Diretrizes de governança, compliance e integridade
As Políticas do Grupo Flipper estabelecem diretrizes de governança que orientam condutas, decisões e controles para assegurar conformidade legal, integridade, continuidade operacional e excelência na prestação de serviços. Elas se aplicam a todos os Colaboradores, Diretores, estagiários, terceiros, parceiros e fornecedores quando atuarem em nome do Grupo Flipper, nas dependências da empresa ou em seus ambientes digitais.
Estas Políticas são complementares aos Princípios Empresariais – Código de Ética, Conduta e Relação para com Terceiros, e se desdobram em Normas (NOR), Procedimentos (PRO), Instruções de Trabalho (INS), Fluxos (FLU) e Documentos/Template (DOC). Qualquer exceção deve ser formalmente justificada, registrada e aprovada pela Diretoria responsável, com ciência da Célula Compliance.
Arquitetura de governança (QSMS-RS+): Qualidade, Segurança, Meio Ambiente, Saúde e Responsabilidade Social, acrescidos de Ética e Conduta, Anticorrupção, Compliance e Segurança da Informação, alinhados ao modelo de governança do Grupo e às melhores práticas de mercado (incluindo requisitos aplicáveis de certificações e do Programa OEA).
Revisão e melhoria contínua: As Políticas devem ser revisadas, no mínimo, anualmente ou sempre que houver mudança regulatória relevante, incidente material, alteração de processo/sistema, não conformidade recorrente ou risco emergente.
Diretriz: Desenvolver soluções logísticas e aduaneiras inovadoras, criativas e aderentes às necessidades do cliente, com foco em previsibilidade, rastreabilidade, agilidade e melhoria contínua.
Evidências: Programa GF Learning / Biblioteca do Major (capacitação e cultura de aprendizagem) e Programa GF Quality (regularidade documental, indicadores, auditorias internas e melhorias de processo/tecnologia).
Diretriz: Defender o uso consciente de recursos naturais, incentivar preservação ambiental e sustentabilidade e conduzir operações com clientes e parceiros, promovendo práticas que evitem agressões ao meio ambiente.
Evidências: Programa GF Sustainability (conscientização, redução de impressões e resíduos, digitalização de processos, reciclagem, uso racional de água e demais iniciativas internas).
Diretriz: Promover um ambiente de trabalho seguro, saudável, respeitoso, produtivo e preventivo, observando os requisitos legais, as normas internas e as boas práticas de saúde, segurança ocupacional e bem-estar. Manter programas, controles e ações voltados à prevenção de riscos ocupacionais, à promoção da saúde física, mental e emocional, ao bem-estar, à qualidade de vida e à melhoria contínua das condições de trabalho. Estimular a comunicação, o registro e o tratamento adequado de riscos, incidentes, condições inseguras, situações de adoecimento, emergências e demais ocorrências que possam afetar a saúde, a segurança ou a integridade das pessoas.
Evidências: Integrar as iniciativas de saúde, segurança e bem-estar aos programas GF Health e GF Safe & Secure, quando aplicável, assegurando o acompanhamento das ações, a manutenção das evidências e a busca contínua pela melhoria dos processos e resultados.
Diretriz: Estabelecer uma gestão ambiental pautada na transparência e responsabilidade, monitorando, registrando e divulgando periodicamente as emissões, as ações realizadas, a evolução das metas e os resultados ambientais aplicáveis. Priorizar a eliminação, redução e eficiência operacional na fonte antes da adoção de mecanismos de compensação ambiental. Promover o engajamento de colaboradores, fornecedores, parceiros, clientes e demais partes interessadas na adoção de práticas de baixo carbono. Incentivar a inovação, o uso de tecnologias limpas, a digitalização, a redução de deslocamentos, a otimização de processos e o uso consciente dos recursos. Assegurar a rastreabilidade por meio da manutenção de registros e evidências que sustentem inventários, indicadores, ações, compensações, relatórios e decisões ambientais.
Evidências: Apoiar iniciativas alinhadas aos princípios da justiça climática, do desenvolvimento sustentável, da preservação ambiental e da geração de benefícios coletivos.
