A atualização da Norma Regulamentadora 01 (NR-01), que entra em vigor em maio de 2025, traz mudanças significativas para a gestão de saúde e segurança no trabalho no Brasil.
Essa atualização amplia o conceito de risco ocupacional ao abordar fatores como estresse, assédio moral e condições que afetam a saúde mental dos trabalhadores.
O material apresenta as diretrizes da NR-01, explicando sua importância para garantir um ambiente de trabalho seguro e saudável, além de detalhar as responsabilidades das empresas e as consequências do não cumprimento da norma.
Também aborda como as organizações devem se preparar para gerenciar os riscos psicossociais, implementando ações preventivas, treinamentos e acompanhamentos periódicos.
Por Vanessa Soares (Gerente de Compliance da Protiviti, consultoria especializada em ISO 37.001, ISO 37.301 e Empresa Pró-Ética.)
As organizações contemporâneas estão cada vez mais atentas à importância de terem Programas de Compliance estruturados e reconhecidos. Prova disso é a busca por certificações das Normas ISO 37001 e 37301, bem como pelo Reconhecimento Empresa Pró-Ética da CGU. Essas certificações e reconhecimentos reforçam a credibilidade e a reputação da empresa, mas também trazem desafios cruciais para o desenvolvimento e manutenção de uma cultura organizacional ética e transparente.
Confira a seguir as vantagens e os desafios dessas iniciativas de reconhecimento de compliance e entenda como elas podem influenciar positivamente o desempenho e a percepção da organização no mercado.
Reconhecimento do Programa de Compliance
Cada vez mais as empresas com Programas de Compliance estruturados buscam o reconhecimento e as certificações de suas iniciativas. Este é um passo natural, dado o esforço e dedicação (muitas vezes de anos) na implementação, aculturamento e monitoramento de suas ações.
As certificações das normas ISO 37.001 e ISO 37.301, bem como Reconhecimento Empresa Pró-Ética da Controladoria-Geral da União (CGU), são as mais procuradas no mercado. Tratam-se de iniciativas distintas e complementares, que visam promover a integridade e o compliance nas organizações. Ambas oferecem vantagens significativas, mas também apresentam desafios específicos que devem ser considerados. Veja a seguir algumas particularidades.
Normas ISO 37001 e 37301
As normas ISO 37.001 e ISO 37.301 são um padrão global, por isso, certificar-se em quaisquer dessas normas representa um reconhecimento internacional, sendo muito comum a implementação conjunta dos Sistemas de Compliance e Antissuborno, dada a sinergia entre eles, o que pode aumentar a credibilidade e a reputação da organização no mercado internacional.
Estes sistemas de gestão possuem um padrão normativo, claro e abrangente para o desenvolvimento, implementação e manutenção de um Sistema ISO, observando o ciclo PDCA – Planejar, Fazer, Checar e Agir (Plan, Do, Check e Act) – facilitando a integração com outros sistemas de gestão, como ISO 9.001 e ISO 14.001.
Eles têm como premissa expressa a melhoria contínua de promover a cultura ativamente, incentivando as organizações a avaliar regularmente seu desempenho em relação aos requisitos de compliance e identificar oportunidades de aprimoramento através de riscos e testes. A certificação tem validade de 3 anos – após este prazo, deverá haver auditorias de recertificação por organismo credenciado e pago.
Empresa Pró-Ética
O reconhecimento Empresa Pró-Ética é uma iniciativa do Governo Federal brasileiro, promovida pela CGU, o que pode conferir um reconhecimento distinto às organizações que adotam práticas éticas e de integridade, por ser dada por uma autoridade pública.
As organizações reconhecidas pelo Pró-Ética podem desfrutar de maior visibilidade com o cadastro positivo e oportunidades de networking com outras empresas e instituições comprometidas com a ética nos negócios. Este reconhecimento pode ajudar a reforçar a reputação da organização perante seus stakeholders, mostrando seu comprometimento com a ética e a transparência, respaldando as ações de seu programa frente à lei 12.846/2013. O reconhecimento é gratuito e tem validade de 2 anos.
Benefícios das Certificações de Compliance
ISO 37001 e 37301:
Reconhecimento internacional.
Alinhamento com padrões globais de gestão, facilitando a integração com outras normas ISO.
Validade de 3 anos, promovendo a melhoria contínua através de auditorias regulares.
Empresa Pró-Ética:
Visibilidade através do cadastro positivo da CGU.
Credibilidade reforçada perante stakeholders.
Reconhecimento gratuito, com validade de 2 anos.
Como Obter as Certificações?
Avalie suas Necessidades: Determine quais certificações se alinham aos seus objetivos estratégicos.
Implemente um Sistema de Gestão: Utilize o ciclo PDCA (Planejar, Fazer, Checar, Agir).
Conte com Suporte Especializado: Nossa equipe oferece consultoria completa para conquistar as certificações ISO e o reconhecimento Pró-Ética.
