FAQ ISO 37001 - Sistema de Gestão Antissuborno

Quando foi aprovada a Norma ISO 37001?

A ISO aprovou em outubro de 2016 a norma voluntária ISO 37001 – Sistemas de Gestão Antissuborno – Requisitos com orientações para uso, diante dos altos efeitos negativos mundiais do suborno, considerando que houve evolução dos países em acordos e legislações nacionais, mas que eles são insuficientes para resolver o problema de forma contínua e sistemática (ABNT, 2017). No Brasil ela foi publicada pela ABNT em 06/03/17, com tradução da Comissão de Estudos Especiais CEE 278.

O que é a Norma ISO 37001?

A norma ISO 37001, já se tornou referência importante para o tema. A Norma ISO 37001, publicada em 2017, provê requisitos para o estabelecimento, desenvolvimento, implementação, avaliação, manutenção e melhoria de um Sistema de Gestão Antissuborno efetivo dentro de uma organização de qualquer tipo, tamanho e natureza, visando uma certificação acreditada por critérios governamentais. 

Qual a necessidade de um Sistema de Gestão de Compliance ou de Antissuborno?

Pelo lado das corporações e organizações, continua crescente a necessidade de um sistema de gestão de compliance e integridade, que identifique os riscos, adote controles preventivos, detecte, investigue e puna exemplarmente os desvios/atos ilícitos ligados a fraude, corrupção, suborno e outras situações.

Distintos modelos foram desenvolvidos para abordar o tema, oriundos de convenções internacionais, legislações nacionais, associações e ONGs, como:

  • Convenção Anti-corrupção e Pacto Global (ONU).
  • Convenção Anti-suborno e Good Practice Guidance on Internal Controls, Ethics and Compliance (OECD);
  • Business Principles for Countering Bribery (Transparência Internacional);
  • Lei Federal 12.846/13 (Anti-corrupção) e Decreto 8.420/15;
  • Proética (CGU);
  • Pacto Empresarial pela Integridade/Guia Temático (Instituto Ethos);
  • ISO 19600 – Sistemas de Gestão de Compliance – Diretrizes;
  • ISO 37001 – Sistemas de Gestão Antissuborno;
  • DSC 10000 – Diretrizes para o Sistema de Compliance (EBANC – Empresa Brasileira Acreditadora de Normas de Compliance).

Quais as diferenças entre Compliance x Antissuborno?

Os temas envolvidos no Compliance (ISO 19600 e ISO 37301) são multifacetados, abrangendo, dentre outros, legislação e riscos relacionados à governança, tributos, trabalhista, ambiental, responsabilidade social, conduta profissional, concorrencial, segurança da informação, etc., incluindo também os requisitos anticorrupção e Antissuborno (ISO 37001).

O tema abrangido pela ISO 37001 é restrito a suborno (não aborda especificamente fraude, cartéis e outros delitos antitruste/ anticoncorrencial, lavagem de dinheiro ou outras atividades relacionadas a práticas corruptas):

  • Nos setores público, privado e sem fins lucrativos;
  • Da ou pela organização;
  • Do e pelo pessoal da organização ou para seu benefício;
  • Dos e pelos parceiros de negócio da organização;
  • Direto ou indireto.

ISO 37001 x Programa de Integridade?

Comparação dos elementos do Sistema de Gestão Antissuborno da ISO 37001 com os elementos do Programa de Integridade do Decreto 8.420/15, destacando-se:

  • Nos elementos que são comuns aos dois modelos (p.ex. avaliação de riscos, due-diligence, treinamentos, políticas/procedimentos, tratamento de não conformidades), a Norma ISO 37001 é de modo geral mais abrangente, robusta e detalhada, permitindo especificar melhor o requerido e habilitar a obtenção de um resultado mais efetivo em sua implementação. Tais elementos podem resultar em uma maior eficácia na implementação do Sistema de Gestão Antissuborno;
  • Alguns elementos da ISO 37001 não fazem parte do Programa de Integridade (p.ex. conexão estratégica do item 4 – contexto da organização; ciclo de melhoria contínua e seus objetivos/planos), os quais reforçam a integração ao negócio da organização e a busca da melhoria tão demandada atualmente;
  • Alguns elementos da ISO 37001 não são explicitados diretamente no Programa de Integridade, apesar de estarem relacionados a elementos presentes no mesmo e poderem ser abordados em sua implementação (não obrigatórios). Os mais relevantes são gestão de competências, auditoria interna e análise crítica pela Alta Direção/Órgão Diretivo/Função Compliance Antissuborno.

“Programas e projetos possuem começo, meio e fim. Sistemas e processos são permanentes.” (MEIRA, 2017).

Percebe-se que o Sistema de Gestão Antissuborno definido pela ISO 37001 é mais robusto do que o Programa de Integridade preconizado pela legislação anticorrupção, e possui uma estrutura tanto do Sistema de Gestão como para a sua certificação independente que permitem a sua continuidade com melhoria e eficácia.

O Programa de Integridade estabelecido pela legislação anticorrupção, por sua vez, revela-se mais amplo quanto à abrangência anticorrupção do que a ISO 37001, mas está dentro de um contexto de atenuação das penalidades em processo por ato lesivo (e, portanto, não exatamente preventivo). Por outro lado, o seu modelo está sendo difundido na legislação distrital, estadual e municipal com caráter preventivo o que se mostra interessante como instrumento de redução de riscos. Neste sentido, a certificação ISO 37001 se mostra interessante para a demonstração do atendimento a um Programa de Integridade, posto que abrange todos os seus elementos, é mais robusta e dotada de avaliação independente que gera confiança e facilita a fiscalização pública. Mas certamente tem custos maiores para implementação e manutenção da certificação.

