Como fazer Gestão em Compliance na sua organização
×

LGPD: como organizar e manter seguro os processos da sua empresa?

Há algum tempo, a segurança de dados e informações tem sido assunto muito discutido nas organizações. E tudo, é claro, num tom polêmico devido às várias tentativas de prorrogação de algo inevitável.  Embora o objetivo da LGPD seja a proteção de dados e informações como instrumento de segurança jurídica, o assunto tem dividido opiniões.

O objetivo desse artigo é apresentar o contexto da Lei que até o momento, entra em vigência imediatamente segundo o Senado Brasileiro ( ainda dependendo de Sanção), com o objetivo de dar a você leitor, fontes de cunho impessoal, para formação da sua opinião.

Boa leitura!

LGPD: entrou em vigor ou não?

Ontem, 26.08.2020, houve no Senado a votação da Medida Provisória nº 959 que altera a data de vigência da Lei Geral de Proteção de Dados, conhecida como LGPD, para 03 de maio de 2021. Isso ocasionou o adiamento da norma, que não mais ocorrerá em 2021. Contudo, nos termos do artigo 62, § 12º, da Constituição Federal, considerando a aprovação parcial do projeto de conversão da MP em Lei, a Medida Provisória 959 se mantém integralmente vigente, até que seja sancionado ou vetado o projeto.

Além disso, ontem foi publicado também Decreto nº 10.474 pela Presidência da República que aprova a estrutura regimental da Autoridade Nacional de Proteção de Dados – ANPD. Isso significa que, em breve, a fiscalização referente a proteção de dados será efetiva. Cabendo as organizações se reestruturarem seus processos internos, para não sofrerem sanções desnecessárias.

Apesar desse cenário instável em relação a aprovação da lei LGPD para este ano, a VG tem aconselhado aos seus clientes se adequem urgentemente a esta norma, posto que ela será aprovada e entrará em vigor, com a aprovação pelo Congresso Nacional e sanção da Presidência da República. A VG acredita que independente da aprovação agora ou mais tardia, as organizações precisam implementar seus processos internos com foco na proteção e segurança dos dados e informações de seus clientes.

Estamos todos ansiosos quanto a questão de vigência da norma, se ela será resolvida ou não, entretanto, a única certeza que temos até o momento é que estamos todos diante de um cenário de incerteza e insegurança jurídica de dados e informações.

Por fim, como o adiamento foi derrubado, a assessoria de imprensa do senado alega que a LGPD passaria a valer já a partir de hoje, quinta feira, 27 de agosto de 2020, com ou sem a sanção do presidente.

Nós especialistas, acreditamos que não seria o caso de já entrar em vigor a partir de amanhã, retroagindo no dia 14/08/2020, somos positivos no sentido de que só valerá após a sanção presidencial, que deve ocorrer em 15 dias uteis após o recebimento do projeto na casa civil.

Sugestão de leitura: O que é LGPD? Como ela funciona?

Há previsão para aprovação do projeto de conversão da MP em lei?

De acordo com o art. 66, da Constituição Federal, o Senado deverá enviar o projeto de conversão da MP em Lei ao Presidente Jair Bolsonaro, que poderá aprovar, vetar total ou parcialmente e até mesmo se silenciar. No entanto, o que importa realmente é que o Presidente poderá concordar ou não com a decisão do Senado em prejudicar o artigo 4º da MP que determina que não deverá ocorrer adiamento da LGPD.

Pode-se pensar, nesse momento, em alguns possíveis cenários quanto à vigência da LGPD:

A MP 959|2020 não é convertida em lei: hipótese em que a LGPD entra em vigor imediatamente, sendo as sanções aplicáveis apenas a partir de agosto de 2021 conforme o RJET;

A MP 959|2020 é convertida em lei, vigorando com o RJET: a LGPD entraria em vigor no dia 3 de maio de 2021, no entanto, as sanções seriam aplicáveis apenas a partir de agosto de 2021;

A MP 959|2020 é convertida em lei revogando o RJET: a LGPD entraria em vigor no dia 3 de maio de 2021 em sua integralidade, com a possibilidade de aplicação das sanções.

Diante do exposto, recomendamos novamente aos nossos clientes que se adequem à LGPD o quanto antes, tendo em vista que, a qualquer momento, ela poderá entrar em vigor, com a aprovação pelo Congresso Nacional e sanção da Presidência da República.

Esse cenário de incerteza é uma grave ameaça a segurança jurídica dos dados e informações, visto que pode haver cenários no qual as organizações podem sofrer graves sanções previstas no Marco Civil da Internet, esperando pela votação da lei para se adequarem. Por isso, a VG salienta mais uma vez, a importância de implementar um sistema de segurança da informação, assegurando a saúde empresarial.

Sugestão de Leitura: Lei de proteção aos dados pessoais: como ela afetará a relação entre as empresas e seus clientes?

Processo de Implementação de um Sistema de Segurança da Informação

Independente do seu ramo de atividade, mas, principalmente para aqueles que desenvolvem softwares, as organizações deverão adequar os procedimentos internos dos processos, no que tange a norma de proteção de dados. Mesmo que a LGPD não tenha sido aprovada até o momento, ela está em tramitação no Congresso e em estado em evidência, trazendo à tona discussões sobre formas das organizações implementarem e monitorarem seu sistema de informação.

Salientamos, que a LGPD possui conexão muito forte com o sistema da Informação, por isso, é preciso estruturar os processos das áreas internas no tocante às diretrizes da norma. Inclusive, há a norma ISO 27001 que aborda essa temática, preparando as organizações para as mudanças de mercado.

A Verde Ghaia acredita que a prevenção é o ponto mais importante para o crescimento das organizações. Por isso, a VG tem se preparado para esse momento há um bom, primeiro por ter em seu DNA a inovação, o futuro e segundo por estar sempre antenada nas mudanças e transformações do mercado, como ocorreu esse ano, o mundo inteiro migrou do analógico para o digital, fortalecendo ainda mais a Projeto de lei de proteção de dados.

A primeira transformação começou dentro da própria VG, com SOGI Lira sobre a temática de proteção dos dados e o início da implementação do sistema de proteção de dados e informação com base na LGPD, no Marco Civil da Internet e com referências normativas, como, por exemplo, a interface muito próxima à ISO 37001.

Sugestão de Leitura: Como manter seus dados seguros em mundo virtual?

Importância de um Sistema de Gestão com Proteção de Dados

A implementação de um sistema de gestão de proteção de dados, é um tópico muito importante para as empresas se adequarem e manterem seu crescimento saudável, sem qualquer tipo de surpresa. Além disso, muitas ações relacionadas a proteção de dados têm conexão com a proteção de eventuais desvios e subornos nas organizações, por isso essa conexão entre as duas áreas é tão importante.

Aproveito para convidá-los a conhecer a Legislação Comentada que trata de assuntos jurídicos variados, como a LGPD. Ou acesse o VGPlay, uma plataforma de lifelong learning, com conteúdos voltados para o desenvolvimento profissional e a gestão empresarial.

Deivison Pedroza – CEO do Grupo Verde Ghaia


Sugestão de Leitura: Proteção de Dados e Compliance no Contexto atual

Como funciona o universo de leis, seus gargalos, polêmicas e aplicabilidades?

Verde Ghaia lança um novo produto, Legislação Comentada! Entenda como funciona esse universo das leis, seus gargalos, polêmicas e aplicabilidades.

O Poder Legislativo é responsável por produzir e manter o sistema normativo vivo, que é o conjunto de leis que asseguram a soberania da justiça para todos, sejam estes cidadãos, instituições públicas ou privadas, visando resguardar a segurança jurídica das relações entre eles existentes.

Sempre foi difícil fazer o acompanhamento de todas as normas e as obrigações legais delas decorrentes em tempo real, e, durante a pandemia do COVID-19 podemos dizer que está quase impossível! É uma “enxurrada” de Portarias, Decretos, Medidas Provisórias editados diariamente.

A Verde Ghaia, empresa especializada em gestão empresarial, com a primeira plataforma online de controle de leis do país, o chamado “SOGI”, responsável por agilizar o processo de monitoramento das legislações federais, estaduais e municipais, de seus clientes, trouxe a solução para você com o produto “LEGISLAÇÃO COMENTADA”.

Como entender os gargalos das Leis?

Através da “Legislação Comentada”  as organizações ficarão atualizadas por meio de  vídeos produzidos por um corpo de advogados altamente especializados para explicar diversos pontos polêmicos das legislações ambientais, trabalhistas e de saúde e segurança ocupacional.

As dúvidas jurídicas mais recorrentes atendidas na plataforma Consultoria Online agora em vídeos curtos, didáticos e com muito conteúdo!

O diferencial desse produto é que você não precisa ser advogado para entender os conteúdos divulgados! Pelo contrário! As informações atualizadas serão passadas de forma descomplicada, para quem queira se inteirar das legislações, de suas polêmicas e desdobramentos.

Por que eu preciso conhecer a lei, se não sou advogado?

E se passou na sua cabeça “por que eu preciso conhecer a lei, se não sou advogado?” Bem, primeiro, porque a própria lei impõe que “Ninguém pode alegar desconhecimento da lei, para justificar o seu descumprimento”.

