A conformidade da cadeia de custódia para os produtos de base florestal

A NBR 14790 de 10/2021 – Cadeia de custódia de produtos de base florestal – Requisitos estabelece os requisitos a serem atendidos por qualquer organização que busca implementar uma cadeia de custódia para produtos de base florestal e fazer declarações aos clientes sobre a origem de seus produtos a partir de florestas manejadas de forma sustentável, material reciclado e fontes controladas. Esses requisitos da cadeia de custódia descrevem um processo de como classificar os produtos de base florestal de acordo com as categorias de material específicas, a fim de fornecer informações sobre a fonte da matéria prima adquirida para os produtos finais da organização.

Essa norma especifica as três opções de abordagens para a cadeia de custódia: o método de separação física, o método de porcentagem e o método de crédito. Também especifica os requisitos do sistema de gestão para a implementação e gestão do processo de cadeia de custódia, incluindo requisitos sobre saúde, segurança e questões trabalhistas. O Anexo A especifica a implementação dessa norma por organizações com multissites.

Essa norma é implementada para fins de avaliação da conformidade e aplicada juntamente às declarações de avaliação da conformidade de material de base florestal. Esta avaliação da conformidade é considerada de produto e segue a NBR ISO/IEC 17065. A utilização de declarações e rótulos relacionados, como resultado da implementação desta norma, é baseada na NBR ISO 14020. A consideração de material reciclado dentro da cadeia de custódia é baseada nos requisitos da NBR ISO/IEC 14021. A rotulagem de produtos é considerada uma ferramenta de comunicação opcional, que pode ser incorporada no (s) processo (s) da cadeia de custódia da organização, na qual a organização aplica as marcas registradas para rotulagem no produto ou fora do produto e em que os requisitos para o uso da marca tornam-se parte integrante dos requisitos da cadeia de custódia.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Em relação à terceirização, o que fazer com as atividades abrangidas pela cadeia de custódia?

O que é o método de separação física para implementar a cadeia de custódia?

Quais são os requisitos do sistema de due diligence (DDS)?

Quais são os critérios de elegibilidade para organização multissite?

O objetivo dessa norma é permitir que as organizações forneçam informações fidedignas e verificáveis de que seus produtos de base florestal são provenientes de florestas manejadas de forma sustentável, submetidas à avaliação da conformidade, material reciclado e fontes controladas. A aplicação prática e a conformidade em relação a essa norma permitem que as organizações demonstrem sua contribuição na gestão sustentável de recursos e um forte comprometimento com os Objetivos de Desenvolvimento Sustentável (ODS) da ONU.

O objetivo de comunicar a origem dos produtos de base florestal é estimular a demanda e o fornecimento desses produtos originários de manejo florestal sustentável e estimular, assim, o potencial para a melhoria contínua orientada ao mercado de manejo florestal mundial. O objetivo de comunicar a origem dos produtos de base florestal é estimular a oferta, a demanda e o fornecimento de produtos originários de manejo florestal sustentável e estimular, assim, o potencial de melhoria contínua do manejo florestal mundial, por meio de uma força de mercado.

A organização deve operar um sistema de gestão de acordo com os requisitos dessa norma, para garantir a correta implementação e manutenção do (s) processo (s) de cadeia de custódia. O sistema de gestão deve ser adequado ao tipo, escala e volume de trabalho realizado e abranger as atividades terceirizadas pertinentes para a cadeia de custódia da organização e para todos os sites, no caso de organizações multissites, conforme o Anexo A.

A organização deve definir o escopo de sua cadeia de custódia, especificando os grupos de produtos para os quais os requisitos da cadeia de custódia são implementados. Deve fazer somente declarações de conformidade e afirmações que sejam o melhor de seu conhecimento e abrangidas pela cadeia de custódia apresentada nessa norma.

A organização deve estabelecer procedimentos documentados para sua cadeia de custódia. Os procedimentos documentados devem incluir pelo menos os seguintes elementos: as responsabilidades e as autoridades relacionadas com a cadeia de custódia; a descrição do fluxo de matéria prima dentro do (s) processo (s) de produção/comercialização, incluindo a definição de grupos de produtos; os procedimentos para processo (s) de cadeia de custódia cobrindo todos os requisitos dessa norma, incluindo a identificação de categorias de materiais; a separação física de materiais em conformidade, de materiais de fontes controladas e de outros materiais; a definição de grupos de produtos, cálculo de conteúdo em conformidade, gestão de contas de crédito, transferência de produção (para organizações que aplicam o método de porcentagem ou de crédito); venda/transferência e declarações de conformidade dos produtos; a manutenção de registros; as auditorias internas e controle de não conformidade; o sistema de due diligence; a resolução de reclamações; e a terceirização.

A gestão da organização deve definir e documentar seu compromisso de implementar e manter os requisitos da cadeia de custódia de acordo com essa norma. O compromisso da organização deve ser disponibilizado para os colaboradores da organização, fornecedores, clientes e outras partes interessadas. A gestão da organização deve nomear um membro da gestão que, independentemente de outras responsabilidades, deve ter responsabilidade total e autoridade sobre a cadeia de custódia da organização.

Para fornecer evidências de conformidade com os requisitos dessa norma, a organização deve estabelecer e manter, pelo menos, os seguintes registros relativos aos grupos de produtos abrangidos por sua cadeia de custódia: os registros de todos os fornecedores de insumos entregues com uma declaração de conformidade, incluindo as evidências do status da avaliação da conformidade dos fornecedores; os registros de todo o material de entrada, incluindo declarações de conformidade, documentos associados à entrega do material de entrada e, para o material de entrada reciclado, informações que demonstrem que a definição de material reciclado é atendida; os registros de cálculo do conteúdo em conformidade, transferência da porcentagem para produtos de saída e a gestão da conta de crédito, conforme aplicável; os registros de todos os produtos vendidos/transferidos, incluindo declarações de conformidade e documentos associados à entrega dos produtos de saída; os registros do sistema de due diligence, incluindo registros de avaliações de risco e manejo de suprimentos de risco significativo, conforme aplicável; os registros de auditorias internas, análise crítica periódica da cadeia de custódia, não conformidades e ações corretivas; e os registros de reclamações e suas resoluções.

A organização deve manter os registros por um período mínimo de cinco anos. Deve garantir e demonstrar que todo o pessoal que realiza atividades que afetem a implementação e a manutenção de sua cadeia de custódia são competentes com base em treinamento, educação, habilidades e experiência. Deve identificar, fornecer e manter a infraestrutura e as instalações técnicas necessárias para a implementação e manutenção eficazes de sua cadeia de custódia com os requisitos dessa norma.

A organização deve realizar auditorias internas pelo menos uma vez por ano e antes da auditoria inicial da avaliação da conformidade, abrangendo todos os requisitos dessa norma aplicáveis à organização, incluindo atividades relacionadas à terceirização, e estabelecer medidas corretivas e preventivas, se requerido. A orientação informativa para a realização de auditorias internas é fornecida na NBR ISO 19011.

A gestão da organização deve analisar criticamente o resultado da auditoria interna e sua cadeia de custódia, pelo menos anualmente. A organização deve estabelecer procedimentos para as reclamações de fornecedores, clientes e outras partes relacionadas com sua cadeia de custódia, refletindo os requisitos descritos a seguir.

Após o recebimento de uma reclamação por escrito, a organização deve: informar ao reclamante sobre o recebimento da reclamação no prazo de dez dias úteis; reunir e verificar todas as informações necessárias para avaliar e validar a reclamação e tomar uma decisão sobre a reclamação; comunicar formalmente ao reclamante a decisão e o tratamento da reclamação; e garantir que as ações corretivas e preventivas apropriadas sejam tomadas, se necessário.

Quando uma não conformidade com os requisitos dessa norma for identificada por meio de auditoria interna ou externa, a organização deve: reagir à não conformidade e, conforme aplicável: tomar medidas para controlar e corrigir; tratar as consequências; avaliar a necessidade de ação para eliminar as causas da não conformidade, a fim de que não ocorra novamente ou que não ocorra em outro lugar, por: análise crítica da não conformidade; determinação das causas da não conformidade; determinação de não conformidades semelhantes ocorrendo ou com potencial de ocorrerem; implementar qualquer ação necessária; analisar criticamente a eficácia de qualquer ação corretiva tomada; e fazer alterações no sistema de gestão, se necessário.

A ação corretiva deve ser apropriada aos efeitos das não conformidades encontradas. A organização deve manter informações documentadas como evidência: da natureza das não conformidades e quaisquer ações subsequentes tomadas; dos resultados de qualquer ação corretiva.

Incorporando a gestão do compliance aos requisitos antissubornos

O suborno é um fenômeno generalizado. Ele causa sérias preocupações sociais, morais, econômicas e políticas, debilita a boa governança, dificulta o desenvolvimento e distorce a competição. Corrói a justiça, mina os direitos humanos e é um obstáculo para o alívio da pobreza.

O suborno também aumenta o custo de fazer negócios, introduz incertezas nas transações comerciais, eleva o custo dos bens e serviços, diminui a qualidade dos produtos e serviços, o que pode levar à perda de vidas e propriedades, destrói a confiança nas instituições e interfere na operação justa e eficiente dos mercados. Trata-se de uma oferta, promessa, doação, aceitação ou solicitação de uma vantagem indevida de qualquer valor (que pode ser financeiro ou não financeiro), direta ou indiretamente, e independente de localização (ões), em violação às leis aplicáveis, como um incentivo ou recompensa para uma pessoa que está agindo ou deixando de agir em relação ao desempenho das suas obrigações. A função do compliance antissuborno envolve a (s) pessoa (s) com responsabilidade e autoridade para a operação do sistema de gestão antissuborno. A due diligence é um processo para aprofundar a avaliação da natureza e extensão dos riscos de suborno e ajudar as organizações a tomar decisões em relação a transações, projetos, atividades, parceiros de negócio e pessoal específico.

Hoje, muitas organizações têm uma pessoa dedicada (por exemplo, compliance officer) responsável pela gestão do compliance no dia a dia e algumas têm um comitê de compliance interfuncional, para coordenar o compliance em toda a organização. A função de compliance trabalha em conjunto com a gestão.

Nem todas as organizações criarão uma função de compliance discreta, pois algumas atribuirão a essa função seria uma posição já existente ou irão terceirizar esta função. Ao terceirizar, convém que a organização considere não atribuir toda a função de compliance para terceiras partes.

Mesmo se ela terceirizar parte desta função, deve considerar manter a autoridade sobre ela e que supervisione estas funções. Ao alocar a responsabilidades pelo sistema de gestão de compliance, deve-se considerar a possibilidade de assegurar que a função de compliance demonstre a integridade e o comprometimento com o compliance; a comunicação eficaz e habilidades para influenciar; uma capacidade e posição para comandar a aceitação de conselhos e orientações; competência pertinente no projeto, na implementação e na manutenção do sistema de gestão do compliance; a assertividade, conhecimento do negócio e experiência para testar e desafiar; uma estratégia, e uma abordagem proativa para o compliance; o tempo suficiente disponível para cumprir as necessidades da função.

Dessa forma, a função de compliance deve ter autoridade, status e independência. Autoridade significa que a função de compliance é atribuída de grande poder pelo órgão diretivo e pela alta direção. Status significa que outras pessoas estão na posição de ouvir e respeitar essa opinião. Independência significa que a função de compliance não está, na medida do possível, envolvida pessoalmente nas atividades que estão expostas a riscos de compliance. Por isso, a função de compliance deve estar livre de conflitos de interesses para cumprir integralmente o seu papel.

