer assuntos do relato, devem ser confidenciais. As identidades do denunciante e das partes interessadas pertinentes não devem ser divulgadas a qualquer um além de quem precisa saber, sem o seu consentimento.

Quando for provável que a identidade de um denunciante seja conhecida (porque eles já levantaram abertamente preocupações ou a natureza das informações significa que elas são facilmente identificáveis) ou precisar ser revelada por lei, o denunciante deve ser notificado antecipadamente e medidas potencialmente adicionais devem ser tomadas para protegê-lo de prejuízo. Ao estabelecer processos, incluindo procedimentos e ferramentas, para assegurar a confidencialidade de um denunciante e de outras partes interessadas implicadas no processo de denúncia, incluindo qualquer (quaisquer) assunto (s) do relato, as organizações devem considerar o que está descrito a seguir.

Uma série de características pode identificar inadvertidamente uma pessoa (nome, voz, gênero, descrição do trabalho, departamento, etc.) e as circunstâncias da irregularidade relatada podem inadvertidamente levar à identificação do denunciante. A forma como uma organização investiga o relato de irregularidades também pode identificar inadvertidamente o denunciante e a forma como um resultado é reportado também pode identificar o denunciante.

Soma-se a isso o fato de que a forma como uma organização coleta dados sobre os indicadores para avaliação pode identificar inadvertidamente os denunciantes que relataram confidencialmente. Deve-se conscientizar os denunciantes de que, quando são permitidas denúncias confidenciais ou anônimas, a divulgação de sua identidade durante a investigação pode ser necessária para prosseguir.

Deve-se conscientizar os denunciantes de que, quando a denúncia anônima é permitida, a denúncia anônima pode limitar a capacidade de investigar e proteger o indivíduo e quando o anonimato é permitido, as organizações podem definir mecanismos para permitir a comunicação com o denunciante. Importante é que, quando uma irregularidade é encontrada, a organização deve tomar as medidas adequadas para resolver a irregularidade e monitorar continuamente a eficácia dessas medidas, de acordo com as políticas organizacionais adequadas.

A empresa deve administrar as sanções adequadas e encaminhar os assuntos para autoridades competentes, quando apropriado, e monitore os resultados ou decisões tomadas. A organização pode querer considerar como reconhecer e prestar reconhecimento ao denunciante por denunciar irregularidades, com consentimento prévio do denunciante, incluindo expressar gratidão e elogios públicos à alta direção.

As ações planejadas e tomadas, e quaisquer achados, devem ser comunicados em tempo hábil ao denunciante e às partes interessadas pertinentes. Isso devem incluir quaisquer vias independentes disponíveis para analisar criticamente o tratamento do caso de denúncia. Quando houver restrições legais sobre o que pode ser comunicado sobre as ações e constatações como, por exemplo, quando a irregularidade constitui crime, o denunciante deve ser seja notificado das razões, quando possível, da comunicação limitada.

A NBR ISO 37002 de 03/2022 – Sistemas de gestão de denúncias – Diretrizes fornece diretrizes para o estabelecimento, implementação e manutenção de um sistema de gestão de denúncias eficaz, com base nos princípios de confiança, imparcialidade e proteção nas quatro etapas seguintes: receber relatos de irregularidades; avaliar relatos de irregularidades; abordar relatos de irregularidades; e concluir casos de denúncia. As diretrizes deste documento são genéricas e destinam-se a ser aplicáveis a todas as organizações, independentemente do tipo, porte e natureza da atividade, seja nos setores público, privado ou sem fins lucrativos. A extensão da aplicação dessas diretrizes depende dos fatores especificados na norma. O sistema de gestão de denúncias pode ser independente ou pode ser integrado como parte de um sistema de gestão global.

A denúncia é o ato de relatar suspeitas de irregularidades ou risco de irregularidades. Os estudos e a experiência demonstram que grande parte das irregularidades chega ao conhecimento da organização afetada por meio de relatos de pessoas de dentro ou próximas da organização. As organizações estão cada vez mais considerando introduzir ou melhorar as políticas e os processos internos de denúncias em resposta à regulação ou de forma voluntária.

Este documento provê orientações às organizações para estabelecer, implementar, manter e melhorar um sistema de gestão de denúncias, com os seguintes resultados: encorajar e facilitar o relato de irregularidades; apoiar e proteger os denunciantes e outras partes interessadas envolvidas; assegurar que os relatos de irregularidades sejam tratados de forma adequada e em tempo hábil; melhorar a cultura organizacional e a governança; e reduzir os riscos de irregularidades. Os potenciais benefícios para a organização incluem: permitir que a organização identifique e aborde as irregularidades na primeira oportunidade; ajudar a prevenir ou minimizar a perda de ativos e ajudar na recuperação de ativos perdidos; assegurar o compliance de políticas organizacionais, procedimentos e obrigações legais e sociais; atrair e reter pessoal comprometido com os valores e a cultura da organização; demonstrar as boas práticas de governança éticas e sólidas para a sociedade, mercados, reguladores, proprietários e outras partes interessadas.

Um sistema de gestão de denúncias eficaz constrói a confiança organizacional por fazer a demonstração do compromisso da liderança em prevenir e abordar as irregularidades; realizar o encorajamento das pessoas a se apresentarem mais cedo com relatos de irregularidades; fazer a redução e prevenção do tratamento prejudicial de denunciantes e outros envolvidos; e realizar o encorajamento de uma cultura de portas abertas, transparência, integridade e responsabilização. Este documento provê orientações para que as organizações criem um sistema de gestão de denúncias com base nos princípios de confiança, imparcialidade e proteção.

É adaptável, e seu uso vai variar de acordo com o porte, natureza, complexidade e jurisdição das atividades da organização. Ele pode ajudar uma organização a melhorar a sua política e os procedimentos de denúncia existentes, ou a cumprir a legislação de denúncia aplicável. Este documento adota a estrutura harmonizada, isto é, a sequência de seções, o texto comum e a terminologia comum desenvolvida pela ISO para melhorar o alinhamento entre as normas de sistemas de gestão.

As organizações podem adotar este documento como uma orientação única para a sua organização ou integrado com outras normas de sistemas de gestão, incluindo contemplar requisitos relacionados à denúncia em outros sistemas de gestão ISO. A figura abaixo é uma visão geral conceitual de um sistema de gestão de denúncias recomendado, mostrando como os princípios de confiança, imparcialidade e proteção se sobrepõem a todos os elementos deste sistema.

A organização deve determinar as questões externas e internas pertinentes a seu propósito e que afetem sua capacidade de alcançar os resultados pretendidos de seu sistema de gestão de denúncias. Essas questões podem incluir, mas não estão limitadas aos seguintes fatores: o porte e a estrutura da organização; os locais e os setores em que a organização opera ou antecipa a operação; a natureza, a cultura, a escala e a complexidade das atividades e operações da organização; a natureza e as necessidades do pessoal; o modelo de negócio da organização; as entidades sobre as quais a organização tem controle e entidades que exercem controle sobre a organização, incluindo os beneficiários da organização; os parceiros de negócios da organização; a exposição da organização a obrigações ou questões de interesse público; as obrigações estatutárias e regulatórias, contratuais aplicáveis e outras obrigações e deveres. Uma organização tem controle sobre outra organização se ela controlar direta ou indiretamente a gestão da organização.

Para entender as necessidades e as expectativas das partes interessadas, a empresa deve determinar quais as partes interessadas que são pertinentes para o sistema de gestão de denúncias; os requisitos pertinentes dessas partes interessadas; qual desses requisitos será abordado por meio do sistema de gestão de denúncias. Também deve determinar os limites e a aplicabilidade do sistema de gestão de denúncias para estabelecer seu escopo.

Ao determinar esse escopo, a organização deve considerar as questões externas e internas; os requisitos referidos nessa norma; quem pode relatar (partes interessadas internas/externas), de onde (regiões/geográficas) e quais tipos de irregularidades são cobertos pelo sistema; os resultados de qualquer avaliação de risco de compliance ou equivalente, conforme disponível. As organizações podem fazer referência à NBR ISO 37301 para avaliação de risco de compliance e à NBR ISO 31000 para gestão de riscos.

Os tipos de irregularidades que podem ser abordadas por meio do sistema de gestão de denúncias, se relatados, são especialmente importantes para o seu escopo. Nem todos os relatos feitos ao sistema de gestão de denúncias estarão dentro do seu escopo, e um único relato pode incluir informações sobre vários tipos de irregularidades, alguns dentro do escopo e outros fora do escopo.

Convém que a organização identifique quais outros processos, existentes ou planejados, serão utilizados para resolver irregularidades relatadas que não estão no âmbito do sistema de gestão de denúncias (por exemplo, reclamações, queixas, etc.) e como isso será coordenado. A organização deve estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de denúncias, incluindo os processos necessários e suas interações, de acordo com as recomendações deste documento.

O sistema de gestão de denúncias deve aplicar os princípios de confiança, imparcialidade e proteção, e convém que assegure a retroalimentação adequada durante todo o processo. Convém que o sistema de gestão de denúncias apoie todas as etapas do processo de denúncia. Para o recebimento de relatos de irregularidades, o sistema de gestão de denúncia deve especificar como os relatos podem ser feitos e recebidos, levando em consideração os fatores incluídos nessa norma.

Para a avaliação de relatos de irregularidades (triagem), deve-se especificar o processo de avaliação dos relatos recebidos, incluindo aspectos como prioridade, completude e relevância das informações. Convém que, ao mesmo tempo, o sistema de gestão de denúncias forneça uma avaliação do risco de prejuízo e do nível de proteção, e apoio necessário para os denunciantes e outros envolvidos.

Para a abordagem dos relatos de irregularidades, convém que o sistema de gestão de denúncias forneça uma investigação imparcial e em tempo hábil, assim como medidas eficazes e oportunas de proteção, apoio e monitoramento conforme apropriado para o denunciante e outros envolvidos, incluindo aqueles que são denunciados no relato. Essas medidas protetivas podem prevenir e conter, bem como remediar o prejuízo.

Para a conclusão de casos de denúncia, convém que o sistema de gestão de denúncias forneça um mecanismo para encerrar as investigações e tomar ações em resposta às recomendações e decisões, com base nos resultados da etapa de abordagem. Convém que também assegure que as medidas de proteção e apoio possam continuar e que serão monitoradas como apropriado.

Os resultados podem ser utilizados para relatórios gerenciais, aprendizagem organizacional e outras ações (por exemplo, ações de mitigação). Ao planejar o sistema de gestão de denúncias, convém que a organização considere suas políticas, processos e funções existentes (compliance, jurídico, relatos, compras, divulgação, comunicação, etc.), as questões referidas em 4.1 e as necessidades e expectativas referidas em 4.2, e que determine os riscos e oportunidades que precisam ser abordados para: dar garantia de que o sistema de gestão de denúncias pode alcançar seus resultados pretendidos, isto é, encorajar e facilitar o relato de irregularidades; apoiar e proteger denunciantes e outras partes interessadas pertinentes envolvidas; assegurar que os relatos de irregularidades sejam tratados de forma adequada e em tempo hábil; melhorar a cultura organizacional e a governança; reduzir os riscos de irregularidades, melhorar a cultura organizacional, a governança e a prevenção de irregularidades; prevenir ou reduzir efeitos indesejados; e alcançar a melhoria contínua.

Os conceitos e as práticas para o gerenciamento de projetos

Um projeto (project) pode ser definido como um esforço temporário para alcançar um ou mais objetivos definidos, a garantia do projeto (project assurance) são as ações planejadas e sistemáticas necessárias para prover confiança à organização patrocinadora e ao patrocinador do projeto, sendo provável que um projeto atinja seus objetivos e a governança de projeto (project governance) envolve os princípios, as políticas e os procedimentos pelos quais um projeto é autorizado e direcionado para cumprir os objetivos acordados. Dessa forma, o gerenciamento de projetos (project management) são as atividades coordenadas para dirigir e controlar o cumprimento dos objetivos acordados. A gestão da informação e documentação é permitir que informações pertinentes e confiáveis (física e digital) estejam à disposição dos que realizam trabalhos e tomam decisões.

O gerenciamento de informações e documentação compreende a coleta, armazenamento, análise, distribuição e manutenção seguros e oportunos de informações exatas necessárias para atividades como planejamento, realização e auditoria de trabalho, e apoio às lições aprendidas e gestão do conhecimento. A informação e a documentação devem estar disponíveis e acessíveis para a referência histórica.

Assim, as atividades devem incluir o estabelecimento de um sistema para receber, armazenar e identificar com segurança as informações e a documentação, que precisam ser gerenciadas e acessíveis. As informações relacionadas ao projeto e o gerenciamento de documentos podem precisar ser realizados de acordo com as políticas de gerenciamento e retenção de informações da organização.

Já o objetivo das aquisições é obter produtos e serviços adquiridos como parte da contratação de recursos para o trabalho que sejam de qualidade apropriada, representem uma boa relação custo-benefício e possam ser entregues, quando necessário, dentro de um nível de risco aceitável. aquisição seja planejada para usar processos de aquisições organizacionais, se houver, em linha com a estratégia de aquisições do projeto. A gestão de aquisições deve ser integrada ao planejamento.

A aquisição requer conhecimento das leis e práticas pertinentes e muitas vezes é realizada por especialistas fora da organização do projeto, como um especialista em aquisições dentro da organização patrocinadora. Uma estratégia de aquisições deve ser definida, levando em consideração: as decisões de fazer ou adquirir do projeto; as práticas de entrega; o tipo de acordos juridicamente vinculativos; e o processo de aquisição a ser usado. Os membros da equipe que adquirem bens e serviços devem identificar os critérios de aquisição aplicáveis a serem usados e os processos para facilitar a aquisição dos produtos e serviços exigidos de fontes externas.

Os requisitos de aquisições devem ser validados com o gerente do projeto ou a pessoa designada, a partir do qual convém que as informações de aquisições e as especificações do contrato sejam desenvolvidas e definidas. Os fornecedores devem ser selecionados com base nas informações obtidas durante as atividades de identificação e seleção de fornecedores, e verificados.

Uma avaliação da oferta de cada fornecedor deve ser realizada de acordo com os critérios de avaliação declarados e o desempenho do fornecedor deve ser reavaliado ao longo do projeto de acordo com os requisitos do contrato. A administração de contratos deve envolver a gestão das relações de aquisições, monitorando o desempenho do contrato, gerenciando alterações e correções contratuais, lidando com reclamações e rescisão de contratos.

Deve, também, permitir que o desempenho das partes contratadas atenda aos requisitos do projeto de acordo com os termos do acordo legal e incluir a coleta de dados de desempenho do fornecedor e manutenção de registros detalhados.  Por isso, em uma empresa, é fundamental entender as lições aprendidas é aproveitar a experiência, evitar a repetição de erros e disseminar práticas aprimoradas para beneficiar as equipes de projetos atuais e futuras.

