A busca de um propósito está no centro da governança das empresas

Normalmente, a busca de um propósito está no centro de todas as organizações e é, portanto, de importância primordial para a governança de organizações. A boa governança de organizações estabelece as bases para o cumprimento do propósito da organização de forma ética, eficaz e responsável, de acordo com as expectativas das partes interessadas. Os resultados organizacionais desta boa governança são o desempenho eficaz; e a administração (stewardship) responsável.

Pode-se definir o órgão de governança como uma pessoa ou grupo de pessoas que têm a responsabilização final por toda a organização. Toda entidade organizacional tem um órgão de governança, esteja ou não explicitamente estabelecido. Um órgão de governança pode ser explicitamente estabelecido em vários formatos, incluindo, mas não se limitando a, um conselho de administração, conselho de supervisão, diretor único, diretoria conjunta e vários diretores ou curadores.

Ele deve assegurar que a organização proteja e restaure os sistemas dos quais depende. Nesse sentido, o órgão de governança deve considerar e gerenciar o risco associado às decisões que tome e que possam impactar sistemas ambiental natural, social e econômico. Ao fazer isso, o órgão de governança deve assegurar que as partes interessadas pertinentes sejam consultadas e engajadas.

Esse processo deve proporcionar clareza sobre o impacto que as decisões do órgão de governança têm, ao longo do tempo, sobre os aspectos em relação aos quais a organização: depende diretamente; não depende diretamente, mas cuja capacidade de sustentar-se será afetada pelas decisões do órgão de governança. O órgão de governança deve assegurar que, quando a organização relatar e divulgar seu modelo de geração de valor, sejam incluídos: a visão integrada das relações entre o modelo de geração de valor da organização e os sistemas dos quais ela depende (e que a organização também afeta por meio de sua geração de valor); os riscos que se apresentam à organização e ao seu modelo de geração de valor, pelos sistemas do ambiente natural, social e econômico em que ela opera, e pelas decisões do órgão de governança; os riscos que se apresentam aos sistemas do ambiente natural, social e econômico pela organização, por seu modelo de geração de valor e pelas decisões do órgão de governança.

A NBR ISO 37000 de 09/2022 – Governança de organizações – Orientações fornece orientações sobre a governança das organizações. Fornece também os princípios e os aspectos-chave das práticas para orientar os órgãos de governança e os grupos de governança sobre como cumprir as suas responsabilidades, de modo que as organizações que governam possam cumprir o seu propósito. Destina-se às partes interessadas envolvidas ou impactadas pela organização e pela sua governança.

A busca do propósito está no centro de todas as organizações e é, portanto, de importância primordial para a governança de organizações. A boa governança de organizações estabelece as bases para o cumprimento do propósito da organização de forma ética, eficaz e responsável, de acordo com as expectativas das partes interessadas.

Os resultados organizacionais desta boa governança são: o desempenho eficaz; a administração (stewardship) responsável; e o comportamento ético. Boa governança significa que a tomada de decisão da organização é baseada no ethos, cultura, normas, práticas, comportamentos, estruturas e processos da organização. A boa governança cria e mantém uma organização com um propósito claro, que proporciona valor a longo prazo, consistente com as expectativas das suas partes interessadas pertinentes.

A implementação da boa governança é baseada em liderança, em valores e em um quadro de mecanismos, processos e estruturas que são apropriados aos contextos interno e externo da organização. Esta orientação é dirigida aos órgãos de governança e grupos de governança, mas também pode ser útil para aqueles que os apoiam no exercício de suas funções, como: o pessoal; os praticantes de governança; e as outras partes interessadas.

As organizações que utilizam esta orientação estarão melhor equipadas para entender as expectativas de suas partes interessadas e aplicar a criatividade, cultura, princípios e desempenho necessários para entregar os objetivos da organização de acordo com seu propósito e valores. Seus órgãos de governança responsabilizarão os gestores e assegurarão que a cultura, as normas e as práticas da organização estejam alinhadas com o propósito e os valores da organização. Esta orientação estabelece princípios de governança que auxiliarão os órgãos de governança no exercício dos seus deveres de forma eficaz, prudente e eficiente, ao mesmo tempo em que aumenta a confiança, inclusão, responsabilização, legitimidade, capacidade de resposta rápida, transparência e equidade.

Os órgãos de governança que aplicam esta orientação podem esperar que as organizações que governam alcançarão desempenho eficaz, administração (stewardship) responsável e comportamento ético. Quando as organizações usam este documento, as partes interessadas em todos os países e setores podem ter maior confiança de que os órgãos de governança dessas organizações são responsáveis, responsabilizáveis, justos e transparentes, agem com probidade e tomam decisões baseadas em riscos e esclarecidas por: informação verossímil e dados confiáveis; expectativas das partes interessadas; obrigações de compliance; expectativas éticas e da sociedade, incluindo as antecipadas para as futuras gerações; e impactos, e confiança, no ambiente natural.

Os benefícios da boa governança podem se aplicar: à própria organização; às partes interessadas membro; a outras partes interessadas. A governança das organizações é facilitada pela aplicação de princípios que ajudem a organização a cumprir seu propósito organizacional e, ao fazê-lo, gerar valor para a organização e para as suas partes interessadas.

A figura abaixo fornece uma visão geral da governança das organizações e dos princípios e resultados de governança descritos neste documento. Esses componentes já podem existir na íntegra ou em parte na organização. No entanto, às vezes, precisam ser adaptados ou melhorados para que a governança da organização permaneça eficaz, eficiente e apropriada ao seu contexto e à natureza dinâmica únicos.

Todas as partes interessadas esperam que as organizações, especialmente aquelas que impactam diretamente em suas vidas, sejam bem governadas. Isso resulta na necessidade de desenvolver uma compreensão comum do que constitui a governança das organizações em todas as jurisdições. Portanto, é necessária uma abordagem global baseada no consenso. Este documento define condições e princípios de governança, e recomenda aspectos-chave da prática que podem orientar aqueles que governam organizações para compreender e cumprir suas responsabilidades, para que a organização que governam possa cumprir seu propósito.

Esta orientação é para os membros do órgão de governança e para os grupos de governança, aqueles a quem supervisionam e aqueles perante quem o órgão de governança é responsabilizável. Destina-se também às partes interessadas envolvidas ou impactadas pela governança das organizações. A governança das organizações é um sistema de base humana pelo qual uma organização é dirigida, supervisionada e responsabilizada por alcançar seu propósito organizacional definido.

Em sua essência, isso inclui: estabelecer e se comprometer com o propósito organizacional e valores organizacionais; determinar a abordagem da organização para a geração de valor; dirigir e se engajar com estratégia para gerar valor; supervisionar para que a organização desempenhe e se comporte de acordo com as expectativas estabelecidas pelo órgão de governança; demonstrar responsabilização por esse desempenho e comportamento. A governança é exercida em toda a organização por grupos de governança, incluindo: as partes interessadas membro; o órgão de governança; os gestores; e outras funções internas da organização.

O órgão de governança é responsabilizado por estabelecer e manter uma estrutura organizacional integrada de governança em toda a organização que coordena essas atividades de governança, de tal forma que a organização realize desempenho efetivo, administração (stewardship) responsável e comportamento ético. Convém que essa estrutura organizacional de governança assegure que os tomadores de decisão tenham autoridade, competência e recursos apropriados para as responsabilidades que lhes são dadas.

A delegação eficaz e a tomada de decisão transparente empoderam o pessoal para agir apropriadamente, resultando em uma organização mais resiliente e ágil. Convém que os controles e as ações subsequentes de melhoria sejam planejados e implementados para assegurar que o sistema de governança permaneça adequado ao propósito da organização.

O órgão de governança pode delegar, mas ainda continua responsável pelo que delegou e continua sempre responsável pela organização como um todo. Ao delegar, convém que o órgão de governança delegue de forma que aumente a confiança e a transparência.

Para que a delegação e a prestação de contas sejam eficazes, convém que o órgão de governança assegure que as seguintes condições sejam cumpridas: os resultados esperados sejam negociados, especificados e acordados; os recursos necessários estejam disponíveis; a autoridade corresponda ao nível de responsabilidade, que inclui a autonomia para fazer cumprir planos para alcançar os resultados acordados dentro dos parâmetros estabelecidos; as saídas, os resultados e os processos para alcançar as responsabilidades sejam periodicamente relatados e apresentados com evidências de que as ações tomadas são razoáveis e apropriadas; as consequências, como sanções, para o não cumprimento de uma responsabilidade ou não adesão aos parâmetros estabelecidos sejam aplicáveis. Convém que ninguém seja responsabilizado por assuntos sobre os quais não têm autoridade ou para os quais as expectativas não foram declaradas ou acordadas.

As pessoas responsáveis podem delegar para outras. No entanto, convém deixar claro que aqueles que delegarem permanecem responsáveis pelo uso dessa autoridade pelo delegado. Convém que a delegação seja formalizada juntamente com os processos de garantia apropriados. Convém que os limites da autoridade decisória sejam aplicados em resposta ao risco avaliado.

A governança e a gestão são atividades distintas, necessárias e complementares que interagem e influenciam umas às outras. A governança envolve definir e ser responsabilizado pelo cumprimento pela organização de seu propósito dentro dos parâmetros estabelecidos para a organização, enquanto a gestão trata de cumprir os objetivos associados, fazendo escolhas dentro desses parâmetros.

Convém que o órgão de governança assegure a clareza dos papéis e das responsabilidades de todos os envolvidos e responsabilize aqueles a quem delega. O grau de separação de deveres entre o órgão de governança e os gestores varia de acordo com as necessidades e circunstâncias organizacionais. Em certas circunstâncias, como no caso de um membro executivo do órgão de governança, pode ser exigido que um indivíduo cumpra tanto as responsabilidades de governança quanto as de gestão.

Nesses casos, é importante que essa pessoa seja capaz de distinguir quando está cumprindo as diferentes responsabilidades e que aja e se comporte de acordo. Este documento fornece orientação sobre a governança de organizações e complementa as normas de gestão. Faz isto definindo e orientando o papel e o funcionamento da governança da organização.

O objetivo da governança, e o dever do órgão de governança, é criar as condições para, e para possibilitar, que a organização atue ao longo do tempo, de tal forma que o seu propósito organizacional seja cumprido e valor seja gerado conforme pretendido. Pode ser dito que uma organização está contribuindo para o desenvolvimento sustentável, e é sustentável, quando ela gera valor de uma forma que atenda às necessidades do presente sem comprometer a capacidade das gerações futuras de atender às suas próprias necessidades.

Ao alinhar a governança de uma organização com o desenvolvimento sustentável, por exemplo, por meio dos ODS da ONU, os órgãos de governança ajudam a criar as condições para o sucesso futuro de uma organização. Como resultado, convém que os órgãos de governança assegurem que o desenvolvimento sustentável e a sustentabilidade sejam considerações fundamentais ao governar e aplicar os princípios de governança deste documento.

Convém que o órgão de governança trate, e assegure que a organização trate, todas as partes interessadas de forma justa, e convém que considere as expectativas das partes interessadas pertinentes. Convém que o órgão de governança assegure que o propósito organizacional e o valor pretendido a ser gerado sejam definidos por meio do engajamento com partes interessadas membro, partes interessadas de referência e outras partes interessadas pertinentes. Embora não sejam definidos como partes interessadas, convém que o ambiente natural e a sociedade como um todo também sejam considerados pelo órgão de governança em sua tomada de decisão, porque afetam ou serão afetados pelas atividades da organização.

