ISO 37301 e ISO 37001: sistema integrado de gestão de compliance e antissuborno
Governança

ISO 37301 e ISO 37001: sistema integrado de gestão de compliance e antissuborno

Bruno Basso
18 de dez, 2024
7 mins
Tempo de Leitura: 7 minutos

O Sistema de Gestão de Compliance e a ISO 37301

A implementação dos controles exigidos pelas normas ISO de Compliance (37301) e Antissuborno (37001) são essenciais para um funcionamento adequado das organizações. É preciso, contudo, entender, verdadeiramente, o que significa compliance.

A expressão compliance, que é originada do verbo em inglês “to comply”, significa agir de acordo com o que é ordenado, ou seja, obedecer a algo. Pode ser interpretada, também, como o cumprimento a todas as obrigações que uma organização, obrigatoriamente, tem que cumprir ou que, voluntariamente, escolhe cumprir.

Em outras palavras, pode-se afirmar que o compliance é um importante mecanismo de promoção da cultura organizacional responsável por estimular a conduta ética e o compromisso com o cumprimento das leis e demais normas internas da empresa.

Nesse contexto, é possível afirmar que o compliance não deve ser visto como uma simples atividade operacional, mas, sim, como um direcionador estratégico essencial para todas as organizações, independentemente do seu porte ou modelo de negócio.

compliance, portanto, diz respeito não apenas ao cumprimento obrigatório da legislação e das normas internas as quais a empresa encontra-se submetida, como, também, à necessidade voluntária de observá-las, sempre guiado pela cultura e pelos princípios e valores que compõem a identidade da organização.

Segundo a ISO 37301, “organizações que almejam ser bem-sucedidas a longo prazo precisam estabelecer e manter uma cultura de compliance, considerando as necessidades e expectativas das partes interessadas. O compliance não é, portanto, apenas a base, mas também uma oportunidade para uma organização bem-sucedida e sustentável”.

Um sistema de gestão de compliance, portanto, nada mais é do que um conjunto de elementos inter-relacionados ou interativos de uma organização, por meio do estabelecimento de políticas, objetivos e processos, com o objetivo de demonstrar o atendimento aos requisitos que a sua empresa, mandatoriamente ou voluntariamente, tem que cumprir.

Um sistema de gestão de compliance eficaz permite que as organizações demonstrem, por meio de evidências objetivas, seu real comprometimento em não apenas dar cumprimento às leis pertinentes, como também, às normas organizacionais, aos princípios da governança corporativa, assim como com melhores práticas de mercado.

Dentro outros objetivos, a ISO 37301 busca auxiliar as organizações a desenvolverem e disseminarem uma cultura positiva de compliance, devido aos diversos benefícios que ela provê, tais como:

Em razão disso, percebe-se o quanto a ISO 37301 é fundamental tanto para a adoção de boas práticas, quanto para a implementação de um sistema de gestão de compliance.

ISO 37001 e o Sistema de Gestão Antissuborno

Antes de falarmos propriamente sobre o que é e para que serve um sistema de gestão antissuborno, é necessário compreendermos, primeiramente, o conceito de suborno. 

O suborno, por muito tempo, foi visto como um mal necessário para as organizações obterem sucesso em seus negócios. Ele era tratado, verdadeiramente, como a “graxa da engrenagem” para o bom funcionamento do sistema. Essa percepção, por óbvio, não só está equivocada, como coloca um fardo pesado sobre as pessoas, as economias e a sociedade como um todo. 

Segundo a ISO 37001, o suborno pode ser caracterizado como uma “oferta, promessa, doação, aceitação ou solicitação de uma vantagem indevida de qualquer valor (que pode ser financeiro ou não financeiro), direta ou indiretamente, e independente de localização(ões), em violação às leis aplicáveis, como um incentivo ou recompensa para uma pessoa que está agindo ou deixando de agir em relação ao desempenho das suas obrigações”.

Em outras palavras, o suborno nada mais é do que a concessão de uma vantagem indevida em troca de outro benefício. É o famoso “quid pro co”, ou seja, “tomar uma coisa por outra” ou “toma lá, da cá”. 

Esse conceito, contudo, é um tanto quanto genérico, cabendo às organizações definirem a amplitude do seu significado de acordo com as suas obrigações de compliance, sejam elas mandatórias ou voluntárias.

Um sistema de gestão, por sua vez, define a forma como uma organização gerencia seus negócios para alcançar seus objetivos. Dito de outro modo, é o modelo pelo qual as instituições buscam converter seus valores em práticas organizacionais. 

Sob essas lentes, um sistema de gestão antissuborno nada mais é do que um conjunto de medidas estabelecidas e implementadas pelas organizações, com o objetivo de mitigar riscos relacionados ao suborno.

Mas, afinal, de que a forma a ISO 37001 pode auxiliar a sua organização na implementação de um sistema de gestão antissuborno? A resposta é, até certo ponto, trivial: diríamos, na realidade, que sem ela torna-se praticamente impossível essa missão. 

É que o objetivo principal da ISO 37001 é, justamente, o de buscar “implementar medidas razoáveis e proporcionais concebidas para prevenir, detectar e responder ao suborno”. Em verdade, é esperado que adoção do sistema de gestão antissuborno, com base nos requisitos estabelecidos na ISO 37001 auxilie as organizações a evitar ou a mitigar os custos, riscos e danos de envolvimento com suborno, bem como promover a confiança nos negócios e a melhorar a sua reputação.

Por esses motivos, não há dúvidas de que a ISO 37001 é essencial para a implementação de um Programa de Compliance efetivo, por meio da adoção de um sistema de gestão antissuborno.