As lições podem resultar de questões que ocorreram durante o projeto e da maneira como cada questão foi resolvida, bem como a maneira como cada risco foi gerenciado. As lições também podem resultar de análises críticas e auditorias de qualidade.

As atividades devem incluir a identificação, a documentação e a disseminação de lições ao longo da duração do projeto. Essas lições devem ser disseminadas e usadas ao longo do projeto e, quando aplicável, incluídas na base de conhecimento da organização, para serem compartilhadas e usadas para promover a melhoria de desempenho do projeto atual e futuro. Se uma organização usar um processo ou método de gerenciamento de projeto definido, as lições de um projeto individual devem ser comunicadas aos proprietários do processo ou método, para que o processo possa ser aprimorado para beneficiar outros usuários.

A NBR ISO 21502 de 12/2021 – Gerenciamento de projetos, programas e portfólios — Orientação sobre gerenciamento de projetosfornece diretrizes para gerenciamento de projetos. Ele é aplicável a qualquer organização, incluindo pública, privada e beneficente, bem como a qualquer tipo de projeto, independentemente do objetivo, abordagens de entrega, modelo de ciclo de vida utilizado, complexidade, tamanho, custo ou duração. A abordagem de entrega pode ser qualquer método ou processo adequado aos tipos de saídas, como preditivo, incremental, iterativa, adaptativa ou híbrida, incluindo abordagens ágeis.

Este documento fornece descrições de alto nível de práticas que funcionam bem e produzem bons resultados no contexto do gerenciamento de projetos. Este documento não fornece orientação sobre o gerenciamento de programas ou portfólios. Os tópicos relacionados ao gerenciamento geral são abordados apenas no contexto do gerenciamento de projetos.

Este documento fornece orientação sobre os conceitos e as práticas de gerenciamento de projetos que são importantes e têm um impacto na entrega bem-sucedida de um projeto. O público-alvo deste documento inclui, mas não está limitado, a gestão executiva e sênior, para fornecer uma melhor compreensão do gerenciamento de projetos e para auxiliá-los a dar apoio e orientação adequados aos gerentes de projeto e às pessoas que trabalham em projetos; pessoas envolvidas na governança, direção, garantia, auditoria e gerenciamento de projetos, como patrocinadores de projetos, comitê diretor de projetos, auditores e gerentes de projetos; gerentes de projeto e membros da equipe do projeto, para ter uma base comum sobre a qual entender, conduzir, comparar, avaliar e comunicar as práticas utilizadas em seu projeto; desenvolvedores de normas, processos e métodos de gerenciamento de projetos nacionais ou organizacionais.

Além disso, este documento também pode ser útil para pessoas envolvidas no apoio à governança, direção e gerenciamento de portfólios e programas; a equipes de projetos, escritórios de programas e projetos ou estruturas organizacionais semelhantes; ao estudo acadêmico de gerenciamento de projetos, programas e portfólios; às funções relacionadas com o gerenciamento de projetos, como finanças, contabilidade, gestão de recursos humanos, aquisições e jurídico.

A figura abaixo ilustra um contexto e ambiente dentro dos quais um projeto pode existir. Um projeto pode ser autônomo ou parte de um programa ou portfólio e pode cruzar fronteiras dentro de uma organização e entre organizações. Convém que a estratégia organizacional seja utilizada para identificar, documentar e avaliar oportunidades, ameaças, pontos fracos e pontos fortes, que podem ajudar a formular ações futuras.

As oportunidades e as ameaças selecionadas podem ser examinadas mais detalhadamente e justificadas em um business case. Um business case pode resultar em um ou mais projetos sendo iniciados. Espera-se que as saídas dos projetos produzam resultados, que convém que tragam benefícios para as organizações patrocinadoras, bem como para as partes interessadas internas ou externas.

clique na figura para uma melhor visualização

As organizações empreendem trabalho para atingir objetivos específicos. Geralmente, este trabalho pode ser categorizado como operações ou projetos. As operações e os projetos diferem. Os projetos são temporários e focados em reter ou agregar valor ou capacidade para uma organização patrocinadora, parte interessada ou cliente. As operações são realizadas por meio de atividades contínuas e podem estar focadas na manutenção da organização, como por meio da entrega de produtos e serviços repetíveis.

O objetivo de um projeto pode ser cumprido por uma combinação de entregas, saídas, resultados e benefícios, dependendo do contexto do projeto e da direção fornecida pela governança. Convém que o objetivo de um projeto contribua para os resultados e a obtenção dos benefícios para as partes interessadas, incluindo a organização patrocinadora, outras partes interessadas internas e externas da organização, clientes e suas partes interessadas.

Embora muitos projetos tenham recursos semelhantes, cada projeto é único. As diferenças entre os projetos podem ocorrer em fatores como, mas não se limitando os objetivos; o contexto; os resultados desejados; as saídas fornecidas; as partes interessadas impactadas; os recursos utilizados; a complexidade; as restrições; os processos ou métodos usados. O gerenciamento de projetos integra as práticas incluídas neste documento para direcionar, iniciar, planejar, monitorar, controlar e encerrar o projeto, gerenciar os recursos atribuídos ao projeto e motivar as pessoas envolvidas no projeto para atingir os objetivos do projeto.

O gerenciamento de projetos deve ser realizado por meio de um conjunto de processos e métodos convenientemente projetados como um sistema e que inclua as práticas necessárias para um projeto específico, conforme descrito neste documento. O contexto de um projeto pode impactar o seu desempenho e a sua probabilidade de sucesso. Convém que a equipe do projeto considere fatores dentro e fora da organização.

Os fatores internos à organização, como estratégia, tecnologia, maturidade geral e de gerenciamento de projetos, disponibilidade de recursos, cultura e estrutura organizacional, podem ter um impacto no sucesso de um projeto. Existe uma relação entre um projeto e seu contexto, que convém que seja considerada na adequação da abordagem de gerenciamento de projetos, desenvolvendo o business case, conduzindo estudos de viabilidade e projetando a transição para operações e clientes, quando aplicável.

Os fatores externos à organização podem incluir, mas não estão limitados, os fatores socioeconômicos, geográficos, políticos, regulamentares, tecnológicos e ecológicos. Estes fatores podem ter um impacto no projeto, impondo requisitos ou restrições, ou introduzindo riscos que afetem o projeto.

Embora estes fatores estejam frequentemente além do poder ou da capacidade do patrocinador ou gerente do projeto de controlar ou influenciar, convém que estes fatores ainda sejam considerados e planejados ao dirigir, justificar, iniciar, planejar, monitorar, controlar e encerrar o projeto. As organizações frequentemente estabelecem sua estratégia geral com base em sua visão, missão, valores, políticas e fatores internos e externos à organização.

Os projetos podem ser um meio para atingir os objetivos estratégicos. Convém que as saídas e os resultados potenciais sejam considerados ao identificar as oportunidades e as ameaças organizacionais. A criação de valor a partir da realização de projetos é ilustrada na figura abaixo. O valor positivo é criado quando os benefícios proporcionados pelo projeto excedem o investimento de recursos. O valor criado pode ser tangível ou intangível.

clique na figura para uma melhor visualização

Os projetos podem ser realizados a partir de duas perspectivas: pelo cliente ou organização patrocinadora: a organização possui os requisitos e pode realizar o trabalho ou contratar parte ou todo o trabalho para uma organização fornecedora; pela organização fornecedora ou contratada: a organização fornece, como principal ou parte de seu negócio, um serviço ou produto para outras organizações. Exemplos de um serviço ou produto entregue por um fornecedor ou contratada, como um projeto para receita, podem incluir a construção de estradas, aeroportos, ferrovias e sistemas de tecnologia da informação.

Na maioria dos casos, o escopo do projeto do fornecedor é uma parte do escopo do projeto do cliente. Convém que cada parte de um contrato cuide de seus interesses organizacionais no projeto e tenha sua justificativa para realizar o projeto. O relacionamento cliente-fornecedor pode ser confuso, pois, para alguns projetos, esse relacionamento pode ser tanto interorganizacional quanto intraorganizacional.

Nestes casos, o papel do fornecedor é realizado em parte por um contratante externo ou fornecedor para um cliente que é de outro departamento ou seção da mesma organização. Por exemplo, o departamento de tecnologia da informação de uma organização pode realizar uma atualização de software, usando recursos contratados ou parceiros para o departamento de manufatura.

Nessas situações, os papéis do fornecedor-cliente podem ser multidimensionais. Convém que as partes do contrato determinem: como convém que a governança do projeto opere em ambos os lados e por meio de um limite contratual; a estrutura da equipe de gerenciamento de projetos da organização; as pessoas apropriadas para estarem envolvidas no projeto; as práticas de trabalho a serem adotadas em relação ao ciclo de vida do projeto, conforme necessário para a entrega.

Os resultados e saídas do projeto devem ser alcançados dentro de um conjunto identificado de restrições, como, mas não limitado: a duração ou data-alvo para a conclusão do projeto; a disponibilidade de financiamento organizacional; ao orçamento aprovado e alocado; à disponibilidade dos recursos do projeto, como pessoas com habilidades adequadas, instalações, equipamentos, materiais, infraestrutura, ferramentas e outros recursos exigidos para realizar as atividades do projeto relacionadas com os requisitos do projeto; aos fatores relacionados à saúde e segurança do pessoal; à segurança; a um nível de risco aceitável; ao potencial impactos social, ambiental e ecológico do projeto e suas saídas; às leis, regras e outros requisitos governamentais; e aos  padrões mínimos de qualidade.

As restrições são frequentemente inter-relacionadas, de modo que uma mudança em uma restrição pode afetar uma ou mais das outras restrições. Por esta razão, convém que o efeito destas restrições seja compreendido, equilibrado e analisado periodicamente. Convém buscar um acordo entre as principais partes interessadas do projeto, especialmente os tomadores de decisão, sobre as restrições do projeto e sua prioridade relativa para formar uma base sólida para decisões e ações subsequentes destinadas a promover o sucesso.

Brasil fecha 2021 com 108 obras entregues e 39 ativos concedidos à iniciativa privada

Um novo Brasil começa a nascer a partir da transformação na infraestrutura de transportes do país. Em 2021, o Governo Federal, por meio do Ministério da Infraestrutura, fez a entrega de 108 obras públicas, 2.050 quilômetros de rodovias renovadas, executou R$ 5,5 bilhões na modernização de todos os modos de transporte e contratou mais R$ 37,6 bilhões da iniciativa privada para investimentos, nos próximos anos, em ferrovias, aeroportos, rodovias, portos e hidrovias. Esses são os principais destaques do balanço do ano da pasta, divulgado nesta segunda-feira (20) pelo ministro Tarcísio Gomes de Freitas.

Para dotar o Brasil de uma infraestrutura de transportes moderna, o Governo Federal, por meio do Ministério da Infraestrutura (MInfra), atuou de forma eficiente e transparente no uso dos recursos públicos e na parceria com a iniciativa privada. Assim, foi possível superar os resultados obtidos em 2020, bater a marca centenária na entrega de empreendimentos e nos contratos de concessão assinados.

De janeiro a dezembro, foram 2.050 quilômetros de rodovias pavimentadas, duplicadas ou recuperadas, superando os 4,1 mil quilômetros somados desde 2019. Vinte e dois aeroportos da Infraero foram arrematados em leilões muito bem-sucedidos e vão receber pelo menos R$ 6,1 bilhões em investimentos privados. Portos já não são mais gargalos para o escoamento da produção, o fomento à cabotagem deu passos importantes com a aprovação do BR do Mar e um novo marco regulatório lançado em setembro já demonstra ser uma revolução para as ferrovias brasileiras.

As obras beneficiam todas as regiões do país. Seja na região Norte, com a Ponte do Abunã, na BR-364/RO, uma reivindicação histórica da população de Rondônia e do Acre; no Nordeste, com a pavimentação de 72 quilômetros da BR-235/PI; no Centro-Oeste, como a conclusão da duplicação de 168 quilômetros da BR-163/364/MT, entre Cuiabá e Rondonópolis; no Sudeste, com inauguração da Avenida Portuária, facilitando o acesso rodoviário para caminhões entre Avenida Brasil e o Porto do Rio de Janeiro; ou no Sul, que chegou a 130 quilômetros renovados da BR-116/RS com a entrega de 11,4 quilômetros no meio do ano.

O governo também garantiu este ano a contratação de R$ 24,5 bilhões para serem investidos, nos próximos anos, em três rodovias federais leiloadas. Entre elas, a relicitação da rodovia Dutra, desta vez, abrangendo também a Rio-Santos (BR-101/SP/RJ), com quase R$ 15 bilhões de melhorias, uma redução tarifária de 35% na viagem entre São Paulo e Rio de Janeiro, e uma série de inovações, como o sistema free flow de cobrança por livre passagem, sem a necessidade de praças de pedágio.

O maior programa de concessões do mundo também avançou bastante em outros modais. Foram 13 terminais portuários arrendados – inclusive, com o maior leilão da história, assegurando R$ 678 milhões a um terminal de combustíveis no Porto de Santos (STS08A) -, além de uma ferrovia (Fiol) e 22 aeroportos concedidos. Nenhum outro governo havia realizado tantos arrendamentos portuários e leilões aeroportuários. Com o leilão de 39 ativos de infraestrutura de transportes, o governo garantiu mais R$ 37,6 bilhões em investimentos nos próximos anos. No total, desde 2019, já foram arrecadados aproximadamente R$ 100 bilhões nos 79 leilões realizados pelo Ministério da Infraestrutura. “A partir do momento em que vamos melhorando a qualidade da infraestrutura, melhoramos também a nossa eficiência. Nos próximos anos, veremos um salto em investimentos no setor e o Brasil se transformando num grande canteiro de obras”, destaca o ministro. “Isso vai acontecer em todas as regiões do país. Até mesmo nos pontos mais remotos do território nacional”, pontuou.

Revolução ferroviária

O mês de setembro de 2021 ficará marcado na história do Brasil como o Setembro Ferroviário, em que o Governo Federal revolucionou o modo de transporte no país, com uma série de ações que culminaram no maior programa dos últimos 100 anos para o modal. Durante o período, foi assinado o contrato de concessão da Ferrovia de Integração Oeste-Leste (Fiol), que receberá mais de R$ 3 bilhões em investimentos privados, e dado o pontapé inicial das obras de implantação da Ferrovia de Integração Centro-Oeste (Fico), com outros R$ 2 bilhões que serão investidos pela Vale.