Segundo porque, ao cumprir a legislação, entender os seus gargalos e os assuntos polêmicos discutidos na atualidade você também consegue:

  • proteger a sua empresa de danos à sua imagem;
  • reduzir exposição de sua empresa a sanções e ações judiciais;
  • aperfeiçoar a governança e subsidiar melhorias de gestão de riscos;
  • evidenciar um compromisso com o cumprimento das legislações,  ganhando força perante os investidores, colaboradores, fornecedores e consumidores;
  • identificar e prevenir a ocorrência de algum descumprimento normativo;
  • adotar, tempestivamente, ações corretivas.

Compreende porque, você não vai ficar fora dessa? Venha aprender conosco! Conheça a Legislação Comentada! Aproveite a oportunidade para acessar os vídeos gratuitamente! É por tempo limitado!

Clientes Verde Ghaia tem 30 dias de acesso gratuito, através da Plataforma SOGI LIRA!

Abraços,

Julia Belisário | Gestão de Risco e Compliance

Como controlar os riscos do negócio e usá-los em suas estratégias?

O gerenciamento de riscos numa organização consiste na identificação, planejamento, administração e controle de seus recursos, que tanto podem ser materiais quanto processuais e humanos. O objetivo desse gerenciamento de riscos é minimizar ao máximo os riscos negativos — aqueles que podem trazer prejuízos — e tirar proveito dos riscos positivos — as chamadas oportunidades.

Para realizar o levantamento de seus riscos e ainda conseguir melhor controle de cada um deles, a Verde Ghaia desenvolveu o Módulo GRC. A metodologia desenvolvida está relacionada aos conceitos da Governança, Risco e Compliance – GRC, visando blindar o modelo comercial em andamento, para que assim, possa assegurar o cumprimento dos requisitos aplicáveis, bem como das obrigações, sem causar qualquer tipo de transtorno ao empreendimento.

Abaixo, selecionamos algumas perguntas mais frequentes, para tentativa de exemplificar o funcionamento do Software GRC na prática. Boa leitura!

Para quem é indicado o Módulo GRC do SOGI?

O módulo é indicado para todas as empresas que precisam de uma gestão preventiva, ética e eficaz de seus riscos e oportunidades, tenha ela certificação da norma ISO ou não.

Ele foi desenvolvido com base na ISO 31000 motivado pelas novas versões da ISO 9001 e ISO 14001, principalmente devido à mudança da OHSAS 18001 para a ISO 45001, na qual passou a ser imprescindível a necessidade de identificar e implementar ações para monitorar os perigos e riscos associados às atividades, aos produtos, aos serviços ou às tarefas da sua organização e também as oportunidades, ou seja, os pontos fortes internos e externos e as vantagens que você tem frente a seus concorrentes. Dessa forma, o módulo ainda atende o item 6.1 dos novos padrões ISO, que exige que as empresas implantem ações para monitorar seus riscos e oportunidades.

Portanto, se você possui certificação, o uso do módulo é garantia de que você estará cumprindo com todos os requisitos e legislações aplicáveis a seu negócio. E, se caso não o possui, ao utilizar o módulo GRC, automaticamente você já estará seguindo as normas de qualidade e gestão de riscos de acordo com padrões internacionais.

Quais as funcionalidades do Módulo GRC?

As principais funções são:

  • Registrar de maneira simples e fácil os riscos e oportunidades do seu negócio;
  • Avaliação através de metodologias personalizadas de acordo com o que for melhor para sua empresa;
  • Notificação de todos os riscos e das ações por e-mail e pelo painel de pendências do sistema;
  • Definição de ações preventivas, corretivas, emergenciais (personalizadas) e de responsáveis e prazos para cada ação;
  • Geração de relatórios e gráficos gerenciais;
  • Classificação da origem do risco e oportunidade;
  • Classificação da severidade do risco e oportunidade;
  • Probabilidade de ocorrência;
  • Critérios de priorização;
  • Gestão e monitoramento da relação com Terceiros.

Quais as melhores metodologias para uma gestão e análise de riscos?

Não existe um único método para fazer a gestão e análise de risco de um projeto ou operação. O que existe são técnicas que podem ser selecionadas e combinadas de acordo com as necessidades dos gestores e de cada empresa. Cada ferramenta possui indicações específicas, pontos fortes e fracos. Algumas são mais adequadas para avaliar as causas de um problema, outras as suas consequências. Tudo depende do seu negócio.

O importante é que toda a organização siga a mesma metodologia em todo o processo. No Módulo GRC já estão inclusas algumas metodologias, mas ele é completamente adaptável à metodologia já utilizada em sua organização.

Qual a importância de ter uma metodologia única para os processos da organização?

Primeiramente, é importanta ter uma metodologia única para todos os seus processos, pois será através dela que você saberá quem a está priorizando.

Gestão de risco é isso: você identifica todos os riscos da empresa, todas as oportunidades e você tem que priorizar. Por exemplo: você tem dez oportunidades de melhoria. O que você vai fazer primeiro? O Módulo GRC permite que você insira campos de avaliação, como uma severidade, uma frequência, uma probabilidade, uma consequência, ou o que você julgar importante.

O sistema GRC vai te ajudar a definir o que será prioridade, qual risco ou qual oportunidade você deverá ser trabalhado primeiro. E então, criam-se as ações relacionadas para abordar esse risco, para reduzir, mitigá-lo ou até eliminá-lo. E, se preciso para implementar uma oportunidade.

A vantagem em usar o Módulo GRC é que você vai nivelar a metodologia com todos da organização. Mesmo analisando riscos e oportunidades completamente diferentes umas das outras, será possível nivelar e incluir questões divergentes em um único lugar. Ou seja, através de uma metodologia única você terá uma visão do todo, vai realmente conseguir estimar o risco real, e terá a certeza do que priorizar.

Qual melhor maneira de realizar a análise dos riscos: automação ou manual?

Realizar o controle de planilhas vai trazer mais riscos para seu negócio, e principalmente riscos que poderiam ser totalmente evitados. O método manual, realizado através de planilhas podem até ser um método mais fácil de uso, por já estar no dia a dia das pessoas, mas ele é insuficiente para realizar uma gestão de riscos eficaz.

Por exemplo, o uso de planilhas dificulta o controle de informação e da gestão, corre o risco de cada um utilizar uma metodologia que achar melhor. As planilhas não permitem a geração de relatórios, não envia e-mails automáticos de notificação, não gera a lista de controle de quem mexeu ou alterou algum dado ou informação, se estão ou não fazendo o trabalho solicitado ou se estão postergando prazos.

E tudo isso, citado acima, o Módulo GRC já possui e ainda, apresenta outras ferramentas para ajudar a eliminar riscos que seu negócio tenha ou que possa vir a ter. Por isso, o controle manual não faz muito sentido para quem deseja agilidade nos processos. O indicado é que a liderança entenda como a automação pode melhorar os processos e contribuir nas tomadas de decisão.

Outro aspecto importante, é que os dados inseridos no Sistema ficam online, permitindo que você o acesse a qualquer hora e qualquer lugar, desde que tenha acesso à internet. Além disso, todas as suas informações ficam seguras e salvas em nuvem, não existindo o risco de perde-los.

Consigo fazer a matriz de risco do meu negócio?

Sim, consegue.

É possível fazer a matriz de risco para todas as unidades corporativas?

Eu consigo desde que eu cadastre todos os usuários na licença de uso do Módulo, nessa unidade corporativa. E independente de quantas sejam, é possível cadastrar as várias unidades que fazem parte do corporativo, e assim fazer a matriz de risco corporativa. Senão fizer isso, não será possível designar os responsáveis pelos riscos e pelas oportunidades das ações.

Qual a relevância de uma matriz de risco quando se pensa numa perspectiva corporativa?

Com o cadastro das unidades, cada uma delas terá a sua priorização dentro de uma mesma licença, e você poderá visualizar qual unidade é mais crítica dentro do corporativo, diante dos problemas. Consegue também avaliar se os riscos são individuais, de cada unidade, ou se é um risco sistêmico. Ou seja, o Módulo GRC permite que você tenha a visão da sua empresa como um todo, mesmo possuindo unidades corporativas espalhadas por todos o Brasil.

Por que realizar a análise e gestão de riscos da minha organização?

Porque traz inúmeros benefícios para você e toda a sua empresa! Para você, é importante e relevante porque te ajuda a:

  • Proteger seu negócio;
  • Evitar perda de valor da empresa devido à ocorrência de crises;
  • Prevenir e prever instabilidades corporativas;
  • Tratar as incertezas e os riscos e oportunidades a elas relacionadas;
  • Melhorar o relacionamento com as partes interessadas;
  • Maximizar o aproveitamento das oportunidades positivas de ganhos;
  • Aumentar a probabilidade de atingir os objetivos;
  • Estimular uma gestão proativa;
  • Estar atento para a necessidade de identificar e tratar os riscos através de oda a organização;
  • Melhorar a identificação de oportunidades e ameaças;
  • Melhorar o reporte das informações financeiras;
  • Estabelecer uma base confiável para a tomada de decisão e o planejamento;
  • Melhorar os controles;
  • Alocar e utilizar eficazmente os recursos para o tratamento de riscos.