A NBR ISO 37301 de 06/2021 – Sistemas de gestão de compliance – Requisitos com orientações para uso especifica os requisitos e fornece diretrizes para estabelecer, desenvolver, implementar, avaliar, manter, e melhorar um sistema de gestão de compliance eficaz dentro de uma organização. A NBR ISO 37001 de 03/2017 – Sistemas de gestão antissuborno – Requisitos com orientações para uso especifica requisitos e fornece orientações para o estabelecimento, implementação, manutenção, análise crítica e melhoria de um sistema de gestão antissuborno.

Os sistemas podem ser independentes ou podem ser integrados a um sistema de gestão global. Pode-se dizer que o compliance é um processo contínuo e o resultado de uma organização que cumpre suas obrigações. Torna-se sustentável ao ser incorporado na cultura da organização, e no comportamento e na atitude das pessoas que trabalham para ela.

Enquanto mantém sua independência, é preferível que a gestão de compliance seja integrada com os outros processos de gestão da organização e os seus requisitos e procedimentos operacionais. Um sistema de gestão de compliance eficaz em toda a organização permite que uma organização demonstre seu comprometimento em cumprir leis pertinentes, requisitos regulamentares, códigos setoriais da indústria e normas organizacionais, assim como normas de boa governança, melhores práticas geralmente aceitas, ética e expectativas da comunidade.

A informação documentada é aquela que se requer que seja controlada e mantida por uma organização e o meio no qual ela está contida. Ela pode ser integrada pelos dois sistemas. A informação documentada pode estar em qualquer formato e meio e pode ser proveniente de qualquer fonte, além de poder se referir ao sistema de gestão, incluindo processos relacionados; a informação criada para a organização operar (documentação); a evidência de resultados alcançados (registros). Para se entender melhor, a figura abaixo provê uma visão geral dos elementos comuns de um sistema de gestão de compliance.

Além disso, a organização deve analisar os riscos de compliance considerando as causas-raiz e as fontes do não compliance e as consequências destas, ao mesmo tempo em que deve incluir a probabilidade de que estas ramificações possam ocorrer. As consequências podem incluir, por exemplo, os danos ambientais e pessoais, as perdas econômicas, os danos à reputação, as mudanças administrativas e as responsabilidades civis e criminais envolvidas no suborno.

A identificação dos riscos de compliance inclui as fontes de risco de compliance e a definição das situações de risco de compliance. As empresas devem identificar as fontes de riscos de compliance, incluindo o suborno, dentro dos vários departamentos, funções e diferentes tipos de atividades organizacionais, de acordo com as responsabilidades do departamento, as responsabilidades profissionais e os diferentes tipos de atividades organizacionais. A organização deve identificar regularmente as fontes dos riscos de compliance e definir as correspondentes situações de riscos de compliance para cada fonte de risco de modo a desenvolver uma lista das fontes de risco e uma lista de situações de riscos.

Para se ter uma cultura de compliance, ética, e riscos de subornos, a empresa deve ter um conjunto de valores publicado de forma clara; possuir uma gestão ativa e que visivelmente implemente e respeite os valores; consistência no tratamento das não compliances, independentemente da posição; mentoriamento, coaching e liderança pelo exemplo; uma apropriada avaliação na pré-contratação de pessoas potenciais para as funções críticas, incluindo due diligence; um programa de indução ou orientação que enfatize o compliance e os valores da organização; treinamento contínuo do compliance, incluindo as atualizações para o treinamento de todas as pessoas e partes interessadas pertinentes; uma comunicação contínua sobre as questões de compliance e de subornos; os sistemas de avaliação de desempenho que considerem a avaliação do comportamento do compliance e antissuborno e considerem o pagamento por desempenho para alcançar os resultados e os indicadores-chave de desempenho; um reconhecimento visível das realizações na gestão e nos resultados de compliance; um ágil e proporcional processo disciplinar para os casos de violações dolosas ou negligentes, das obrigações de compliance; uma clara relação entre a estratégia da organização e os papéis individuais, enfatizando o compliance como essencial para alcançar os resultados organizacionais; uma comunicação apropriada e aberta sobre compliance, tanto internamente como externamente.

A evidência sobre uma cultura de compliance é indicada pelo grau no qual: os itens anteriores estão implementados; as partes interessadas (especialmente as pessoas) acreditam que os itens anteriores foram implementados; o pessoal entende a relevância das obrigações de compliance relativas as suas próprias atividades como também as de sua unidade de negócios; as ações corretivas para abordar não compliance são de propriedade e acionadas em todos os níveis apropriados da organização, conforme requerido; o papel da função de compliance e seus objetivos são valorizados; as pessoas estão capacitadas e encorajadas para levantarem preocupações de compliance aos níveis apropriados da direção, incluindo a alta direção e o órgão diretivo.

A empresa pode escolher implementar este sistema de gestão antissuborno como um sistema separado ou como uma parte integrada de um sistema global de compliance. A organização pode ainda escolher implementar o sistema de gestão antissuborno em paralelo ou como parte de outros sistemas de gestão, como os da qualidade, meio ambiente e segurança da informação. Nesse caso, a organização pode fazer referência às NBR ISO 9001, NBR ISO 14001 e NBR ISO/IEC 27001), bem como às NBR ISO 26000 e NBR ISO 31000.

Na gestão integrada dos dois sistemas de gestão, deve-se levar em conta, embora exista risco de suborno em relação a muitas transações, que uma organização deve implementar um nível mais abrangente de controle antissuborno sobre uma transação de alto risco do que sobre uma transação de baixo risco de suborno. Nesse contexto, é importante compreender que a identificação e a aceitação de um baixo risco de suborno não significam que a organização aceita o fato de o suborno ocorrer, ou seja, o risco de ocorrência do suborno.

Se uma propina pode ocorrer não é o mesmo que a ocorrência do suborno. A organização pode ter tolerância zero para a ocorrência de suborno, enquanto ainda envolver negócios e situações em que haja baixo risco de suborno, ou mais do que um baixo risco, desde que sejam aplicadas medidas de mitigação adequadas. Tendo avaliado os riscos de suborno pertinentes, a organização pode, então, determinar o tipo e o nível de controles a serem aplicados a cada categoria de risco e pode avaliar se os controles existentes são adequados.

Jornada das Águas vai percorrer dez estados com inaugurações, anúncios e entregas que buscam emancipar a população do semiárido brasileiro

Delimitação do semiárido mantém formação atual e inclui 54 novos municípios  — Português (Brasil)

Nesta segunda-feira (18), o governo federal, por meio do Ministério do Desenvolvimento Regional (MDR), dá início à Jornada das Águas, roteiro que partirá da nascente histórica do Rio São Francisco, no norte de Minas Gerais, e percorrerá os nove estados do Nordeste com anúncios e entregas de obras de infraestrutura, preservação e recuperação de nascentes e cursos d’água, saneamento, irrigação, apoio ao setor produtivo e aos municípios, além de mudanças normativas que vão revolucionar a maneira como o brasileiro se relaciona com a água. Serão 10 dias de viagem pela região do semiárido, em que o ministro do Desenvolvimento Regional, Rogério Marinho, acompanhado de gestores e secretários da pasta, levará a estrutura do governo para apoiar as regiões mais deprimidas economicamente no país.

O conjunto de ações da Jornada das Águas se baseia no entendimento de que é preciso garantir que a água chegue às pessoas, mas também que ela continue disponível para as próximas gerações. “Não existe desenvolvimento econômico sem água. A água é o principal insumo estratégico do Brasil. Ela está nos alimentos que exportamos, na energia, na indústria, na saúde, sem ela não há vida. É por isso que o governo do presidente Jair Bolsonaro vem atuando para garantir que a água chegue às pessoas, mas também para que ela seja preservada e continue disponível para as próximas gerações”, explica o ministro Rogério Marinho.

O roteiro vai começar na cidade de São Roque de Minas, em Minas Gerais, e vai terminar em Propriá, em Sergipe, no dia 28 de outubro. Nesse período, serão promovidas ações que têm como essência quatro eixos: de infraestrutura, com entregas, inaugurações e anúncios de obras que levarão água aos moradores das regiões mais secas do País; de sustentabilidade, com ações de saneamento básico e de preservação, conservação e recuperação de bacias hidrográficas; de desenvolvimento econômico e social, com apoio a projetos de irrigação e para estruturação de cadeias produtivas locais, promovendo a geração de emprego e renda a partir de uma convivência sustentável das comunidades com o meio ambiente; e de melhoria da governança, com a lançamento de normativos estruturantes.

“Nós estamos modernizando a regulação sobre o setor. Começamos com o estabelecimento de um novo marco do saneamento e agora estamos propondo um novo marco hídrico, que vai permitir uma maior participação da iniciativa privada nos investimentos estruturantes de integração e recuperação das nossas bacias hidrográficas, otimizando o uso das suas águas e trazendo mais segurança hídrica, principalmente em época de seca”, explica o ministro. “Precisamos contornar os problemas crônicos de seca no Nordeste com inovação, investimento e, principalmente, com um pacto nacional que priorize enfrentar a questão”, completa o ministro.

Em cada estado visitado pela Jornada das Águas, serão entregues ou iniciadas obras e projetos que viabilizarão a infraestrutura hídrica necessária para que a água chegue às regiões mais secas. Em Pernambuco, a inauguração do Ramal do Agreste marca o início da realização de um sonho da população local. Após a conclusão da Adutora do Agreste, o ramal levará água às casas de mais de 2 milhões de pessoas em 68 cidades da região com mais escassez hídrica do estado. Essa obra significa um investimento de R$ 1,6 bilhão, sendo que R$ 1,3 bi foram aportados no governo Bolsonaro.

Outra obra fundamental é a construção do Ramal do Salgado, no Ceará, que irá beneficiar 4,7 milhões de pessoas em 54 municípios. O anúncio do início das suas obras está confirmado durante a jornada, com investimentos públicos previstos de R$ 600 milhões. Destaque, ainda, para a entrega do subsistema Água Branca, no Canal do Sertão Alagoano, no valor de R$ 52 milhões.

Novos patrocinadores do Programa Águas Brasileiras serão anunciados nesta Jornada e também será publicado o 2º Edital de Chamamento de Projetos do Programa, ampliando a atuação para todas as bacias hidrográficas do País. A Caixa vai patrocinar o projeto Nascentes Vivas, no valor de R$ 10 milhões, para recuperar 1,5 mil nascentes na Bacia do Rio Verde Grande, ao longo de 27 municípios de Minas Gerais. Já a empresa MRV irá apoiar o projeto Agroflorestando Bacias para Conservar Águas, que implantará 60 sistemas agroflorestais em duas comunidades quilombolas do município do Muquém do São Francisco, na Bahia.

Além disso, a revitalização e a preservação dos recursos hídricos do País ganham o reforço de recursos previstos no processo de capitalização da Eletrobras. As bacias do Rio São Francisco e do Rio Parnaíba contarão com investimentos da ordem de R$ 3,5 bilhões, a serem aplicados ao longo de 10 anos. Outros R$ 2,3 bilhões estão previstos para as bacias na área de influência dos reservatórios das usinas hidrelétricas de Furnas.

Na área de desenvolvimento regional, uma das principais ações do MDR é o fomento às Rotas de Integração Nacional, que são redes de arranjos produtivos locais associadas a cadeias produtivas estratégicas capazes de promover a inclusão e o desenvolvimento sustentável das regiões brasileiras priorizadas pela Política Nacional de Desenvolvimento Regional (PNDR). Ao longo da jornada, haverá exposições de produtos produzidos pelas Rotas do Mel, Cordeiro e Leite nas cidades de São Roque de Minas (MG), Sertânia (PE) e Propriá (SE). Também haverá um workshop sobre fruticultura, outra importante frente do projeto, na cidade de Juazeiro (BA).