Mais do que isso: o governo criou o programa Pro Trilhos, que vai impulsionar o surgimento de novas ferrovias de forma mais célere e simplificada a partir do instrumento da autorização. Até o fim do ano, foram registrados 49 pedidos autorizações para a construção de novas ferrovias. “Isso representa um impulso sem precedentes em nossa história ferroviária, com mais de 12 mil quilômetros de novos trilhos e a injeção de quase R$ 166 bilhões em investimentos para o setor”, celebra Tarcísio Freitas. “Um ganho brutal em oferta ferroviária, que vai repercutir em menor custo de frete”, avalia.

BR do Mar

A proposta de criação do Programa de Estímulo ao Transporte por Cabotagem, que é a navegação entre portos de um mesmo país, contou com avanço importante com aprovação pelo Congresso Nacional. Chamada de BR do Mar, a iniciativa agora aguarda sanção do presidente da República, Jair Bolsonaro. Modo de transporte seguro, eficiente e de baixo custo, a cabotagem deve ter aumento de 11% para 30% de participação na matriz logística do país com a nova legislação, contribuindo com a sustentabilidade, eficiência logística e competitividade. Entre as metas estabelecidas no programa, o governo pretende ampliar o volume de contêineres transportados para 2 milhões de TEUs (unidade equivalente a 20 pés), em 2022, além de alavancar em 40% a capacidade da frota marítima dedicada à cabotagem nos próximos três anos.

PNL 2035

Pautado na inovação e, pela primeira vez, integrando todos os modos de transporte, o governo também lançou o Plano Nacional de Logística 2035, que aponta investimentos de pelo menos R$ 400 bilhões, além de decisões e ações para atender as necessidades do setor de transportes ao longo dos próximos anos. Instrumento de decisão que proporciona um planejamento contínuo, o plano avalia o quanto a rede de transportes nacional está próxima dos objetivos da Política Nacional de Transportes e identifica as necessidades a serem trabalhadas. Um dos principais objetivos do PNL 2035 é a transformação da matriz de transporte do Brasil para torná-la mais racional e sustentável, prevendo a redução de 14% dos gases do efeito estufa na atmosfera.

A modernização da infraestrutura brasileira caminhou junto a iniciativas focadas na redução da burocracia aliadas à inovação tecnológica, como o Porto Sem Papel, o Embarque + Seguro e o Documento Eletrônico de Transporte (DT-e), que unifica em um aplicativo cerca de 90 documentos necessários para o transporte de cargas. “Seguimos dando passos concretos e atacando de forma firme a desburocratização que envolve todo o setor de infraestrutura de transporte, sem deixar de lado a responsabilidade. Essa sempre foi uma das nossas prioridades para reduzir custos e estimular o setor, com a melhora da competitividade e da eficiência”, reforça o secretário-executivo do MInfra, Marcelo Sampaio.

Radar Anticorrupção

Lançado em 2019 pelo MInfra com o intuito de fomentar a cultura de compliance no âmbito do ministério e suas vinculadas, o programa Radar Anticorrupção fortaleceu-se ao tratar de 228 denúncias, que foram encaminhadas a diversos órgãos de controle e fiscalização. O ano ainda marcou a 1ª edição do Selo Infra + Integridade, que premiou três empresas comprometidas com iniciativas de transparência, conformidade, responsabilidade social, sustentabilidade e prevenção à fraude e à corrupção.

Trânsito

O ano de 2021 também foi marcado pela criação da Secretaria Nacional de Trânsito (Senatran). Com a elevação de status do antigo Denatran, e um conjunto de ações, como a sanção de mudanças no Novo Código de Trânsito Brasileiro (CTB) e a elaboração do Plano Nacional de Redução de Mortes e Lesões no Trânsito (Pnatrans), o Governo Federal tem buscado promover um trânsito mais seguro para a população brasileira. Fundamentado em seis pilares, o Pnatrans traz 160 ações prioritárias voltadas para reduzir pela metade o índice de mortes no trânsito, dentro de um período de 10 anos. Até o momento, Rio Grande do Sul, Goiás, Paraná, Rio de Janeiro, Maranhão e Distrito Federal já aderiram à iniciativa.

Para melhorar a qualidade de vida e do trabalho com transporte rodoviário de cargas, o Governo Federal lançou em maio o Gigantes do Asfalto. O programa serve como instrumento de coordenação, articulação e incentivo a programas, além de facilitar à promoção da saúde e do bem-estar dos brasileiros que trabalham no setor. São três eixos que fundamentam o Gigantes: infraestrutura, regulamentação de serviços e incentivo e qualidade de vida.

Como melhorar continuamente a gestão da energia em sua empresa

A gestão da energia é o processo de rastreamento e otimização do consumo de energia para conservar o uso em um edifício. Existem algumas etapas para esse processo, como a coleta e análise de dados contínuos em que se identifica as otimizações em programações de equipamentos, pontos de ajuste e taxas de fluxo para melhorar a eficiência energética. Também, pode-se calcular o retorno do investimento, em que as unidades de energia economizadas podem ser medidas e calculadas da mesma forma que as unidades de energia fornecidas. Depois pode-se executar as soluções de otimização de energia.

Dessa forma, a qualidade da revisão energética é influenciada pela disponibilidade, qualidade e análise dos dados coletados, e pela competência e disponibilidade das pessoas que efetuam as análises. Quando uma revisão energética é realizada pela primeira vez, a questão inicial é a disponibilidade de dados.

A revisão energética pode ser melhorada à medida em que a organização ganha mais experiência com a gestão de dados (energéticos e não energéticos relevantes) e com a tomada de decisão baseada na análise dos dados energéticos. Uma boa prática é utilizar os resultados de auditorias energéticas ou estudos de engenharia como parte da revisão energética.

Os intervalos determinados para a atualização da revisão energética podem ser diferentes para cada elemento da revisão energética. Uma gestão efetiva de mudanças e processos robustos de comunicação suportam atualizações oportunas da revisão energética em resposta a grandes mudanças nas instalações, equipamentos, sistemas e processos.

A análise do uso e consumo de energia fornece uma compreensão do uso e consumo de energia da organização. A organização avalia os tipos de energia que cruzam as fronteiras do sistema de gestão de energia (SGE), no mínimo. Eles podem incluir tipos de energia adicionais na análise. Os tipos de energia podem incluir calor (vapor), biomassa (por exemplo, cana de açúcar, carvão), eletricidade e combustíveis fósseis (por exemplo, gás natural, produtos de petróleo).

Em algumas organizações, isso pode incluir energia, como ar comprimido, vapor, água fria ou quente e água de resfriamento. Normalmente, para os tipos de energia, deve-se excluir a matéria-prima, exceto onde a matéria prima também contribui para a energia dentro do escopo e das fronteiras do SGE. A determinação dos tipos de energia pode ser realizada por meio de uma revisão dos registros existentes (por exemplo, contas das concessionárias, recibos de entrega de combustível, registros de aquisição).

É uma boa prática examinar os fluxos de energia e os usos finais, para assegurar que todos os tipos de energia sejam identificados, o que pode incluir calor rejeitado ou produtos intermediários com conteúdo de energia útil. Possíveis tipos de dados de energia, de uso e de consumo incluem: as contas de concessionárias compiladas para o período de avaliação para cada tipo de energia (eletricidade, óleo combustível, gás natural, vapor, etc.), incluindo itens de linha individuais para encargos de energia; sempre que possível, as contas devem ser verificadas quanto à precisão em relação às leituras dos medidores da concessionária e não com base nas estimativas da concessionária; é necessária atenção para verificar se o período de consumo da energia e o período representado pelas faturas compiladas correspondem entre si; se faltarem dados durante o ano selecionado para um mês, dados interpolados ou comparáveis para o mesmo mês, em um ano diferente, podem ser usados para assegurar que o registro da linha de base represente as condições operacionais típicas do respectivo mês; a informação documentada sobre a razão para o novo ponto de dados é importante; as faturas ou outros registros de compra de outro (s) tipo (s) de energia, como óleo combustível, carvão ou biocombustíveis, que podem ser entregues periodicamente e armazenados no local; as faturas ou outros registros de compra de ar comprimido, vapor e água quente e fria; as leituras de medidores de concessionárias e submedidores aplicáveis (registrados manualmente ou eletronicamente) para o consumo da energia de instalações, equipamentos, sistemas e processos; as estimativas de consumo de energia (dados de consumo); os modelos de simulação de uso de energia e consumo; os dados de equipamento (por exemplo, rendimentos da placa de identificação, eficiências declaradas pelo fabricante de manuais de equipamentos, listas de inventário de ativos, folhas de dados); condições de operação do equipamento, como configurações da máquina e programações de operação; os registros de manutenção semanais ou diários (por exemplo, registros da casa da caldeira, horas de funcionamento do compressor); os registros de serviço (por exemplo, registros de visitas de serviço do fornecedor ou distribuidor); os dados do sistema de controle e extratos de um histórico de dados/banco de dados; os relatórios de auditoria energética ou estudos de engenharia; os instrumentos portáteis e registradores de dados; os registros de revisões energéticas anteriores.

Depois que o programa é implementado, quando uma não conformidade é detectada, o primeiro passo é tomar as medidas adequadas para resolver a situação imediatamente (correção), por exemplo, quando houver uma pressão de ar comprimido reduzida devido a um filtro sujo, substituir o filtro. Usando este exemplo, uma ação corretiva poderia ser determinar porque o filtro estava sujo e abordar as causas-raiz para evitar a recorrência.

Quando uma não conformidade for analisada criticamente e uma ação corretiva for determinada, a organização precisa considerar se uma não conformidade semelhante existe em outro lugar e se é provável que se repita ou ocorra potencialmente em outro processo e/ou parte da organização. A empresa deve determinar a extensão das ações que precisam ser tomadas, com base no efeito potencial da não conformidade. Deve implementar qualquer ação necessária com base nesta análise crítica.

Isso poderia ser realizado usando vários métodos, como, mas não se limitando a: análise da causa-raiz, oito disciplinas para a resolução de problemas (8D), método dos 5 Porquês, modo de falha e análise de efeito (FMEA) ou diagramas de análise de causa e efeito. Enfim, as empresas podem demonstrar conformidade com o requisito de melhoria contínua do desempenho energético, usando uma variedade de abordagens e considerando o contexto da organização.

A melhoria nos resultados mensuráveis, em comparação com um período de referência (por exemplo, linha de base) ou condição (por exemplo, business-as-usual), demonstra melhoria de desempenho energético. Os ajustes serão normalmente necessários para levar em conta o impacto de variáveis relevantes ou fatores estáticos no desempenho energético do período ou condições atuais e de referência.

Ser mensurável não significa necessariamente ser medido. Medição é o processo usado para chegar a um valor. Os cálculos ou as estimativas de engenharia podem ser usados como o processo para medir o desempenho energético no nível do sistema ou subsistema. Isso pode ser para a organização como um todo ou para um sistema dentro da organização.

A NBR ISO 50004 de 09/2021 – Sistema de gestão da energia – Guia para implementação, manutenção e melhoria do sistema de gestão da energia da NBR ISO 50001 fornece diretrizes práticas e exemplos para estabelecer, implementar, manter e melhorar um sistema de gestão da energia (SGE) de acordo com a abordagem sistemática da NBR ISO 50001:2018. A orientação neste documento é aplicável a qualquer organização. Ele não fornece a orientação sobre como desenvolver um sistema de gestão integrado. Embora a orientação nesse documento seja consistente com os requisitos da NBR ISO 50001:2018, ela não fornece as interpretações desses requisitos.

Esse documento fornece orientação prática ao implementar os requisitos de um sistema de gestão da energia (SGE) com base na NBR ISO 50001. Ele mostra à organização como adotar uma abordagem sistemática para alcançar a melhoria contínua no SGE e no desempenho energético. Esse documento não é prescritivo. Cada organização pode determinar a melhor abordagem para adotar os requisitos da NBR ISO 50001.

Assim, o usuário é aconselhado a usar este documento com a NBR ISO 50001 e seus anexos. Esse documento fornece orientação para usuários com diferentes níveis de gestão da energia, consumo da energia e experiência com SGE. Cada Seção explica como uma organização pode abordar uma parte de um SGE.

As ferramentas práticas, métodos, estratégias e exemplos são fornecidos para ajudar as organizações a implementar um SGE e melhorar continuamente o desempenho energético. Os exemplos e abordagens apresentados neste documento são apenas para fins ilustrativos. Eles não pretendem representar as únicas possibilidades, nem são necessariamente adequados para todas as organizações.

Ao implementar, manter ou melhorar um SGE, é importante que as organizações selecionem abordagens adequadas às suas necessidades. A gestão da energia é sustentável e mais eficaz quando está integrada aos processos gerais de negócios de uma organização (por exemplo, operações, finanças, qualidade, manutenção, recursos humanos, compras, saúde e segurança e política ambiental).

A NBR ISO 50001 pode ser integrada com outras normas de sistema de gestão (MSS), como a NBR ISO 9001, NBR ISO 14001, ISO 45001 e NBR ISO 55001. A integração pode ter um efeito positivo na cultura e na prática de negócios, incorporando a gestão da energia na prática diária, melhorando a eficiência operacional e a redução dos custos operacionais relacionados ao sistema de gestão. A estrutura de alto nível (HLS) comum das MSS suporta esta integração.

O compromisso e o engajamento contínuos da Alta Direção são essenciais para a implementação, manutenção e melhoria eficazes do SGE e para alcançar a melhoria contínua do desempenho energético. A Alta Direção garante que o SGE esteja alinhado com a direção estratégica da organização e demonstra o seu compromisso por meio de ações de liderança que garantem a alocação contínua de recursos, incluindo as pessoas para implementar, manter e melhorar o SGE ao longo do tempo.

Dessa forma, deve-se levar em conta que a gestão da energia envolve a determinação de questões estratégicas, isto é, questões que podem afetar, positiva ou negativamente, os resultados pretendidos do SGE. A determinação dessas questões (internas e externas) serve para conectar o SGE com a direção e as metas estratégicas da organização.

Exemplos de questões internas incluem, mas não estão limitados a: direção estratégica e gestão organizacional; processos, sistemas e fatores operacionais; idade e condição dos equipamentos e sistemas; indicadores de desempenho da organização. Quando o contexto de uma organização é bem compreendido, ele auxilia no estabelecimento, implementação, manutenção e melhoria contínua do SGE da organização e do desempenho energético.

A compreensão do contexto promove a discussão entre a Alta Direção e as partes interessadas relevantes e assegura que as mudanças nas circunstâncias e outras questões sejam abordadas para beneficiar o SGE. Parte integrante deste processo é compreender os objetivos e a cultura da organização. Isso ajuda a alinhar o SGE com as práticas e abordagens preferenciais usadas pela organização para conduzir as suas operações de negócios.

As saídas do contexto são usadas para planejar, implementar e operar o SGE, de forma a fornecer valor contínuo à organização. A Alta Direção está em melhor posição para assegurar que o SGE reflita o contexto organizacional e continue a fornecer os benefícios esperados para a organização. As questões internas e externas mudam com o tempo.