A composição e a estrutura do órgão de governança irão variar entre as organizações. No entanto, convém que o órgão de governança, como um coletivo, permaneça adequadamente equipado para cumprir seu papel. Convém que as nomeações para o órgão de governança sejam transparentes para as partes interessadas e considerem: a competência (conhecimento e compreensão pertinentes, habilidades e experiência); a diversidade e a inclusão; a independência de pensamento e de ação; a capacidade; a probidade; e o compromisso.

Dependendo do porte da organização, os órgãos de governança podem criar comitês para ajudá-los a cumprir suas obrigações. Esses comitês podem ser estatutários ou voluntários. Convém que, em ambos os casos, eles forneçam ao órgão de governança capacidade adicional, habilidades, independência, diversidade e/ou representação de partes interessadas.

Se um órgão de governança utilizar comitês de apoio, convém que o órgão de governança assegure que ele efetivamente delegue as responsabilidades e a autoridade necessárias a tais comitês. Em todos os momentos, convém que o órgão de governança atue coletivamente, realizando muitas atividades inter-relacionadas, para exercer sua autoridade e cumprir sua responsabilização. Convém que os membros do órgão de governança ajam com probidade e no melhor interesse da organização, aplicando os princípios deste documento.

Advertisement

A gestão de denúncias envolve os processos necessários e suas interações

O whistleblowing ou a denúncia é o ato de relatar suspeita de irregularidades ou risco de irregularidades. Os estudos e as experiências demonstraram que uma grande proporção de irregularidades chega ao conhecimento da organização afetada por meio de relatórios de pessoas dentro ou próximas à organização. A gestão de denúncias deve ser tratada como um importante mecanismo de governança, cabendo, na maioria dos casos, aos conselhos/comitês de auditoria a responsabilidade de medir sua eficácia.

Este grupo está agora se movendo em direção ao uso de sistemas de denúncia de irregularidades além de relatar irregularidades e começando a entender que incutir uma cultura transparente de falar é percebido pelas partes interessadas como um sinal de boa saúde. No entanto, muitas outras organizações ainda têm uma posição diferente sobre o assunto.

Algumas das razões oferecidas para não facilitar a gestão de denúncias incluem a autonegação ou autoproteção pela administração da empresa; uma cultura não transparente ou medo de denúncias abusivas; não é um mandato regulatório na maioria dos países; falta de orçamento ou outras prioridades de investimento; e falta de conhecimento sobre os benefícios.

Por isso, deve-se facilitar as medidas apropriadas de conscientização e treinamento do pessoal. Esse deve abordar algumas questões, como um sistema de gestão de denúncias, política, processos, procedimentos, ferramentas e deveres a serem cumpridos da organização; sua contribuição para a efetividade do sistema de gestão de denúncias; como reconhecer as irregularidades; como e a quem o pessoal pode relatar suspeitas de irregularidades; como e a quem o pessoal pode fazer perguntas sobre o sistema de gestão de denúncias; como o pessoal pode ajudar a prevenir, evitar e proteger de condutas prejudiciais; informações sobre apoio e recursos disponíveis; proteções disponíveis ao utilizar o sistema de gestão de denúncias; disposições previstas na legislação local pertinente; impacto de não relatar irregularidades e suas potenciais consequências; informações para potenciais denunciantes sobre aconselhamento confidencial independente disponível; código de conduta ou código de ética ou equivalente da organização, se houver; explicação das consequências de não compliance da política de denúncias, por exemplo, fazer conscientemente relatos falsos e ter condutas prejudiciais pode justificar ações disciplinares.

Assim, todo o pessoal deve entender que, embora muitas vezes possa ser desejável ou necessário que os indivíduos primeiro relatem irregularidades ao seu gestor, também pode ser desejável ou necessário denunciar irregularidades por meio de outros canais fornecidos pela organização, especialmente se um gestor não agir adequadamente ou for conflitante; a política de denúncia não é um substituto aos gestores responsáveis pelo seu local de trabalho; o sistema de gestão de denúncias provê canais e proteções complementares de relatos, e os gestores são fundamentais para sua implementação. Além disso, a política de denúncia não impede um relato individual às autoridades competentes e o sistema de gestão de denúncias não substitui as obrigações legais locais de informar às autoridades competentes, quando aplicável.

O pessoal deve receber medidas de conscientização sobre denúncias e treinamento na sua admissão e regularmente (em intervalos planejados, determinados pela organização), conforme apropriado aos seus papéis, os riscos de não conformidade aos quais estão expostos e quaisquer mudanças de circunstâncias. As medidas de conscientização e os programas de treinamento devem ser periodicamente atualizados conforme necessário, para refletir quaisquer novas informações pertinentes.

A empresa deve implementar os procedimentos que abordem medidas de conscientização e treinamento para parceiros de negócios que atuem em seu nome ou em seu benefício. Esses procedimentos devem identificar os parceiros de negócios para os quais tais medidas de conscientização e treinamento são necessárias, seu conteúdo e os meios pelos quais o treinamento deve ser fornecido.

Os processos em prática para assegurar que todas as partes interessadas, incluindo o denunciante e quaisquer assuntos do relato, devem ser confidenciais. As identidades do denunciante e das partes interessadas pertinentes não devem ser divulgadas a qualquer um além de quem precisa saber, sem o seu consentimento.

Quando for provável que a identidade de um denunciante seja conhecida (porque eles já levantaram abertamente preocupações ou a natureza das informações significa que elas são facilmente identificáveis) ou precisar ser revelada por lei, o denunciante deve ser notificado antecipadamente e medidas potencialmente adicionais devem ser tomadas para protegê-lo de prejuízo. Ao estabelecer processos, incluindo procedimentos e ferramentas, para assegurar a confidencialidade de um denunciante e de outras partes interessadas implicadas no processo de denúncia, incluindo qualquer (quaisquer) assunto (s) do relato, as organizações devem considerar o que está descrito a seguir.

Uma série de características pode identificar inadvertidamente uma pessoa (nome, voz, gênero, descrição do trabalho, departamento, etc.) e as circunstâncias da irregularidade relatada podem inadvertidamente levar à identificação do denunciante. A forma como uma organização investiga o relato de irregularidades também pode identificar inadvertidamente o denunciante e a forma como um resultado é reportado também pode identificar o denunciante.

Soma-se a isso o fato de que a forma como uma organização coleta dados sobre os indicadores para avaliação pode identificar inadvertidamente os denunciantes que relataram confidencialmente. Deve-se conscientizar os denunciantes de que, quando são permitidas denúncias confidenciais ou anônimas, a divulgação de sua identidade durante a investigação pode ser necessária para prosseguir.

Deve-se conscientizar os denunciantes de que, quando a denúncia anônima é permitida, a denúncia anônima pode limitar a capacidade de investigar e proteger o indivíduo e quando o anonimato é permitido, as organizações podem definir mecanismos para permitir a comunicação com o denunciante. Importante é que, quando uma irregularidade é encontrada, a organização deve tomar as medidas adequadas para resolver a irregularidade e monitorar continuamente a eficácia dessas medidas, de acordo com as políticas organizacionais adequadas.

A empresa deve administrar as sanções adequadas e encaminhar os assuntos para autoridades competentes, quando apropriado, e monitore os resultados ou decisões tomadas. A organização pode querer considerar como reconhecer e prestar reconhecimento ao denunciante por denunciar irregularidades, com consentimento prévio do denunciante, incluindo expressar gratidão e elogios públicos à alta direção.

As ações planejadas e tomadas, e quaisquer achados, devem ser comunicados em tempo hábil ao denunciante e às partes interessadas pertinentes. Isso devem incluir quaisquer vias independentes disponíveis para analisar criticamente o tratamento do caso de denúncia. Quando houver restrições legais sobre o que pode ser comunicado sobre as ações e constatações como, por exemplo, quando a irregularidade constitui crime, o denunciante deve ser seja notificado das razões, quando possível, da comunicação limitada.

A NBR ISO 37002 de 03/2022 – Sistemas de gestão de denúncias – Diretrizes fornece diretrizes para o estabelecimento, implementação e manutenção de um sistema de gestão de denúncias eficaz, com base nos princípios de confiança, imparcialidade e proteção nas quatro etapas seguintes: receber relatos de irregularidades; avaliar relatos de irregularidades; abordar relatos de irregularidades; e concluir casos de denúncia. As diretrizes deste documento são genéricas e destinam-se a ser aplicáveis a todas as organizações, independentemente do tipo, porte e natureza da atividade, seja nos setores público, privado ou sem fins lucrativos. A extensão da aplicação dessas diretrizes depende dos fatores especificados na norma. O sistema de gestão de denúncias pode ser independente ou pode ser integrado como parte de um sistema de gestão global.

A denúncia é o ato de relatar suspeitas de irregularidades ou risco de irregularidades. Os estudos e a experiência demonstram que grande parte das irregularidades chega ao conhecimento da organização afetada por meio de relatos de pessoas de dentro ou próximas da organização. As organizações estão cada vez mais considerando introduzir ou melhorar as políticas e os processos internos de denúncias em resposta à regulação ou de forma voluntária.

Este documento provê orientações às organizações para estabelecer, implementar, manter e melhorar um sistema de gestão de denúncias, com os seguintes resultados: encorajar e facilitar o relato de irregularidades; apoiar e proteger os denunciantes e outras partes interessadas envolvidas; assegurar que os relatos de irregularidades sejam tratados de forma adequada e em tempo hábil; melhorar a cultura organizacional e a governança; e reduzir os riscos de irregularidades. Os potenciais benefícios para a organização incluem: permitir que a organização identifique e aborde as irregularidades na primeira oportunidade; ajudar a prevenir ou minimizar a perda de ativos e ajudar na recuperação de ativos perdidos; assegurar o compliance de políticas organizacionais, procedimentos e obrigações legais e sociais; atrair e reter pessoal comprometido com os valores e a cultura da organização; demonstrar as boas práticas de governança éticas e sólidas para a sociedade, mercados, reguladores, proprietários e outras partes interessadas.

Um sistema de gestão de denúncias eficaz constrói a confiança organizacional por fazer a demonstração do compromisso da liderança em prevenir e abordar as irregularidades; realizar o encorajamento das pessoas a se apresentarem mais cedo com relatos de irregularidades; fazer a redução e prevenção do tratamento prejudicial de denunciantes e outros envolvidos; e realizar o encorajamento de uma cultura de portas abertas, transparência, integridade e responsabilização. Este documento provê orientações para que as organizações criem um sistema de gestão de denúncias com base nos princípios de confiança, imparcialidade e proteção.

É adaptável, e seu uso vai variar de acordo com o porte, natureza, complexidade e jurisdição das atividades da organização. Ele pode ajudar uma organização a melhorar a sua política e os procedimentos de denúncia existentes, ou a cumprir a legislação de denúncia aplicável. Este documento adota a estrutura harmonizada, isto é, a sequência de seções, o texto comum e a terminologia comum desenvolvida pela ISO para melhorar o alinhamento entre as normas de sistemas de gestão.

As organizações podem adotar este documento como uma orientação única para a sua organização ou integrado com outras normas de sistemas de gestão, incluindo contemplar requisitos relacionados à denúncia em outros sistemas de gestão ISO. A figura abaixo é uma visão geral conceitual de um sistema de gestão de denúncias recomendado, mostrando como os princípios de confiança, imparcialidade e proteção se sobrepõem a todos os elementos deste sistema.