Por que o Módulo GRC deve ser relevante na gestão de riscos e compliance?

  • Tem competitividade e atratividade do negócio;
  • Oferece confiança e atratividade aos investidores e financiadores;
  • Está mais preparada para se antecipar a problemas;
  • Por saber se antecipar a problemas, está mais sólida e é mais valiosa aos olhos do mercado;
  • Melhora o planejamento estratégico;
  • Melhora a performance e a produtividade;
  • Atende às normas internacionais e requisitos legais e regulatórios pertinentes;
  • Melhora a governança, auditoria e certificações;
  • Melhora a confiança das partes interessadas;
  • Melhora a eficácia e a eficiência operacional;
  • Otimiza o capital;
  • Melhora o desempenho em saúde e segurança, bem como a proteção do meio ambiente;
  • Melhora prevenção de perdas e a gestão de incidentes;
  • Minimiza perdas;
  • Melhora a aprendizagem organizacional;
  • Desenvolva uma mentalidade de risco na rotina operacional; e
  • Aumenta a resiliência da organização.

Quais os diferenciais que o Módulo GR traz para minha gestão?

O método de avaliação utilizado para a análise dos riscos e oportunidades pode ser adaptado à metodologia já usada no seu negócio. Ou seja, no Módulo GRC é possível configurar os critérios de avaliação e definir a fórmula de cálculo do seu risco de forma personalizada.

Além disso, é um módulo diferente de qualquer outro porque ele é totalmente customizável pelo cliente. Ele tem uma estrutura básica, mas o cliente insere o que ele quiser no sistema. Então é possível, através dele, registrar todos os riscos e oportunidades dos negócios, dos processos, de aspectos e impactos, relacionados à saúde e segurança, segurança de alimentos ou qualquer outro item desejado pelo cliente. Outro diferencial é poder colocar como um critério o custo, tanto para abordar risco quanto para abordar oportunidades. Assim é possível avaliar custo de investimento e retorno financeiro das ações tomadas.

Agende uma demonstração para conhecer na prática as funcionalidades do Sistema SOGI GRC – Governança, Risco e Compliance.

Através do Módulo GRC é possível fazer uma gestão dos riscos e das oportunidades e maneira eficaz, auxiliando as tomadas de decisão de quais ações priorizar. No caso da identificação e análise dos riscos, o Módulo ajuda a prevenir multas, interdições, paralisações das atividades e, até mesmo, perda de capital.

Empresas que buscam por práticas em Compliance

Quando uma empresa se responsabiliza por implementar um sistema de gestão, ela busca ampliar a visão de todo o negócio, incluindo os seus riscos. Portanto, de nada adianta implementar um sistema de gestão, se não houver o envolvimento de todos da organização para que as exigências e o comprometimento com os seus requisitos legais aplicáveis sejam realmente colocados em prática.

Ressalta-se que, um sistema de gestão eficaz circunda várias ferramentas que permitem realizar a avaliação do risco de uma maneira mais clara, possibilitando que a empresa visualize, além da questão ambiental, a questão de qualidade e de saúde e segurança, por exemplo. Dessa forma, o sistema de gestão acaba permitindo que sejam criados padrões de excelência, sem dar oportunidades para margens de erros.

Além disso, é importante que a organização viabilize também um planejamento baseado em estratégias segmentadas nas melhores práticas internacionais, testadas e aprovadas para assim, evitar erros, independentemente do tipo de negócio.

Estar em Compliance ou Ser Compliance?

A explanação acima demonstra que “estar em compliance” não é a mesma coisa que “ser compliance”.  Estar em compliance é algo momentâneo, basta atender as leis. Uma empresa que tem em seu DNA o “ser compliance”, tem em todos os seus procedimentos e na sua própria cultura organizacional a busca pelo “estar em compliance”. Em outras palavras, significa que tudo que é estabelecido dentro da organização é voltado para atender a todos os requisitos legais aplicáveis. Uma empresa que busca isso e faz com que o compliance seja parte do seu DNA, tem por consequência diminuição considerável em sua exposição ao risco.

Esse posicionamento da organização contribui para um ganho maior no quesito segurança jurídica, possibilitando a realização de atividades empresarias mais seguras, a que ela está sujeita.

Estar em Compliance custa caro?

Há um mito no mercado de que investir numa gestão com foco em compliance é caro. Esse mito foi criado por empresas que não enxergam valor agregado na melhoria contínua de seus processos, desejando investir para ganhar em curto prazo. No entanto, investir em um Programa de Compliance para melhorar a Gestão Organizacional, não aumentará os custos, ao contrário, serão propostas as melhorias para que a empresa possa operar com mais segurança, sem correr riscos altissimos que, consequemente, podem levar a falência. Nesses últimos anos, tivemos em Minas Gerais e no Brasil, vários exemplos.

Sendo assim, vale ressaltar que o risco de uma empresa, quando não investe um programa de compliance realmente eficaz, a empresa está propensa a ser autuada. Além disso, as chances de perder mercado, ter sua marca exposta negativamente, pode fazer um estrago muito maior que dinheiro algum será capaz de consertar. Será um trabalho penoso e longo para reconstruir o seu negócio.

Em vista disso, o investimento em um Programa de Compliance que busca melhorias nos processos de toda a organização propõe maior segurança para o crescimento saudável do seu negócio. Por consequência, o investimento em Programas de compliance vai além de se estar de acordo com toda a legislação aplicável.

Neste sentido, podemos afirmar que quando uma empresa busca por um sistema de gestão integrado atrelado a um Programa de Compliance eficiente, certamente essa empresa vai gerar uma economia enorme em todas as etapas de seus processos.

Sugestão de leitura: Compliance na Gestão de Fornecedores

Por que toda a organização deve estar envolvida?

Nos últimos anos, o Brasil presenciou diversos acidentes ocorridos e que reforçam ainda mais o comprometimento das pessoas dentro das organizações, pois são pessoas que fazem a empresa, que constroem a marca.

Por isso, faz-se necessário, mais do que nunca, o comprometimento de todas as partes para que haja o máximo de controle dos riscos da operação, bem como os custos que a operação irá gerar.

Sem nenhuma dúvida é mais fácil prevenir do que remediar. O custo da prevenção é muito menor do que da reparação do dano. E não estamos falando apenas da questão financeira, pois a reparação do dano engloba toda uma esfera cível.

Um exemplo, é o caso do rompimento das barragens em Minas. Independente se a mineradora teve culpa ou não, ela é obrigada a reparar o dano que ela causou. Infelizmente, muitos desses danos são irreversíveis. Ainda mesmo, que esse rompimento tivesse ocorrido por um abalo sísmico, a responsabilidade pela reparação dos danos, ainda seria da mineradora. Por isso, o custo da prevenção acaba sendo sempre menor.

Investir em Compliance é fazer o certo. É assumir as responsabilidades da operação

Importante ressaltar que a economia gerada deve ser vislumbrada a médio e longo prazo. Claro que existe um investimento inicial e real. Os investimentos para estar em compliance atualmente no Brasil são altos, porque as empresas investem energia na gestão, somente após o ocorrido. Certamente, sairá mais caro!

Exemplificando, imagine que você ganhou um carro zero K, mas nunca fez uma manutenção e nunca consertou aquela batinha. Enquanto isso, seu vizinho, fez todas as manutenções necessárias e sempre consertava aquelas batinhas nas pilatras do estacionamento. Ambos, resolvem vender o carro, mas para vender por um bom preço, precisam deixar o carro em um bom estado de funcionamento. O preço que o mecânico irá cobrar para um e outro será bem diferente. E o preço de venda, também. Esse exemplo é apenas para demonstrar que deixar para “consertar” algo de útlima hora, não é fazer econômia. O investimento é muito maior, fazendo com que empresas desistam de investir em Programas de gestão com foco em Compliance!

Até porque, reparar o dano é muito mais caro do que agir preventivamente. Embora, agir preventivamente a curto prazo, possa ser um investimento grande para a organização. E, em alguns outros casos, há empresas que não conseguem enxergar o equilíbrio entre o primeiro investimento versus o investimento para a reparação do dano. Há ainda casos em que acontece o inverso: a empresa tem que reparar um dano, arcando com um gasto fenomenal, e após o ocorrido, ela procura atitudes preventivas para evitar que o dano volte a acontecer.

Por isso, o DNA da empresa que busca “ser compliance” demanda um investimento inicial alto, mas gera economia muito grande a médio e longo prazo.

LIA: inteligência Artifical para uma gestão com foco em Compliance

Com essa nova ferramenta, LIA – Legislação por inteligência Artificial – desenvolvida pela Verde Ghaia, busca-se correlacionar o máximo possível das obrigações com as multas que estão atreladas ao não cumprimento delas, possibilitando que as organizações tenham visão dos custos de investimento e custos por danos causados.