Certificações e reconhecimentos em Compliance: conclusão
Em resumo, tanto a certificação de uma NRB ISO 37001 e ISO 37301 quanto o reconhecimento Empresa Pró-Ética oferecem benefícios significativos para as organizações que buscam promover de forma positiva sua marca, com foco em integridade e o compliance em seus negócios.
Vale ressaltar que ambos vão exigir investimento físico e financeiro, com desdobramento em toda a organização e cadeia de valor. A escolha entre as duas iniciativas dependerá das necessidades específicas, recursos disponíveis e objetivos estratégicos de cada organização.
Em 6 de março de 2024, a Comissão de Valores Mobiliários dos Estados Unidos (SEC) aprovou sua aguardada — e, para muitos, controversa — nova regra, o Aprimoramento e Padronização das Divulgações Relacionadas ao Clima para Investidores. A versão final desta regulamentação muito debatida e discutida nos EUA exigirá que as empresas listadas na SEC relatem as emissões de gases de efeito estufa (GEE) e as metas climáticas, bem como os riscos relacionados ao clima e os esforços para gerenciá-los. A nova regra apresenta um período de adoção faseado, no qual a data de conformidade é ditada pelo status do registro da empresa listada (conforme os critérios e regras de status dde empresas listadas existentes). As primeiras empresas listadas devem fornecer divulgações para o ano civil de 2025 ou ano fiscal iniciado em 2025.
O requisito de divulgação climática da SEC tem sido controverso desde que foi proposto. A Comissão modificou sua proposta inicial após um extenso período de discussão, que incluiu 24.000 comentários públicos (o maior da história da SEC). Neste texto, analisamos a nova regra e o que as empresas precisam fazer para se preparar para cumprir.
Para que serve a nova regulamentação da SEC sobre GEE?
A SEC vem considerando o assunto há vários anos. Durante sua audiência de confirmação em março de 2021, perante o Comitê Bancário do Senado, o atual presidente da SEC (na época, indicado) Gary Gensler expressou seu apoio a divulgações adicionais relacionadas à mudança climática, afirmando: “… há dezenas de trilhões de dólares de ativos investidos que estão procurando mais informações sobre risco climático.” (E, de fato, um número substancial de empresas públicas e privadas tem feito divulgações relacionadas em resposta ao interesse do mercado e das partes interessadas, mesmo sem esta nova regra.) Ele também afirmou que os emissores se beneficiariam de divulgações adicionais sobre mudanças climáticas e riscos. A regra de divulgação climática da SEC vem após a adoção de regulamentações de divulgação climática na Europa e nos Estados Unidos, no Estado da Califórnia.
O que está na Regra Final?
Em relação aos potenciais riscos financeiros relacionados ao clima
As seguintes informações devem ser divulgadas em notas às demonstrações financeiras:
Riscos climáticos que tiveram ou têm razoável probabilidade de causar um impacto material na estratégia de negócios, nos resultados das operações ou na condição financeira do registrante, incluindo impactos materiais reais e potenciais de quaisquer riscos climáticos identificados na estratégia e perspectivas de negócios do registrante;
Informações sobre metas ou objetivos climáticos de um registrante, se houver, que afetaram materialmente ou têm razoável probabilidade de afetar materialmente os negócios, os resultados das operações ou a condição financeira do registrante, incluindo gastos materiais e impactos em estimativas financeiras e suposições como resultado direto da meta ou das ações tomadas para progredir em direção ao cumprimento de tal meta ou objetivo;
Se as estimativas e suposições que um registrante usa para produzir as demonstrações financeiras forem impactadas materialmente por riscos e incertezas associados a eventos climáticos severos e outras condições naturais ou quaisquer metas ou planos de transição climática divulgados, uma descrição qualitativa do impacto sobre tais estimativas e suposições.
Em relação às atividades e governança do processo de divulgação climática:
As seguintes informações devem ser divulgadas de acordo com as divulgações de gerenciamento de risco exigidas pelo novo Regulamento S-K Item 1503:
Processos que o registrante tem em vigor para identificar, avaliar e gerenciar riscos climáticos materiais e, se o registrante estiver gerenciando esses riscos, se e como esses processos estão integrados ao sistema ou processos de gerenciamento de riscos globais do registrante;
Se, como parte de sua estratégia, um registrante realizou atividades para mitigar ou se adaptar a um risco climático material, uma descrição quantitativa e qualitativa de gastos materiais incorridos e impactos materiais em estimativas financeiras e suposições que resultam diretamente dessas atividades de mitigação ou adaptação;
Supervisão pelo conselho de administração de riscos climáticos e qualquer papel da administração na avaliação e gerenciamento dos riscos climáticos materiais do registrante.