Para assegurar que o contexto permaneça atual, a organização pode conduzir análises de seu contexto em intervalos planejados e por meio de atividades como análise crítica pela direção. As organizações podem abordar esse requisito por meio de discussões e conversas estruturadas e por revisão das fontes de informação. Ao nível estratégico, ferramentas como análise SWOT, análise PESTLE ou análise TDODAR podem ser usadas para a identificação e avaliação de questões contextuais.

Uma abordagem mais simples, como o brainstorming, pode ser útil para as organizações, dependendo do tamanho e da complexidade de suas operações. Os processos e as saídas de processos usados para avaliar o contexto da organização podem ser considerados necessários para a eficácia do SGE e podem ser mantidos como informações documentadas.

Convém que os gatilhos e a frequência de análise crítica para conduzir esses processos também sejam determinados nas informações documentadas. Igualmente, deve-se assegurar que a organização estabeleça uma estrutura formal para identificar e responder às necessidades e expectativas das partes relevantes internas e externas.

Uma organização determina as partes interessadas relevantes para o seu desempenho energético ou para o seu SGE. As partes relevantes podem ser internas (por exemplo, empregados relacionados ao uso significativo da energia (USE) que afetam o desempenho energético, uma equipe de gestão da energia que afeta o desempenho do SGE) ou externas (por exemplo, fornecedores de equipamentos que podem impactar o desempenho da energia, clientes que podem ser percebidos como afetados pelo desempenho energético da organização).

Espera-se que a organização obtenha compreensão suficiente das necessidades e expectativas expressas das partes interessadas internas e externas que foram consideradas relevantes pela organização. Convém que a compreensão dessas necessidades e expectativas seja suficiente para atender aos requisitos da organização. Os requisitos legais refletem as necessidades e expectativas que são obrigatórias, porque foram incorporados às leis, regulamentos, autorizações e licenças por decisões governamentais ou judiciais.

Os requisitos legais referem-se aos requisitos obrigatórios aplicáveis relacionados ao uso da energia de uma organização, consumo da energia e eficiência energética. Como exemplos de requisitos legais, podem ser incluídos, mas não estão limitados a: requisitos legais locais, estaduais, municipais, nacionais e internacionais; padrões de desempenho energético exigidos por lei para equipamentos; avaliação energética regulamentada ou requisitos de auditoria energética; códigos de construção relacionados com a energia e os requisitos de construção; situação financeira da organização; estrutura organizacional e hierarquia; conhecimento do funcionário e cultura organizacional; missão e visão da empresa.

Como exemplos de questões externas podem ser incluídos, mas não estão limitados a: econômico e financeiro; segurança do abastecimento da energia; tecnologia; cultural, social e política; geográfico; requisitos legais/outros; meio ambiente; restrições ao consumo de energia; circunstâncias naturais e competitivas; códigos de armazenamento, distribuição e transporte da energia; padrões mínimos de eficiência energética; proibição ou limitação da aplicação de uma determinada energia para uma finalidade específica; códigos de instalação de tipo de energia.

Outros requisitos podem se referir a acordos ou iniciativas voluntárias, arranjos contratuais ou requisitos corporativos assinados pela organização, relacionados à eficiência energética, uso da energia e consumo da energia. Outros requisitos só se tornam requisitos da organização quando esta os adota.

Como exemplos de outros requisitos podem ser incluídos, mas não estão limitados a: diretrizes ou requisitos organizacionais; acordos com clientes ou fornecedores; acordos com o escritório central; diretrizes não regulamentares; princípios voluntários ou códigos de prática; acordos voluntários de energia; requisitos das associações comerciais; acordos com grupos comunitários ou organizações não governamentais; compromisso público da organização ou de sua organização-mãe; especificações mínimas voluntárias para desempenho energético emitidas por agências governamentais ou privadas; limites da rede ao fornecimento de eletricidade ou gás, ou limitações às exportações de eletricidade para a rede.

A organização pode consultar as partes interessadas ou usar outros métodos para categorizar suas necessidades e seus requisitos. Uma categoria pode ser informação sobre requisitos legais e outros requisitos, que podem ser obtidos de uma variedade de fontes, como departamentos jurídicos internos, governo ou outras fontes oficiais, consultores, órgãos profissionais e vários órgãos reguladores. Se a organização já possuir um processo para determinar os requisitos legais, esse processo pode ser usado para identificar e acessar os requisitos legais relacionados à energia.

Convém que o processo usado para identificar os requisitos legais seja claro e inclua uma descrição de como a conformidade é avaliada e assegurada. Há uma orientação sobre a avaliação do compliance com os requisitos legais e outros requisitos. A consideração antecipada dos requisitos legais e outros requisitos pode auxiliar a organização a identificar os dados relacionados que são necessários e tratados na revisão energética.

Pode ser útil estabelecer e manter uma lista, banco de dados ou sistema de registro de requisitos legais e outros requisitos para que as suas implicações possam ser consideradas para outras partes do SGE, incluindo USE, controles operacionais, registros e comunicação. Uma segunda categoria pode surgir quando a organização incorpora voluntariamente as necessidades e os requisitos das partes interessadas como seus próprios.

Por exemplo, uma organização poderia ver um desempenho energético aprimorado (conforme defendido por uma parte externa interessada) como proporcionando vantagens comerciais à organização e optar por adotar as recomendações da parte externa interessada. Como as necessidades e os requisitos das partes interessadas podem mudar com o tempo, a organização pode incluir um processo para uma análise crítica periódica de seus requisitos que foram incorporados ao SGE.

Esta análise crítica pode alertar a organização sobre itens como: as mudanças nos requisitos legais aplicáveis e outros requisitos; as mudanças nas operações da organização que podem afetar os requisitos aplicáveis; as mudanças nas necessidades e recomendações das partes interessadas externas; as mudanças em equipamentos ou tecnologia que tragam novos requisitos de operação e manutenção. Para determinar o escopo do sistema de gestão da energia, deve-se assegurar que a organização o estabeleça e as fronteiras do SGE, o que permite que a organização concentre os seus esforços e recursos na gestão da energia e na melhoria do desempenho energético.

Com o tempo, o escopo e as fronteiras podem mudar devido à melhoria do desempenho energético, mudanças organizacionais ou outras circunstâncias. O SGE é revisado e atualizado conforme necessário para refletir as mudanças. Os itens a serem considerados ao determinar o escopo e as fronteiras são encontrados na tabela abaixo.

Normalmente, a equipe de gestão da energia desenvolve o escopo e as fronteiras do SGE documentados com base nas informações da Alta Direção em relação às atividades e aos limites físicos ou organizacionais a serem cobertos pelo SGE. A documentação do escopo e das fronteiras do SGE pode estar em qualquer formato. Por exemplo, eles podem ser apresentados como uma lista simples, mapa, desenho de linha ou como uma descrição escrita indicando o que está incluído no SGE.

Para o sistema de gestão da energia, deve-se assegurar que a organização determine e implemente os processos necessários para a melhoria contínua. Isso inclui os processos que são necessários para a implementação eficaz e melhoria contínua do sistema, como auditoria interna, análise crítica pela direção e outros. Também inclui os processos necessários para quantificar e analisar o desempenho energético.

O nível em que os processos precisam ser determinados e detalhados pode variar de acordo com o contexto da organização. A NBR ISO 50001:2018 usa a abordagem comum da ISO para MSS, onde o objetivo é melhorar a consistência e o alinhamento da MSS, fornecendo um HLS unificado e acordado, texto central idêntico e termos e definições centrais comuns.

Isso é particularmente útil para as organizações que optam por operar um único sistema de gestão (às vezes chamado de integrado) que pode atender aos requisitos de duas ou mais MSS simultaneamente. O HLS não se destina a fornecer uma ordem sequencial de atividades a serem realizadas ao desenvolver, implementar, manter e melhorar continuamente uma MSS.

O HLS como um todo tem como objetivo permitir que uma organização atinja a melhoria contínua e é baseado na abordagem PDCA. Os elementos da MSS são organizados em torno das atividades funcionais em uma organização, conforme mostrado na figura abaixo.

É uma boa prática manter o SGE o mais simples e fácil de entender possível e, ao mesmo tempo, atender aos requisitos da ABNT NBR ISO 50001:2018. Por exemplo, convém que os objetivos organizacionais para gestão da energia e desempenho energético sejam razoáveis, alcançáveis e alinhados com as prioridades organizacionais ou comerciais atuais.

Convém que a documentação seja direta e adequada às necessidades organizacionais, bem como fácil de atualizar e manter. À medida que o sistema de gestão se desenvolve com base na melhoria contínua, convém que a simplicidade seja mantida. Convém que o SGE para cada organização reflita e seja tão único quanto aquela organização.

Os processos do SGE para uma organização complexa podem ser mais detalhados para gerenciar, com eficácia a eficiência, o uso e o consumo de energia. As organizações de menor complexidade poderiam exigir somente abordagens simples e os processos mínimos e informações documentadas, conforme estabelecido na NBR ISO 50001:2018 para um SGE eficaz. Por exemplo, em uma organização de baixa complexidade, a coleta de dados de energia pode ser tão simples quanto registrar as leituras do medidor da concessionária de gás e eletricidade, manualmente, em uma planilha.

Para que uma organização complexa gerencie a energia de maneira eficaz, a coleta de dados provavelmente precisaria incluir coleta e transmissão eletrônicas de várias fontes de dados em toda a organização, incluindo dados de submedidores. O pessoal que compõe a equipe de gestão da energia deve ser autorizado pela Alta Direção a comunicar as decisões às suas respectivas áreas e a assegurar que mudanças para melhorar o desempenho energético sejam implementadas.

A abordagem da equipe de gestão da energia se beneficia da diversidade de habilidades e conhecimentos dos indivíduos. Convém que a organização considere a elaboração da gestão da energia e da melhoria da capabilidade e da capacidade em toda a organização. Isso pode incluir treinamento adicional e rotatividade dos membros da equipe de gestão da energia.

Ao selecionar os membros da equipe de gestão da energia (apropriadamente ao tamanho e à complexidade da organização), convém que a Alta Direção considere o seguinte: o pessoal representando uma combinação de habilidades e funções para abordar tanto os componentes técnicos como os organizacionais do SGE; os tomadores de decisões financeiras ou pessoal com acesso a estes; os gerentes de desenvolvimento de negócios; os representantes de outros sistemas de gestão; um gerente ambiental; o pessoal de compras ou gerentes da cadeia de suprimentos, como apropriado; o pessoal operacional, particularmente aqueles que executam tarefas associadas aos USE; os representantes dos inquilinos ou do administrador do edifício em edifícios comerciais, onde apropriado; os indivíduos que possam assumir a responsabilidade pelos controles operacionais ou outros elementos do SGE; o pessoal de manutenção e instalação; a produção ou outro pessoal que já poderia estar envolvido em mecanismos de melhoria, como equipes de melhoria contínua; os indivíduos que promoverão a integração do SGE na organização; as pessoas comprometidas com a melhoria do desempenho energético e capazes de promover o SGE em toda a organização; os representantes de diferentes turnos, quando aplicável; o pessoal responsável por treinamento ou desenvolvimento profissional, como apropriado; os representantes de contratados e/ou de atividades terceirizadas; o pessoal que não está necessariamente trabalhando diretamente com o uso da energia, mas que poderia ser importante, por exemplo, acessando dados críticos (contas de energia elétrica, dados de gestão de edifícios, dados financeiros, etc.), fazendo alterações nas práticas de trabalho ou aumentando a conscientização.

O perfil de um fraudador: homem, 26 a 45 anos, conhece os processos e atua em cargo de liderança

A primeira edição do relatório da KPMG que traça o perfil dos fraudadores especificamente com dados levantados no Brasil indicou que 80% dos golpes foram realizados por profissionais do gênero masculino, com maior incidência em cargos entre coordenação e gerência (60%) e com idade média entre 26 e 45 anos (73%). Com relação ao tempo de empresa, 45% dos casos envolviam colaboradores que trabalhavam na organização de um a quatro anos na época da fraude e outros 34% já contavam com mais de seis anos de firma.

De acordo com a pesquisa, 72% das companhias ouvidas pela KPMG indicaram ter realizado até 50 investigações no período entre janeiro do ano passado e junho deste ano. Além disso, 78% das empresas contam com até cinco profissionais dedicados exclusivamente ao combate de malfeitos do tipo e 74% disseram possuir uma metodologia documentada para a apuração dos casos. Ainda segundo o levantamento, a maioria (89%) das organizações respondentes possui um canal de denúncias para captação e gestão de fraudes, sob responsabilidade das áreas de compliance e auditoria (88%) – setores, aliás, que têm sido as maiores fontes de identificação destes crimes.

A pesquisa realizada pela KPMG é baseada em uma análise do perfil de fraudadores, e não em casos de fraude, e ouviu empresários e líderes entre janeiro do ano passado e junho deste ano. O material contou com a participação de profissionais de áreas como compliance, investigações e auditoria interna, oferecendo informações sobre como empresas de diversos setores da economia estão posicionadas no combate aos desvios de conduta e ao perfil dos profissionais envolvidos nestes delitos.

Segundo a NBR ISO 37001 de 03/2017 – Sistemas de gestão antissuborno – Requisitos com orientações para uso – que especifica requisitos e fornece orientações para o estabelecimento, implementação, manutenção, análise crítica e melhoria de um sistema de gestão antissuborno -, o sistema pode ser independente ou pode ser integrado a um sistema de gestão global, medidas necessárias para prevenir, detectar e considerar os riscos de o pessoal da organização subornar outros em nome da organização (suborno de dentro para fora) podem diferir de medidas utilizadas para prevenir, detectar e abordar riscos de suborno por pessoas da organização (suborno de fora para dentro).

Por exemplo, a capacidade de identificar e mitigar os riscos de suborno de fora para dentro pode ser significativamente restringida à disponibilidade de informação não controlada pela organização (por exemplo, conta bancária pessoal de empregado e dados de transações de cartão de crédito), lei aplicável (por exemplo, legislação de privacidade) ou outros fatores. Como consequência, o número e as modalidades de controles disponíveis pela organização para mitigar os riscos de suborno de dentro para fora podem superar em quantidade os controles que podem ser implementados para mitigar riscos de suborno de fora para dentro.

O suborno do pessoal da organização tem maior probabilidade de ocorrer em relação ao pessoal que é capaz de tomar ou influenciar decisões em nome da organização (por exemplo, um gerente de compras que pode celebrar contratos; um supervisor que pode aprovar um trabalho realizado; um gerente que pode indicar pessoal ou aprovar salários ou bônus; um assistente que prepare documentos para obtenção de licenças, permissões). Como o suborno tende a ser aceito por pessoal que esteja fora do alcance dos sistemas de controles da organização, a capacidade da organização de prevenir ou detectar estas propinas pode ser limitada.

