No mundo corporativo atual, a busca pela excelência em compliance e integridade não é apenas uma tendência – é uma necessidade. As certificações ISO 37301 e ISO 37001 são o selo de garantia de que sua empresa adota práticas robustas e éticas, prevenindo riscos e fortalecendo sua reputação no mercado.
Neste artigo, vamos desvendar o caminho para obter essas certificações, explicando de forma clara e prática como a consultoria e a auditoria desempenham papéis fundamentais nessa jornada.
Descubra como cada etapa, desde a pré-auditoria até a implementação e auditoria final, contribui para a consolidação de um sistema de gestão integrado que une compliance e antissuborno, transformando desafios em oportunidades para sua organização
Antes de mergulharmos nas etapas detalhadas do processo, é fundamental compreender alguns aspectos estratégicos que embasam essa jornada.
A implementação de um sistema de gestão integrado de compliance e antissuborno não é apenas uma formalidade, mas uma transformação na cultura organizacional. Essa integração, que une a expertise da consultoria com a rigorosidade da auditoria, cria a base necessária para que a sua empresa atenda aos requisitos normativos e se posicione de maneira ética e competitiva no mercado.
Com essa visão estratégica, sua organização se prepara para enfrentar desafios e transformar riscos em oportunidades, estabelecendo um caminho sólido rumo à certificação.
O 1º passo para se buscar a certificação da ISO 37301 e ISO 37001 é, justamente, o de realizar uma pré-auditoria ou um gap analysis dos principais requisitos estabelecidos pelas normas.
E a razão é simples: não há como se certificar uma organização sem que ela, minimamente, esteja adequada às principais exigências de um sistema de gestão integrada de compliance e antissuborno.
Por meio dela, a consultoria ou a própria auditoria realizará uma análise prévia do sistema de gestão integrada da sua empresa, a fim de identificar possíveis falhas que impedirão a sua futura certificação.
A pré-auditoria ou o gap analysis, muito embora, sejam considerados opcionais para algumas organizações, é extremamente recomendado, em especial, para aquelas empresas que já possuem algumas ações implementadas.
Na GEP compliance, sempre recomendamos a realização dessa fase, basicamente, por três de motivos:
Nessa primeira fase, portanto, buscamos:
A 2ª fase do processo de certificação passa, obrigatoriamente, pela implementação dos requisitos estabelecidos pela ISO 37301 e ISO 37001.
Nessa etapa, a consultoria, com base no que foi levantada na fase de gap analysis, apoia a organização a cumprir com as exigências de um sistema de gestão integrada de compliance e antissuborno.
E aqui fica um alerta: há sete grandes grupos de requisitos a serem cumpridos, estando assim divididos:
Antes de tudo, a norma exige que a organização compreenda seu contexto, identificando as questões internas e externas que influenciam sua capacidade de atingir os resultados desejados, tanto no sistema de gestão de compliance quanto no de gestão antissuborno. Essa análise abrange aspectos como modelo de negócio, porte, complexidade, sustentabilidade das operações e atividades, além das relações com terceiros e o ambiente regulatório, legal, econômico, ambiental, cultural e social.
Além disso, é fundamental avaliar as estruturas internas, políticas, processos, procedimentos, recursos – inclusive tecnológicos – e, principalmente, a cultura de compliance da organização. Essa avaliação permite identificar as principais obrigações de compliance decorrentes das atividades, produtos e serviços, assegurando que tais obrigações sejam documentadas e gerenciadas de forma sistemática.
Com essas informações, a organização pode definir o escopo do seu sistema de gestão de compliance, compreender as necessidades e expectativas das partes interessadas e estabelecer a equipe que será responsável pelo projeto. Esse processo inicial é crucial para levantar as principais preocupações e promover ações de sensibilização, como palestras, que contribuam para a integração e eficácia do sistema.
Este é um dos principais pilares de um sistema de gestão de compliance. A ISO 37301, inclusive, estabeleceu que o Órgão Diretivo e a Alta Direção devem demonstrar liderança e comprometimento em relação ao sistema de gestão de compliance, para, por exemplo,
É preciso, portanto, ir muito além do “tone at the top”. O comprometimento da Alta Direção e do Órgão Diretivo passa, necessariamente, pelo “Walk the talk”, ou seja, pelo apoio permanente e pela demonstração efetiva de sua liderança por meio de atitudes concretas.
A ISO 37301 determina que, ao planejar o sistema de gestão de compliance, a organização deve levar em conta seu contexto e as expectativas das partes interessadas para identificar riscos e oportunidades. O objetivo é garantir que o sistema atinja os resultados desejados, previna ou reduza efeitos indesejados e promova a melhoria contínua.
Para isso, é essencial planejar ações que abordem esses riscos e oportunidades, integrando e implementando essas ações nos processos de compliance, além de avaliar periodicamente sua eficácia. Esse processo requer tempo, esforço e conhecimento técnico, pois envolve identificar, analisar, avaliar, tratar e comunicar os riscos de compliance e suborno.
Por fim, a organização deve documentar todo o processo de avaliação de riscos para demonstrar que ele é realizado e utilizado para aperfeiçoar o sistema integrado de gestão.
Para implementar os requisitos da ISO 37301, a organização precisa dispor dos recursos necessários para estabelecer, manter e melhorar continuamente o sistema de gestão de compliance. É fundamental que os colaboradores possuam a experiência e o conhecimento adequados para cumprir suas atribuições, assegurando a qualidade dos produtos e serviços prestados.