Em relação aos impactos quantificáveis nas demonstrações financeiras:
As seguintes informações devem ser divulgadas em nota às demonstrações financeiras:
Custos capitalizados, gastos incorridos, despesas assumidas e perdas incorridas devido a eventos climáticos severos e outras condições naturais, como furacões, tornados, enchentes, secas, incêndios florestais, temperaturas extremas e elevação do nível do mar, devem ser divulgados em nota às demonstrações financeiras, sujeitos aos limites de divulgação de um por cento e de minimis aplicáveis;
Custos capitalizados, gastos incorridos e perdas reconhecidas relacionadas a compensações de carbono e créditos ou certificados de energia renovável se usados como um componente material dos planos de um registrante para alcançar suas metas ou objetivos climáticos divulgados.
Em relação a outros itens relacionados às demonstrações financeiras:
Para arquivadores acelerados grandes e arquivadores acelerados que não sejam isentos de outra forma, informações sobre emissões diretas materiais (Escopo 1) e/ou emissões indiretas de energia adquirida (Escopo 2) no relatório anual arquivado sob o Formulário 10-K; e Para arquivadores acelerados grandes e arquivadores acelerados, um relatório de garantia no nível de garantia limitada e, finalmente, para arquivadores acelerados grandes, no nível de garantia razoável.
Prazos de Relatório e Requisitos de Garantia
A regra finalizada inclui um período de implementação e certas acomodações com base no status do arquivador e considerações de materialidade do registrante. A tabela abaixo resume as datas de conformidade e os requisitos de garantia por tipo de registrante:
Datas de Compliance Datas são para o ano fiscal que começa em:
Tipo de registrante
Divulgação e Efeitos nas Demonstrações Financeiras Auditoria
Emissões de GEE/Garantia
Todas as divulgações do Reg. S-K e S-X
Emissões de GEE de Escopo 1 e 2
Garantia limitada
Garantia razoável
Arquivadores acelerados grandes
2025
2026
2029
2033
Arquivadores acelerados
2026
2028
2031
N/A
Arquivador não acelerado, empresa de relatório menor ou empresa de crescimento emergente
2027
N/A
N/A
N/A
Esses requisitos adicionais de divulgação têm implicações no controle interno. As divulgações de impacto nas demonstrações financeiras seriam sujeitas à Seção 404 da Lei Sarbanes-Oxley (SOX), Controle Interno sobre Relatórios Financeiros, devido à sua inclusão nas demonstrações financeiras. Como muitas dessas divulgações estão fora do modelo tradicional de relatórios financeiros, deve-se observar que, em 2023, o COSO forneceu orientações complementares sobre a aplicação de seu framework de controle interno para relatórios de sustentabilidade. Além disso, todas as divulgações seriam sujeitas à Seção 302 da SOX, Controles e Procedimentos de Divulgação.
O que NÃO está na Regra Final
A SEC fez várias modificações significativas na proposta inicial exposta em 2022. Essas mudanças provavelmente foram feitas não apenas como reação aos comentários recebidos sobre a proposta, mas também para posicionar a regra para resistir a contestações esperadas.
As principais diferenças entre a proposta inicial da SEC e a regra final são:
As divulgações de emissões de Escopo 1 e 2 são exigidas apenas se consideradas materiais pelo registrante.
As divulgações de emissões de Escopo 3 foram removidas completamente da regra final. A regra original teria exigido uma exigência de relatório em fases para emissões associadas à cadeia de valor de um registrante — a cadeia de suprimentos, canais de distribuição e logística relacionada —, bem como os usuários finais de seus produtos. Este foi o aspecto mais controverso da regra proposta em 2022, no processo de comentários e no debate resultante sobre a proposta.
O limiar de tolerância proposto de 1% de um item de linha de demonstração financeira consolidada para divulgar os impactos financeiros de eventos climáticos severos, outras condições naturais, atividades de transição e eventos relacionados ao clima também foi removido completamente da regra final, deixando uma avaliação subjetiva de materialidade a ser usada para determinar a necessidade de divulgação.
O que as empresas devem fazer agora
As empresas devem conduzir análises de gaps e materialidade avaliando os componentes principais de seus programas de sustentabilidade existentes e a coleta, validação e divulgação de dados relacionados. Elas devem mapear esses programas para os requisitos da SEC e elaborar estratégias para alcançar a conformidade abordando quaisquer gaps. Organizações que possuem operações na Europa e no estado da Califórnia podem já estar em conformidade com partes da regra final da SEC por meio do arquivamento, ou preparação para arquivamento, de relatórios em conformidade com a Diretiva de Relatórios de Sustentabilidade Corporativa (CSRD) da UE e as novas leis de divulgação climática da Califórnia.
Ao realizar análises de gaps e materialidade, as seguintes etapas são relevantes para múltiplos requisitos de relatórios climáticos:
Revisar os programas de sustentabilidade existentes. Avaliar os componentes principais de qualquer programa de sustentabilidade já implementado. Em particular, revisar os dados do programa de sustentabilidade existente para identificar o que já está disponível. Rever a infraestrutura de relatórios financeiros atual da organização e os relatórios que produz. Relatórios atualmente sendo emitidos em conformidade com interesses e demandas das partes interessadas podem já abordar algumas das divulgações necessárias.