Obras e investimentos na área de irrigação também serão anunciados, promovendo melhorias nos Perímetros Públicos de Irrigação, que são indutores de desenvolvimento local ao garantir emprego e renda. Na Bahia, será lançado o 1º edital de concessão de um projeto de irrigação em parceria com a iniciativa privada, o Baixio de Irecê, qualificado na carteira do Programa de Parcerias de Investimentos (PPI) e que conta com recursos estimados em R$ 700 milhões para ampliação de mais de 30 mil hectares irrigados. Os perímetros irrigados Gorutuba e Jaíba, em Minas Gerais, e Jacaré Curituba, em Sergipe, também serão beneficiados com melhorias.

A Superintendência do Desenvolvimento do Nordeste (Sudene) vai apresentar o Plano de Ação Estratégica para a bacia hidrográfica do Rio São Francisco e área de influência do Projeto de Integração do São Francisco e do Rio Parnaíba, que se encontra em elaboração. Outra iniciativa a ser anunciada é a criação de um fundo com o objetivo de viabilizar a estruturação e o desenvolvimento de projetos de concessão e parcerias público-privadas (PPPs) da União, dos estados, do Distrito Federal e dos municípios do País. Com a sanção da Lei que converteu a Medida Provisória 1.052/ 2021 e a edição do Decreto de regulamentação, o fundo poderá apoiar todo o ciclo de projetos de concessões e de parcerias público-privadas.

O anúncio do Marco Hídrico durante a Jornada é mais uma ação com objetivo de promover o desenvolvimento e a segurança hídrica no País. Seu principal diferencial é avançar na consolidação de uma política de infraestrutura hídrica, assim como aprimorar a atuação dos órgãos gestores. A proposta permitirá conferir sustentabilidade para o planejamento e a gestão das infraestruturas hídricas que garantem água para a população e a produção, como barragens, canais e adutoras. A proposta também estabelece mecanismos para diversificação dos investimentos, abrindo espaço para a participação da iniciativa privada.

Outro diferencial a ser trazido pelo novo marco é a criação do instrumento da cessão onerosa pelo uso de recursos hídricos, que propõe a realocação negociada da água. Dessa forma, aqueles que já possuem outorgas poderão negociar seu uso com outros usuários, otimizando e valorizando o uso das águas. O instrumento será útil, principalmente em épocas de secas e em bacias com indisponibilidade de água para emissão de novas outorgas.

Além disso, o Ministério do Desenvolvimento Regional dará o pontapé inicial nas discussões sobre o tema do reuso de água, considerado estratégico, sobretudo, para os setores industriais e agrícolas. A medida representa uma ação em resposta ao contexto de escassez hídrica, reforçando a necessidade de otimização do uso da água, reforçando seu aspecto estratégico para o desenvolvimento.

Confira as principais agendas em cada dia da Jornada

18/10 – Minas Gerais

• Anúncio de R$ 5,8 bilhões para a revitalização de Bacias – recursos da Lei de Capitalização da Eletrobras

• Barragem de Jequitaí – Edital de Chamamento Público – PMI e anúncio de R$ 20 milhões de obras complementares

• Publicação e divulgação do 2º Edital de Chamamento de Projetos e anúncio de patrocínios do Programa Águas Brasileiras

• Retomada de obras do Projeto de Irrigação Gorutuba e conclusão do canal de desassoreamento em Jaíba

19/10 – Bahia

• Canal do Sertão Baiano – abertura da licitação para o projeto básico

• Águas Brasileiras – anúncio do patrocínio do Projeto Agroflorestando Bacias para Conservar Águas

• Anúncio do edital para concessão do Perímetro Irrigado do Baixio do Irecê

20/10 – Ceará

• Ramal do Salgado – anúncio da obra

• Reservatório Taquarão – visita a obra de abastecimento

• Barragem Banabuiú – assinatura de Contrato/Ordem de Serviço para recuperação

21/10 – Paraíba e Pernambuco

• Paraíba

Eixo Norte do Projeto de Integração do Rio São Francisco – entrega do último trecho do canal

• Pernambuco
Ramal do Agreste – inauguração

22/10 – Rio Grande do Norte

• Barragem de Oiticica – liberação de R$ 10 milhões

• Adutora do Agreste Potiguar – lançamento do edital de licitação para projeto básico

• Lagoa do Bonfim – anúncio do edital de licitação do projeto de revitalização

• Lançamento do Polo da Moda e exposição de produtos locais

• Instalação de 60 cisternas em São Tomé

25/10 – Piauí

• Lançamento do Plano de Ação Estratégica para a bacia hidrográfica do Rio São Francisco e área de influência do Projeto de Integração do São Francisco e do Rio Parnaíba

• Programa Águas Brasileiras – Projeto de Recuperação e Revitalização de Nascente na Bacia do Parnaíba

• Retomada das obras do projeto de irrigação Marrecas

26/10 – Maranhão

• Lançamento do edital dos estudos para a implantação da integração de Bacias do Piauí/Maranhão e demais estados do Nordeste

27/10 – Alagoas

• Canal do Sertão Alagoano — assinatura de OS de três subsistemas do Canal e entrega do subsistema Água Branca

• Anúncio do Fundo de Estruturação de projetos — criado pela MP 1.052

28/10 – Sergipe

• Anúncio do Novo Marco Hídrico

• Canal do Xingó — Apresentação do projeto

Os conceitos normativos para a governança da segurança da informação

Em sua nova edição, a NBR ISO/IEC 27014 de 09/2021 – Segurança da informação, segurança cibernética e proteção da privacidade – Governança da segurança da informação fornece orientação sobre conceitos, objetivos e processos para a governança da segurança da informação pela qual as organizações podem avaliar, direcionar, monitorar e comunicar as atividades relacionadas à segurança da informação dentro da organização. O público-alvo é o órgão diretivo e Alta Direção; aqueles que são responsáveis por avaliar, direcionar e monitorar um sistema de gestão da segurança da informação (SGSI) com base na NBR ISO/IEC 27001:2013; os responsáveis pela gestão da segurança da informação que ocorre fora do escopo de um SGSI com base na NBR ISO/IEC 27001:2013, mas dentro do escopo da governança.

Este documento é aplicável a todos os tipos e tamanhos de organizações. Todas as referências a um SGSI neste documento se aplicam a um SGSI com base na NBR ISO/IEC 27001:2013. Ele tem foco nos três tipos de organizações SGSI apresentados no Anexo B. Entretanto, pode também ser utilizado por outros tipos de organizações.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como se deve assegurar a conformidade com os requisitos internos e externos?

Como monitorar o processo de governança?

O que significa comunicar o processo de governança bidirecional?

Quais são os requisitos do órgão diretivo sobre sistema de gestão de segurança da informação (SGSI)?

A segurança da informação é uma questão-chave para as organizações, amplificada por rápidos avanços em metodologias e tecnologias de ataque, e com correspondente aumento por pressões regulatórias. A falha de controles de segurança da informação de uma organização pode ter muitos impactos adversos na organização e em suas partes interessadas incluindo, mas não limitado à perda de confiança.

A governança da segurança da informação é a utilização de recursos para assegurar a implementação efetiva de segurança da informação, fornecendo garantia de que as diretivas a respeito de segurança da informação são seguidas; e o órgão diretivo recebe relatórios confiáveis e relevantes sobre as atividades relacionadas à segurança da informação. Isso auxilia o órgão diretivo a tomar decisões a respeito de objetivos estratégicos para a organização, ao fornecer informação sobre segurança da informação que pode afetar esses objetivos.

Também garante que a estratégia de segurança da informação esteja alinhada com os objetivos gerais da entidade. Os gestores e outros que trabalhem nas organizações precisam entender: os requisitos de governança que afetam seu trabalho; e como cumprir requisitos de governança que requerem deles uma ação.

Este documento descreve como a governança da segurança da informação opera dentro de um SGSI, com base na NBR ISO/IEC 27001, e como essas atividades podem se relacionar com outras atividades de governança que operam fora do escopo de um SGSI. Ele destaca quatro processos principais de avaliar, direcionar, monitorar e comunicar nos quais um SGSI pode ser estruturado dentro de uma organização e sugere abordagens para integrar a governança da segurança da informação nas atividades de governança organizacional em cada um desses processos.

Finalmente, o Anexo A descreve as relações entre governança organizacional, governança da tecnologia da informação e governança da segurança da informação. O SGSI cobre toda a organização, por definição (ver ISO/IEC 27000). Ele pode abranger toda a entidade ou parte dela.

A governança da segurança da informação é o meio pelo qual o órgão diretivo de uma organização fornece a orientação geral e controle das atividades que afetam a segurança das informações de uma organização. Essa direção e esse controle se concentram nas circunstâncias em que uma segurança da informação inadequada pode afetar adversamente a capacidade da organização de atingir seus objetivos gerais.

É comum que um órgão diretivo atinja seus objetivos de governança por meio de: fornecimento de orientação através do estabelecimento de estratégias e políticas; monitoramento do desempenho da organização; e a avaliação das propostas e planos desenvolvidos pelos gestores. A gestão da segurança da informação está associada à garantia do cumprimento dos objetivos da organização descritos nas estratégias e políticas estabelecidas pelo órgão diretivo.

Isso pode incluir a interação com o órgão diretivo por meio de: fornecimento de propostas e planos para consideração do órgão diretivo; e o fornecimento de informações ao órgão diretivo sobre o desempenho da organização. A governança eficaz da segurança da informação requer que tanto os membros do órgão diretivo quanto os gestores cumpram suas respectivas funções de maneira consistente. A NBR ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação no contexto de uma organização.

Também inclui requisitos para avaliação e tratamento de riscos de segurança da informação ajustados às necessidades da organização. A NBR ISO/IEC 27001 não usa o termo governança, mas especifica uma série de requisitos que são atividades de governança. A lista a seguir fornece exemplos dessas atividades. As referências à organização e à Alta Direção são, conforme observado anteriormente, associadas ao escopo de um SGSI com base na NBR ISO/IEC 27001.

Existem muitas áreas de governança em uma entidade, incluindo segurança da informação, tecnologia da informação, saúde e segurança, qualidade e finanças. Cada área de governança é um componente dos objetivos gerais de governança de uma entidade e, portanto, convém que esteja alinhada com a disciplina da entidade. Os escopos dos modelos de governança às vezes se sobrepõem.

Um SGSI se concentra na gestão de riscos relacionados à informação. Não aborda diretamente as questões como lucratividade, aquisição, uso e realização de ativos, ou a eficiência de outros processos, embora convenha que apoie quaisquer objetivos organizacionais nessas questões. Para estabelecer a segurança da informação abrangente e integrada em toda a entidade, a governança da segurança da informação deve assegurar que os objetivos da segurança da informação sejam abrangentes e integrados.

Convém que a segurança da informação seja tratada em nível de entidade, com a tomada de decisão levando em consideração as prioridades da entidade. Convém que as atividades relacionadas à segurança física e lógica sejam coordenadas de perto. Isso não requer, no entanto, um único conjunto de medidas de segurança ou um único sistema de gestão da segurança da informação (SGSI) em toda a entidade.

Para garantir a segurança da informação em toda a entidade, convém que a responsabilidade e a responsabilização pela segurança da informação sejam estabelecidas em toda a extensão das atividades de uma entidade. Isto pode se estender além das fronteiras geralmente percebidas de uma entidade, por exemplo, para incluir as informações armazenadas ou transferidas por entidades externas.

