Incorporando a gestão do compliance aos requisitos antissubornos

O suborno é um fenômeno generalizado. Ele causa sérias preocupações sociais, morais, econômicas e políticas, debilita a boa governança, dificulta o desenvolvimento e distorce a competição. Corrói a justiça, mina os direitos humanos e é um obstáculo para o alívio da pobreza.

O suborno também aumenta o custo de fazer negócios, introduz incertezas nas transações comerciais, eleva o custo dos bens e serviços, diminui a qualidade dos produtos e serviços, o que pode levar à perda de vidas e propriedades, destrói a confiança nas instituições e interfere na operação justa e eficiente dos mercados. Trata-se de uma oferta, promessa, doação, aceitação ou solicitação de uma vantagem indevida de qualquer valor (que pode ser financeiro ou não financeiro), direta ou indiretamente, e independente de localização (ões), em violação às leis aplicáveis, como um incentivo ou recompensa para uma pessoa que está agindo ou deixando de agir em relação ao desempenho das suas obrigações. A função do compliance antissuborno envolve a (s) pessoa (s) com responsabilidade e autoridade para a operação do sistema de gestão antissuborno. A due diligence é um processo para aprofundar a avaliação da natureza e extensão dos riscos de suborno e ajudar as organizações a tomar decisões em relação a transações, projetos, atividades, parceiros de negócio e pessoal específico.

Hoje, muitas organizações têm uma pessoa dedicada (por exemplo, compliance officer) responsável pela gestão do compliance no dia a dia e algumas têm um comitê de compliance interfuncional, para coordenar o compliance em toda a organização. A função de compliance trabalha em conjunto com a gestão.

Nem todas as organizações criarão uma função de compliance discreta, pois algumas atribuirão a essa função seria uma posição já existente ou irão terceirizar esta função. Ao terceirizar, convém que a organização considere não atribuir toda a função de compliance para terceiras partes.

Mesmo se ela terceirizar parte desta função, deve considerar manter a autoridade sobre ela e que supervisione estas funções. Ao alocar a responsabilidades pelo sistema de gestão de compliance, deve-se considerar a possibilidade de assegurar que a função de compliance demonstre a integridade e o comprometimento com o compliance; a comunicação eficaz e habilidades para influenciar; uma capacidade e posição para comandar a aceitação de conselhos e orientações; competência pertinente no projeto, na implementação e na manutenção do sistema de gestão do compliance; a assertividade, conhecimento do negócio e experiência para testar e desafiar; uma estratégia, e uma abordagem proativa para o compliance; o tempo suficiente disponível para cumprir as necessidades da função.

Dessa forma, a função de compliance deve ter autoridade, status e independência. Autoridade significa que a função de compliance é atribuída de grande poder pelo órgão diretivo e pela alta direção. Status significa que outras pessoas estão na posição de ouvir e respeitar essa opinião. Independência significa que a função de compliance não está, na medida do possível, envolvida pessoalmente nas atividades que estão expostas a riscos de compliance. Por isso, a função de compliance deve estar livre de conflitos de interesses para cumprir integralmente o seu papel.

A NBR ISO 37301 de 06/2021 – Sistemas de gestão de compliance – Requisitos com orientações para uso especifica os requisitos e fornece diretrizes para estabelecer, desenvolver, implementar, avaliar, manter, e melhorar um sistema de gestão de compliance eficaz dentro de uma organização. A NBR ISO 37001 de 03/2017 – Sistemas de gestão antissuborno – Requisitos com orientações para uso especifica requisitos e fornece orientações para o estabelecimento, implementação, manutenção, análise crítica e melhoria de um sistema de gestão antissuborno.

Os sistemas podem ser independentes ou podem ser integrados a um sistema de gestão global. Pode-se dizer que o compliance é um processo contínuo e o resultado de uma organização que cumpre suas obrigações. Torna-se sustentável ao ser incorporado na cultura da organização, e no comportamento e na atitude das pessoas que trabalham para ela.

Enquanto mantém sua independência, é preferível que a gestão de compliance seja integrada com os outros processos de gestão da organização e os seus requisitos e procedimentos operacionais. Um sistema de gestão de compliance eficaz em toda a organização permite que uma organização demonstre seu comprometimento em cumprir leis pertinentes, requisitos regulamentares, códigos setoriais da indústria e normas organizacionais, assim como normas de boa governança, melhores práticas geralmente aceitas, ética e expectativas da comunidade.

A informação documentada é aquela que se requer que seja controlada e mantida por uma organização e o meio no qual ela está contida. Ela pode ser integrada pelos dois sistemas. A informação documentada pode estar em qualquer formato e meio e pode ser proveniente de qualquer fonte, além de poder se referir ao sistema de gestão, incluindo processos relacionados; a informação criada para a organização operar (documentação); a evidência de resultados alcançados (registros). Para se entender melhor, a figura abaixo provê uma visão geral dos elementos comuns de um sistema de gestão de compliance.

Além disso, a organização deve analisar os riscos de compliance considerando as causas-raiz e as fontes do não compliance e as consequências destas, ao mesmo tempo em que deve incluir a probabilidade de que estas ramificações possam ocorrer. As consequências podem incluir, por exemplo, os danos ambientais e pessoais, as perdas econômicas, os danos à reputação, as mudanças administrativas e as responsabilidades civis e criminais envolvidas no suborno.

A identificação dos riscos de compliance inclui as fontes de risco de compliance e a definição das situações de risco de compliance. As empresas devem identificar as fontes de riscos de compliance, incluindo o suborno, dentro dos vários departamentos, funções e diferentes tipos de atividades organizacionais, de acordo com as responsabilidades do departamento, as responsabilidades profissionais e os diferentes tipos de atividades organizacionais. A organização deve identificar regularmente as fontes dos riscos de compliance e definir as correspondentes situações de riscos de compliance para cada fonte de risco de modo a desenvolver uma lista das fontes de risco e uma lista de situações de riscos.

Para se ter uma cultura de compliance, ética, e riscos de subornos, a empresa deve ter um conjunto de valores publicado de forma clara; possuir uma gestão ativa e que visivelmente implemente e respeite os valores; consistência no tratamento das não compliances, independentemente da posição; mentoriamento, coaching e liderança pelo exemplo; uma apropriada avaliação na pré-contratação de pessoas potenciais para as funções críticas, incluindo due diligence; um programa de indução ou orientação que enfatize o compliance e os valores da organização; treinamento contínuo do compliance, incluindo as atualizações para o treinamento de todas as pessoas e partes interessadas pertinentes; uma comunicação contínua sobre as questões de compliance e de subornos; os sistemas de avaliação de desempenho que considerem a avaliação do comportamento do compliance e antissuborno e considerem o pagamento por desempenho para alcançar os resultados e os indicadores-chave de desempenho; um reconhecimento visível das realizações na gestão e nos resultados de compliance; um ágil e proporcional processo disciplinar para os casos de violações dolosas ou negligentes, das obrigações de compliance; uma clara relação entre a estratégia da organização e os papéis individuais, enfatizando o compliance como essencial para alcançar os resultados organizacionais; uma comunicação apropriada e aberta sobre compliance, tanto internamente como externamente.

A evidência sobre uma cultura de compliance é indicada pelo grau no qual: os itens anteriores estão implementados; as partes interessadas (especialmente as pessoas) acreditam que os itens anteriores foram implementados; o pessoal entende a relevância das obrigações de compliance relativas as suas próprias atividades como também as de sua unidade de negócios; as ações corretivas para abordar não compliance são de propriedade e acionadas em todos os níveis apropriados da organização, conforme requerido; o papel da função de compliance e seus objetivos são valorizados; as pessoas estão capacitadas e encorajadas para levantarem preocupações de compliance aos níveis apropriados da direção, incluindo a alta direção e o órgão diretivo.

A empresa pode escolher implementar este sistema de gestão antissuborno como um sistema separado ou como uma parte integrada de um sistema global de compliance. A organização pode ainda escolher implementar o sistema de gestão antissuborno em paralelo ou como parte de outros sistemas de gestão, como os da qualidade, meio ambiente e segurança da informação. Nesse caso, a organização pode fazer referência às NBR ISO 9001, NBR ISO 14001 e NBR ISO/IEC 27001), bem como às NBR ISO 26000 e NBR ISO 31000.

Na gestão integrada dos dois sistemas de gestão, deve-se levar em conta, embora exista risco de suborno em relação a muitas transações, que uma organização deve implementar um nível mais abrangente de controle antissuborno sobre uma transação de alto risco do que sobre uma transação de baixo risco de suborno. Nesse contexto, é importante compreender que a identificação e a aceitação de um baixo risco de suborno não significam que a organização aceita o fato de o suborno ocorrer, ou seja, o risco de ocorrência do suborno.

Se uma propina pode ocorrer não é o mesmo que a ocorrência do suborno. A organização pode ter tolerância zero para a ocorrência de suborno, enquanto ainda envolver negócios e situações em que haja baixo risco de suborno, ou mais do que um baixo risco, desde que sejam aplicadas medidas de mitigação adequadas. Tendo avaliado os riscos de suborno pertinentes, a organização pode, então, determinar o tipo e o nível de controles a serem aplicados a cada categoria de risco e pode avaliar se os controles existentes são adequados.

REVISTA DIGITAL ADNORMAS – Edição 179 | Ano 4 | 7 Outubro 2021

Acesse a versão online: https://revistaadnormas.com.br

Edição 179 | Ano 4 | 7 Outubro 2021 ISSN: 2595-3362 Acessar edição

Confira os 12 artigos desta edição: O gerenciamento dos relatórios de capital humano interno e externo Os novos paradigmas para a documentação de um sistema de gestão da qualidade O software híbrido é o combustível da próxima geração de software Os riscos da rádio frequência (RF) das estações de radiocomunicações em humanos Como promover a sustentabilidade nas empresas As qualificações e as competências do soldador de tubos e conexões poliméricos Com o grafeno, a geração de energia solar será para todos A uniformidade da distribuição de água em irrigação com sprayers ou aspersores As mulheres ganham cada vez mais seus espaços na área da robótica A qualificação e a prática dos ensaios não destrutivos por líquido penetrante As empresas podem reduzir os custos com energia no mercado livre de energia A Qualidade dos projetos, construção e métodos de ensaio dos fluxômetros

Por que a excelência em serviço é fundamental no mundo atual?

Antes, o atendimento de excelência era a marca registrada de uma experiência de luxo – desejada pelas pessoas e oferecida por algumas empresas para os consumidores de alto poder aquisitivo. Hoje, é um aspecto do setor de serviços que passou a ser esperado pelos clientes e, com isso, todas as empresas do setor de serviços têm afirmado sua adesão à excelência em serviços. Isso não se trata apenas de fornecer serviços de luxo pois, por definição, a excelência de serviço se refere à capacidade dos fornecedores de serviço em atender consistentemente e, ocasionalmente, até mesmo exceder às expectativas dos clientes. Isso implica que o verdadeiro significado de serviço excelente é relativo ao serviço em si e às expectativas dos clientes sobre ele, ou seja, um serviço excelente é a chave para alcançar uma excelente experiência do cliente, o que leva ao deleite do cliente. Construir um relacionamento melhor e contínuo com os clientes por meio de um atendimento de excelência diferencia a organização de seus concorrentes. Atualmente, 72% dos clientes compartilhariam uma boa experiência com seis ou mais pessoas. No mundo do marketing boca-a-boca, esse é um número imenso, pois 74% dos consumidores consideram essa prática como influenciadora-chave em suas decisões de compra. Portanto, como as análises e recomendações online de amigos e familiares reinam supremas nesta era de conversação digital, o design de serviço adequado e a entrega da experiência do cliente se tornaram mais cruciais do que nunca para a lucratividade de longo prazo de uma empresa de serviços. As expectativas dos clientes no mundo competitivo de hoje mudaram e estão em constante evolução e crescimento. Para manter e aumentar sua base de clientes, as organizações devem criar experiências de cliente melhores e mais diferenciadas. Por isso, é essencial que as organizações entendam as expectativas, as necessidades, os desejos, os problemas e as experiências dos clientes. Eles podem ser usados como entradas para o design do serviço. O fornecedor de serviços faz propostas de valor com o objetivo de criar resultados valiosos para o cliente. O valor também pode ser criado por meio da experiência e do feedback do cliente, e os benefícios são percebidos tanto pelo fornecedor de serviços quanto pelo cliente. O aumento do uso da internet e das tecnologias sensoriais e digitais está incentivando esse processo de criação.

Quando os clientes avaliam um produto ou serviço, eles comparam sua percepção com o produto ou serviço efetivamente entregue ao que acham que deveria ser. Esse processo geralmente é feito em um nível subconsciente. Por isso, as organizações que buscam oferecer excelência em serviços entendem as necessidades, expectativas e psicologia básica de seus clientes, e trabalham continuamente na avaliação e evolução de seus processos, em todos os departamentos, a fim de superar essas necessidades e expectativas.

As empresas de sucesso se envolvem proativamente com os clientes, não apenas para fornecer um serviço excepcional, mas para receber seus comentários sobre o desenvolvimento e a melhoria dos produtos ou serviços. Elas possuem um sistema abrangente para receber esse feedback e capacitam seus funcionários a operar de forma autônoma no cumprimento de suas funções de atendimento ao cliente, bem como na resolução de conflitos ou reclamações.