A organização deve determinar as questões externas e internas pertinentes a seu propósito e que afetem sua capacidade de alcançar os resultados pretendidos de seu sistema de gestão de denúncias. Essas questões podem incluir, mas não estão limitadas aos seguintes fatores: o porte e a estrutura da organização; os locais e os setores em que a organização opera ou antecipa a operação; a natureza, a cultura, a escala e a complexidade das atividades e operações da organização; a natureza e as necessidades do pessoal; o modelo de negócio da organização; as entidades sobre as quais a organização tem controle e entidades que exercem controle sobre a organização, incluindo os beneficiários da organização; os parceiros de negócios da organização; a exposição da organização a obrigações ou questões de interesse público; as obrigações estatutárias e regulatórias, contratuais aplicáveis e outras obrigações e deveres. Uma organização tem controle sobre outra organização se ela controlar direta ou indiretamente a gestão da organização.

Para entender as necessidades e as expectativas das partes interessadas, a empresa deve determinar quais as partes interessadas que são pertinentes para o sistema de gestão de denúncias; os requisitos pertinentes dessas partes interessadas; qual desses requisitos será abordado por meio do sistema de gestão de denúncias. Também deve determinar os limites e a aplicabilidade do sistema de gestão de denúncias para estabelecer seu escopo.

Ao determinar esse escopo, a organização deve considerar as questões externas e internas; os requisitos referidos nessa norma; quem pode relatar (partes interessadas internas/externas), de onde (regiões/geográficas) e quais tipos de irregularidades são cobertos pelo sistema; os resultados de qualquer avaliação de risco de compliance ou equivalente, conforme disponível. As organizações podem fazer referência à NBR ISO 37301 para avaliação de risco de compliance e à NBR ISO 31000 para gestão de riscos.

Os tipos de irregularidades que podem ser abordadas por meio do sistema de gestão de denúncias, se relatados, são especialmente importantes para o seu escopo. Nem todos os relatos feitos ao sistema de gestão de denúncias estarão dentro do seu escopo, e um único relato pode incluir informações sobre vários tipos de irregularidades, alguns dentro do escopo e outros fora do escopo.

Convém que a organização identifique quais outros processos, existentes ou planejados, serão utilizados para resolver irregularidades relatadas que não estão no âmbito do sistema de gestão de denúncias (por exemplo, reclamações, queixas, etc.) e como isso será coordenado. A organização deve estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de denúncias, incluindo os processos necessários e suas interações, de acordo com as recomendações deste documento.

O sistema de gestão de denúncias deve aplicar os princípios de confiança, imparcialidade e proteção, e convém que assegure a retroalimentação adequada durante todo o processo. Convém que o sistema de gestão de denúncias apoie todas as etapas do processo de denúncia. Para o recebimento de relatos de irregularidades, o sistema de gestão de denúncia deve especificar como os relatos podem ser feitos e recebidos, levando em consideração os fatores incluídos nessa norma.

Para a avaliação de relatos de irregularidades (triagem), deve-se especificar o processo de avaliação dos relatos recebidos, incluindo aspectos como prioridade, completude e relevância das informações. Convém que, ao mesmo tempo, o sistema de gestão de denúncias forneça uma avaliação do risco de prejuízo e do nível de proteção, e apoio necessário para os denunciantes e outros envolvidos.

Para a abordagem dos relatos de irregularidades, convém que o sistema de gestão de denúncias forneça uma investigação imparcial e em tempo hábil, assim como medidas eficazes e oportunas de proteção, apoio e monitoramento conforme apropriado para o denunciante e outros envolvidos, incluindo aqueles que são denunciados no relato. Essas medidas protetivas podem prevenir e conter, bem como remediar o prejuízo.

Para a conclusão de casos de denúncia, convém que o sistema de gestão de denúncias forneça um mecanismo para encerrar as investigações e tomar ações em resposta às recomendações e decisões, com base nos resultados da etapa de abordagem. Convém que também assegure que as medidas de proteção e apoio possam continuar e que serão monitoradas como apropriado.

Os resultados podem ser utilizados para relatórios gerenciais, aprendizagem organizacional e outras ações (por exemplo, ações de mitigação). Ao planejar o sistema de gestão de denúncias, convém que a organização considere suas políticas, processos e funções existentes (compliance, jurídico, relatos, compras, divulgação, comunicação, etc.), as questões referidas em 4.1 e as necessidades e expectativas referidas em 4.2, e que determine os riscos e oportunidades que precisam ser abordados para: dar garantia de que o sistema de gestão de denúncias pode alcançar seus resultados pretendidos, isto é, encorajar e facilitar o relato de irregularidades; apoiar e proteger denunciantes e outras partes interessadas pertinentes envolvidas; assegurar que os relatos de irregularidades sejam tratados de forma adequada e em tempo hábil; melhorar a cultura organizacional e a governança; reduzir os riscos de irregularidades, melhorar a cultura organizacional, a governança e a prevenção de irregularidades; prevenir ou reduzir efeitos indesejados; e alcançar a melhoria contínua.

A conformidade da cadeia de custódia para os produtos de base florestal

A NBR 14790 de 10/2021 – Cadeia de custódia de produtos de base florestal – Requisitos estabelece os requisitos a serem atendidos por qualquer organização que busca implementar uma cadeia de custódia para produtos de base florestal e fazer declarações aos clientes sobre a origem de seus produtos a partir de florestas manejadas de forma sustentável, material reciclado e fontes controladas. Esses requisitos da cadeia de custódia descrevem um processo de como classificar os produtos de base florestal de acordo com as categorias de material específicas, a fim de fornecer informações sobre a fonte da matéria prima adquirida para os produtos finais da organização.

Essa norma especifica as três opções de abordagens para a cadeia de custódia: o método de separação física, o método de porcentagem e o método de crédito. Também especifica os requisitos do sistema de gestão para a implementação e gestão do processo de cadeia de custódia, incluindo requisitos sobre saúde, segurança e questões trabalhistas. O Anexo A especifica a implementação dessa norma por organizações com multissites.

Essa norma é implementada para fins de avaliação da conformidade e aplicada juntamente às declarações de avaliação da conformidade de material de base florestal. Esta avaliação da conformidade é considerada de produto e segue a NBR ISO/IEC 17065. A utilização de declarações e rótulos relacionados, como resultado da implementação desta norma, é baseada na NBR ISO 14020. A consideração de material reciclado dentro da cadeia de custódia é baseada nos requisitos da NBR ISO/IEC 14021. A rotulagem de produtos é considerada uma ferramenta de comunicação opcional, que pode ser incorporada no (s) processo (s) da cadeia de custódia da organização, na qual a organização aplica as marcas registradas para rotulagem no produto ou fora do produto e em que os requisitos para o uso da marca tornam-se parte integrante dos requisitos da cadeia de custódia.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Em relação à terceirização, o que fazer com as atividades abrangidas pela cadeia de custódia?

O que é o método de separação física para implementar a cadeia de custódia?

Quais são os requisitos do sistema de due diligence (DDS)?

Quais são os critérios de elegibilidade para organização multissite?

O objetivo dessa norma é permitir que as organizações forneçam informações fidedignas e verificáveis de que seus produtos de base florestal são provenientes de florestas manejadas de forma sustentável, submetidas à avaliação da conformidade, material reciclado e fontes controladas. A aplicação prática e a conformidade em relação a essa norma permitem que as organizações demonstrem sua contribuição na gestão sustentável de recursos e um forte comprometimento com os Objetivos de Desenvolvimento Sustentável (ODS) da ONU.

O objetivo de comunicar a origem dos produtos de base florestal é estimular a demanda e o fornecimento desses produtos originários de manejo florestal sustentável e estimular, assim, o potencial para a melhoria contínua orientada ao mercado de manejo florestal mundial. O objetivo de comunicar a origem dos produtos de base florestal é estimular a oferta, a demanda e o fornecimento de produtos originários de manejo florestal sustentável e estimular, assim, o potencial de melhoria contínua do manejo florestal mundial, por meio de uma força de mercado.

A organização deve operar um sistema de gestão de acordo com os requisitos dessa norma, para garantir a correta implementação e manutenção do (s) processo (s) de cadeia de custódia. O sistema de gestão deve ser adequado ao tipo, escala e volume de trabalho realizado e abranger as atividades terceirizadas pertinentes para a cadeia de custódia da organização e para todos os sites, no caso de organizações multissites, conforme o Anexo A.

A organização deve definir o escopo de sua cadeia de custódia, especificando os grupos de produtos para os quais os requisitos da cadeia de custódia são implementados. Deve fazer somente declarações de conformidade e afirmações que sejam o melhor de seu conhecimento e abrangidas pela cadeia de custódia apresentada nessa norma.

A organização deve estabelecer procedimentos documentados para sua cadeia de custódia. Os procedimentos documentados devem incluir pelo menos os seguintes elementos: as responsabilidades e as autoridades relacionadas com a cadeia de custódia; a descrição do fluxo de matéria prima dentro do (s) processo (s) de produção/comercialização, incluindo a definição de grupos de produtos; os procedimentos para processo (s) de cadeia de custódia cobrindo todos os requisitos dessa norma, incluindo a identificação de categorias de materiais; a separação física de materiais em conformidade, de materiais de fontes controladas e de outros materiais; a definição de grupos de produtos, cálculo de conteúdo em conformidade, gestão de contas de crédito, transferência de produção (para organizações que aplicam o método de porcentagem ou de crédito); venda/transferência e declarações de conformidade dos produtos; a manutenção de registros; as auditorias internas e controle de não conformidade; o sistema de due diligence; a resolução de reclamações; e a terceirização.

A gestão da organização deve definir e documentar seu compromisso de implementar e manter os requisitos da cadeia de custódia de acordo com essa norma. O compromisso da organização deve ser disponibilizado para os colaboradores da organização, fornecedores, clientes e outras partes interessadas. A gestão da organização deve nomear um membro da gestão que, independentemente de outras responsabilidades, deve ter responsabilidade total e autoridade sobre a cadeia de custódia da organização.

Para fornecer evidências de conformidade com os requisitos dessa norma, a organização deve estabelecer e manter, pelo menos, os seguintes registros relativos aos grupos de produtos abrangidos por sua cadeia de custódia: os registros de todos os fornecedores de insumos entregues com uma declaração de conformidade, incluindo as evidências do status da avaliação da conformidade dos fornecedores; os registros de todo o material de entrada, incluindo declarações de conformidade, documentos associados à entrega do material de entrada e, para o material de entrada reciclado, informações que demonstrem que a definição de material reciclado é atendida; os registros de cálculo do conteúdo em conformidade, transferência da porcentagem para produtos de saída e a gestão da conta de crédito, conforme aplicável; os registros de todos os produtos vendidos/transferidos, incluindo declarações de conformidade e documentos associados à entrega dos produtos de saída; os registros do sistema de due diligence, incluindo registros de avaliações de risco e manejo de suprimentos de risco significativo, conforme aplicável; os registros de auditorias internas, análise crítica periódica da cadeia de custódia, não conformidades e ações corretivas; e os registros de reclamações e suas resoluções.

A organização deve manter os registros por um período mínimo de cinco anos. Deve garantir e demonstrar que todo o pessoal que realiza atividades que afetem a implementação e a manutenção de sua cadeia de custódia são competentes com base em treinamento, educação, habilidades e experiência. Deve identificar, fornecer e manter a infraestrutura e as instalações técnicas necessárias para a implementação e manutenção eficazes de sua cadeia de custódia com os requisitos dessa norma.

A organização deve realizar auditorias internas pelo menos uma vez por ano e antes da auditoria inicial da avaliação da conformidade, abrangendo todos os requisitos dessa norma aplicáveis à organização, incluindo atividades relacionadas à terceirização, e estabelecer medidas corretivas e preventivas, se requerido. A orientação informativa para a realização de auditorias internas é fornecida na NBR ISO 19011.

A gestão da organização deve analisar criticamente o resultado da auditoria interna e sua cadeia de custódia, pelo menos anualmente. A organização deve estabelecer procedimentos para as reclamações de fornecedores, clientes e outras partes relacionadas com sua cadeia de custódia, refletindo os requisitos descritos a seguir.