ISO 37301 e ISO 37001: sistema integrado de gestão de compliance e antissuborno

Como visto, tanto a ISO 37001, quanto a ISO 37301 buscam não apenas implementar medidas e controles para mitigar riscos relacionados à integridade corporativa, como, também, fomentar uma cultura ética nas organizações. A diferença, portanto, não se dá nos objetivos gerais das normas, mas, notadamente, em seus escopos.

É que, se de um lado, a ISO 37001 tem como seu foco principal o suborno, a ISO 37301 tem um foco muito mais amplo, contemplando todas as obrigações de compliance, sejam elas mandatórias ou voluntárias. 

Como já tivemos a oportunidade de falar, o compliance é muito mais amplo, envolvendo questões relacionadas a suborno e a outros temas afins, tais como uso de informações privilegiadas (“insider trading”), assédio moral, assédio sexual e discriminação de qualquer natureza, competição leal (“fair competition”), segurança da informação e proteção dos ativos, Segurança, saúde e meio ambiente.

Resumidamente, de acordo com Ariosto Farias Jr, temos o seguinte cenário em relação a ISO 37301 e a ISO 37001:

Assim, ambas as normas não devem ser confundidas, cabendo as organizações optarem por implementar os requisitos da ISO 37001 (sistema de gestão antissuborno), da ISO 37301 (sistema de gestão de compliance) ou, até mesmo, de ambas por meio de um    sistema integrado de gestão de compliance e antissuborno.

Por essas razões, a implementação do sistema integrado de gestão de compliance e antissuborno é para aquelas organizações que já possuem a ISO 37001 e desejam aumentar o seu escopo ou para aquelas que pretendem implementar a ISO 37301 e a ISO 37001 ao mesmo tempo, de forma conjunta.

Resta destacar, ainda, que há inúmeras vantagens em se implementar um sistema integrado de gestão de compliance e antissuborno, tais como:

Como se percebe, a ISO 37301 não substituiu a ISO 37001, mas apenas ampliou o seu escopo, o que, por certo, não impede de as organizações buscarem a certificação em ambas as Normas.

Descubra os 3 passos para colocar em prática o sistema integrado de gestão de compliance e antissuborno – ISO 37301 e ISO 37001

Primeiro Passo: entender o contexto da organização

Antes de mais nada, é preciso entender o contexto da organização. O requisito 4 da ISO 37301 e da ISO 37001 define, respectivamente, que a organização deve “determinar as questões internas e externas que são pertinentes para o seu propósito e que afetam sua capacidade de alcançar os resultados pretendidos do seu sistema de gestão de compliance”, bem como “os objetivos do seu sistema de gestão antissuborno”.

Do mesmo modo, é necessário compreender as necessidades e as expectativas das partes interessadas e definir o escopo do sistema integrado de gestão de compliance e antissuborno. Lembre-se de que a ISO 37301 exige, ainda, que se defina as obrigações de compliance, devendo, inclusive, estar disponibilizada como informação documentada.

Nessa fase, portanto, você pode definir quais serão as pessoas diretamente envolvidas com o projeto, levantar as principais preocupações da organização em relação ao tema e promover palestras de sensibilização na sua empresa.

Segundo Passo: realizar a avaliação de riscos de compliance e de suborno

Este passo vai exigir de você um pouco mais de tempo, esforço e conhecimento técnico, em razão da necessidade de se buscar as principais fontes de riscos de compliance e de suborno dentro da sua empresa.

A avaliação de riscos de compliance e de suborno envolve as etapas de identificação, análise, avaliação, tratamento e comunicação dos riscos, por meio da análise de documentos e realização de entrevistas pessoais com os pontos focais da organização.

Cabe lembrar, da mesma forma, que a organização deve reter informação documentada que demonstre que o “processo de avaliação de riscos de compliance e suborno tem sido realizado e usado para conceber ou melhorar o sistema integrado de gestão”. 

Como se percebe, este é um passo fundamental para o sucesso do compliance dentro da sua empresa.

Terceiro Passo: implementação dos planos de ação

O terceiro passo corresponde à implementação dos planos de ação levantados na etapa anterior. É chegada a hora de “botar a mão na massa”, para dar início à elaboração do Código de Conduta e à adequação das políticas, processos e procedimentos de compliance dentro da organização.

Nesta etapa, você pode criar, também, Normas Internas para a definição de papeis e responsabilidades dos órgãos internos de compliance, tais como o Comitê de Ética e a própria função de compliance.

Por fim, e não menos importante, você deve realizar treinamentos e capacitações a todas as partes interessadas, com o objetivo de engajar cada vez mais as pessoas responsáveis pelo dia-a-dia da sua empresa.

Conclusão: implemente um sistema integrado de gestão de compliance e antissuborno

A implementação de um sistema integrado de gestão de compliance e antissuborno é muito importante para demonstrar que a sua organização adota boas práticas em relação ao tema. 

Nesse contexto, não há dúvidas de que a ISO 37301 e a ISO 37001 são importantes ferramentas para alcançar essa missão!

SAIBA POR QUE ESCOLHER A GEP

A GEP é uma consultoria empresarial especializada no oferecimento de projetos e soluções personalizadas, nas áreas de Proteção de Dados Pessoais, Integridade Empresarial, Compliance, Gestão de Riscos, Governança Corporativa e ESG.

GEP-Compliance

Entregamos resultados e elaboramos projetos personalizados, de acordo co

GEP-Compliance

Temos uma equipe com vasta experiência no mercado de Lei Geral de Proteção de Dados Pessoais – LGPD, Segurança da Informação, Compliance, Governança Corporativa e Práticas ESG

GEP-Compliance

Utilizamos metodologia própria, mas sempre adaptada ao modelo de negócio dos nossos clientes

Outros conteúdos

Inscreva-se em nossa newsletter

Acesse, em primeira mão, as nossas principais notícias diretamente em seu e-mail