Avaliar o suporte subjacente para avaliações de materialidade. Embora as divulgações de emissões de Escopo 1 e 2 sejam exigidas apenas se consideradas materiais pelo registrante, dados relevantes e precisos de GEE são necessários para avaliar a materialidade de forma eficaz e contínua. Para garantir que os dados necessários estejam disponíveis, as empresas devem identificar o suporte de que precisam para cumprir as novas divulgações e comparar essas necessidades com os dados, informações e documentos já presentes na organização. Elas devem avaliar os dados de GEE atualmente disponíveis, as metas de GEE que a organização pode já ter definido, e os processos e controles atuais para fornecer um contexto para considerar as tecnologias disponíveis que facilitariam a coleta e validação de dados. Por fim, revisar e documentar as fontes de relatórios e dados existentes. Essas atividades facilitarão a identificação de gaps e articularão as necessidades de remediação da organização para obter suporte para os esforços de remediação dos principais tomadores de decisão.
Roteiro e remediação. Use os gaps identificados para desenvolver planos de remediação. Se houver muitos gaps, considere priorizá-las com base na urgência, cronograma e esforço necessário para remediar cada gap. Agrupe os gaps logicamente em iniciativas separadas, atribua proprietários para cada uma e estabeleça responsabilidade pelos resultados. Desenvolva planos, orçamentos e cronogramas para essas iniciativas e implemente um programa de prontidão que incorpore todas as atividades. Alinhe o escopo do programa, as prioridades e o cronograma de rastreamento com as datas de conformidade de divulgação da SEC.
Embora a abordagem acima tenha sido encapsulada em três etapas, cada etapa, admitidamente, pode exigir um esforço significativo para a maioria das organizações. Realizar e documentar uma análise de gaps como primeiro passo ajudará os executivos a manter o conselho, outras partes interessadas internas e os auditores externos informados sobre os objetivos e necessidades de relatórios de divulgação climática. Mais importante ainda, ajudará a administração a obter o apoio para os recursos necessários para levar a organização à conformidade. Esse processo deve começar o mais rápido possível.
Comentário da Protiviti
Para fortalecer a posição da regra em caso de litígio, a SEC tem se baseado fortemente no conceito de materialidade para informar seus requisitos de divulgação. E embora certas informações possam ou não ser necessárias de serem divulgadas, com base na determinação de serem ou não materiais, a avaliação de materialidade não é opcional. As empresas precisarão avaliar a materialidade usando suas definições tradicionais de avaliar se as informações são importantes para um investidor razoável ao tomar uma decisão de investimento. Para tanto, mesmo que uma empresa considere que determinados requisitos potenciais de divulgação sejam imateriais, ela deve passar pelo exercício formal de avaliação de materialidade e preservar (em antecipação à possibilidade de fornecer) evidências para demonstrar sua decisão em relação à sua conclusão de que a divulgação não é necessária.
Desafios legais à decisão da SEC são praticamente garantidos por múltiplos vetores, incluindo grandes grupos empresariais, a Câmara de Comércio dos Estados Unidos, ambas as câmaras do Congresso, procuradores-gerais estaduais e outros, incluindo defensores do clima insatisfeitos por a regra não ir longe o suficiente para abordar suas preocupações. Desafios legais potenciais à parte, a decisão da SEC envia mais um sinal para as empresas americanas, além dos que elas já receberam enquanto a onda de requisitos de divulgação de sustentabilidade varre o globo, de que é hora de agir.
A maioria dos registrantes da SEC e grandes empresas privadas domiciliadas nos EUA têm presença global e podem já estar sujeitas a regulamentações de amplo alcance, como a CSRD ou até mesmo as leis da Califórnia. E para aqueles que ainda não estão sob um regime regulatório, a divulgação de sustentabilidade já é exigida em algum nível porque suas partes interessadas demandam essas informações. Para essas empresas, a regra da SEC é simplesmente uma formalização do que elas podem já estar fazendo. Os relatórios que elas estão emitindo atualmente podem funcionar como ponto de partida para as divulgações da SEC.
Como a Protiviti pode ajudar
A sustentabilidade é uma jornada contínua, apresentando novos riscos e oportunidades. Não há modelos ou soluções prontas, e cada empresa precisa de uma abordagem individualizada e holística para relatórios e operações ambientais, sociais e de governança (ESG) para gerenciar seu alto nível de complexidade e posicionar a organização para o sucesso contínuo e de longo prazo.
Na Protiviti, aproveitamos nossa expertise em relatórios e regulamentação e nossas parcerias estratégicas para ajudar os clientes a definir e construir um processo de relatório de sustentabilidade contínuo e sem falhas. Auxiliamos as empresas a definir e alinhar métricas de sustentabilidade à estratégia e às expectativas regulatórias, apoiamos o processo de relatório com soluções inovadoras de dados e análises e facilitamos a prontidão para auditoria e garantia para que possam enfrentar um futuro sustentável com confiança.