Para a tomar as decisões usando uma abordagem baseada em risco, convém que a governança da segurança da informação seja baseada em obrigações de compliance e também em decisões baseadas em risco específicas da entidade. Convém que a determinação de quanta segurança é aceitável seja baseada no apetite de risco de uma entidade, incluindo perda de vantagem competitiva, riscos de compliance e de obrigação legal, interrupções operacionais, danos à reputação e perda financeira.

Convém que a gestão de riscos de segurança da informação seja consistente em toda a entidade e inclua considerações sobre os impactos financeiros, operacionais e reputacionais adversos de violações e de não compliance. Além disso, convém que a gestão de riscos de segurança da informação seja integrada com a abordagem de gestão de riscos geral da entidade, a fim de que não seja feita isoladamente e não cause confusão, por exemplo, mapear para a metodologia da entidade ou capturar informação estratégica de riscos no registro de risco da entidade.

Convém que recursos apropriados para implementar a gestão de riscos de informação sejam alocados como parte do processo de governança da segurança. Para definir o direcionamento de aquisições, o impacto do risco de segurança da informação deve ser avaliado de forma adequada ao empreender novas atividades, incluindo, mas não se limitando a, qualquer investimento, compra, fusão, adoção de nova tecnologia, acordos de terceirização e contrato com fornecedores externos.

A fim de otimizar a aquisição de segurança da informação para apoiar os objetivos da entidade, convém que o órgão diretivo garanta que a segurança da informação seja integrada aos processos existentes da entidade, incluindo gerenciamento de projetos, aquisições, despesas financeiras, compliance legal e regulatório e gestão de riscos estratégicos. Convém que a Alta Direção de cada SGSI estabeleça uma estratégia de segurança da informação com base nos objetivos organizacionais, garantindo a harmonização entre os requisitos da entidade e os requisitos de segurança da informação organizacional, atendendo, assim, às necessidades atuais e em evolução das partes interessadas. O órgão diretivo dentro de uma entidade realiza os processos de avaliar, direcionar, monitorar e comunicar. A figura abaixo mostra a relação entre esses processos.

A definição de organização assume que a Alta Direção está sempre totalmente envolvida na operação da organização. Uma entidade pode ter mais de um SGSI e pode haver partes de uma entidade, às quais se aplica a governança, que não fazem parte de um SGSI. Pode-se dizer que avaliar é o processo de governança que considera a realização atual e prevista dos objetivos com base nos processos atuais e nas mudanças planejadas, e determina onde quaisquer ajustes são necessários para otimizar a realização dos objetivos estratégicos futuros.

Para executar o processo de avaliar, convém que o órgão diretivo da entidade: assegure que as iniciativas levem em consideração os riscos e as oportunidades pertinentes; responda às medições e aos relatórios de segurança da informação e do SGSI, especificando e priorizando objetivos no contexto de cada SGSI (o que inclui a consideração dos requisitos de fora do escopo do SGSI); e convém que a Alta Direção de cada SGSI: assegure que a segurança da informação apoie e sustente adequadamente os objetivos da entidade; submeta à aprovação do órgão diretivo novos projetos de segurança da informação com impacto significativo.

Direcionar é o processo de governança pelo qual o órgão diretivo dá orientação sobre os objetivos e a estratégia da entidade. Direcionar pode incluir mudanças nos níveis de recursos, alocação de recursos, priorização de atividades, aprovações de políticas, aceitação de riscos materiais e planos de gerenciamento de riscos.

Para executar o processo direcionar, convém que o órgão diretivo: estabeleça a direção estratégica geral e os objetivos da entidade; estabeleça o apetite de risco da entidade; aprove a estratégia de segurança da informação; e convém que a Alta Direção de cada SGSI: aloque investimentos e recursos adequados; alinhe os objetivos de segurança da informação organizacional com os objetivos da entidade; aloque funções e responsabilidades para segurança da informação; e estabeleça uma política de segurança da informação.

API STD 1164: a segurança cibernética de sistemas de controle de dutos

A API STD 1164:2021 – Pipeline Control Systems Cybersecurity fornece os requisitos e a orientação para o gerenciamento de risco cibernético associado a ambientes de automação e controle industrial (industrial automation and control – IAC) para atingir os objetivos de segurança, integridade e resiliência. Dentro dessa norma, isso é realizado por meio do isolamento adequado de ambientes IAC para ajudar na sua continuidade operacional.

Mesmo com o isolamento adequado dos ambientes IAC dos ambientes de TI, ambos desempenham um papel na continuidade geral dos negócios. A continuidade operacional do IAC e a continuidade do sistema de TI são frequentemente desenvolvidas e implementadas em conjunto como parte do plano geral de continuidade de negócios.

O escopo desta norma é limitado apenas aos aspectos de segurança cibernética da IAC que podem influenciar a continuidade geral dos negócios. Ela foi feita sob medida para a indústria de dutos de petróleo e gás natural (oil and natural gas – ONG), que inclui, mas não está limitado a sistemas de dutos de transmissão de gás natural e líquidos perigosos, sistemas de dutos de distribuição de gás natural, instalações de gás natural liquefeito (GNL), instalações de ar propano e outros envolvidos nessas indústrias.

Essa norma foi desenvolvida para fornecer uma abordagem acionável para proteger as funções essenciais do IAC, gerenciando o risco de segurança cibernética para os ambientes IAC. Isso pode incluir, mas não estão limitados a soluções de controle de supervisão e aquisição de dados (Scada), controle local e internet das coisas industriais (IIoT).

A norma deve ser usada no contexto de desenvolvimento, implementação, manutenção e melhoria de um programa de segurança cibernética do IAC, que inclui as políticas, processos, e controles de procedimentos e técnicos para ambientes cibernéticos IAC. Trata-se de um conjunto de requisitos que deve ser customizado antes da implementação usando os processos de gerenciamento de riscos da empresa.

O resultado é um conjunto de requisitos personalizados e específicos da empresa para um programa de segurança cibernética IAC a fim de ajudar a gerenciar a postura de segurança cibernética e qualquer risco residual resultante para seus ambientes IAC em alinhamento com a missão, objetivos e estratégia de risco da empresa, e de acordo com as suas políticas e procedimentos. Embora a identificação de ameaças e impactos seja crítica para o desenvolvimento do programa de segurança cibernética do IAC, uma avaliação baseada no risco de cada um garantirá que o programa seja implementado, executado e sustentado de forma adequada, de acordo com a postura de risco desejada pela organização.

Essa norma se concentra nos resultados de segurança cibernética desejados, definindo requisitos para níveis de proteção de impacto de objetivos de negócios específicos. Embora os princípios definidos nesta norma possam ser aplicados a sistemas instrumentados de segurança (safety instrumented systems – SIS), eles estão fora do escopo deste documento.

Os requisitos de segurança especificados nesta norma não tentam abordar os impactos potenciais para a seleção ou determinação do nível de integridade de segurança (safety integrity level – SIL) do SIS. Qualquer uso desta norma em ambientes SIS fica por conta e risco do implementador. Para as empresas que já têm um programa de segurança cibernética IAC, incluindo uma ou mais políticas de programa aprovadas e um plano ou planos de segurança cibernética IAC documentados implementados ou em implementação, esta norma deve ser considerada um acréscimo aos elementos existentes do programa de segurança cibernética.

Nessas situações, um processo de mapeamento desta norma para os elementos atuais do programa de segurança cibernética da IAC determinará quaisquer requisitos da API 1164 que não estejam atualmente no programa existente. A implementação de quaisquer elementos ausentes deve ser adaptada e priorizada usando os processos de gerenciamento de risco da empresa. O processo de adaptação para os requisitos de segurança cibernética API 1164 é descrito em 5.5.

Conteúdo da norma

1 Escopo. . . . . .. . . . . . . . . . . 1

1.1 Objetivo. . . .. . . . . . . . . . . 1

1.2 Público-alvo. . . . . . . . . . . . 2

1.3 Como ler esta norma . . . . . . . 2

2 Referências normativas. . . . . . . 4

3 Termos, definições, acrônimos e abreviações. .  . . . 4

3.1 Termos e definições. . .. . . . . . . . . . . . . . . . 4

3.2 Siglas. . . . . . . . . . . . . . . . . . . . . . 9

4 Perfis de cibersegurança de dutos IAC de ONG. .  . . 10

4.1 Introdução ao perfil de cibersegurança IAC. …. . 10

4.2 Perfil de segurança cibernética da IAC – restrições comuns………..10

4.3 Perfil de segurança cibernética da IAC – objetivos da proteção contra ameaças. . . . . . . . . . . . . 11

4.4 Perfil de segurança cibernética da IAC – objetivos de missão e negócios. . . . . . . . . . . . . 12

4.5 IAC: perfil de segurança cibernética – objetivos e impacto no mapeamento de proteção contra ameaças. . .  . 13

5 Política, plano e programa de segurança cibernética da ONG e IAC. . . . . . . . . . . . . . . 13

5.1 Plano de desenvolvimento de segurança cibernética da IAC. . . . . . . . . . . . . . . . . . . . . 15

5.2 IAC: plano de segurança cibernética – gerenciamento de risco. . . . .. . . . . . . . 15

5.3 Plano de segurança cibernética da IAC – operacionalizando um programa de segurança cibernética . . . . . . 17

5.4 Perfis de segurança cibernética de seleção de planos de segurança cibernética da IAC. . . . . . . . . . . 18

5.5 Requisitos de perfil selecionado de personalização do plano de segurança cibernética da IAC. . . . . 27

6 ONG IAC: requisitos do perfil de cibersegurança – requirements identify (ID). . . . . . . . 28

6.1 Governança (ID.GV). .. . . . . . . . . 28

6.2 Estratégia de gerenciamento de risco (ID.RM). . 32

6.3 Ambiente de negócios (ID.BE). . . . . . . . . . . . 35

6.4 Gestão de riscos da cadeia de suprimentos (ID.SC)… . 39

6.5 Avaliação de Risco IAC (ID.RA). . . . . . . . . 42

6.6 Gerenciamento de ativos (ID.AM). . . . . . . 49

7 ONG IAC: perfil de cibersegurança – profiles protect (PR)….55

7.1 Controle de acesso (PR.AC). . .  . . . . . 56

7.2 IAC Conscientização e treinamento em segurança cibernética (PR.AT). . . . . . . . . . . . 63

7.3 Segurança de dados (PR.DS).. . . . . . . . 67

7.4 Processos e procedimentos de proteção da informação (PR.IP). . . . . . . . . . . . . . . . 75

7.5 Manutenção (PR.MA). .. . . . . . . . . . . . . 89

7.6 Tecnologia de proteção (PR.PT). . .. . . . . . . . . 92

8 ONG IAC: requisitos do perfil de cibersegurança (detecção – DE). . . .  . . . . . . . . . . . . . 97

8.1 Anomalias e eventos (DE.AE). . .. . . . . . 97

8.2 Monitoramento contínuo de segurança (DE.CM). . .. 100

8.3 Processos de detecção (DE.DP). .. . . . . . . . . . . 106

9 ONG IAC: perfil de cibersegurança dos requisitos de respostas (RS). .  . . . . . . . . . . . . . . 110

9.1 Planejamento de Resposta (RS.RP). . . . . . . . 110

9.2 Comunicações (RS.CO). . .. . . . . . . . . 111

9.3 Análise (RS.AN).. . . . . . . . . . . . . . 114

9.4 Mitigação (RS.MI). . . . . . . . . . . . . . . . 118

9.5 Melhorias (RS.IM). . . . . . . . . . . . . . . . 120

10 ONG IAC: perfil de cibersegurança dos requisitos de recuperação (RC). . . . . . . . . . . . 122

10.1 Planejamento de Recuperação (RC.RP). . . 122

10.2 Melhorias (RC.IM). . . . . . . . . . . . . . . . 122

10.3 Comunicações (RC.CO). .  . . . . . . . . . 124

Anexo A (informativo) Construção e mapeamento da norma API 1164. . . . . .  . . . . . . . 126

Anexo B (informativo) Modelo Plan-Do-Check-Act.  . 129

Anexo C (informativo) Ações recorrentes. . . . . . . . . 131

Bibliografia. . .. . . . . . . . . . . . . . . . . . . . . . . . . . 132

Em resumo, a infraestrutura de dutos – composta por milhares de empresas e mais de 2,7 milhões de quilômetros de dutos responsáveis pelo transporte de petróleo, gás natural e outras commodities – é um facilitador fundamental da segurança econômica mundial. Como os proprietários e os operadores de dutos estão cada vez mais confiando na integração de tecnologias de informação e comunicação (TIC) em tecnologia da informação (TI) e tecnologia operacional (TO) para conduzir a automação, eles também devem implementar medidas de segurança para proteger os dutos de riscos cibernéticos em evolução e emergentes. A integração de dispositivos de TIC em sistemas de dutos críticos cria uma vulnerabilidade que os hackers cibernéticos podem explorar.

