A gestão de denúncias envolve os processos necessários e suas interações

O whistleblowing ou a denúncia é o ato de relatar suspeita de irregularidades ou risco de irregularidades. Os estudos e as experiências demonstraram que uma grande proporção de irregularidades chega ao conhecimento da organização afetada por meio de relatórios de pessoas dentro ou próximas à organização. A gestão de denúncias deve ser tratada como um importante mecanismo de governança, cabendo, na maioria dos casos, aos conselhos/comitês de auditoria a responsabilidade de medir sua eficácia.

Este grupo está agora se movendo em direção ao uso de sistemas de denúncia de irregularidades além de relatar irregularidades e começando a entender que incutir uma cultura transparente de falar é percebido pelas partes interessadas como um sinal de boa saúde. No entanto, muitas outras organizações ainda têm uma posição diferente sobre o assunto.

Algumas das razões oferecidas para não facilitar a gestão de denúncias incluem a autonegação ou autoproteção pela administração da empresa; uma cultura não transparente ou medo de denúncias abusivas; não é um mandato regulatório na maioria dos países; falta de orçamento ou outras prioridades de investimento; e falta de conhecimento sobre os benefícios.

Por isso, deve-se facilitar as medidas apropriadas de conscientização e treinamento do pessoal. Esse deve abordar algumas questões, como um sistema de gestão de denúncias, política, processos, procedimentos, ferramentas e deveres a serem cumpridos da organização; sua contribuição para a efetividade do sistema de gestão de denúncias; como reconhecer as irregularidades; como e a quem o pessoal pode relatar suspeitas de irregularidades; como e a quem o pessoal pode fazer perguntas sobre o sistema de gestão de denúncias; como o pessoal pode ajudar a prevenir, evitar e proteger de condutas prejudiciais; informações sobre apoio e recursos disponíveis; proteções disponíveis ao utilizar o sistema de gestão de denúncias; disposições previstas na legislação local pertinente; impacto de não relatar irregularidades e suas potenciais consequências; informações para potenciais denunciantes sobre aconselhamento confidencial independente disponível; código de conduta ou código de ética ou equivalente da organização, se houver; explicação das consequências de não compliance da política de denúncias, por exemplo, fazer conscientemente relatos falsos e ter condutas prejudiciais pode justificar ações disciplinares.

Assim, todo o pessoal deve entender que, embora muitas vezes possa ser desejável ou necessário que os indivíduos primeiro relatem irregularidades ao seu gestor, também pode ser desejável ou necessário denunciar irregularidades por meio de outros canais fornecidos pela organização, especialmente se um gestor não agir adequadamente ou for conflitante; a política de denúncia não é um substituto aos gestores responsáveis pelo seu local de trabalho; o sistema de gestão de denúncias provê canais e proteções complementares de relatos, e os gestores são fundamentais para sua implementação. Além disso, a política de denúncia não impede um relato individual às autoridades competentes e o sistema de gestão de denúncias não substitui as obrigações legais locais de informar às autoridades competentes, quando aplicável.

O pessoal deve receber medidas de conscientização sobre denúncias e treinamento na sua admissão e regularmente (em intervalos planejados, determinados pela organização), conforme apropriado aos seus papéis, os riscos de não conformidade aos quais estão expostos e quaisquer mudanças de circunstâncias. As medidas de conscientização e os programas de treinamento devem ser periodicamente atualizados conforme necessário, para refletir quaisquer novas informações pertinentes.

A empresa deve implementar os procedimentos que abordem medidas de conscientização e treinamento para parceiros de negócios que atuem em seu nome ou em seu benefício. Esses procedimentos devem identificar os parceiros de negócios para os quais tais medidas de conscientização e treinamento são necessárias, seu conteúdo e os meios pelos quais o treinamento deve ser fornecido.

Os processos em prática para assegurar que todas as partes interessadas, incluindo o denunciante e quaisquer assuntos do relato, devem ser confidenciais. As identidades do denunciante e das partes interessadas pertinentes não devem ser divulgadas a qualquer um além de quem precisa saber, sem o seu consentimento.

Quando for provável que a identidade de um denunciante seja conhecida (porque eles já levantaram abertamente preocupações ou a natureza das informações significa que elas são facilmente identificáveis) ou precisar ser revelada por lei, o denunciante deve ser notificado antecipadamente e medidas potencialmente adicionais devem ser tomadas para protegê-lo de prejuízo. Ao estabelecer processos, incluindo procedimentos e ferramentas, para assegurar a confidencialidade de um denunciante e de outras partes interessadas implicadas no processo de denúncia, incluindo qualquer (quaisquer) assunto (s) do relato, as organizações devem considerar o que está descrito a seguir.

Uma série de características pode identificar inadvertidamente uma pessoa (nome, voz, gênero, descrição do trabalho, departamento, etc.) e as circunstâncias da irregularidade relatada podem inadvertidamente levar à identificação do denunciante. A forma como uma organização investiga o relato de irregularidades também pode identificar inadvertidamente o denunciante e a forma como um resultado é reportado também pode identificar o denunciante.

Soma-se a isso o fato de que a forma como uma organização coleta dados sobre os indicadores para avaliação pode identificar inadvertidamente os denunciantes que relataram confidencialmente. Deve-se conscientizar os denunciantes de que, quando são permitidas denúncias confidenciais ou anônimas, a divulgação de sua identidade durante a investigação pode ser necessária para prosseguir.

Deve-se conscientizar os denunciantes de que, quando a denúncia anônima é permitida, a denúncia anônima pode limitar a capacidade de investigar e proteger o indivíduo e quando o anonimato é permitido, as organizações podem definir mecanismos para permitir a comunicação com o denunciante. Importante é que, quando uma irregularidade é encontrada, a organização deve tomar as medidas adequadas para resolver a irregularidade e monitorar continuamente a eficácia dessas medidas, de acordo com as políticas organizacionais adequadas.

A empresa deve administrar as sanções adequadas e encaminhar os assuntos para autoridades competentes, quando apropriado, e monitore os resultados ou decisões tomadas. A organização pode querer considerar como reconhecer e prestar reconhecimento ao denunciante por denunciar irregularidades, com consentimento prévio do denunciante, incluindo expressar gratidão e elogios públicos à alta direção.

As ações planejadas e tomadas, e quaisquer achados, devem ser comunicados em tempo hábil ao denunciante e às partes interessadas pertinentes. Isso devem incluir quaisquer vias independentes disponíveis para analisar criticamente o tratamento do caso de denúncia. Quando houver restrições legais sobre o que pode ser comunicado sobre as ações e constatações como, por exemplo, quando a irregularidade constitui crime, o denunciante deve ser seja notificado das razões, quando possível, da comunicação limitada.

A NBR ISO 37002 de 03/2022 – Sistemas de gestão de denúncias – Diretrizes fornece diretrizes para o estabelecimento, implementação e manutenção de um sistema de gestão de denúncias eficaz, com base nos princípios de confiança, imparcialidade e proteção nas quatro etapas seguintes: receber relatos de irregularidades; avaliar relatos de irregularidades; abordar relatos de irregularidades; e concluir casos de denúncia. As diretrizes deste documento são genéricas e destinam-se a ser aplicáveis a todas as organizações, independentemente do tipo, porte e natureza da atividade, seja nos setores público, privado ou sem fins lucrativos. A extensão da aplicação dessas diretrizes depende dos fatores especificados na norma. O sistema de gestão de denúncias pode ser independente ou pode ser integrado como parte de um sistema de gestão global.

A denúncia é o ato de relatar suspeitas de irregularidades ou risco de irregularidades. Os estudos e a experiência demonstram que grande parte das irregularidades chega ao conhecimento da organização afetada por meio de relatos de pessoas de dentro ou próximas da organização. As organizações estão cada vez mais considerando introduzir ou melhorar as políticas e os processos internos de denúncias em resposta à regulação ou de forma voluntária.

Este documento provê orientações às organizações para estabelecer, implementar, manter e melhorar um sistema de gestão de denúncias, com os seguintes resultados: encorajar e facilitar o relato de irregularidades; apoiar e proteger os denunciantes e outras partes interessadas envolvidas; assegurar que os relatos de irregularidades sejam tratados de forma adequada e em tempo hábil; melhorar a cultura organizacional e a governança; e reduzir os riscos de irregularidades. Os potenciais benefícios para a organização incluem: permitir que a organização identifique e aborde as irregularidades na primeira oportunidade; ajudar a prevenir ou minimizar a perda de ativos e ajudar na recuperação de ativos perdidos; assegurar o compliance de políticas organizacionais, procedimentos e obrigações legais e sociais; atrair e reter pessoal comprometido com os valores e a cultura da organização; demonstrar as boas práticas de governança éticas e sólidas para a sociedade, mercados, reguladores, proprietários e outras partes interessadas.

Um sistema de gestão de denúncias eficaz constrói a confiança organizacional por fazer a demonstração do compromisso da liderança em prevenir e abordar as irregularidades; realizar o encorajamento das pessoas a se apresentarem mais cedo com relatos de irregularidades; fazer a redução e prevenção do tratamento prejudicial de denunciantes e outros envolvidos; e realizar o encorajamento de uma cultura de portas abertas, transparência, integridade e responsabilização. Este documento provê orientações para que as organizações criem um sistema de gestão de denúncias com base nos princípios de confiança, imparcialidade e proteção.

É adaptável, e seu uso vai variar de acordo com o porte, natureza, complexidade e jurisdição das atividades da organização. Ele pode ajudar uma organização a melhorar a sua política e os procedimentos de denúncia existentes, ou a cumprir a legislação de denúncia aplicável. Este documento adota a estrutura harmonizada, isto é, a sequência de seções, o texto comum e a terminologia comum desenvolvida pela ISO para melhorar o alinhamento entre as normas de sistemas de gestão.

As organizações podem adotar este documento como uma orientação única para a sua organização ou integrado com outras normas de sistemas de gestão, incluindo contemplar requisitos relacionados à denúncia em outros sistemas de gestão ISO. A figura abaixo é uma visão geral conceitual de um sistema de gestão de denúncias recomendado, mostrando como os princípios de confiança, imparcialidade e proteção se sobrepõem a todos os elementos deste sistema.

A organização deve determinar as questões externas e internas pertinentes a seu propósito e que afetem sua capacidade de alcançar os resultados pretendidos de seu sistema de gestão de denúncias. Essas questões podem incluir, mas não estão limitadas aos seguintes fatores: o porte e a estrutura da organização; os locais e os setores em que a organização opera ou antecipa a operação; a natureza, a cultura, a escala e a complexidade das atividades e operações da organização; a natureza e as necessidades do pessoal; o modelo de negócio da organização; as entidades sobre as quais a organização tem controle e entidades que exercem controle sobre a organização, incluindo os beneficiários da organização; os parceiros de negócios da organização; a exposição da organização a obrigações ou questões de interesse público; as obrigações estatutárias e regulatórias, contratuais aplicáveis e outras obrigações e deveres. Uma organização tem controle sobre outra organização se ela controlar direta ou indiretamente a gestão da organização.

Para entender as necessidades e as expectativas das partes interessadas, a empresa deve determinar quais as partes interessadas que são pertinentes para o sistema de gestão de denúncias; os requisitos pertinentes dessas partes interessadas; qual desses requisitos será abordado por meio do sistema de gestão de denúncias. Também deve determinar os limites e a aplicabilidade do sistema de gestão de denúncias para estabelecer seu escopo.

Ao determinar esse escopo, a organização deve considerar as questões externas e internas; os requisitos referidos nessa norma; quem pode relatar (partes interessadas internas/externas), de onde (regiões/geográficas) e quais tipos de irregularidades são cobertos pelo sistema; os resultados de qualquer avaliação de risco de compliance ou equivalente, conforme disponível. As organizações podem fazer referência à NBR ISO 37301 para avaliação de risco de compliance e à NBR ISO 31000 para gestão de riscos.