A Lei de Serviços Digitais (DSA, na sigla em inglês) entrou em vigor na União Europeia em novembro de 2022, com o objetivo de regular o conteúdo online e tornar as big techs mais responsáveis pelo que é publicado nas plataformas.
A lei obriga que empresas como Meta (Facebook/Instagram), X (antigo Twitter) e Google removam rapidamente conteúdos ilegais em suas plataformas, sob risco de multas que podem chegar a 6% do faturamento global. Além disso, o regulamento busca combater a disseminação de desinformação e conteúdo prejudicial.
Esse novo marco regulatório já começou a ser testado com o recente conflito entre Israel e Palestina. Diante do aumento de publicações antissemitas sobre a guerra, o comissário europeu Thierry Breton solicitou que as big techs removessem determinados conteúdos rapidamente, utilizando a DSA como argumento legal.
Nesse contexto, as empresas teriam que agir de forma mais rápida contra a proliferação de conteúdos impróprios a fim de evitar possíveis multas milionárias. Exemplos recentes dessa iniciativa incluem o Facebook remover posts contendo discursos de ódio contra israelenses e o TikTok banir hashtags que promoviam informações falsas sobre o conflito na Faixa de Gaza.
Diante desses fatos, é seguro afirmar que a DSA pode exercer pressão sobre as empresas de tecnologia, forçando-as a moderar conteúdos danosos de maneira mais proativa e poupar a disseminação de violência, fake news, entre outros incidentes. Por outro lado, essa mudança também levanta determinadas preocupações sobre um potencial processo de censura e uma certa limitação da liberdade de expressão entre os usuários e os criadores de conteúdo.
Segundo levantamento da Poynter Institute, escola de jornalismo e organização de pesquisas americana, com apoio do Google, quatro em cada 10 pessoas afirmaram receber notícias falsas todos os dias no Brasil. Ainda conforme o estudo, o número é ainda mais expressivo quando se trata de brasileiros que receiam receber conteúdo de fake news ou que seus parentes sejam alvos, somando 65% do índice da pesquisa.
Diante disso, assim como a GDPR (Regulamento Geral sobre a Proteção de Dados), implementada na Europa em 2018 e replicada no Brasil em 2020 por meio da Lei Geral de Proteção de Dados, a DSA também tende a servir de modelo para regulações semelhantes ao redor do mundo.
Convém assinalar que tramita no Congresso Nacional o Projeto de Lei 2630/2020, conhecido como ‘Lei das Fake News’, que busca combater a desinformação online. Embora haja debates polêmicos em torno da aprovação desta lei, tudo indica que existe uma tendência de aumento da pressão regulatória sobre plataformas digitais também no país.
Nas eleições 2018, por exemplo, proliferaram pelas redes sociais brasileiras diversos conteúdos falsos contra diferentes candidatos, que geraram forte engajamento entre os eleitores. Este fato motivou o Tribunal Superior Eleitoral (TSE) a criar uma coordenação exclusiva dedicada ao combate à desinformação na internet durante o pleito de 2022.
Com isso, a aplicação de uma lei nos mesmos moldes da DSA europeia, poderia trazer avanços na moderação de conteúdo ilegal e discurso de ódio online no país. Em contrapartida, um dos principais desafios é garantir que a regulação não represente censura ou limitação excessiva da liberdade de expressão. Ou seja, o diálogo sobre o tema deve ser levantado em todas as frentes para que um comum acordo seja implementado para a regulamentação das big techs no país.
No geral, a Lei de Serviços Digitais tem potencial para mitigar problemas sérios como disseminação de ódio e desinformação online. No entanto, implementar no Brasil uma regulação com tal alcance, não é tarefa trivial. A implementação da lei em território brasileiro exigiria adaptações cuidadosas à realidade nacional e mecanismos eficazes para prevenir abusos e censura.
*Aline Noleto é consultora pleno de Data Regulation da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
À medida que o mundo empresarial se torna cada vez mais dependente de tecnologia, os incidentes de segurança da informação se tornaram uma ameaça significativa para as organizações. Ataques cibernéticos, como o ransomware agora não são meros problemas técnicos, mas uma preocupação de grande relevância para reguladores de cibersegurança do mundo todo.
Segundo dados divulgados pela Fortinet, empresa de software, produtos e serviços de cibersegurança, o Brasil é o segundo país mais atingido por ataques cibernéticos na América Latina, ficando atrás apenas do México.
Ainda conforme a pesquisa, em 2022 o país testemunhou uma impressionante marca de 103 bilhões de tentativas de ataques, registrando 16% a mais em relação ao ano anterior. Além disso, aproximadamente 86% desse total está relacionado ao ransomware, indicando motivação financeira substancial por trás dessas ações.
Esses dados revelam que, à medida que a tecnologia avança, os cibercriminosos se adaptam rapidamente a novas práticas diante às vulnerabilidades. Essa posição coloca não apenas as empresas em risco, mas também a privacidade e a segurança das informações de clientes e parceiros.