BNDES: o calote ao financiamento à exportação de serviços

O Banco Nacional de Desenvolvimento Econômico e Social (BNDES) revelou as informações sobre operações de financiamento à exportação de serviços, tema que vem ganhando repercussão em publicações. Esta divulgação vem esclarecer fatos e está em linha com o conjunto de ações em curso adotadas pelo BNDES para se tomar cada vez mais transparente perante a sociedade brasileira.

Diante da complexidade dos dados, eles são aqui explicados na forma de um resumo didático das operações de financiamento à exportação de serviços por empresas brasileiras com dados de 1998 até junho de 2019, sendo que, em 2017, os desembolsos foram interrompidos. No período, foram liberados US$ 10,5 bilhões em desembolsos para empreendimentos em 15 países, sendo que US$ 10,3 bilhões retornaram em pagamentos do valor principal da dívida e dos juros.

Clique na figura para uma melhor visualização

Do total de pagamentos, 89% foram liberados para empreendimentos em seis países. São eles, em ordem decrescente de valores: Angola (US$ 3,273 bilhões), Argentina (US$ 2,006 bilhões), Venezuela (US$ 1,507 bilhão), República Dominicana (US$ 1,215 bilhão), Equador (US$ 685 milhões) e Cuba (US$ 656 milhões).

Entre as empresas que exportaram os serviços, 98% do valor total foi destinado a obras de cinco delas: Odebrecht (76% do total), Andrade Gutierrez (14%), Queiroz Galvão (4%), Camargo Corrêa (2%) e OAS (2%). Ao todo, 148 operações foram realizadas, com prazo médio de 11 anos e dois meses para pagamento dos financiamentos.

O maior prazo foi concedido pelo Conselho de Ministros da Câmara de Comércio Exterior (Camex) para o projeto do Porto de Mariel, em Cuba, que será pago em 25 anos. Esse caso também foi o único que incorreu em 100% do risco soberano de um país, por aceitar como mitigador de risco de crédito uma conta corrente em Cuba.

Embora o programa de financiamento à exportação de serviços de engenharia tenha sido criado em 1998, 88% do total de US$ 10,5 bilhões em desembolsos ocorreram no período compreendido entre 2007 e 2015. Em 2003, em decorrência da Resolução número 44 aprovada pelo Conselho de Ministros da Camex, Argentina, Equador, Venezuela e República Dominicana tiveram seu custo de financiamento diminuído. Isso ocorreu porque a norma mitigou riscos de crédito das operações na proporção de até 7 (pior nota) para 1 (melhor nota).

A partir de janeiro de 2018, surgiram inadimplementos nos pagamentos de Venezuela (US$ 374 milhões), Moçambique (US$ 118 milhões) e Cuba (US$ 62 milhões), em um valor total de US$ 554 milhões até 30 de junho de 2019. Em 2016, quando começaram as controvérsias envolvendo empresas brasileiras exportadoras de serviços de engenharia, o BNDES, em acordo com o Ministério Público Federal (MPF), passou a exigir das empresas a assinatura de um Termo de Compliance (Conformidade), com rígidas regras de governança, como condição para liberação de recursos.

Clique na figura para uma melhor visualização

Após essa medida, o BNDES reteve US$ 11 bilhões que estavam previstos para serem desembolsados, referentes a 47 operações ativas. Dessa forma, a exportação de serviços, quando bem aplicada, é reconhecida mundialmente como importante instrumento de um país para estímulo à geração de empregos, ao aumento da atividade industrial e à obtenção de saldos positivos em balança comercial.

No Brasil, esses financiamentos são determinados pela administração direta do governo federal, que estabelece as operações, os países de destino das exportações, as principais condições contratuais do financiamento (como valor, prazo, equalização da taxa de juros e seguros) e os mitigadores de risco soberano do país que sedia a obra de engenharia. As responsabilidades diretas do governo no processo incluem a obtenção de aprovações pela empresa brasileira exportadora de serviços junto ao Comitê de Financiamento e Garantia das Exportações (Cofig) e ao Conselho de Ministros da Camex, ambos compostos por representantes dos ministérios.

Já com essas aprovações, o processo chega ao BNDES em sua parte final, onde é enquadrado e analisado. Quando aprovado e com a contratação feita entre a empresa brasileira e o cliente no exterior, ocorrem os desembolsos e o acompanhamento da execução do projeto.

No momento, as operações de financiamento à exportação de serviços feitas pelo BNDES estão sob análise de diversas autoridades legais. O BNDES ativamente colabora com apurações no Tribunal de Contas da União (TCU), na Controladoria-Geral da União (CGU) e na Comissão Parlamentar de Inquérito (CPI) em curso na Câmara dos Deputados.

O BNDES ratifica seu firme propósito de cooperar com os órgãos competentes e abrir todas as informações questionadas pela sociedade brasileira. A divulgação de informações concretas como estas colabora com um debate mais produtivo do papel da instituição no país. 

A transparência é um princípio fundamental à gestão pública do país e um norte para o BNDES recuperar sua credibilidade. As lições aprendidas com o passado tornam o banco mais eficiente para os cidadãos brasileiros e colaboram para sua ação em favor de negócios que levem ao desenvolvimento.

Uma apresentação gráfica com os dados apresentados pode ser encontrada no link: https://www.bndes.gov.br/arquivos/exportacao/bndes-apresentacao-exportacoes-servicos-20190915.pdf

Mais detalhes de todas as operações de financiamento às exportações de serviços podem ser obtidas na planilha Operações de exportação pós-embarque – serviços de engenharia (1998 a 30.06.2019) no seguinte endereço: https://www.bndes.gov.br/wps/portal/site/home/transparencia/centraldedownloads

Saiba mais o que é a concessão florestal

A concessão florestal é uma importante ferramenta para implementar a política nacional de conservação, permitindo o melhor gerenciamento dos ativos ambientais públicos, contribuindo para o combate às atividades ilegais, gerando benefícios sociais e ambientais e promovendo o desenvolvimento econômico de longo prazo em bases sustentáveis. Segundo o Banco Nacional do Desenvolvimento (BNDES), o governo, o setor privado, os pesquisadores, as comunidades e demais atores envolvidos no processo já reconhecem nas concessões florestais um importante instrumento de controle do desmatamento e de estímulo à atividade econômica sustentável. Um exemplo é a concessão da Floresta Nacional de Altamira, no Pará, que vem contribuindo para exploração sustentável e a preservação da floresta.

Deve-se entender que, na concessão florestal, o governo concede ao setor privado o direito de explorar a floresta pública de modo sustentável, por um prazo definido, com contrapartida financeira e obrigações legais e contratuais. A titularidade da terra permanece pública, sob gestão do governo, durante todo período da concessão. Essa é uma das modalidades de gestão previstas na Lei de Gestão de Florestas Públicas (Lei nº 11.284/2006), além da gestão direta pelo governo e do uso comunitário.

Ao longo do período da concessão, os concessionários pagam ao governo uma quantia – que varia em função das condições e resultados de cada concorrência – destinada aos órgãos de meio ambiente, aos estados e municípios onde as florestas estão localizadas e ao Fundo Nacional de Desenvolvimento Florestal. Os recursos são utilizados para promoção da atividade florestal sustentável na região. A concessão busca trazer incentivos para que o concessionário promova a cadeia de produtos florestais e contempla as obrigações do gestor para com as comunidades locais.

Importante afirmar que as concessões florestais pressupõem a existência de um plano de manejo florestal sustentável, que precisa ter passado por licenciamento e aprovação do órgão ambiental competente – Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis (Ibama), no caso de florestas federais; ou órgão estadual de meio ambiente, nos demais. O manejo florestal envolve uma série de técnicas que permitem a exploração contínua e sustentável da floresta, delimitando um limite de exploração por área concedida e um tempo de regeneração da vegetação, antes de nova utilização.

Para elaboração do plano de manejo da área, o interessado deve realizar um levantamento de todas as árvores da espécie que pretende explorar e definir um diâmetro mínimo para elas. Com isso, mesmo após a extração madeireira, é possível garantir a permanência de uma quantidade de árvores capaz de promover a regeneração natural da espécie. As regras de manejo definidas na Resolução Conama nº 406/2009 e em instruções normativas do Ministério do Meio Ambiente (MMA) buscam prover um ambiente em que o ciclo reprodutivo da floresta seja assegurado, de modo que o estoque de cada espécie explorada seja recomposto para novos ciclos.

Deve-se ressaltar que as atividades de fiscalização de florestas federais, que visam identificar, prevenir e combater ilícitos, são executadas pelo Ibama. No caso das concessões florestais, a partir do monitoramento contínuo realizado pelo próprio Ibama e pelo Serviço Florestal Brasileiro (SFB), a fiscalização será acionada quando forem identificados indícios de crime ambiental, como, por exemplo, descumprimento da licença emitida ou mau uso de documentos florestais. Para fiscalização, o SFB realiza o acompanhamento contínuo do Sistema Nacional de Controle de Origem dos Produtos Florestais (Sinaflor) e do Sistema de Cadeia de Custódia (SCC), assim como uma avaliação anual em campo.

Nesta última, são analisadas a implementação e a condução de todas as atividades das concessões florestais, bem como a dinâmica de desenvolvimento da floresta e de possíveis impactos à biodiversidade, por meio de parcelas permanentes (pedaços da floresta que servem como amostra da área de manejo). A prática do manejo florestal sustentável, permitida no regime de concessão florestal, possibilita ao concessionário a exploração de produtos madeireiros, não madeireiros e serviços florestais.

Isso significa que, além da extração de madeira, é possível aproveitar produtos vegetais não lenhosos – incluindo folhas, raízes, cascas, frutos, sementes, gomas, óleos, látex e resinas – e ainda desenvolver atividades de turismo e visitação, educação ambiental, restauração florestal e créditos de carbono decorrentes de recuperação de áreas degradadas. Há, portanto, um amplo mercado a ser explorado, dada a rica biodiversidade e grande área de florestas no Brasil.

Durante os estudos que fundamentam o edital de concessão, são realizados levantamentos de campo e etapas de consulta e audiência pública. Isso visa delimitar as áreas de manejo florestal e as demais condições da concessão, inclusive obrigações do concessionário. Caso sejam identificadas populações residentes ou que façam uso de determinados locais na zona de manejo florestal, essas áreas podem ser excluídas da concessão, de forma a preservar os modos de vida dessas populações.