Os tipos de irregularidades que podem ser abordadas por meio do sistema de gestão de denúncias, se relatados, são especialmente importantes para o seu escopo. Nem todos os relatos feitos ao sistema de gestão de denúncias estarão dentro do seu escopo, e um único relato pode incluir informações sobre vários tipos de irregularidades, alguns dentro do escopo e outros fora do escopo.

Convém que a organização identifique quais outros processos, existentes ou planejados, serão utilizados para resolver irregularidades relatadas que não estão no âmbito do sistema de gestão de denúncias (por exemplo, reclamações, queixas, etc.) e como isso será coordenado. A organização deve estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de denúncias, incluindo os processos necessários e suas interações, de acordo com as recomendações deste documento.

O sistema de gestão de denúncias deve aplicar os princípios de confiança, imparcialidade e proteção, e convém que assegure a retroalimentação adequada durante todo o processo. Convém que o sistema de gestão de denúncias apoie todas as etapas do processo de denúncia. Para o recebimento de relatos de irregularidades, o sistema de gestão de denúncia deve especificar como os relatos podem ser feitos e recebidos, levando em consideração os fatores incluídos nessa norma.

Para a avaliação de relatos de irregularidades (triagem), deve-se especificar o processo de avaliação dos relatos recebidos, incluindo aspectos como prioridade, completude e relevância das informações. Convém que, ao mesmo tempo, o sistema de gestão de denúncias forneça uma avaliação do risco de prejuízo e do nível de proteção, e apoio necessário para os denunciantes e outros envolvidos.

Para a abordagem dos relatos de irregularidades, convém que o sistema de gestão de denúncias forneça uma investigação imparcial e em tempo hábil, assim como medidas eficazes e oportunas de proteção, apoio e monitoramento conforme apropriado para o denunciante e outros envolvidos, incluindo aqueles que são denunciados no relato. Essas medidas protetivas podem prevenir e conter, bem como remediar o prejuízo.

Para a conclusão de casos de denúncia, convém que o sistema de gestão de denúncias forneça um mecanismo para encerrar as investigações e tomar ações em resposta às recomendações e decisões, com base nos resultados da etapa de abordagem. Convém que também assegure que as medidas de proteção e apoio possam continuar e que serão monitoradas como apropriado.

Os resultados podem ser utilizados para relatórios gerenciais, aprendizagem organizacional e outras ações (por exemplo, ações de mitigação). Ao planejar o sistema de gestão de denúncias, convém que a organização considere suas políticas, processos e funções existentes (compliance, jurídico, relatos, compras, divulgação, comunicação, etc.), as questões referidas em 4.1 e as necessidades e expectativas referidas em 4.2, e que determine os riscos e oportunidades que precisam ser abordados para: dar garantia de que o sistema de gestão de denúncias pode alcançar seus resultados pretendidos, isto é, encorajar e facilitar o relato de irregularidades; apoiar e proteger denunciantes e outras partes interessadas pertinentes envolvidas; assegurar que os relatos de irregularidades sejam tratados de forma adequada e em tempo hábil; melhorar a cultura organizacional e a governança; reduzir os riscos de irregularidades, melhorar a cultura organizacional, a governança e a prevenção de irregularidades; prevenir ou reduzir efeitos indesejados; e alcançar a melhoria contínua.

A conformidade da cadeia de custódia para os produtos de base florestal

A NBR 14790 de 10/2021 – Cadeia de custódia de produtos de base florestal – Requisitos estabelece os requisitos a serem atendidos por qualquer organização que busca implementar uma cadeia de custódia para produtos de base florestal e fazer declarações aos clientes sobre a origem de seus produtos a partir de florestas manejadas de forma sustentável, material reciclado e fontes controladas. Esses requisitos da cadeia de custódia descrevem um processo de como classificar os produtos de base florestal de acordo com as categorias de material específicas, a fim de fornecer informações sobre a fonte da matéria prima adquirida para os produtos finais da organização.

Essa norma especifica as três opções de abordagens para a cadeia de custódia: o método de separação física, o método de porcentagem e o método de crédito. Também especifica os requisitos do sistema de gestão para a implementação e gestão do processo de cadeia de custódia, incluindo requisitos sobre saúde, segurança e questões trabalhistas. O Anexo A especifica a implementação dessa norma por organizações com multissites.

Essa norma é implementada para fins de avaliação da conformidade e aplicada juntamente às declarações de avaliação da conformidade de material de base florestal. Esta avaliação da conformidade é considerada de produto e segue a NBR ISO/IEC 17065. A utilização de declarações e rótulos relacionados, como resultado da implementação desta norma, é baseada na NBR ISO 14020. A consideração de material reciclado dentro da cadeia de custódia é baseada nos requisitos da NBR ISO/IEC 14021. A rotulagem de produtos é considerada uma ferramenta de comunicação opcional, que pode ser incorporada no (s) processo (s) da cadeia de custódia da organização, na qual a organização aplica as marcas registradas para rotulagem no produto ou fora do produto e em que os requisitos para o uso da marca tornam-se parte integrante dos requisitos da cadeia de custódia.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Em relação à terceirização, o que fazer com as atividades abrangidas pela cadeia de custódia?

O que é o método de separação física para implementar a cadeia de custódia?

Quais são os requisitos do sistema de due diligence (DDS)?

Quais são os critérios de elegibilidade para organização multissite?

O objetivo dessa norma é permitir que as organizações forneçam informações fidedignas e verificáveis de que seus produtos de base florestal são provenientes de florestas manejadas de forma sustentável, submetidas à avaliação da conformidade, material reciclado e fontes controladas. A aplicação prática e a conformidade em relação a essa norma permitem que as organizações demonstrem sua contribuição na gestão sustentável de recursos e um forte comprometimento com os Objetivos de Desenvolvimento Sustentável (ODS) da ONU.

O objetivo de comunicar a origem dos produtos de base florestal é estimular a demanda e o fornecimento desses produtos originários de manejo florestal sustentável e estimular, assim, o potencial para a melhoria contínua orientada ao mercado de manejo florestal mundial. O objetivo de comunicar a origem dos produtos de base florestal é estimular a oferta, a demanda e o fornecimento de produtos originários de manejo florestal sustentável e estimular, assim, o potencial de melhoria contínua do manejo florestal mundial, por meio de uma força de mercado.

A organização deve operar um sistema de gestão de acordo com os requisitos dessa norma, para garantir a correta implementação e manutenção do (s) processo (s) de cadeia de custódia. O sistema de gestão deve ser adequado ao tipo, escala e volume de trabalho realizado e abranger as atividades terceirizadas pertinentes para a cadeia de custódia da organização e para todos os sites, no caso de organizações multissites, conforme o Anexo A.

A organização deve definir o escopo de sua cadeia de custódia, especificando os grupos de produtos para os quais os requisitos da cadeia de custódia são implementados. Deve fazer somente declarações de conformidade e afirmações que sejam o melhor de seu conhecimento e abrangidas pela cadeia de custódia apresentada nessa norma.

A organização deve estabelecer procedimentos documentados para sua cadeia de custódia. Os procedimentos documentados devem incluir pelo menos os seguintes elementos: as responsabilidades e as autoridades relacionadas com a cadeia de custódia; a descrição do fluxo de matéria prima dentro do (s) processo (s) de produção/comercialização, incluindo a definição de grupos de produtos; os procedimentos para processo (s) de cadeia de custódia cobrindo todos os requisitos dessa norma, incluindo a identificação de categorias de materiais; a separação física de materiais em conformidade, de materiais de fontes controladas e de outros materiais; a definição de grupos de produtos, cálculo de conteúdo em conformidade, gestão de contas de crédito, transferência de produção (para organizações que aplicam o método de porcentagem ou de crédito); venda/transferência e declarações de conformidade dos produtos; a manutenção de registros; as auditorias internas e controle de não conformidade; o sistema de due diligence; a resolução de reclamações; e a terceirização.

A gestão da organização deve definir e documentar seu compromisso de implementar e manter os requisitos da cadeia de custódia de acordo com essa norma. O compromisso da organização deve ser disponibilizado para os colaboradores da organização, fornecedores, clientes e outras partes interessadas. A gestão da organização deve nomear um membro da gestão que, independentemente de outras responsabilidades, deve ter responsabilidade total e autoridade sobre a cadeia de custódia da organização.

Para fornecer evidências de conformidade com os requisitos dessa norma, a organização deve estabelecer e manter, pelo menos, os seguintes registros relativos aos grupos de produtos abrangidos por sua cadeia de custódia: os registros de todos os fornecedores de insumos entregues com uma declaração de conformidade, incluindo as evidências do status da avaliação da conformidade dos fornecedores; os registros de todo o material de entrada, incluindo declarações de conformidade, documentos associados à entrega do material de entrada e, para o material de entrada reciclado, informações que demonstrem que a definição de material reciclado é atendida; os registros de cálculo do conteúdo em conformidade, transferência da porcentagem para produtos de saída e a gestão da conta de crédito, conforme aplicável; os registros de todos os produtos vendidos/transferidos, incluindo declarações de conformidade e documentos associados à entrega dos produtos de saída; os registros do sistema de due diligence, incluindo registros de avaliações de risco e manejo de suprimentos de risco significativo, conforme aplicável; os registros de auditorias internas, análise crítica periódica da cadeia de custódia, não conformidades e ações corretivas; e os registros de reclamações e suas resoluções.

A organização deve manter os registros por um período mínimo de cinco anos. Deve garantir e demonstrar que todo o pessoal que realiza atividades que afetem a implementação e a manutenção de sua cadeia de custódia são competentes com base em treinamento, educação, habilidades e experiência. Deve identificar, fornecer e manter a infraestrutura e as instalações técnicas necessárias para a implementação e manutenção eficazes de sua cadeia de custódia com os requisitos dessa norma.

A organização deve realizar auditorias internas pelo menos uma vez por ano e antes da auditoria inicial da avaliação da conformidade, abrangendo todos os requisitos dessa norma aplicáveis à organização, incluindo atividades relacionadas à terceirização, e estabelecer medidas corretivas e preventivas, se requerido. A orientação informativa para a realização de auditorias internas é fornecida na NBR ISO 19011.

A gestão da organização deve analisar criticamente o resultado da auditoria interna e sua cadeia de custódia, pelo menos anualmente. A organização deve estabelecer procedimentos para as reclamações de fornecedores, clientes e outras partes relacionadas com sua cadeia de custódia, refletindo os requisitos descritos a seguir.

Após o recebimento de uma reclamação por escrito, a organização deve: informar ao reclamante sobre o recebimento da reclamação no prazo de dez dias úteis; reunir e verificar todas as informações necessárias para avaliar e validar a reclamação e tomar uma decisão sobre a reclamação; comunicar formalmente ao reclamante a decisão e o tratamento da reclamação; e garantir que as ações corretivas e preventivas apropriadas sejam tomadas, se necessário.

Quando uma não conformidade com os requisitos dessa norma for identificada por meio de auditoria interna ou externa, a organização deve: reagir à não conformidade e, conforme aplicável: tomar medidas para controlar e corrigir; tratar as consequências; avaliar a necessidade de ação para eliminar as causas da não conformidade, a fim de que não ocorra novamente ou que não ocorra em outro lugar, por: análise crítica da não conformidade; determinação das causas da não conformidade; determinação de não conformidades semelhantes ocorrendo ou com potencial de ocorrerem; implementar qualquer ação necessária; analisar criticamente a eficácia de qualquer ação corretiva tomada; e fazer alterações no sistema de gestão, se necessário.

A ação corretiva deve ser apropriada aos efeitos das não conformidades encontradas. A organização deve manter informações documentadas como evidência: da natureza das não conformidades e quaisquer ações subsequentes tomadas; dos resultados de qualquer ação corretiva.

