por Fernando Henrique Zanoni | 9 ago 2021 | Conformidade e Integridade
Após aproximadamente um ano e meio de crise vivenciada globalmente em virtude do coronavírus, começa-se a vislumbrar um novo recomeço para pessoas e organizações com o avanço da vacinação no Brasil e no mundo.
Ainda que seja arriscado especular quando a COVID-19 finalmente será passado, antes de recalibrar determinados processos e controles internos e voltar ao (novo) normal, é necessário ter um olhar crítico para verificar como esse cenário de incertezas foi enfrentado e superado.
Depois de uma crise é importante fazer determinados questionamentos com o intuito de verificar se o processo de resposta às adversidades foi aprimorado, do contrário eventos subsequentes poderão representar perdas ainda maiores para as organizações que não conseguirem tirar lições dos tempos de dificuldade.
Nesse sentido, e como sugestão, nosso Sócio-Diretor Fernando Henrique Zanoni, propôs a seguir alguns pontos do processo de gestão de crises a serem reavaliados ao término de uma situação de provação:
- “Existe um processo devidamente implementado na organização que permita com certo grau de segurança identificar, analisar e gerir riscos? Esse processo se mostrou eficiente durante a última crise experienciada?”
- “O processo de análise de riscos permite calcular de maneira precisa a possibilidade de ocorrência de determinadas situações? Na última crise o seu impacto foi subestimado?”
- “Existem recursos suficientes para sustentar a organização durante uma nova crise? Quanto a capacidade econômico-financeira da organização foi afetada na última crise?”
- “O processo de comunicação interna e externa foi bem realizado durante a crise passada? Como ele pode ser aprimorado em uma crise futura?”
- “O que outras organizações fizeram de diferente durante a última crise?”
- “A quem ou quais foram os red flags eventualmente ignorados pela organização e que se observados poderiam ter mitigado as perdas enfrentadas na última crise?”
por Fernando Henrique Zanoni | 14 mar 2021 | Conformidade e Integridade
O assédio sexual pode ser caracterizado pela insistente intimidação de uma pessoa com propósitos sexuais ou qualquer comportamento sexual coercitivo, indesejado e sem reciprocidade, seja ele praticado de forma verbal ou física. É importante criar controles para evitar a ocorrência de Assédio dentro das organizações, haja vista os riscos reputacionais que casos dessa natureza podem acarretar, como bem mostrou o movimento #metoo.
Controles para evitar o Assédio Sexual:
- Criar normas e diretrizes claras com a definição e exemplos de assédio sexual;
- Criar um protocolo de investigação, preferencialmente com pessoas do mesmo gênero e orientação sexual entrevistando as potenciais vítimas de assédio;
- Criar um processo de monitoramento das vítimas, de modo a preservá-las e a prevenir qualquer tipo de retaliação;
- Aplicar sanções proporcionais aos assediadores, independente do cargo exercido dentro da organização;
- Adaptar os treinamentos para situações que possam ocorrer ou até mesmo que já ocorreram na organização, obviamente preservando a identidade dos envolvidos.
Quer saber mais sobre nossas edições do Doses de Compliance?
Acesse nossas mídias sociais:
www.instagram.com/codigo_conduta/ e www.linkedin.com/company/codigoconduta
por Fernando Henrique Zanoni | 13 mar 2021 | Conformidade e Integridade
Muito tem se falado sobre a agenda ESG (Environmental, Social & Governance) nas empresas, contudo vejo que o tema muitas vezes é tratado de maneira apaixonada ou até mesmo politizada, com pouco foco na Governança.
É importante entender que muito desse debate teve origem nos Estados Unidos em razão de debates judiciais versando sobre o propósito das organizações, ou seja, está relacionado ao equilíbrio entre os deveres fiduciários de executivos e membros de Conselhos de Administração para com os acionistas e outras partes interessadas.
Nesse sentido, preocupa-me que organizações abracem causas sociais ou ambientais em razão de pressões externas sem o devido planejamento, sem desenvolver robustos indicadores de gestão, ou até mesmo levando a polarização política para o mercado, ou seja, com muito foco no discurso e pouca prática.
Por essa razão, é preciso que as empresas reavaliem o seu propósito de olho nessas demandas sociais e ambientais, mas sem esquecer o seu core business, desenvolvendo mecanismos que permitam avaliar de maneira efetiva o impacto de suas operações e pensando em maneiras de equilibrar os interesses de acionistas e outras partes interessadas, tais como empregados, consumidores e comunidade em geral.