A articulação do objetivo e dos padrões de serviço de uma empresa é o primeiro passo para determinar o nível de excelência de serviço e, portanto, as áreas descritas a seguir devem ser abordadas. Deve-se incluir as atividades de pesquisa de satisfação do cliente e os processos que são usados para comunicar e utilizar seus resultados no que diz respeito a melhorar a experiência do cliente e as linhas de produtos e/ou serviços. Relacionar o desempenho do serviço ao cliente da organização e como ele mudou ao longo do tempo. Uma pergunta deve ser feita: a cultura da organização é centrada no cliente? A definição de excelência no atendimento ao cliente é declarada, mas e as características que a explicam?

Pode-se listar no que consiste m excelente serviço ao cliente: atender às expectativas do cliente, exceder as expectativas do cliente, buscar a personalização do atendimento ao cliente de acordo com as necessidades do seu público-alvo, resolver qualquer problema em tempo hábil com respostas rápidas, responder a qualquer pergunta, reconhecer quando o cliente precisa de ajuda (usar chatbots e gatilhos são úteis para esta parte), mostrar uma atitude positiva, mesmo quando surgem algumas reclamações, ser criativo na resolução de problemas.

No processo de atendimento ao cliente e alcançar a excelência, pode-se seguir algumas dicas que podem ajudar:

– Conheça sua marca e seu produto – As pessoas de atendimento ao cliente precisam ser informadas sobre a empresa e o produto. O conhecimento extensivo é uma obrigação. Essa é a única maneira de garantir que os clientes receberão respostas aceitáveis.

– Tenha uma página de perguntas comuns visível (frequently asked questions – FAQ) – Crie uma página com as perguntas mais comuns para oferecer aos clientes uma solução rápida. Os clientes ficarão gratos por isso, pois 71% deles desejam a capacidade de resolver problemas de atendimento ao cliente por conta própria. A página deve ser colocada em uma página visível. As respostas precisam ser bem escritas, então verifique a lista dos principais escritores e escolha um serviço de redação que possa ajudá-lo.

– Trate os clientes como indivíduos – Isso pode ser alcançado personalizando a abordagem. Com a introdução da inteligência artificial (IA) e dos chatbots, o atendimento ao cliente pode parecer frio. 40% dos clientes expressaram que desejam um melhor serviço humano. Os clientes desejam interagir com humanos e pode-se fornecer essa opção a eles.

– Seja fiel às suas promessas – Se a empresa deseja que os clientes vejam o negócio como confiável e com credibilidade, precisa cumprir tudo o que promete. Não diga aos clientes que eles receberão um reembolso se isso não for uma verdade. Simplesmente não faça promessas que não possa cumprir.

– Antecipe as necessidades do cliente – Às vezes, os clientes não têm certeza do que precisam. É aí que se precisa reconhecer as necessidades e direcioná-las de acordo. Por exemplo, pode-se dar a eles um desconto raro ou oferecer um preço especial por aquele item que está no carrinho há algum tempo.

Dessa forma, manter o status de excelente serviço ao cliente não é uma missão inatingível. É uma meta que exige muito trabalho e dedicação. Sabendo o que caracteriza a excelência no atendimento ao cliente, pode direcionar os esforços para esse objetivo.

A organização deve compreender seu papel, importância e diferença entre o deleite do cliente e a satisfação do cliente, a fim de aprimorar sua capacidade de fornecer esse deleite. Pode-se, também, explorar as maneiras de desenvolver e manter a satisfação do cliente.

Um padrão de design específico para obter um serviço excelente é necessário para um melhor sucesso nos negócios. Os padrões e métodos de design devem ser adotados em muitas organizações, mas não cobrem adequadamente como criar um serviço excelente que leve ao deleite do cliente.

A ISO 23592:2021 – Service excellence — Principles and model especifica a terminologia, os princípios e o modelo de excelência em serviços para obter uma experiência excelente do cliente e satisfação sustentável do cliente. Não se concentra na prestação de serviço básico ao cliente, mas na prestação de um serviço de excelência. Este documento se aplica a todas as organizações que prestam serviços, como organizações comerciais, serviços públicos e organizações sem fins lucrativos.

Conteúdo da norma (tradução livre)

Prefácio

Introdução

1 Escopo

2 Referências normativas

3 Termos e definições

4 Relevância e benefícios da excelência em serviços

5 Princípios de excelência de serviço

6 Modelo de excelência de serviço

7 Elementos do modelo de excelência de serviço

7.1 Liderança e estratégia de excelência de serviço

7.2 Cultura de excelência de serviço e envolvimento dos funcionários

7.3 Criação de excelentes experiências para o cliente

7.4 Excelência em serviço operacional

Bibliografia

As expectativas dos clientes no mundo competitivo de hoje mudaram e estão em constante evolução. Atualmente, a globalização, a digitalização e a crescente variedade de produtos e serviços permitem aos clientes mais liberdade de escolha. Cada compra e contato com o cliente é um momento da verdade.

As organizações frequentemente afirmam que colocam o cliente no centro de seus negócios. Porém, em mercados competitivos é essencial gerenciar toda a organização em torno do cliente e da experiência oferecida.

As organizações que fazem isso irão florescer. A entrega ideal da satisfação do cliente não pode mais ser alcançada pela oferta de produtos e serviços básicos esperados pelo cliente. Para ter sucesso e ficar à frente dos concorrentes, é fundamental encantar os clientes proporcionando experiências marcantes e diferenciadoras. Esse é o objetivo da excelência no atendimento.

Este documento descreve os princípios, elementos e subelementos para a criação de excelentes experiências para o cliente. Os fundamentos básicos da implementação da excelência em serviços são os dois níveis inferiores da pirâmide de excelência em serviços (consulte a Figura 1 abaixo).

Os níveis 1 e 2 tratam de atender às expectativas dos clientes e cumprir as promessas. Eles levam à satisfação do cliente. A proposta de serviço principal (Nível 1) é percebida pelos clientes como cumprimento de promessas. O gerenciamento de feedback do cliente (Nível 2) resulta em lidar bem com problemas e dúvidas. Estes são descritos em normas internacionais como a ISO 9001, ISO 10002 e ISO/IEC 20000-1.

Esse documento trata dos níveis superiores: excelente prestação de serviço individual (Nível 3); e prestação de serviços surpreendentemente excelente (Nível 4). Esses dois níveis criam uma conexão emocional com o cliente e levam ao deleite do cliente. O impacto para o negócio é uma imagem de marca forte e atratividade para clientes novos e existentes, bem como diferenciação competitiva.

A prestação de serviço individual de excelência (Nível 3) resulta em um serviço percebido pelos clientes como caloroso, genuíno, personalizado, feito sob medida e criador de valor. O cliente experimenta uma reação emocional ao se sentir valorizado.

A prestação de serviços surpreendentemente excelente (Nível 4) resulta em um serviço feito sob medida e leva a emoções de surpresa e alegria. É entregue superando as expectativas do cliente. Isso pode ser alcançado proporcionando as experiências surpreendentes e excepcionais ao cliente. Contudo, várias abordagens podem ser usadas para alcançar a satisfação do cliente. A pirâmide de excelência de serviço deve ser usada para explicar aos gerentes e funcionários porque uma organização deve se concentrar em cumprir as promessas (Níveis 1 e 2) e exceder as expectativas do cliente, entregando serviços excelentes (Níveis 3 e 4).

Assim, esse documento define os termos essenciais, descreve os princípios relevantes e constrói um modelo de excelência de serviço. Ele oferece uma estrutura abrangente para documentos adicionais para lidar com os elementos essenciais do modelo de excelência de serviço em mais detalhes. A ISO/TS 24082 oferece os princípios e as atividades de design de serviços de excelência. Especifica os elementos da dimensão criando experiências excepcionais para o cliente do modelo de excelência de serviço. Assim, está relacionado ao item 7.3 deste documento.

A ISO/TS 23686 fornece um conjunto apropriado de métricas e métodos internos e externos que podem ser usados para medir o desempenho da excelência do serviço, particularmente os influenciadores e os efeitos substanciais de excelentes experiências do cliente e deleite do cliente. Abrange todas as dimensões do modelo de excelência em serviços. Portanto, está relacionado ao item 7.4 deste documento.

Enfim, uma estratégia de atendimento ao cliente ajuda a atender às necessidades específicas de seus mercados-alvo e define como você pode permitir que seus clientes saibam que você entende suas necessidades e pode atendê-las. No cerne do serviço ao cliente está o conceito de cumprir uma promessa – ao prometer de que é capaz de fornecer o melhor produto ou serviço, ou que pode entregar rapidamente, ou oferecer o melhor preço, deve-se ser capaz de cumprir essa promessa.

Ter uma estratégia de atendimento ao cliente em vigor garante que os processos, sistemas ou pessoas não o decepcionem. Para ver se o atendimento ao cliente está ajudando a manter os clientes atuais e atrair novos, existem dez áreas que se pode verificar regularmente:

– Informações sobre produtos e serviços – explicando claramente o que se oferece.

– Atendimento presencial e de balcão – ajudando os clientes a atender às suas necessidades.

– Serviço telefônico – atendimento rápido e preciso.

– Receber pedidos de clientes – facilitando a compra.

– Acompanhamento relevante e oportuno.

– Faturamento e gerenciamento de pagamentos – tornando o pagamento claro e fácil.

– Visitando o cliente – chegando na hora certa.

– Fazendo reparos – corrigidos na primeira vez e na hora certa.

– Tratamento de reclamações – transformando as reclamações em elogios.

– Gerenciando a cultura de serviço – um negócio focado no cliente.

Em suma, o processo de serviço ajuda a empresa a superar as expectativas do cliente e estimular a fidelidade. Existem cinco dimensões gerais das expectativas do cliente: confiabilidade – a capacidade de executar conforme prometido, de forma confiável e precisa; tangíveis – a imagem da empresa representada pela aparência das instalações físicas, equipamentos, pessoal e materiais de comunicação; a capacidade de resposta – a disposição para ajudar os clientes e fornecer um serviço rápido; garantia – o conhecimento e a cortesia dos funcionários e capacidade de transmitir confiança e segurança aos clientes; e empatia – a atenção atenciosa e individualizada prestada ao cliente.

Independentemente de como se mede a satisfação com o atendimento ao cliente, a confiabilidade vem em primeiro lugar. Os clientes valorizam a confiabilidade quando se trata de entregar o serviço ou produto que foi prometido. Invariavelmente, um cliente irá considerar que seu negócio atende às expectativas se seu serviço for entregue dentro do prazo, custo e velocidade prometidos.

Observe todos os pontos de contato com o cliente e qualquer outra coisa que possa afetar a capacidade de oferecer excelência e implemente as sete etapas a seguir para a excelência no atendimento ao cliente:

– Envolva a equipe no processo de desenvolvimento de serviço e melhoria contínua.

– Verifique se há lacunas no serviço.

– Desenvolva os padrões de atendimento ao cliente para corresponder à sua promessa aos clientes’.

– Coloque os sistemas como uma prioridade para garantir a consistência.

– Organize o treinamento contínuo da equipe.

– Capacite a equipe para tomar decisões.

– Monitore e avalie regularmente seu desempenho.

A excelência no atendimento ao cliente leva à sua satisfação, o que, por sua vez, leva a compras repetidas, clientes fiéis, reputação e marca aprimoradas – e lucros maiores.

API SPEC Q2: a gestão da qualidade para os fornecedores das indústrias petroquímicas

A API SPEC Q2:2021 – Quality management system requirements for service supply organizations for the petroleum and natural gas industries define os requisitos do sistema de gestão da qualidade (SGQ) para as organizações fornecedoras das indústrias de petróleo e gás natural. Destina-se a ser aplicada à execução de serviços para a indústria de petróleo e gás natural. Isso inclui, mas não está limitado, a atividades como construção, intervenção, produção e abandono de poço, bem como reparo/manutenção/configuração de produtos relacionados ao serviço.

Se uma organização executa as atividades abordadas por esta especificação, incluindo o fornecimento de produtos relacionados a serviços (service-related product – SRP) e atividades terceirizadas, nenhuma reivindicação de exclusão desses requisitos é permitida. Quando o SRP não é necessário para a execução do serviço aplicável, a base para a reivindicação de exclusões deve ser identificada.

Além disso, tais exclusões não podem afetar a capacidade ou responsabilidade da organização de atender aos requisitos regulatórios aplicáveis e do cliente. As exclusões são limitadas aos requisitos das seguintes cláusulas: 5.7.3 Identificação e Rastreabilidade; 5.7.4 Status SRP; 5.7.6 Preservação de SRP; 5.7.7 Validação de SRP; 5.7.8 Manutenção Preventiva, Inspeção; e processo de teste; e 5.8 Controle de Equipamentos de Teste, Medição, Monitoramento e Detecção (TMMDE).

Quando forem feitas reivindicações de conformidade, as exclusões serão identificadas em conjunto com essas reivindicações. As informações marcadas com NOTA não são os requisitos, mas são para orientação na compreensão ou esclarecimento do requisito associado.