Incorporando a gestão do compliance aos requisitos antissubornos

O suborno é um fenômeno generalizado. Ele causa sérias preocupações sociais, morais, econômicas e políticas, debilita a boa governança, dificulta o desenvolvimento e distorce a competição. Corrói a justiça, mina os direitos humanos e é um obstáculo para o alívio da pobreza.

O suborno também aumenta o custo de fazer negócios, introduz incertezas nas transações comerciais, eleva o custo dos bens e serviços, diminui a qualidade dos produtos e serviços, o que pode levar à perda de vidas e propriedades, destrói a confiança nas instituições e interfere na operação justa e eficiente dos mercados. Trata-se de uma oferta, promessa, doação, aceitação ou solicitação de uma vantagem indevida de qualquer valor (que pode ser financeiro ou não financeiro), direta ou indiretamente, e independente de localização (ões), em violação às leis aplicáveis, como um incentivo ou recompensa para uma pessoa que está agindo ou deixando de agir em relação ao desempenho das suas obrigações. A função do compliance antissuborno envolve a (s) pessoa (s) com responsabilidade e autoridade para a operação do sistema de gestão antissuborno. A due diligence é um processo para aprofundar a avaliação da natureza e extensão dos riscos de suborno e ajudar as organizações a tomar decisões em relação a transações, projetos, atividades, parceiros de negócio e pessoal específico.

Hoje, muitas organizações têm uma pessoa dedicada (por exemplo, compliance officer) responsável pela gestão do compliance no dia a dia e algumas têm um comitê de compliance interfuncional, para coordenar o compliance em toda a organização. A função de compliance trabalha em conjunto com a gestão.

Nem todas as organizações criarão uma função de compliance discreta, pois algumas atribuirão a essa função seria uma posição já existente ou irão terceirizar esta função. Ao terceirizar, convém que a organização considere não atribuir toda a função de compliance para terceiras partes.

Mesmo se ela terceirizar parte desta função, deve considerar manter a autoridade sobre ela e que supervisione estas funções. Ao alocar a responsabilidades pelo sistema de gestão de compliance, deve-se considerar a possibilidade de assegurar que a função de compliance demonstre a integridade e o comprometimento com o compliance; a comunicação eficaz e habilidades para influenciar; uma capacidade e posição para comandar a aceitação de conselhos e orientações; competência pertinente no projeto, na implementação e na manutenção do sistema de gestão do compliance; a assertividade, conhecimento do negócio e experiência para testar e desafiar; uma estratégia, e uma abordagem proativa para o compliance; o tempo suficiente disponível para cumprir as necessidades da função.

Dessa forma, a função de compliance deve ter autoridade, status e independência. Autoridade significa que a função de compliance é atribuída de grande poder pelo órgão diretivo e pela alta direção. Status significa que outras pessoas estão na posição de ouvir e respeitar essa opinião. Independência significa que a função de compliance não está, na medida do possível, envolvida pessoalmente nas atividades que estão expostas a riscos de compliance. Por isso, a função de compliance deve estar livre de conflitos de interesses para cumprir integralmente o seu papel.

A NBR ISO 37301 de 06/2021 – Sistemas de gestão de compliance – Requisitos com orientações para uso especifica os requisitos e fornece diretrizes para estabelecer, desenvolver, implementar, avaliar, manter, e melhorar um sistema de gestão de compliance eficaz dentro de uma organização. A NBR ISO 37001 de 03/2017 – Sistemas de gestão antissuborno – Requisitos com orientações para uso especifica requisitos e fornece orientações para o estabelecimento, implementação, manutenção, análise crítica e melhoria de um sistema de gestão antissuborno.

Os sistemas podem ser independentes ou podem ser integrados a um sistema de gestão global. Pode-se dizer que o compliance é um processo contínuo e o resultado de uma organização que cumpre suas obrigações. Torna-se sustentável ao ser incorporado na cultura da organização, e no comportamento e na atitude das pessoas que trabalham para ela.

Enquanto mantém sua independência, é preferível que a gestão de compliance seja integrada com os outros processos de gestão da organização e os seus requisitos e procedimentos operacionais. Um sistema de gestão de compliance eficaz em toda a organização permite que uma organização demonstre seu comprometimento em cumprir leis pertinentes, requisitos regulamentares, códigos setoriais da indústria e normas organizacionais, assim como normas de boa governança, melhores práticas geralmente aceitas, ética e expectativas da comunidade.

A informação documentada é aquela que se requer que seja controlada e mantida por uma organização e o meio no qual ela está contida. Ela pode ser integrada pelos dois sistemas. A informação documentada pode estar em qualquer formato e meio e pode ser proveniente de qualquer fonte, além de poder se referir ao sistema de gestão, incluindo processos relacionados; a informação criada para a organização operar (documentação); a evidência de resultados alcançados (registros). Para se entender melhor, a figura abaixo provê uma visão geral dos elementos comuns de um sistema de gestão de compliance.

Além disso, a organização deve analisar os riscos de compliance considerando as causas-raiz e as fontes do não compliance e as consequências destas, ao mesmo tempo em que deve incluir a probabilidade de que estas ramificações possam ocorrer. As consequências podem incluir, por exemplo, os danos ambientais e pessoais, as perdas econômicas, os danos à reputação, as mudanças administrativas e as responsabilidades civis e criminais envolvidas no suborno.

A identificação dos riscos de compliance inclui as fontes de risco de compliance e a definição das situações de risco de compliance. As empresas devem identificar as fontes de riscos de compliance, incluindo o suborno, dentro dos vários departamentos, funções e diferentes tipos de atividades organizacionais, de acordo com as responsabilidades do departamento, as responsabilidades profissionais e os diferentes tipos de atividades organizacionais. A organização deve identificar regularmente as fontes dos riscos de compliance e definir as correspondentes situações de riscos de compliance para cada fonte de risco de modo a desenvolver uma lista das fontes de risco e uma lista de situações de riscos.

Para se ter uma cultura de compliance, ética, e riscos de subornos, a empresa deve ter um conjunto de valores publicado de forma clara; possuir uma gestão ativa e que visivelmente implemente e respeite os valores; consistência no tratamento das não compliances, independentemente da posição; mentoriamento, coaching e liderança pelo exemplo; uma apropriada avaliação na pré-contratação de pessoas potenciais para as funções críticas, incluindo due diligence; um programa de indução ou orientação que enfatize o compliance e os valores da organização; treinamento contínuo do compliance, incluindo as atualizações para o treinamento de todas as pessoas e partes interessadas pertinentes; uma comunicação contínua sobre as questões de compliance e de subornos; os sistemas de avaliação de desempenho que considerem a avaliação do comportamento do compliance e antissuborno e considerem o pagamento por desempenho para alcançar os resultados e os indicadores-chave de desempenho; um reconhecimento visível das realizações na gestão e nos resultados de compliance; um ágil e proporcional processo disciplinar para os casos de violações dolosas ou negligentes, das obrigações de compliance; uma clara relação entre a estratégia da organização e os papéis individuais, enfatizando o compliance como essencial para alcançar os resultados organizacionais; uma comunicação apropriada e aberta sobre compliance, tanto internamente como externamente.

A evidência sobre uma cultura de compliance é indicada pelo grau no qual: os itens anteriores estão implementados; as partes interessadas (especialmente as pessoas) acreditam que os itens anteriores foram implementados; o pessoal entende a relevância das obrigações de compliance relativas as suas próprias atividades como também as de sua unidade de negócios; as ações corretivas para abordar não compliance são de propriedade e acionadas em todos os níveis apropriados da organização, conforme requerido; o papel da função de compliance e seus objetivos são valorizados; as pessoas estão capacitadas e encorajadas para levantarem preocupações de compliance aos níveis apropriados da direção, incluindo a alta direção e o órgão diretivo.

A empresa pode escolher implementar este sistema de gestão antissuborno como um sistema separado ou como uma parte integrada de um sistema global de compliance. A organização pode ainda escolher implementar o sistema de gestão antissuborno em paralelo ou como parte de outros sistemas de gestão, como os da qualidade, meio ambiente e segurança da informação. Nesse caso, a organização pode fazer referência às NBR ISO 9001, NBR ISO 14001 e NBR ISO/IEC 27001), bem como às NBR ISO 26000 e NBR ISO 31000.

Na gestão integrada dos dois sistemas de gestão, deve-se levar em conta, embora exista risco de suborno em relação a muitas transações, que uma organização deve implementar um nível mais abrangente de controle antissuborno sobre uma transação de alto risco do que sobre uma transação de baixo risco de suborno. Nesse contexto, é importante compreender que a identificação e a aceitação de um baixo risco de suborno não significam que a organização aceita o fato de o suborno ocorrer, ou seja, o risco de ocorrência do suborno.

Se uma propina pode ocorrer não é o mesmo que a ocorrência do suborno. A organização pode ter tolerância zero para a ocorrência de suborno, enquanto ainda envolver negócios e situações em que haja baixo risco de suborno, ou mais do que um baixo risco, desde que sejam aplicadas medidas de mitigação adequadas. Tendo avaliado os riscos de suborno pertinentes, a organização pode, então, determinar o tipo e o nível de controles a serem aplicados a cada categoria de risco e pode avaliar se os controles existentes são adequados.

Jornada das Águas vai percorrer dez estados com inaugurações, anúncios e entregas que buscam emancipar a população do semiárido brasileiro

Delimitação do semiárido mantém formação atual e inclui 54 novos municípios  — Português (Brasil)

Nesta segunda-feira (18), o governo federal, por meio do Ministério do Desenvolvimento Regional (MDR), dá início à Jornada das Águas, roteiro que partirá da nascente histórica do Rio São Francisco, no norte de Minas Gerais, e percorrerá os nove estados do Nordeste com anúncios e entregas de obras de infraestrutura, preservação e recuperação de nascentes e cursos d’água, saneamento, irrigação, apoio ao setor produtivo e aos municípios, além de mudanças normativas que vão revolucionar a maneira como o brasileiro se relaciona com a água. Serão 10 dias de viagem pela região do semiárido, em que o ministro do Desenvolvimento Regional, Rogério Marinho, acompanhado de gestores e secretários da pasta, levará a estrutura do governo para apoiar as regiões mais deprimidas economicamente no país.

O conjunto de ações da Jornada das Águas se baseia no entendimento de que é preciso garantir que a água chegue às pessoas, mas também que ela continue disponível para as próximas gerações. “Não existe desenvolvimento econômico sem água. A água é o principal insumo estratégico do Brasil. Ela está nos alimentos que exportamos, na energia, na indústria, na saúde, sem ela não há vida. É por isso que o governo do presidente Jair Bolsonaro vem atuando para garantir que a água chegue às pessoas, mas também para que ela seja preservada e continue disponível para as próximas gerações”, explica o ministro Rogério Marinho.

O roteiro vai começar na cidade de São Roque de Minas, em Minas Gerais, e vai terminar em Propriá, em Sergipe, no dia 28 de outubro. Nesse período, serão promovidas ações que têm como essência quatro eixos: de infraestrutura, com entregas, inaugurações e anúncios de obras que levarão água aos moradores das regiões mais secas do País; de sustentabilidade, com ações de saneamento básico e de preservação, conservação e recuperação de bacias hidrográficas; de desenvolvimento econômico e social, com apoio a projetos de irrigação e para estruturação de cadeias produtivas locais, promovendo a geração de emprego e renda a partir de uma convivência sustentável das comunidades com o meio ambiente; e de melhoria da governança, com a lançamento de normativos estruturantes.

“Nós estamos modernizando a regulação sobre o setor. Começamos com o estabelecimento de um novo marco do saneamento e agora estamos propondo um novo marco hídrico, que vai permitir uma maior participação da iniciativa privada nos investimentos estruturantes de integração e recuperação das nossas bacias hidrográficas, otimizando o uso das suas águas e trazendo mais segurança hídrica, principalmente em época de seca”, explica o ministro. “Precisamos contornar os problemas crônicos de seca no Nordeste com inovação, investimento e, principalmente, com um pacto nacional que priorize enfrentar a questão”, completa o ministro.