Um bom exemplo disso é a Philip Morris, que recentemente lançou um Relatório Integrado bastante completo, que integra performance financeira e não financeira e que inclusive faz menção direta à contribuição expressa aos Objetivos de Desenvolvimento Sustentável propostos pela Agenda 2030.
Fernando Henrique Zanoni é sócio da CódigoConduta.com e aluno do curso de Capitalismo Sustentável e ESG da Universidade da Califórnia (Berkeley School of Law). O relatório da Philip Morris pode ser acessado no link https://www.pmi.com/media-center/news/pmi-s-2020-integrated-report-shows-progress-toward-accelerating-the-end-of-smoking
por Fernando Henrique Zanoni | 13 mar 2021 | Conformidade e Integridade
Fernando Henrique Zanoni (Sócio da CódigoConduta.com)
Escrevo o presente artigo exatamente um dia após receber a confirmação de que um cliente, escritório de advocacia de Rondônia, recebeu a Certificação do seu Sistema de Gestão Antissuborno, motivo pelo qual me atrevo desde logo a responder à pergunta que encabeça este texto com um sonoro SIM, adotar o framework proposto pela Norma ISO 37001 serve a organizações dos mais variados portes e segmentos de atuação, inclusive pequenas e médias empresas.
Todavia, entendo que o tema é relativamente novo e pode suscitar outros questionamentos àqueles que não estão tão familiarizados com o conceito de compliance antissuborno e com a metodologia trazida pela norma, portanto, tentarei esclarecer a questão principal a partir de respostas para outras perguntas, de maneira didática e simplificada.
Então, vamos lá!
1. O que é a ISO 37001?
A ISO 37001 é uma norma proposta por uma organização internacional não-governamental independente (International Organization for Standardization – ISO) que especifica requisitos e fornece orientações padronizadas para implementação, manutenção, análise crítica e melhoria contínua de um sistema de gestão antissuborno. Seu objetivo é mitigar riscos de ocorrência de suborno nos setores público, privado e sem fins lucrativos, pelas e para as organizações, por e para seus colaboradores e seus parceiros de negócio, de maneira direta ou indireta. Destaco aqui que o conceito de suborno para essa norma vai além de situações envolvendo agentes públicos e contempla também o pagamento/recebimento de suborno nas relações entre particulares.
2. Quais as vantagens para minha empresa?
Seguir os requisitos e orientações da norma ISO 37001 permite que a organização postule a respectiva certificação de conformidade do seu sistema de gestão antissuborno. Em outras palavras, a organização terá um selo de eficácia do seu sistema de gestão, o qual, por ser emitido com a chancela de um organismo internacional, é reconhecido mundialmente. Essa certificação, entendo, além de valorizar a organização certificada perante o mercado no qual está inserida também já é vista como um diferencial para aquelas empresas que fornecem produtos e/ou serviços para a Administração Pública, representando uma vantagem competitiva em certames licitatórios.
3. Como funciona o processo de implementação do Sistema de Gestão de acordo com a ISO 37001?
A metodologia proposta pela norma ISO 37001 está baseada no ciclo PDCA, também chamado de Ciclo de Deming, que consiste em uma sistemática que tem como objetivo promover a melhoria contínua dos processos a partir de quatro etapas: planejar (plan), fazer (do), checar (check) e agir (act). Colocando em prática tal metodologia, o Sistema de Gestão Antissuborno é implementado a partir da revisão das estruturas de governança, gestão de riscos e controles internos, passa pela concepção de normas de conduta, procedimentos corporativos e outras informações documentadas, implementação de ferramentas de compliance como canais de denúncia e continua com a checagem de efetividade de todos os mecanismos adotados e com a adoção de planos de ação que visam sua melhoria contínua.
4. Que políticas e procedimentos compõem um Sistema de Gestão Antissuborno robusto e efetivo?
Cada organização tem suas peculiaridades, mas para um Sistema de Gestão Antissuborno estar em conformidade com o disposto na norma ISO 37001 é fundamental que existam normas de conduta relacionadas ao gerenciamento de conflito de interesses, às relações com agentes públicos, fornecedores, concorrentes, clientes e parceiros de negócio, à brindes, viagens, presentes e hospitalidades, doações, contribuições e patrocínios. Além disso, recomendo que a organização possua uma política de consequências, uma política de alçadas e uma política de não-retaliação a denunciantes. Por fim, é necessário implementar/revisitar procedimentos operacionais padrão financeiros, de provimento de pessoal, de ações para abordagem de riscos e oportunidades, de não-conformidades, ações corretivas e ações preventivas, de auditoria e monitoramento e de comunicação e treinamento, entre outros.