Além disso, os produtos não madeireiros de uso tradicional e considerados essenciais à subsistência das comunidades locais não são objeto da concessão florestal, sendo garantido o acesso gratuito das comunidades às áreas de coleta. O edital de concessão florestal define as espécies que só podem ser extraídas com autorização especial do Serviço Florestal Brasileiro (SFB) e se não houver prejuízo para o uso comunitário.

Assim, uma floresta só pode ser concedida se for incluída no Plano Anual de Outorga Florestal (PAOF). Antes mesmo da concessão, o PAOF já busca excluir das florestas elegíveis, aquelas destinadas ao uso de povos e comunidades tradicionais, indígenas, agricultores familiares e assentados do Programa Nacional de Reforma Agrária.

A acessibilidade de pessoas com deficiência em trens de longo percurso

Saiba quais são os requisitos para a acessibilidade a pessoas com deficiência e pessoas com mobilidade reduzida, de forma segura, em trens de longo percurso.

A NBR 14020 de 02/2021 – Transporte — Acessibilidade à pessoa — Trem de longo percurso estabelece os requisitos para a acessibilidade a pessoas com deficiência e pessoas com mobilidade reduzida, de forma segura, em trens de longo percurso. Aplica-se tanto aos projetos novos quanto às adaptações dos projetos já existentes.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser feita a identificação dos assentos preferenciais?

Como deve ser delimitado o espaço para cadeira de rodas?

Quais devem ser as dimensões básicas da mesa acessível para refeição?

Quais são os requisitos dimensionais para o lavatório?

As estações e paradas devem atender aos requisitos da NBR 9050 e possibilitar a integração acessível do trem com outros meios de transporte existentes no local. Deve haver local para que as pessoas com deficiência e pessoas com mobilidade reduzida aguardem o embarque com segurança.

A plataforma deve oferecer condições de segurança e conforto, obedecendo aos padrões e critérios de acessibilidade previstos na NBR 9050. O piso deve ser regular, firme, estável e antiderrapante. Os valores das dimensões indicadas pelos limites máximo e mínimo devem ser considerados absolutos.

Quando não definidos os limites para as dimensões deve ser considerada uma tolerância de ± 0,02 m. Todas as portas para embarque, desembarque e internas do carro acessível devem ter um vão livre mínimo de 0,80 m quando abertas.

Nas estações e paradas que tenham um vão e desnível superior a 0,03 m e 0,02 m, respectivamente, entre a plataforma e a porta do carro acessível, a fronteira deve ser transposta utilizando-se dispositivo que permita o embarque e o desembarque com segurança e, preferencialmente, com autonomia. O dispositivo utilizado para o embarque e o desembarque pode estar localizado no carro ou na plataforma.

Para transpor a fronteira entre o local de embarque/desembarque e o interior do carro, deve ser utilizado um dos dispositivos vinculados ao carro, indicados a seguir, ou então a conjugação entre eles: a plataforma elevatória veicular (PEV); ou a rampa de acesso veicular, manual ou motorizada, formada por um único elemento, podendo ser dobrável ou retrátil, para acesso ao piso inferior do carro; ou a rampa de acesso veicular, manual ou motorizada, formada por dois elementos separados e paralelos entre si, podendo ser dobrável ou retrátil, para acesso ao piso inferior do carro; ou a rampa de acesso móvel, manual ou motorizada, podendo ser dobrável ou retrátil.

Outros equipamentos ou dispositivos para transposição de fronteiras podem ser considerados, desde que atendam aos requisitos da NBR 15320. O fabricante dos dispositivos para transposição de fronteiras deve considerar no projeto técnico a compatibilidade com o conjunto carroceria, em especial, relativo à interferência no peso bruto total (PBT), na estrutura e na capacidade de transporte do carro.

Os dispositivos para transposição de fronteiras devem ter as seguintes características mínimas: oferecer condições de utilização segura, confiável, suave e estável; ter piso ou área específica para apoio dos pés, em material com características antiderrapantes, com coeficiente de atrito estático (CAE) mínimo de 0,38, obtido conforme a NBR 15570; dispor de dispositivos de emergência para acionamento do equipamento em casos de falhas durante a operação; não apresentar cantos vivos ou arestas que possam oferecer riscos aos passageiros e operadores.

Exclusivamente para o caso de inoperância ou pane durante a operação dos dispositivos de transposição de fronteira, devem estar estabelecidos procedimentos adequados e alternativas de acessibilidade pelo responsável pelo dispositivo, que garantam segurança no embarque ou desembarque das pessoas com deficiência ou com mobilidade reduzida. Deve ser reservado no mínimo um assento especial, nos carros para o público em geral, e este deve estar próximo à porta principal.

Em caso de impedimento técnico decorrente do projeto de carroceria que possa comprometer o acesso ao assento especial, pode ser admitido o reposicionamento. O assento especial dos carros para o público em geral deve ter no mínimo o mesmo nível de conforto e acabamento que os demais assentos disponíveis no salão de passageiros. A identificação dos assentos especiais dos carros para o público em geral também deve ser realizada por informação aplicada na parede lateral (revestimento) ou no anteparo frontal, conforme a figura abaixo.

As dimensões da identificação devem obedecer aos parâmetros a seguir: dimensões: 220 mm (comprimento) × 95 mm (largura); fonte: tipologia helvética ou similar; cor das letras: preta (aplicação na parede lateral) ou transparente (aplicação no vidro); cor do fundo: branca (aplicação na lateral) ou transparente (aplicação no vidro); cor dos pictogramas: fundo azul-escuro e pictograma branco (aplicação na parede) ou fundo branco e pictograma transparente (aplicação no vidro). Os assentos especiais do carro para o público em geral devem ser identificados pela cor amarela (Munsell 5y 8/12), aplicada no mínimo no protetor de cabeça do assento. Alternativamente, podem ser utilizadas capas substituíveis e laváveis para o apoio de cabeça. Os assentos preferenciais do carro acessível para pessoas com deficiência ou com mobilidade reduzida devem conter cintos de segurança retráteis de três pontos para cada passageiro. Os assentos preferenciais do carro acessível devem ser identificados pela cor amarela (Munsell 5y 8/12) aplicada no mínimo no protetor de cabeça do assento.

Alternativamente, podem ser utilizadas capas substituíveis e laváveis para o protetor (apoio) de cabeça. As dimensões do sanitário acessível devem garantir o posicionamento das peças sanitárias e os seguintes parâmetros de acessibilidade: circulação com giro de 360° para a cadeira de rodas, com diâmetro livre recomendável de 1,50 m no nível do piso, sendo admitido o mínimo de 1,30 m; a área de manobra pode utilizar no máximo uma flecha de 0,20 m sob a projeção da bacia sanitária e de 0,30 m sob a projeção do lavatório no nível do piso; área livre de 1,20 m × 0,80 m, disponível para a transferência da cadeira para a bacia sanitária em pelo menos uma posição, ou lateral, ou perpendicular, ou diagonal; junto à bacia sanitária devem ser instaladas barras para apoio e transferência.

As barras de apoio devem ter seção circular com diâmetro externo de 0,03 m a 0,04 m. Deve existir um lavatório com coluna suspensa, ou lavatório sobre o tampo, em local que não interfira na área de transferência para a bacia sanitária.

No banheiro exclusivo para pessoas com deficiência ou com mobilidade reduzida, os comandos devem ser configurados em alavancas ou sensores de acionamento. O banheiro do carro acessível deve conter botões de emergência audiovisuais, com a sinalização adequada para uso exclusivo da pessoa com deficiência ou com mobilidade reduzida.

 

A gestão dos desafios dos riscos legais enfrentados pelas organizações

Conheça as diretrizes para a gestão dos desafios específicos de riscos legais enfrentados pelas organizações, como um documento complementar à NBR ISO 31000.

A NBR ISO 31022 de 12/2020 – Gestão de riscos — Diretrizes para a gestão de riscos legais fornece diretrizes para a gestão dos desafios específicos de riscos legais enfrentados pelas organizações, como um documento complementar à NBR ISO 31000. A aplicação destas diretrizes pode ser personalizada para qualquer organização e seu contexto. Este documento fornece uma abordagem comum para a gestão de riscos legais e não é específico para uma indústria ou setor.

O risco legal é aquele relacionado a questões legais, regulamentares e contratuais, e de direitos e obrigações extracontratuais. As questões legais podem ter origem em decisões políticas, lei nacional ou internacional, incluindo lei estatutária, jurisprudência ou direito comum, atos administrativos, ordens regulamentares, julgamento e prêmios, regras processuais, memorandos de entendi mento ou contratos.

As questões contratuais se referem às situações em que a organização falha em cumprir suas obrigações contratuais, falha no cumprimento de seus direitos contratuais ou celebra contratos com termos e condições onerosos, inadequados, injustos e/ou inexequíveis. O risco de direitos extracontratuais é o risco de a organização deixar de reivindicar seus direitos extracontratuais. Por exemplo, a falha de uma organização em fazer valer seus direitos de propriedade intelectual, como direitos relacionados a direitos autorais, marcas comerciais, patentes, segredos comerciais e informações confidenciais contra terceiros.

O risco de obrigações extracontratuais é o risco de que o comportamento e a tomada de decisões da organização possam resultar em comportamento ilegal ou uma falha no dever de assistência (ou dever civil) não legislativo para com terceiros. Por exemplo, uma organização infringir direitos de terceiros na propriedade intelectual, uma falha para atender normas necessárias e/ou cuidados devidos a clientes (como mis-selling), ou uso ou gestão de mídias sociais inadequados resultando em alegação por terceiros de difamação ou calúnia e deveres tortuosos em geral.

Confira algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser executado o processo de gestão de riscos legais?

Como definir os critérios de riscos legais?

Como deve ser feita a identificação de riscos legais?

O que inclui a análise de riscos legais?

As organizações operam em um ambiente complexo com uma variedade de riscos legais. Não é apenas requerido que organizações cumpram as leis dentro de todos os países em que operam, os requisitos regulamentares e legais podem variar entre diferentes países, fortalecendo a necessidade de a organização ter confiança e compreensão em seus processos.

As organizações precisam estar alinhadas com as alterações legais e regulamentares, e analisar criticamente suas necessidades à medida que novas atividades e operações são desenvolvidas. As organizações enfrentam considerável incerteza ao tomar decisões e ações que podem ter consequências legais significativas.

A gestão de riscos legais ajuda as organizações a proteger e a aumentar seu valor. Este documento fornece orientações sobre as atividades a serem realizadas para apoiar as organizações a gerenciar riscos legais de maneira eficiente e econômica para atender às expectativas de uma ampla gama de partes interessadas. Ao desenvolver uma compreensão contínua dos contextos legais interno e externo, as organizações podem estar aptas a desenvolver novas oportunidades ou melhorar o desempenho operacional.

No entanto, o não atendimento dos requisitos e expectativas das partes interessadas pode ter consequências negativas consideráveis e imediatas que podem afetar o desempenho, a reputação e poderia levar a Alta Direção a um processo criminal. A NBR ISO 31000 fornece uma estrutura genérica para a gestão de todos os tipos de riscos, incluindo riscos legais. Este documento está alinhado com a NBR ISO 31000 e fornece diretrizes mais específicas aplicáveis à gestão de riscos legais.