Em cada estado visitado pela Jornada das Águas, serão entregues ou iniciadas obras e projetos que viabilizarão a infraestrutura hídrica necessária para que a água chegue às regiões mais secas. Em Pernambuco, a inauguração do Ramal do Agreste marca o início da realização de um sonho da população local. Após a conclusão da Adutora do Agreste, o ramal levará água às casas de mais de 2 milhões de pessoas em 68 cidades da região com mais escassez hídrica do estado. Essa obra significa um investimento de R$ 1,6 bilhão, sendo que R$ 1,3 bi foram aportados no governo Bolsonaro.

Outra obra fundamental é a construção do Ramal do Salgado, no Ceará, que irá beneficiar 4,7 milhões de pessoas em 54 municípios. O anúncio do início das suas obras está confirmado durante a jornada, com investimentos públicos previstos de R$ 600 milhões. Destaque, ainda, para a entrega do subsistema Água Branca, no Canal do Sertão Alagoano, no valor de R$ 52 milhões.

Novos patrocinadores do Programa Águas Brasileiras serão anunciados nesta Jornada e também será publicado o 2º Edital de Chamamento de Projetos do Programa, ampliando a atuação para todas as bacias hidrográficas do País. A Caixa vai patrocinar o projeto Nascentes Vivas, no valor de R$ 10 milhões, para recuperar 1,5 mil nascentes na Bacia do Rio Verde Grande, ao longo de 27 municípios de Minas Gerais. Já a empresa MRV irá apoiar o projeto Agroflorestando Bacias para Conservar Águas, que implantará 60 sistemas agroflorestais em duas comunidades quilombolas do município do Muquém do São Francisco, na Bahia.

Além disso, a revitalização e a preservação dos recursos hídricos do País ganham o reforço de recursos previstos no processo de capitalização da Eletrobras. As bacias do Rio São Francisco e do Rio Parnaíba contarão com investimentos da ordem de R$ 3,5 bilhões, a serem aplicados ao longo de 10 anos. Outros R$ 2,3 bilhões estão previstos para as bacias na área de influência dos reservatórios das usinas hidrelétricas de Furnas.

Na área de desenvolvimento regional, uma das principais ações do MDR é o fomento às Rotas de Integração Nacional, que são redes de arranjos produtivos locais associadas a cadeias produtivas estratégicas capazes de promover a inclusão e o desenvolvimento sustentável das regiões brasileiras priorizadas pela Política Nacional de Desenvolvimento Regional (PNDR). Ao longo da jornada, haverá exposições de produtos produzidos pelas Rotas do Mel, Cordeiro e Leite nas cidades de São Roque de Minas (MG), Sertânia (PE) e Propriá (SE). Também haverá um workshop sobre fruticultura, outra importante frente do projeto, na cidade de Juazeiro (BA).

Obras e investimentos na área de irrigação também serão anunciados, promovendo melhorias nos Perímetros Públicos de Irrigação, que são indutores de desenvolvimento local ao garantir emprego e renda. Na Bahia, será lançado o 1º edital de concessão de um projeto de irrigação em parceria com a iniciativa privada, o Baixio de Irecê, qualificado na carteira do Programa de Parcerias de Investimentos (PPI) e que conta com recursos estimados em R$ 700 milhões para ampliação de mais de 30 mil hectares irrigados. Os perímetros irrigados Gorutuba e Jaíba, em Minas Gerais, e Jacaré Curituba, em Sergipe, também serão beneficiados com melhorias.

A Superintendência do Desenvolvimento do Nordeste (Sudene) vai apresentar o Plano de Ação Estratégica para a bacia hidrográfica do Rio São Francisco e área de influência do Projeto de Integração do São Francisco e do Rio Parnaíba, que se encontra em elaboração. Outra iniciativa a ser anunciada é a criação de um fundo com o objetivo de viabilizar a estruturação e o desenvolvimento de projetos de concessão e parcerias público-privadas (PPPs) da União, dos estados, do Distrito Federal e dos municípios do País. Com a sanção da Lei que converteu a Medida Provisória 1.052/ 2021 e a edição do Decreto de regulamentação, o fundo poderá apoiar todo o ciclo de projetos de concessões e de parcerias público-privadas.

O anúncio do Marco Hídrico durante a Jornada é mais uma ação com objetivo de promover o desenvolvimento e a segurança hídrica no País. Seu principal diferencial é avançar na consolidação de uma política de infraestrutura hídrica, assim como aprimorar a atuação dos órgãos gestores. A proposta permitirá conferir sustentabilidade para o planejamento e a gestão das infraestruturas hídricas que garantem água para a população e a produção, como barragens, canais e adutoras. A proposta também estabelece mecanismos para diversificação dos investimentos, abrindo espaço para a participação da iniciativa privada.

Outro diferencial a ser trazido pelo novo marco é a criação do instrumento da cessão onerosa pelo uso de recursos hídricos, que propõe a realocação negociada da água. Dessa forma, aqueles que já possuem outorgas poderão negociar seu uso com outros usuários, otimizando e valorizando o uso das águas. O instrumento será útil, principalmente em épocas de secas e em bacias com indisponibilidade de água para emissão de novas outorgas.

Além disso, o Ministério do Desenvolvimento Regional dará o pontapé inicial nas discussões sobre o tema do reuso de água, considerado estratégico, sobretudo, para os setores industriais e agrícolas. A medida representa uma ação em resposta ao contexto de escassez hídrica, reforçando a necessidade de otimização do uso da água, reforçando seu aspecto estratégico para o desenvolvimento.

Confira as principais agendas em cada dia da Jornada

18/10 – Minas Gerais

• Anúncio de R$ 5,8 bilhões para a revitalização de Bacias – recursos da Lei de Capitalização da Eletrobras

• Barragem de Jequitaí – Edital de Chamamento Público – PMI e anúncio de R$ 20 milhões de obras complementares

• Publicação e divulgação do 2º Edital de Chamamento de Projetos e anúncio de patrocínios do Programa Águas Brasileiras

• Retomada de obras do Projeto de Irrigação Gorutuba e conclusão do canal de desassoreamento em Jaíba

19/10 – Bahia

• Canal do Sertão Baiano – abertura da licitação para o projeto básico

• Águas Brasileiras – anúncio do patrocínio do Projeto Agroflorestando Bacias para Conservar Águas

• Anúncio do edital para concessão do Perímetro Irrigado do Baixio do Irecê

20/10 – Ceará

• Ramal do Salgado – anúncio da obra

• Reservatório Taquarão – visita a obra de abastecimento

• Barragem Banabuiú – assinatura de Contrato/Ordem de Serviço para recuperação

21/10 – Paraíba e Pernambuco

• Paraíba

Eixo Norte do Projeto de Integração do Rio São Francisco – entrega do último trecho do canal

• Pernambuco
Ramal do Agreste – inauguração

22/10 – Rio Grande do Norte

• Barragem de Oiticica – liberação de R$ 10 milhões

• Adutora do Agreste Potiguar – lançamento do edital de licitação para projeto básico

• Lagoa do Bonfim – anúncio do edital de licitação do projeto de revitalização

• Lançamento do Polo da Moda e exposição de produtos locais

• Instalação de 60 cisternas em São Tomé

25/10 – Piauí

• Lançamento do Plano de Ação Estratégica para a bacia hidrográfica do Rio São Francisco e área de influência do Projeto de Integração do São Francisco e do Rio Parnaíba

• Programa Águas Brasileiras – Projeto de Recuperação e Revitalização de Nascente na Bacia do Parnaíba

• Retomada das obras do projeto de irrigação Marrecas

26/10 – Maranhão

• Lançamento do edital dos estudos para a implantação da integração de Bacias do Piauí/Maranhão e demais estados do Nordeste

27/10 – Alagoas

• Canal do Sertão Alagoano — assinatura de OS de três subsistemas do Canal e entrega do subsistema Água Branca

• Anúncio do Fundo de Estruturação de projetos — criado pela MP 1.052

28/10 – Sergipe

• Anúncio do Novo Marco Hídrico

• Canal do Xingó — Apresentação do projeto

Os conceitos normativos para a governança da segurança da informação

Em sua nova edição, a NBR ISO/IEC 27014 de 09/2021 – Segurança da informação, segurança cibernética e proteção da privacidade – Governança da segurança da informação fornece orientação sobre conceitos, objetivos e processos para a governança da segurança da informação pela qual as organizações podem avaliar, direcionar, monitorar e comunicar as atividades relacionadas à segurança da informação dentro da organização. O público-alvo é o órgão diretivo e Alta Direção; aqueles que são responsáveis por avaliar, direcionar e monitorar um sistema de gestão da segurança da informação (SGSI) com base na NBR ISO/IEC 27001:2013; os responsáveis pela gestão da segurança da informação que ocorre fora do escopo de um SGSI com base na NBR ISO/IEC 27001:2013, mas dentro do escopo da governança.

Este documento é aplicável a todos os tipos e tamanhos de organizações. Todas as referências a um SGSI neste documento se aplicam a um SGSI com base na NBR ISO/IEC 27001:2013. Ele tem foco nos três tipos de organizações SGSI apresentados no Anexo B. Entretanto, pode também ser utilizado por outros tipos de organizações.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como se deve assegurar a conformidade com os requisitos internos e externos?

Como monitorar o processo de governança?

O que significa comunicar o processo de governança bidirecional?

Quais são os requisitos do órgão diretivo sobre sistema de gestão de segurança da informação (SGSI)?

A segurança da informação é uma questão-chave para as organizações, amplificada por rápidos avanços em metodologias e tecnologias de ataque, e com correspondente aumento por pressões regulatórias. A falha de controles de segurança da informação de uma organização pode ter muitos impactos adversos na organização e em suas partes interessadas incluindo, mas não limitado à perda de confiança.

A governança da segurança da informação é a utilização de recursos para assegurar a implementação efetiva de segurança da informação, fornecendo garantia de que as diretivas a respeito de segurança da informação são seguidas; e o órgão diretivo recebe relatórios confiáveis e relevantes sobre as atividades relacionadas à segurança da informação. Isso auxilia o órgão diretivo a tomar decisões a respeito de objetivos estratégicos para a organização, ao fornecer informação sobre segurança da informação que pode afetar esses objetivos.

Também garante que a estratégia de segurança da informação esteja alinhada com os objetivos gerais da entidade. Os gestores e outros que trabalhem nas organizações precisam entender: os requisitos de governança que afetam seu trabalho; e como cumprir requisitos de governança que requerem deles uma ação.

Este documento descreve como a governança da segurança da informação opera dentro de um SGSI, com base na NBR ISO/IEC 27001, e como essas atividades podem se relacionar com outras atividades de governança que operam fora do escopo de um SGSI. Ele destaca quatro processos principais de avaliar, direcionar, monitorar e comunicar nos quais um SGSI pode ser estruturado dentro de uma organização e sugere abordagens para integrar a governança da segurança da informação nas atividades de governança organizacional em cada um desses processos.

Finalmente, o Anexo A descreve as relações entre governança organizacional, governança da tecnologia da informação e governança da segurança da informação. O SGSI cobre toda a organização, por definição (ver ISO/IEC 27000). Ele pode abranger toda a entidade ou parte dela.

A governança da segurança da informação é o meio pelo qual o órgão diretivo de uma organização fornece a orientação geral e controle das atividades que afetam a segurança das informações de uma organização. Essa direção e esse controle se concentram nas circunstâncias em que uma segurança da informação inadequada pode afetar adversamente a capacidade da organização de atingir seus objetivos gerais.

