A norma ISO 37301 trouxe para as organizações uma grande novidade: o tão esperado sistema de gestão de compliance.
Publicada em 2021, a ISO 37301 substitui a ISO 19600 e, diferente da sua antecessora, que eram apenas diretrizes, a nova norma permite que as empresas demonstrem sua conformidade com os padrões internacionais de compliance.
Afinal, essa norma tem o objetivo de ajudar as organizações a implementar um sistema de gestão de compliance realmente efetivo – e com um novo enfoque: a certificação.
Para além do certificado, a Norma de Gestão de Compliance é baseada nos princípios de boa governança, proporcionalidade, transparência e sustentabilidade – e pode ser aplicada a qualquer organização.
Para isso, a ISO 37301 conta com 7 requisitos para implementação, além de outros 18 elementos essenciais para gestão de compliance, com termos e definições.
Quer saber tudo sobre esse assunto? Confira este artigo completo, que servirá como seu guia para implementar um sistema de gestão de compliance segundo a ISO 37301.
Por definição, a ISO 37301 é uma norma internacional que estabelece requisitos para um sistema de gestão de compliance, permitindo que as organizações sejam certificadas pelo cumprimento dessas normas.
Como falamos anteriormente, a norma substitui a ISO 19600, que também era voltada para o compliance, mas sem o poder de certificação pelas empresas, sendo assim, servia apenas como um guia de orientação, sem implicar na obrigatoriedade de implementação.
Sua estrutura segue o modelo de gestão Ciclo PDCA (Plan-Do-Check-Act), famosa por sua melhoria contínua dentro dos processos. Mas, dessa vez, totalmente aplicada ao sistema de gestão compliance.
E, já que falamos sobre melhoria contínua, esse é um dos 18 elementos de gestão de compliance do ISO 37301, que conta também com alguns pilares, como:
A boa governança – ou governança corporativa – nada mais é do que a forma como a organização é dirigida, garantindo que as decisões sejam tomadas de maneira ética e transparente.
Para isso, precisamos contar com a transparência nas ações e decisões e integridade através de uma governança baseada em princípios éticos e prestação de contas.
A transparência é mais um dos pilares da Norma ISO 37301, afinal, um sistema de compliance deve garantir que todas as ações, decisões e processos estejam acessíveis e compreensíveis para as partes interessadas.
O cumprimento deve ser feito através da comunicação acessível, com políticas, procedimentos e diretrizes do compliance bem documentadas, prestação de contas das tomadas de decisão e regras aplicadas, relatórios para divulgar informações como auditorias, investigações e outras ações, e um canal de denúncias seguro.
O princípio da proporcionalidade dentro da ISO 37301 assegura que as medidas de compliance sejam proporcionais aos riscos e ao contexto de cada organização, já que essa norma é aplicável para todo tipo de empresa, de diferentes portes e segmentos.
Já a sustentabilidade é um princípio relacionado a incentivar as práticas de compliance que tem impacto positivo na sociedade, tudo para fortalecer a reputação corporativa e a confiança.
Além dos princípios, a ISO 37301 também destaca a importância da Liderança, da Governança e da Cultura como elementos-chaves de um sistema de gestão de compliance – assunto que veremos mais à frente, no tópico sobre Termos e Definições.
Uma vez que entendemos a definição da ISO 37301 e seu compromisso com a boa governança e compliance, uma dúvida comum pode surgir: qual a diferença entre a certificação ISO 37301 e a ISO 37001?
Afinal, ambas têm o objetivo de tornar todo o sistema de governança mais robusto, porém, a ISO 37301 tem um enfoque muito claro: o sistema de gestão de compliance.
Enquanto a ISO 37301 cobre todos os aspectos da conformidade regulatória e ética de um sistema de gestão de performance e é muito mais abrangente, a ISO 37001 é específica para gestão antissuborno, sendo assim, os esforços são concentrados na prevenção de corrupção dentro das organizações.
A boa notícia é: elas podem ser aplicadas simultaneamente, principalmente, por serem duas normas estruturadas de acordo com o Anexo SL.