Assim, utilizar ferramentas especializadas é fundamental para o monitoramento da segurança das informações em tempo real, tendo como foco indicadores de riscos para a mitigação de ameaças e melhoria dos controles. No entanto, é relevante que as empresas tenham comandos efetivos, que sejam adequados ao tipo de mercado de atuação, bem como ao porte e complexidade da operação.
Além disso, estes controles precisam levar em conta o fluxo de comunicação interna, pois nem sempre um incidente começará na infraestrutura de TI e, assim, não será gerado um alerta nos monitoramentos de tecnologia. Portanto, além dessa logística, deve-se ter o treinamento e a conscientização dos funcionários.
Isso porque é de extrema importância que os colaboradores não caiam em armadilhas como phishing, ou seja, e-mails falsos que permitem o roubo de informações que podem resultar em invasões na infraestrutura de TI. Logo, para que episódios como estes não ocorram, as organizações devem estimular a comunicação efetiva em torno destes incidentes, além de promover a atenção da gestão de terceiro.
Nesse contexto, é de extrema importância que os usuários comuniquem às áreas de governança corporativa a mínima suspeita de um eventual ataque cibernético, bem como informar qualquer falha ou erro operacional, em que dados de pessoas naturais, clientes, inclusive da empresa, entre outros, possam ter sido tratados de forma irregular. Afinal, de nada adianta os investimentos internos se os prestadores de serviço não adotam os mesmos padrões que a contratante.
É contundente que as empresas abordem determinadas questões desde o momento da contratação, com a formalização de termos de confidencialidade (non-disclosure agreement – NDA), que são elaborados com rigor para garantir que todas as partes entendam as responsabilidades e os riscos associados à gestão de informações sensíveis. Além disso, deve priorizar a due dilligence (em português, ‘diligência prévia’) com os fornecedores, o que envolve avaliar a capacidade de proteger dados e informações confidenciais da empresa.
A partir dessas medidas, as organizações podem reduzir significativamente os riscos relacionados à segurança da informação e garantir que os dados permaneçam protegidos, independentemente de onde residam no ecossistema corporativo. Essa abordagem não apenas protege, mas também amplia a confiança de clientes e parceiros de negócios.
*Alexandre Tamura e Julia Bersan atuam na área de Data Privacy da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
Com a aproximação do último trimestre do ano, reuniões para definições orçamentárias começam a ocupar espaço na agenda. A avaliação de indicadores, a análise de faturamento e a prospecção de cenários serão cada vez mais frequentes até o final do ano. E, os setores que não fazem parte da atividade principal da companhia e nem são geradores de receita, precisam batalhar pelas suas fatias orçamentárias. Esse é o caso do setor de compliance.
Embora o Compliance seja essencial na prevenção de fraudes, na transformação cultural ética e na adequação normativa da empresa, a mudança de cenário econômico pode diminuir os recursos destinados à manutenção do setor.
Neste momento, é importante considerar diferentes caminhos para montar o orçamento e o planejamento, que pode passar por ganho de eficiência em tarefas frequentes, compartilhamento dos deveres de conformidade e diminuição da complexidade das atividades.
Ainda de acordo a pesquisa, o mercado apresenta um cenário em que mais de 60% dos setores dedicados ao Compliance são compostos por duas a cinco pessoas. Além dessa configuração enxuta, 72% dos profissionais respondentes não atuam unicamente com compliance e conjugam suas atividades com outras, como privacidade de dados (35%) ou auditoria interna (28%).
Dado à situação de “setores enxutos versus múltiplas demandas”, o ganho de eficiência em atividades de rotina é essencial. Segundo o mesmo estudo, o gerenciamento de canais de denúncia é a líder em frequência (92%), seguido por “conscientizar e buscar apoio da alta liderança da companhia” (87%) e “mapear, monitorar e mitigar os riscos de compliance” (79%).
Outro ponto importante é entender que, como a ética e a conformidade empresarial é um dever de todos, o orçamento não deveria ser somente da área de compliance. Um bom exemplo disso são os treinamentos e as comunicações dos setores de Recursos Humanos e Comunicação Interna, que normalmente possuem planos corporativos e poderiam prever ações de compliance em seus orçamentos. Para isso, é importante montar um bom plano em conjunto entre as áreas, alinhando cronogramas, recursos humanos e financeiros e infraestrutura disponível.
Ainda nesse sentido, de acordo com a pesquisa, os desafios mais complexos citados pelos gestores de compliance são: realizar o monitoramento de terceiros (77%) e inovar na forma de disseminar os conteúdos e os treinamentos de compliance (77%).
Dito isso, como conseguir o ganho de eficiência, o compartilhamento de deveres e a diminuição de complexidade? Os resultados do estudo mostraram que apenas 35% dos participantes trabalham em empresas que escolheram terceirizar atividades de Compliance. Destes, 76% citaram a melhoria na produtividade e na qualidade do serviço.