Após o recebimento de uma reclamação por escrito, a organização deve: informar ao reclamante sobre o recebimento da reclamação no prazo de dez dias úteis; reunir e verificar todas as informações necessárias para avaliar e validar a reclamação e tomar uma decisão sobre a reclamação; comunicar formalmente ao reclamante a decisão e o tratamento da reclamação; e garantir que as ações corretivas e preventivas apropriadas sejam tomadas, se necessário.

Quando uma não conformidade com os requisitos dessa norma for identificada por meio de auditoria interna ou externa, a organização deve: reagir à não conformidade e, conforme aplicável: tomar medidas para controlar e corrigir; tratar as consequências; avaliar a necessidade de ação para eliminar as causas da não conformidade, a fim de que não ocorra novamente ou que não ocorra em outro lugar, por: análise crítica da não conformidade; determinação das causas da não conformidade; determinação de não conformidades semelhantes ocorrendo ou com potencial de ocorrerem; implementar qualquer ação necessária; analisar criticamente a eficácia de qualquer ação corretiva tomada; e fazer alterações no sistema de gestão, se necessário.

A ação corretiva deve ser apropriada aos efeitos das não conformidades encontradas. A organização deve manter informações documentadas como evidência: da natureza das não conformidades e quaisquer ações subsequentes tomadas; dos resultados de qualquer ação corretiva.

Incorporando a gestão do compliance aos requisitos antissubornos

O suborno é um fenômeno generalizado. Ele causa sérias preocupações sociais, morais, econômicas e políticas, debilita a boa governança, dificulta o desenvolvimento e distorce a competição. Corrói a justiça, mina os direitos humanos e é um obstáculo para o alívio da pobreza.

O suborno também aumenta o custo de fazer negócios, introduz incertezas nas transações comerciais, eleva o custo dos bens e serviços, diminui a qualidade dos produtos e serviços, o que pode levar à perda de vidas e propriedades, destrói a confiança nas instituições e interfere na operação justa e eficiente dos mercados. Trata-se de uma oferta, promessa, doação, aceitação ou solicitação de uma vantagem indevida de qualquer valor (que pode ser financeiro ou não financeiro), direta ou indiretamente, e independente de localização (ões), em violação às leis aplicáveis, como um incentivo ou recompensa para uma pessoa que está agindo ou deixando de agir em relação ao desempenho das suas obrigações. A função do compliance antissuborno envolve a (s) pessoa (s) com responsabilidade e autoridade para a operação do sistema de gestão antissuborno. A due diligence é um processo para aprofundar a avaliação da natureza e extensão dos riscos de suborno e ajudar as organizações a tomar decisões em relação a transações, projetos, atividades, parceiros de negócio e pessoal específico.

Hoje, muitas organizações têm uma pessoa dedicada (por exemplo, compliance officer) responsável pela gestão do compliance no dia a dia e algumas têm um comitê de compliance interfuncional, para coordenar o compliance em toda a organização. A função de compliance trabalha em conjunto com a gestão.

Nem todas as organizações criarão uma função de compliance discreta, pois algumas atribuirão a essa função seria uma posição já existente ou irão terceirizar esta função. Ao terceirizar, convém que a organização considere não atribuir toda a função de compliance para terceiras partes.

Mesmo se ela terceirizar parte desta função, deve considerar manter a autoridade sobre ela e que supervisione estas funções. Ao alocar a responsabilidades pelo sistema de gestão de compliance, deve-se considerar a possibilidade de assegurar que a função de compliance demonstre a integridade e o comprometimento com o compliance; a comunicação eficaz e habilidades para influenciar; uma capacidade e posição para comandar a aceitação de conselhos e orientações; competência pertinente no projeto, na implementação e na manutenção do sistema de gestão do compliance; a assertividade, conhecimento do negócio e experiência para testar e desafiar; uma estratégia, e uma abordagem proativa para o compliance; o tempo suficiente disponível para cumprir as necessidades da função.

Dessa forma, a função de compliance deve ter autoridade, status e independência. Autoridade significa que a função de compliance é atribuída de grande poder pelo órgão diretivo e pela alta direção. Status significa que outras pessoas estão na posição de ouvir e respeitar essa opinião. Independência significa que a função de compliance não está, na medida do possível, envolvida pessoalmente nas atividades que estão expostas a riscos de compliance. Por isso, a função de compliance deve estar livre de conflitos de interesses para cumprir integralmente o seu papel.

A NBR ISO 37301 de 06/2021 – Sistemas de gestão de compliance – Requisitos com orientações para uso especifica os requisitos e fornece diretrizes para estabelecer, desenvolver, implementar, avaliar, manter, e melhorar um sistema de gestão de compliance eficaz dentro de uma organização. A NBR ISO 37001 de 03/2017 – Sistemas de gestão antissuborno – Requisitos com orientações para uso especifica requisitos e fornece orientações para o estabelecimento, implementação, manutenção, análise crítica e melhoria de um sistema de gestão antissuborno.

Os sistemas podem ser independentes ou podem ser integrados a um sistema de gestão global. Pode-se dizer que o compliance é um processo contínuo e o resultado de uma organização que cumpre suas obrigações. Torna-se sustentável ao ser incorporado na cultura da organização, e no comportamento e na atitude das pessoas que trabalham para ela.

Enquanto mantém sua independência, é preferível que a gestão de compliance seja integrada com os outros processos de gestão da organização e os seus requisitos e procedimentos operacionais. Um sistema de gestão de compliance eficaz em toda a organização permite que uma organização demonstre seu comprometimento em cumprir leis pertinentes, requisitos regulamentares, códigos setoriais da indústria e normas organizacionais, assim como normas de boa governança, melhores práticas geralmente aceitas, ética e expectativas da comunidade.

A informação documentada é aquela que se requer que seja controlada e mantida por uma organização e o meio no qual ela está contida. Ela pode ser integrada pelos dois sistemas. A informação documentada pode estar em qualquer formato e meio e pode ser proveniente de qualquer fonte, além de poder se referir ao sistema de gestão, incluindo processos relacionados; a informação criada para a organização operar (documentação); a evidência de resultados alcançados (registros). Para se entender melhor, a figura abaixo provê uma visão geral dos elementos comuns de um sistema de gestão de compliance.

Além disso, a organização deve analisar os riscos de compliance considerando as causas-raiz e as fontes do não compliance e as consequências destas, ao mesmo tempo em que deve incluir a probabilidade de que estas ramificações possam ocorrer. As consequências podem incluir, por exemplo, os danos ambientais e pessoais, as perdas econômicas, os danos à reputação, as mudanças administrativas e as responsabilidades civis e criminais envolvidas no suborno.

A identificação dos riscos de compliance inclui as fontes de risco de compliance e a definição das situações de risco de compliance. As empresas devem identificar as fontes de riscos de compliance, incluindo o suborno, dentro dos vários departamentos, funções e diferentes tipos de atividades organizacionais, de acordo com as responsabilidades do departamento, as responsabilidades profissionais e os diferentes tipos de atividades organizacionais. A organização deve identificar regularmente as fontes dos riscos de compliance e definir as correspondentes situações de riscos de compliance para cada fonte de risco de modo a desenvolver uma lista das fontes de risco e uma lista de situações de riscos.

Para se ter uma cultura de compliance, ética, e riscos de subornos, a empresa deve ter um conjunto de valores publicado de forma clara; possuir uma gestão ativa e que visivelmente implemente e respeite os valores; consistência no tratamento das não compliances, independentemente da posição; mentoriamento, coaching e liderança pelo exemplo; uma apropriada avaliação na pré-contratação de pessoas potenciais para as funções críticas, incluindo due diligence; um programa de indução ou orientação que enfatize o compliance e os valores da organização; treinamento contínuo do compliance, incluindo as atualizações para o treinamento de todas as pessoas e partes interessadas pertinentes; uma comunicação contínua sobre as questões de compliance e de subornos; os sistemas de avaliação de desempenho que considerem a avaliação do comportamento do compliance e antissuborno e considerem o pagamento por desempenho para alcançar os resultados e os indicadores-chave de desempenho; um reconhecimento visível das realizações na gestão e nos resultados de compliance; um ágil e proporcional processo disciplinar para os casos de violações dolosas ou negligentes, das obrigações de compliance; uma clara relação entre a estratégia da organização e os papéis individuais, enfatizando o compliance como essencial para alcançar os resultados organizacionais; uma comunicação apropriada e aberta sobre compliance, tanto internamente como externamente.

A evidência sobre uma cultura de compliance é indicada pelo grau no qual: os itens anteriores estão implementados; as partes interessadas (especialmente as pessoas) acreditam que os itens anteriores foram implementados; o pessoal entende a relevância das obrigações de compliance relativas as suas próprias atividades como também as de sua unidade de negócios; as ações corretivas para abordar não compliance são de propriedade e acionadas em todos os níveis apropriados da organização, conforme requerido; o papel da função de compliance e seus objetivos são valorizados; as pessoas estão capacitadas e encorajadas para levantarem preocupações de compliance aos níveis apropriados da direção, incluindo a alta direção e o órgão diretivo.

A empresa pode escolher implementar este sistema de gestão antissuborno como um sistema separado ou como uma parte integrada de um sistema global de compliance. A organização pode ainda escolher implementar o sistema de gestão antissuborno em paralelo ou como parte de outros sistemas de gestão, como os da qualidade, meio ambiente e segurança da informação. Nesse caso, a organização pode fazer referência às NBR ISO 9001, NBR ISO 14001 e NBR ISO/IEC 27001), bem como às NBR ISO 26000 e NBR ISO 31000.

Na gestão integrada dos dois sistemas de gestão, deve-se levar em conta, embora exista risco de suborno em relação a muitas transações, que uma organização deve implementar um nível mais abrangente de controle antissuborno sobre uma transação de alto risco do que sobre uma transação de baixo risco de suborno. Nesse contexto, é importante compreender que a identificação e a aceitação de um baixo risco de suborno não significam que a organização aceita o fato de o suborno ocorrer, ou seja, o risco de ocorrência do suborno.

Se uma propina pode ocorrer não é o mesmo que a ocorrência do suborno. A organização pode ter tolerância zero para a ocorrência de suborno, enquanto ainda envolver negócios e situações em que haja baixo risco de suborno, ou mais do que um baixo risco, desde que sejam aplicadas medidas de mitigação adequadas. Tendo avaliado os riscos de suborno pertinentes, a organização pode, então, determinar o tipo e o nível de controles a serem aplicados a cada categoria de risco e pode avaliar se os controles existentes são adequados.

Jornada das Águas vai percorrer dez estados com inaugurações, anúncios e entregas que buscam emancipar a população do semiárido brasileiro

Nesta segunda-feira (18), o governo federal, por meio do Ministério do Desenvolvimento Regional (MDR), dá início à Jornada das Águas, roteiro que partirá da nascente histórica do Rio São Francisco, no norte de Minas Gerais, e percorrerá os nove estados do Nordeste com anúncios e entregas de obras de infraestrutura, preservação e recuperação de nascentes e cursos d’água, saneamento, irrigação, apoio ao setor produtivo e aos municípios, além de mudanças normativas que vão revolucionar a maneira como o brasileiro se relaciona com a água. Serão 10 dias de viagem pela região do semiárido, em que o ministro do Desenvolvimento Regional, Rogério Marinho, acompanhado de gestores e secretários da pasta, levará a estrutura do governo para apoiar as regiões mais deprimidas economicamente no país.

