Diretrizes de governança, compliance e integridade
As Políticas do Grupo Flipper estabelecem diretrizes de governança que orientam condutas, decisões e controles para assegurar conformidade legal, integridade, continuidade operacional e excelência na prestação de serviços. Elas se aplicam a todos os Colaboradores, Diretores, estagiários, terceiros, parceiros e fornecedores quando atuarem em nome do Grupo Flipper, nas dependências da empresa ou em seus ambientes digitais.
Estas Políticas são complementares aos Princípios Empresariais – Código de Ética, Conduta e Relação para com Terceiros, e se desdobram em Normas (NOR), Procedimentos (PRO), Instruções de Trabalho (INS), Fluxos (FLU) e Documentos/Template (DOC). Qualquer exceção deve ser formalmente justificada, registrada e aprovada pela Diretoria responsável, com ciência da Célula Compliance.
Arquitetura de governança (QSMS-RS+): Qualidade, Segurança, Meio Ambiente, Saúde e Responsabilidade Social, acrescidos de Ética e Conduta, Anticorrupção, Compliance e Segurança da Informação, alinhados ao modelo de governança do Grupo e às melhores práticas de mercado (incluindo requisitos aplicáveis de certificações e do Programa OEA).
Revisão e melhoria contínua: as Políticas devem ser revisadas, no mínimo, anualmente ou sempre que houver mudança regulatória relevante, incidente material, alteração de processo/sistema, não conformidade recorrente ou risco emergente.
Diretriz: desenvolver soluções logísticas e aduaneiras inovadoras, criativas e aderentes às necessidades do cliente, com foco em previsibilidade, rastreabilidade, agilidade e melhoria contínua. Evidências: Programa GF Learning / Biblioteca do Major (capacitação e cultura de aprendizagem) e Programa GF Quality (regularidade documental, indicadores, auditorias internas e melhorias de processo/tecnologia).
Diretriz: garantir ambiente seguro para colaboradores, visitantes, clientes, fornecedores e parceiros, por meio de gestão de riscos ocupacionais e controles físicos e operacionais compatíveis com a criticidade do negócio. Evidências: Programa GF Safe & Secure (PGR, LTCAT, CIPA e demais ações de prevenção), controles operacionais associados ao OEA/seguros e reforço de segurança da informação para comunicações e dados sensíveis.
Diretriz: defender o uso consciente de recursos naturais, incentivar preservação ambiental e sustentabilidade e conduzir operações com clientes e parceiros, promovendo práticas que evitem agressões ao meio ambiente.
Evidências: Programa GF Sustainability (conscientização, redução de impressões e resíduos, digitalização de processos, reciclagem, uso racional de água e demais iniciativas internas).
Diretriz: garantir ambiente saudável, seguro e produtivo, por meio de programas de saúde ocupacional e iniciativas de bem-estar, abrangendo saúde física, mental e emocional. Evidências: Programa GF Health (PCMSO, benefícios legais e corporativos, e ações estruturadas de promoção de saúde e bem-estar).
Diretriz: promover desenvolvimento sustentável, respeito à diversidade e redução de desigualdades por meio de ações não discriminatórias, informação consciente, capacitação, voluntariado e doações monitoradas. Evidências: Programa GF People e Fundo GF de Sustentabilidade (arrecadação e doações monitoradas), além de projetos sociais apoiados pelo Grupo Flipper.
Diretriz: orientar e assegurar práticas de ética, conformidade e integridade no relacionamento interno e com terceiros, prevenindo, detectando e corrigindo desvios, com registros e rastreabilidade. Evidências: Princípios Empresariais, treinamentos, comunicações periódicas e documental de suporte às rotinas (normas, procedimentos e registros).
Diretriz: manter tolerância zero a suborno, corrupção e qualquer vantagem indevida, em âmbito público ou privado, nacional ou internacional, incluindo oferta, solicitação, promessa, autorização ou recebimento. Evidências: cláusulas anticorrupção em contratos, termo de compromisso com terceiros, treinamentos e investigações internas quando aplicável, com medidas disciplinares proporcionais.
Diretriz: manter regras claras de acesso e circulação nas dependências da empresa para colaboradores e terceiros, priorizando segurança, integridade patrimonial e proteção de informações. Evidências: controle biométrico/senhas conforme áreas, recepção com atendimento assistido, e monitoramento contínuo por CFTV (Circuito Fechado de Televisão) com guarda de imagens em prazo definido em norma interna.