Dessa forma, o risco de suborno de fora para dentro poderia ser mitigado quando a política antissuborno da organização proíba explicitamente a solicitação e aceitação de propinas pelo pessoal da organização e qualquer um que trabalhe em seu nome; as orientações e materiais de treinamento devem reforçar a proibição de solicitação e aceitação de propinas. A empresa pode também implementar procedimentos de auditoria para identificar as formas pelas quais seu pessoal possa explorar fragilidades de controles para ganhos pessoais.

Alguns exemplos de procedimentos poderiam incluir a análise crítica da folha de pagamento para identificação de registros de pessoal-fantasma e pessoal em duplicidade; a análise crítica dos registros de despesas de seu pessoal a trabalho para identificar dispêndios

não usuais; a comparação de informações de folhas de pagamento de pessoal (por exemplo, número de contas bancárias pessoais e endereços) com as contas bancárias e endereços disponíveis na lista de fornecedores da organização, a fim de identificar cenários de potenciais conflitos de interesse.

Perfil de liderança

“O tempo de casa, e a possível sensação de segurança a partir do conhecimento das etapas dos processos relacionados à fraude, são componentes de maior incidência nos casos relatados. Fraudadores com perfil de liderança que possuem acessos ilimitados a pessoas, processos e sistemas sem monitoramento ou dupla verificação normalmente são aqueles que causam maior dano”, ressalta o sócio da prática forensic da KPMG, Alessandro Gratão.

Observou-se uma mudança no perfil do fraudador em comparação com a pesquisa feita há cinco anos pela KPMG. Se, por um lado, manteve-se a proporção de gênero (80% masculino), por outro, houve diferença em relação à faixa etária observada no levantamento anterior. Houve uma redução significativa de fraudadores com idades entre 46 e 55 anos, caindo de 31% para 14%. No entanto, foi registrado um aumento significativo nas faixas etárias de 18 a 25 anos e de 26 a 35 anos, que sofreram um incremento de sete e 20 pontos percentuais, respectivamente.

Entre as fraudes mais comuns no Brasil, de acordo com a pesquisa, estão os casos de furto ou roubo de ativos (52%), adulteração de documentos (49%), vazamento ou violação de dados (24%) e a identificação de pagamento de propina ou suborno (23%). Os principais comportamentos identificados naqueles que estavam cometendo malfeitos foram o relacionamento atípico com terceiros (43%), estilo de vida incompatível (36%) e dificuldades financeiras (25%).

Por outro lado, as principais motivações para os fraudadores, segundo o levantamento, foram atingir metas corporativas (38%), omitir erros (31%) ou obter ganho pessoal (27%). “Muito provavelmente o cenário de recessão e os impactos causados pela pandemia influenciaram o destaque para as citações que envolvem atingir metas corporativas. Este fator, na realidade de algumas empresas e funções, seria preponderante para manutenção do emprego dos colaboradores, aspecto encarado como pressão situacional”, analisa o sócio-diretor da prática forensic da KPMG, Vinícius Carvalho.

Em contrapartida, o fortalecimento da cultura de ética e compliance foi apontado pela maioria das empresas ouvidas pela KPMG como o principal benefício percebido na identificação e redução do cometimento de fraudes. Vale destacar, ainda, que 79% dos entrevistados indicaram que o trabalho remoto, em virtude da pandemia, dificultou a ação dos fraudadores.

A adoção da due diligence é recomendada, pois ela é o processo para aprofundar a avaliação da natureza e extensão dos riscos de suborno e ajudar as organizações a tomar decisões em relação a transações, projetos, atividades, parceiros de negócio e pessoal específico. O propósito de se conduzir uma due diligence em determinadas transações, projetos, atividades, parceiros de negócio ou no pessoal da organização é aprofundar a avaliação do escopo, escala e natureza dos riscos de suborno identificados como mais que um baixo risco de suborno, como parte do processo de avaliação de risco da organização.

Serve também ao propósito de agir como um controle adicional direcionado à prevenção e detecção de risco de suborno, e informa a decisão da organização sobre a possibilidade de adiar, descontinuar, interromper ou rever estas transações, projetos ou relacionamentos com parceiros de negócio ou seu pessoal. A due diligence não é uma ferramenta perfeita, pois a ausência de informações negativas não necessariamente significa que o parceiro de negócio não possa causar risco de suborno.

As informações negativas não necessariamente significam que o parceiro de negócio cause um risco de suborno. Entretanto, os resultados precisam ser cautelosamente avaliados e um julgamento racional realizado pela organização com base nos fatos disponíveis. A intenção geral é que a organização elabore perguntas razoáveis e proporcionais ao parceiro de negócio, levando em conta as atividades que o parceiro de negócio poderia realizar e o risco de suborno inerente a estas atividades, para então formar um julgamento racional sobre o nível de risco de suborno a que a organização estará exposta se trabalhar com o parceiro de negócio.

A conformidade dos sistemas de saneamento não ligados à rede de esgoto

A NBR ISO 30500 de 11/2021 – Sistemas de saneamento não ligados à rede de esgoto — Unidades de tratamento integradas pré-fabricadas — Requisitos gerais de segurança e desempenho para projeto e ensaio especifica os requisitos gerais de segurança e desempenho para projeto e ensaio, bem como as considerações de sustentabilidade, para sistemas de saneamento não ligados à rede de esgoto (NSSS). Um NSSS, para os propósitos deste documento, é uma unidade de tratamento integrada pré-fabricada, que inclui componentes de módulo de interface frontal (instalação sanitária) e módulo de tratamento (instalação de tratamento) que coletam, conduzem e tratam totalmente o produto de entrada específico dentro do sistema, para permitir o reuso ou descarte seguro do produto de saída sólido, efluente líquido e gasoso gerado, e não estão ligados a sistemas de rede de esgoto ou rede de drenagem.

Este documento é aplicável aos sistemas de saneamento que são fabricados como um conjunto único ou fabricados como um grupo de elementos pré-fabricados, projetados para serem montados no local, sem fabricação in loco ou modificação adicional que influencie no funcionamento do sistema. O plano ou superfície (por exemplo, piso, estrutura de concreto) em que um NSSS totalmente montado se situado está além do escopo deste documento.

Este documento não é aplicável a sistemas de saneamento construídos in loco (no próprio local). Este documento também abrange componentes do módulo de tratamento do NSSS que são projetados para serem integrados com um ou mais módulos de interface frontal especificados. Embora este documento seja aplicável principalmente no desenvolvimento de sistemas de saneamento que não estejam ligados a redes de água e eletricidade, ele também pode ser aplicado a sistemas que podem utilizar redes de água e/ou eletricidade.

Este documento define o produto de entrada básico tratável, principalmente excrementos humanos, e fornece opções para estender a faixa de substâncias de produto de entrada. Os requisitos para a qualidade dos produtos de saída do sistema de saneamento são fornecidos para descargas de sólidos e líquidos, bem como emissões de odor, atmosféricas e de ruído.

Este documento contém critérios de segurança, funcionalidade, usabilidade, confiabilidade e capacidade de manutenção do sistema, bem como sua compatibilidade com os objetivos de proteção ambiental. Não abrange os seguintes aspectos: as diretrizes para seleção, instalação, operação, manutenção e gestão de sistemas de saneamento; o transporte do produto de saída tratado para fora do sistema de saneamento (por exemplo, transporte manual, transporte por caminhão ou tubulação) para processamento, reuso ou descarte posterior; os processos de tratamento que ocorrem em outro local, separadamente dos componentes de módulo de interface frontal e módulo de tratamento; reuso e descarte da saída do sistema de saneamento.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais devem ser as condições operacionais do sistema?

Como assegurar a capacidade de limpeza das superfícies?

Como devem ser as conexões e elementos de união?

Como deve ser projetada a proteção contra incêndio e explosão do non-sewered sanitation systems (NSSS)?

Um sistema de saneamento não ligado à rede de esgoto (NSSS) é aquele que não é conectado a uma rede de esgoto, e que coleta, conduz e trata totalmente o produto de entrada, específico para permitir o reuso ou descarte seguro dos sólidos e/ou efluente líquido gerados na saída. Estima-se que 2,3 bilhões de pessoas não têm acesso aos sistemas de saneamento básico. As consequências devastadoras da falta de instalações sanitárias incluem uma estimativa de 1,8 bilhão de pessoas em todo o mundo que utilizam uma fonte de água potável que está contaminada por fezes, e 361.000 crianças menores de 5 anos de idade morrem a cada ano, principalmente de doenças diarreicas similares à disenteria.

Em março de 2013, a Organização das Nações Unidas (ONU) lançou uma campanha global de ação para eliminar a prática de defecação a céu aberto até 2025. A ONU e os líderes regionais responsáveis por saneamento concluíram que as áreas onde a defecação a céu aberto é comum contêm os níveis mais altos de mortalidade e doenças infantis, como resultado da ingestão de matéria fecal humana que tenha entrado no sistema de abastecimento de água ou alimentos.

A falta de saneamento seguro e privado também está associada aos mais altos níveis gerais de desnutrição, pobreza e disparidade entre ricos e pobres, e torna as mulheres e meninas mais vulneráveis à violência. Em 1º de janeiro de 2016, foram lançados os 17 Objetivos de Desenvolvimento Sustentável (ODS) da ONU, incluindo o ODS 6: assegurar o acesso à água e ao saneamento para todos.

Os ODS são um conjunto de objetivos para erradicar a pobreza, proteger o planeta e assegurar a prosperidade para todos, como parte da nova agenda de desenvolvimento sustentável da ONU. As metas 6.2 e 6.3 do ODS 6 declaram: até 2030, obter acesso ao saneamento e à higiene adequados e equitativos para todos e acabar com a defecação a céu aberto, focando especialmente nas necessidades das mulheres e meninas e daquelas pessoas em situação de vulnerabilidade; até 2030, melhorar a qualidade da água, reduzindo a poluição, eliminando o despejo e minimizando a liberação de produtos químicos e materiais perigosos, reduzindo pela metade a proporção de águas residuais não tratadas e aumentando substancialmente a reciclagem e o reuso seguro em todo o mundo.

Neste contexto, o propósito deste documento é apoiar o desenvolvimento de sistemas de saneamento autônomos projetados para atender as necessidades de saneamento básico e promover a sustentabilidade econômica, social e ambiental por meio de estratégias que incluem a minimização do consumo de recursos (por exemplo, água, energia) e a conversão de excrementos humanos em produto de saída seguro. Este documento se destina a promover a implementação de sistemas de saneamento onde se deseja maior sustentabilidade, ou onde os sistemas de esgoto sanitário tradicionais não estão disponíveis ou são impraticáveis e, portanto, para assegurar a saúde e a segurança humana, bem como proteger o meio ambiente.

Entretanto, este documento não tenta abordar exaustivamente as preocupações com a sustentabilidade em relação a sistemas de saneamento não ligados à rede de esgoto (NSSS). Existem muitos aspectos da sustentabilidade que não são abrangidos neste documento. O conceito de um NSSS é indicado na figura abaixo, que mostra a integração do módulo de interface frontal e do módulo de tratamento juntamente com o produto de entrada e de saída.

As substâncias que entram (produto de entrada) no NSSS consistem principalmente em fezes e urina humanas, sangue menstrual, bílis, água de descarga, água de limpeza anal, papel higiênico e outros fluidos/sólidos corporais. As substâncias que saem (produto de saída) do NSSS incluem os produtos do processo de tratamento do módulo de tratamento, como produto de saída sólido e efluente líquido, bem como emissões de ruído, atmosféricas e de odor.

Por projeto, esses sistemas de saneamento operam sem conexão com qualquer rede de esgoto ou drenagem. O NSSS pode ser fabricado como um conjunto único ou fabricado como um grupo de elementos pré-fabricados, projetados para serem montados sem fabricação ou modificação adicional que influencie no funcionamento do sistema. Os componentes pré-fabricados do NSSS se destinam a requerer trabalho mínimo a ser integrado e fornecer rapidamente sistemas de saneamento totalmente funcionais.

No NSSS, o módulo de interface frontal inclui interfaces com o usuário, como um mictório, latrina turca ou vaso sanitário, que podem aplicar mecanismos de descarga que variam desde descarga convencional, descarga manual e sanitários secos até novos mecanismos de descarga, como aqueles que utilizam forças mecânicas que requerem pouca ou nenhuma água. Os mecanismos de descarga convencionais e novos podem ser combinados com aplicações de separação da urina (por exemplo, sanitário de descarga com separação da urina, sanitário seco com separação da urina).

As tecnologias e processos de tratamento do módulo de tratamento do NSSS variam desde processos unitários biológicos ou químicos até físicos (por exemplo, digestão anaeróbica e aeróbica, combustão, desinfecção eletroquímica, membranas). Alguns sistemas utilizam somente uma dessas tecnologias ou processos, enquanto outros aplicam vários processos unitários combinados por meio de várias unidades de tratamento.

O NSSS deve ser projetado de forma a assegurar que os usuários possam utilizar o sistema com segurança e da maneira prevista pelo fabricante. O projeto e a implementação do sistema devem assegurar que os usuários com pouca ou nenhuma instrução ou aqueles que não possuem conhecimento técnico sejam capazes de utilizar, com segurança e de forma eficaz, o módulo de interface frontal do sistema e realizar a manutenção de rotina pelo usuário, conforme previsto pelo fabricante.

O projeto e a construção do NSSS devem ser especificados no Sistema Internacional de Unidades. Ele deve ser capaz de tratar no mínimo fezes e urina humanas, sangue menstrual, bílis, água de descarga, água de limpeza anal, papel higiênico e outros fluidos/sólidos corporais. Os fabricantes podem identificar categorias adicionais de produto de entrada como aceitáveis para tratamento, como água para lavagem das mãos, produtos de higiene menstrual e/ou resíduo orgânico doméstico.

A capacidade de projeto em relação às fezes e urina humanas deve ser indicada como usos esperados por dia (usos fecais/dia e usos de urina/dia). A quantidade média de fezes (kg/uso) e urina (L/uso) por uso deve ser determinada como a base para os cálculos da capacidade e deve ser claramente indicada. Além disso, a capacidade diária prevista para outros produtos de entrada (como água, produtos de higiene menstrual e resíduo orgânico) deve ser indicada pelo fabricante (em unidades como kg/dia ou L/dia).