O conjunto de ações da Jornada das Águas se baseia no entendimento de que é preciso garantir que a água chegue às pessoas, mas também que ela continue disponível para as próximas gerações. “Não existe desenvolvimento econômico sem água. A água é o principal insumo estratégico do Brasil. Ela está nos alimentos que exportamos, na energia, na indústria, na saúde, sem ela não há vida. É por isso que o governo do presidente Jair Bolsonaro vem atuando para garantir que a água chegue às pessoas, mas também para que ela seja preservada e continue disponível para as próximas gerações”, explica o ministro Rogério Marinho.

O roteiro vai começar na cidade de São Roque de Minas, em Minas Gerais, e vai terminar em Propriá, em Sergipe, no dia 28 de outubro. Nesse período, serão promovidas ações que têm como essência quatro eixos: de infraestrutura, com entregas, inaugurações e anúncios de obras que levarão água aos moradores das regiões mais secas do País; de sustentabilidade, com ações de saneamento básico e de preservação, conservação e recuperação de bacias hidrográficas; de desenvolvimento econômico e social, com apoio a projetos de irrigação e para estruturação de cadeias produtivas locais, promovendo a geração de emprego e renda a partir de uma convivência sustentável das comunidades com o meio ambiente; e de melhoria da governança, com a lançamento de normativos estruturantes.

“Nós estamos modernizando a regulação sobre o setor. Começamos com o estabelecimento de um novo marco do saneamento e agora estamos propondo um novo marco hídrico, que vai permitir uma maior participação da iniciativa privada nos investimentos estruturantes de integração e recuperação das nossas bacias hidrográficas, otimizando o uso das suas águas e trazendo mais segurança hídrica, principalmente em época de seca”, explica o ministro. “Precisamos contornar os problemas crônicos de seca no Nordeste com inovação, investimento e, principalmente, com um pacto nacional que priorize enfrentar a questão”, completa o ministro.

Em cada estado visitado pela Jornada das Águas, serão entregues ou iniciadas obras e projetos que viabilizarão a infraestrutura hídrica necessária para que a água chegue às regiões mais secas. Em Pernambuco, a inauguração do Ramal do Agreste marca o início da realização de um sonho da população local. Após a conclusão da Adutora do Agreste, o ramal levará água às casas de mais de 2 milhões de pessoas em 68 cidades da região com mais escassez hídrica do estado. Essa obra significa um investimento de R$ 1,6 bilhão, sendo que R$ 1,3 bi foram aportados no governo Bolsonaro.

Outra obra fundamental é a construção do Ramal do Salgado, no Ceará, que irá beneficiar 4,7 milhões de pessoas em 54 municípios. O anúncio do início das suas obras está confirmado durante a jornada, com investimentos públicos previstos de R$ 600 milhões. Destaque, ainda, para a entrega do subsistema Água Branca, no Canal do Sertão Alagoano, no valor de R$ 52 milhões.

Novos patrocinadores do Programa Águas Brasileiras serão anunciados nesta Jornada e também será publicado o 2º Edital de Chamamento de Projetos do Programa, ampliando a atuação para todas as bacias hidrográficas do País. A Caixa vai patrocinar o projeto Nascentes Vivas, no valor de R$ 10 milhões, para recuperar 1,5 mil nascentes na Bacia do Rio Verde Grande, ao longo de 27 municípios de Minas Gerais. Já a empresa MRV irá apoiar o projeto Agroflorestando Bacias para Conservar Águas, que implantará 60 sistemas agroflorestais em duas comunidades quilombolas do município do Muquém do São Francisco, na Bahia.

Além disso, a revitalização e a preservação dos recursos hídricos do País ganham o reforço de recursos previstos no processo de capitalização da Eletrobras. As bacias do Rio São Francisco e do Rio Parnaíba contarão com investimentos da ordem de R$ 3,5 bilhões, a serem aplicados ao longo de 10 anos. Outros R$ 2,3 bilhões estão previstos para as bacias na área de influência dos reservatórios das usinas hidrelétricas de Furnas.

Na área de desenvolvimento regional, uma das principais ações do MDR é o fomento às Rotas de Integração Nacional, que são redes de arranjos produtivos locais associadas a cadeias produtivas estratégicas capazes de promover a inclusão e o desenvolvimento sustentável das regiões brasileiras priorizadas pela Política Nacional de Desenvolvimento Regional (PNDR). Ao longo da jornada, haverá exposições de produtos produzidos pelas Rotas do Mel, Cordeiro e Leite nas cidades de São Roque de Minas (MG), Sertânia (PE) e Propriá (SE). Também haverá um workshop sobre fruticultura, outra importante frente do projeto, na cidade de Juazeiro (BA).

Obras e investimentos na área de irrigação também serão anunciados, promovendo melhorias nos Perímetros Públicos de Irrigação, que são indutores de desenvolvimento local ao garantir emprego e renda. Na Bahia, será lançado o 1º edital de concessão de um projeto de irrigação em parceria com a iniciativa privada, o Baixio de Irecê, qualificado na carteira do Programa de Parcerias de Investimentos (PPI) e que conta com recursos estimados em R$ 700 milhões para ampliação de mais de 30 mil hectares irrigados. Os perímetros irrigados Gorutuba e Jaíba, em Minas Gerais, e Jacaré Curituba, em Sergipe, também serão beneficiados com melhorias.

A Superintendência do Desenvolvimento do Nordeste (Sudene) vai apresentar o Plano de Ação Estratégica para a bacia hidrográfica do Rio São Francisco e área de influência do Projeto de Integração do São Francisco e do Rio Parnaíba, que se encontra em elaboração. Outra iniciativa a ser anunciada é a criação de um fundo com o objetivo de viabilizar a estruturação e o desenvolvimento de projetos de concessão e parcerias público-privadas (PPPs) da União, dos estados, do Distrito Federal e dos municípios do País. Com a sanção da Lei que converteu a Medida Provisória 1.052/ 2021 e a edição do Decreto de regulamentação, o fundo poderá apoiar todo o ciclo de projetos de concessões e de parcerias público-privadas.

O anúncio do Marco Hídrico durante a Jornada é mais uma ação com objetivo de promover o desenvolvimento e a segurança hídrica no País. Seu principal diferencial é avançar na consolidação de uma política de infraestrutura hídrica, assim como aprimorar a atuação dos órgãos gestores. A proposta permitirá conferir sustentabilidade para o planejamento e a gestão das infraestruturas hídricas que garantem água para a população e a produção, como barragens, canais e adutoras. A proposta também estabelece mecanismos para diversificação dos investimentos, abrindo espaço para a participação da iniciativa privada.

Outro diferencial a ser trazido pelo novo marco é a criação do instrumento da cessão onerosa pelo uso de recursos hídricos, que propõe a realocação negociada da água. Dessa forma, aqueles que já possuem outorgas poderão negociar seu uso com outros usuários, otimizando e valorizando o uso das águas. O instrumento será útil, principalmente em épocas de secas e em bacias com indisponibilidade de água para emissão de novas outorgas.

Além disso, o Ministério do Desenvolvimento Regional dará o pontapé inicial nas discussões sobre o tema do reuso de água, considerado estratégico, sobretudo, para os setores industriais e agrícolas. A medida representa uma ação em resposta ao contexto de escassez hídrica, reforçando a necessidade de otimização do uso da água, reforçando seu aspecto estratégico para o desenvolvimento.

Confira as principais agendas em cada dia da Jornada

18/10 – Minas Gerais

• Anúncio de R$ 5,8 bilhões para a revitalização de Bacias – recursos da Lei de Capitalização da Eletrobras

• Barragem de Jequitaí – Edital de Chamamento Público – PMI e anúncio de R$ 20 milhões de obras complementares

• Publicação e divulgação do 2º Edital de Chamamento de Projetos e anúncio de patrocínios do Programa Águas Brasileiras

• Retomada de obras do Projeto de Irrigação Gorutuba e conclusão do canal de desassoreamento em Jaíba

19/10 – Bahia

• Canal do Sertão Baiano – abertura da licitação para o projeto básico

• Águas Brasileiras – anúncio do patrocínio do Projeto Agroflorestando Bacias para Conservar Águas

• Anúncio do edital para concessão do Perímetro Irrigado do Baixio do Irecê

20/10 – Ceará

• Ramal do Salgado – anúncio da obra

• Reservatório Taquarão – visita a obra de abastecimento

• Barragem Banabuiú – assinatura de Contrato/Ordem de Serviço para recuperação

21/10 – Paraíba e Pernambuco

• Paraíba

Eixo Norte do Projeto de Integração do Rio São Francisco – entrega do último trecho do canal

• Pernambuco
Ramal do Agreste – inauguração

22/10 – Rio Grande do Norte

• Barragem de Oiticica – liberação de R$ 10 milhões

• Adutora do Agreste Potiguar – lançamento do edital de licitação para projeto básico

• Lagoa do Bonfim – anúncio do edital de licitação do projeto de revitalização

• Lançamento do Polo da Moda e exposição de produtos locais

• Instalação de 60 cisternas em São Tomé

25/10 – Piauí

• Lançamento do Plano de Ação Estratégica para a bacia hidrográfica do Rio São Francisco e área de influência do Projeto de Integração do São Francisco e do Rio Parnaíba

• Programa Águas Brasileiras – Projeto de Recuperação e Revitalização de Nascente na Bacia do Parnaíba

• Retomada das obras do projeto de irrigação Marrecas

26/10 – Maranhão

• Lançamento do edital dos estudos para a implantação da integração de Bacias do Piauí/Maranhão e demais estados do Nordeste

27/10 – Alagoas

• Canal do Sertão Alagoano — assinatura de OS de três subsistemas do Canal e entrega do subsistema Água Branca

• Anúncio do Fundo de Estruturação de projetos — criado pela MP 1.052

28/10 – Sergipe

• Anúncio do Novo Marco Hídrico

• Canal do Xingó — Apresentação do projeto

Os conceitos normativos para a governança da segurança da informação

Em sua nova edição, a NBR ISO/IEC 27014 de 09/2021 – Segurança da informação, segurança cibernética e proteção da privacidade – Governança da segurança da informação fornece orientação sobre conceitos, objetivos e processos para a governança da segurança da informação pela qual as organizações podem avaliar, direcionar, monitorar e comunicar as atividades relacionadas à segurança da informação dentro da organização. O público-alvo é o órgão diretivo e Alta Direção; aqueles que são responsáveis por avaliar, direcionar e monitorar um sistema de gestão da segurança da informação (SGSI) com base na NBR ISO/IEC 27001:2013; os responsáveis pela gestão da segurança da informação que ocorre fora do escopo de um SGSI com base na NBR ISO/IEC 27001:2013, mas dentro do escopo da governança.

Este documento é aplicável a todos os tipos e tamanhos de organizações. Todas as referências a um SGSI neste documento se aplicam a um SGSI com base na NBR ISO/IEC 27001:2013. Ele tem foco nos três tipos de organizações SGSI apresentados no Anexo B. Entretanto, pode também ser utilizado por outros tipos de organizações.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como se deve assegurar a conformidade com os requisitos internos e externos?

Como monitorar o processo de governança?

O que significa comunicar o processo de governança bidirecional?

Quais são os requisitos do órgão diretivo sobre sistema de gestão de segurança da informação (SGSI)?

A segurança da informação é uma questão-chave para as organizações, amplificada por rápidos avanços em metodologias e tecnologias de ataque, e com correspondente aumento por pressões regulatórias. A falha de controles de segurança da informação de uma organização pode ter muitos impactos adversos na organização e em suas partes interessadas incluindo, mas não limitado à perda de confiança.