É comum que um órgão diretivo atinja seus objetivos de governança por meio de: fornecimento de orientação através do estabelecimento de estratégias e políticas; monitoramento do desempenho da organização; e a avaliação das propostas e planos desenvolvidos pelos gestores. A gestão da segurança da informação está associada à garantia do cumprimento dos objetivos da organização descritos nas estratégias e políticas estabelecidas pelo órgão diretivo.

Isso pode incluir a interação com o órgão diretivo por meio de: fornecimento de propostas e planos para consideração do órgão diretivo; e o fornecimento de informações ao órgão diretivo sobre o desempenho da organização. A governança eficaz da segurança da informação requer que tanto os membros do órgão diretivo quanto os gestores cumpram suas respectivas funções de maneira consistente. A NBR ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação no contexto de uma organização.

Também inclui requisitos para avaliação e tratamento de riscos de segurança da informação ajustados às necessidades da organização. A NBR ISO/IEC 27001 não usa o termo governança, mas especifica uma série de requisitos que são atividades de governança. A lista a seguir fornece exemplos dessas atividades. As referências à organização e à Alta Direção são, conforme observado anteriormente, associadas ao escopo de um SGSI com base na NBR ISO/IEC 27001.

Existem muitas áreas de governança em uma entidade, incluindo segurança da informação, tecnologia da informação, saúde e segurança, qualidade e finanças. Cada área de governança é um componente dos objetivos gerais de governança de uma entidade e, portanto, convém que esteja alinhada com a disciplina da entidade. Os escopos dos modelos de governança às vezes se sobrepõem.

Um SGSI se concentra na gestão de riscos relacionados à informação. Não aborda diretamente as questões como lucratividade, aquisição, uso e realização de ativos, ou a eficiência de outros processos, embora convenha que apoie quaisquer objetivos organizacionais nessas questões. Para estabelecer a segurança da informação abrangente e integrada em toda a entidade, a governança da segurança da informação deve assegurar que os objetivos da segurança da informação sejam abrangentes e integrados.

Convém que a segurança da informação seja tratada em nível de entidade, com a tomada de decisão levando em consideração as prioridades da entidade. Convém que as atividades relacionadas à segurança física e lógica sejam coordenadas de perto. Isso não requer, no entanto, um único conjunto de medidas de segurança ou um único sistema de gestão da segurança da informação (SGSI) em toda a entidade.

Para garantir a segurança da informação em toda a entidade, convém que a responsabilidade e a responsabilização pela segurança da informação sejam estabelecidas em toda a extensão das atividades de uma entidade. Isto pode se estender além das fronteiras geralmente percebidas de uma entidade, por exemplo, para incluir as informações armazenadas ou transferidas por entidades externas.

Para a tomar as decisões usando uma abordagem baseada em risco, convém que a governança da segurança da informação seja baseada em obrigações de compliance e também em decisões baseadas em risco específicas da entidade. Convém que a determinação de quanta segurança é aceitável seja baseada no apetite de risco de uma entidade, incluindo perda de vantagem competitiva, riscos de compliance e de obrigação legal, interrupções operacionais, danos à reputação e perda financeira.

Convém que a gestão de riscos de segurança da informação seja consistente em toda a entidade e inclua considerações sobre os impactos financeiros, operacionais e reputacionais adversos de violações e de não compliance. Além disso, convém que a gestão de riscos de segurança da informação seja integrada com a abordagem de gestão de riscos geral da entidade, a fim de que não seja feita isoladamente e não cause confusão, por exemplo, mapear para a metodologia da entidade ou capturar informação estratégica de riscos no registro de risco da entidade.

Convém que recursos apropriados para implementar a gestão de riscos de informação sejam alocados como parte do processo de governança da segurança. Para definir o direcionamento de aquisições, o impacto do risco de segurança da informação deve ser avaliado de forma adequada ao empreender novas atividades, incluindo, mas não se limitando a, qualquer investimento, compra, fusão, adoção de nova tecnologia, acordos de terceirização e contrato com fornecedores externos.

A fim de otimizar a aquisição de segurança da informação para apoiar os objetivos da entidade, convém que o órgão diretivo garanta que a segurança da informação seja integrada aos processos existentes da entidade, incluindo gerenciamento de projetos, aquisições, despesas financeiras, compliance legal e regulatório e gestão de riscos estratégicos. Convém que a Alta Direção de cada SGSI estabeleça uma estratégia de segurança da informação com base nos objetivos organizacionais, garantindo a harmonização entre os requisitos da entidade e os requisitos de segurança da informação organizacional, atendendo, assim, às necessidades atuais e em evolução das partes interessadas. O órgão diretivo dentro de uma entidade realiza os processos de avaliar, direcionar, monitorar e comunicar. A figura abaixo mostra a relação entre esses processos.

A definição de organização assume que a Alta Direção está sempre totalmente envolvida na operação da organização. Uma entidade pode ter mais de um SGSI e pode haver partes de uma entidade, às quais se aplica a governança, que não fazem parte de um SGSI. Pode-se dizer que avaliar é o processo de governança que considera a realização atual e prevista dos objetivos com base nos processos atuais e nas mudanças planejadas, e determina onde quaisquer ajustes são necessários para otimizar a realização dos objetivos estratégicos futuros.

Para executar o processo de avaliar, convém que o órgão diretivo da entidade: assegure que as iniciativas levem em consideração os riscos e as oportunidades pertinentes; responda às medições e aos relatórios de segurança da informação e do SGSI, especificando e priorizando objetivos no contexto de cada SGSI (o que inclui a consideração dos requisitos de fora do escopo do SGSI); e convém que a Alta Direção de cada SGSI: assegure que a segurança da informação apoie e sustente adequadamente os objetivos da entidade; submeta à aprovação do órgão diretivo novos projetos de segurança da informação com impacto significativo.

Direcionar é o processo de governança pelo qual o órgão diretivo dá orientação sobre os objetivos e a estratégia da entidade. Direcionar pode incluir mudanças nos níveis de recursos, alocação de recursos, priorização de atividades, aprovações de políticas, aceitação de riscos materiais e planos de gerenciamento de riscos.

Para executar o processo direcionar, convém que o órgão diretivo: estabeleça a direção estratégica geral e os objetivos da entidade; estabeleça o apetite de risco da entidade; aprove a estratégia de segurança da informação; e convém que a Alta Direção de cada SGSI: aloque investimentos e recursos adequados; alinhe os objetivos de segurança da informação organizacional com os objetivos da entidade; aloque funções e responsabilidades para segurança da informação; e estabeleça uma política de segurança da informação.

API STD 1164: a segurança cibernética de sistemas de controle de dutos

A API STD 1164:2021 – Pipeline Control Systems Cybersecurity fornece os requisitos e a orientação para o gerenciamento de risco cibernético associado a ambientes de automação e controle industrial (industrial automation and control – IAC) para atingir os objetivos de segurança, integridade e resiliência. Dentro dessa norma, isso é realizado por meio do isolamento adequado de ambientes IAC para ajudar na sua continuidade operacional.

Mesmo com o isolamento adequado dos ambientes IAC dos ambientes de TI, ambos desempenham um papel na continuidade geral dos negócios. A continuidade operacional do IAC e a continuidade do sistema de TI são frequentemente desenvolvidas e implementadas em conjunto como parte do plano geral de continuidade de negócios.

O escopo desta norma é limitado apenas aos aspectos de segurança cibernética da IAC que podem influenciar a continuidade geral dos negócios. Ela foi feita sob medida para a indústria de dutos de petróleo e gás natural (oil and natural gas – ONG), que inclui, mas não está limitado a sistemas de dutos de transmissão de gás natural e líquidos perigosos, sistemas de dutos de distribuição de gás natural, instalações de gás natural liquefeito (GNL), instalações de ar propano e outros envolvidos nessas indústrias.

Essa norma foi desenvolvida para fornecer uma abordagem acionável para proteger as funções essenciais do IAC, gerenciando o risco de segurança cibernética para os ambientes IAC. Isso pode incluir, mas não estão limitados a soluções de controle de supervisão e aquisição de dados (Scada), controle local e internet das coisas industriais (IIoT).

A norma deve ser usada no contexto de desenvolvimento, implementação, manutenção e melhoria de um programa de segurança cibernética do IAC, que inclui as políticas, processos, e controles de procedimentos e técnicos para ambientes cibernéticos IAC. Trata-se de um conjunto de requisitos que deve ser customizado antes da implementação usando os processos de gerenciamento de riscos da empresa.

O resultado é um conjunto de requisitos personalizados e específicos da empresa para um programa de segurança cibernética IAC a fim de ajudar a gerenciar a postura de segurança cibernética e qualquer risco residual resultante para seus ambientes IAC em alinhamento com a missão, objetivos e estratégia de risco da empresa, e de acordo com as suas políticas e procedimentos. Embora a identificação de ameaças e impactos seja crítica para o desenvolvimento do programa de segurança cibernética do IAC, uma avaliação baseada no risco de cada um garantirá que o programa seja implementado, executado e sustentado de forma adequada, de acordo com a postura de risco desejada pela organização.

Essa norma se concentra nos resultados de segurança cibernética desejados, definindo requisitos para níveis de proteção de impacto de objetivos de negócios específicos. Embora os princípios definidos nesta norma possam ser aplicados a sistemas instrumentados de segurança (safety instrumented systems – SIS), eles estão fora do escopo deste documento.

Os requisitos de segurança especificados nesta norma não tentam abordar os impactos potenciais para a seleção ou determinação do nível de integridade de segurança (safety integrity level – SIL) do SIS. Qualquer uso desta norma em ambientes SIS fica por conta e risco do implementador. Para as empresas que já têm um programa de segurança cibernética IAC, incluindo uma ou mais políticas de programa aprovadas e um plano ou planos de segurança cibernética IAC documentados implementados ou em implementação, esta norma deve ser considerada um acréscimo aos elementos existentes do programa de segurança cibernética.

Nessas situações, um processo de mapeamento desta norma para os elementos atuais do programa de segurança cibernética da IAC determinará quaisquer requisitos da API 1164 que não estejam atualmente no programa existente. A implementação de quaisquer elementos ausentes deve ser adaptada e priorizada usando os processos de gerenciamento de risco da empresa. O processo de adaptação para os requisitos de segurança cibernética API 1164 é descrito em 5.5.