O objetivo deste documento é desenvolver um entendimento melhorado da gestão de riscos legais enfrentados por uma organização que aplica os princípios da NBR ISO 31000. Estas diretrizes tem o objetivo de ajudar as organizações e a Alta Direção a: alcançar os resultados e objetivos estratégicos da organização; incentivar uma abordagem mais sistemática e consistente da gestão de riscos legais, e identificar e analisar uma ampla gama de questões de maneira que os riscos legais sejam proativamente tratados com os recursos apropriados e apoiados pela Alta Direção e pelo nível adequado de conhecimento; entender e avaliar melhor a extensão e as consequências de questões e riscos legais e exercer a due diligence apropriada; identificar, analisar e avaliar questões legais e fornecer uma maneira sistemática de tomar decisões informadas; aumentar e incentivar constantemente; a identificação das oportunidades de melhoria contínua.

Convém observar que o risco legal dentro deste documento é amplamente definido e não está limitado a, por exemplo, riscos relacionados com a compliance ou questões contratuais. Inclui isso, mas o risco legal é deliberadamente definido para incluir também riscos de ou para terceiros, onde pode não haver relação contratual, mas onde pode haver uma possibilidade de litígio ou outra ação, dependendo das obrigações contratuais destas terceiras partes com suas partes interessadas.

Este documento fornece orientações para a gestão de riscos legais para que ele se alinhe às atividades de compliance e fornece a garantia necessária para atender às obrigações e aos objetivos da organização; pode ser usado por organizações de todos os tipos e tamanhos para oferecer uma abordagem mais estruturada e consistente à gestão de riscos legais em benefício da organização e de suas partes interessadas em todos os processos. Oferece uma abordagem de gestão integrada à identificação, antecipação e gestão de riscos legais

Igualmente, apoia e complementa as abordagens existentes, aprimorando-as fornecendo melhores informações e insights sobre possíveis questões que a organização possa enfrentar; apoia qualquer procedimento de compliance, que as organizações podem ter implementado, tal como compliance ou outro sistema de gestão; apoia a função de compliance, identificando de maneira mais ampla os aspectos legais e contratuais dos direitos e deveres da organização. Este documento está destinado para que as organizações que o aplicam se beneficiem de melhores resultados comerciais e operacionais como na melhoria de reputação, melhor retenção de funcionários, relacionamentos aprimorados com as partes interessadas e maiores sinergias entre recursos e capacidades.

Embora este documento se destine a ser usado como parte da estrutura da NBR ISO 31000, convém observar que a sua estrutura pode ser usada tanto de forma independente como com outros sistemas de gestão. Este documento não se destina a ser um substituto para os proprietários de riscos que buscam aconselhamento jurídico especializado (interno ou externo); se aplicar ao processo de elaboração ou no lobby de novas leis ou mudanças nas leis existentes. A gestão eficaz de riscos legais requer os valores e princípios introduzidos na NBR ISO 31000, conforme apresentado na figura abaixo.

Os oito elementos são descritos em seguida no contexto da gestão de riscos legais. Adicionalmente, para a gestão do risco legal, convém que o princípio da equidade também seja considerado. A gestão de riscos legais é integrante para a governança global da organização. Convém que as atividades do processo de gestão de riscos legais sejam incorporadas ao planejamento estratégico, às tomadas de decisões de negócios, e aos processos de gestão da organização.

Para a integração da gestão de riscos legais nos processos e atividades organizacionais, convém que papéis e responsabilidades apropriados sejam estabelecidos dentro da organização. Convém que a gestão de riscos legais seja integrada a outros sistemas de gestão, como compliance, segurança, qualidade e controles internos. Ao avaliar os riscos legais e considerar as opções de tratamento, convém que os especialistas no assunto sejam consultados em conjunto com outros peritos ou especialistas.

Ao seguir o processo genérico de gestão de riscos, é importante avaliar os riscos legais da organização, dentro de um contexto apropriado, para que uma abordagem abrangente e consistente à gestão de riscos legais possa ser adotada. Convém que a gestão de riscos legais em uma organização seja personalizada para refletir as diferenças do contexto externo, que inclui o contexto legal e regulatório e as características do setor, bem como o contexto interno da organização, incluindo a natureza da entidade legal, objetivos e valores da organização.

Convém que a organização tenha um entendimento detalhado da aplicabilidade, impacto e consequências da falha em cumprir leis pertinentes, e processos para assegurar que leis novas ou atualizadas aplicáveis sejam adequadamente identificadas, avaliadas em relação ao impacto e interpretadas. Convém que a organização minimize a complexidade e o custo dos procedimentos legais. Convém que a organização tente minimizar e gerenciar as consequências negativas de riscos legais.

As organizações podem buscar ativamente oportunidades para evitar disputas ou litígios, tomando medidas para tratar riscos legais antes que um evento adverso ocorra, ou provavelmente ocorra, ou tente chegar a um acordo de maneira que equilibre custos, objetivos comerciais, reputação e tempo investido pela organização. Ao envolver todas as partes interessadas na gestão de riscos legais, uma organização pode mitigar eventos adversos; incluindo aplicação regulatória.

Convém que a organização tome cuidado para assegurar que privilégios legais (ou sua forma equivalente de proteção na jurisdição pertinente) sejam mantidos na medida do possível e que a confidencialidade seja mantida, mas, em ambos os casos, essas proteções precisam ser avaliadas em relação aos benefícios da inclusão. É importante para uma organização monitorar mudanças nas leis e políticas públicas e no contexto em que opera, e estabelecer indicadores apropriados de alerta precoce.

Para a gestão eficaz de riscos legais, além da experiência de consultores jurídicos internos, se existentes, convém que inteligência de negócios, análise de negócios, bancos de dados e sistemas jurídicos (incluindo gestão de casos), ferramentas e serviços de gestão de arquivos eletrônicos e know-how fornecido por leis externas as empresas, prestadores de serviços e consultores sejam utilizados. Dado que as partes interessadas podem ter conhecimentos, expectativas e visões diferentes em relação aos riscos legais e que essas visões podem ser emocionalmente, socialmente, culturalmente e politicamente construídas e percebidas, convém que a organização desenvolva mecanismos formais e informais para ajudar a assegurar que fatores humanos e culturais não resultem adversamente em riscos legais.

Convém que as organizações também procurem incentivar a realização, os benefícios e as oportunidades da gestão destes riscos. Convém que todo membro da organização esteja ciente de como cada ação ou omissão afeta os riscos legais. Convém que a organização considere e aja de acordo com as lições aprendidas, publique análises críticas de transações, melhores práticas, aconselhamento profissional de advogados internos e externos e alterações aplicáveis na lei.

Para os tomadores de decisão, o estabelecimento do princípio da equidade orienta a gestão de riscos legais, inclui a gestão de conflitos de interesses e fornece uma voz imparcial e independente nas decisões, além de apoiar a due diligence e imparcialidade para os melhores interesses de uma organização. O contexto externo dos riscos legais se refere a fatores que estão fora da organização, mas relacionados à gestão de riscos legais.

Todo esse processo inclui as leis locais e internacionais pertinentes e mudanças nas leis locais e internacionais pertinentes; sindicatos e organizações de empregadores; os serviços externos de provedores e consultores de apoio à gestão de riscos legais, como escritórios de advocacia, auditores externos, e serviços fornecidos de gestão de informação e análise; as partes interessadas externas, como empresas, organizações da sociedade civil, organismos regulatórios, governos locais, público e comunidades de interesse, imprensa e mídia e grupos de interesses especiais, e suas expectativas em relação à gestão de riscos legais; quaisquer atos ou omissões de terceiros, como conduta fraudulenta e enganosa por terceiros; acordos internacionais aplicáveis, memorandos de entendimento; as condições de mercado aplicáveis relacionadas à organização; as ações ou reclamações de terceiros; e as leis dos países onde os produtos/ serviços fornecidos são entregues ou fornecidos.

Ao examinar e entender o contexto externo de riscos legais para organizações que operam em várias jurisdições, convém que as diferenças ambientais e culturais entre diferentes jurisdições sejam consideradas. A aplicação extraterritorial das leis nacionais e qual lei da jurisdição se aplica a uma determinada situação (isto é, conflito de leis e reconhecimento mútuo de leis) e a identificação da jurisdição aplicável também pode requerer consideração.

O contexto interno dos riscos legais está substancialmente no controle ou sujeito à autoridade de uma organização por meio de seus sistemas de governança e gestão. Isso inclui a natureza da pessoa jurídica; a saúde financeira organizacional e seu modelo de negócios; a estrutura jurídica interna da organização, processos e funções; a governança da organização e suas estruturas de valor que promovem a integridade, como código de conduta e outras diretrizes de compliance; o atual estado das questões e assuntos legais e sua abordagem para a gestão de riscos legais; as campanhas de conscientização sobre orientação e melhoria contínua do desempenho em questões de riscos legais para as partes interessadas, sistemas e acordos para melhorar o comportamento das partes interessadas em relação às leis e impedir a conduta fraudulenta e enganosa, como os sistemas de gestão de compliance; a experiência passada e histórico de disputas ou eventos legais desencadeados por risco legal na organização; os ativos que a organização possui, como propriedade intelectual e outros direitos legais para ativos tangíveis e intangíveis usados em processos e atividades; o efeito de direitos e deveres sob contrato; obrigações relacionadas ao dever de cuidar; a negligência e efeitos desencadeadores de indenizações, garantias e cláusulas de não confiança em contratos; os passivos decorrentes de questões trabalhistas, ambientais, tributárias e outras, decorrentes de fusões, aquisições e alienações; a política interna de gestão de riscos legais; outras informações e recursos relacionados aos riscos legais e sua gestão.

A probabilidade de eventos relacionados a riscos legais pode envolver os seguintes fatores: a gama de leis, juntamente com práticas e convenções de execução pelas autoridades reguladoras pertinentes; a melhoria e o compliance da estrutura existente para a gestão de riscos legais, incluindo estratégias, governança, regras internas e políticas; os funcionários e contratados demonstrarem compliance com as leis e as regras e políticas da organização; a frequência e o número de atividades relacionadas aos riscos legais que ocorrem dentro de um determinado período; a falha em registrar, analisar e aprender com eventos anteriores; o benchmarking da frequência e o número de atividades relacionadas a riscos legais que ocorrem dentro de um certo período contra outras organizações. O Anexo C fornece orientações adicionais sobre como estimar a probabilidade de eventos relacionados a riscos legais.

As orientações para a gestão da inovação

Deve-se compreender os parâmetros para o estabelecimento, implementação, manutenção e melhoria contínua de um sistema de gestão da inovação para uso em todas as organizações estabelecidas.

A NBR ISO 56002 de 10/2020 – Gestão da inovação – Sistema de gestão da inovação – Diretrizes fornece orientação para o estabelecimento, implementação, manutenção e melhoria contínua de um sistema de gestão da inovação para uso em todas as organizações estabelecidas. É aplicável a organizações que buscam sucesso sustentado desenvolvendo e demonstrando sua capacidade de gerir eficazmente atividades de inovação para alcançar os resultados pretendidos; usuários, clientes e outras partes interessadas, buscando confiança nas capacidades de inovação de uma organização; organizações e partes interessadas que buscam melhorar a comunicação por meio de um entendimento comum do que constitui um sistema de gestão da inovação; provedores de treinamento, avaliação ou consultoria em gestão da inovação e sistemas de gestão da inovação; formuladores de políticas, visando maior eficácia dos programas de apoio, visando as capacidades de inovação e competitividade das organizações e o desenvolvimento da sociedade.