5. E quanto à certificação? Como proceder?
Antes de postular a certificação do Sistema de Gestão Antissuborno é necessário que o ciclo PDCA tenha “rodado” ao menos uma vez, ou seja, que os mecanismos de compliance adotados tenham sido auditados e que eventuais problemas tenham sido solucionados. Para tanto, recomendo fortemente que a organização promova a realização de uma auditoria interna com um profissional experiente e independente, que irá avaliar o sistema de gestão de maneira isenta, preocupando-se única e exclusivamente com seus aspectos técnicos e com a verificação de conformidade com o disposto na norma ISO 37001. Ao término desse processo, realizada a análise crítica pela função compliance antissuborno e pela alta direção e corrigidas as não-conformidades, a organização poderá contratar um organismo de certificação cadastrado no INMETRO para realização da respectiva auditoria, também chamada de Auditoria de 3ª Parte, que será realizada por um profissional também acreditado.
6. Existem ferramentas que podem auxiliar todo esse processo?
O processo de certificação passa obrigatoriamente por uma minuciosa análise de toda a informação documental que compõe o Sistema de Gestão Antissuborno. Assim, possuir uma ferramenta tecnológica que reúna todo esse arcabouço documental e consiga demonstrar de maneira efetiva a jornada do ciclo PDCA em uma única plataforma pode facilitar o trabalho do próprio auditor e demonstrar a padronização e o cuidado da organização para com o seu Sistema de Gestão.
Antes de encerrar, creio ser fundamental alertar que o processo de implementação de um Sistema de Gestão Antissuborno ou de adequação de um Programa de Compliance para atender aos requisitos da norma ISO 37001 exige planejamento e, principalmente, comprometimento de todas as esferas da organização, da alta liderança à base, mas que, se bem organizado, pode representar melhoria de processos corporativos, redução de custos e mitigação de riscos.
Quer saber mais? Entre em contato e vamos conversar sobre o tema.
por Fernando Henrique Zanoni | 23 abr 2019 | Artigos
Os primeiros 10 capítulos da série “LGPD na Prática” permitiram ao leitor entender quais empresas são impactadas pela nova regulamentação, qual a melhor maneira para estruturar um sistema de governança de dados, como gerar um inventário de dados pessoais e mecanismos de transferência, de que maneira implementar uma política de privacidade, como as rotinas da organização são afetadas pela nova lei, de que forma treinar e como se comunicar com colaboradores e demais stakeholders com relação à temas de segurança e privacidade de dados, de que forma mapear e gerenciar riscos próprios e de terceiros, como aplicar avisos legais (“disclaimers“) e de que modo estabelecer procedimentos internos para responder tempestivamente às solicitações e reclamações de usuários.
O presente capítulo será destinado a tratar do chamado “Privacy by Design“, ou seja, como identificar nas práticas operacionais novos processos, ou processos já existentes, que já estejam ou possam vir a estar relacionados à coleta, processamento e tratamento de dados, de modo a adapta-los, à nova legislação, às regulamentações internacionais e às normas de conduta e políticas internas, visando preservar o direito à privacidade do usuário final. Em outras palavras, deve-se propugnar pela proteção de dados em todos os estágios do negócio, ou seja, desde o design de um sistema, produto ou serviço até todo o seu ciclo de vida, instaurando medidas técnicas e organizacionais que objetivem prever riscos e eventos invasivos de privacidade antes que eles ocorram e tomando medidas para evitar danos ao titular dos dados. Para tanto, passo a elencar alguns passos a serem seguidos:
1. Manter diretrizes e modelos detalhando como conduzir avaliações de impacto de privacidade ou avaliações de impacto de proteção de dados para garantir que os riscos de proteção de dados são medidos e analisados periodicamente quando há um novo projeto envolvendo o uso de dados pessoais, novos sistemas de segurança da informação ou o compartilhamento de dados com terceiros, e também no caso de projetos já em andamento e sistemas existentes. As avaliações de impacto de privacidade devem ser conduzidas o mais cedo possível no ciclo de vida do projeto (daí a expressão Privacy by Design), para que recomendações possam ser incorporadas durante o seu andamento, identificando os riscos que a iniciativa planejada possa fazer emergir e formas alternativas de processamento dos dados pessoais para mitigar essas ameaças potenciais. Nas avaliações de impacto de privacidade devem estar envolvidos o Data Protection Officer (DPO), um profissional de segurança da informação, o processador dos dados e um consultor jurídico especialista em privacidade de dados. A ICO (Information Commissioner’s Office), autoridade britânica criada para defender os direitos de informação, disponibiliza um template bastante intuitivo que pode ser usado como apoio para realização de uma avaliação de impacto de privacidade.