A governança da segurança da informação é a utilização de recursos para assegurar a implementação efetiva de segurança da informação, fornecendo garantia de que as diretivas a respeito de segurança da informação são seguidas; e o órgão diretivo recebe relatórios confiáveis e relevantes sobre as atividades relacionadas à segurança da informação. Isso auxilia o órgão diretivo a tomar decisões a respeito de objetivos estratégicos para a organização, ao fornecer informação sobre segurança da informação que pode afetar esses objetivos.

Também garante que a estratégia de segurança da informação esteja alinhada com os objetivos gerais da entidade. Os gestores e outros que trabalhem nas organizações precisam entender: os requisitos de governança que afetam seu trabalho; e como cumprir requisitos de governança que requerem deles uma ação.

Este documento descreve como a governança da segurança da informação opera dentro de um SGSI, com base na NBR ISO/IEC 27001, e como essas atividades podem se relacionar com outras atividades de governança que operam fora do escopo de um SGSI. Ele destaca quatro processos principais de avaliar, direcionar, monitorar e comunicar nos quais um SGSI pode ser estruturado dentro de uma organização e sugere abordagens para integrar a governança da segurança da informação nas atividades de governança organizacional em cada um desses processos.

Finalmente, o Anexo A descreve as relações entre governança organizacional, governança da tecnologia da informação e governança da segurança da informação. O SGSI cobre toda a organização, por definição (ver ISO/IEC 27000). Ele pode abranger toda a entidade ou parte dela.

A governança da segurança da informação é o meio pelo qual o órgão diretivo de uma organização fornece a orientação geral e controle das atividades que afetam a segurança das informações de uma organização. Essa direção e esse controle se concentram nas circunstâncias em que uma segurança da informação inadequada pode afetar adversamente a capacidade da organização de atingir seus objetivos gerais.

É comum que um órgão diretivo atinja seus objetivos de governança por meio de: fornecimento de orientação através do estabelecimento de estratégias e políticas; monitoramento do desempenho da organização; e a avaliação das propostas e planos desenvolvidos pelos gestores. A gestão da segurança da informação está associada à garantia do cumprimento dos objetivos da organização descritos nas estratégias e políticas estabelecidas pelo órgão diretivo.

Isso pode incluir a interação com o órgão diretivo por meio de: fornecimento de propostas e planos para consideração do órgão diretivo; e o fornecimento de informações ao órgão diretivo sobre o desempenho da organização. A governança eficaz da segurança da informação requer que tanto os membros do órgão diretivo quanto os gestores cumpram suas respectivas funções de maneira consistente. A NBR ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação no contexto de uma organização.

Também inclui requisitos para avaliação e tratamento de riscos de segurança da informação ajustados às necessidades da organização. A NBR ISO/IEC 27001 não usa o termo governança, mas especifica uma série de requisitos que são atividades de governança. A lista a seguir fornece exemplos dessas atividades. As referências à organização e à Alta Direção são, conforme observado anteriormente, associadas ao escopo de um SGSI com base na NBR ISO/IEC 27001.

Existem muitas áreas de governança em uma entidade, incluindo segurança da informação, tecnologia da informação, saúde e segurança, qualidade e finanças. Cada área de governança é um componente dos objetivos gerais de governança de uma entidade e, portanto, convém que esteja alinhada com a disciplina da entidade. Os escopos dos modelos de governança às vezes se sobrepõem.

Um SGSI se concentra na gestão de riscos relacionados à informação. Não aborda diretamente as questões como lucratividade, aquisição, uso e realização de ativos, ou a eficiência de outros processos, embora convenha que apoie quaisquer objetivos organizacionais nessas questões. Para estabelecer a segurança da informação abrangente e integrada em toda a entidade, a governança da segurança da informação deve assegurar que os objetivos da segurança da informação sejam abrangentes e integrados.

Convém que a segurança da informação seja tratada em nível de entidade, com a tomada de decisão levando em consideração as prioridades da entidade. Convém que as atividades relacionadas à segurança física e lógica sejam coordenadas de perto. Isso não requer, no entanto, um único conjunto de medidas de segurança ou um único sistema de gestão da segurança da informação (SGSI) em toda a entidade.

Para garantir a segurança da informação em toda a entidade, convém que a responsabilidade e a responsabilização pela segurança da informação sejam estabelecidas em toda a extensão das atividades de uma entidade. Isto pode se estender além das fronteiras geralmente percebidas de uma entidade, por exemplo, para incluir as informações armazenadas ou transferidas por entidades externas.

Para a tomar as decisões usando uma abordagem baseada em risco, convém que a governança da segurança da informação seja baseada em obrigações de compliance e também em decisões baseadas em risco específicas da entidade. Convém que a determinação de quanta segurança é aceitável seja baseada no apetite de risco de uma entidade, incluindo perda de vantagem competitiva, riscos de compliance e de obrigação legal, interrupções operacionais, danos à reputação e perda financeira.

Convém que a gestão de riscos de segurança da informação seja consistente em toda a entidade e inclua considerações sobre os impactos financeiros, operacionais e reputacionais adversos de violações e de não compliance. Além disso, convém que a gestão de riscos de segurança da informação seja integrada com a abordagem de gestão de riscos geral da entidade, a fim de que não seja feita isoladamente e não cause confusão, por exemplo, mapear para a metodologia da entidade ou capturar informação estratégica de riscos no registro de risco da entidade.

Convém que recursos apropriados para implementar a gestão de riscos de informação sejam alocados como parte do processo de governança da segurança. Para definir o direcionamento de aquisições, o impacto do risco de segurança da informação deve ser avaliado de forma adequada ao empreender novas atividades, incluindo, mas não se limitando a, qualquer investimento, compra, fusão, adoção de nova tecnologia, acordos de terceirização e contrato com fornecedores externos.

A fim de otimizar a aquisição de segurança da informação para apoiar os objetivos da entidade, convém que o órgão diretivo garanta que a segurança da informação seja integrada aos processos existentes da entidade, incluindo gerenciamento de projetos, aquisições, despesas financeiras, compliance legal e regulatório e gestão de riscos estratégicos. Convém que a Alta Direção de cada SGSI estabeleça uma estratégia de segurança da informação com base nos objetivos organizacionais, garantindo a harmonização entre os requisitos da entidade e os requisitos de segurança da informação organizacional, atendendo, assim, às necessidades atuais e em evolução das partes interessadas. O órgão diretivo dentro de uma entidade realiza os processos de avaliar, direcionar, monitorar e comunicar. A figura abaixo mostra a relação entre esses processos.

A definição de organização assume que a Alta Direção está sempre totalmente envolvida na operação da organização. Uma entidade pode ter mais de um SGSI e pode haver partes de uma entidade, às quais se aplica a governança, que não fazem parte de um SGSI. Pode-se dizer que avaliar é o processo de governança que considera a realização atual e prevista dos objetivos com base nos processos atuais e nas mudanças planejadas, e determina onde quaisquer ajustes são necessários para otimizar a realização dos objetivos estratégicos futuros.

Para executar o processo de avaliar, convém que o órgão diretivo da entidade: assegure que as iniciativas levem em consideração os riscos e as oportunidades pertinentes; responda às medições e aos relatórios de segurança da informação e do SGSI, especificando e priorizando objetivos no contexto de cada SGSI (o que inclui a consideração dos requisitos de fora do escopo do SGSI); e convém que a Alta Direção de cada SGSI: assegure que a segurança da informação apoie e sustente adequadamente os objetivos da entidade; submeta à aprovação do órgão diretivo novos projetos de segurança da informação com impacto significativo.

Direcionar é o processo de governança pelo qual o órgão diretivo dá orientação sobre os objetivos e a estratégia da entidade. Direcionar pode incluir mudanças nos níveis de recursos, alocação de recursos, priorização de atividades, aprovações de políticas, aceitação de riscos materiais e planos de gerenciamento de riscos.

Para executar o processo direcionar, convém que o órgão diretivo: estabeleça a direção estratégica geral e os objetivos da entidade; estabeleça o apetite de risco da entidade; aprove a estratégia de segurança da informação; e convém que a Alta Direção de cada SGSI: aloque investimentos e recursos adequados; alinhe os objetivos de segurança da informação organizacional com os objetivos da entidade; aloque funções e responsabilidades para segurança da informação; e estabeleça uma política de segurança da informação.

API STD 1164: a segurança cibernética de sistemas de controle de dutos

A API STD 1164:2021 – Pipeline Control Systems Cybersecurity fornece os requisitos e a orientação para o gerenciamento de risco cibernético associado a ambientes de automação e controle industrial (industrial automation and control – IAC) para atingir os objetivos de segurança, integridade e resiliência. Dentro dessa norma, isso é realizado por meio do isolamento adequado de ambientes IAC para ajudar na sua continuidade operacional.

Mesmo com o isolamento adequado dos ambientes IAC dos ambientes de TI, ambos desempenham um papel na continuidade geral dos negócios. A continuidade operacional do IAC e a continuidade do sistema de TI são frequentemente desenvolvidas e implementadas em conjunto como parte do plano geral de continuidade de negócios.

O escopo desta norma é limitado apenas aos aspectos de segurança cibernética da IAC que podem influenciar a continuidade geral dos negócios. Ela foi feita sob medida para a indústria de dutos de petróleo e gás natural (oil and natural gas – ONG), que inclui, mas não está limitado a sistemas de dutos de transmissão de gás natural e líquidos perigosos, sistemas de dutos de distribuição de gás natural, instalações de gás natural liquefeito (GNL), instalações de ar propano e outros envolvidos nessas indústrias.

Essa norma foi desenvolvida para fornecer uma abordagem acionável para proteger as funções essenciais do IAC, gerenciando o risco de segurança cibernética para os ambientes IAC. Isso pode incluir, mas não estão limitados a soluções de controle de supervisão e aquisição de dados (Scada), controle local e internet das coisas industriais (IIoT).

A norma deve ser usada no contexto de desenvolvimento, implementação, manutenção e melhoria de um programa de segurança cibernética do IAC, que inclui as políticas, processos, e controles de procedimentos e técnicos para ambientes cibernéticos IAC. Trata-se de um conjunto de requisitos que deve ser customizado antes da implementação usando os processos de gerenciamento de riscos da empresa.

O resultado é um conjunto de requisitos personalizados e específicos da empresa para um programa de segurança cibernética IAC a fim de ajudar a gerenciar a postura de segurança cibernética e qualquer risco residual resultante para seus ambientes IAC em alinhamento com a missão, objetivos e estratégia de risco da empresa, e de acordo com as suas políticas e procedimentos. Embora a identificação de ameaças e impactos seja crítica para o desenvolvimento do programa de segurança cibernética do IAC, uma avaliação baseada no risco de cada um garantirá que o programa seja implementado, executado e sustentado de forma adequada, de acordo com a postura de risco desejada pela organização.

Essa norma se concentra nos resultados de segurança cibernética desejados, definindo requisitos para níveis de proteção de impacto de objetivos de negócios específicos. Embora os princípios definidos nesta norma possam ser aplicados a sistemas instrumentados de segurança (safety instrumented systems – SIS), eles estão fora do escopo deste documento.

Os requisitos de segurança especificados nesta norma não tentam abordar os impactos potenciais para a seleção ou determinação do nível de integridade de segurança (safety integrity level – SIL) do SIS. Qualquer uso desta norma em ambientes SIS fica por conta e risco do implementador. Para as empresas que já têm um programa de segurança cibernética IAC, incluindo uma ou mais políticas de programa aprovadas e um plano ou planos de segurança cibernética IAC documentados implementados ou em implementação, esta norma deve ser considerada um acréscimo aos elementos existentes do programa de segurança cibernética.

Nessas situações, um processo de mapeamento desta norma para os elementos atuais do programa de segurança cibernética da IAC determinará quaisquer requisitos da API 1164 que não estejam atualmente no programa existente. A implementação de quaisquer elementos ausentes deve ser adaptada e priorizada usando os processos de gerenciamento de risco da empresa. O processo de adaptação para os requisitos de segurança cibernética API 1164 é descrito em 5.5.