Diretriz: Controlar o acesso às instalações, áreas restritas, documentos, equipamentos e recursos patrimoniais de acordo com a necessidade, função e autorização de cada pessoa. Manter práticas de prevenção, monitoramento e resposta a incidentes relacionados à segurança física e patrimonial. Preservar a integridade de colaboradores, visitantes, terceiros, clientes, documentos e ativos corporativos.
Evidências: Integrar a segurança física aos controles de compliance, OEA, gestão de riscos, saúde e segurança ocupacional, bem como aos processos de continuidade operacional.
Diretriz: Proibir qualquer forma de retaliação contra pessoas que realizem comunicações de boa-fé ou cooperem com processos de apuração. Garantir a confidencialidade, imparcialidade, rastreabilidade e proteção dos dados pessoais relacionados aos registros e investigações. Tratar atos de retaliação como violações graves, sujeitas à aplicação de medidas disciplinares, contratuais ou legais.
Evidências: Promover um ambiente seguro e confiável para a comunicação de riscos, desvios, irregularidades, assédio, discriminação, corrupção ou qualquer violação de direitos.
Diretriz: Proteger operações, documentos, dados, cargas, informações, fornecedores e demais interfaces da cadeia logística contra riscos de segurança, fraude, desvio, contaminação, violação ou uso indevido. Manter controles compatíveis com os riscos operacionais, aduaneiros, físicos, documentais, tecnológicos e relacionados a terceiros. Observar os requisitos aplicáveis do OEA, compliance, segurança física, segurança da informação, gestão de riscos e obrigações contratuais.
Evidências: Registrar e manter evidências operacionais críticas que permitam comprovar a integridade, a rastreabilidade, a execução adequada e a conformidade dos processos.
Diretriz: Promover desenvolvimento sustentável, respeito à diversidade e redução de desigualdades por meio de ações não discriminatórias, informação consciente, capacitação, voluntariado e doações monitoradas.
Evidências: Programa GF People e Fundo GF de Sustentabilidade (arrecadação e doações monitoradas), além de projetos sociais apoiados pelo Grupo Flipper.
Diretriz: Orientar e assegurar práticas de ética, conformidade e integridade no relacionamento interno e com terceiros, prevenindo, detectando e corrigindo desvios, com registros e rastreabilidade.
Evidências: Princípios Empresariais, treinamentos, comunicações periódicas e documental de suporte às rotinas (normas, procedimentos e registros).
Diretriz: Manter tolerância zero a suborno, corrupção e qualquer vantagem indevida, em âmbito público ou privado, nacional ou internacional, incluindo oferta, solicitação, promessa, autorização ou recebimento.
Evidências: Cláusulas anticorrupção em contratos, termo de compromisso com terceiros, treinamentos e investigações internas quando aplicável, com medidas disciplinares proporcionais.
Diretriz: Manter regras claras de acesso e circulação nas dependências da empresa para colaboradores e terceiros, priorizando segurança, integridade patrimonial e proteção de informações.
Evidências: Controle biométrico/senhas conforme áreas, recepção com atendimento assistido, e monitoramento contínuo por CFTV (Circuito Fechado de Televisão) com guarda de imagens em prazo definido em norma interna.
Diretriz: Assegurar que acesso a dados e sistemas seja concedido pelo princípio do menor privilégio, em conformidade com Fichas de Pré-Requisitos (FPR), funções exercidas e necessidade de negócio.
Controles mínimos: Verticalização de acessos por setor/subdiretório; criação e revogação de acessos no processo de admissão/rescisão; logs e rastreabilidade em sistemas; regras de uso de e-mail corporativo; e adequação à LGPD e compromissos de Segurança, Ética, Conformidade e Prevenção à Corrupção.
Diretriz: Identificar, avaliar, tratar e monitorar riscos (estratégicos, operacionais, financeiros, compliance, segurança e TI) com tolerância ao risco definida, segregação de funções, controles-chave e reporte periódico ao Conselho Administrativo.