Conteúdo da norma

1 Escopo ……………………………….. ……… 1

2 Referências normativas …………………………… 1

3 Termos, definições, abreviações e acrônimos ……… 1

3.1 Termos e definições ………………………….. 1

3.2 Abreviações e acrônimos ……………………… 4

4 Requisitos do Sistema de Gestão da Qualidade (SGQ)……………………….. 4

4.1 Geral ………………………… …… 4

4.2 Responsabilidade da gestão ……………………. 5

4.3 Capacidade da organização …………………….. 6

4.4 Requisitos de documentação………………. 7

4.5 Controle dos registros ………………………… 8

5 Realização do serviço e produto relacionado ao serviço……………… 8

5.1 Revisão do contrato …………………….. 8

5.2 Planejamento …………………………. ….. 9

5.3 Avaliação e gerenciamento de risco………………….. 10

5.5 Planejamento de contingência………………………… 11

5.6 Aquisição ………………………………….. 12

5.7 Execução do serviço ………………………………. 14

5.8 Controle de equipamentos de teste, medição, monitoramento e detecção (testing, measuring, monitoring, and detection equipment – TMMDE) ……….. 16

5.9 Validação de desempenho do serviço …………….. 17

5.10 Controle das não conformidades…………………….. 18

5.11 Gestão da mudança (management of change – MOC…. 18

6 Monitoramento, medição, análise e melhoria do SGQ………………. 19

6.1 Geral………………………… …. 19

6.2 Monitoramento, medição e melhoria……….. 19

6.3 Análise de dados ………………………… 20

6.4 Melhoria ………………………… 21

6.5 Revisão da gestão……………… 21

Bibliografia……………….. 23

Esta especificação foi desenvolvida para abordar o desenvolvimento e implementação de sistemas de gestão de qualidade para organizações de fornecimento de serviços que trabalham nas indústrias de petróleo e gás natural. Esta especificação define os requisitos fundamentais dos sistemas de gestão da qualidade para as organizações de fornecimento de serviços que reivindicam conformidade com esta especificação.

Os requisitos desta especificação são consistentes com os de outros documentos do sistema de gestão da qualidade. Esta especificação fornece requisitos adicionais que visam a execução de serviços ou fornecimento de produtos relacionados ao serviço na execução do serviço. Os requisitos são estruturados de forma a minimizar a probabilidade de não conformidade durante a execução de um serviço e/ou fornecimento de produto relacionado ao serviço.

Embora esta especificação possa incluir alguns elementos de outros sistemas de gestão da qualidade (como aqueles específicos para gestão ambiental, gestão de saúde e segurança ocupacional, gestão financeira ou gestão de risco), ela não inclui todos os requisitos específicos para esses sistemas. Esta especificação pode ser usada em conjunto ou independente de outros documentos especificados pelo setor. Esta especificação pode ser usada por pessoas internas e partes externas, incluindo os organismos de certificação, para avaliar a capacidade da organização de atender aos requisitos legais e do cliente aplicáveis à execução do serviço e aos próprios requisitos da organização.

Esta especificação promove a integração de uma abordagem de processo na aplicação de requisitos específicos ao desenvolver, implementar e melhorar a eficácia de um sistema de gestão da qualidade, proporcionando assim controle contínuo sobre os requisitos declarados, bem como facilitando a sobreposição de processos. Para que uma organização de fornecimento de serviços funcione de maneira eficaz, ela deve determinar e gerenciar várias atividades vinculadas.

Uma atividade que transforma entradas em saídas pode ser considerada um processo. As atividades do processo incluem a determinação da necessidade em toda a organização de fornecimento de serviço, fornecimento de recursos, fornecimento de produto relacionado ao serviço, identificação da sequência ou ordem adequada em uma série de atividades, monitoramento e medição da eficácia das atividades realizadas e aplicação de alterações ou correções para essas atividades conforme necessário.

O objetivo desta especificação é identificar os requisitos mínimos para o desenvolvimento de um sistema de gestão da qualidade que proporcione melhoria contínua, enfatize a prevenção de não-conformidades e se esforce para minimizar a variação e o desperdício das organizações prestadoras de serviço. Ela é projetada para promover a confiabilidade nas organizações de fornecimento de serviços para as indústrias de petróleo e gás natural.

A especificação API Q2 estabelece os requisitos do sistema de qualidade necessários para que as organizações de fornecimento de serviços forneçam serviços de forma consistente e confiável que atendam aos requisitos do cliente, legais e outros aplicáveis. Esta especificação se aplica a atividades relacionadas a serviços na construção, intervenção, produção e abandono de poços de petróleo e gás, bem como reparo, manutenção e configuração de produtos relacionados a serviços. O API Q2 não se aplica ao API Monogram Program ou a qualquer produto identificado por licença como elegível para marcação com o API Monogram.

É responsabilidade da organização de fornecimento de serviço garantir que um sistema de gestão de qualidade (SGQ) adequado esteja em vigor para atividades terceirizadas, incluindo aquelas associadas ao reparo e remanufatura de produtos relacionados à manutenção. Isso pode estar em conformidade com API Q1, API Q2, ISO 9001 ou um sistema definido pela organização de fornecimento de serviço que seja apropriado para o escopo de trabalho. A conformidade com a API Q2 para atividades terceirizadas não é exigida por esta especificação.

As mudanças da primeira edição para a segunda edição incluíram alguns itens significativos: alinhamento com o descrito na API Q1, quando aplicável; remoção da referência à versão desatualizada da ISO 9000; adição dos requisitos de a) a e) à seção de Recursos Humanos (4.3.2); adição da cadeia de suprimentos ao Controle de Compras (5.6.1); alinhamento de controle de teste, medição, monitoramento e equipamento de detecção com a API Q1 (5.8); adição do controle de TMMDE à lista de exclusões; e remoção da seção de ações preventivas.

A determinação do isolamento a ruído aéreo em elementos de fachada

A NBR ISO 16283-3 de 03/2021 – Acústica – Medição de campo do isolamento acústico nas edificações e nos elementos de edificações – Parte 3: Isolamento de fachada a ruído aéreo especifica procedimentos para determinar o isolamento a ruído aéreo de elementos de fachada (métodos para elemento) e de fachadas inteiras (métodos globais) usando medições de pressão sonora. Estes procedimentos são destinados a salas de volume na faixa de 10 m³ a 250 m³, na faixa de frequências de 50 Hz a 5 000 Hz. Os resultados dos ensaios podem ser utilizados para quantificar, avaliar e comparar o isolamento a ruído aéreo em salas mobiliadas ou não mobiliadas, onde o campo sonoro pode ou não se aproximar de um campo difuso. O isolamento a ruído aéreo medido é dependente da frequência e pode ser convertido em uma classificação de valor único para caracterizar o desempenho acústico, usando os procedimentos de classificação da ISO 717-1.

Os métodos para elemento buscam estimar o índice de redução sonora de um elemento de fachada, por exemplo, uma janela. O método para elemento mais exato utiliza uma fonte sonora com alto-falantes como fonte sonora artificial. Outros métodos para elemento menos exatos utilizam o ruído de tráfego disponível.

Os métodos globais, por outro lado, buscam estimar a diferença de nível sonoro em ambiente externo/interno sob condições reais de tráfego. Os métodos globais mais exatos utilizam o tráfego real como fonte sonora. Uma fonte sonora com alto-falantes pode ser utilizada como fonte sonora artificial quando o nível de ruído de tráfego no interior da sala for insuficiente.

Uma visão geral dos métodos é fornecida na tabela abaixo. O método da fonte sonora com alto-falantes para elementos fornece um índice de redução sonora aparente que, sob certas circunstâncias, pode ser comparado com o índice de redução sonora medido em laboratórios de acordo com a ISO 10140. Este método é preferencial, quando o objetivo da medição é avaliar o desempenho de um elemento específico da fachada em relação ao seu desempenho em laboratório.

O método de ruído de tráfego rodoviário para elementos serve para os mesmos propósitos que o método da fonte sonora com alto-falantes para elementos. Ele é particularmente útil quando, por razões práticas, não é possível utilizar o método da fonte sonora com alto-falantes para elementos.

Esses dois métodos, muitas vezes fornecem resultados ligeiramente diferentes. O método de ruído de tráfego rodoviário tende a resultar em valores de índice de redução sonora menores que o método da fonte sonora com alto-falantes. No Anexo E, este método de ruído de tráfego rodoviário é suplementado pelos métodos de ruído de tráfego de aeronaves e ferroviário correspondentes.

O método de ruído de tráfego rodoviário global fornece a redução real de uma fachada em um determinado local relativa a uma posição de 2 m em frente à fachada. Este método é preferencial quando o objetivo da medição é avaliar o desempenho de uma fachada inteira, incluindo todos os caminhos pelos flancos, em uma posição específica em relação às rodovias próximas.

Não é possível comparar o resultado com o de medições de laboratório. O método da fonte sonora com alto-falantes global fornece a redução sonora de uma fachada relativa a uma posição de 2 m em frente à fachada. Este método é particularmente útil quando, por razões práticas, não é possível utilizar a fonte real; no entanto, não é possível comparar o resultado com o de medições de laboratório.

Inserir acústica2

Acesse algumas indagações relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais são as trajetórias de varredura manual?

Como deve ser feito o cálculo da média energética dos níveis de pressão sonora?

Como deve ser executado o cálculo da média energética dos níveis de pressão sonora de baixa frequência?

Como fazer a correção do nível do sinal para ruído de fundo?

A ISO 16283 (todas as partes) descreve os procedimentos para medições de campo do isolamento acústico nas edificações. Isolamento a ruído aéreo, isolamento a ruído de impacto e isolamento a ruído aéreo de fachadas são descritos nas NBR ISO 16283-1, ISO 16283-2 e NBR ISO 16283-3, respectivamente.

As medições de campo do isolamento acústico que foram descritas anteriormente nas ISO 140-4, ISO 140-5 e ISO 140-7 foram destinadas principalmente às medições em que o campo sonoro pode ser considerado difuso e não explícitas quanto ao fato de os operadores poderem estar presentes nas salas durante a medição. A ISO 16283 difere das ISO 140-4, ISO 140-5 e ISO 140-7 em: é aplicável às salas em que o campo sonoro pode ou não se aproximar de um campo difuso, esclarece como os operadores podem medir o campo sonoro usando um microfone de mão ou sonômetro e inclui orientações adicionais contidas anteriormente na ISO 140-14.

Os métodos simplificados de ensaio para medições de campo de isolamento de fachada a ruído aéreo são descritos na NBR ISO 10052. Os instrumentos para medição dos níveis de pressão sonora, incluindo microfone (s), bem como o (s) cabo (s), protetor (es) de vento, dispositivos de gravação e outros acessórios, se utilizados, devem atender aos requisitos para instrumento de classe 1 ou 2 de acordo com a IEC 61672-1, para aplicação de incidência aleatória.

O microfone utilizado para medições de superfície deve ter um diâmetro máximo de 13 mm. Os filtros devem atender aos requisitos para um instrumento de classe 0 ou 1, de acordo com a IEC 61260. O equipamento de medição do tempo de reverberação deve atender aos requisitos estabelecidos na NBR ISO 3382-2.

No início e no final de cada série de medições, e pelo menos no início e no final de cada dia de medição, todo o sistema de medição de níveis de pressão sonora deve ser checado em uma ou mais frequências, por meio de um calibrador de nível sonoro que atenda aos requisitos para um instrumento de classe 0 ou classe 1, de acordo com a IEC 60942. Cada vez que o calibrador for utilizado, convém que o nível de pressão sonora medido com o calibrador seja anotado na documentação de campo do operador.

Sem qualquer ajuste adicional, a diferença entre as leituras obtidas em duas checagens consecutivas deve ser inferior ou igual a 0,5 dB. Se este valor for ultrapassado, os resultados das medições obtidos após a checagem satisfatória anterior devem ser descartados. O atendimento do instrumento de medição de nível de pressão sonora, dos filtros e do calibrador sonoro aos requisitos pertinentes deve ser verificado pela existência de uma declaração de conformidade válida.

Se aplicável, a resposta de incidência aleatória do microfone deve ser verificada por um procedimento de acordo com a IEC 61183. Todos os testes de calibração devem ser executados por um laboratório acreditado ou autorizado em nível nacional para realizar ensaios e calibrações pertinentes, e para assegurar a rastreabilidade metrológica com as normas de medição adequadas.

Todas as grandezas devem ser medidas utilizando filtros de banda de terço de oitava com pelo menos as seguintes frequências centrais, em hertz: 100, 125, 160, 200, 250, 315, 400, 500, 630, 800, 1.000, 1.250, 1.600, 2.000, 2.500, 3.150. Se informações adicionais na faixa de baixas frequências forem requeridas, utilizar filtros de banda de terço de oitava com as seguintes frequências centrais, em hertz: 50, 63, 80.

Se informações adicionais na faixa de altas frequências forem requeridas, utilizar filtros de banda de terço de oitava com as seguintes frequências centrais, em hertz: 4.000, 5.000. A medição de informações adicionais nas faixas de baixas e altas frequências é opcional.

A determinação do isolamento de fachada a ruído aéreo, de acordo com esta parte da, requer que a fonte sonora esteja no ambiente externo. As medições exigidas incluem os níveis de pressão sonora próximos à fachada e na sala com a (s) fonte (s) em operação, o ruído de fundo na sala de recepção quando a fonte sonora com alto-falantes é desligada ou as fontes reais não estão presentes, bem como os tempos de reverberação na sala de recepção.