Como exemplo, foi medida a taxa média de produção fecal como 250 g/pessoa/dia a 350 g/pessoa/dia para países de baixa renda, 250 g/pessoa/dia para ambientes urbanos de baixa renda e 350 g/pessoa/dia para ambientes rurais de baixa renda, e descobriram que as taxas gerais de produção de urina para adultos são de 1,0 L/pessoa/dia a 1,3 L/pessoa/dia. Se o sistema for previsto a aceitar produtos de higiene menstrual separadamente de outros produtos de entrada do sistema, devem ser fornecidas as prescrições e instruções para a operação e manutenção seguras do mecanismo ou dispositivo de descarte.

Devem ser consideradas normas culturais, práticas existentes e aspirações em relação ao descarte de produtos de higiene menstrual (ver D.4 e E.4). Um fator de segurança razoável deve ser incorporado ao projeto e indicado pelo fabricante para evitar sobrecarga. Para indicar quando o sistema está se aproximando da capacidade máxima (capacidade de projeto mais fator de segurança), o sistema deve ser equipado com um mecanismo visual e/ou sonoro indicando ao usuário que o sistema está sobrecarregado e, portanto, não está utilizável.

Caso ocorra sobrecarga, o sistema deve entrar em um estado seguro que evite quaisquer perigos devido à sobrecarga (ver A.3.8.6). O sistema deve permanecer operável após um período sem uso do sistema de 60 h, sem provocar mau funcionamento ou requerer esforços adicionais para retomar a operação que excedam aos procedimentos normais de operação. O não uso ocorre quando não há desligamento intencional do sistema pelo usuário.

Além disso, o sistema não é usado e não tem qualquer interação humana por um período de 60 h. Depois da reinicialização após um desligamento de curta duração (isto é, 60 h ou menos) especificado pelo fabricante, o sistema deve ser capaz de aceitar imediatamente a contribuição de entrada e retornar ao estado normal de operação.

O fabricante do sistema de saneamento deve fornecer instruções precisas para preparar o sistema para o desligamento de longa duração (isto é, mais de 60 h). As instruções devem descrever os procedimentos para alcançar condições seguras e estáveis de desligamento do sistema. O fabricante deve indicar claramente a duração de tempo necessário para completar o processo de desligamento de longa duração.

Não convém que o processo de desligamento de longa duração requeira mais de 10 h para ser concluído. Convém que a interação requerida ao usuário durante o desligamento seja minimizada. Depois da reinicialização após um desligamento de longa duração, o sistema de saneamento deve ser capaz de aceitar imediatamente a contribuição de entrada e deve ser capaz de retornar ao estado normal de operação dentro do tempo especificado pelo fabricante.

O sistema de saneamento deve permitir o uso contínuo sem períodos de espera excessivos entre os usos. O fabricante deve especificar o período mínimo de espera entre usos no manual do usuário ou como parte do rótulo ou placa de dados do equipamento. Os produtos de saída sólido e o efluente líquido devem ser totalmente tratados dentro do sistema de saneamento permitindo o reuso ou descarte seguro.

O produto de saída sólido e o efluente líquido devem atender aos requisitos especificados nessa norma, em todos os momentos, incluindo o período de inicialização quando ensaiado de acordo com o item método de ensaio do produto de saída sólido e efluente líquido. Para minimizar as emissões de odor do sistema de saneamento, os requisitos devem ser atendidos quando ensaiados de acordo com A.3.5. As origens potenciais das emissões de odor do sistema de saneamento incluem odores fecais (fezes e urina e o envelhecimento das fezes e urina) e odores do processo, como aqueles que surgem durante a secagem, pirólise, combustão e descarga do produto de saída.

As emissões de ruído do NSSS não podem representar riscos à saúde e ao bem-estar psicológico do usuário. Quando ensaiado de acordo com A.3.7, o sistema de saneamento deve atender aos requisitos especificados nessa norma. As emissões potenciais atmosféricas do NSSS podem ser classificadas como gases poluentes ou explosivos.

O monitoramento de gases explosivos durante a operação é abordado nessa norma e os poluentes atmosféricos do NSSS liberados em ambientes fechados e ao ar livre não podem exceder a um nível que represente riscos à saúde do usuário. Quando ensaiado de acordo com A.3.6, o sistema de saneamento deve atender aos requisitos especificados nessa norma.

O projeto do NSSS (módulo de interface frontal e módulo de tratamento) deve ser tal que as emissões de bioaerossóis e endotoxinas sejam minimizadas. Para NSSS com um módulo de tratamento que descarrega diretamente no ambiente fechado, e quando o bioaerossol e/ou endotoxinas puderem ser razoavelmente previstos, o ensaio para bioaerossóis e para endotoxinas patogênicos é recomendado.

Até o momento da publicação deste documento, nenhum requisito de desempenho foi especificado para bioaerossóis ou endotoxinas. Isto pode mudar no futuro, por exemplo, à medida que forem sendo estabelecidas normas de saúde ocupacional para esses perigos.

A gestão do compliance resulta em uma empresa que cumpre com as suas obrigações

As organizações que almejam ser bem-sucedidas a longo prazo precisam estabelecer e manter uma cultura de compliance, considerando as necessidades e expectativas das partes interessadas. O compliance não é, portanto, apenas a base, mas também uma oportunidade para uma organização bem-sucedida e sustentável. A figura abaixo dá uma visão geral dos elementos comuns de um sistema de gestão de compliance.

O compliance é um processo contínuo e o resultado de uma organização que cumpre suas obrigações. Ele se torna sustentável ao ser incorporado na cultura da organização, e no comportamento e na atitude das pessoas que trabalham para ela. Enquanto mantém sua independência, é preferível que a gestão de compliance seja integrada com os outros processos de gestão da organização e os seus requisitos e procedimentos operacionais.

Um sistema de gestão de compliance eficaz em toda a organização permite que uma organização demonstre seu comprometimento em cumprir leis pertinentes, requisitos regulamentares, códigos setoriais da indústria e normas organizacionais, assim como normas de boa governança, melhores práticas geralmente aceitas, ética e expectativas da comunidade. A abordagem de compliance de uma organização é moldada pela liderança, por meio da aplicação de valores centrais e padrões geralmente aceitos de boa governança, de ética e da comunidade.

Incorporar o compliance no comportamento das pessoas que trabalham para uma organização depende acima de tudo da liderança em todos os níveis e dos valores claros de uma organização, assim como do reconhecimento e implementação de medidas para promover o comportamento de compliance. Se este não for o caso em todos os níveis de uma organização, há um risco de não compliance.

Em um número de jurisdições, os tribunais têm considerado o comprometimento da organização com o compliance por meio do seu sistema de gestão de compliance ao determinar a penalidade adequada a ser imposta por violação de leis pertinentes. Portanto, os órgãos regulatórios e judiciais podem também se beneficiar deste documento como uma referência.

As organizações estão cada vez mais convencidas de que, ao aplicar valores vinculativos e uma gestão de compliance apropriada, elas podem salvaguardar a sua integridade e evitar ou minimizar o não compliance das obrigações de compliance da organização. A integridade e o compliance eficaz são, portanto, elementos chave de uma gestão boa e diligente. O compliance também contribui para o comportamento socialmente responsável das organizações.

A NBR ISO 37301 de 06/2021 – Sistemas de gestão de compliance – Requisitos com orientações para uso especifica os requisitos e fornece diretrizes para estabelecer, desenvolver, implementar, avaliar, manter, e melhorar um sistema de gestão de compliance eficaz dentro de uma organização. Um dos objetivos desse documento é auxiliar as organizações a desenvolverem e disseminarem uma cultura positiva de compliance, considerando que convém que uma gestão de riscos relacionados ao compliance, sólida e eficaz, seja considerada como uma oportunidade a ser perseguida e aproveitada, devido aos diversos benefícios que ela provê para a organização.

As vantagens desse processo incluem melhorar as oportunidades de negócio e sua sustentabilidade; proteger e melhorar a credibilidade e a reputação da organização; considerar as expectativas das partes interessadas; demonstrar o comprometimento de uma organização para gerenciar eficaz e eficientemente seus riscos de compliance; aumentar a confiança de terceiras partes na capacidade da organização de alcançar sucesso sustentado; e minimizar o risco da ocorrência de uma violação aos custos associados e dano reputacional. A ideia é ter as orientações necessárias para possuir as abordagens e os tipos de ações que uma organização pode tomar ao implementar seu sistema de gestão de compliance.

Esses processos descritos não pretendem serem abrangentes ou prescritivos, nem uma organização é obrigada a implementar todas as sugestões desta orientação, para ter um sistema de gestão de compliance que atenda aos requisitos deste documento. As medidas tomadas pela organização devem ser razoáveis em relação à natureza e à extensão dos riscos de compliance que ela enfrenta, para cumprir com as suas obrigações de compliance.

Uma organização pode escolher implementar este sistema de gestão de compliance como um sistema separado, entretanto, idealmente ele deveria ser implementado em conjunto com outros sistemas de gestão, tais como risco, antissuborno, qualidade, meio ambiente, segurança da informação e responsabilidade social, apenas para dar alguns poucos exemplos. Nesses casos, a organização pode se referir às NBR ISO 31000, NBR ISO 37001, NBR ISO 9001, NBR ISO 14001, NBR ISO/IEC 27001, assim como à NBR ISO 26000.

O interessante é que empresas de qualquer porte, complexidade ou setores podem aplicar esse documento para criar um sistema de gestão de compliance, seguindo os seus requisitos. Isso dará as organizações um entendimento do seu contexto, das operações do seu negócio, das obrigações resultantes e dos riscos de compliance e auxiliará na implementação de passos razoáveis para cumprir com as suas obrigações. Cada um dos requisitos nesse documento deve ser seguido.

Na prática, é sempre mais fácil implementar um sistema de gestão de compliance alinhado com esse documento nas pequenas organizações, porque elas são menos complexas. As pequenas e médias organizações irão melhorar as suas práticas organizacionais, usando os princípios dos requisitos desse documento.

Para começar, deve-se estabelecer um entendimento das necessidades e expectativas das pessoas ou organizações que possam afetar, ser afetadas ou se perceberem afetadas pelo sistema de gestão de compliance. Algumas são mandatórias porque precisam ser incorporadas como requisitos formais, como leis, regulamentos, permissões e licenças, e ações governamentais ou judiciais. Podem existir outros requisitos formais, não apresentados, que sejam aplicados.

Outras necessidades e expectativas de uma parte interessada podem se tornar uma obrigação quando elas são especificadas, e a organização decide que irá adotá-las, voluntariamente, por meio de um acordo ou contrato. Uma vez que a organização tenha decidido sobre elas, elas se tornam obrigações de compliance.

Dessa forma, a gestão de compliance é uma estrutura que integra procedimentos, processos, políticas e estruturas essenciais para alcançar os resultados de compliance pretendidos, e agir para prevenir, detectar e responder a um não compliance. Tipicamente, a estrutura de um sistema de gestão de compliance é uma questão estrutural: a infraestrutura necessária sobre a qual se constrói esse sistema.

Em seguida, ela precisa se tornar operacional por meio de toda a implementação de políticas, processos e procedimentos. Em seguida, isso necessita ser mantido e melhorado continuamente. Existem muitos elementos para um sistema de gestão de compliance.

Alguns elementos do sistema de gestão serão projetados para apoiar os comportamentos desejados, enquanto outros serão projetados para prevenir comportamentos indesejáveis. Alguns elementos são apenas para monitorar o desempenho do compliance da organização ou prover alertas caso o não compliance aconteça.

O sistema de gestão de compliance reconhecerá quais erros podem ocorrer e terá processos para assegurar que haja reações apropriadas. Uma reação apropriada incluirá processos de remediação, sistemas e partes impactadas.

A avaliação de riscos de compliance constitui a base para a implementação do sistema de gestão de compliance e a locação de recursos e processos adequados e apropriados para gerenciar os riscos de compliance identificados. Os riscos de compliance podem ser caracterizados pela probabilidade de ocorrência e as consequências do não compliance com a política e as obrigações de compliance da organização.

Os riscos de compliance incluem os riscos de compliance inerentes e os riscos de compliance residuais. Os inerentes se referem a todos os riscos de compliance enfrentados por uma organização em uma situação descontrolada sem qualquer medida correspondente de tratamento dos riscos de compliance. Os residuais são os riscos de compliance não controlados efetivamente pelas medidas existentes de tratamento de risco de compliance de uma organização.

Muitas organizações possuem uma pessoa dedicada (por exemplo, compliance officer) responsável pela gestão do compliance no dia a dia e algumas têm um comitê de compliance interfuncional, para coordenar o compliance em toda a organização. A função de compliance trabalha em conjunto com a gestão. Nem todas as organizações criarão uma função de compliance discreta e algumas atribuirão esta função a uma posição já existente ou irão terceirizar essa função.

Ao terceirizar, a organização deve considerar não atribuir toda a função de compliance para terceiras partes. Mesmo se ela terceirizar parte desta função, deve-se considerar manter a autoridade sobre ela e que supervisione essas funções. É fundamental possuir um programa de treinamento, que pode assegurar que as pessoas sejam competentes para cumprir os seus papéis de forma consistente com a cultura de compliance da organização e com o seu comprometimento com o compliance.

Um treinamento adequadamente projetado e executado pode prover uma maneira eficaz para o pessoal comunicar riscos de compliance previamente não identificados. A educação e o treinamento devem ser, quando apropriados, com base em uma avaliação de lacunas de conhecimento e competência dos funcionários; suficientemente flexíveis para responder a uma série de técnicas para acomodar as diferentes necessidades das organizações e do pessoal; projetados, desenvolvidos e disponibilizados por pessoal qualificado e experiente; disponibilizados no idioma local, quando aplicável; avaliados e estimados quanto a sua eficácia, em bases regulares.

O treinamento interativo pode ser a melhor forma de treinamento se o não compliance puder resultar em sérias consequências. Um mecanismo que funciona no compliance é uma investigação completa e em tempo hábil de quaisquer alegações ou suspeitas de má conduta pela organização, de seu pessoal ou de terceiras partes pertinentes.

Isso inclui a documentação de resposta da organização, incluindo qualquer medida disciplinar ou de remediação tomada, e de revisões do sistema de gestão de compliance considerando as lições aprendidas. Um mecanismo de investigação eficaz identifica as causas-raiz da má conduta, das falhas de responsabilização e das vulnerabilidades do sistema de gestão de compliance. Uma análise cuidadosa da causa-raiz contempla a extensão e a abrangência do não compliance, o número e o nível do pessoal envolvido, a duração e a frequência do não compliance.

Enfim, a eficácia de um sistema de gestão de compliance é caracterizada pelo fato de que ele tem a capacidade de melhorar continuamente e evoluir. Os ambientes interno e externo da organização e os negócios mudam ao longo do tempo, assim como a natureza de seus clientes e as obrigações de compliance aplicáveis. A falha em prevenir ou detectar um não compliance pontual não significa necessariamente que o sistema de gestão de compliance não seja geralmente eficaz na prevenção e detecção de um não compliance.