Ao adotar softwares com rápida curva de aprendizagem e que favoreçam a diminuição da complexidade de tarefas aliado à terceirização de atividades de rotina, os profissionais das enxutas estruturas de Compliance poderão focar seu tempo nas atividades estratégicas da área e nas tomadas de decisão relevantes.
Nesse sentido, as plataformas de canais de denúncia aliado a serviços de análise prévia dos casos podem ser aliados na captação de informações e na preparação das investigações. Desta forma, o compliance fica responsável por decidir se segue com a investigação e, se sim, já possui todos os elementos para isso. Já as plataformas de Due Diligence são excelentes para monitorar e mitigar riscos de terceiros e, atreladas a serviços de análise e atendimento de workflow, deixando para o compliance somente a responsabilidade por aprovar ou reprovar aqueles de alto risco.
A inovação também tem um papel fundamental nesta redução de custos e no planejamento orçamentário: a adoção de plataformas de treinamento mobile via WhatsApp, que aparecem como ponto de disrupção no mercado, é um ótimo exemplo de como alcançar estruturas pulverizadas.
Por fim, uma vertente pouco explorada pelos setores de Compliance é a contratação de relatórios que traçam panoramas evolutivos e comparativos com outras empresas do mesmo setor. O monitoramento de tendências, a identificação de pontos de melhoria e o benchmarking são essenciais para a apresentação de relatórios convincentes em reuniões do gênero.
O processo de fechamento orçamentário não é uma tarefa simples, muito menos rápida – o convencimento da alta administração na importância do compliance não é a parte mais complexa. O desafio é como demonstrar que algo que não traz retorno financeiro (direto) precisa ter um investimento. Neste momento, argumentos sólidos e planos consistentes são fundamentais à obtenção dos recursos necessários para a evolução da jornada do Compliance.
*Yaniv Chor é diretor de Education e Serviços Gerenciados na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
*Pedro César Sousa Oliveira é consultor em Pesquisa e Desenvolvimento da Aliant, empresa especializada em soluções para governança, compliance, ética, privacidade e ESG.
Os resultados da 1ª Pesquisa Nacional sobre as Necessidades e Tendências do Compliance, conduzida em parceria pelas empresas Aliant e Protiviti, refletem os desafios enfrentados pelas empresas brasileiras na implementação e gestão de seus programas de Compliance e geram um panorama exclusivo sobre o setor.
A análise considerou respostas provenientes de mais de 50 empresas de diferentes segmentos, com representantes em todos os níveis hierárquicos, de analistas a presidentes. O resultado é um panorama exclusivo sobre o setor, que permite entender suas prioridades e necessidades centrais, mapeando também como as empresas vem lidando com o cenário dinâmico do compliance nacional.
Confira o infográfico com os destaques da pesquisa Tendências de Compliance 2023, trazendo os principais dados obtidos pelo estudo sobre a atuação do setor, suas responsabilidades e prioridades para o futuro.
97% dos profissionais consideram que conscientizar e buscar apoio da alta liderança é a atividade mais importante do setor.
Ao baixar o estudo, você encontrará este e outros insights sobre:
Tecnologia e Tendências
Responsabilidades dos profissionais
Estrutura da área
Perfil da amostra
O objetivo do estudo foi identificar quais são os principais desafios, as características e a organização da área. Além disso, buscou-se descobrir as tendências e as intenções de investimentos em Compliance para os próximos anos.
Compliance no setor público – Tem sido constante no Brasil e no mundo exemplos de como a ineficiência de controles sobre atividades críticas das organizações tem gerado grande crises de reputação. E isso acontece não apenas no setor privado, mas também em governos. Como consequência direta desse quadro, empresas quebram, governos perdem popularidade, empregos são perdidos, renda é prejudicada e a qualidade de vida da população piora. Trata-se de um círculo vicioso que desenha um cenário que parece não ser possível modificar.
Não são poucas as empresas privadas que descobriram, já há algum tempo, que crises de reputação custam muito e, a depender do caso, podem inclusive levar ao encerramento de suas atividades. E muitas dessas organizações também já se deram conta que o programa de compliance é um dos meios mais eficientes para proteger seus ativos e manter íntegra sua imagem pública.
O compliance pode ser resumidamente definido como o conjunto de ações e ferramentas que buscam fazer com que a organização cumpra adequadamente as normas e os regulamentos a que está sujeita, estando capaz de prevenir e identificar irregularidades e, se for o caso, punir os responsáveis por elas.
No caso do setor público, a implementação de programas de compliance vem ganhando dimensão mais recentemente, em muito inspirada pela experiência da iniciativa privada e tendo como base a percepção de que, se adequadamente instituído, e considerando as suas particularidades, ele pode vir a ser uma ferramenta útil para controlar atos praticados por gestores públicos, além de um meio de reduzir riscos de crises de reputações e de imagem do próprio governo.
Nesse sentido, para ter uma boa governança, é fundamental, por exemplo, a correta gestão de conflito de interesses para impedir que as decisões sejam tomadas visando o favorecimento pessoal, de familiares e de amigos em detrimento do interesse da população. Há ainda espaço para promover melhorias e aprimorar a efetividade, garantindo que cargos sejam designados para profissionais competentes e que exerçam com excelência a função, que as compras tenham, de fato, o melhor custo-benefício e as decisões sejam tomadas de forma independente e justa.