Quando se contrapõe os valores das multas, comparando-os com os valores gastos de investimento, fica visível de imediato, a economia gerada pela organização ao optar pela prevenção.

Portanto, sabendo da importância de existir uma integração entre certificação ISO e compliance e todos os benefícios e vantagens que ela traz para uma organização, vem a pergunta: como é possível fazer com que a certificação ISO trabalhe junto com o compliance?

Apresentação da LIA – Legislação de Inteligência Artificial

Compliance e Certificação ISO: união para uma gestão eficaz

A área de certificação de sistema de gestão é focada em alguns temas. Assim, é essencial que exista uma integração entre as áreas, como o de meio ambiente, qualidade e segurança, por exemplo, com o jurídico interno das organizações, ou com o jurídico externo – caso seja um escritório de advocacia, a fim de que se tenha um alinhamento e um diálogo para que os procedimentos sejam voltados para o compliance de toda a empresa.

Se você tem uma forte integração entre essas diferentes áreas, é possível implementar procedimentos para atendimento a requisitos legais de forma mais robusta, minimizando e otimizando o trabalho de cada área. Infelizmente hoje ainda não vemos acontecer muito essa integração, mas estamos caminhando para esse processo.

Já é possível verificar grandes organizações que iniciam os processos de monitoramento de leis específicas e se conectam com o jurídico interno e a área de compliance da organização. E, é esse movimento que faz com que a empresa esteja em compliance – e seja compliance –, e assim ela se torna capaz de atender de forma abrangente todos os temas aplicáveis à organização.

Como identificar todos os requisitos da sua organização?

Temos que pensar que, quando temos identificados todos os requisitos em uma planilha, é mais fácil direcionar as responsabilidades. Por exemplo: quando estamos verificando um requisito, qual área é responsável por ele? Quando se tem os requisitos todos classificados, fica mais fácil de entender como a empresa trabalha, quais processos são realizados e quem são seus responsáveis. Sabendo quem são seus responsáveis, fica mais fácil verificar se estão sendo cumpridos ou não e o porquê não estaria sendo cumprido.

E é isso que a Verde Ghaia faz!

Através do SOGI ela direciona para cada área quais são as atribuições e os responsáveis por cada processo, para que nada possa escapar de seu sistema de gestão. Assim você pode garantir a certificação ISO ou tornar muito mais fácil a possibilidade de estar em compliance. E com a LIA a Verde Ghaia permite que os gestores das diferentes áreas de uma organização possam enxergar mais valor ainda no trabalho que é realizado diariamente.

Então, vamos fazer o que é o certo? Converse com a nossa equipe de Gestão de Riscos e Compliance. Certifique-se de que o seu negócio tem muito a prosperar com base em dados e informações seguras e reais de todos os seus processos operacionais.

Agende uma conversa com a nossa Equipe!


Avaliação da conformidade: saiba se seus processos atendem aos requisitos?

No dia a dia, como você pode ter a certeza de que o produto que você comprou, é exatamente, como está indicado que ele deve ser? Ou como você pode acreditar que o laboratório que realiza seus exames de sangue está dando os resultados corretos?

E naqueles casos em que você pode precisar utilizar um extintor de incêndio, como você tem a garantia de que eles funcionarão corretamente, na hora que você mais precisar? Ou ainda, como você pode ter a certeza de que o sistema de segurança que você utiliza está verdadeiramente protegendo você contra hackers? Ou que a previsão de redução das emissões dos gases do efeito estufa é apropriada para evitar um cenário catastrófico de aquecimento global?

O que dá a você garantia disso tudo? É a Avaliação da Conformidade. E é sobre isso que discutiremos hoje. Boa leitura!

O que é avaliação da conformidade?

Mesmo que você ainda não saiba o que isso signifique, a Avaliação da Conformidade é muito importante em nosso cotidiano. Por isso, é importante continuar lendo esse artigo, para que além de conhecer em mais detalhes o que é a avaliação da conformidade e suas formas, você também entenderá os recursos que podem ser utilizados para realizá-la nos processos organizacionais.

E tudo será apresentado com base no que o próprio CASCO, da sigla em inglês Committee on Conformity Assessment (Comitê de Avaliação da Conformidade) da ISO (International Organization for Standardization), defende e trabalha em todo o mundo. 

Entendo como a Avaliação da Conformidade nos processos

A avaliação da conformidade envolve um conjunto de processos que mostram que seu produto, serviço ou sistema atende aos requisitos de um padrão.

Em outras palavras, avaliação da conformidade é a demonstração de que os requisitos especificados relacionados a um produto, processo, pessoa ou organismo do sistema foram atendidos.

Ao realizar o processo de avaliação da conformidade, ela vai automaticamente:

  • Fornecer aos consumidores e outras partes interessadas maior confiança de que um produto, serviço, processo, sistema de gerenciamento ou pessoa executará conforme o esperado.
  • Oferecer à sua empresa uma vantagem competitiva.
  • Assegurar de que aquilo que prestadores de serviços e fabricantes se propõem a entregar atendam às especificações e às expectativas do cliente ou aos requisitos do mercado.
  • Também vai ajudar a garantir que as condições de saúde, segurança, qualidade ou meio ambiente sejam atendidas, ou seja, que todos os requisitos aplicáveis estão sendo cumpridos.
Avaliação da Conformidade e Compliance

As formas de avaliação da conformidade

Existem várias formas de realizar uma avaliação da conformidade. As principais são credenciamento, certificação, testes, inspeção, validação e verificação.

O credenciamento é um atestado de terceiros relacionado a um órgão de avaliação da conformidade que transmite uma demonstração formal de sua competência para executar tarefas específicas de avaliação da conformidade. Esse atestado é o termo formal para a emissão de um certificado ou declaração de conformidade após a revisão de todas as informações necessárias (como relatório de auditoria, relatório de teste, relatório de inspeção) e a decisão subsequente.

A certificação é a provisão por um organismo independente de garantia por escrito (um certificado) de que o produto, serviço ou sistema em questão atende a requisitos específicos. A certificação também é conhecida como avaliação da conformidade de terceiros.

Muitas empresas e organizações decidem obter a certificação de um dos padrões do sistema de gerenciamento da ISO, como a ISO 9001. Essa é uma maneira de mostrar ao mercado internacional que a organização possui um sistema de gerenciamento de qualidade eficaz.

O teste é a determinação de uma ou mais características de um objeto de avaliação da conformidade, como um produto, material ou processo, de acordo com um procedimento. Geralmente é realizado por um laboratório.

Por exemplo, lembra que falamos sobre como ter a garantia de que seus exames de sangue apresentarão os resultados corretos? Então, a análise do sangue é feita em relação a várias características, para mostrar a presença de uma doença ou distúrbio genético. Para que os resultados sejam confiáveis, existem vários padrões que os laboratórios podem – e devem – seguir. E um dos comitês que desenvolvem esses padrões é o CASCO/ISO.

Por sua vez, a inspeção descreve a verificação regular de um produto, processo ou instalação para garantir que atendam aos critérios especificados. Em uma inspeção, geralmente o inspetor toma a decisão no momento da inspeção usando seu conhecimento profissional. Os extintores de incêndio, por exemplo, precisam de inspeções regulares para garantir a segurança do uso.

Validação e Verificação: Confirmando uma reivindicação

Por último e não menos importante, tanto a validação quanto a verificação são a confirmação de uma reivindicação, através do fornecimento de evidência objetiva, de que os requisitos foram cumpridos. Essa reivindicação é uma informação desejada pelo cliente, podendo representar uma situação em um determinado momento ou pode abranger um período de tempo.

Porém, há uma diferença fundamental entre validação e verificação. A validação é aplicada a reivindicações relacionadas a um uso futuro pretendido com base nas informações projetadas (confirmação de plausibilidade). Ou seja, trata-se de uma reivindicação sobre o resultado de atividades futuras.

Já a verificação é considerada um processo para avaliar uma reivindicação com base em dados e informações históricas para determinar se a reivindicação está correta e se está em conformidade com os requisitos especificados. Ela está relacionada a eventos que já ocorreram ou resultados que já foram obtidos (confirmação de veracidade).

Organismos envolvidos na avaliação de conformidade

Um organismo de avaliação da conformidade executa serviços de avaliação da conformidade. Como exemplos podem ser citados os laboratórios de teste, organismos de inspeção, organismos de certificação e organismos de verificação e validação.

Quem avalia a consistência, imparcialidade e competência de um organismo de avaliação da conformidade é um organismo de acreditação.

Quem pode realizar uma avaliação da conformidade?

São três as maneiras de realizar uma avaliação da conformidade:

  • A primeira é uma declaração pessoal feita, por exemplo, pelo fabricante ou pelo fornecedor de serviços;
  • A segunda é uma declaração feita, por exemplo, pelo cliente no fornecedor;
  • A terceira é uma declaração feita por organizações independentes, como organismo de certificação, laboratório, organismo de inspeção, organismo de acreditação, etc.