Para os métodos da fonte sonora com alto-falantes para métodos de elemento e global, são descritos dois procedimentos de medição que devem ser utilizados para o nível de pressão sonora, o tempo de reverberação e para o ruído de fundo; um procedimento-padrão e um procedimento adicional de baixa frequência. Para os métodos de ruído de tráfego rodoviário para elementos e global, apenas o procedimento-padrão deve ser utilizado.

No momento, não há experiência no uso do procedimento de baixa frequência com o tráfego rodoviário (ou tráfego aéreo ou ferroviário) como fonte sonora, mas podem surgir problemas devido à incerteza em garantir que o sinal esteja acima do ruído de fundo. Para o nível de pressão sonora e o ruído de fundo, o procedimento-padrão para todas as frequências é utilizar um microfone fixo ou um microfone de mão movido de uma posição para outra, um arranjo de microfones fixos, um microfone em movimento contínuo mecanizado ou um microfone com varredura manual.

Estas medições são executadas na zona central de uma sala em posições afastadas dos limites da sala. Diferentes abordagens são descritas para amostragem da pressão sonora, para que o operador possa escolher a abordagem mais adequada. Para a sala de recepção, o objetivo é minimizar o efeito do ruído de fundo, para o qual o operador deve decidir se é vantajoso estar presente na sala, de modo a ouvir o ruído de fundo intermitente ou ficar fora da sala, para assegurar que o ruído de fundo não seja afetado pelo operador.

Para o nível de pressão sonora e o ruído de fundo, o procedimento de baixa frequência deve ser utilizado para as bandas de terço de oitava de 50 Hz, 63 Hz e 80 Hz na sala de recepção, quando seu volume for menor do que 25 m³ (calculado para o metro cúbico mais próximo). Este procedimento é executado em adição ao procedimento-padrão e requer medições adicionais dos níveis de pressão sonora nos cantos da sala de recepção, usando um microfone fixo ou um microfone de mão.

O procedimento de baixa frequência é necessário em salas pequenas, devido às grandes variações espaciais no nível de pressão sonora do campo sonoro modal. Nestas situações, medições nos cantos são utilizadas para melhorar a repetibilidade, reprodutibilidade e relevância para os ocupantes da sala. Para o tempo de reverberação, o procedimento de baixa frequência deve ser utilizado para as bandas de terço de oitavas de 50 Hz, 63 Hz e 80 Hz na sala de recepção quando seu volume for menor do que 25 m³ (calculado para o metro cúbico mais próximo).

Se utilizados métodos de processamento de sinal descritos na ISO 18233, as medições devem ser realizadas utilizando microfones fixos e não podem utilizar um microfone em movimento contínuo mecanizado, microfone de mão ou um microfone com varredura manual. Os campos sonoros em salas típicas (mobiliadas ou não) raramente se aproximarão de um campo sonoro difuso em toda a faixa de frequências de 50 Hz a 5.000 Hz.

Os procedimentos-padrão e de baixa frequência permitem que as medições sejam executadas sem qualquer conhecimento se o campo sonoro pode ser considerado como difuso ou não difuso. Por este motivo, convém que o campo sonoro não seja modificado para o propósito do ensaio, introduzindo temporariamente móveis ou difusores adicionais na sala de recepção (mobiliadas ou não).

Se medições com difusão adicional forem requeridas, por exemplo, devido aos requisitos regulamentares ou porque o resultado do ensaio é para ser comparado com uma medição de laboratório de um elemento ensaiado similar, então a introdução de três difusores é em geral suficiente, cada um com uma área de pelo menos 1,0 m². Todos os métodos de medição para o procedimento-padrão ou para o procedimento de baixa frequência são equivalentes.

Em caso de litígio, o isolamento a ruído aéreo determinado utilizando os métodos de medição sem um operador dentro da sala de recepção deve ser considerado como sendo o resultado de referência. Um resultado de referência é definido porque o nível de ruído de fundo com a varredura manual é propenso à variação no ruído gerado pelo próprio operador. Variação significativa não costuma ocorrer em microfones fixos ou em um microfone em movimento contínuo mecanizado.

Para os métodos para elementos, em que o objetivo da medição é obter resultados para comparação com medições em laboratório, convém que as etapas a seguir sejam realizadas. Verificar que o elemento de fachada sob ensaio está de acordo com a construção especificada e está montado corretamente de acordo com as instruções do fabricante.

Estimar o índice de redução sonora da fachada para garantir que a transmissão sonora por meio da parede ao redor do objeto de ensaio ou dos elementos de flanco do edifício não contribua significativamente para o nível de pressão sonora na sala de recepção. A estimativa se a parede influencia o isolamento sonoro deve ser realizada de acordo com a ISO 15712-3.

Em caso de dúvida sobre a transmissão sonora inaceitavelmente alta através da parede ao redor do objeto de ensaio ou dos elementos de flanco do edifício, deve ser realizado o procedimento descrito no Anexo B. Se o objetivo da medição for comparar o isolamento acústico de uma janela com os resultados de medições em laboratório, verificar se a área da abertura do ensaio é representativa da área da medição laboratorial e se a abertura do nicho e a posição da janela no nicho não diverge dos requisitos estabelecidos na ISO 10140.

O isolamento acústico de janelas e pequenos elementos da fachada depende das dimensões. Portanto, o isolamento acústico pode diferir consideravelmente quando esse elemento possuir dimensões diferentes do elemento ensaiado em laboratório. Para esquadrias em que a área varie do ensaio de laboratório em até 2:1, é improvável que o isolamento acústico difira em mais de 3 dB na classificação de número único.

Para qualquer elemento com uma área maior que a ensaiada em laboratório, geralmente resultará em um isolamento acústico menor. O Anexo D fornece exemplos de testes de verificação. As medições de nível de pressão sonora são utilizadas para determinar um nível médio na sala de recepção com a fonte sonora (fonte sonora com alto-falantes ou tráfego rodoviário) em operação, o tempo de reverberação na sala de recepção e o nível de ruído de fundo na sala de recepção.

Os microfones fixos podem ser utilizados sem um operador na sala, utilizando um microfone fixo em um tripé. Alternativamente, o operador pode estar presente na sala com o microfone fixo sobre um tripé, ou com o operador utilizando um microfone de mão em uma posição fixa; em ambos os casos, o tronco do corpo do operador deve permanecer a uma distância de pelo menos o comprimento de um braço do microfone.

Um mínimo de cinco posições de microfone deve ser utilizado na sala. Cada conjunto de posições de microfone deve ser distribuído no espaço máximo permitido ao longo da sala. Duas posições de microfone não podem situar-se no mesmo plano em relação aos limites da sala, e as posições não podem estar em uma distribuição regular. Os tempos de medição devem satisfazer aos requisitos de 7.2.5.1.

O microfone deve ser movido mecanicamente, com velocidade angular aproximadamente constante em um círculo, ou deve ser varrido mecanicamente ao longo de uma trajetória circular, em que o ângulo de rotação em torno de um eixo fixo seja entre 270° e 360°. O raio de varredura do movimento transversal circular deve ser de pelo menos 0,7 m.

O plano do movimento transversal deve ser inclinado, a fim de cobrir uma grande proporção do espaço permitido na sala e não pode situar-se em qualquer plano inferior a 10°, a partir de qualquer superfície da sala (parede, piso ou teto). A duração de um único movimento transversal deve ser de pelo menos 15 s. Cada movimento transversal completo pode precisar ser repetido para satisfazer aos requisitos relativos ao tempo de medição.

A trajetória da varredura manual deve ser um círculo, uma hélice, uma trajetória de tipo cilíndrica ou três semicírculos. Uma trajetória circular, helicoidal ou de tipo cilíndrica deve ser utilizada em salas mobiliadas ou não mobiladas. Se não houver espaço suficiente na sala para o operador utilizar estas trajetórias, deve ser utilizada a trajetória que consiste em três semicírculos. Cada trajetória completa pode precisar ser repetida para satisfazer aos requisitos relativos ao tempo de medição.

Para a trajetória circular, o operador deve segurar o microfone ou o sonômetro com o braço estendido durante a rotação do corpo em um ângulo de 270° a 360°. O plano do círculo deve ser inclinado de maneira a cobrir uma grande parte do espaço permitido da sala e não pode situar-se em qualquer plano que seja inferior a 10°, a partir de qualquer superfície da sala (parede, piso ou teto).

Se requerido, os joelhos podem ser dobrados para reduzir a altura total do microfone; convém que isto sempre seja feito quando a trajetória for repetida em uma outra posição na sala. Para minimizar o ruído causado pelo operador, pode ser benéfico pausar a medição no meio da trajetória, para que o operador possa mudar a posição do corpo antes de continuar a varredura.

O operador deve tentar atingir uma velocidade angular constante durante a varredura. A velocidade angular máxima deve ser de aproximadamente de 20° por segundo. Para a trajetória helicoidal, o operador segura o microfone ou o sonômetro com braço estendido em uma posição inicial de 0,5 m acima do piso; em seguida rodar o corpo pelo menos duas vezes ao longo de 360° da posição agachada para uma posição em pé, terminando com o microfone em uma posição que não seja menor que 0,5 m a partir do teto.

Para minimizar o ruído causado pelo operador, pode ser benéfico pausar a medição no meio da trajetória, para que o operador possa mudar a posição do corpo antes de continuar a varredura. O operador deve procurar atingir uma velocidade angular constante durante a varredura. A velocidade angular máxima deve ser aproximadamente de 20° por segundo.

Para a trajetória de tipo cilíndrica, o operador deve utilizar uma haste de extensão de 0,3 m a 0,9 m para segurar o microfone. Para um operador destro, a trajetória começa 0,5 m acima do piso, a partir de uma posição de cerca de 90° para o lado esquerdo; a haste então varre uma trajetória circular paralela ao piso para cobrir um ângulo de aproximadamente 220°.

A varredura continua verticalmente para cima, ao longo de uma linha reta, até que o microfone esteja a 0,5 m do teto, em seguida outra varredura circular cobre aproximadamente 220° na direção oposta, antes de descer para o ponto inicial ao longo de uma linha reta vertical. Para um operador canhoto, as direções são invertidas.

Durante as seções circulares da trajetória, o operador deve tentar atingir uma velocidade angular constante. A velocidade angular máxima deve ser de aproximadamente 20° por segundo, com uma velocidade máxima de cerca de 0,25 m/s ao longo das seções retas da trajetória.

Para a trajetória que compreende três semicírculos, o operador deve segurar o microfone ou o sonômetro com o braço estendido, e traçar três semicírculos, com separações de aproximadamente 45° a 60°. O plano de cada semicírculo não pode situar-se em qualquer plano que seja inferior a 10°, a partir de qualquer superfície da sala (parede, piso ou teto). Se requerido, os joelhos podem ser dobrados para reduzir a altura total do microfone; convém que isto seja feito quando a trajetória for repetida em uma outra posição na sala.

A prática para proteção de dados pessoais

Deve-se conhecer os objetivos de controle, controles e diretrizes para implementar controles, para atender aos requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de dados pessoais (DP). Em particular, especifica diretrizes baseadas na NBR ISO/IEC 27002, considerando os requisitos para o tratamento de DP que podem ser aplicáveis no contexto do (s) ambiente (s) de risco de segurança da informação de uma organização.

A NBR ISO/IEC 29151 de 11/2020 – Tecnologia da informação – Técnicas de segurança – Código de prática para proteção de dados pessoais estabelece objetivos de controle, controles e diretrizes para implementar controles, para atender aos requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de dados pessoais (DP). Em particular, especifica diretrizes baseadas na NBR ISO/IEC 27002, considerando os requisitos para o tratamento de DP que podem ser aplicáveis no contexto do (s) ambiente (s) de risco de segurança da informação de uma organização. Aplica-se a todos os tipos e tamanhos de organizações que atuam como controladores de DP (conforme estabelecido na NBR ISO/IEC 29100), incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos que tratam DP.

O número de organizações tratando dados pessoais (DP) está crescendo, assim como o volume de DP com que essas organizações lidam. Ao mesmo tempo, as expectativas da sociedade em relação à proteção de DP e à segurança de dados relacionados a indivíduos também estão aumentando. Vários países estão incrementando suas leis para lidar com o aumento do número de significativas violações de dados.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Qual é a consideração do ciclo de vida do DP?

Quais devem ser as políticas para segurança da informação em DP?

Quais são as diretrizes de implementação para a proteção de DP?

Qual deve ser a política para uso de dispositivo móvel?

O que se deve fazer em relação à conscientização, educação e treinamento em segurança da informação?

À medida que o número de violações de DP aumenta, as organizações que coletam ou tratam DP precisarão cada vez mais de orientações sobre como convém protegê-los, a fim de reduzir o risco de ocorrência de violações de privacidade e o impacto de violações na organização e às pessoas envolvidas. Este documento fornece essas orientações.

Este documento oferece orientações aos controladores de DP em uma ampla variedade de controles de segurança da informação e de proteção de DP que são comumente aplicados em diferentes organizações que lidam com a proteção de DP. As demais partes da família de normas ISO/IEC fornecem orientações ou requisitos sobre outros aspectos do processo geral de proteção de DP. A NBR ISO/IEC 27001 especifica um processo de gestão de segurança da informação e os requisitos associados, os quais podem ser usados como base para a proteção de DP. A NBR ISO/IEC 27002 fornece diretrizes para os padrões organizacionais de segurança da informação e práticas de gestão da segurança da informação, incluindo a seleção, implementação e gestão de controles, considerando o (s) ambiente (s) de risco (s) de segurança da informação da organização.