Conteúdo da norma

1 Escopo. . . . . .. . . . . . . . . . . 1

1.1 Objetivo. . . .. . . . . . . . . . . 1

1.2 Público-alvo. . . . . . . . . . . . 2

1.3 Como ler esta norma . . . . . . . 2

2 Referências normativas. . . . . . . 4

3 Termos, definições, acrônimos e abreviações. .  . . . 4

3.1 Termos e definições. . .. . . . . . . . . . . . . . . . 4

3.2 Siglas. . . . . . . . . . . . . . . . . . . . . . 9

4 Perfis de cibersegurança de dutos IAC de ONG. .  . . 10

4.1 Introdução ao perfil de cibersegurança IAC. …. . 10

4.2 Perfil de segurança cibernética da IAC – restrições comuns………..10

4.3 Perfil de segurança cibernética da IAC – objetivos da proteção contra ameaças. . . . . . . . . . . . . 11

4.4 Perfil de segurança cibernética da IAC – objetivos de missão e negócios. . . . . . . . . . . . . 12

4.5 IAC: perfil de segurança cibernética – objetivos e impacto no mapeamento de proteção contra ameaças. . .  . 13

5 Política, plano e programa de segurança cibernética da ONG e IAC. . . . . . . . . . . . . . . 13

5.1 Plano de desenvolvimento de segurança cibernética da IAC. . . . . . . . . . . . . . . . . . . . . 15

5.2 IAC: plano de segurança cibernética – gerenciamento de risco. . . . .. . . . . . . . 15

5.3 Plano de segurança cibernética da IAC – operacionalizando um programa de segurança cibernética . . . . . . 17

5.4 Perfis de segurança cibernética de seleção de planos de segurança cibernética da IAC. . . . . . . . . . . 18

5.5 Requisitos de perfil selecionado de personalização do plano de segurança cibernética da IAC. . . . . 27

6 ONG IAC: requisitos do perfil de cibersegurança – requirements identify (ID). . . . . . . . 28

6.1 Governança (ID.GV). .. . . . . . . . . 28

6.2 Estratégia de gerenciamento de risco (ID.RM). . 32

6.3 Ambiente de negócios (ID.BE). . . . . . . . . . . . 35

6.4 Gestão de riscos da cadeia de suprimentos (ID.SC)… . 39

6.5 Avaliação de Risco IAC (ID.RA). . . . . . . . . 42

6.6 Gerenciamento de ativos (ID.AM). . . . . . . 49

7 ONG IAC: perfil de cibersegurança – profiles protect (PR)….55

7.1 Controle de acesso (PR.AC). . .  . . . . . 56

7.2 IAC Conscientização e treinamento em segurança cibernética (PR.AT). . . . . . . . . . . . 63

7.3 Segurança de dados (PR.DS).. . . . . . . . 67

7.4 Processos e procedimentos de proteção da informação (PR.IP). . . . . . . . . . . . . . . . 75

7.5 Manutenção (PR.MA). .. . . . . . . . . . . . . 89

7.6 Tecnologia de proteção (PR.PT). . .. . . . . . . . . 92

8 ONG IAC: requisitos do perfil de cibersegurança (detecção – DE). . . .  . . . . . . . . . . . . . 97

8.1 Anomalias e eventos (DE.AE). . .. . . . . . 97

8.2 Monitoramento contínuo de segurança (DE.CM). . .. 100

8.3 Processos de detecção (DE.DP). .. . . . . . . . . . . 106

9 ONG IAC: perfil de cibersegurança dos requisitos de respostas (RS). .  . . . . . . . . . . . . . . 110

9.1 Planejamento de Resposta (RS.RP). . . . . . . . 110

9.2 Comunicações (RS.CO). . .. . . . . . . . . 111

9.3 Análise (RS.AN).. . . . . . . . . . . . . . 114

9.4 Mitigação (RS.MI). . . . . . . . . . . . . . . . 118

9.5 Melhorias (RS.IM). . . . . . . . . . . . . . . . 120

10 ONG IAC: perfil de cibersegurança dos requisitos de recuperação (RC). . . . . . . . . . . . 122

10.1 Planejamento de Recuperação (RC.RP). . . 122

10.2 Melhorias (RC.IM). . . . . . . . . . . . . . . . 122

10.3 Comunicações (RC.CO). .  . . . . . . . . . 124

Anexo A (informativo) Construção e mapeamento da norma API 1164. . . . . .  . . . . . . . 126

Anexo B (informativo) Modelo Plan-Do-Check-Act.  . 129

Anexo C (informativo) Ações recorrentes. . . . . . . . . 131

Bibliografia. . .. . . . . . . . . . . . . . . . . . . . . . . . . . 132

Em resumo, a infraestrutura de dutos – composta por milhares de empresas e mais de 2,7 milhões de quilômetros de dutos responsáveis pelo transporte de petróleo, gás natural e outras commodities – é um facilitador fundamental da segurança econômica mundial. Como os proprietários e os operadores de dutos estão cada vez mais confiando na integração de tecnologias de informação e comunicação (TIC) em tecnologia da informação (TI) e tecnologia operacional (TO) para conduzir a automação, eles também devem implementar medidas de segurança para proteger os dutos de riscos cibernéticos em evolução e emergentes. A integração de dispositivos de TIC em sistemas de dutos críticos cria uma vulnerabilidade que os hackers cibernéticos podem explorar.

BNDES: o calote ao financiamento à exportação de serviços

O Banco Nacional de Desenvolvimento Econômico e Social (BNDES) revelou as informações sobre operações de financiamento à exportação de serviços, tema que vem ganhando repercussão em publicações. Esta divulgação vem esclarecer fatos e está em linha com o conjunto de ações em curso adotadas pelo BNDES para se tomar cada vez mais transparente perante a sociedade brasileira.

Diante da complexidade dos dados, eles são aqui explicados na forma de um resumo didático das operações de financiamento à exportação de serviços por empresas brasileiras com dados de 1998 até junho de 2019, sendo que, em 2017, os desembolsos foram interrompidos. No período, foram liberados US$ 10,5 bilhões em desembolsos para empreendimentos em 15 países, sendo que US$ 10,3 bilhões retornaram em pagamentos do valor principal da dívida e dos juros.

Clique na figura para uma melhor visualização

Do total de pagamentos, 89% foram liberados para empreendimentos em seis países. São eles, em ordem decrescente de valores: Angola (US$ 3,273 bilhões), Argentina (US$ 2,006 bilhões), Venezuela (US$ 1,507 bilhão), República Dominicana (US$ 1,215 bilhão), Equador (US$ 685 milhões) e Cuba (US$ 656 milhões).

Entre as empresas que exportaram os serviços, 98% do valor total foi destinado a obras de cinco delas: Odebrecht (76% do total), Andrade Gutierrez (14%), Queiroz Galvão (4%), Camargo Corrêa (2%) e OAS (2%). Ao todo, 148 operações foram realizadas, com prazo médio de 11 anos e dois meses para pagamento dos financiamentos.

O maior prazo foi concedido pelo Conselho de Ministros da Câmara de Comércio Exterior (Camex) para o projeto do Porto de Mariel, em Cuba, que será pago em 25 anos. Esse caso também foi o único que incorreu em 100% do risco soberano de um país, por aceitar como mitigador de risco de crédito uma conta corrente em Cuba.

Embora o programa de financiamento à exportação de serviços de engenharia tenha sido criado em 1998, 88% do total de US$ 10,5 bilhões em desembolsos ocorreram no período compreendido entre 2007 e 2015. Em 2003, em decorrência da Resolução número 44 aprovada pelo Conselho de Ministros da Camex, Argentina, Equador, Venezuela e República Dominicana tiveram seu custo de financiamento diminuído. Isso ocorreu porque a norma mitigou riscos de crédito das operações na proporção de até 7 (pior nota) para 1 (melhor nota).

A partir de janeiro de 2018, surgiram inadimplementos nos pagamentos de Venezuela (US$ 374 milhões), Moçambique (US$ 118 milhões) e Cuba (US$ 62 milhões), em um valor total de US$ 554 milhões até 30 de junho de 2019. Em 2016, quando começaram as controvérsias envolvendo empresas brasileiras exportadoras de serviços de engenharia, o BNDES, em acordo com o Ministério Público Federal (MPF), passou a exigir das empresas a assinatura de um Termo de Compliance (Conformidade), com rígidas regras de governança, como condição para liberação de recursos.

Clique na figura para uma melhor visualização

Após essa medida, o BNDES reteve US$ 11 bilhões que estavam previstos para serem desembolsados, referentes a 47 operações ativas. Dessa forma, a exportação de serviços, quando bem aplicada, é reconhecida mundialmente como importante instrumento de um país para estímulo à geração de empregos, ao aumento da atividade industrial e à obtenção de saldos positivos em balança comercial.

No Brasil, esses financiamentos são determinados pela administração direta do governo federal, que estabelece as operações, os países de destino das exportações, as principais condições contratuais do financiamento (como valor, prazo, equalização da taxa de juros e seguros) e os mitigadores de risco soberano do país que sedia a obra de engenharia. As responsabilidades diretas do governo no processo incluem a obtenção de aprovações pela empresa brasileira exportadora de serviços junto ao Comitê de Financiamento e Garantia das Exportações (Cofig) e ao Conselho de Ministros da Camex, ambos compostos por representantes dos ministérios.

Já com essas aprovações, o processo chega ao BNDES em sua parte final, onde é enquadrado e analisado. Quando aprovado e com a contratação feita entre a empresa brasileira e o cliente no exterior, ocorrem os desembolsos e o acompanhamento da execução do projeto.

No momento, as operações de financiamento à exportação de serviços feitas pelo BNDES estão sob análise de diversas autoridades legais. O BNDES ativamente colabora com apurações no Tribunal de Contas da União (TCU), na Controladoria-Geral da União (CGU) e na Comissão Parlamentar de Inquérito (CPI) em curso na Câmara dos Deputados.

O BNDES ratifica seu firme propósito de cooperar com os órgãos competentes e abrir todas as informações questionadas pela sociedade brasileira. A divulgação de informações concretas como estas colabora com um debate mais produtivo do papel da instituição no país. 

A transparência é um princípio fundamental à gestão pública do país e um norte para o BNDES recuperar sua credibilidade. As lições aprendidas com o passado tornam o banco mais eficiente para os cidadãos brasileiros e colaboram para sua ação em favor de negócios que levem ao desenvolvimento.

Uma apresentação gráfica com os dados apresentados pode ser encontrada no link: https://www.bndes.gov.br/arquivos/exportacao/bndes-apresentacao-exportacoes-servicos-20190915.pdf

Mais detalhes de todas as operações de financiamento às exportações de serviços podem ser obtidas na planilha Operações de exportação pós-embarque – serviços de engenharia (1998 a 30.06.2019) no seguinte endereço: https://www.bndes.gov.br/wps/portal/site/home/transparencia/centraldedownloads

Saiba mais o que é a concessão florestal

A concessão florestal é uma importante ferramenta para implementar a política nacional de conservação, permitindo o melhor gerenciamento dos ativos ambientais públicos, contribuindo para o combate às atividades ilegais, gerando benefícios sociais e ambientais e promovendo o desenvolvimento econômico de longo prazo em bases sustentáveis. Segundo o Banco Nacional do Desenvolvimento (BNDES), o governo, o setor privado, os pesquisadores, as comunidades e demais atores envolvidos no processo já reconhecem nas concessões florestais um importante instrumento de controle do desmatamento e de estímulo à atividade econômica sustentável. Um exemplo é a concessão da Floresta Nacional de Altamira, no Pará, que vem contribuindo para exploração sustentável e a preservação da floresta.