Os recursos que podemos usar para uma avaliação de conformidade

Para quem deseja conhecer mais sobre avaliação da conformidade e como funciona, o CASCO, da ISO, elaborou ferramentas que podem ajudar e muito nesse processo, chamados de CASCO Toolbox. Este Comitê desenvolveu padrões de avaliação de conformidade relacionados às práticas de avaliação de conformidade, que abrangem tópicos como a operação de organismos de certificação, laboratórios de teste, marcas de conformidade, acreditação e reconhecimento mútuo dos resultados da avaliação de conformidade.

Um recurso interessante e que está disponível para quem quiser acessar são as apresentações digitais do CASCO que destacam os principais elementos-chave das avaliações da conformidade. E o melhor de tudo é que os slides podem ser usados por qualquer pessoa que faça uma apresentação ou simplesmente para aprender sobre o novo padrão.

O kit de apresentação de avaliação da conformidade pode ser acessado no site Isotc. Você ainda, encontrará um conjunto de apresentações composto por nove módulos sobre avaliação da conformidade, desenvolvidos por especialistas do do CASCO, em que estão explicados os principais aspectos relacionados à avaliação da conformidade. Nos slides você pode adicionar suas próprias imagens ou gráficos, ou se basear neles para criar suas próprias apresentações ou materiais de aprendizagem.

Para obter mais informações sobre a CASCO e a avaliação da conformidade segundo o comitê. E nós da Verde Ghaia, também temos muitos artigos e materiais sobre assunto.

Dá uma olhadinha em nosso blog para saber mais sobre o assunto! Se quiser mais informações sobre Avaliação da Conformidade, fale conosco!


Auditoria interna para identificação de irregularidades nos processos

A auditoria Interna pode ajudar na identificação de irregularidades nos processos internos, visando que episódios de fraude e vazamento de informações sejam corrigidos.

Pesquisas realizadas em todo o mundo nos últimos anos revelaram que as organizações vêm sofrendo com altos índices de irregularidades. Dados da americana Kroll demonstraram que no Brasil 74% das organizações teriam sofrido ao menos um episódio de fraude nos 12 meses anteriores à pesquisa. Já a consultora KPMG verificou que a apropriação indébita de recursos da empresa (roubos de estoque, por exemplo) representa 56% das ocorrências que acontecem dentro das organizações.

E sabe quem são os responsáveis pela maior parte do vazamento das informações ou das irregularidades? Segundo a consultoria PwC, 41% das empresas afirmam que os principais responsáveis são os próprios colaboradores. Para a Kroll, esse número chega a 81%.

Boa leitura!

Irregularidades: insegurança no ambiente de trabalho

Estas irregularidades podem causar altas perdas financeiras, gerar um clima de desconfiança e insegurança no ambiente de trabalho. Além disso, provoca suspeitas sobre a gestão da empresa, manchando a imagem da organização perante os consumidores, investidores e o mercado.

Diante de um cenário tão sério e preocupante, como se proteger e se manter seguro? Como evitar e combater as irregularidades dos processos, como propina, corrupção, fraudes e erros dentro de uma organização? A resposta é simples: realize auditorias internas, tornando-a um agente fiscalizador destas irregularidades.

E se você tem dúvidas da importância e de como realizar esse processo, não se preocupe, esse artigo foi feito exatamente para explicar tudo a você sobre esse assunto.

Nova versão da ISO 19011: Diretrizes para a realização de Auditorias Internas

Auditoria interna: redução de irregularidades

As irregularidades assumem inúmeras e de diversas formas, modalidades e características dentro e fora das organizações. Elas se tornaram complexas e sofisticadas, acompanhando o progresso tecnológico e absolutamente ninguém está imune a elas.

Para evitar que elas aconteçam, seja em forma de fraudes, corrupção, propina ou até erros, são necessárias ações, medidas e controles eficazes, que acompanhem as várias mudanças tecnológicas, e que possam preveni-las e/ou rapidamente identificá-las. Atualmente, uma das maneiras mais eficazes de identificar estas irregularidades é a auditoria interna.

Por ser uma forma de avaliar a eficiência de algum processo específico dentro de uma organização, ela fornece sugestões, análises, apreciações e informações relativas às atividades e processos examinados, inclusive recomendando melhorias e a implantação de controles internos eficazes.

Por isso, a auditoria interna pode ser considerada um importante instrumento proativo de controle, de proteção e de segurança internos de uma empresa. Auditoria Interna é uma ótima maneira de garantir uma melhoria contínua dos seus processos.

Porque contratar uma Auditoria Interna?

No caso de identificar erros e fraudes, a auditoria interna é de extrema importância porque ela permite avaliar a eficiência dos controles utilizados pela empresa e se suas atividades estão sendo executadas conforme o planejado, bem como definir os riscos que podem intervir na governança. Assim, a auditoria interna se torna uma poderosa ferramenta para identificar vulnerabilidades, suspeitas e esquemas maliciosos.

O profissional mais adequado para realizar este trabalho é claro que é o auditor interno, que possui uma formação acadêmica, experiência profissional, habilidades e conhecimentos necessários voltados para a prevenção de irregularidades, para a melhoria nos controles internos e para o exame periódico e permanente dos principais processos da organização. E o ideal é que o auditor seja imparcial, com foco exclusivamente no que está sendo auditado.

No entanto, é importante destacar que a responsabilidade por implementar controles internos, prevenir, detectar e mitigar riscos e evitar que irregularidades e fraudes ocorram, impedir que evoluam para esquemas fraudulentos e combater as causas que abrem espaço para que se instalem, são dos gestores e da alta direção da organização.

Os auditores internos têm apenas a função de realizar uma avaliação independente da gestão dos riscos, controles e governança da organização de modo a identificar deficiências em processos, controles e sistemas.

Quando realizar uma auditoria interna?

Como a auditoria tem a função mais de auxiliar a empresa a lidar melhor com processos e dados, deixando a “casa arrumada”, do que punir a organização ou trazer prejuízos, ela deve ser realizada toda vez que o gestor sentir necessidade, ou quiser analisar seus procedimentos e funcionamento, ou ainda diagnosticar como estão os seus controles internos, ou para melhorar práticas financeiras, operacionais e até ambientais.

Isso porque não há uma periodicidade definida, ela apenas depende de demanda. Para realmente atingir resultados mais satisfatórios, recomenda-se a realização da auditoria interna ao menos uma vez ao ano.

Quais as etapas da auditoria interna pode ajudar na identificação de irregularidades?

De forma resumida, as etapas para realizar uma auditoria interna são:

1. Prepare-se: aqui são estabelecidos os objetivos da auditoria para definir quais informações são extremamente necessárias e quais processos devem ser auditados com ainda mais atenção;

2. É feito também o planejamento detalhado, no qual todas as partes interessadas serão comunicados sobre a realização da auditoria, para que não sintam medo, mas que se sintam envolvidos no processo.

3. Faça um cronograma: transforme o planejamento em um cronograma, detalhando qual processo será primeiro auditado, os requisitos avaliados, as demandas que isso vai gerar, entre outras informações que você acredita serem indispensáveis.

4. Realize uma reunião de abertura: é quando o auditor explica quais os objetivos da auditoria.

5. A auditoria propriamente dita: é quando é realizada a auditoria, através de entrevistas com os colaboradores e coleta de evidências. Existem muitas formas para o auditor coletar informações durante a auditoria: revisão de registros, conversas com empregados, análise de dados de processos chave ou até mesmo observação do processo em execução.

6. Realize a reunião de encerramento: é quando os resultados da auditoria serão apresentados à empresa, demonstrando ao responsável o que há de positivo, o que precisa ser melhorado, onde podem estar as possíveis irregularidades e se existem riscos que precisam ser tratados.

7. Elabore um relatório de auditoria interna, acompanhamento das ações corretivas e manutenção das avaliações. Não esqueça do plano de ação, justificando os motivos de cada nova atitude necessária.

A importância da auditoria interna na identificação de irregularidades

A auditoria interna possibilita melhorar os diferentes processos de rotina, identificar problemas e avaliar os riscos que eles trazem, atuar na correção de possíveis falhas, monitorar as atividades empresariais e aumentar a satisfação dos clientes.

Assim, garante o devido cumprimento dos regimentos, das normas e das políticas internas empresariais, agregando valor à organização e melhorando sua imagem perante investidores.

Ao examinar os dados fornecidos pelo controle interno e comprovar sua eficiência e eficácia, observar o cumprimento de leis e normas internas, trazer proteção aos bens da entidade, diminuir indícios de irregularidades e perda financeiras e formular um parecer sobre a situação em que se encontra a empresa.

Assim, a auditoria interna melhora a forma que uma empresa lida com suas atividades, oferecendo uma melhor compreensão a respeito da sua realidade e da eficácia dos diferentes processos que fazem parte da sua rotina.

Por isso, a auditoria interna é uma aliada estratégica para a organização, sendo verdadeiramente um agente fiscalizador que auxilia e é eficaz quanto à proteção, identificação e prevenção das irregularidades ao analisar as informações prestadas.

Desse modo, investiga-se os ocorridos, determinando as diferenças entre fraudes e erros cometidos no âmbito interno.

Quer saber como funciona na prática o Módulo Auditoria? Agende uma apresentação do SOGI com a nossa Equipe de Consultoria SOGI.