A ISO/IEC 27009 especifica os requisitos para o uso da NBR ISO/IEC 27001 em qualquer setor específico (campo, área de aplicação ou setor de mercado). Explica como incluir os requisitos adicionais aos da NBR ISO/IEC 27001, como refinar qualquer um dos requisitos da NBR ISO/IEC 27001 e como incluir controles ou conjuntos de controles além do Anexo A da NBR ISO/IEC 27001. A NBR ISO/IEC 27018 oferece orientações para organizações que atuam como operadores de DP ao oferecer recursos de tratamento por meio de serviços em nuvem.

A NBR ISO/IEC 29134 fornece diretrizes para identificar, analisar e avaliar riscos de privacidade, enquanto a NBR ISO/IEC 27001, juntamente com a NBR ISO/IEC 27005, fornece uma metodologia para identificar, analisar e avaliar riscos de segurança. Dessa forma, os controles devem ser escolhidos com base nos riscos identificados como resultado de uma análise de risco para desenvolver um sistema abrangente e consistente de controles. Convém que os controles sejam adaptados ao contexto do tratamento específico de DP.

Este documento contém duas partes: o corpo principal que consiste nas seções 1 a 18 e um anexo normativo. Esta estrutura reflete a prática normal para o desenvolvimento de extensões setoriais da NBR ISO/IEC 27002. A estrutura do corpo principal deste documento, incluindo os títulos das seções, reflete o corpo principal da NBR ISO/IEC 27002. A introdução e as seções 1 a 4 fornecem informações sobre o uso deste documento.

Os títulos das seções 5 a 18 refletem os da NBR ISO/IEC 27002, refletindo o fato de que este documento se baseia nas diretrizes da NBR ISO/IEC 27002, adicionando novos controles específicos para a proteção de DP. Muitos dos controles da NBR ISO/IEC 27002 não precisam de extensão no contexto dos controladores de DP. No entanto, em alguns casos, são necessárias diretrizes adicionais de implementação, que são fornecidas no cabeçalho apropriado (e no número da seção) da NBR ISO/IEC 27002.

O anexo normativo contém um conjunto estendido de controles específicos de proteção de DP que suplementam os dados na NBR ISO/IEC 27002. Esses novos controles de proteção de DP, com suas diretrizes associadas, são divididos em 12 categorias, correspondentes à política de privacidade e aos 11 princípios de privacidade da NBR ISO/IEC 29100: consentimento e escolha; especificação e legitimidade de objetivo; limitação de coleta; minimização de dados; limitação de uso, retenção e divulgação; precisão e qualidade; abertura, transparência e notificação; acesso e participação individual; responsabilização; segurança da informação; e compliance com a privacidade. A figura abaixo descreve o relacionamento entre este documento e a família de normas ISO/IEC.

Este documento inclui diretrizes baseadas na NBR ISO/IEC 27002 e as adapta conforme necessário para atender aos requisitos de proteção à privacidade que surgem do tratamento de DP. Em domínios diferentes de tratamento, como: serviços públicos de nuvem; aplicativos de redes sociais; dispositivos conectados à internet de uso doméstico; pesquisa, análise; segmentação de DP para publicidade e propósitos semelhantes; programas de big data analytics; tratamento nas relações trabalhistas; gestão de negócios em vendas e serviços (planejamento de recursos empresariais, gestão de relacionamento com clientes).

Em diferentes locais, como em uma plataforma de processamento pessoal fornecida a um indivíduo (por exemplo, cartões inteligentes, smartphones e seus aplicativos, medidores inteligentes, dispositivos wearables); nas redes de transporte e coleta de dados (por exemplo, onde os dados de localização do celular são criados operacionalmente pelo processamento da rede, que podem ser considerados DP em algumas jurisdições); dentro da própria infraestrutura de tratamento de uma organização; na plataforma de tratamento de terceiros. Para as características de coleta, como coleta única de dados (por exemplo, ao se registrar em um serviço); coleta de dados contínua (por exemplo, monitoramento frequente de parâmetros de saúde por sensores no corpo ou no indivíduo, várias coletas de dados usando cartões de pagamento sem contato para pagamento, sistemas de coleta de dados de medidores inteligentes, etc.).

A coleta de dados contínua pode conter ou produzir tipos de DP comportamentais, locais e outros. Nesses casos, o uso de controles de proteção de DP que permitam gerenciar o acesso e a coleta com base no consentimento e que permitem que o titular de DP exerça controle apropriado sobre esse acesso e coleta, precisa ser considerado. Este documento fornece um conjunto de controles para proteção de DP.

O objetivo da proteção de DP é permitir que as organizações implementem um conjunto de controles como parte de seu programa geral de proteção de DP. Estes controles podem ser usados em uma estrutura para manter e melhorar o compliance com leis e regulamentos relacionados à privacidade, gestão de riscos de privacidade e para atender às expectativas de titulares de DP, reguladores ou clientes de DP, de acordo com os princípios de privacidade descritos na NBR ISO/IEC 29100.

A organização precisa identificar os seus requisitos de proteção de DP. Os princípios de privacidade da NBR ISO/IEC 29100 se aplicam à identificação de requisitos. Existem três fontes principais de requisitos de proteção de DP: requisitos legais, estatutários, regulamentares e contratuais relacionados à proteção de DP, incluindo, por exemplo, requisitos de DP que uma organização, seus parceiros comerciais, contratados e prestadores de serviços precisam cumprir; avaliação de riscos (ou seja, riscos de segurança e riscos de privacidade) para a organização e o titular de DP, considerando a estratégia e os objetivos gerais de negócios da organização, por meio de uma avaliação de riscos; políticas corporativas: uma organização também pode optar voluntariamente por ir além dos critérios derivados de requisitos anteriores.

Também convém que as organizações considerem os princípios (ou seja, princípios de privacidade estabelecidos na NBR ISO/IEC 29100), objetivos e requisitos de negócios para o tratamento de DP que foram desenvolvidos para apoiar suas operações. Convém que os controles de proteção de DP (incluindo controles de segurança) sejam selecionados com base em uma avaliação de risco. Os resultados de uma avaliação de impacto de privacidade (privacy impact assessments – PIA), por exemplo, conforme especificado na NBR ISO/IEC 29134, ajudam a orientar e determinar as ações e prioridades de tratamento apropriadas para gerenciar riscos à proteção de DP e para implementar controles selecionados para proteção contra estes riscos.

Um documento de PIA, como a NBR ISO/IEC 29134, pode fornecer orientações para a PIA, incluindo recomendações sobre avaliação de riscos, plano de tratamento de riscos, aceitação de risco e análise crítica de risco. Uma avaliação de risco de privacidade pode ajudar as organizações a identificarem os riscos específicos de violações de privacidade resultantes de atividades de tratamento não autorizadas por lei ou de desconsideração de direitos do titular de DP envolvido em uma operação prevista.

Convém que as organizações identifiquem e implementem controles para tratar os riscos identificados pelo processo de impacto de risco. Convém que os controles e tratamentos então sejam documentados, idealmente separadamente em um registro de riscos. Certos tipos de tratamento de DP podem assegurar controles específicos para os quais a necessidade só se torna aparente uma vez que uma operação prevista tenha sido cuidadosamente analisada.

Os controles podem ser selecionados a partir deste documento (que inclui por referência os controles da NBR ISO/IEC 27002, criando um conjunto de controles de referência combinados). Se necessário, os controles também podem ser selecionados de outros conjuntos de controles ou novos controles podem ser projetados para atender a necessidades específicas, conforme apropriado. A seleção dos controles depende de decisões organizacionais com base nos critérios para opções de tratamento de riscos e na abordagem geral de gestão de riscos aplicada à organização e, por meio de acordos contratuais, a seus clientes e fornecedores, e convém que também esteja sujeita a todas às legislações e aos regulamentos nacionais e internacionais aplicáveis.

A seleção e a implementação de controles também dependem da função da organização no fornecimento de infraestrutura ou serviços. Muitas organizações diferentes podem estar envolvidas no fornecimento de infraestrutura ou serviços. Em algumas circunstâncias, os controles selecionados podem ser exclusivos para uma organização específica. Em outros casos, pode haver funções compartilhadas na implementação de controles.

Convém que os acordos contratuais especifiquem claramente as responsabilidades de proteção de DP de todas as organizações envolvidas no fornecimento ou uso dos serviços. Os controles neste documento podem ser usados como referência para organizações que tratam DP e destinam-se a ser aplicáveis a todas as organizações que atuam como controladores de DP. Convém que as organizações que atuam como operadores de DP o façam, de acordo com as instruções do controlador de DP.

Os processos de avaliação do impacto da privacidade

Deve-se conhecer as diretrizes para os processos de avaliação de impacto de privacidade, e estrutura e conteúdo de relatório de Privacy Impact Assessment (PIA).

A NBR ISO/IEC 29134 de 11/2020 – Tecnologia da informação – Técnicas de segurança – Avaliação de impacto de privacidade – Diretrizes fornece diretrizes para os processos de avaliação de impacto de privacidade, e estrutura e conteúdo de relatório de Privacy Impact Assessment (PIA). É aplicável a todos os tipos e tamanhos de organizações, incluindo companhias públicas, companhias privadas, entidades governamentais e organizações sem fins lucrativos. Este documento é pertinente para os envolvidos em conceber ou implementar projetos, incluindo as partes que operam sistemas de tratamento de dados e serviços que tratam dos dados pessoais (DP).

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como preparar um plano da PIA e determinar os recursos necessários para a sua realização?

Como engajar as partes interessadas no processo?

Como estabelecer um plano de consulta?

Como identificar os fluxos de informações de dados pessoais (DP)?

Como analisar as implicações do caso de uso?

A análise de impacto de privacidade (PIA) é um processo geral de identificação, análise, avaliação, consultoria, comunicação e planejamento do tratamento de potenciais impactos à privacidade com relação ao tratamento de DP, contidos em uma estrutura mais ampla de gestão de riscos da organização. Uma avaliação de impacto de privacidade (PIA) é um instrumento para avaliar os potenciais impactos na privacidade de um processo, sistema de informação, programa, módulo de software, dispositivo ou outra iniciativa que trate dados pessoais (DP) e, em consulta às partes interessadas, para tomar ações necessárias para tratar risco à privacidade.

Um relatório de PIA pode incluir documentação sobre medidas tomadas para tratamento de risco, por exemplo, medidas resultantes do uso do sistema de gestão de segurança da informação (SGSI) na NBR ISO/IEC 27001. Uma PIA é mais que uma ferramenta: é um processo que começa nos estágios mais iniciais de uma iniciativa, quando ainda há oportunidades para influenciar seu resultado e, consequentemente, garantir privacy by design. É um processo que continua até, e mesmo após, o projeto ser entregue.

As iniciativas variam substancialmente em escala e impacto. Os objetivos que se enquadrem no título privacidade dependem de cultura, expectativas sociais e jurisdição. Este documento é destinado a fornecer orientação escalável que possa ser aplicada a todas as iniciativas. Como não é possível prescrever uma orientação específica para todas as circunstâncias, convém que a orientação neste documento seja interpretada com observância à circunstância individual.

Um controlador de DP pode ter a responsabilidade em conduzir uma PIA e pode demandar um operador de DP para dar assistência nisto, agindo em nome do controlador de DP. Um operador de DP ou um fornecedor também pode desejar conduzir sua própria PIA. Uma informação de PIA de um fornecedor é especialmente pertinente quando dispositivos conectados digitalmente são parte do sistema de informação, aplicação ou processo que esteja sendo avaliado.

Pode ser necessário que fornecedores destes dispositivos forneçam informações de projeto pertinentes à privacidade para aqueles que estejam empreendendo a PIA. Quando o fornecedor de dispositivos digitais não possui conhecimento e não está preparado para a PIA, por exemplo: um pequeno comércio, ou uma pequena ou média empresa (PME), usando dispositivos conectados digitalmente no curso de suas operações de negócio habituais, então, a fim de possibilitá-lo empreender uma atividade mínima da PIA, o fornecedor do dispositivo pode ser chamado para fornecer uma grande quantidade de informações de privacidade e empreender sua própria PIA em observância ao contexto esperado do titular de DP/PME para o equipamento que fornece.

Uma PIA é tipicamente conduzida por uma organização que assume sua responsabilidade seriamente e trata titulares de DP adequadamente. Em algumas jurisdições, uma PIA pode ser necessária em atendimento a requisitos legais e regulamentares. Este documento é destinado para ser utilizado quando o impacto de privacidade de titulares de DP inclui consideração de processos, sistemas de informação ou programas, onde a responsabilidade pela implementação e/ou entrega do processo, sistema de informação ou programa seja compartilhada com outras organizações e convém que seja assegurado que cada organização trate apropriadamente os riscos identificados.