As informações sobre análise de uma não conformidade ou um não compliance podem ser usadas para considerar: a avaliação do desempenho dos produtos e serviços; a melhoria ou a reprojeção dos produtos e serviços; as mudanças nas práticas e procedimentos organizacionais; o retreinamento das pessoas; a reavaliação da necessidade de informar as partes interessadas; o provimento de aviso prévio sobre um potencial não compliance; a reprojeção ou a análise crítica dos controles; o reforço das etapas de notificação e de escalonamento (interno e externo); a comunicação de fatos relacionados ao não compliance e a posição de organização em relação ao não compliance.

Incorporando a gestão do compliance aos requisitos antissubornos

O suborno é um fenômeno generalizado. Ele causa sérias preocupações sociais, morais, econômicas e políticas, debilita a boa governança, dificulta o desenvolvimento e distorce a competição. Corrói a justiça, mina os direitos humanos e é um obstáculo para o alívio da pobreza.

O suborno também aumenta o custo de fazer negócios, introduz incertezas nas transações comerciais, eleva o custo dos bens e serviços, diminui a qualidade dos produtos e serviços, o que pode levar à perda de vidas e propriedades, destrói a confiança nas instituições e interfere na operação justa e eficiente dos mercados. Trata-se de uma oferta, promessa, doação, aceitação ou solicitação de uma vantagem indevida de qualquer valor (que pode ser financeiro ou não financeiro), direta ou indiretamente, e independente de localização (ões), em violação às leis aplicáveis, como um incentivo ou recompensa para uma pessoa que está agindo ou deixando de agir em relação ao desempenho das suas obrigações. A função do compliance antissuborno envolve a (s) pessoa (s) com responsabilidade e autoridade para a operação do sistema de gestão antissuborno. A due diligence é um processo para aprofundar a avaliação da natureza e extensão dos riscos de suborno e ajudar as organizações a tomar decisões em relação a transações, projetos, atividades, parceiros de negócio e pessoal específico.

Hoje, muitas organizações têm uma pessoa dedicada (por exemplo, compliance officer) responsável pela gestão do compliance no dia a dia e algumas têm um comitê de compliance interfuncional, para coordenar o compliance em toda a organização. A função de compliance trabalha em conjunto com a gestão.

Nem todas as organizações criarão uma função de compliance discreta, pois algumas atribuirão a essa função seria uma posição já existente ou irão terceirizar esta função. Ao terceirizar, convém que a organização considere não atribuir toda a função de compliance para terceiras partes.

Mesmo se ela terceirizar parte desta função, deve considerar manter a autoridade sobre ela e que supervisione estas funções. Ao alocar a responsabilidades pelo sistema de gestão de compliance, deve-se considerar a possibilidade de assegurar que a função de compliance demonstre a integridade e o comprometimento com o compliance; a comunicação eficaz e habilidades para influenciar; uma capacidade e posição para comandar a aceitação de conselhos e orientações; competência pertinente no projeto, na implementação e na manutenção do sistema de gestão do compliance; a assertividade, conhecimento do negócio e experiência para testar e desafiar; uma estratégia, e uma abordagem proativa para o compliance; o tempo suficiente disponível para cumprir as necessidades da função.

Dessa forma, a função de compliance deve ter autoridade, status e independência. Autoridade significa que a função de compliance é atribuída de grande poder pelo órgão diretivo e pela alta direção. Status significa que outras pessoas estão na posição de ouvir e respeitar essa opinião. Independência significa que a função de compliance não está, na medida do possível, envolvida pessoalmente nas atividades que estão expostas a riscos de compliance. Por isso, a função de compliance deve estar livre de conflitos de interesses para cumprir integralmente o seu papel.

A NBR ISO 37301 de 06/2021 – Sistemas de gestão de compliance – Requisitos com orientações para uso especifica os requisitos e fornece diretrizes para estabelecer, desenvolver, implementar, avaliar, manter, e melhorar um sistema de gestão de compliance eficaz dentro de uma organização. A NBR ISO 37001 de 03/2017 – Sistemas de gestão antissuborno – Requisitos com orientações para uso especifica requisitos e fornece orientações para o estabelecimento, implementação, manutenção, análise crítica e melhoria de um sistema de gestão antissuborno.

Os sistemas podem ser independentes ou podem ser integrados a um sistema de gestão global. Pode-se dizer que o compliance é um processo contínuo e o resultado de uma organização que cumpre suas obrigações. Torna-se sustentável ao ser incorporado na cultura da organização, e no comportamento e na atitude das pessoas que trabalham para ela.

Enquanto mantém sua independência, é preferível que a gestão de compliance seja integrada com os outros processos de gestão da organização e os seus requisitos e procedimentos operacionais. Um sistema de gestão de compliance eficaz em toda a organização permite que uma organização demonstre seu comprometimento em cumprir leis pertinentes, requisitos regulamentares, códigos setoriais da indústria e normas organizacionais, assim como normas de boa governança, melhores práticas geralmente aceitas, ética e expectativas da comunidade.

A informação documentada é aquela que se requer que seja controlada e mantida por uma organização e o meio no qual ela está contida. Ela pode ser integrada pelos dois sistemas. A informação documentada pode estar em qualquer formato e meio e pode ser proveniente de qualquer fonte, além de poder se referir ao sistema de gestão, incluindo processos relacionados; a informação criada para a organização operar (documentação); a evidência de resultados alcançados (registros). Para se entender melhor, a figura abaixo provê uma visão geral dos elementos comuns de um sistema de gestão de compliance.

Além disso, a organização deve analisar os riscos de compliance considerando as causas-raiz e as fontes do não compliance e as consequências destas, ao mesmo tempo em que deve incluir a probabilidade de que estas ramificações possam ocorrer. As consequências podem incluir, por exemplo, os danos ambientais e pessoais, as perdas econômicas, os danos à reputação, as mudanças administrativas e as responsabilidades civis e criminais envolvidas no suborno.

A identificação dos riscos de compliance inclui as fontes de risco de compliance e a definição das situações de risco de compliance. As empresas devem identificar as fontes de riscos de compliance, incluindo o suborno, dentro dos vários departamentos, funções e diferentes tipos de atividades organizacionais, de acordo com as responsabilidades do departamento, as responsabilidades profissionais e os diferentes tipos de atividades organizacionais. A organização deve identificar regularmente as fontes dos riscos de compliance e definir as correspondentes situações de riscos de compliance para cada fonte de risco de modo a desenvolver uma lista das fontes de risco e uma lista de situações de riscos.

Para se ter uma cultura de compliance, ética, e riscos de subornos, a empresa deve ter um conjunto de valores publicado de forma clara; possuir uma gestão ativa e que visivelmente implemente e respeite os valores; consistência no tratamento das não compliances, independentemente da posição; mentoriamento, coaching e liderança pelo exemplo; uma apropriada avaliação na pré-contratação de pessoas potenciais para as funções críticas, incluindo due diligence; um programa de indução ou orientação que enfatize o compliance e os valores da organização; treinamento contínuo do compliance, incluindo as atualizações para o treinamento de todas as pessoas e partes interessadas pertinentes; uma comunicação contínua sobre as questões de compliance e de subornos; os sistemas de avaliação de desempenho que considerem a avaliação do comportamento do compliance e antissuborno e considerem o pagamento por desempenho para alcançar os resultados e os indicadores-chave de desempenho; um reconhecimento visível das realizações na gestão e nos resultados de compliance; um ágil e proporcional processo disciplinar para os casos de violações dolosas ou negligentes, das obrigações de compliance; uma clara relação entre a estratégia da organização e os papéis individuais, enfatizando o compliance como essencial para alcançar os resultados organizacionais; uma comunicação apropriada e aberta sobre compliance, tanto internamente como externamente.

A evidência sobre uma cultura de compliance é indicada pelo grau no qual: os itens anteriores estão implementados; as partes interessadas (especialmente as pessoas) acreditam que os itens anteriores foram implementados; o pessoal entende a relevância das obrigações de compliance relativas as suas próprias atividades como também as de sua unidade de negócios; as ações corretivas para abordar não compliance são de propriedade e acionadas em todos os níveis apropriados da organização, conforme requerido; o papel da função de compliance e seus objetivos são valorizados; as pessoas estão capacitadas e encorajadas para levantarem preocupações de compliance aos níveis apropriados da direção, incluindo a alta direção e o órgão diretivo.

A empresa pode escolher implementar este sistema de gestão antissuborno como um sistema separado ou como uma parte integrada de um sistema global de compliance. A organização pode ainda escolher implementar o sistema de gestão antissuborno em paralelo ou como parte de outros sistemas de gestão, como os da qualidade, meio ambiente e segurança da informação. Nesse caso, a organização pode fazer referência às NBR ISO 9001, NBR ISO 14001 e NBR ISO/IEC 27001), bem como às NBR ISO 26000 e NBR ISO 31000.

Na gestão integrada dos dois sistemas de gestão, deve-se levar em conta, embora exista risco de suborno em relação a muitas transações, que uma organização deve implementar um nível mais abrangente de controle antissuborno sobre uma transação de alto risco do que sobre uma transação de baixo risco de suborno. Nesse contexto, é importante compreender que a identificação e a aceitação de um baixo risco de suborno não significam que a organização aceita o fato de o suborno ocorrer, ou seja, o risco de ocorrência do suborno.

Se uma propina pode ocorrer não é o mesmo que a ocorrência do suborno. A organização pode ter tolerância zero para a ocorrência de suborno, enquanto ainda envolver negócios e situações em que haja baixo risco de suborno, ou mais do que um baixo risco, desde que sejam aplicadas medidas de mitigação adequadas. Tendo avaliado os riscos de suborno pertinentes, a organização pode, então, determinar o tipo e o nível de controles a serem aplicados a cada categoria de risco e pode avaliar se os controles existentes são adequados.

API STD 1164: a segurança cibernética de sistemas de controle de dutos

A API STD 1164:2021 – Pipeline Control Systems Cybersecurity fornece os requisitos e a orientação para o gerenciamento de risco cibernético associado a ambientes de automação e controle industrial (industrial automation and control – IAC) para atingir os objetivos de segurança, integridade e resiliência. Dentro dessa norma, isso é realizado por meio do isolamento adequado de ambientes IAC para ajudar na sua continuidade operacional.

Mesmo com o isolamento adequado dos ambientes IAC dos ambientes de TI, ambos desempenham um papel na continuidade geral dos negócios. A continuidade operacional do IAC e a continuidade do sistema de TI são frequentemente desenvolvidas e implementadas em conjunto como parte do plano geral de continuidade de negócios.

O escopo desta norma é limitado apenas aos aspectos de segurança cibernética da IAC que podem influenciar a continuidade geral dos negócios. Ela foi feita sob medida para a indústria de dutos de petróleo e gás natural (oil and natural gas – ONG), que inclui, mas não está limitado a sistemas de dutos de transmissão de gás natural e líquidos perigosos, sistemas de dutos de distribuição de gás natural, instalações de gás natural liquefeito (GNL), instalações de ar propano e outros envolvidos nessas indústrias.

Essa norma foi desenvolvida para fornecer uma abordagem acionável para proteger as funções essenciais do IAC, gerenciando o risco de segurança cibernética para os ambientes IAC. Isso pode incluir, mas não estão limitados a soluções de controle de supervisão e aquisição de dados (Scada), controle local e internet das coisas industriais (IIoT).

A norma deve ser usada no contexto de desenvolvimento, implementação, manutenção e melhoria de um programa de segurança cibernética do IAC, que inclui as políticas, processos, e controles de procedimentos e técnicos para ambientes cibernéticos IAC. Trata-se de um conjunto de requisitos que deve ser customizado antes da implementação usando os processos de gerenciamento de riscos da empresa.

O resultado é um conjunto de requisitos personalizados e específicos da empresa para um programa de segurança cibernética IAC a fim de ajudar a gerenciar a postura de segurança cibernética e qualquer risco residual resultante para seus ambientes IAC em alinhamento com a missão, objetivos e estratégia de risco da empresa, e de acordo com as suas políticas e procedimentos. Embora a identificação de ameaças e impactos seja crítica para o desenvolvimento do programa de segurança cibernética do IAC, uma avaliação baseada no risco de cada um garantirá que o programa seja implementado, executado e sustentado de forma adequada, de acordo com a postura de risco desejada pela organização.

Essa norma se concentra nos resultados de segurança cibernética desejados, definindo requisitos para níveis de proteção de impacto de objetivos de negócios específicos. Embora os princípios definidos nesta norma possam ser aplicados a sistemas instrumentados de segurança (safety instrumented systems – SIS), eles estão fora do escopo deste documento.

Os requisitos de segurança especificados nesta norma não tentam abordar os impactos potenciais para a seleção ou determinação do nível de integridade de segurança (safety integrity level – SIL) do SIS. Qualquer uso desta norma em ambientes SIS fica por conta e risco do implementador. Para as empresas que já têm um programa de segurança cibernética IAC, incluindo uma ou mais políticas de programa aprovadas e um plano ou planos de segurança cibernética IAC documentados implementados ou em implementação, esta norma deve ser considerada um acréscimo aos elementos existentes do programa de segurança cibernética.

Nessas situações, um processo de mapeamento desta norma para os elementos atuais do programa de segurança cibernética da IAC determinará quaisquer requisitos da API 1164 que não estejam atualmente no programa existente. A implementação de quaisquer elementos ausentes deve ser adaptada e priorizada usando os processos de gerenciamento de risco da empresa. O processo de adaptação para os requisitos de segurança cibernética API 1164 é descrito em 5.5.