Será um prazer ajudá-lo!

ISO 37001: É possível combater o suborno nas empresas?

Faz-se pouco tempo que o Brasil passou a focar seus esforços no combate a corrupção e suborno, de forma mais efetiva e energética.

Desde os escândalos de corrupção no Brasil, que alastrou o mundo, as organizações privadas têm discutido meios de se combater o suborno nas empresas, buscando por metodologias ou formas de conscientização de todos envolvidos em seus processos.

Essa é ainda, infelizmente, uma questão latente, e que gera um enorme debate! Mesmo diante de evidentes esforços, por parte de muitas organizações e até mesmo órgãos internacionais, como o caso da ISO 37001, busca-se ainda, uma forma de se estabelecer o combate a corrupção das organizações privadas e governamentais.

Apesar de haver muitas organizações que já implementaram a ISO 37001, o combate à corrupção tem sido uma discussão complexa e difícil de lidar, uma vez que os esforços devem partir da Alta Direção e envolver todos àqueles que fizerem parte dos processos da organização, o qual inclui seus fornecedores e partes interessadas.

O que é preciso saber sobre Gestão Antissuborno?

A ISO 37001 é basicamente uma norma que visa a implantação de Sistemas de Gestão Antissuborno. Embora, ela tenha um grande potencial para tal questão, ela ainda é uma norma pouco divulgada pelos meios de comunicação e são poucos os profissionais que possuem entendimento de sua atuação na gestão corporativa.

A implementação da ISO 37001 é o caminho para saber como combater o suborno das empresas? Como já citado anteriormente, a melhor maneira de se combater o suborno das empresas, é implementar um sistema que seja realmente focado nesse ponto! E isso, acaba sendo algo possível, quando se conhece mais profundamente a eficiência da norma e o foco atribuído ao sistema de gestão. Assim, a norma poderá ajudar no processo de implementação de práticas antissuborno no ambiente das organizações.

Relação da ISO 37001 e o Compliance

Nesse caso, a ISO 37001 possui uma ligação direta ao Compliance – algo que tem sido amplamente debatido nos últimos anos! Isso porque, compliance é agir em sintonia com as regras, normas, diretrizes, legislação, seja ela interna ou externa. É assumir uma postura íntegra e transparente.

A medida que você se aprofundar sobre a norma, passará a compreender pontos bastante pertinentes e importantes em seus processos, e que ajudará na tomada de decisão, caso ocorra alguma situação de suborno ou corrupção em sua organização!

Confira alguns pontos importantes quando uma organização implementa a Norma ISO 37001 em seus processos:

  • Quando a Norma está devidamente implementada, a organização terá a oportunidade de construir uma política mais clara e objetiva, ajudando a lidar com algumas situações.
  • Através de uma política clara e objetiva, pode-se ainda instituir padrões aceitos e não aceitos em relação à valor de itens, que poderão ser recebidos dos clientes. Sem que isso, seja considerado uma forma de suborno!
  • Em algumas situações, o “suborno” não é pensado como um ato de má fé. Por isso, as organizações devem ter sua política muito bem estabelecida entre seus colaboradores e partes interessadas. As empresas devem ficar atentas ao suborno direto e indireto, deixando claro sua postura perante as situações de ambos os casos.
  • Além disso, a implementação da ISO 37001, também são amplamente compatíveis com as da ISO 9001:2015.

Quais benefícios a ISO 37001 pode trazer para o meu negócio?

Em suma, a ISO 37001 é uma das maneiras mais assertivas de se entender de fato, como combater o suborno das empresas, uma vez que ela agrega um conjunto de regras, internacionalmente aceitas. Essas regras têm como objetivo principal ajudar os programas de compliance das empresas, visando a certificação do seu sistema de gestão antissuborno!

Tal certificação poderá ser realmente fundamental para estabelecer um evidente apoio às corporações quanto ao combate do suborno, criando dessa maneira uma cultura de integridade bem como transparência e ainda obediência às leis e também regulamentações!

Um dos principais benefícios que pode ser agregada, por essa certificação, é que ela pode ajudar a demonstrar que foi de fato implementado um Programa de Integridade – isso segue as normativas da lei de número 12.846/13 (lei anticorrupção ou lei da empresa limpa).

Diante disso, a empresa poderá ter a oportunidade de conseguir de maneira absolutamente eficiente ampliar a sua confiança, elevando potencialmente a sua reputação e ainda agregando uma imagem mais positiva e integra o mercado. Seu uso ainda poder ser de grande valor para ajudar no processo administrativo e ainda no gerenciamento de riscos associados ao negócio, incluindo até mesmo relações que sejam estabelecidas com terceiros.

Para quem a ISO 37001 é indicada?

Workshop sobre implementação de um Programa de Compliance! oferecido pela Verde Ghaia e Roberta Volpato.
Workshop sobre implementação de um Programa de Compliance!

A ISO 37001, que permite compreender melhor como combater o suborno das empresas pode ser de fato solicitada por todas as empresas tanto do setor privado e público, bem como com fins lucrativos ou não e ainda de qualquer tamanho ou natureza!

Para tanto, é necessário ficar atento apenas às diretrizes associadas à norma, sendo que elas deverão ser impreterivelmente cumpridas pela organização, como:

  • Entender as necessidades e também expectativas dos clientes, fornecedores, acionistas, órgãos regulamentadores e até mesmo a sociedade.
  • Manter comprometimento da direção da empresa.
  • Focar na estruturação de ações direcionadas nos riscos de suborno e também objetivos para o antissuborno!
  • Manter o sistema de gestão antissuborno de maneira contínua e eficiente.
  • Fazer monitoramentos e auditorias internas frequentes.
  • Adotar procedimentos para prevenir a oferta e demais premissas que sejam caracterizadas como suborno.
  • Identificar e adotar melhorias pertinentes para o sistema de gestão antissuborno!

Como implementar a Norma ISO 37001 no meu negócio?

Workshop 10 passo para implementar um Programa de Compliance com sucesso.
Acesse nossas redes sociais e fique por dentro das novidades!

O processo de certificação depende do cumprimento de uma série de requisitos devidamente previstos na norma, e para isso, a empresa precisa contar com o envolvimento, contribuição e ainda estabelecer o comprometimento de todos os membros de sua direção e também gerencia!

A adoção do programa ainda deverá ser comunicado de forma clara e objetiva a todos os colaboradores e as partes interessadas, como no caso de fornecedores e até mesmo parceiros da empresa de uma maneira geral!

Agora que você já tem uma noção sobre como combater o suborno das empresas, vale a pena buscar apoio de empresas e profissionais especializados no assunto para lhe ajudar nesse processo!

O que você precisa saber sobre Segurança da Informação?

Segurança da Informação.

Você sabe o que é segurança da informação ou qual é a real importância dela dentro da sua empresa? Hoje em dia, é fundamental proteger todos os seus dados, principalmente por todos os sistemas estarem conectados à internet (contribuindo para o vazamento de dados indevidamente).

Trabalhar com gestão de segurança de informações é o que irá garantir a integridade da sua empresa. Irá garantir que nenhum dado importante ou plano, seja divulgado antes da hora. E, o melhor, impede que conclusões sejam tiradas de dados incompletos (quantas empresas já não sofreram com isso?).

Isso é só o começo de um assunto muito complexo. Sendo você cliente ou não da Verde Ghaia, é importante entender algumas considerações sobre o assunto. E você, cliente Verde Ghaia, irá saber como a empresa é referência na gestão de segurança de informações.

Qual a importância da Segurança da Informação

Antes de qualquer coisa, é importante entender de que maneira estamos tradando o significado do termo “informação”. As informações dentro de um ambiente corporativo não são vistas como uma simples forma de conhecimento, mas, sim, de questões mais sigilosas.

Aqui, a informação é um ativo extremamente valioso, seja para grandes ou pequenas empresas. Através delas é possível construir projetos e traçar estratégias, por isso a segurança da informação é tão importante.

Essas informações contêm dados importantíssimos sobre o desenvolvimento e planos futuros da empresa. Muitas empresas ainda não tem ideia da dimensão que falhas nesse sistema podem proporcionar aos seus negócios e isso é algo muito perigoso.

Determinadas informações podem interferir negativamente no capital da sua empresa e, obviamente, você não deseja que isso aconteça. Seja por um dado extremamente delicado ou por uma vaga ideia de um simples projeto, qualquer vazamento de informações tem consequências.

As informações permeiam por todos os departamentos, mas o objetivo dessa nossa conversa é focar na segurança da informação. Dessa forma, é preciso exaltar alguns pilares: confiabilidade, integridade e disponibilidade dessas informações.

Confiabilidade

A confiabilidade é a questão de você ter a certeza de que aqueles dados e informações são confiáveis, verdadeiras e que só pessoas autorizadas têm acesso a todas elas.  

Há diversas formas de fazer isso dentro de uma empresa, mas, claro, que as formas mais convencionais de direcionar as informações APENAS a quem deve ter acesso a elas é através de logins ou senhas.

Você, por exemplo, pode ser prejudicado se alguém não autorizado invadir o seu e-mail pessoal, imagine as dimensões do caso quando alguém que não tenha o acesso legal aos dados da empresa consegue visualizá-los.