Deve-se entender que, na concessão florestal, o governo concede ao setor privado o direito de explorar a floresta pública de modo sustentável, por um prazo definido, com contrapartida financeira e obrigações legais e contratuais. A titularidade da terra permanece pública, sob gestão do governo, durante todo período da concessão. Essa é uma das modalidades de gestão previstas na Lei de Gestão de Florestas Públicas (Lei nº 11.284/2006), além da gestão direta pelo governo e do uso comunitário.

Ao longo do período da concessão, os concessionários pagam ao governo uma quantia – que varia em função das condições e resultados de cada concorrência – destinada aos órgãos de meio ambiente, aos estados e municípios onde as florestas estão localizadas e ao Fundo Nacional de Desenvolvimento Florestal. Os recursos são utilizados para promoção da atividade florestal sustentável na região. A concessão busca trazer incentivos para que o concessionário promova a cadeia de produtos florestais e contempla as obrigações do gestor para com as comunidades locais.

Importante afirmar que as concessões florestais pressupõem a existência de um plano de manejo florestal sustentável, que precisa ter passado por licenciamento e aprovação do órgão ambiental competente – Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis (Ibama), no caso de florestas federais; ou órgão estadual de meio ambiente, nos demais. O manejo florestal envolve uma série de técnicas que permitem a exploração contínua e sustentável da floresta, delimitando um limite de exploração por área concedida e um tempo de regeneração da vegetação, antes de nova utilização.

Para elaboração do plano de manejo da área, o interessado deve realizar um levantamento de todas as árvores da espécie que pretende explorar e definir um diâmetro mínimo para elas. Com isso, mesmo após a extração madeireira, é possível garantir a permanência de uma quantidade de árvores capaz de promover a regeneração natural da espécie. As regras de manejo definidas na Resolução Conama nº 406/2009 e em instruções normativas do Ministério do Meio Ambiente (MMA) buscam prover um ambiente em que o ciclo reprodutivo da floresta seja assegurado, de modo que o estoque de cada espécie explorada seja recomposto para novos ciclos.

Deve-se ressaltar que as atividades de fiscalização de florestas federais, que visam identificar, prevenir e combater ilícitos, são executadas pelo Ibama. No caso das concessões florestais, a partir do monitoramento contínuo realizado pelo próprio Ibama e pelo Serviço Florestal Brasileiro (SFB), a fiscalização será acionada quando forem identificados indícios de crime ambiental, como, por exemplo, descumprimento da licença emitida ou mau uso de documentos florestais. Para fiscalização, o SFB realiza o acompanhamento contínuo do Sistema Nacional de Controle de Origem dos Produtos Florestais (Sinaflor) e do Sistema de Cadeia de Custódia (SCC), assim como uma avaliação anual em campo.

Nesta última, são analisadas a implementação e a condução de todas as atividades das concessões florestais, bem como a dinâmica de desenvolvimento da floresta e de possíveis impactos à biodiversidade, por meio de parcelas permanentes (pedaços da floresta que servem como amostra da área de manejo). A prática do manejo florestal sustentável, permitida no regime de concessão florestal, possibilita ao concessionário a exploração de produtos madeireiros, não madeireiros e serviços florestais.

Isso significa que, além da extração de madeira, é possível aproveitar produtos vegetais não lenhosos – incluindo folhas, raízes, cascas, frutos, sementes, gomas, óleos, látex e resinas – e ainda desenvolver atividades de turismo e visitação, educação ambiental, restauração florestal e créditos de carbono decorrentes de recuperação de áreas degradadas. Há, portanto, um amplo mercado a ser explorado, dada a rica biodiversidade e grande área de florestas no Brasil.

Durante os estudos que fundamentam o edital de concessão, são realizados levantamentos de campo e etapas de consulta e audiência pública. Isso visa delimitar as áreas de manejo florestal e as demais condições da concessão, inclusive obrigações do concessionário. Caso sejam identificadas populações residentes ou que façam uso de determinados locais na zona de manejo florestal, essas áreas podem ser excluídas da concessão, de forma a preservar os modos de vida dessas populações.

Além disso, os produtos não madeireiros de uso tradicional e considerados essenciais à subsistência das comunidades locais não são objeto da concessão florestal, sendo garantido o acesso gratuito das comunidades às áreas de coleta. O edital de concessão florestal define as espécies que só podem ser extraídas com autorização especial do Serviço Florestal Brasileiro (SFB) e se não houver prejuízo para o uso comunitário.

Assim, uma floresta só pode ser concedida se for incluída no Plano Anual de Outorga Florestal (PAOF). Antes mesmo da concessão, o PAOF já busca excluir das florestas elegíveis, aquelas destinadas ao uso de povos e comunidades tradicionais, indígenas, agricultores familiares e assentados do Programa Nacional de Reforma Agrária.

A acessibilidade de pessoas com deficiência em trens de longo percurso

Saiba quais são os requisitos para a acessibilidade a pessoas com deficiência e pessoas com mobilidade reduzida, de forma segura, em trens de longo percurso.

A NBR 14020 de 02/2021 – Transporte — Acessibilidade à pessoa — Trem de longo percurso estabelece os requisitos para a acessibilidade a pessoas com deficiência e pessoas com mobilidade reduzida, de forma segura, em trens de longo percurso. Aplica-se tanto aos projetos novos quanto às adaptações dos projetos já existentes.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser feita a identificação dos assentos preferenciais?

Como deve ser delimitado o espaço para cadeira de rodas?

Quais devem ser as dimensões básicas da mesa acessível para refeição?

Quais são os requisitos dimensionais para o lavatório?

As estações e paradas devem atender aos requisitos da NBR 9050 e possibilitar a integração acessível do trem com outros meios de transporte existentes no local. Deve haver local para que as pessoas com deficiência e pessoas com mobilidade reduzida aguardem o embarque com segurança.

A plataforma deve oferecer condições de segurança e conforto, obedecendo aos padrões e critérios de acessibilidade previstos na NBR 9050. O piso deve ser regular, firme, estável e antiderrapante. Os valores das dimensões indicadas pelos limites máximo e mínimo devem ser considerados absolutos.

Quando não definidos os limites para as dimensões deve ser considerada uma tolerância de ± 0,02 m. Todas as portas para embarque, desembarque e internas do carro acessível devem ter um vão livre mínimo de 0,80 m quando abertas.

Nas estações e paradas que tenham um vão e desnível superior a 0,03 m e 0,02 m, respectivamente, entre a plataforma e a porta do carro acessível, a fronteira deve ser transposta utilizando-se dispositivo que permita o embarque e o desembarque com segurança e, preferencialmente, com autonomia. O dispositivo utilizado para o embarque e o desembarque pode estar localizado no carro ou na plataforma.

Para transpor a fronteira entre o local de embarque/desembarque e o interior do carro, deve ser utilizado um dos dispositivos vinculados ao carro, indicados a seguir, ou então a conjugação entre eles: a plataforma elevatória veicular (PEV); ou a rampa de acesso veicular, manual ou motorizada, formada por um único elemento, podendo ser dobrável ou retrátil, para acesso ao piso inferior do carro; ou a rampa de acesso veicular, manual ou motorizada, formada por dois elementos separados e paralelos entre si, podendo ser dobrável ou retrátil, para acesso ao piso inferior do carro; ou a rampa de acesso móvel, manual ou motorizada, podendo ser dobrável ou retrátil.

Outros equipamentos ou dispositivos para transposição de fronteiras podem ser considerados, desde que atendam aos requisitos da NBR 15320. O fabricante dos dispositivos para transposição de fronteiras deve considerar no projeto técnico a compatibilidade com o conjunto carroceria, em especial, relativo à interferência no peso bruto total (PBT), na estrutura e na capacidade de transporte do carro.

Os dispositivos para transposição de fronteiras devem ter as seguintes características mínimas: oferecer condições de utilização segura, confiável, suave e estável; ter piso ou área específica para apoio dos pés, em material com características antiderrapantes, com coeficiente de atrito estático (CAE) mínimo de 0,38, obtido conforme a NBR 15570; dispor de dispositivos de emergência para acionamento do equipamento em casos de falhas durante a operação; não apresentar cantos vivos ou arestas que possam oferecer riscos aos passageiros e operadores.

Exclusivamente para o caso de inoperância ou pane durante a operação dos dispositivos de transposição de fronteira, devem estar estabelecidos procedimentos adequados e alternativas de acessibilidade pelo responsável pelo dispositivo, que garantam segurança no embarque ou desembarque das pessoas com deficiência ou com mobilidade reduzida. Deve ser reservado no mínimo um assento especial, nos carros para o público em geral, e este deve estar próximo à porta principal.

Em caso de impedimento técnico decorrente do projeto de carroceria que possa comprometer o acesso ao assento especial, pode ser admitido o reposicionamento. O assento especial dos carros para o público em geral deve ter no mínimo o mesmo nível de conforto e acabamento que os demais assentos disponíveis no salão de passageiros. A identificação dos assentos especiais dos carros para o público em geral também deve ser realizada por informação aplicada na parede lateral (revestimento) ou no anteparo frontal, conforme a figura abaixo.

As dimensões da identificação devem obedecer aos parâmetros a seguir: dimensões: 220 mm (comprimento) × 95 mm (largura); fonte: tipologia helvética ou similar; cor das letras: preta (aplicação na parede lateral) ou transparente (aplicação no vidro); cor do fundo: branca (aplicação na lateral) ou transparente (aplicação no vidro); cor dos pictogramas: fundo azul-escuro e pictograma branco (aplicação na parede) ou fundo branco e pictograma transparente (aplicação no vidro). Os assentos especiais do carro para o público em geral devem ser identificados pela cor amarela (Munsell 5y 8/12), aplicada no mínimo no protetor de cabeça do assento. Alternativamente, podem ser utilizadas capas substituíveis e laváveis para o apoio de cabeça. Os assentos preferenciais do carro acessível para pessoas com deficiência ou com mobilidade reduzida devem conter cintos de segurança retráteis de três pontos para cada passageiro. Os assentos preferenciais do carro acessível devem ser identificados pela cor amarela (Munsell 5y 8/12) aplicada no mínimo no protetor de cabeça do assento.

Alternativamente, podem ser utilizadas capas substituíveis e laváveis para o protetor (apoio) de cabeça. As dimensões do sanitário acessível devem garantir o posicionamento das peças sanitárias e os seguintes parâmetros de acessibilidade: circulação com giro de 360° para a cadeira de rodas, com diâmetro livre recomendável de 1,50 m no nível do piso, sendo admitido o mínimo de 1,30 m; a área de manobra pode utilizar no máximo uma flecha de 0,20 m sob a projeção da bacia sanitária e de 0,30 m sob a projeção do lavatório no nível do piso; área livre de 1,20 m × 0,80 m, disponível para a transferência da cadeira para a bacia sanitária em pelo menos uma posição, ou lateral, ou perpendicular, ou diagonal; junto à bacia sanitária devem ser instaladas barras para apoio e transferência.

As barras de apoio devem ter seção circular com diâmetro externo de 0,03 m a 0,04 m. Deve existir um lavatório com coluna suspensa, ou lavatório sobre o tampo, em local que não interfira na área de transferência para a bacia sanitária.

No banheiro exclusivo para pessoas com deficiência ou com mobilidade reduzida, os comandos devem ser configurados em alavancas ou sensores de acionamento. O banheiro do carro acessível deve conter botões de emergência audiovisuais, com a sinalização adequada para uso exclusivo da pessoa com deficiência ou com mobilidade reduzida.