A ISO 37301 nos fornece os requisitos e diretrizes para estabelecer, desenvolver, implementar, avaliar, manter, e melhorar um sistema de gestão de compliance eficaz dentro de uma organização. Eles encontram-se assim divididos:
Antes de mais nada, é preciso entender o contexto da organização.
O requisito 4 da ISO 37301 e da ISO 37001 define, respectivamente, que a organização deve determinar as questões internas e externas que são pertinentes para o seu propósito e que afetam sua capacidade de alcançar os resultados pretendidos do seu sistema de gestão de compliance, bem como os objetivos do seu sistema de gestão antissuborno.
Dentre outras questões, é preciso avaliar o modelo de negócio, a natureza, o porte e a escala da complexidade e sustentabilidade das operações e atividades da organização, a natureza e o escopo dos negócios na relação com terceiras partes, o contexto regulatório e legal, a situação econômica, os contextos ambiental, cultural e social, as estruturas internas, as políticas, os processos, os procedimentos e os recursos, incluindo tecnologia, e, claro, a sua cultura de compliance.
Do mesmo modo, é necessário compreender as necessidades e as expectativas das partes interessadas e definir o escopo do sistema de gestão de compliance.
Lembre-se de que a ISO 37301 exige, ainda, que se defina as obrigações de compliance, devendo, inclusive, ser disponibilizada como informação documentada.
E é importante destacar: a organização deve, sistematicamente, identificar as suas obrigações de compliance resultantes das suas atividades, produtos e serviços, e avaliar os seus impactos nas suas operações, devendo ter processos estabelecidos para:
Nessa fase, portanto, você pode definir quais serão as pessoas diretamente envolvidas com o projeto, levantar as principais preocupações da organização em relação ao tema e promover palestras de sensibilização na sua empresa.
Este é um dos principais pilares de um sistema de gestão de compliance.
A ISO 37301, inclusive, estabeleceu que o Órgão Diretivo e a Alta Direção devem demonstrar liderança e comprometimento em relação ao sistema de gestão de compliance, para, por exemplo:
É preciso, portanto, ir muito além do “tone at the top”. O comprometimento da Alta Direção e do Órgão Diretivo passa, necessariamente, pelo “Walk the talk”, ou seja, pelo apoio permanente e pela demonstração efetiva de sua liderança por meio de atitudes concretas.
A ISO 37301 estabelece que, ao planejar o sistema de gestão de compliance, a organização deve considerar as questões levantadas por meio da análise do contexto da organização, bem como das expectativas e necessidades das partes interessadas, com o objetivo de determinar os riscos e oportunidades que precisam ser considerados para (a) prover garantia de que o sistema de gestão de compliance pode alcançar seus resultados pretendidos, (b) prevenir ou reduzir efeitos indesejados, (c) alcançar a melhoria contínua.
A ideia, acima de tudo, é planejar ações para abordar estes riscos e oportunidades, para integrar e implementar as ações em seus processos do sistema de gestão de compliance e poder avaliar a eficácia dessas ações.
Este passo vai exigir da organização um pouco mais de tempo, esforço e conhecimento técnico, em razão da necessidade de se buscar as principais fontes de riscos de compliance e de suborno dentro da sua empresa.
A avaliação de riscos de compliance e de suborno envolve as etapas de identificação, análise, avaliação, tratamento e comunicação dos riscos, por meio da análise de documentos e realização de entrevistas pessoais com os pontos focais da organização.
Cabe lembrar, da mesma forma, que a organização deve reter informação documentada que demonstre que o “processo de avaliação de riscos de compliance tem sido realizado e usado para conceber ou melhorar o sistema integrado de gestão”.
Não há como se implementar os requisitos estabelecidos na ISO 37301, sem que a organização proveja os recursos necessários para o estabelecimento, a implementação, a manutenção e a melhoria contínua do sistema de gestão de compliance.
Inicialmente, é muito importante que a organização determine para seus colaboradores a experiência e o conhecimento necessários para cumprir as suas atribuições, a fim de que se possa prover seus produtos e serviços ao cliente.