Evidências: Comitê OEA/Gestão de Riscos, mapa de riscos, indicadores críticos (KRIs/KPIs), auditorias internas e plano de ação com responsáveis e prazos.
Diretriz: Assegurar resiliência do atendimento ao cliente e preservação de operações críticas diante de incidentes (falhas de sistema, indisponibilidade de instalações, eventos climáticos, incidentes cibernéticos, crises reputacionais).
Evidências: Plano BCP/DRP (Business Continuity Plan | Plano de Continuidade de Negócios e Disaster Recovery Plan | Plano de Recuperação de Desastres) com RTO/POR (Recovery Time Objective | Objetivo de Tempo de Recuperação e Recovery Point Objective | Objetivo de Ponto de Recuperação), testes periódicos, cadeia de comunicação e roteiro de crise com porta-vozes e aprovações.
Diretriz: Definir classificação, prazos de guarda, confidencialidade, descarte seguro e rastreabilidade de documentos físicos e digitais, incluindo registros de operações e evidências de conformidade.
Evidências: Matriz de retenção, padrão de nomenclatura, trilha de auditoria e controles de acesso, alinhados às exigências legais e a requisitos de clientes/órgãos anuentes quando aplicável.
Diretriz: Proteger confidencialidade, integridade e disponibilidade das informações do Grupo Flipper e de seus clientes/terceiros, prevenindo vazamentos, indisponibilidades e usos indevidos.
Escopo mínimo: Gestão de Identidades e Acessos (IAM – Identity and Access Management), senhas e MFA (Multi-Factor Authentication / Autenticação Multifator), classificação da informação, dispositivos e mídias, backups, logs e resposta a incidentes, além das diretrizes de privacidade (LGPD).
Diretriz: Padronizar criação, alteração, revisão periódica e revogação de acessos; adotar privilégio mínimo; segregar perfis críticos; e assegurar desligamento lógico imediato no offboarding.
Evidências: Revisões trimestrais/semestrais de acessos, aprovação por gestor, e trilha de auditoria mantida pela Célula TI.
Diretriz: Estabelecer regras objetivas para senhas e autenticação forte (MFA) em sistemas, e-mail e acessos remotos; proibir compartilhamento de credenciais; e adotar bloqueios e tentativas limitadas.
Evidências: Padrão técnico definido pela TI, campanhas de conscientização e auditoria de conformidade.
Diretriz: Classificar informações (Pública, Interna, Confidencial, Restrita), definir manuseio/compartilhamento e regras de uso aceitável de e-mail, internet, mensageria e dispositivos (incluindo BYOD – Bring Your Own Device – quando e se autorizado).
Evidências: Termo de responsabilidade, treinamentos periódicos e revisão de acessos/compartilhamentos.
Diretriz: Definir periodicidade e escopo de backups, retenção de logs, monitoramento, tratamento de vulnerabilidades e resposta a incidentes (contensão, erradicação, recuperação, lições aprendidas).
Evidências: Testes de restauração, relatórios de incidentes e pós-incidente, e SLAs internos para atendimento.
Diretriz: Contratar e manter fornecedores/parceiros com critérios objetivos de qualidade, sustentabilidade, segurança, conformidade e continuidade; priorizar parceiros OEA quando aplicável; e documentar homologação e reavaliações.
Evidências: Matriz de homologação e qualificação de terceiros, cláusulas contratuais (LGPD, anticorrupção, segurança) e avaliações periódicas de desempenho/SLA.
Diretriz: Padronizar elaboração, revisão, aprovação, guarda e gestão de contratos; definir SLAs (Service Level Agreement | Acordo de Nível de Serviço) e responsabilidades; e tratar não conformidades e penalidades com rastreabilidade.
Evidências: Repositório contratual controlado, workflow de aprovações e registro de aditivos e renovações.
Diretriz: Assegurar ambiente de trabalho digno, seguro, inclusivo e de alta performance, com tolerância zero a assédio, discriminação e retaliação; e garantir capacitação para funções críticas (incluindo OEA, segurança da informação e compliance).
Evidências: Códigos e normas internas, canal de reporte, processos de apuração, e trilhas obrigatórias de treinamento com registros.