Conteúdo da norma

1 Escopo. . . . . .. . . . . . . . . . . 1

1.1 Objetivo. . . .. . . . . . . . . . . 1

1.2 Público-alvo. . . . . . . . . . . . 2

1.3 Como ler esta norma . . . . . . . 2

2 Referências normativas. . . . . . . 4

3 Termos, definições, acrônimos e abreviações. .  . . . 4

3.1 Termos e definições. . .. . . . . . . . . . . . . . . . 4

3.2 Siglas. . . . . . . . . . . . . . . . . . . . . . 9

4 Perfis de cibersegurança de dutos IAC de ONG. .  . . 10

4.1 Introdução ao perfil de cibersegurança IAC. …. . 10

4.2 Perfil de segurança cibernética da IAC – restrições comuns………..10

4.3 Perfil de segurança cibernética da IAC – objetivos da proteção contra ameaças. . . . . . . . . . . . . 11

4.4 Perfil de segurança cibernética da IAC – objetivos de missão e negócios. . . . . . . . . . . . . 12

4.5 IAC: perfil de segurança cibernética – objetivos e impacto no mapeamento de proteção contra ameaças. . .  . 13

5 Política, plano e programa de segurança cibernética da ONG e IAC. . . . . . . . . . . . . . . 13

5.1 Plano de desenvolvimento de segurança cibernética da IAC. . . . . . . . . . . . . . . . . . . . . 15

5.2 IAC: plano de segurança cibernética – gerenciamento de risco. . . . .. . . . . . . . 15

5.3 Plano de segurança cibernética da IAC – operacionalizando um programa de segurança cibernética . . . . . . 17

5.4 Perfis de segurança cibernética de seleção de planos de segurança cibernética da IAC. . . . . . . . . . . 18

5.5 Requisitos de perfil selecionado de personalização do plano de segurança cibernética da IAC. . . . . 27

6 ONG IAC: requisitos do perfil de cibersegurança – requirements identify (ID). . . . . . . . 28

6.1 Governança (ID.GV). .. . . . . . . . . 28

6.2 Estratégia de gerenciamento de risco (ID.RM). . 32

6.3 Ambiente de negócios (ID.BE). . . . . . . . . . . . 35

6.4 Gestão de riscos da cadeia de suprimentos (ID.SC)… . 39

6.5 Avaliação de Risco IAC (ID.RA). . . . . . . . . 42

6.6 Gerenciamento de ativos (ID.AM). . . . . . . 49

7 ONG IAC: perfil de cibersegurança – profiles protect (PR)….55

7.1 Controle de acesso (PR.AC). . .  . . . . . 56

7.2 IAC Conscientização e treinamento em segurança cibernética (PR.AT). . . . . . . . . . . . 63

7.3 Segurança de dados (PR.DS).. . . . . . . . 67

7.4 Processos e procedimentos de proteção da informação (PR.IP). . . . . . . . . . . . . . . . 75

7.5 Manutenção (PR.MA). .. . . . . . . . . . . . . 89

7.6 Tecnologia de proteção (PR.PT). . .. . . . . . . . . 92

8 ONG IAC: requisitos do perfil de cibersegurança (detecção – DE). . . .  . . . . . . . . . . . . . 97

8.1 Anomalias e eventos (DE.AE). . .. . . . . . 97

8.2 Monitoramento contínuo de segurança (DE.CM). . .. 100

8.3 Processos de detecção (DE.DP). .. . . . . . . . . . . 106

9 ONG IAC: perfil de cibersegurança dos requisitos de respostas (RS). .  . . . . . . . . . . . . . . 110

9.1 Planejamento de Resposta (RS.RP). . . . . . . . 110

9.2 Comunicações (RS.CO). . .. . . . . . . . . 111

9.3 Análise (RS.AN).. . . . . . . . . . . . . . 114

9.4 Mitigação (RS.MI). . . . . . . . . . . . . . . . 118

9.5 Melhorias (RS.IM). . . . . . . . . . . . . . . . 120

10 ONG IAC: perfil de cibersegurança dos requisitos de recuperação (RC). . . . . . . . . . . . 122

10.1 Planejamento de Recuperação (RC.RP). . . 122

10.2 Melhorias (RC.IM). . . . . . . . . . . . . . . . 122

10.3 Comunicações (RC.CO). .  . . . . . . . . . 124

Anexo A (informativo) Construção e mapeamento da norma API 1164. . . . . .  . . . . . . . 126

Anexo B (informativo) Modelo Plan-Do-Check-Act.  . 129

Anexo C (informativo) Ações recorrentes. . . . . . . . . 131

Bibliografia. . .. . . . . . . . . . . . . . . . . . . . . . . . . . 132

Em resumo, a infraestrutura de dutos – composta por milhares de empresas e mais de 2,7 milhões de quilômetros de dutos responsáveis pelo transporte de petróleo, gás natural e outras commodities – é um facilitador fundamental da segurança econômica mundial. Como os proprietários e os operadores de dutos estão cada vez mais confiando na integração de tecnologias de informação e comunicação (TIC) em tecnologia da informação (TI) e tecnologia operacional (TO) para conduzir a automação, eles também devem implementar medidas de segurança para proteger os dutos de riscos cibernéticos em evolução e emergentes. A integração de dispositivos de TIC em sistemas de dutos críticos cria uma vulnerabilidade que os hackers cibernéticos podem explorar.

BNDES: o calote ao financiamento à exportação de serviços

O Banco Nacional de Desenvolvimento Econômico e Social (BNDES) revelou as informações sobre operações de financiamento à exportação de serviços, tema que vem ganhando repercussão em publicações. Esta divulgação vem esclarecer fatos e está em linha com o conjunto de ações em curso adotadas pelo BNDES para se tomar cada vez mais transparente perante a sociedade brasileira.

Diante da complexidade dos dados, eles são aqui explicados na forma de um resumo didático das operações de financiamento à exportação de serviços por empresas brasileiras com dados de 1998 até junho de 2019, sendo que, em 2017, os desembolsos foram interrompidos. No período, foram liberados US$ 10,5 bilhões em desembolsos para empreendimentos em 15 países, sendo que US$ 10,3 bilhões retornaram em pagamentos do valor principal da dívida e dos juros.

Clique na figura para uma melhor visualização

Do total de pagamentos, 89% foram liberados para empreendimentos em seis países. São eles, em ordem decrescente de valores: Angola (US$ 3,273 bilhões), Argentina (US$ 2,006 bilhões), Venezuela (US$ 1,507 bilhão), República Dominicana (US$ 1,215 bilhão), Equador (US$ 685 milhões) e Cuba (US$ 656 milhões).

Entre as empresas que exportaram os serviços, 98% do valor total foi destinado a obras de cinco delas: Odebrecht (76% do total), Andrade Gutierrez (14%), Queiroz Galvão (4%), Camargo Corrêa (2%) e OAS (2%). Ao todo, 148 operações foram realizadas, com prazo médio de 11 anos e dois meses para pagamento dos financiamentos.

O maior prazo foi concedido pelo Conselho de Ministros da Câmara de Comércio Exterior (Camex) para o projeto do Porto de Mariel, em Cuba, que será pago em 25 anos. Esse caso também foi o único que incorreu em 100% do risco soberano de um país, por aceitar como mitigador de risco de crédito uma conta corrente em Cuba.

Embora o programa de financiamento à exportação de serviços de engenharia tenha sido criado em 1998, 88% do total de US$ 10,5 bilhões em desembolsos ocorreram no período compreendido entre 2007 e 2015. Em 2003, em decorrência da Resolução número 44 aprovada pelo Conselho de Ministros da Camex, Argentina, Equador, Venezuela e República Dominicana tiveram seu custo de financiamento diminuído. Isso ocorreu porque a norma mitigou riscos de crédito das operações na proporção de até 7 (pior nota) para 1 (melhor nota).

A partir de janeiro de 2018, surgiram inadimplementos nos pagamentos de Venezuela (US$ 374 milhões), Moçambique (US$ 118 milhões) e Cuba (US$ 62 milhões), em um valor total de US$ 554 milhões até 30 de junho de 2019. Em 2016, quando começaram as controvérsias envolvendo empresas brasileiras exportadoras de serviços de engenharia, o BNDES, em acordo com o Ministério Público Federal (MPF), passou a exigir das empresas a assinatura de um Termo de Compliance (Conformidade), com rígidas regras de governança, como condição para liberação de recursos.

Clique na figura para uma melhor visualização

Após essa medida, o BNDES reteve US$ 11 bilhões que estavam previstos para serem desembolsados, referentes a 47 operações ativas. Dessa forma, a exportação de serviços, quando bem aplicada, é reconhecida mundialmente como importante instrumento de um país para estímulo à geração de empregos, ao aumento da atividade industrial e à obtenção de saldos positivos em balança comercial.

No Brasil, esses financiamentos são determinados pela administração direta do governo federal, que estabelece as operações, os países de destino das exportações, as principais condições contratuais do financiamento (como valor, prazo, equalização da taxa de juros e seguros) e os mitigadores de risco soberano do país que sedia a obra de engenharia. As responsabilidades diretas do governo no processo incluem a obtenção de aprovações pela empresa brasileira exportadora de serviços junto ao Comitê de Financiamento e Garantia das Exportações (Cofig) e ao Conselho de Ministros da Camex, ambos compostos por representantes dos ministérios.

Já com essas aprovações, o processo chega ao BNDES em sua parte final, onde é enquadrado e analisado. Quando aprovado e com a contratação feita entre a empresa brasileira e o cliente no exterior, ocorrem os desembolsos e o acompanhamento da execução do projeto.

No momento, as operações de financiamento à exportação de serviços feitas pelo BNDES estão sob análise de diversas autoridades legais. O BNDES ativamente colabora com apurações no Tribunal de Contas da União (TCU), na Controladoria-Geral da União (CGU) e na Comissão Parlamentar de Inquérito (CPI) em curso na Câmara dos Deputados.

O BNDES ratifica seu firme propósito de cooperar com os órgãos competentes e abrir todas as informações questionadas pela sociedade brasileira. A divulgação de informações concretas como estas colabora com um debate mais produtivo do papel da instituição no país. 

A transparência é um princípio fundamental à gestão pública do país e um norte para o BNDES recuperar sua credibilidade. As lições aprendidas com o passado tornam o banco mais eficiente para os cidadãos brasileiros e colaboram para sua ação em favor de negócios que levem ao desenvolvimento.

Uma apresentação gráfica com os dados apresentados pode ser encontrada no link: https://www.bndes.gov.br/arquivos/exportacao/bndes-apresentacao-exportacoes-servicos-20190915.pdf

Mais detalhes de todas as operações de financiamento às exportações de serviços podem ser obtidas na planilha Operações de exportação pós-embarque – serviços de engenharia (1998 a 30.06.2019) no seguinte endereço: https://www.bndes.gov.br/wps/portal/site/home/transparencia/centraldedownloads

Saiba mais o que é a concessão florestal

A concessão florestal é uma importante ferramenta para implementar a política nacional de conservação, permitindo o melhor gerenciamento dos ativos ambientais públicos, contribuindo para o combate às atividades ilegais, gerando benefícios sociais e ambientais e promovendo o desenvolvimento econômico de longo prazo em bases sustentáveis. Segundo o Banco Nacional do Desenvolvimento (BNDES), o governo, o setor privado, os pesquisadores, as comunidades e demais atores envolvidos no processo já reconhecem nas concessões florestais um importante instrumento de controle do desmatamento e de estímulo à atividade econômica sustentável. Um exemplo é a concessão da Floresta Nacional de Altamira, no Pará, que vem contribuindo para exploração sustentável e a preservação da floresta.

Deve-se entender que, na concessão florestal, o governo concede ao setor privado o direito de explorar a floresta pública de modo sustentável, por um prazo definido, com contrapartida financeira e obrigações legais e contratuais. A titularidade da terra permanece pública, sob gestão do governo, durante todo período da concessão. Essa é uma das modalidades de gestão previstas na Lei de Gestão de Florestas Públicas (Lei nº 11.284/2006), além da gestão direta pelo governo e do uso comunitário.

Ao longo do período da concessão, os concessionários pagam ao governo uma quantia – que varia em função das condições e resultados de cada concorrência – destinada aos órgãos de meio ambiente, aos estados e municípios onde as florestas estão localizadas e ao Fundo Nacional de Desenvolvimento Florestal. Os recursos são utilizados para promoção da atividade florestal sustentável na região. A concessão busca trazer incentivos para que o concessionário promova a cadeia de produtos florestais e contempla as obrigações do gestor para com as comunidades locais.

Importante afirmar que as concessões florestais pressupõem a existência de um plano de manejo florestal sustentável, que precisa ter passado por licenciamento e aprovação do órgão ambiental competente – Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis (Ibama), no caso de florestas federais; ou órgão estadual de meio ambiente, nos demais. O manejo florestal envolve uma série de técnicas que permitem a exploração contínua e sustentável da floresta, delimitando um limite de exploração por área concedida e um tempo de regeneração da vegetação, antes de nova utilização.

Para elaboração do plano de manejo da área, o interessado deve realizar um levantamento de todas as árvores da espécie que pretende explorar e definir um diâmetro mínimo para elas. Com isso, mesmo após a extração madeireira, é possível garantir a permanência de uma quantidade de árvores capaz de promover a regeneração natural da espécie. As regras de manejo definidas na Resolução Conama nº 406/2009 e em instruções normativas do Ministério do Meio Ambiente (MMA) buscam prover um ambiente em que o ciclo reprodutivo da floresta seja assegurado, de modo que o estoque de cada espécie explorada seja recomposto para novos ciclos.