Também, pode incluir uma organização esteja realizando gestão de riscos de privacidade como parte de seu esforço de gestão geral de riscos enquanto se prepara para a implementação ou melhoria de seu SGSI (estabelecido de acordo com a NBR ISO/IEC 27001 ou sistema de gestão equivalente); ou uma organização esteja realizando gestão de riscos de privacidade como uma função independente; uma organização (por exemplo, governamental) empreenda uma iniciativa (por exemplo, um programa de parceria público-privada) na qual a futura organização controladora de DP não seja conhecida ainda, com o resultado de que o plano de tratamento não possa ser implementado diretamente e, portanto, convém que este plano de tratamento seja parte da correspondente legislação, regulamentação ou do contrato como alternativa; ou a organização que queira atuar responsavelmente em relação aos titulares de DP.

Os controles considerados necessários para o tratamento de riscos identificados durante o processo de análise de impacto de privacidade podem ser derivados de múltiplos conjuntos de controles, incluindo a  NBR ISO/IEC 27002 (para controles de segurança) e a NBR ISO/IEC 29151 (para controles protetivos aos dados pessoais) ou normas nacionais comparáveis, ou eles podem ser definidos pela pessoa responsável pela condução da PIA independentemente de qualquer outro conjunto de controles. Este documento fornece orientação que pode ser adaptada a uma ampla extensão de situações nas quais DP são tratados.

Entretanto, em geral, uma PIA pode ser realizada para o propósito de identificar impactos de privacidade, riscos de privacidade e responsabilidades; fornecer entradas para a concepção de proteção da privacidade (às vezes chamada privacy by design); analisar criticamente os riscos de privacidade de um novo sistema de informações e avaliar seu impacto e probabilidade; fornecer a base para a provisão de informações de privacidade aos titulares de DP em qualquer ação recomendada de mitigação de titulares de DP; manter atualizações ou upgrades posteriores com funcionalidade adicional suscetível a impactar os DP que sejam manipulados; compartilhar e mitigar riscos de privacidade com partes interessadas, ou fornecer evidências relacionadas a compliance.

Uma PIA é ocasionalmente referida por outros termos, por exemplo, análise crítica de privacidade ou uma análise de impacto à proteção de dados. Estas instâncias particulares de uma PIA podem vir com implicações específicas para tratamento e relatório. Uma PIA frequentemente tem sido descrita como um sistema de alerta antecipado.

Ela fornece uma maneira para detectar potenciais riscos de privacidade resultando do tratamento de DP e, a partir disso, informar uma organização onde convém que ela adote precauções e construa salvaguardas construídas antes, não após, a organização realizar pesados investimentos. Os custos de alteração de um projeto no estágio de planejamento habitualmente são uma fração daqueles incorridos posteriormente. Se o impacto de privacidade é inaceitável, o projeto pode até mesmo ter que ser completamente cancelado.

Por conseguinte, uma PIA ajuda a identificar questões de privacidade antecipadamente e/ou reduzir custos de tempo de gestão, despesas legais e potenciais preocupações de mídia ou públicas ao considerar questões de privacidade antecipadamente. Pode também ajudar uma organização a evitar embaraçosos e caros equívocos em privacidade. Embora convenha que uma PIA seja mais que simplesmente uma verificação de compliance, ela, entretanto, contribui para uma demonstração da organização quanto ao seu compliance com requisitos pertinentes de privacidade e proteção de dados na eventualidade de uma reclamação subsequente, auditoria de privacidade ou investigação de compliance.

Na eventualidade da ocorrência de um risco à privacidade ou incidente, um relatório de PIA pode fornecer evidência de que a organização atuou apropriadamente na tentativa de prevenir a ocorrência. Isto pode ajudar a reduzir ou mesmo eliminar qualquer responsabilidade legal, publicidade negativa e perda de reputação. Uma PIA apropriada também demonstra aos clientes da organização e/ou cidadãos que ela respeita sua privacidade e é responsiva às suas preocupações. Clientes ou cidadãos são mais suscetíveis a confiar em uma organização que realiza uma PIA que em uma que não a realiza.

Uma PIA melhora o processo de decisão informada e expõe falhas de comunicação interna ou assunções ocultas em questões de privacidade sobre o projeto. Uma PIA é uma ferramenta para empreender uma análise sistemática de questões de privacidade originadas a partir de um projeto de modo a informar tomadores de decisão. Uma PIA pode ser uma fonte confiável de informações. Uma PIA possibilita uma organização a aprender sobre as armadilhas de privacidade de um processo, sistema de informações ou programa, em vez de ter auditores ou concorrentes os apontando.

Uma PIA ajuda a antecipar e responder às preocupações de privacidade do público. Uma PIA pode ajudar uma organização a ganhar a confiança de seu público e a certeza de que a privacidade foi construída dentro da concepção de um processo, sistema de informação ou programa. Confiança é construída sobre transparência, e uma PIA é um processo disciplinado que promove comunicações abertas, entendimento comum e transparência.

Uma organização que empreende uma PIA demonstra aos seus empregados e contratados que ela considera seriamente a privacidade e espera que façam o mesmo. Uma PIA é uma maneira de educar empregados sobre privacidade e torna-los alertas aos problemas de privacidade que possam produzir danos à organização. É uma maneira de afirmar os valores da organização.

Uma PIA pode ser utilizada como uma indicação da due diligence e pode reduzir o número de auditorias de clientes. O objetivo do relatório da PIA é comunicar os resultados da avaliação às partes interessadas. As expectativas sobre uma PIA existem de várias partes interessadas. A seguir, alguns exemplos típicos de partes interessadas e suas expectativas.

— Titular de DP – A PIA é um instrumento que possibilita que titulares de DP tenham segurança de que sua privacidade está sendo protegida.

— Gestão – Vários pontos de vista se aplicam como uma PIA como pode usada como um instrumento para gerenciar riscos de privacidade, conscientizar e estabelecer responsabilização; visibilidade do tratamento de DP dentro da organização e possíveis riscos e seus impactos; insumos para negócios ou estratégia de produtos.

— Construir a PIA nos estágios iniciais do projeto assegura que os requisitos de privacidade sejam incluídos nos requisitos funcionais e não funcionais, sejam atingíveis, viáveis e rastreáveis pela gestão de riscos e de mudanças, e pode resultar em um projeto não acontecer ou ser cancelado. Convém que o esforço em classificar e gerenciar DP de projetos seja capitalizado como uma linha de investimento separada e em montante em um projeto ou programa orçamentário, aceitável para todas as partes interessadas.

— A PIA como uma oportunidade para entender melhor os requisitos de privacidade e avaliar as atividades em relação a esses requisitos; entradas para design e entrega de produtos ou serviços; analisados criticamente e alterados ao longo do processo de gestão de mudanças após a entrega.

— A PIA como um instrumento para entender os riscos de privacidade no nível da função/projeto/unidade; consolidação de riscos; contribuição para o desenho de políticas de privacidade e mecanismos de aplicação; entradas para reengenharia de processos de privacidade.

— Regulador – A PIA é um instrumento que contribui com evidências que apoiam a conformidade com os requisitos legais aplicáveis. Pode fornecer evidências da due diligence adotada pela organização em caso de violação, não conformidade, reclamação, etc.

— Cliente – A PIA é um meio de avaliar como o operador de DP ou controlador de DP está lidando com os DP e fornece evidências de que ele cumpre as obrigações contratuais. Convém que o relatório de PIA cumpra duas atribuições básicas. A primeira (inventário) mantém as partes interessadas específicas informadas sobre as entidades afetadas identificadas, o ambiente afetado e os riscos de privacidade sobre o ciclo de vida das entidades afetadas, sejam eles inerentes ou mitigadas.

A segunda (itens de ação) é um mecanismo de rastreamento das ações/tarefas que melhoram e/ou resolvem os riscos de privacidade identificados. A sensibilidade na distribuição e liberação das informações do relatório precisa ser claramente avaliada e classificada (privada, confidencial, pública, etc.). Convém que uma PIA seja realizada por processos ou sistemas de informação por uma de várias entidades diferentes da organização, mas também pode ser realizada em um processo, sistema de informação ou programa por organizações de consumidores ou organizações não governamentais.

Normalmente, convém que a responsabilidade de assegurar que uma PIA seja realizada, em primeiro lugar, recaia sobre a pessoa encarregada da proteção de DP, caso contrário, o gerente de projeto desenvolverá a nova tecnologia, serviço ou outra iniciativa que possa impactar a privacidade. Convém que a responsabilização de assegurar que a PIA seja realizada e a qualidade do resultado (responsabilidade da PIA) caiba à Alta Direção do controlador de DP.

A pessoa a quem foi atribuída a responsabilidade de conduzir a PIA pode conduzi-la por conta própria, pode contar com a ajuda de outras partes interessadas internas e/ou externas ou pode contratar um terceiro independente para fazer o trabalho. Existem vantagens e desvantagens em cada abordagem. No entanto, quando a PIA é realizada diretamente pela organização, associações de usuários finais ou agências governamentais podem solicitar que a adequação da PIA seja verificada por um auditor independente.

Convém que a organização assegure que haja responsabilização e autoridade para gerenciar riscos de privacidade, incluindo a implementação e manutenção do processo de gestão de riscos de privacidade e para assegurar a adequação e eficácia de quaisquer controles. Isso pode ser facilitado por especificar quem é o responsável pelo desenvolvimento, implementação e manutenção da estrutura para gerenciar riscos de privacidade, e especificar os proprietários de riscos para implementar o tratamento de riscos de privacidade, manter controles de privacidade e relatar informações pertinentes sobre riscos de privacidade.

A escala do PIA depende da importância dos impactos assumidos. Por exemplo, se for presumido que os impactos afetam apenas os funcionários da organização (por exemplo, a organização pode querer melhorar seu controle de acesso por meio de uma biometria, como uma impressão digital de cada funcionário), a PIA poderia envolver apenas representantes dos funcionários e ser de escala relativamente pequena. No entanto, se um departamento do governo desejar introduzir um novo sistema de gestão de identidade para todos os cidadãos, precisará realizar uma PIA muito maior, envolvendo uma ampla gama de partes interessadas externas.

Convém que as organizações forneçam autoavaliação na escala exigida da PIA, em conformidade com as leis e regulamentos. A quantidade e granularidade dos DP por pessoa, o grau de sensibilidade dos DP, o número de titulares de DP e o número de pessoas que têm acesso aos DP que serão tratados são os fatores críticos na determinação dessa escala.

No caso de PME, organizações sem fins lucrativos ou governamentais, a determinação da escala apropriada da PIA pode ser realizada de maneira conjunta, mas não vinculativa, pela pessoa que realiza uma PIA, a Alta Direção da PME e/ou aconselhamento de especialistas externos, conforme apropriado. O escopo de uma PIA, os detalhes específicos do que ela abrange e como é conduzida precisam ser adaptados ao tamanho da organização, à jurisdição local e ao programa, sistema de informações ou processo específico que é objeto da PIA.

Na Seção 6, o “Objetivo” é algo que convém que seja alcançado, a “Entrada” fornece orientações sobre quais informações podem ser necessárias para alcançar o “Objetivo”, a “Saída esperada” é a meta recomendada para as “Ações”, “Ações”, ou seus equivalentes, são orientações sobre atividades que talvez precisem ser realizadas para alcançar o “Objetivo” e criar a “Saída esperada” recomendada, e as “Diretrizes de implementação” fornece mais detalhes sobre assuntos que podem ser considerados na execução das “Ações”.

As “Ações” nesta seção, ou equivalentes, adaptadas ao escopo e escala desejados de uma PIA podem ser implementadas de forma independente por uma organização. Eles pretendem formar uma base razoável para planejar, implementar e acompanhar a PIA em uma ampla gama de circunstâncias. A organização que conduz um processo de PIA pode desejar adaptar diretamente a orientação do processo a seguir à sua escala e escopo específicos da PIA ou como uma alternativa possível para selecionar um sistema de gestão baseado em risco adequado, como na NBR ISO/IEC 27001, e integrar a ele elementos das orientações abaixo adequadamente adaptados, incluindo o uso do relatório da PIA (ver Seção 7) para tratar os riscos de privacidade identificados.

Neste documento, o termo “realização de uma PIA” é usado para cobrir uma PIA inicial, na qual as etapas e ações necessárias são selecionadas para corresponder ao requisito específico da PIA e uma atualização para uma PIA existente, onde apenas as etapas e ações necessárias para a atualização são realizados. O Anexo C fornece mais orientações sobre o entendimento dos termos usados neste documento. Para apoiar as PME no processo da PIA, convém que as associações ou os órgãos da indústria sejam incentivados a elaborar códigos de conduta que forneçam diretrizes valiosas, e convém que as PME sejam incentivadas a participar dessas atividades.

Os códigos de conduta razoáveis teriam que respeitar os valores estabelecidos neste documento e poderiam ser endossados pelas autoridades de proteção de dados. Para a determinação da necessidade de uma PIA (análise de pertinência), deve-se usar como entrada as informações sobre o programa, sistema de informações ou processo em avaliação. A saída esperada: resultado da análise de limite e mandato para preparar uma PIA nova ou atualizada se necessária, termos de referência e escopo da PIA decididas.

Para as ações, convém que a direção da organização decida se é necessária uma PIA nova ou atualizada. Se for necessária uma PIA nova ou atualizada, convém que a direção da organização, em conjunto com o avaliador, estabeleça os termos de referência e determine os limites e a aplicabilidade da PIA para estabelecer seu escopo. Convém que a organização também decida e documente a escala da PIA, o processo a ser usado para executá-la e o público-alvo, e então a natureza e o conteúdo dos relatórios da PIA a serem produzidos.