Além disso, os órgãos do setor público podem se utilizar de atividades típicas do compliance para aprimorar seus controles e a prevenir irregularidades. Entre elas, podemos citar estratégias de treinamento e comunicação, códigos de conduta ética, práticas de monitoramento, critérios de avaliação de riscos, sistemas de investigação interna, canais de denúncias, boas regras de governança etc.
Parece óbvio, todavia, que, para que tais medidas sejam de fato efetivas, são necessárias adaptações e ajustes decorrentes da própria natureza jurídica e das peculiaridades do setor público. Nesse sentido, não são poucos que se perguntam se a adoção do compliance pelo setor público não se confundiria com as ações relacionadas a controles internos que, há algum tempo, já são de instituição obrigatória por governos e com os sistemas de responsabilização disciplinar ou corregedorias que muitos órgãos públicos têm de longa data.
Tal questionamento não é de todo sem sentido, visto que, se não houver o devido cuidado, pode sim haver superposição e uma certa confusão entre tarefas. Vale destacar que o Programa de Compliance tem pilares que atuam de forma preventiva, detectiva e reativa, atuando de forma complementar aos controles internos, prática já adotada por empresas. Uma abordagem que parece ser razoável é que o poder público deve enxergar o compliance como um conjunto de ferramentas e ações que podem ajudar, não apenas o controle interno, mas todos os setores da organização a protegerem seus ativos, incluindo a imagem e reputação, tendo maior capacidade de prevenir irregularidades e de identificar os responsáveis.
A experiência do setor privado, não apenas no Brasil, mas em todo o mundo, evidencia a importância do compliance e sua real capacidade de contribuir com atuação dos governos somente poderá ser mensurada ao longo do tempo. Mas parece evidente que, em um mundo cada vez mais conectado e atento a questões de ordem ética e reputacional, não resta outra trajetória a ser percorrida.
*Jefferson Kiyohara é diretor de Compliance & Sustentabilidade e Mário Spinelli é diretor executivo de Compliance Regulatório, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Lançamento do Código de Ética do Atlético Mineiro é uma iniciativa é fundamental para a profissionalização do Clube
Durante evento promovido na manhã desta segunda-feira, 25, o Atlético apresentou aos seus colaboradores o Programa Ético (Ética, Integridade e Compliance). Trata-se de um conjunto de iniciativas que estabelecem critérios e práticas corretas, exemplares e sustentáveis, do ponto de vista moral e profissional.
Para orientar e elucidar os valores do Programa, foi criado e compartilhado o novo Código de Ética e Conduta do Atlético, contendo as diretrizes que devem nortear a atuação e comportamento de todos que agem em nome do Clube.
O documento, que reforça o compromisso do Galo com uma gestão altamente profissional e em consonância com as melhores práticas de mercado, apresenta diretrizes gerais e questões relacionadas a Conflitos de Interesse, Segurança da Informação, Sustentabilidade e Responsabilidade Socioambiental, entre outras.
Além de página específica do Programa e do novo Código de Ética do Atlético Mineiro, está disponível no site oficial do Clube um Canal de Denúncias.
“Confiamos no engajamento de todos para continuar a construir um Galo admirado não só pelo desempenho esportivo, mas pela liderança ética”, afirmou o presidente do Atlético, Sérgio Coelho.
“O sucesso e a imagem do Atlético são reflexos da postura dos colaboradores, portanto, é dever de todos nortear a conduta profissional pelos princípios da ética, transparência e respeito ao próximo”, completou o presidente atleticano.
O evento contou, ainda, com a apresentações de Mário Spinelli, diretor da Protiviti Brasil, Leonardo Frizeiro, diretor de compliance da Usiminas e Alex Medeiros, diretor de integridade da MRV.
“O lançamento do programa Ético é um marco! O Clube demonstra para funcionários, parceiros, torcedores e todos aqueles com quem possui algum tipo de relação, que está evoluindo em sua governança, buscando propiciar cada vez mais relações pautadas na ética e na integridade. Um programa como esse tem o poder de permear a cultura do Clube, seus valores, processos, e tudo o que envolve o seu dia a dia. Essa atitude deve ser motivo de orgulho para todos os que se relacionam com o Galo, e deve servir de incentivo para as outras agremiações, pois estabelecer processos e políticas pautadas na ética é bom para a sociedade como um todo”, destaca Alex Medeiros.
“Parabéns ao Clube Atlético Mineiro pelo lançamento do Programa de Compliance, pois demonstra o compromisso de sua Administração com o tema Integridade em todas as suas relações. Tenho certeza que esse evento foi mais um marco importante na história do Galo e exemplo para todos os clubes e setores do Brasil”, destacou o diretor de compliance da Usiminas Leonardo Frizeiro.