Diretriz: assegurar que acesso a dados e sistemas seja concedido pelo princípio do menor privilégio, em conformidade com Fichas de Pré-Requisitos (FPR), funções exercidas e necessidade de negócio. Controles mínimos: verticalização de acessos por setor/subdiretório; criação e revogação de acessos no processo de admissão/rescisão; logs e rastreabilidade em sistemas; regras de uso de e-mail corporativo; e adequação à LGPD e compromissos de Segurança, Ética, Conformidade e Prevenção à Corrupção.
Diretriz: identificar, avaliar, tratar e monitorar riscos (estratégicos, operacionais, financeiros, compliance, segurança e TI) com tolerância ao risco definida, segregação de funções, controles-chave e reporte periódico ao Conselho Administrativo. Evidências: Comitê OEA/Gestão de Riscos, mapa de riscos, indicadores críticos (KRIs/KPIs), auditorias internas e plano de ação com responsáveis e prazos.
Diretriz: assegurar resiliência do atendimento ao cliente e preservação de operações críticas diante de incidentes (falhas de sistema, indisponibilidade de instalações, eventos climáticos, incidentes cibernéticos, crises reputacionais). Evidências: plano BCP/DRP (Business Continuity Plan | Plano de Continuidade de Negócios e Disaster Recovery Plan | Plano de Recuperação de Desastres) com RTO/POR (Recovery Time Objective | Objetivo de Tempo de Recuperação e Recovery Point Objective | Objetivo de Ponto de Recuperação), testes periódicos, cadeia de comunicação e roteiro de crise com porta-vozes e aprovações.
Diretriz: definir classificação, prazos de guarda, confidencialidade, descarte seguro e rastreabilidade de documentos físicos e digitais, incluindo registros de operações e evidências de conformidade. Evidências: matriz de retenção, padrão de nomenclatura, trilha de auditoria e controles de acesso, alinhados às exigências legais e a requisitos de clientes/órgãos anuentes quando aplicável.
Diretriz: proteger confidencialidade, integridade e disponibilidade das informações do Grupo Flipper e de seus clientes/terceiros, prevenindo vazamentos, indisponibilidades e usos indevidos. Escopo mínimo: Gestão de Identidades e Acessos (IAM – Identity and Access Management), senhas e MFA (Multi-Factor Authentication / Autenticação Multifator), classificação da informação, dispositivos e mídias, backups, logs e resposta a incidentes, além das diretrizes de privacidade (LGPD).
Diretriz: padronizar criação, alteração, revisão periódica e revogação de acessos; adotar privilégio mínimo; segregar perfis críticos; e assegurar desligamento lógico imediato no offboarding. Evidências: revisões trimestrais/semestrais de acessos, aprovação por gestor, e trilha de auditoria mantida pela Célula TI.
Diretriz: estabelecer regras objetivas para senhas e autenticação forte (MFA) em sistemas, e-mail e acessos remotos; proibir compartilhamento de credenciais; e adotar bloqueios e tentativas limitadas.
Evidências: padrão técnico definido pela TI, campanhas de conscientização e auditoria de conformidade.
Diretriz: classificar informações (Pública, Interna, Confidencial, Restrita), definir manuseio/compartilhamento e regras de uso aceitável de e-mail, internet, mensageria e dispositivos (incluindo BYOD – Bring Your Own Device – quando e se autorizado). Evidências: termo de responsabilidade, treinamentos periódicos e revisão de acessos/compartilhamentos.
Diretriz: definir periodicidade e escopo de backups, retenção de logs, monitoramento, tratamento de vulnerabilidades e resposta a incidentes (contensão, erradicação, recuperação, lições aprendidas). Evidências: testes de restauração, relatórios de incidentes e pós-incidente, e SLAs internos para atendimento.
Diretriz: contratar e manter fornecedores/parceiros com critérios objetivos de qualidade, sustentabilidade, segurança, conformidade e continuidade; priorizar parceiros OEA quando aplicável; e documentar homologação e reavaliações. Evidências: matriz de homologação e qualificação de terceiros, cláusulas contratuais (LGPD, anticorrupção, segurança) e avaliações periódicas de desempenho/SLA.
Diretriz: padronizar elaboração, revisão, aprovação, guarda e gestão de contratos; definir SLAs (Service Level Agreement | Acordo de Nível de Serviço) e responsabilidades; e tratar não conformidades e penalidades com rastreabilidade. Evidências: repositório contratual controlado, workflow de aprovações e registro de aditivos e renovações.
Diretriz: assegurar ambiente de trabalho digno, seguro, inclusivo e de alta performance, com tolerância zero a assédio, discriminação e retaliação; e garantir capacitação para funções críticas (incluindo OEA, segurança da informação e compliance). Evidências: códigos e normas internas, canal de reporte, processos de apuração, e trilhas obrigatórias de treinamento com registros.