Em outras palavras, é necessário que a organização exija de seus colaboradores a capacidade de aplicar conhecimentos e a habilidade para alcançar resultados pretendidos, especialmente, em relação às suas obrigações de compliance.
A organização, precisa treinar e capacitar o Órgão Diretivo, a Alta Direção, bem como os colaboradores que têm obrigações de compliance, a fim de assegurar que as pessoas são competentes para cumprir os seus papéis de forma consistente com a cultura de compliance da organização e com o seu comprometimento com o compliance.
O apoio da organização passa, também, pela conscientização e comunicação, interna e externa, acerca das políticas de compliance e documentos relacionados ao sistema de gestão de compliance.
Por fim – e não menos importante – torna-se essencial elaborar a informação documentada do sistema de gestão de compliance, que pode incluir, por exemplo, os procedimentos e as políticas de compliance da organização, os objetivos, metas, a estrutura e o conteúdo do sistema de gestão de compliance, registros das obrigações de compliance pertinentes e registros de não compliance e investigações correlatas.
Para a ISO 37301, um sistema de gestão de compliance bem projetado compreende medidas que fornecem tanto o conteúdo, quanto o efeito para uma cultura de compliance.
De um modo em geral, tais medidas têm como principal objetivo reduzir os riscos identificados como parte do processo de avaliação de riscos de compliance.
Neste ponto, vale a pena destacar um dos principais elementos da Operação: um código de conduta que estabeleça, entre outras coisas, o total comprometimento da organização com as obrigações de compliance pertinentes.
É importante, também, que se implemente controles operacionais em situações relacionadas aos processos de negócio onde uma ausência de controles pode levar a desvios da política de compliance ou a uma violação das obrigações de compliance.
Lembramos, ainda, de que o grau de controle pode variar dependendo de vários fatores, como a importância ou complexidade das funções desempenhadas, as consequências potenciais de não compliance ou o apoio técnico envolvido ou disponível.
Controles eficazes são necessários, portanto, para assegurar que as obrigações de compliance da organização sejam atendidas, e que os não compliances sejam prevenidos, detectados e corrigidos.
Dentre outros controles, a ISO 37301 menciona, por exemplo, políticas operacionais, processos, procedimentos e instruções de trabalho documentados claros, práticos e fáceis de serem adotados; sistemas e relatórios de exceções; aprovações; segregação de responsabilidades e papéis incompatíveis; comunicação frequente, ativa e aberta sobre o comportamento esperado do pessoal (normas e valores, códigos de conduta).
A avaliação do desempenho do sistema de gestão de compliance pode se dar por meio do monitoramento contínuo, tipicamente, por exemplo, por meio da aferição da eficácia dos treinamentos, controles, tratamento das falhas de compliance identificadas, atualização das obrigações de compliance e análises críticas das estratégias de negócio comparadas com os riscos de compliance.
Uma forma de avaliação do desempenho do sistema de gestão de compliance é a retroalimentação, por meio, de questões de compliance, não compliance e preocupações de compliance, questões de compliance emergentes; mudanças organizacionais e regulatórias em andamento; e comentários sobre o desempenho e a eficácia do compliance.
Convém, também, que a organização crie indicadores e considere os resultados da avaliação dos riscos de compliance para se assegurar acerca da eficácia do sistema de gestão de compliance.
A ISO 37301 menciona, a título exemplificativo, os seguintes indicadores como pertinentes ao sistema de gestão de compliance: percentual de pessoas efetivamente treinadas; frequência de contato por órgãos reguladores; uso de mecanismos de retroalimentação; questões e não compliance identificados, reportados por tipo, área e frequência; consequências do não compliance, que podem incluir uma avaliação do impacto resultante sobre compensação monetária, multas e outras penalidades, custo da remediação, reputação ou custo do tempo do pessoal; quantidade de tempo gasta para reportar e tomar a ação corretiva.
A melhoria contínua é essencial para medir a eficácia de um sistema de gestão de compliance.