Deve-se ressaltar que as atividades de fiscalização de florestas federais, que visam identificar, prevenir e combater ilícitos, são executadas pelo Ibama. No caso das concessões florestais, a partir do monitoramento contínuo realizado pelo próprio Ibama e pelo Serviço Florestal Brasileiro (SFB), a fiscalização será acionada quando forem identificados indícios de crime ambiental, como, por exemplo, descumprimento da licença emitida ou mau uso de documentos florestais. Para fiscalização, o SFB realiza o acompanhamento contínuo do Sistema Nacional de Controle de Origem dos Produtos Florestais (Sinaflor) e do Sistema de Cadeia de Custódia (SCC), assim como uma avaliação anual em campo.

Nesta última, são analisadas a implementação e a condução de todas as atividades das concessões florestais, bem como a dinâmica de desenvolvimento da floresta e de possíveis impactos à biodiversidade, por meio de parcelas permanentes (pedaços da floresta que servem como amostra da área de manejo). A prática do manejo florestal sustentável, permitida no regime de concessão florestal, possibilita ao concessionário a exploração de produtos madeireiros, não madeireiros e serviços florestais.

Isso significa que, além da extração de madeira, é possível aproveitar produtos vegetais não lenhosos – incluindo folhas, raízes, cascas, frutos, sementes, gomas, óleos, látex e resinas – e ainda desenvolver atividades de turismo e visitação, educação ambiental, restauração florestal e créditos de carbono decorrentes de recuperação de áreas degradadas. Há, portanto, um amplo mercado a ser explorado, dada a rica biodiversidade e grande área de florestas no Brasil.

Durante os estudos que fundamentam o edital de concessão, são realizados levantamentos de campo e etapas de consulta e audiência pública. Isso visa delimitar as áreas de manejo florestal e as demais condições da concessão, inclusive obrigações do concessionário. Caso sejam identificadas populações residentes ou que façam uso de determinados locais na zona de manejo florestal, essas áreas podem ser excluídas da concessão, de forma a preservar os modos de vida dessas populações.

Além disso, os produtos não madeireiros de uso tradicional e considerados essenciais à subsistência das comunidades locais não são objeto da concessão florestal, sendo garantido o acesso gratuito das comunidades às áreas de coleta. O edital de concessão florestal define as espécies que só podem ser extraídas com autorização especial do Serviço Florestal Brasileiro (SFB) e se não houver prejuízo para o uso comunitário.

Assim, uma floresta só pode ser concedida se for incluída no Plano Anual de Outorga Florestal (PAOF). Antes mesmo da concessão, o PAOF já busca excluir das florestas elegíveis, aquelas destinadas ao uso de povos e comunidades tradicionais, indígenas, agricultores familiares e assentados do Programa Nacional de Reforma Agrária.

A acessibilidade de pessoas com deficiência em trens de longo percurso

Saiba quais são os requisitos para a acessibilidade a pessoas com deficiência e pessoas com mobilidade reduzida, de forma segura, em trens de longo percurso.

A NBR 14020 de 02/2021 – Transporte — Acessibilidade à pessoa — Trem de longo percurso estabelece os requisitos para a acessibilidade a pessoas com deficiência e pessoas com mobilidade reduzida, de forma segura, em trens de longo percurso. Aplica-se tanto aos projetos novos quanto às adaptações dos projetos já existentes.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser feita a identificação dos assentos preferenciais?

Como deve ser delimitado o espaço para cadeira de rodas?

Quais devem ser as dimensões básicas da mesa acessível para refeição?

Quais são os requisitos dimensionais para o lavatório?

As estações e paradas devem atender aos requisitos da NBR 9050 e possibilitar a integração acessível do trem com outros meios de transporte existentes no local. Deve haver local para que as pessoas com deficiência e pessoas com mobilidade reduzida aguardem o embarque com segurança.

A plataforma deve oferecer condições de segurança e conforto, obedecendo aos padrões e critérios de acessibilidade previstos na NBR 9050. O piso deve ser regular, firme, estável e antiderrapante. Os valores das dimensões indicadas pelos limites máximo e mínimo devem ser considerados absolutos.

Quando não definidos os limites para as dimensões deve ser considerada uma tolerância de ± 0,02 m. Todas as portas para embarque, desembarque e internas do carro acessível devem ter um vão livre mínimo de 0,80 m quando abertas.

Nas estações e paradas que tenham um vão e desnível superior a 0,03 m e 0,02 m, respectivamente, entre a plataforma e a porta do carro acessível, a fronteira deve ser transposta utilizando-se dispositivo que permita o embarque e o desembarque com segurança e, preferencialmente, com autonomia. O dispositivo utilizado para o embarque e o desembarque pode estar localizado no carro ou na plataforma.

Para transpor a fronteira entre o local de embarque/desembarque e o interior do carro, deve ser utilizado um dos dispositivos vinculados ao carro, indicados a seguir, ou então a conjugação entre eles: a plataforma elevatória veicular (PEV); ou a rampa de acesso veicular, manual ou motorizada, formada por um único elemento, podendo ser dobrável ou retrátil, para acesso ao piso inferior do carro; ou a rampa de acesso veicular, manual ou motorizada, formada por dois elementos separados e paralelos entre si, podendo ser dobrável ou retrátil, para acesso ao piso inferior do carro; ou a rampa de acesso móvel, manual ou motorizada, podendo ser dobrável ou retrátil.

Outros equipamentos ou dispositivos para transposição de fronteiras podem ser considerados, desde que atendam aos requisitos da NBR 15320. O fabricante dos dispositivos para transposição de fronteiras deve considerar no projeto técnico a compatibilidade com o conjunto carroceria, em especial, relativo à interferência no peso bruto total (PBT), na estrutura e na capacidade de transporte do carro.

Os dispositivos para transposição de fronteiras devem ter as seguintes características mínimas: oferecer condições de utilização segura, confiável, suave e estável; ter piso ou área específica para apoio dos pés, em material com características antiderrapantes, com coeficiente de atrito estático (CAE) mínimo de 0,38, obtido conforme a NBR 15570; dispor de dispositivos de emergência para acionamento do equipamento em casos de falhas durante a operação; não apresentar cantos vivos ou arestas que possam oferecer riscos aos passageiros e operadores.

Exclusivamente para o caso de inoperância ou pane durante a operação dos dispositivos de transposição de fronteira, devem estar estabelecidos procedimentos adequados e alternativas de acessibilidade pelo responsável pelo dispositivo, que garantam segurança no embarque ou desembarque das pessoas com deficiência ou com mobilidade reduzida. Deve ser reservado no mínimo um assento especial, nos carros para o público em geral, e este deve estar próximo à porta principal.

Em caso de impedimento técnico decorrente do projeto de carroceria que possa comprometer o acesso ao assento especial, pode ser admitido o reposicionamento. O assento especial dos carros para o público em geral deve ter no mínimo o mesmo nível de conforto e acabamento que os demais assentos disponíveis no salão de passageiros. A identificação dos assentos especiais dos carros para o público em geral também deve ser realizada por informação aplicada na parede lateral (revestimento) ou no anteparo frontal, conforme a figura abaixo.

As dimensões da identificação devem obedecer aos parâmetros a seguir: dimensões: 220 mm (comprimento) × 95 mm (largura); fonte: tipologia helvética ou similar; cor das letras: preta (aplicação na parede lateral) ou transparente (aplicação no vidro); cor do fundo: branca (aplicação na lateral) ou transparente (aplicação no vidro); cor dos pictogramas: fundo azul-escuro e pictograma branco (aplicação na parede) ou fundo branco e pictograma transparente (aplicação no vidro). Os assentos especiais do carro para o público em geral devem ser identificados pela cor amarela (Munsell 5y 8/12), aplicada no mínimo no protetor de cabeça do assento. Alternativamente, podem ser utilizadas capas substituíveis e laváveis para o apoio de cabeça. Os assentos preferenciais do carro acessível para pessoas com deficiência ou com mobilidade reduzida devem conter cintos de segurança retráteis de três pontos para cada passageiro. Os assentos preferenciais do carro acessível devem ser identificados pela cor amarela (Munsell 5y 8/12) aplicada no mínimo no protetor de cabeça do assento.

Alternativamente, podem ser utilizadas capas substituíveis e laváveis para o protetor (apoio) de cabeça. As dimensões do sanitário acessível devem garantir o posicionamento das peças sanitárias e os seguintes parâmetros de acessibilidade: circulação com giro de 360° para a cadeira de rodas, com diâmetro livre recomendável de 1,50 m no nível do piso, sendo admitido o mínimo de 1,30 m; a área de manobra pode utilizar no máximo uma flecha de 0,20 m sob a projeção da bacia sanitária e de 0,30 m sob a projeção do lavatório no nível do piso; área livre de 1,20 m × 0,80 m, disponível para a transferência da cadeira para a bacia sanitária em pelo menos uma posição, ou lateral, ou perpendicular, ou diagonal; junto à bacia sanitária devem ser instaladas barras para apoio e transferência.

As barras de apoio devem ter seção circular com diâmetro externo de 0,03 m a 0,04 m. Deve existir um lavatório com coluna suspensa, ou lavatório sobre o tampo, em local que não interfira na área de transferência para a bacia sanitária.

No banheiro exclusivo para pessoas com deficiência ou com mobilidade reduzida, os comandos devem ser configurados em alavancas ou sensores de acionamento. O banheiro do carro acessível deve conter botões de emergência audiovisuais, com a sinalização adequada para uso exclusivo da pessoa com deficiência ou com mobilidade reduzida.

 

A gestão dos desafios dos riscos legais enfrentados pelas organizações

Conheça as diretrizes para a gestão dos desafios específicos de riscos legais enfrentados pelas organizações, como um documento complementar à NBR ISO 31000.

A NBR ISO 31022 de 12/2020 – Gestão de riscos — Diretrizes para a gestão de riscos legais fornece diretrizes para a gestão dos desafios específicos de riscos legais enfrentados pelas organizações, como um documento complementar à NBR ISO 31000. A aplicação destas diretrizes pode ser personalizada para qualquer organização e seu contexto. Este documento fornece uma abordagem comum para a gestão de riscos legais e não é específico para uma indústria ou setor.

O risco legal é aquele relacionado a questões legais, regulamentares e contratuais, e de direitos e obrigações extracontratuais. As questões legais podem ter origem em decisões políticas, lei nacional ou internacional, incluindo lei estatutária, jurisprudência ou direito comum, atos administrativos, ordens regulamentares, julgamento e prêmios, regras processuais, memorandos de entendi mento ou contratos.

As questões contratuais se referem às situações em que a organização falha em cumprir suas obrigações contratuais, falha no cumprimento de seus direitos contratuais ou celebra contratos com termos e condições onerosos, inadequados, injustos e/ou inexequíveis. O risco de direitos extracontratuais é o risco de a organização deixar de reivindicar seus direitos extracontratuais. Por exemplo, a falha de uma organização em fazer valer seus direitos de propriedade intelectual, como direitos relacionados a direitos autorais, marcas comerciais, patentes, segredos comerciais e informações confidenciais contra terceiros.

O risco de obrigações extracontratuais é o risco de que o comportamento e a tomada de decisões da organização possam resultar em comportamento ilegal ou uma falha no dever de assistência (ou dever civil) não legislativo para com terceiros. Por exemplo, uma organização infringir direitos de terceiros na propriedade intelectual, uma falha para atender normas necessárias e/ou cuidados devidos a clientes (como mis-selling), ou uso ou gestão de mídias sociais inadequados resultando em alegação por terceiros de difamação ou calúnia e deveres tortuosos em geral.

Confira algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser executado o processo de gestão de riscos legais?

Como definir os critérios de riscos legais?

Como deve ser feita a identificação de riscos legais?

O que inclui a análise de riscos legais?