Conteúdo da norma

1 Escopo. . . . . .. . . . . . . . . . . 1

1.1 Objetivo. . . .. . . . . . . . . . . 1

1.2 Público-alvo. . . . . . . . . . . . 2

1.3 Como ler esta norma . . . . . . . 2

2 Referências normativas. . . . . . . 4

3 Termos, definições, acrônimos e abreviações. .  . . . 4

3.1 Termos e definições. . .. . . . . . . . . . . . . . . . 4

3.2 Siglas. . . . . . . . . . . . . . . . . . . . . . 9

4 Perfis de cibersegurança de dutos IAC de ONG. .  . . 10

4.1 Introdução ao perfil de cibersegurança IAC. …. . 10

4.2 Perfil de segurança cibernética da IAC – restrições comuns………..10

4.3 Perfil de segurança cibernética da IAC – objetivos da proteção contra ameaças. . . . . . . . . . . . . 11

4.4 Perfil de segurança cibernética da IAC – objetivos de missão e negócios. . . . . . . . . . . . . 12

4.5 IAC: perfil de segurança cibernética – objetivos e impacto no mapeamento de proteção contra ameaças. . .  . 13

5 Política, plano e programa de segurança cibernética da ONG e IAC. . . . . . . . . . . . . . . 13

5.1 Plano de desenvolvimento de segurança cibernética da IAC. . . . . . . . . . . . . . . . . . . . . 15

5.2 IAC: plano de segurança cibernética – gerenciamento de risco. . . . .. . . . . . . . 15

5.3 Plano de segurança cibernética da IAC – operacionalizando um programa de segurança cibernética . . . . . . 17

5.4 Perfis de segurança cibernética de seleção de planos de segurança cibernética da IAC. . . . . . . . . . . 18

5.5 Requisitos de perfil selecionado de personalização do plano de segurança cibernética da IAC. . . . . 27

6 ONG IAC: requisitos do perfil de cibersegurança – requirements identify (ID). . . . . . . . 28

6.1 Governança (ID.GV). .. . . . . . . . . 28

6.2 Estratégia de gerenciamento de risco (ID.RM). . 32

6.3 Ambiente de negócios (ID.BE). . . . . . . . . . . . 35

6.4 Gestão de riscos da cadeia de suprimentos (ID.SC)… . 39

6.5 Avaliação de Risco IAC (ID.RA). . . . . . . . . 42

6.6 Gerenciamento de ativos (ID.AM). . . . . . . 49

7 ONG IAC: perfil de cibersegurança – profiles protect (PR)….55

7.1 Controle de acesso (PR.AC). . .  . . . . . 56

7.2 IAC Conscientização e treinamento em segurança cibernética (PR.AT). . . . . . . . . . . . 63

7.3 Segurança de dados (PR.DS).. . . . . . . . 67

7.4 Processos e procedimentos de proteção da informação (PR.IP). . . . . . . . . . . . . . . . 75

7.5 Manutenção (PR.MA). .. . . . . . . . . . . . . 89

7.6 Tecnologia de proteção (PR.PT). . .. . . . . . . . . 92

8 ONG IAC: requisitos do perfil de cibersegurança (detecção – DE). . . .  . . . . . . . . . . . . . 97

8.1 Anomalias e eventos (DE.AE). . .. . . . . . 97

8.2 Monitoramento contínuo de segurança (DE.CM). . .. 100

8.3 Processos de detecção (DE.DP). .. . . . . . . . . . . 106

9 ONG IAC: perfil de cibersegurança dos requisitos de respostas (RS). .  . . . . . . . . . . . . . . 110

9.1 Planejamento de Resposta (RS.RP). . . . . . . . 110

9.2 Comunicações (RS.CO). . .. . . . . . . . . 111

9.3 Análise (RS.AN).. . . . . . . . . . . . . . 114

9.4 Mitigação (RS.MI). . . . . . . . . . . . . . . . 118

9.5 Melhorias (RS.IM). . . . . . . . . . . . . . . . 120

10 ONG IAC: perfil de cibersegurança dos requisitos de recuperação (RC). . . . . . . . . . . . 122

10.1 Planejamento de Recuperação (RC.RP). . . 122

10.2 Melhorias (RC.IM). . . . . . . . . . . . . . . . 122

10.3 Comunicações (RC.CO). .  . . . . . . . . . 124

Anexo A (informativo) Construção e mapeamento da norma API 1164. . . . . .  . . . . . . . 126

Anexo B (informativo) Modelo Plan-Do-Check-Act.  . 129

Anexo C (informativo) Ações recorrentes. . . . . . . . . 131

Bibliografia. . .. . . . . . . . . . . . . . . . . . . . . . . . . . 132

Em resumo, a infraestrutura de dutos – composta por milhares de empresas e mais de 2,7 milhões de quilômetros de dutos responsáveis pelo transporte de petróleo, gás natural e outras commodities – é um facilitador fundamental da segurança econômica mundial. Como os proprietários e os operadores de dutos estão cada vez mais confiando na integração de tecnologias de informação e comunicação (TIC) em tecnologia da informação (TI) e tecnologia operacional (TO) para conduzir a automação, eles também devem implementar medidas de segurança para proteger os dutos de riscos cibernéticos em evolução e emergentes. A integração de dispositivos de TIC em sistemas de dutos críticos cria uma vulnerabilidade que os hackers cibernéticos podem explorar.

O tratamento de ar em estabelecimentos assistenciais de saúde

A NBR 7256 de 08/2021 – Tratamento de ar em estabelecimentos assistenciais de saúde (EAS) – Requisitos para projeto e execução das instalações estabelece os requisitos mínimos para projeto e execução de instalações de tratamento de ar em estabelecimentos assistenciais de saúde (EAS). Aplica-se aos ambientes assistenciais de saúde com classificação de risco nível 1 ou superior e se aplica a instalações em EAS novas e em áreas a serem modificadas, modernizadas, ou ampliadas de EAS existentes.

Essa norma estabelece os requisitos mínimos de tratamento de ar de acordo com uma classificação de risco do ambiente, mas não se aplica aos ambientes não diretamente relacionados aos serviços assistenciais, como escritórios administrativos, auditórios, bibliotecas e outros ambientes que são regidos pela NBR 16401, todas as partes, ou outras normas específicas. Não se aplica aos laboratórios de segurança biológica (biocontenção). Os EAS são edificações destinadas à prestação de assistência à saúde e à população, em regime de internação ou não, quaisquer que sejam seus níveis de complexidade.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais são os requisitos para a sala de procedimentos?

Quais os parâmetros para o projeto de um centro cirúrgico?

O que deve ser feito em relação aos ambientes operacionais (AO)?

Como executar a pressurização e os fluxos de ar entre ambientes?

As instalações de tratamento de ar devem prover e controlar, no mínimo algumas das seguintes condições conjugadas: temperatura; umidade; pureza; renovação; movimentação; pressão. Um dos objetivos essenciais das instalações é garantir a qualidade do ar adequada e, em particular, reduzir os riscos biológicos e químicos existentes no ar do ambiente a níveis compatíveis com a atividade desenvolvida nas diversas áreas.

O tratamento de ar, embora seja um fator importante para reduzir o risco de contaminações nos ambientes, deve ser considerado um complemento às demais medidas de controle de infecção hospitalar, que constem no âmbito da rotina operacional do EAS. As instalações de tratamento de ar podem se tornar causa e fonte de contaminação, se não forem corretamente projetadas, construídas, operadas e monitoradas, ou se não receberem os cuidados necessários de limpeza, higienização e manutenção.

As instalações de tratamento de ar devem ser projetadas, construídas, operadas e mantidas de forma a minimizar o risco de incêndio. Deve-se reduzir as possíveis fontes de ignição, bem como evitar o uso de quaisquer materiais combustíveis nestas instalações.

As instalações de tratamento de ar devem considerar a continuidade das operações dos EAS em condições normais ou emergenciais, internas ou externas. Recomenda-se registrar as premissas e os critérios adotados em comum acordo com o contratante no desenvolvimento do projeto.

Para os EAS, o número e a disposição das fontes de refrigeração e dos acessórios essenciais devem ser suficientes para suportar o plano de operação do estabelecimento após uma avaria ou manutenção preventiva de qualquer uma das fontes. O controle das condições termo-higrométricas é necessário para, além de propiciar condições gerais de conforto para os pacientes e profissionais da área de saúde: manter condições termo-higrométricas ambientais favoráveis a tratamentos específicos; manter a umidade relativa adequada para inibir a proliferação de micro-organismos; propiciar condições específicas de temperatura e/ou umidade relativa para operação de equipamentos específicos.

Os valores de temperatura e umidade relativa para os diversos ambientes estão estipulados no Anexo A. Os agentes infecciosos podem permanecer em suspensão no ar e 99,97% dos agentes microbiológicos podem ser retidos em filtros de alta eficiência, conforme tabela abaixo que apresenta a classificação para os filtros de alta eficiência. A eficiência indicada se refere ao tamanho de partícula de maior penetração (MPPS). Em áreas críticas, deve-se utilizar no mínimo os filtros ISO 35H, conforme Anexo A.

Quanto à classificação de risco de ocorrência de eventos adversos à saúde por exposição ao ar, do ambiente, para os efeitos desta norma, aplica-se a seguinte classificação de riscos ambientais à saúde: Nível 0, área onde o risco não excede aquele encontrado em ambientes de uso público e coletivo e pode-se observar que esses ambientes não são contemplados por esta norma; Nível 1, área onde foi constatado baixo risco de ocorrência de agravos à saúde relacionados à qualidade do ar, porém órgãos regulamentadores, organizações ou investigadores sugerem que o risco seja considerado; Nível 2, área onde existem evidências de risco de ocorrência de agravos à saúde relacionados à qualidade do ar, de seus ocupantes ou de pacientes que utilizem produtos manipulados nestas áreas, baseadas em estudos experimentais, clínicos ou epidemiológicos; Nível 3, área onde existem evidências de alto risco de ocorrência de agravos sérios à saúde relacionados à qualidade do ar, de seus ocupantes ou pacientes que utilizem insumos manipulados nestas áreas, baseadas em estudos experimentais, clínicos ou epidemiológicos. Os requisitos de segurança contra incêndio devem estar em conformidade com a Seção 9.

Os ambientes podem ser caracterizados considerando o uso e a função que definem as escolhas do sistema de tratamento de ar, conforme as descrições a seguir e no Anexo A: ambiente protetor (PE); centro cirúrgico (CC); ambiente de isolamento de infecções por aerossóis, materiais contaminados e emissão de vapores/gases (AII); ambiente associado (AA); e ambiente operacional (AO). As situações a controlar e as condições especiais são: AgB ‒ agente biológico; AgQ ‒ agente químico; AgR ‒ agente radiológico; TE ‒ terapias ou processos especiais (verificar requisitos específicos de temperatura e umidade); EQ ‒ condições especiais para funcionamento do equipamento (consultar o fabricante).

Deve-se estabelecer e seguir os procedimentos formais para a operação e a manutenção das condições de projeto das áreas referenciadas nessa norma, principalmente garantindo os procedimentos de higienização após a utilização dos sistemas de tratamento de ar nestas condições, conforme a NBR 13971. Registrar o procedimento e os responsáveis no Plano de manutenção, operação e controle (PMOC).

Os ambientes protetores devem estar de acordo com as recomendações desta norma, as suas descrições e o Anexo A. No quarto de pacientes imunocomprometidos de alto risco para desenvolvimento de infecção, em termos gerais, o ambiente protetor deve possuir as seguintes características: o banheiro deve ter a pressão negativa em relação ao quarto de no mínimo 5 Pa; no caso de antecâmara tipo bolha, esta deve ter a pressão positiva em relação ao corredor e ao quarto (ver Anexo C); no caso de antecâmara do tipo sumidouro, esta deve ter a pressão negativa em relação ao corredor e ao quarto (ver Anexo C); ter um dispositivo de leitura local instalado nos ambientes a monitorar.

Caso haja supervisão remota, monitorar constantemente o diferencial de pressão. Em ambos os casos deve haver alarme visual e sonoro; instalar no ambiente protetor (PE) um indicador de temperatura e umidade em local de fácil acesso para a leitura pelo corpo técnico. A indicação da temperatura e umidade deve ser feita pelo mesmo sensor do sistema de controle.

Deve-se selar adequadamente as paredes, os forros, as luminárias, o piso, as portas e as janelas para limitar o vazamento, obtendo-se os diferenciais de pressão desejados. As portas devem ser compatíveis com o diferencial de pressão desejado, e deve ser observado o sentido de abertura para obter a adequada vedação periférica. A renovação com o ar externo deve ser feita com no mínimo filtro G4 na tomada de ar externo e deve atender aos requisitos da NBR 16401-3, com vazão mínima correspondente a duas renovações de ar por hora; ter no mínimo doze movimentações de ar por hora.

Deve-se ter no mínimo três estágios de filtragem para o ar de insuflação, com as eficiências mínimas de G4 para o primeiro estágio, F8 para o segundo estágio e ISO 35H para o terceiro estágio; ter um equipamento dedicado ao ambiente; neste caso, a recirculação do ar é permitida e recomenda-se a instalação de equipamento de condicionamento de ar em sala de máquinas externa ao ambiente. Caso necessário, pode ser instalado o equipamento no ambiente, desde que atenda aos requisitos de renovação, filtragem, pressurização e condicionamento do ar com previsão de acesso para manutenção e higienização.

A distribuição do ar deve ser feita por meio de difusores não aspirativos instalados no forro, com caixa terminal com filtro ISO 35H, de tal forma que a velocidade de difusão do ar seja inferior a 0,2 m/s no leito. O retorno deve ser instalado preferencialmente próximo à cabeceira, atrás ou lateralmente à cama a 20 cm do piso (ver Anexo C).

Deve ter a temperatura de bulbo seco entre 20 ºC a 24 ºC e ter a umidade relativa máxima de 60% limitada a um intervalo de umidade absoluta de 4,0 g/kg a 10,6 g/kg. A unidade de internação de queimados (UIQ) deve ser projetada e construída para permitir as temperaturas do ambiente de 24 ºC a 32 ºC e umidade relativa de 40% a 60%.

As instalações elétricas de equipamentos associados à operação e/ou controle de sistemas de tratamento de ar devem ser projetadas, ensaiadas e mantidas em conformidade com as NBR 5410 e NBR 13534, considerando ainda as seguintes recomendações: atenção especial deve ser dada aos circuitos ou barramentos de energia que proveem alimentação elétrica para centro (s) cirúrgico (s), unidade (s) de tratamento intensivo, ambientes protetores e de isolamento de infecção por aerossóis, que só podem vir a ser desligados, mediante comando manual do profissional habilitado para tal. De maneira análoga, devem ser previstos circuitos ou barramentos de energia independentes para alimentação dos grupos de sistemas de tratamento de ar que atendam de forma autônoma e independente os diferentes compartimentos contra incêndio para centro (s) cirúrgico (s), unidade (s) de tratamento intensivo, ambientes protetores e de isolamento de infecção por aerossóis.

Os ventiladores de insuflação devem ser instalados de forma a evitar que partículas geradas no mecanismo de acionamento do moto-ventilador sejam transportadas à rede de dutos. A condensação de umidade no ventilador deve ser evitada. O critério para definição da pressão dos ventiladores é de responsabilidade do projetista do sistema.

Com a finalidade de evitar o superdimensionamento do ventilador, o projetista deve considerar as diferentes velocidades dos filtros de projeto e o respectivo efeito no diferencial de pressão do filtro limpo e sujo. Não é recomendado para o dimensionamento do ventilador, o valor da soma das perdas de pressão máximas de cada estágio de filtragem.

Neste caso, deve ser avaliada a necessidade de um dispositivo de controle da vazão do ventilador em decorrência da sujidade dos filtros e sua respectiva variação da perda de pressão. A voluta do ventilador deve ter preferivelmente, uma porta de inspeção e um dreno, permitindo assim, a limpeza interna e adequada.