2. Estruturar a avaliação de impacto de privacidade de maneira lógica e procedimentalizada. A avaliação de impacto de privacidade deve ser concebida de forma coerente, de modo a permitir que todos da organização sigam o mesmo norte quando da necessidade de realiza-la. Isso significa que deve ser procedimentalizada. Nesse sentido, sugere-se sejam adotados ao menos os seguintes passos: (i) estudo do contexto, com um overview do processo e do produto ou serviço, fase na qual são identificados o controlador e o processador, quais serão os dados a serem processados e armazenados e o ciclo de vida desses dados (preferencialmente com um diagrama de fluxos e uma descrição detalhada do passo a passo); (ii) estudo dos princípios fundamentais, com a identificação da justificativa para recolhimento dos dados, a legalidade do tratamento, minimização de dados, qualidade, duração dos registros, informações para os titulares, obtenção do consentimento do titular e possibilidade de acessar seus dados diretamente, portabilidade, possibilidade de retificar e apagar os dados, contestar ou restringir o processamento e transferência para outras jurisdições, explicando e justificando as escolhas feitas e descrevendo os controles selecionados para cumprir os requisitos legais; (iii) estudo dos riscos de segurança de dados, a ser executado pelo responsável pelo projeto, avaliação de controles existentes ou planejados sobre os dados processados, sobre a segurança do sistema no qual o processamento é realizado e no gerenciamento do projeto, no caso de incidentes e violações e na relação com terceiros; (iv) validação da avaliação de impacto, fase na qual os resultados das fases anteriores são consolidados e apresentados, com o mapeamento dos riscos e os respectivos planos de ação para mitiga-los. O framework proposto pela CNIL, autoridade administrativa independente da França, disponível no link a seguir (https://www.cnil.fr/en/privacy-impact-assessment-pia), também pode ser bastante útil aos profissionais que terão a função de preparar o plano de avaliação de impacto dentro das organizações.
3. Envolver terceiros como parte destes processos de avaliações de impacto de privacidade ou de proteção de dados. Na avaliação de impacto de privacidade a participação de partes interessadas como usuários de sistemas, clientes, colaboradores e até mesmo os órgãos reguladores pode oferecer novas perspectivas sobre os riscos. Por essa razão, buscar a opinião desses stakeholders pode ser útil durante o desenvolvimento de um novo projeto, seja por meio de surveys ou mesmo da imersão total para melhor entendimento de quais são e como se dará o processamento e armazenamento dos dados.
4. Acompanhar e abordar os problemas de proteção de dados identificados durante as avaliações. Uma avaliação de impacto de privacidade ou de proteção de dados geralmente é iniciada com um processo de assessment, na qual perguntas são feitas para identificar se a iniciativa proposta terá ou não impacto sobre os direitos e liberdades dos indivíduos quanto à proteção de dados. As perguntas devem ser projetadas de modo que sejam fornecidos indicadores sobre o grau, o escopo e a escala dos problemas de privacidade. Auxilia nesta etapa a elaboração de uma planilha compartilhada de Project Management, na qual são identificados os riscos, as respectivas soluções, proteções e/ou processos alternativos para mitiga-los, os responsáveis pela sua implementação e a pessoa responsável para endereçamento de preocupações futuras relacionadas à essas ameaças na eventualidade de surgir quaisquer problemas.
5. Elaborar relatórios para os reguladores e partes interessadas, quando necessário. O relatório de avaliação de impacto de proteção de dados detalhará os riscos identificados durante o processo e os priorizará de acordo com a gravidade, devendo ainda esclarecer quais são os impactos sobre os direitos dos titulares dos dados caso os riscos venham a ocorrer, além de recomendar a adoção de controles apropriados para mitiga-los e reduzi-los a um nível aceitável. Estes relatórios poderão ser submetidos aos reguladores ou a terceiros que tenham ou não participado do processo, para que todos sejam informados acerca dos riscos de privacidade antes do lançamento de um novo produto, sistema ou processo.
No próximo capítulo, irei discorrer sobre como conduzir de forma estruturada a apuração e correção de violações de privacidade.
Para acessar o primeiro capítulo da Série, clique aqui.
Comentários