Dessa forma, essa é a primeira coisa que você deve se atentar dentro da sua empresa: os dados são seguros e estão seguros. Diversas ferramentas criam n barreiras de acessos de usuários indevidos, aproveite-as.

Integridade

 A integridade caminha junto com a confiabilidade nas questões da segurança da informação. Ter uma informação íntegra quer dizer que ela não foi alterada ou atualizada.

Significa que todos os dados que constam ali estão exatamente como deveriam estar. Ou seja, não houve interferência de terceiros que poderiam acessar tais dados sem autorização (questão da confiabilidade).

Disponibilidade

Hoje em dia é fundamental que todas as informações estejam disponíveis a todo o momento. O mundo não funciona apenas em horário comercial, dessa forma é fundamental que sempre haja alguma forma de acessar aquilo que deseja.

A nuvem é uma tecnologia extraordinária que permitiu avanços intangíveis. Hoje é possível acessar todas as informações não somente a qualquer hora, mas também em qualquer lugar.

A Verde Ghaia, por exemplo, tem em seu contrato estabelecendo que as informações devam ficar disponíveis em 99% do tempo. Trabalhamos muito forte em questões de disponibilidade para que todos os dados estejam disponíveis e protegidos.

Apenas a critério de curiosidade (principalmente se você já for cliente da Verde Ghaia), a empresa trabalha com um sistema denomino Redundância. Há a proteção através da Redundância de Servidor e da Redundância de região.

Redundância de Servidor: Em um mesmo Data Center há mais de um servidor caso algum deles precise parar por questões de manutenção. Resultado? Você será direcionado para o servidor ativo e terá acesso às informações que desejar.

Redundância de Região: Caso ocorra alguma coisa com o local do Data Center ainda há outros correspondentes em outros locais.

Normas de segurança e como obter a certificação

As questões da segurança da informação não são totalmente arbitrárias. Existem normas, legislações e certificações que visam estabelecer algumas diretrizes à área.

A ISO 27.000 − mais especificadamente a ISO 27.001 − trata dos assuntos da segurança da informação. Conseguir um certificado não é tão simples assim e é necessário passar por diversos processos, como:

  • Levantamento e mapeamento de informações
  • Diagnóstico da situação da empresa
  • Desenvolver metodologia para resolver as falhas apontadas
  • Conformidade (realmente documentar todos os processos)
  • Aplicar o ciclo PDCA (Plan, Do, Check, Action)

Boas práticas: tão importantes quanto as certificações

Além das normas e certificações que existem, é importante criar dentro da sua empresa − assim como tem sido desenvolvido na Verde Ghaia há 20 anos − uma cultura de boas práticas de segurança da informação.

É claro que as questões legais e todos os sistemas tecnológicos disponíveis hoje em dia são eficientes, mas eles não são suficientes se os funcionários da empresa não derem a devida importância ao sigilo de informações.

Além disso, é importante ressaltar que as falhas que ocorrem (como vazamento de informações) nem sempre são de responsabilidade da equipe de TI, pois há mais pessoas dentro da empresa que possuem acesso às informações sigilosas.

Se não houver uma cultura sólida sobre o sigilo dessas informações alguns deslizes podem acontecer e não será por furos na tecnologia ou ferramentas de informática.

Concluindo tudo o que dissemos: a segurança da informação é crucial para o sucesso da sua empresa − por motivos aqui já expostos − e é importante investir nessa gestão. Atente-se às normas regulamentadoras e leve-as como base, mas não deixe de envolver seus funcionários culturalmente com a ideia.


Quer saber mais sobre Segurança da Informação? Fale conosco ou deixe seu comentário abaixo!

Principais tendências de um Programa de Compliance para seu negócio

As mudanças acontecem a todo momento. E no mundo dos negócios não é diferente.

A todo instante surgem novas tendências e aparecem novidades. Inovar, tornou-se uma das palavras de ordem. Mas, hoje não basta saber se adaptar às mudanças ou ter a capacidade de inovação. É preciso, antes de mais nada, conhecer as normas, regras e legislações aplicáveis à atividade desempenhada. Em outras palavras, é necessário estar ciente das tendências do compliance, uma vez que estas são essenciais para seu negócio.

Acesse nosso Canal no Youtube e fique por dentro!

O termo “compliance”, em tradução livre do inglês, quer dizer estar de acordo a um conjunto de medidas, regras, requisitos e normas, sejam elas internas ou externas, que são adotadas por determinadas empresas.

Comumente, associa-se compliance com práticas antissuborno ou anticorrupção. Isso se deu especialmente após a sanção da Lei n° 12.846/2013, conhecida como Lei Anticorrupção, que determina, entre outras providências, que as empresas tenham um Programa de Governança e de Integridade Corporativa, estimulando boas práticas desde os colaboradores até a alta direção.

Mas, Estar em Compliance, vai além de adotar uma política antissuborno ou anticorrupção. Embora, a Lei Anticorrupção tem tudo a ver com o compliance, é preciso que as organizações entendam a essência do termo e a relevância dela dentro da organização. Por isso, preparamos esse artigo para você!

Mas o que essa Lei tem a ver com compliance?

Primeiramente, deve-se entender que, caso não haja um comprometimento ético e íntegro por parte das empresas, elas não estarão em compliance, e consequentemente, estarão sujeitas às multas. Os valores variam de caso para caso, podendo chegar até a 20% do faturamento bruto anual da empresa. Em outros casos, quando não é possível calcular o faturamento bruto, a dívida pode chegar até 60 milhões de reais. Em alguns outros, pode haver mais complicações para as empresas, que não estavam em compliance, acarretando suspensão ou até mesmo o encerramento de suas atividades no mercado.

Grandes empresas podem ser vistas como uma espécie de marco, ao se tratar do combate à corrupção no país, visto que estas acabaram “pagando pelos seus erros” pela falta de um Programa de Compliance efetivo, tendo como resultado a aplicação da Lei Anticorrupção. Estes ocorrido se aplicaram às empresas como no caso, Petrobras, JBS, Odebrecht. São apenas alguns exemplos, dos mais recentes, ocorridos no Brasil.

Isso fica ainda mais evidente, quando refletimos sobre as diversas prisões de uma boa parcela de executivos e também de políticos que foram apontados como responsáveis por uma série de ações fraudulentas. E ninguém escapa: até o presidente de uma grande empresa pode ser preso.

Para evitar estas penalidades, uma das opções é estar de olho nas tendências do compliance, pois a corrupção pode estar literalmente do seu lado. Segundo dados levantados pela consultoria PWC, 58% de todos os crimes de caráter econômico que envolvem empresas são ou foram cometidos por parte dos próprios funcionários – e isso é, sem dúvidas, um dado que gera uma enorme preocupação!

Como prevenir sempre foi melhor que remediar, vamos então conhecer quais são as 09 tendências do compliance que você precisa começar a colocar em prática, agora mesmo! Essa ação é importante para evitar não só práticas de corrupção e suborno, mas também, que incentivem a ética e a integridade em seu negócio, para que ele possa crescer de forma sustentável.

09 tendências de um Programa de Compliance

Diante de todos os pontos abordados até aqui, é importante que empresas dediquem esforços a entender quais as principais tendências de compliance que precisam ser colocadas em ação. Vamos lá!

1.Criação de um código de conduta

De maneira geral, o código de conduta será fundamental para que a empresa possa agir dentro de todas as leis e ainda atender às regulamentações que sejam vigentes no país – tudo isso, deverá ser regido por meio de um documento formal e bem estruturado, no qual serão disponibilizadas diversas normas.

Lembre-se de que a própria Lei Anticorrupção incentiva que as organizações possuam este documento.

2.Transparência nos negócios

Consiste em disponibilizar informações que sejam de inquestionável interesse, não se limitando somente àquelas que tenham sido impostas por parte da lei ou por meio de regulamentos.

É de suma importância compreender que a transparência e a integridade acerca das informações devidamente divulgadas, caminhem, lado a lado, na busca de uma maior solidez em meio ao ambiente de compliance pela sustentabilidade.

3. Ética

Todas as ações a serem adotadas precisam considerar não somente a identidade da própria organização, mas também os impactos das decisões diante das partes interessadas, a sociedade e até mesmo, o meio ambiente – sempre visando o bem comum!

4. Gestão de prevenção de riscos

Consiste em um processo, absolutamente, organizado que permite agregar uma dose a mais de segurança para as empresas. Isso permite ainda, erradicar eventuais perdas, sendo elas tanto materiais e financeiras como também humanas.

Tal aspecto poderá contribuir essencialmente para que se consiga otimizar todos os processos de forma eficiente e segura.

5. Integridade da Cadeia de Suprimentos

Tal aspecto diz respeito aos fornecedores que sejam parte integrante de uma determinada empresa.

Aqui, pode ser pertinente dedicar esforços para que se faça uma pesquisa focada na adequação de toda a cadeia de suprimentos, em um mesmo padrão de normas. Implementar uma gestão com esse foco, ajudará a organização evitar comportamentos considerados fraudulentos ou ainda outras exposições associadas aos riscos.