É que, de fato, os ambientes interno e externo da organização e os negócios mudam ao longo do tempo, assim como a natureza de seus clientes e as obrigações de compliance aplicáveis.
Por esse motivo, convém que a eficácia e a adequação do sistema de gestão de compliance sejam avaliadas de forma contínua e regular, por meio de várias metodologias, como por exemplo, análises críticas ou por auditorias internas.
A resposta para essa pergunta depende, essencialmente, da maturidade do compliance dentro de cada organização. Como foi supracitado, a lista de requisitos é longa, com requisitos que demandam documentações completas e adequação de todas as partes da corporação.
Por esse motivo, as empresas que já cumprem com algumas diretrizes de compliance podem se adaptar em poucos meses, enquanto aquelas que estão começando do zero, podem levar cerca de um ano para conclusão da implementação.
Além disso, a quantidade de funcionários e o tempo aplicado na implementação da norma também dita o quanto esse processo irá durar, afinal, quanto menos recurso, mais tempo para aplicar as normas.
Neste sentido, as empresas com maior número de funcionários costumam levar mais tempo para a implementação, já que envolve uma movimentação de todo o quadro de pessoas.
Agora que já falamos propriamente sobre a ISO 37301 e seus requisitos, é preciso esclarecer o que é um sistema de gestão. Basicamente, definimos como um conjunto de elementos inter-relacionados ou interativos de uma organização (estrutura, papéis e responsabilidades, planejamento e operação), para estabelecer políticas, objetivos e processos para alcançar esses objetivos.
Segundo a ISO 37301, organizações que almejam ser bem-sucedidas a longo prazo precisam estabelecer e manter uma cultura de compliance, considerando as necessidades e expectativas das partes interessadas. O compliance não é, portanto, apenas a base, mas também uma oportunidade para uma organização bem-sucedida e sustentável.
Sob essa ótica, a ISO 37301 afirma que o compliance é um processo contínuo e o resultado de uma organização que cumpre suas obrigações. O compliance se torna sustentável ao ser incorporado na cultura da organização, e no comportamento e na atitude das pessoas que trabalham para ela. Enquanto mantém sua independência, é preferível que a gestão de compliance seja integrada com os outros processos de gestão da organização e os seus requisitos e procedimentos operacionais.
Um sistema de gestão de compliance eficaz, portanto, permite que as organizações demonstrem, por meio de evidências objetivas, seu real comprometimento em não apenas dar cumprimento às leis pertinentes, como também, às normas organizacionais, aos princípios da governança corporativa, assim como com melhores práticas de mercado.
Em outras palavras, a integridade e o compliance são elementos chave de uma gestão boa e diligente, contribuindo, também, para o comportamento socialmente responsável das organizações.
Além dos pontos supracitados, a ISO 37301 trouxe em seu corpo uma série de termos e definições para se ter um sistema de gestão de compliance efetivo dentro das organizações.
Dentre eles, a ISO 37301 enumerou os seguintes elementos essenciais:
Para além dos 18 elementos, a ISO 37301 busca destacar a importância da Liderança, da Governança e da Cultura como elementos-chaves de um sistema de gestão de compliance.
E mais: a norma definiu, ainda, objetivos, princípios – citados anteriormente – e o entendimento do contexto da organização como requisitos importantíssimos para a eficácia do sistema de gestão de compliance.
Os objetivos elencados são:
E requisitos do contexto da organização:
Como se percebe, a norma lançou um olhar que não se restringe apenas à implementação de requisitos, incorporando, verdadeiramente, as melhores práticas de uma boa governança.
Para obter a certificação da ISO 37301, é preciso ir além das boas políticas – e acredito que você já tenha notado esse fato ao longo do artigo.
A valorização da cultura do compliance dentro do ISO 37301 guia os 4 passos para o processo de certificação, que são:
Logo no primeiro passo, a empresa deve determinar quais questões internas e externas afetam a sua capacidade de alcançar os resultados pretendidos do sistema de gestão de compliance.
É no segundo passo que compreendemos a importância da liderança para a ISO 37301, afinal, a avaliação de riscos de compliance necessita de maturidade.