Além disso, a capacitação do Órgão Diretivo, da Alta Direção e dos colaboradores com obrigações de compliance é indispensável para que a competência e a consistência na aplicação das políticas de compliance sejam mantidas, reforçando a cultura ética da empresa.
O apoio organizacional se estende à conscientização e comunicação, tanto interna quanto externa, e à elaboração de informações documentadas que incluam procedimentos, políticas, objetivos, metas, estrutura do sistema e registros de obrigações e de não conformidades, essenciais para a melhoria contínua do sistema.
Um sistema de gestão de compliance bem projetado, segundo a ISO 37301, deve incluir medidas que garantam tanto o conteúdo quanto o impacto na construção de uma cultura de compliance, com o principal objetivo de reduzir os riscos identificados na avaliação de riscos de compliance.
Um dos elementos centrais dessa operação é a implementação de um código de conduta que demonstre o total comprometimento da organização com suas obrigações de compliance, além de controles operacionais que previnam desvios e violações nas atividades de negócio.
O grau de controle pode variar conforme a importância e a complexidade das funções, as consequências potenciais de não compliance e o suporte técnico disponível. Entre os controles eficazes estão as políticas operacionais, processos e procedimentos documentados, sistemas de relatórios de exceção, aprovações, segregação de responsabilidades e comunicação ativa sobre os comportamentos esperados.
A avaliação do desempenho do sistema de gestão de compliance deve ser contínua, monitorando a eficácia dos treinamentos, controles e o tratamento das falhas identificadas, bem como a atualização das obrigações e a análise crítica das estratégias de negócio em comparação aos riscos de compliance.
Um mecanismo fundamental para essa avaliação é a retroalimentação, que coleta questões de compliance e não compliance, preocupações emergentes, mudanças organizacionais e regulatórias, além de comentários sobre o desempenho do sistema.
Para garantir a eficácia do sistema, a organização deve estabelecer indicadores – como o percentual de colaboradores treinados, a frequência de contatos com órgãos reguladores, a utilização de mecanismos de feedback, a quantidade e tipo de não conformidades, as consequências financeiras e operacionais dos desvios, e o tempo gasto para ações corretivas –, conforme exemplificado pela ISO 37301.
A melhoria contínua é essencial para medir a eficácia de um sistema de gestão de compliance. É que, de fato, os ambientes interno e externo da organização e os negócios mudam ao longo do tempo, assim como a natureza de seus clientes e as obrigações de compliance aplicáveis.
Por esse motivo, convém que a eficácia e a adequação do sistema de gestão de compliance sejam avaliadas de forma contínua e regular, por meio de vários métodos, por exemplo, análises críticas ou por auditorias internas.
A 3ª fase é destina à verificação do cumprimento dos requisitos da ISO 37301 e ISO 37001 e é realizada, exclusivamente, por uma auditoria de 3ª parte acreditada.
Lembre-se de que segundo a ISO 19011, que trata sobre diretrizes para auditoria de sistemas de gestão, há diferentes tipos de auditorias:
Nunca é demais lembrar, também, que há poucas auditorias acreditadas pelo INMETRO, para certificar as organizações em relação ao sistema de gestão antissuborno.
A Auditoria fase 1 é parte da auditoria inicial de certificação e é conduzida, basicamente, para:
Essa fase, portanto, nada mais é do que uma etapa de análise documental.
Ah, e fique calmo! Em regra, não existe “reprovação” da Auditoria Fase 1, cabendo à empresa implantar as recomendações de melhoria ou de não-conformidade, em um determinado período de tempo.
A Auditoria fase 2 é parte da auditoria inicial de certificação, sendo realizada no local da empresa para avaliar a implementação e eficácia do sistema de gestão da organização, por meio de:
A auditoria de recertificação ocorre com o propósito de renovar um novo ciclo de certificação em continuidade de uma certificação já válida.
A auditoria de recertificação é realizada para avaliar a continuidade, evolução e eficácia do Sistema de Gestão, por meio de:
Ao final, a auditoria poderá recomendar a recertificação ou a indicação de não-conformidades, oportunidades de melhoria e comentários sobre o Sistema de Gestão.
Resumidamente, as auditorias “extras” ou de “follow-up” consistem em auditorias realizadas para verificar a correção e a implantação das medidas corretivas e a continuidade da conformidade do Sistema de Gestão.
A implementação de um sistema de gestão integrada de compliance e antissuborno demanda uma série de ações estratégicas e bem estruturadas. Por isso, contar com o apoio de especialistas é fundamental para agregar valor e assegurar o sucesso na jornada rumo à certificação ISO 37301 e ISO 37001.
Lembre-se: investir em integridade não é apenas cumprir normas, é construir uma cultura sólida que gera valor e confiança para sua empresa. Transforme desafios em oportunidades e fortaleça a reputação da sua organização.
Entre em contato com nossos especialistas que vamos te ajudar!
Acesse, em primeira mão, as nossas principais notícias diretamente em seu e-mail
Contatos
R. Ferreira Lima, 238, 2º Andar, Centro, Florianópolis - SC, 88015-420
Nossas Atuações
Consultoria
Assessoria
Auditoria
GEP Soluções em Compliance © 2024 - Anfi Consulting