Convém que a saída deste processo em termos do resultado da análise de limiar e o escopo e os termos de referência da PIA sejam documentados no relatório da PIA. Convém que a organização realize uma PIA nova ou atualizada se perceber impactos na privacidade de: uma tecnologia, serviço ou outra iniciativa nova ou prospectiva, em que os DP sejam ou devam ser tratados, uma decisão de que DP sensíveis (ver NBR ISO/IEC 29100:2020, 2.26) serão tratados, alterações nas leis e regulamentos aplicáveis à privacidade, política e normas internas, operação do sistema de informações, propósitos e meios para processar dados, fluxos de dados novos ou alterados, etc., e uma expansão ou aquisição de negócios.

Uma organização pode desejar estabelecer uma política que estabeleça limites para acionar uma PIA nova ou atualizada e as medidas técnicas e organizacionais iniciais a serem aplicadas. Convém que essa política considere quaisquer problemas aplicáveis dentre os listados acima, estabelecendo limites dentro dos quais o tratamento de DP pode ser desenvolvido e operado sem acionar uma nova PIA. Convém que uma pessoa responsável pela realização de uma PIA (o avaliador) seja identificada e nomeada pela organização.

Convém que a organização também nomeie a pessoa responsável por assinar o relatório da PIA. Convém que o avaliador estabeleça os critérios de risco e assegure que a Alta Direção concorda com os critérios de risco a serem usados para avaliar a significância do risco. Esses critérios podem basear-se nos mostrados no Anexo A ou podem ser estabelecidos separadamente pela organização, juntamente com os critérios sobre como estimar o nível de impacto e o risco com suas respectivas escalas. Convém que o avaliador também identifique os critérios para aceitação de riscos e assegure que a Alta Direção concorda com esses critérios.

Convém que a saída desse processo em termos dos critérios de risco seja documentada no relatório da PIA e recursos. Convém que os critérios reflitam os valores, objetivos e recursos da organização. Ao estabelecer os critérios de risco, convém que o avaliador considere os seguintes fatores: os fatores legais e regulamentares que afetam a salvaguarda da privacidade da pessoa natural e a proteção de seus DP; os fatores externos, como diretrizes da indústria, padrões profissionais, políticas da empresa e acordos com clientes; os fatores predeterminados por uma aplicação específica ou em um contexto de caso de uso específico; e outros fatores que possam afetar o design de sistemas de informação e os requisitos de proteção de privacidade associados.

Convém que a direção da organização examine separadamente os riscos de privacidade do ponto de vista de um diretor de DP e os riscos de privacidade do ponto de vista da organização. Convém que esses critérios sejam usados posteriormente para avaliação e tratamento de riscos de privacidade. Convém que a pessoa responsável pela condução de um PIA proponha os termos de referência e o escopo do PIA.

Convém que a pessoa responsável pela realização de uma PIA consulte outras pessoas da organização e talvez externas à organização para descrever os fluxos de DP e, especificamente: como os DP são coletadas e a fonte relacionada; quem é responsável dentro da organização pelo tratamento de DP; com que finalidade os DP serão tratados; como os DP serão tratados; política de retenção e descarte de DP; como os DP serão gerenciados e modificados; como os operadores de DP e desenvolvedores de aplicativos protegem os DP; identifique quaisquer DP transferidos para jurisdições onde se aplicam níveis mais baixos de proteção; se aplicável, notifique as autoridades pertinentes sobre qualquer novo tratamento de DP e solicite as aprovações necessárias. (ver figura abaixo)

O uso de DP (ou transferência de DP) pode incluir fluxos aprovados de compartilhamento de DP para outras partes. A figura acima mostra um exemplo de como o fluxo de informações de DP pode ser visualizado em um diagrama de fluxo de trabalho no tratamento de DP. Convém que organização, como uma entrada da PIA, descreva o fluxo de informações da maneira mais detalhada possível para ajudar a identificar os possíveis riscos de privacidade.

Convém que o avaliador considere os impactos não apenas na privacidade das informações, mas também na conformidade com os regulamentos relacionados à privacidade, por exemplo, atos de telecomunicações. Convém que todo o ciclo de vida dos DP seja considerado.

O conflito de gerações (VÍDEO COM CLAUDIUS D’ARTAGNAN)

A diversidade das gerações é um fenômeno crescente nos ambientes de negócios contemporâneos. Na verdade, a maior diversidade de gerações está representada no local de trabalho de hoje do que em qualquer outro momento da história. Há os baby boomers (1946-1964) que cresceram sendo encorajados a valorizar seu individualismo e a se expressar criativamente. Hoje eles são conhecidos por sua forte ética de trabalho, dedicação, orientação para o serviço, perspectiva de equipe e experiência.

A geração X (1963 a 1980) é conhecida pelo valor de autossuficiência, espírito empreendedor e equilíbrio entre trabalho e vida pessoal, influenciada pelo fato de que cresceram em uma era de crescentes taxas de divórcio, demissões corporativas massivas e avanços em tecnologia. Os trabalhadores da geração millennial (1980 a 2000) são identificados como globais em experiência e perspectiva, aceitando o multiculturalismo e a comunicação instantânea como um modo de vida. No local de trabalho são definidos pela ação coletiva, otimismo, know-how tecnológico e capacidade multitarefa.

As características de cada geração afetam diferentes percepções e entendimentos sobre a ética do trabalho, as relações profissionais e a hierarquia organizacional. A diversidade geracional pode contribuir para os conflitos no local de trabalho em torno de questões de horas extras, uso de tecnologia, pontualidade e códigos de vestimenta.

Assista um vídeo de Claudius D’Artagnan Cunha de Barros que é administrador de empresas. pós-graduado em gestão empresarial e recursos humanos. especialização em gestão da qualidade pela Japanese Union of Scientists and Engineers, é empresário, consultor organizacional, professor universitário e coordenador didático/pedagógico da UniAPVE/SJCampos/SP. Fale com ele no e-mail darta.barros@abqualidade.org.br

Darta Barros

Clique no link e preencha o formulário de avaliação do vídeo: https://forms.gle/VH9HjZHAE8yXcTzp6

Como elaborar corretamente a sinalização tátil nos pisos

Deve-se compreender os critérios e os parâmetros técnicos observados para a elaboração do projeto e instalação de sinalização tátil no piso, seja para construção ou adaptação de edificações, espaços e equipamentos urbanos às condições de acessibilidade para a pessoa com deficiência visual ou surdo-cegueira.

Confirmada em setembro de 2020, a NBR 16537 de 06/2016 – Acessibilidade – Sinalização tátil no piso – Diretrizes para elaboração de projetos e instalação estabelece os critérios e os parâmetros técnicos observados para a elaboração do projeto e instalação de sinalização tátil no piso, seja para construção ou adaptação de edificações, espaços e equipamentos urbanos às condições de acessibilidade para a pessoa com deficiência visual ou surdo-cegueira. No estabelecimento desses critérios e parâmetros técnicos, foram consideradas as diversas condições de mobilidade e percepção do ambiente, com ou sem a ajuda de recursos ópticos. Essa norma fornece orientações para mobilidade às pessoas com deficiência visual, cujo comprometimento ou tipo de visão requer o acréscimo das informações oferecidas pela sinalização tátil no piso.

Também fornece orientações para mobilidade às pessoas com surdo-cegueira, cujo comprometimento ou treinamento permita sua circulação autônoma. Essa norma não se aplica às placas com informações táteis, mapas táteis, informações sonoras ou por meio de equipamentos eletrônicos, que consistem em sinalização complementar e que podem ser necessários para auxiliar na orientação e mobilidade das pessoas com deficiência visual ou surdo-cegueira.

Acesse algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Qual o dimensionamento dos relevos táteis de alerta instalados diretamente no piso?

Qual o dimensionamento dos relevos do piso tátil de alerta?

Como deve ser feito o contraste de luminância?

O que devem atender as escadas fixas?

O projeto arquitetônico considera soluções diversas e complementares para permitir o uso simples e intuitivo de ambientes e edificações e o atendimento às premissas do desenho universal, como a padronização dos espaços e a ausência de obstáculos nas áreas de circulação, minimizando os riscos e as consequências adversas de ações involuntárias e imprevistas. Convém que o usuário desta norma esteja atento aos preceitos do desenho universal, complementando as diretrizes de sinalização tátil, estabelecidas nas demais normas brasileiras que tratam de acessibilidade, bem como as normas que venham a ser publicadas posteriormente, sem esgotar as possibilidades de soluções para os diferentes casos.

A sinalização tátil no piso é considerada um recurso complementar para prover segurança, orientação e mobilidade a todas as pessoas, principalmente àquelas com deficiência visual ou surdo-cegueira. Ao acatar os preceitos do desenho universal, o projetista está beneficiando e atendendo às necessidades de pessoas de todas as idades e capacidades.

A sinalização tátil no piso compreende a sinalização de alerta e a sinalização direcional, respectivamente, para atendimento a quatro funções principais: função identificação de perigos (sinalização tátil alerta): informar sobre a existência de desníveis ou outras situações de risco permanente; função condução (sinalização tátil direcional): orientar o sentido do deslocamento seguro; função mudança de direção (sinalização tátil alerta): informar as mudanças de direção ou opções de percursos; função marcação de atividade (sinalização tátil direcional ou alerta): orientar o posicionamento adequado para o uso de equipamentos ou serviços.

A sinalização tátil de alerta deve ser utilizada conforme condições estabelecidas nessa norma e deve ser utilizada somente para as situações estabelecidas nela. O principal recurso de orientação da sinalização tátil no piso é a percepção por meio da bengala de rastreamento ou da visão residual. A percepção da sinalização tátil pelos pés é um recurso complementar de orientação.

As pessoas com deficiência visual têm dificuldade de locomoção em situações espaciais críticas para sua orientação, como espaços com excesso de informação e espaços com ausência de informação. A compreensão e a correta utilização da sinalização tátil no piso pelas pessoas com deficiência visual dependem de treinamento de orientação e mobilidade. A utilização de sinalização tátil direcional em situações não abrangidas nesta norma deve ser definida de acordo com a necessidade verificada.

Os pisos táteis, os relevos táteis aplicados diretamente no piso e os contrastes visuais da sinalização tátil no piso devem ser conforme descrito a seguir. O piso tátil de alerta consiste em um conjunto de relevos de seção troncocônica sobre placa, integrados ou sobrepostos ao piso adjacente, conforme dimensões constantes na tabela e figura abaixo.

A sinalização tátil de alerta no piso deve atender aos seguintes requisitos: ser antiderrapante, em qualquer condição, devendo ser garantida a condição antiderrapante durante todo o ciclo de vida da edificação/ambiente, tanto em áreas internas como externas; ter relevo contrastante em relação ao piso adjacente, para ser claramente percebida por pessoas com deficiência visual que utilizam a técnica de bengala longa; ter contraste de luminância em relação ao piso adjacente, para ser percebida por pessoas com baixa visão, devendo ser garantida a cor do relevo durante todo o ciclo de vida da edificação/ambiente, tanto em áreas internas como externas.

As áreas públicas ou de uso comum em edificações, espaços e equipamentos urbanos devem ter sinalização tátil de alerta no piso para: informar à pessoa com deficiência visual sobre a existência de desníveis ou outras situações de risco permanente, como objetos suspensos não detectáveis pela bengala longa; orientar o posicionamento adequado da pessoa com deficiência visual para o uso de equipamentos como elevadores, equipamentos de autoatendimento ou serviços; informar as mudanças de direção ou opções de percursos, estabelecidas na Seção 7; indicar o início e o término de escadas e rampas; indicar a existência de patamares, nas situações indicadas; indicar o local de travessia de pedestres.

A sinalização tátil de alerta no piso deve ser instalada no início e no término de escadas fixas, com ou sem grelhas, degraus isolados, rampas fixas com inclinação (i) superior ou igual a 5 % (i ≥ 5 %), escadas e esteiras rolantes. Os locais de travessia devem ter sinalização tátil de alerta no piso, posicionada paralelamente à faixa de travessia ou perpendicularmente à linha de caminhamento, para orientar o deslocamento das pessoas com deficiência visual.

Deve haver sinalização tátil de alerta indicando o limite de plataformas, localizado a 0,50 m de distância do limite da borda. A largura da sinalização tátil de alerta deve variar entre 0,25 m e 0,60 m, exceto para plataforma em via pública, quando a largura deve variar entre 0,40 m e 0,60 m. A sinalização tátil de alerta deve ser instalada junto a elevadores, balcões de informações, bilheterias e outros equipamentos ou serviços para alertar sobre a sua localização e posicionamento do usuário para seu acionamento ou uso.

A sinalização tátil de alerta deve ser aplicada em todos os elevadores e plataformas de elevação vertical, na largura do vão (projeção) da porta do equipamento, alertando quanto à proximidade e orientando quanto ao posicionamento para acionamento da botoeira do elevador ou plataforma de elevação vertical. Quando houver necessidade do direcionamento da pessoa com deficiência visual para um ou mais equipamentos, este deve ser feito através do piso tátil direcional.