As organizações operam em um ambiente complexo com uma variedade de riscos legais. Não é apenas requerido que organizações cumpram as leis dentro de todos os países em que operam, os requisitos regulamentares e legais podem variar entre diferentes países, fortalecendo a necessidade de a organização ter confiança e compreensão em seus processos.

As organizações precisam estar alinhadas com as alterações legais e regulamentares, e analisar criticamente suas necessidades à medida que novas atividades e operações são desenvolvidas. As organizações enfrentam considerável incerteza ao tomar decisões e ações que podem ter consequências legais significativas.

A gestão de riscos legais ajuda as organizações a proteger e a aumentar seu valor. Este documento fornece orientações sobre as atividades a serem realizadas para apoiar as organizações a gerenciar riscos legais de maneira eficiente e econômica para atender às expectativas de uma ampla gama de partes interessadas. Ao desenvolver uma compreensão contínua dos contextos legais interno e externo, as organizações podem estar aptas a desenvolver novas oportunidades ou melhorar o desempenho operacional.

No entanto, o não atendimento dos requisitos e expectativas das partes interessadas pode ter consequências negativas consideráveis e imediatas que podem afetar o desempenho, a reputação e poderia levar a Alta Direção a um processo criminal. A NBR ISO 31000 fornece uma estrutura genérica para a gestão de todos os tipos de riscos, incluindo riscos legais. Este documento está alinhado com a NBR ISO 31000 e fornece diretrizes mais específicas aplicáveis à gestão de riscos legais.

O objetivo deste documento é desenvolver um entendimento melhorado da gestão de riscos legais enfrentados por uma organização que aplica os princípios da NBR ISO 31000. Estas diretrizes tem o objetivo de ajudar as organizações e a Alta Direção a: alcançar os resultados e objetivos estratégicos da organização; incentivar uma abordagem mais sistemática e consistente da gestão de riscos legais, e identificar e analisar uma ampla gama de questões de maneira que os riscos legais sejam proativamente tratados com os recursos apropriados e apoiados pela Alta Direção e pelo nível adequado de conhecimento; entender e avaliar melhor a extensão e as consequências de questões e riscos legais e exercer a due diligence apropriada; identificar, analisar e avaliar questões legais e fornecer uma maneira sistemática de tomar decisões informadas; aumentar e incentivar constantemente; a identificação das oportunidades de melhoria contínua.

Convém observar que o risco legal dentro deste documento é amplamente definido e não está limitado a, por exemplo, riscos relacionados com a compliance ou questões contratuais. Inclui isso, mas o risco legal é deliberadamente definido para incluir também riscos de ou para terceiros, onde pode não haver relação contratual, mas onde pode haver uma possibilidade de litígio ou outra ação, dependendo das obrigações contratuais destas terceiras partes com suas partes interessadas.

Este documento fornece orientações para a gestão de riscos legais para que ele se alinhe às atividades de compliance e fornece a garantia necessária para atender às obrigações e aos objetivos da organização; pode ser usado por organizações de todos os tipos e tamanhos para oferecer uma abordagem mais estruturada e consistente à gestão de riscos legais em benefício da organização e de suas partes interessadas em todos os processos. Oferece uma abordagem de gestão integrada à identificação, antecipação e gestão de riscos legais

Igualmente, apoia e complementa as abordagens existentes, aprimorando-as fornecendo melhores informações e insights sobre possíveis questões que a organização possa enfrentar; apoia qualquer procedimento de compliance, que as organizações podem ter implementado, tal como compliance ou outro sistema de gestão; apoia a função de compliance, identificando de maneira mais ampla os aspectos legais e contratuais dos direitos e deveres da organização. Este documento está destinado para que as organizações que o aplicam se beneficiem de melhores resultados comerciais e operacionais como na melhoria de reputação, melhor retenção de funcionários, relacionamentos aprimorados com as partes interessadas e maiores sinergias entre recursos e capacidades.

Embora este documento se destine a ser usado como parte da estrutura da NBR ISO 31000, convém observar que a sua estrutura pode ser usada tanto de forma independente como com outros sistemas de gestão. Este documento não se destina a ser um substituto para os proprietários de riscos que buscam aconselhamento jurídico especializado (interno ou externo); se aplicar ao processo de elaboração ou no lobby de novas leis ou mudanças nas leis existentes. A gestão eficaz de riscos legais requer os valores e princípios introduzidos na NBR ISO 31000, conforme apresentado na figura abaixo.

Os oito elementos são descritos em seguida no contexto da gestão de riscos legais. Adicionalmente, para a gestão do risco legal, convém que o princípio da equidade também seja considerado. A gestão de riscos legais é integrante para a governança global da organização. Convém que as atividades do processo de gestão de riscos legais sejam incorporadas ao planejamento estratégico, às tomadas de decisões de negócios, e aos processos de gestão da organização.

Para a integração da gestão de riscos legais nos processos e atividades organizacionais, convém que papéis e responsabilidades apropriados sejam estabelecidos dentro da organização. Convém que a gestão de riscos legais seja integrada a outros sistemas de gestão, como compliance, segurança, qualidade e controles internos. Ao avaliar os riscos legais e considerar as opções de tratamento, convém que os especialistas no assunto sejam consultados em conjunto com outros peritos ou especialistas.

Ao seguir o processo genérico de gestão de riscos, é importante avaliar os riscos legais da organização, dentro de um contexto apropriado, para que uma abordagem abrangente e consistente à gestão de riscos legais possa ser adotada. Convém que a gestão de riscos legais em uma organização seja personalizada para refletir as diferenças do contexto externo, que inclui o contexto legal e regulatório e as características do setor, bem como o contexto interno da organização, incluindo a natureza da entidade legal, objetivos e valores da organização.

Convém que a organização tenha um entendimento detalhado da aplicabilidade, impacto e consequências da falha em cumprir leis pertinentes, e processos para assegurar que leis novas ou atualizadas aplicáveis sejam adequadamente identificadas, avaliadas em relação ao impacto e interpretadas. Convém que a organização minimize a complexidade e o custo dos procedimentos legais. Convém que a organização tente minimizar e gerenciar as consequências negativas de riscos legais.

As organizações podem buscar ativamente oportunidades para evitar disputas ou litígios, tomando medidas para tratar riscos legais antes que um evento adverso ocorra, ou provavelmente ocorra, ou tente chegar a um acordo de maneira que equilibre custos, objetivos comerciais, reputação e tempo investido pela organização. Ao envolver todas as partes interessadas na gestão de riscos legais, uma organização pode mitigar eventos adversos; incluindo aplicação regulatória.

Convém que a organização tome cuidado para assegurar que privilégios legais (ou sua forma equivalente de proteção na jurisdição pertinente) sejam mantidos na medida do possível e que a confidencialidade seja mantida, mas, em ambos os casos, essas proteções precisam ser avaliadas em relação aos benefícios da inclusão. É importante para uma organização monitorar mudanças nas leis e políticas públicas e no contexto em que opera, e estabelecer indicadores apropriados de alerta precoce.

Para a gestão eficaz de riscos legais, além da experiência de consultores jurídicos internos, se existentes, convém que inteligência de negócios, análise de negócios, bancos de dados e sistemas jurídicos (incluindo gestão de casos), ferramentas e serviços de gestão de arquivos eletrônicos e know-how fornecido por leis externas as empresas, prestadores de serviços e consultores sejam utilizados. Dado que as partes interessadas podem ter conhecimentos, expectativas e visões diferentes em relação aos riscos legais e que essas visões podem ser emocionalmente, socialmente, culturalmente e politicamente construídas e percebidas, convém que a organização desenvolva mecanismos formais e informais para ajudar a assegurar que fatores humanos e culturais não resultem adversamente em riscos legais.

Convém que as organizações também procurem incentivar a realização, os benefícios e as oportunidades da gestão destes riscos. Convém que todo membro da organização esteja ciente de como cada ação ou omissão afeta os riscos legais. Convém que a organização considere e aja de acordo com as lições aprendidas, publique análises críticas de transações, melhores práticas, aconselhamento profissional de advogados internos e externos e alterações aplicáveis na lei.

Para os tomadores de decisão, o estabelecimento do princípio da equidade orienta a gestão de riscos legais, inclui a gestão de conflitos de interesses e fornece uma voz imparcial e independente nas decisões, além de apoiar a due diligence e imparcialidade para os melhores interesses de uma organização. O contexto externo dos riscos legais se refere a fatores que estão fora da organização, mas relacionados à gestão de riscos legais.

Todo esse processo inclui as leis locais e internacionais pertinentes e mudanças nas leis locais e internacionais pertinentes; sindicatos e organizações de empregadores; os serviços externos de provedores e consultores de apoio à gestão de riscos legais, como escritórios de advocacia, auditores externos, e serviços fornecidos de gestão de informação e análise; as partes interessadas externas, como empresas, organizações da sociedade civil, organismos regulatórios, governos locais, público e comunidades de interesse, imprensa e mídia e grupos de interesses especiais, e suas expectativas em relação à gestão de riscos legais; quaisquer atos ou omissões de terceiros, como conduta fraudulenta e enganosa por terceiros; acordos internacionais aplicáveis, memorandos de entendimento; as condições de mercado aplicáveis relacionadas à organização; as ações ou reclamações de terceiros; e as leis dos países onde os produtos/ serviços fornecidos são entregues ou fornecidos.

Ao examinar e entender o contexto externo de riscos legais para organizações que operam em várias jurisdições, convém que as diferenças ambientais e culturais entre diferentes jurisdições sejam consideradas. A aplicação extraterritorial das leis nacionais e qual lei da jurisdição se aplica a uma determinada situação (isto é, conflito de leis e reconhecimento mútuo de leis) e a identificação da jurisdição aplicável também pode requerer consideração.

O contexto interno dos riscos legais está substancialmente no controle ou sujeito à autoridade de uma organização por meio de seus sistemas de governança e gestão. Isso inclui a natureza da pessoa jurídica; a saúde financeira organizacional e seu modelo de negócios; a estrutura jurídica interna da organização, processos e funções; a governança da organização e suas estruturas de valor que promovem a integridade, como código de conduta e outras diretrizes de compliance; o atual estado das questões e assuntos legais e sua abordagem para a gestão de riscos legais; as campanhas de conscientização sobre orientação e melhoria contínua do desempenho em questões de riscos legais para as partes interessadas, sistemas e acordos para melhorar o comportamento das partes interessadas em relação às leis e impedir a conduta fraudulenta e enganosa, como os sistemas de gestão de compliance; a experiência passada e histórico de disputas ou eventos legais desencadeados por risco legal na organização; os ativos que a organização possui, como propriedade intelectual e outros direitos legais para ativos tangíveis e intangíveis usados em processos e atividades; o efeito de direitos e deveres sob contrato; obrigações relacionadas ao dever de cuidar; a negligência e efeitos desencadeadores de indenizações, garantias e cláusulas de não confiança em contratos; os passivos decorrentes de questões trabalhistas, ambientais, tributárias e outras, decorrentes de fusões, aquisições e alienações; a política interna de gestão de riscos legais; outras informações e recursos relacionados aos riscos legais e sua gestão.

A probabilidade de eventos relacionados a riscos legais pode envolver os seguintes fatores: a gama de leis, juntamente com práticas e convenções de execução pelas autoridades reguladoras pertinentes; a melhoria e o compliance da estrutura existente para a gestão de riscos legais, incluindo estratégias, governança, regras internas e políticas; os funcionários e contratados demonstrarem compliance com as leis e as regras e políticas da organização; a frequência e o número de atividades relacionadas aos riscos legais que ocorrem dentro de um determinado período; a falha em registrar, analisar e aprender com eventos anteriores; o benchmarking da frequência e o número de atividades relacionadas a riscos legais que ocorrem dentro de um certo período contra outras organizações. O Anexo C fornece orientações adicionais sobre como estimar a probabilidade de eventos relacionados a riscos legais.