Todas as diretrizes contidas neste documento são genéricas e destinadas a serem aplicáveis a todos os tipos de organizações, independentemente do tipo, setor ou tamanho. O foco está nas organizações estabelecidas, com o entendimento de que tanto as organizações temporárias quanto as startups também podem se beneficiar da aplicação destas diretrizes no todo ou em parte. Aplicáveis a todos os tipos de inovações, por exemplo, produto, serviço, processo, modelo e método, variando de incremental a radical; a todos os tipos de abordagens, por exemplo, atividades de inovação interna e aberta, inovação direcionada ao usuário, mercado, tecnologia e design. Não descreve atividades detalhadas dentro da organização, mas fornece orientação em nível geral. Não prescreve quaisquer requisitos ou ferramentas ou métodos específicos para atividades de inovação.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Por que promover uma cultura que apoie as atividades de inovação?

Por que adotar uma abordagem para a gestão da colaboração interna e externa?

Como a empresa deve ter o foco na realização de valor?

Como executar o estabelecimento da política de inovação?

A capacidade de inovação de uma organização é reconhecida como um fator-chave para crescimento sustentado, viabilidade econômica, aumento do bem-estar e desenvolvimento da sociedade. As capacidades de inovação de uma organização incluem a capacidade de entender e responder às mudanças nas condições de seu contexto, buscar novas oportunidades e alavancar o conhecimento e a criatividade das pessoas dentro da organização, e em colaboração com as partes interessadas externas. Uma organização pode inovar de maneira mais eficaz e eficiente se todas as atividades necessárias e outros elementos inter-relacionados ou interagentes forem geridos como um sistema.

Um sistema de gestão da inovação orienta a organização a determinar sua visão, estratégia, política e objetivos de inovação e estabelecer o suporte e os processos necessários para alcançar os resultados pretendidos. Os benefícios potenciais da implementação de um sistema de gestão da inovação de acordo com este documento são maior capacidade de gerir incertezas; aumento do crescimento, receita, rentabilidade e competitividade; redução de custos e desperdícios e aumento da produtividade e eficiência de recursos; maior sustentabilidade e resiliência; maior satisfação de usuários, clientes, cidadãos e outras partes interessadas; renovação sustentada do portfólio de ofertas; pessoas engajadas e com poder de decisão na organização; maior capacidade de atrair parceiros, colaboradores e financiamento; reputação e valorização aprimoradas da organização; conformidade facilitada com os regulamentos e outros requisitos pertinentes.

Este documento é baseado em princípios de gestão da inovação. Um princípio de gestão da inovação inclui uma declaração do princípio, uma justificativa do porquê o princípio é importante para a organização, alguns exemplos de benefícios associados ao princípio e, finalmente, exemplos de ações que a organização pode executar para melhorar o desempenho ao aplicar o princípio. Os seguintes princípios são a base do sistema de gestão da inovação: realização de valor; líderes focados no futuro; direção estratégica; cultura; exploração de insights; gestão da incerteza; adaptabilidade; abordagem sistêmica.

Os princípios podem ser considerados como um conjunto aberto a ser integrado e adaptado dentro da organização. Dessa forma, um sistema de gestão da inovação é um conjunto de elementos inter-relacionados e interativos, visando a realização de valor. Ele fornece uma estrutura comum para desenvolver e implantar recursos de inovação, avaliar o desempenho e alcançar os resultados pretendidos.

Os elementos podem ser gradualmente adotados para implementar o sistema de acordo com o contexto e as circunstâncias particulares da organização. Todos os benefícios podem ser obtidos quando todos os elementos do sistema de gestão da inovação são adotados pela organização. Por fim, a implementação efetiva do sistema de gestão da inovação depende do comprometimento da Alta Direção e da habilidade dos líderes de promover recursos de inovação e uma cultura que apoie as atividades de inovação.

O ciclo Planejar-Fazer-Verificar-Agir (PDCA) permite a melhoria contínua do sistema de gestão da inovação para assegurar que as iniciativas e processos de inovação sejam adequadamente apoiados, dotados de recursos e geridos, e que oportunidades e riscos sejam identificados e tratados pela organização. O ciclo PDCA pode ser aplicado ao sistema de gestão da inovação como um todo ou suas partes. A figura 1 abaixo ilustra como as Seções 4 a 10 podem ser agrupadas em relação ao ciclo PDCA. O ciclo é informado e dirigido pelo contexto da organização (Seção 4) e sua liderança (Seção 5).

O ciclo pode ser descrito brevemente da seguinte maneira: Planejar: estabelecer os objetivos e determinar as ações necessárias para lidar com as oportunidades e os riscos (Seção 6); Fazer: implementar o que é planejado em termos de suporte e operações (Seções 7 e 8); Verificar: monitorar e (quando aplicável) medir os resultados em relação aos objetivos (Seção 9); Agir: tomar medidas para melhorar continuamente o desempenho do sistema de gestão da inovação (Seção 10). As atividades de inovação precisam lidar com altos graus de variação e incerteza, principalmente durante as fases criativas iniciais.

Eles são explorativos e caracterizados por pesquisa, experimentação e aprendizado. À medida que o processo avança, o conhecimento é adquirido e a incerteza é reduzida. As iniciativas de inovação envolvem assumir riscos e nem todas resultam em inovação. As iniciativas descontinuadas são parte integrante dos processos e fontes de aprendizado como insumo para futuras iniciativas de inovação.

O grau de risco aceitável depende da ambição de inovação, das capacidades da organização e dos tipos de inovações abordados pela organização. A gestão de riscos pode ser abordada por diferentes abordagens, por exemplo, aprendizado iterativo, parceria ou diversificação de portfólio com diferentes níveis de risco. Uma abordagem de sistemas é fundamental para entender as interdependências e gerir as incertezas.

As iniciativas de inovação podem ser implementadas por processos que identificam oportunidades, criam e validam conceitos e desenvolvem e implantam soluções. Esses processos de inovação são implementados aos tipos de inovações que a organização procura alcançar. As organizações podem estabelecer estruturas unificadas ou separadas para implementar atividades de inovação. Estas podem requerer diferentes estilos, competências e culturas de liderança.

A implementação de um sistema de gestão da inovação pode incentivar a organização a desafiar o status quo e as premissas e estruturas organizacionais estabelecidas. Isso pode ajudar a organização a gerir incertezas e riscos com mais eficácia. Este documento aplica a estrutura desenvolvida pela ISO para melhorar o alinhamento entre suas normas internacionais para sistemas de gestão (consultar ISO/IEC Directives, Part 1, Consolidated ISO Supplement, Annex SL).

Esta estrutura permite que uma organização alinhe ou integre seu sistema de gestão da inovação às diretrizes ou requisitos de outras normas de sistema de gestão. Este documento é referente à família da ISO 56000, desenvolvida pelo ISO/TC 279, da seguinte forma: ISO 56000 Innovation management – Fundamentals and vocabulary fornece um background essencial para o correto entendimento e implementação deste documento; ISO TR 56004 Innovation management assessment – Guidance fornece diretrizes para as organizações planejarem, implementarem e acompanharem uma avaliação da gestão da inovação; ISO 56003 Innovation management – Tools and methods for innovation partnership – Guidance; e as normas subsequentes fornecem orientação sobre ferramentas e métodos para apoiar a implementação do sistema de gestão da inovação.

A implementação de um sistema de gestão da inovação eficaz e eficiente pode ter impacto ou ser impactado por outros sistemas de gestão e pode requerer integração em vários níveis. As normas do sistema de gestão se complementam, mas também podem ser usados independentemente. Este documento pode ser implementado em conjunto com outras normas do sistema de gestão, ajudando as organizações a equilibrar a exploração de ofertas e operações existentes, com a exploração e introdução de novas ofertas.

As organizações podem encontrar um equilíbrio entre as diretrizes de gestão da inovação e outras normas do sistema de gestão. As organizações que não adotaram outras normas de sistema de gestão podem adotar este documento como orientação independente em sua organização. Dessa forma, convém que a organização determine regularmente: as questões externas e internas pertinentes para seu propósito e que afetam sua capacidade de alcançar os resultados pretendidos de seu sistema de gestão da inovação; as áreas de oportunidade para realização de valor potencial.

Convém que a organização verifique e analise regularmente o contexto externo, considerando questões relacionadas a: diferentes áreas abrangendo aspectos econômicos, de mercado, sociais, culturais, científicos, tecnológicos, legais, políticos, geopolíticos e ambientais; âmbito geográfico, seja ele internacional, nacional, regional ou local; experiência passada, situação atual e possíveis cenários futuros; velocidade e resistência a mudanças; probabilidade e impacto potencial das tendências; oportunidades e ameaças potenciais, também aquelas que podem resultar de disrupções; partes interessadas.

Convém que a organização analise regularmente seu contexto interno, incluindo capacidades e recursos, considerando questões relacionadas a sua visão, nível de ambição, direção estratégica e competências essenciais; práticas de gestão existentes, estruturas organizacionais e uso de outros sistemas de gestão; desempenho geral da organização e desempenho de inovação, por exemplo, realizações e falhas no passado recente e comparadas com outras organizações pertinentes; aspectos operacionais, por exemplo, processos, orçamento, controle e colaboração; potencial e maturidade (posição no ciclo de vida) das ofertas atuais e modelos de realização de valor; a singularidade de seu pessoal, conhecimentos, habilidades, tecnologias, propriedade intelectual, ecossistemas, marcas, parcerias, infraestrutura, etc.; adaptabilidade de estratégias, processos, alocação de recursos, etc.; aspectos culturais, como valores, atitudes e comprometimento em todos os níveis da organização; as competências de inovação de seu pessoal ao longo do tempo.

As partes interessadas externas podem ser usuários, clientes, cidadãos, comunidade local, grupos de interesses especiais, parceiros, provedores externos, consultores, sindicatos, concorrentes, proprietários, acionistas, organizações financiadoras, reguladores, autoridades públicas, órgãos normativos, indústria e associações comerciais. As partes interessadas internas podem ser funcionários de todos os níveis e outras pessoas que trabalham em nome da organização.

Convém que a organização determine, monitore e revise as partes interessadas, internas ou externas, atuais ou potenciais, pertinentes para o sistema de gestão da inovação e as áreas de oportunidade; as necessidades, expectativas e requisitos aplicáveis dessas partes interessadas; como e quando interagir ou se envolver com as partes interessadas pertinentes. As necessidades e expectativas das partes interessadas podem estar relacionadas a necessidades e expectativas atuais ou futuras; necessidades e expectativas declaradas ou não declaradas; realização do valor, financeiro e não financeiro; diferentes graus de novidade e mudança, de incremental para radical; mercados existentes ou a criação de novos mercados; qualquer produto, serviço, processo, modelo, método, etc.; ofertas dentro, adjacentes ou mais distantes do escopo atual da organização; o aprimoramento ou substituição das ofertas atuais; a própria organização ou sua cadeia de valor, rede ou ecossistema; requisitos estatutários e regulamentares e compromissos de conformidade.

A organização deve determinar e selecione as oportunidades de melhoria e implemente as ações e mudanças necessárias no sistema de gestão da inovação, considerando os resultados da avaliação de desempenho. Convém que a organização considere ações e alterações para manter ou aprimorar pontos fortes; abordar pontos fracos e lacunas; corrigir, impedir ou reduzir desvios e não conformidades.

Convém que a organização assegure que as ações e mudanças sejam implementadas de maneira oportuna, completa e eficaz. Convém que a organização comunique ações e mudanças dentro da organização e com outras partes interessadas pertinentes, a fim de estimular o aprendizado e a melhoria. Um desvio pode ser descrito como uma lacuna identificada, um efeito indesejável ou uma diferença do desempenho esperado, enquanto uma não conformidade é o não cumprimento de um requisito.