A sinalização tátil de alerta em guichês de bilheterias deve ser aplicada em todos os guichês, orientando quanto ao posicionamento adequado para atendimento. Quando for necessário o direcionamento da pessoa com deficiência visual para bilheterias e balcões de atendimento, a sinalização tátil direcional deve atender ao especificado a seguir: quando o patamar das escadas ou rampas for maior que 2,10 m ou coincidir com áreas de circulação, deve haver sinalização tátil direcional entre os lances de escada ou rampa.

As orientações para a gestão da inovação

Deve-se compreender os parâmetros para o estabelecimento, implementação, manutenção e melhoria contínua de um sistema de gestão da inovação para uso em todas as organizações estabelecidas.

A NBR ISO 56002 de 10/2020 – Gestão da inovação – Sistema de gestão da inovação – Diretrizes fornece orientação para o estabelecimento, implementação, manutenção e melhoria contínua de um sistema de gestão da inovação para uso em todas as organizações estabelecidas. É aplicável a organizações que buscam sucesso sustentado desenvolvendo e demonstrando sua capacidade de gerir eficazmente atividades de inovação para alcançar os resultados pretendidos; usuários, clientes e outras partes interessadas, buscando confiança nas capacidades de inovação de uma organização; organizações e partes interessadas que buscam melhorar a comunicação por meio de um entendimento comum do que constitui um sistema de gestão da inovação; provedores de treinamento, avaliação ou consultoria em gestão da inovação e sistemas de gestão da inovação; formuladores de políticas, visando maior eficácia dos programas de apoio, visando as capacidades de inovação e competitividade das organizações e o desenvolvimento da sociedade.

Todas as diretrizes contidas neste documento são genéricas e destinadas a serem aplicáveis a todos os tipos de organizações, independentemente do tipo, setor ou tamanho. O foco está nas organizações estabelecidas, com o entendimento de que tanto as organizações temporárias quanto as startups também podem se beneficiar da aplicação destas diretrizes no todo ou em parte. Aplicáveis a todos os tipos de inovações, por exemplo, produto, serviço, processo, modelo e método, variando de incremental a radical; a todos os tipos de abordagens, por exemplo, atividades de inovação interna e aberta, inovação direcionada ao usuário, mercado, tecnologia e design. Não descreve atividades detalhadas dentro da organização, mas fornece orientação em nível geral. Não prescreve quaisquer requisitos ou ferramentas ou métodos específicos para atividades de inovação.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Por que promover uma cultura que apoie as atividades de inovação?

Por que adotar uma abordagem para a gestão da colaboração interna e externa?

Como a empresa deve ter o foco na realização de valor?

Como executar o estabelecimento da política de inovação?

A capacidade de inovação de uma organização é reconhecida como um fator-chave para crescimento sustentado, viabilidade econômica, aumento do bem-estar e desenvolvimento da sociedade. As capacidades de inovação de uma organização incluem a capacidade de entender e responder às mudanças nas condições de seu contexto, buscar novas oportunidades e alavancar o conhecimento e a criatividade das pessoas dentro da organização, e em colaboração com as partes interessadas externas. Uma organização pode inovar de maneira mais eficaz e eficiente se todas as atividades necessárias e outros elementos inter-relacionados ou interagentes forem geridos como um sistema.

Um sistema de gestão da inovação orienta a organização a determinar sua visão, estratégia, política e objetivos de inovação e estabelecer o suporte e os processos necessários para alcançar os resultados pretendidos. Os benefícios potenciais da implementação de um sistema de gestão da inovação de acordo com este documento são maior capacidade de gerir incertezas; aumento do crescimento, receita, rentabilidade e competitividade; redução de custos e desperdícios e aumento da produtividade e eficiência de recursos; maior sustentabilidade e resiliência; maior satisfação de usuários, clientes, cidadãos e outras partes interessadas; renovação sustentada do portfólio de ofertas; pessoas engajadas e com poder de decisão na organização; maior capacidade de atrair parceiros, colaboradores e financiamento; reputação e valorização aprimoradas da organização; conformidade facilitada com os regulamentos e outros requisitos pertinentes.

Este documento é baseado em princípios de gestão da inovação. Um princípio de gestão da inovação inclui uma declaração do princípio, uma justificativa do porquê o princípio é importante para a organização, alguns exemplos de benefícios associados ao princípio e, finalmente, exemplos de ações que a organização pode executar para melhorar o desempenho ao aplicar o princípio. Os seguintes princípios são a base do sistema de gestão da inovação: realização de valor; líderes focados no futuro; direção estratégica; cultura; exploração de insights; gestão da incerteza; adaptabilidade; abordagem sistêmica.

Os princípios podem ser considerados como um conjunto aberto a ser integrado e adaptado dentro da organização. Dessa forma, um sistema de gestão da inovação é um conjunto de elementos inter-relacionados e interativos, visando a realização de valor. Ele fornece uma estrutura comum para desenvolver e implantar recursos de inovação, avaliar o desempenho e alcançar os resultados pretendidos.

Os elementos podem ser gradualmente adotados para implementar o sistema de acordo com o contexto e as circunstâncias particulares da organização. Todos os benefícios podem ser obtidos quando todos os elementos do sistema de gestão da inovação são adotados pela organização. Por fim, a implementação efetiva do sistema de gestão da inovação depende do comprometimento da Alta Direção e da habilidade dos líderes de promover recursos de inovação e uma cultura que apoie as atividades de inovação.

O ciclo Planejar-Fazer-Verificar-Agir (PDCA) permite a melhoria contínua do sistema de gestão da inovação para assegurar que as iniciativas e processos de inovação sejam adequadamente apoiados, dotados de recursos e geridos, e que oportunidades e riscos sejam identificados e tratados pela organização. O ciclo PDCA pode ser aplicado ao sistema de gestão da inovação como um todo ou suas partes. A figura 1 abaixo ilustra como as Seções 4 a 10 podem ser agrupadas em relação ao ciclo PDCA. O ciclo é informado e dirigido pelo contexto da organização (Seção 4) e sua liderança (Seção 5).

O ciclo pode ser descrito brevemente da seguinte maneira: Planejar: estabelecer os objetivos e determinar as ações necessárias para lidar com as oportunidades e os riscos (Seção 6); Fazer: implementar o que é planejado em termos de suporte e operações (Seções 7 e 8); Verificar: monitorar e (quando aplicável) medir os resultados em relação aos objetivos (Seção 9); Agir: tomar medidas para melhorar continuamente o desempenho do sistema de gestão da inovação (Seção 10). As atividades de inovação precisam lidar com altos graus de variação e incerteza, principalmente durante as fases criativas iniciais.

Eles são explorativos e caracterizados por pesquisa, experimentação e aprendizado. À medida que o processo avança, o conhecimento é adquirido e a incerteza é reduzida. As iniciativas de inovação envolvem assumir riscos e nem todas resultam em inovação. As iniciativas descontinuadas são parte integrante dos processos e fontes de aprendizado como insumo para futuras iniciativas de inovação.

O grau de risco aceitável depende da ambição de inovação, das capacidades da organização e dos tipos de inovações abordados pela organização. A gestão de riscos pode ser abordada por diferentes abordagens, por exemplo, aprendizado iterativo, parceria ou diversificação de portfólio com diferentes níveis de risco. Uma abordagem de sistemas é fundamental para entender as interdependências e gerir as incertezas.

As iniciativas de inovação podem ser implementadas por processos que identificam oportunidades, criam e validam conceitos e desenvolvem e implantam soluções. Esses processos de inovação são implementados aos tipos de inovações que a organização procura alcançar. As organizações podem estabelecer estruturas unificadas ou separadas para implementar atividades de inovação. Estas podem requerer diferentes estilos, competências e culturas de liderança.

A implementação de um sistema de gestão da inovação pode incentivar a organização a desafiar o status quo e as premissas e estruturas organizacionais estabelecidas. Isso pode ajudar a organização a gerir incertezas e riscos com mais eficácia. Este documento aplica a estrutura desenvolvida pela ISO para melhorar o alinhamento entre suas normas internacionais para sistemas de gestão (consultar ISO/IEC Directives, Part 1, Consolidated ISO Supplement, Annex SL).

Esta estrutura permite que uma organização alinhe ou integre seu sistema de gestão da inovação às diretrizes ou requisitos de outras normas de sistema de gestão. Este documento é referente à família da ISO 56000, desenvolvida pelo ISO/TC 279, da seguinte forma: ISO 56000 Innovation management – Fundamentals and vocabulary fornece um background essencial para o correto entendimento e implementação deste documento; ISO TR 56004 Innovation management assessment – Guidance fornece diretrizes para as organizações planejarem, implementarem e acompanharem uma avaliação da gestão da inovação; ISO 56003 Innovation management – Tools and methods for innovation partnership – Guidance; e as normas subsequentes fornecem orientação sobre ferramentas e métodos para apoiar a implementação do sistema de gestão da inovação.

A implementação de um sistema de gestão da inovação eficaz e eficiente pode ter impacto ou ser impactado por outros sistemas de gestão e pode requerer integração em vários níveis. As normas do sistema de gestão se complementam, mas também podem ser usados independentemente. Este documento pode ser implementado em conjunto com outras normas do sistema de gestão, ajudando as organizações a equilibrar a exploração de ofertas e operações existentes, com a exploração e introdução de novas ofertas.

As organizações podem encontrar um equilíbrio entre as diretrizes de gestão da inovação e outras normas do sistema de gestão. As organizações que não adotaram outras normas de sistema de gestão podem adotar este documento como orientação independente em sua organização. Dessa forma, convém que a organização determine regularmente: as questões externas e internas pertinentes para seu propósito e que afetam sua capacidade de alcançar os resultados pretendidos de seu sistema de gestão da inovação; as áreas de oportunidade para realização de valor potencial.

Convém que a organização verifique e analise regularmente o contexto externo, considerando questões relacionadas a: diferentes áreas abrangendo aspectos econômicos, de mercado, sociais, culturais, científicos, tecnológicos, legais, políticos, geopolíticos e ambientais; âmbito geográfico, seja ele internacional, nacional, regional ou local; experiência passada, situação atual e possíveis cenários futuros; velocidade e resistência a mudanças; probabilidade e impacto potencial das tendências; oportunidades e ameaças potenciais, também aquelas que podem resultar de disrupções; partes interessadas.

Convém que a organização analise regularmente seu contexto interno, incluindo capacidades e recursos, considerando questões relacionadas a sua visão, nível de ambição, direção estratégica e competências essenciais; práticas de gestão existentes, estruturas organizacionais e uso de outros sistemas de gestão; desempenho geral da organização e desempenho de inovação, por exemplo, realizações e falhas no passado recente e comparadas com outras organizações pertinentes; aspectos operacionais, por exemplo, processos, orçamento, controle e colaboração; potencial e maturidade (posição no ciclo de vida) das ofertas atuais e modelos de realização de valor; a singularidade de seu pessoal, conhecimentos, habilidades, tecnologias, propriedade intelectual, ecossistemas, marcas, parcerias, infraestrutura, etc.; adaptabilidade de estratégias, processos, alocação de recursos, etc.; aspectos culturais, como valores, atitudes e comprometimento em todos os níveis da organização; as competências de inovação de seu pessoal ao longo do tempo.

As partes interessadas externas podem ser usuários, clientes, cidadãos, comunidade local, grupos de interesses especiais, parceiros, provedores externos, consultores, sindicatos, concorrentes, proprietários, acionistas, organizações financiadoras, reguladores, autoridades públicas, órgãos normativos, indústria e associações comerciais. As partes interessadas internas podem ser funcionários de todos os níveis e outras pessoas que trabalham em nome da organização.

Convém que a organização determine, monitore e revise as partes interessadas, internas ou externas, atuais ou potenciais, pertinentes para o sistema de gestão da inovação e as áreas de oportunidade; as necessidades, expectativas e requisitos aplicáveis dessas partes interessadas; como e quando interagir ou se envolver com as partes interessadas pertinentes. As necessidades e expectativas das partes interessadas podem estar relacionadas a necessidades e expectativas atuais ou futuras; necessidades e expectativas declaradas ou não declaradas; realização do valor, financeiro e não financeiro; diferentes graus de novidade e mudança, de incremental para radical; mercados existentes ou a criação de novos mercados; qualquer produto, serviço, processo, modelo, método, etc.; ofertas dentro, adjacentes ou mais distantes do escopo atual da organização; o aprimoramento ou substituição das ofertas atuais; a própria organização ou sua cadeia de valor, rede ou ecossistema; requisitos estatutários e regulamentares e compromissos de conformidade.

A organização deve determinar e selecione as oportunidades de melhoria e implemente as ações e mudanças necessárias no sistema de gestão da inovação, considerando os resultados da avaliação de desempenho. Convém que a organização considere ações e alterações para manter ou aprimorar pontos fortes; abordar pontos fracos e lacunas; corrigir, impedir ou reduzir desvios e não conformidades.

Convém que a organização assegure que as ações e mudanças sejam implementadas de maneira oportuna, completa e eficaz. Convém que a organização comunique ações e mudanças dentro da organização e com outras partes interessadas pertinentes, a fim de estimular o aprendizado e a melhoria. Um desvio pode ser descrito como uma lacuna identificada, um efeito indesejável ou uma diferença do desempenho esperado, enquanto uma não conformidade é o não cumprimento de um requisito.