6. Cultura Anticorrupção e Antissuborno

Isso é primordial, e deve ser colocado em prática por absolutamente todos de uma organização, seja a alta direção, colaboradores ou partes interessadas.

E além de não serem toleradas ações de corrupção ou suborno de nenhuma espécie, caso venha a ocorrer, devem ser comunicadas imediatamente ao setor de compliance ou à pessoa responsável pela integridade da empresa, para tomar as medidas cabíveis e evitar as penalidades possíveis.

7. Investir em Auditorias

Investir em um conjunto de auditorias pode ser vital para manter uma melhor avaliação acerca das atividades contábeis e financeiras da empresa, bem como garantir que todos os requisitos aplicáveis estejam sendo cumpridos.

Desse modo, as organizações devem investir em auditorias, visando adequações e melhorias na gestão e, que consequentemente, ajudará a manter a sustentabilidade do negócio.

É através dos resultados finais de uma Auditoria que as organizações compreendem melhor se a empresa, realmente, está em conformidade com todas as leis vigentes e/ou se ainda coloca em ação todos os preceitos que são aceitos dentro do território nacional.

Os serviços de auditoria devem ser contratados, pelo menos, uma vez ao ano ou uma vez, a cada 06 meses, de modo que a gestão passe por uma avaliação externa e que assim, possa alcançar os resultados pretendidos com mais clareza, objetividade e consciência dos caminhos que estão sendo realizados.

8. Governança Corporativa 

Nada mais é, do que um modelo de gestão que permite envolver uma série de abordagens, bem como dedicar esforços para realizar estudos mais esclarecedores sobre a relação entre os mais variados pontos de vista provenientes dos stakeholders.

Envolve ainda os principais objetivos pertinentes à organização, de forma a evitar conflitos de interesse e ainda estabelecer uma melhor eficiência econômica.

9. Prevenção de lavagem de dinheiro

Essa também faz parte das tendências de compliance, na qual se disponibiliza um conjunto de normas que visa a prevenção da empresa contra tal crime, de forma a estabelecer uma minuciosa análise acerca do cliente, dos funcionários, parceiros e stakeholders.

Essa medida, evita manter o uso de produtos ou serviços da empresa para processos de lavagem de dinheiro, fazendo com que haja uma transformação cultural dentro da organização que vise a transparência e a integridade não apenas da marca, mas também de seus colaboradores, fornecedores, associados.

Estas foram as 9 tendências do compliance, consideradas essenciais e que devem ser colocadas em ação, em qualquer empresa séria, íntegra, transparente, ética e comprometida com a sociedade e o meio ambiente.

Consideração Final

Percebe-se que as organizações estão dispostas a integrar um Programa de Compliance em suas organizações, visando mais transparência em seus negócios. No entanto, a implementação tem sido um grande desafio, uma vez que envolve não apenas o Presidente da organização, mas também às partes interessadas, como os fornecedores, por exemplo.

Portanto, as organizações precisam trabalhar mais a conscientização de todos aqueles com os quais está envolvida para disseminar a essência do Progama de Compliance.


Visando essa necessidade IMEDIATISTA, a Verde Ghaia preparou um Workshop para aqueles que tem interesse em entender mais sobre Programa de Compliance e desejam implementá-lo na organização.

Qual é a importância do gerenciamento de riscos?

A gestão de riscos nada mais é do que a identificação, planejamento, administração e controle de todos os recursos de uma empresa (sejam eles materiais, processuais ou humanos), e tem como objetivo auxiliar o processo de tomada de decisão dos gestores, amenizar os efeitos das incertezas e ainda ajudar a vislumbrar oportunidades que possam levar ao crescimento dos negócios.

Compreendendo o gerenciamento de seus riscos

Eis que chega em suas mãos um convite para acampar numa região erma e desconhecida. Bem… Sabendo das possíveis dificuldades do local, você certamente vai pensar em todos os problemas que possam acontecer lá, e por isso vai se preparar para cada um deles.

Então você vai preparar sua mochila. Em sua mochila haverá um fogareiro, estoque de água e comida, repelente contra insetos, pilhas extras para o walkie-talkie, um power bank para o celular (caso haja sinal), lanterna, canivete, curativos, medicamentos, roupas… Cada item a ser levado será baseado em sua suposição de possíveis percalços numa região desconhecida. Quanto mais preparado estiver, menos problemas você terá.

Ora. Tudo aquilo em sua mochila nada mais é do que uma representação de sua cautela, afinal você pode estar sujeito algum tipo de risco ou imprevisto estando numa região erma, não é? Sendo assim, nada mais lógico do que tentar prever tudo o que será necessário para tornar sua aventura inesquecível — positivamente inesquecível, é bom lembrar.

Agora imagine-se no conforto de seu escritório. O ar-condicionado está ligado, há uma copa logo ali para se beber um café fresquinho, os banheiros estão limpos e prontos para uso, sua cadeira é confortável, o celular pode ser usado para pedir comida a qualquer momento… Você precisaria levar sua mochila de acampamento lotada de apetrechos nesse ambiente? Obviamente não. Mas talvez devesse. Só que a mochila não precisará conter fogareiros ou pilhas. É uma mochila diferente, que estará carregando um pacote chamado “gestão de riscos”. 

Qual a realidade de algumas empresas?

Saiba mais sobre o Workshop de Compliance!

Sabe-se que nenhuma empresa está segura, ou seja, os riscos sempre estiveram presentes nas organizações e, de certa forma, fazem parte do jogo — é impossível se ver, totalmente, livre deles.

Uma estratégia de gestão de riscos permite que você identifique os pontos fortes e fracos de sua empresa, as possíveis ameaças e até mesmo as oportunidades (os chamados “riscos positivos”). Além disso, o tratamento de riscos ainda é capaz de gerar outros benefícios, tais como:

  • Agregar valor ao negócio.
  • Proteger o ambiente institucional.
  • Facilitar a tomada de decisões em todos os níveis hierárquicos.
  • Abordar e tratar incertezas (as quais incluem oscilações do mercado).
  • Valorizar o capital humano e intelectual dos colaboradores.
  • Permitir o processo de melhoria contínua em todos os processos da organização.
  • Gerar oportunidades.

O gerenciamento de riscos é composto por seis fases básicas

O gerenciamento de riscos é composto por seis fases básicas
Gestão de Risco: Os Princípios e Diretrizes da ISO 31000

1 – Planejamento: nessa fase, os gestores devem estabelecer o objetivo do gerenciamento dos riscos, detalhando também os departamentos que estarão envolvidos, suas atividades e seus respectivos responsáveis.

2 – Identificação de riscos: esse o momento de definir os principais riscos que podem afetar sua empresa, bem como suas características (e aí entram tanto ameaças quanto oportunidades).

3 – Análise qualitativa de riscos: depois que os riscos são identificados, eles devem ser classificados em grau de exposição e possibilidade de ocorrência. Obviamente os riscos com maior probabilidade de ocorrer e que afetam a empresa mais drasticamente devem ser tratados primeiro.

4 – Análise quantitativa de riscos: é o momento de efetuar uma análise numérica do efeito dos riscos, gerando relatórios com dados sólidos.

5 – Respostas: todo risco deve ser tratado, sem exceção, seja ele negativo ou positivo. A empresa deve elaborar uma resposta para cada um.

6 – Monitoramento: os riscos devem ser monitorados constantemente para que não saiam do controle. Além disso, a fase de monitoramento também vai auxiliar na reclassificação de probabilidade ou intensidade de um risco.

É importantíssimo que em todas as fases todos os funcionários sejam envolvidos na gestão de riscos. Sem uma conscientização geral, a empresa continuará sujeita a riscos e perigos, e alguns deles podem até mesmo colocar em xeque a segurança do negócio.

Posicionamento da Organização

A empresa deve estar sempre aberta à comunicação, ouvindo seus colaboradores com sinceridade, sem pensar pelo lado da punição caso sejam expostas muitas “verdades”.

Caso a empresa não possua experiência em gerenciamento de riscos ou queira se guiar a partir de padrões reconhecidos internacionalmente, pode recorrer à ISO 31000, norma certificadora criada em 2009 cujo objetivo é fornecer um padrão para a implementação de um gerenciamento de riscos em qualquer organização, independentemente de seu tamanho ou segmento.

Dicas para gerenciar seus riscos

Nenhuma empresa precisa se expor a riscos desnecessariamente — e apenas recentemente tem havido uma compreensão mais significativa sobre a importância da gestão de riscos. Medir riscos é essencial e estratégico; ignorar os riscos ou realizar o gerenciamento deles de maneira inadequada pode não apenas afetar seriamente uma organização, como também mitigar seu futuro.

Que tal preparar sua mochila? Conheça mais sobre os serviços e produtos da Área Técnica da Verde Ghaia, especializada em Gestão de Riscos, Análise de Risco Jurídico, Due Diligence, Pareceres, Seguro Ambiental, dentre outros.

Entre em contato conosco! A Verde Ghaia tem sempre uma solução para o seu negócio!

Blog SOGI