É essencial que seja feita a avaliação de 10 elementos , que serão avaliados pelas principais lideranças da organização. São eles:
É a partir desse mapeamento inicial que a organização poderá elaborar os principais planos de ação para mitigar os riscos
A ISO 37301 tem como obrigatoriedade a apresentação de alguns documentos, sendo eles:
Mas, mais do que apresentar a existência de toda a documentação, é preciso trazer à mesa as evidências de que essas políticas e procedimentos seguem o contexto da organização e também da avaliação de riscos de compliance.
Com o foco da melhoria contínua na ISO 37301, é natural que o monitoramento e avaliação do desempenho de gestão de compliance seja um dos critérios para a certificação.
Por esse motivo, a organização deve apresentar os indicadores que assegurem que o sistema de gestão de compliance está em constante melhoria, com aferição de eficácia dos treinamentos, controles, tratamento de falhas de compliance, análises estratégias baseadas nos riscos de compliance e atualização das obrigações de compliance.
Por fim – e não menos importante – a ISO 37301 nos apresenta uma série de termos e definições, que são essenciais para o sistema de gestão de compliance.
Dentre outros, destacamos:
Abrange os valores, ética, crenças e condutas que existem por toda a organização e interagem com as estruturas e os sistemas de controle da organização para produzir normas comportamentais que contribuem com o compliance.
Requisitos que uma organização mandatoriamente tem que cumprir, como também os que uma organização voluntariamente escolhe cumprir.
Atendimento a todas as obrigações de compliance da organização.
Não atendimento de obrigações de compliance.
Probabilidade de ocorrência e as consequências de não compliance com as obrigações de compliance da organização.
Como se vê, há uma grande preocupação por parte da ISO 37301 em que as organizações observem não apenas as suas obrigações de compliance, mas, principalmente, os riscos do não compliance.
E mais: passa-se a valorizar a cultura de compliance, com o objetivo de promover uma verdadeira transformação organizacional permanente e contínua, por meio da implementação de estruturas de governança e de sistemas de controles eficazes.
Ao longo deste artigo, percebe-se que o compliance é uma necessidade estratégica para as organizações. Afinal, mais do que evitar penalidades e atender exigências, a implementação do compliance fortalece a reputação da empresa, impulsiona a sustentabilidade e assegura que o ambiente corporativo seja cada vez mais eficaz.
A implementação de um sistema de gestão de compliance é muito importante para demonstrar que a sua corporação adota boas práticas em relação ao tema. É justamente por meio dele que os requisitos da ISO 37301 são colocados em prática, facilitando-se, assim, a transformação da cultura organizacional.
Se a sua empresa ainda negligencia o tema, é momento de aproveitar a ISO 37301 para estruturar e implementar o sistema de gestão de compliance.
Quer saber tudo sobre Compliance, Governança, LGPD, ESG e ISO? Acompanhe o blog da GEP – Soluções em compliance e esteja sempre atualizado sobre os temas que mais interessam a sua organização!
SAIBA POR QUE ESCOLHER A GEP
A GEP é uma consultoria empresarial especializada no oferecimento de projetos e soluções personalizadas, nas áreas de Proteção de Dados Pessoais, Integridade Empresarial, Compliance, Gestão de Riscos, Governança Corporativa e ESG.
Entregamos resultados e elaboramos projetos personalizados, de acordo co
Temos uma equipe com vasta experiência no mercado de Lei Geral de Proteção de Dados Pessoais – LGPD, Segurança da Informação, Compliance, Governança Corporativa e Práticas ESG
Utilizamos metodologia própria, mas sempre adaptada ao modelo de negócio dos nossos clientes
Acesse, em primeira mão, as nossas principais notícias diretamente em seu e-mail
Contatos
R. Ferreira Lima, 238, 2º Andar, Centro, Florianópolis - SC, 88015-420
Nossas Atuações
Consultoria
Assessoria
Auditoria
GEP Soluções em Compliance © 2024 - Anfi Consulting