Deve ser esclarecido, na empresa, o entendimento e motivação exatos dos requisitos: exigência da legislação de contratações em certos estados? Um diferencial de mercado? Com este entendimento, deve-se realizar uma avaliação de custo-benefício, considerando que o processo de implementação e certificação da ISO 37001 é mais demorado e custoso, mas espera-se que alcance maiores benefícios internos (p.ex. controle sobre riscos, cultura e conscientização, integração ao negócio) e externos (reputação, demonstração mais evidente e reconhecida do esforço antissuborno).

Quais as vantagens de implantar a Norma ISO 37001?

A Norma ISO 37001 é um conjunto de boas práticas da área de compliance (acrescidos de elementos de gestão do modelo ISO) que especifica requisitos e fornece orientações para o estabelecimento, implementação, manutenção, análise crítica e melhoria de um Sistema de Gestão Antissuborno, incluindo:

  • Suborno nos setores público, privado e sem fins lucrativos.
  • Suborno ativo e passivo envolvendo a organização, atividades, pessoal e parceiros de negócio, atuando em seu nome ou em seu benefício.
  • Todas as organizações, independentemente de tipo, tamanho e atividade. 

 

Como implantar a ISO 37001?

Para as organizações que queiram implementar e certificar-se pela ISO 37001, recomenda-se desenvolver as seguintes ações:

  • Obter a norma;
  • Avaliar os “gaps” no Sistema de Gestão de SST frente à nova norma (o que, para as organizações certificadas pela OHSAS 18001, certamente envolverá os itens novos, como “contexto da organização”, riscos e oportunidades, liderança; além daqueles reforçados como consulta e participação, aquisição, etc.), com profissionais qualificados;
  • Elaborar um plano de ação compatível com as suas necessidades;
  • Treinar e conscientizar a liderança e os colaboradores quanto aos requisitos da nova norma;
  • Desenvolver/atualizar os necessários levantamentos, documentação, critérios, regras e práticas, conforme o plano de ação, e implementar os novos requisitos e mudanças;
  • Realizar a auditoria interna considerando a nova norma como critério, com auditores qualificados;
  • Realizar a análise crítica pela Alta Direção conforme os novos requisitos;
  • Tratar eventuais não conformidades, observações ou oportunidades de melhoria,  oriundas do processo de auditoria e análise crítica;
  • Acordar com o órgão certificador o processo de migração para a nova norma (inclusive o momento de realização e a duração/método da auditoria).

Quais os benefícios da ISO 37001?

A Norma ISO 37001 tem como benefícios em relação a outros modelos de Gestão de Antissuborno:

  • Alinhada às normas ISO de sistemas de gestão, adotadas por mais de 1 milhão de empresas certificadas, facilitando a integração da gestão;
  • Baseada nas melhores práticas, alinhada aos principais compromissos e referências normativas para o assunto;
  • Aplicação global;
  • Linguagem gerencial, mais simples do que a jurídica contida na legislação, e focada na execução;
  • Flexível, baseada em risco e certificável. 

Como certificar o Sistema de Gestão Antissuborno ?

Para a certificação do Sistema de Gestão, a empresa deve implementar todos os elementos, demonstrando que tem condições de atender à legislação ocupacional e que desenvolve ações para a melhoria contínua de seus processos e resultados, e à prevenção de riscos.

A ISO 37001 é certificável. 

Em set/2017, o INMETRO divulgou o novo serviço de acreditação de organismos de certificação de sistemas de gestão que avaliam a conformidade do sistema de gestão antissuborno pela NBR ISO 37001. A partir de agora, os organismos que certificam sistemas de gestão poderão iniciar o processo para buscar a acreditação brasileira junto ao INMETRO para esta norma. Após este credenciamento, as empresas poderão solicitar a certificadoras credenciadas os serviços de certificação de seus Sistemas de Gestão Antissuborno conforme a NBR ISO 37001, e mediante a aprovação neste processo poderão obter certificados reconhecidos junto ao Governo Brasileiro.

Os processos de acreditação governamental estão avançando em vários países. Nos Estados Unidos, alguns organismos de certificação já iniciaram este processo junto ao órgão acreditador ANAB. Na Europa, a ACCREDIA (organismo de acreditação italiano) já tem um processo de credenciamento em vigor para a Norma ISO 37001, e algumas empresas já estão certificadas (p.ex. no site da certificadora RINA, são listadas 7 empresas aprovadas por esta norma, sendo 4 na Itália, 2 no Brasil e 1 em Dubai) .  A UKAS (United Kingdom Accreditation Services – entidade responsável pelo sistema de certificação e acreditação) ainda estava na etapa de avaliação da demanda e planejamento deste esquema.

O que é o modelo de Gestão ISO?

O modelo de sistema de gestão da ISO adota uma série de boas práticas internacionais, com as principais características (adaptado de EPELBAUM, 2017):
 
  •  Base no ciclo PDCA – (P-planejar), (D-executar), (C-avaliar) e (A-agir);
  •  Evolução do desempenho lastreada em gestão por objetivos e no princípio da melhoria contínua, não sendo uma norma de excelência;
  •  Comprometimento da liderança, com gestão estratégica, política, objetivos, planos e análise periódica do tema, integradas ao negócio;
  •  Mentalidade de riscos;
  •  Tratamento sistemático de problemas – eventuais falhas de­vem ser tratadas para eliminar seus efei­tos e evitar a recorrência;
  •  Auditorias internas como modelo de avaliação;
  •  Certificação;
  •  Controle de informação documentada atualmente flexibilizada.

O que acontecerá com o período de transição? Estes serão estendidos? - novas orientações do IAF(International Accreditation Forum)

PERÍODOS DE TRANSIÇÃO ENTRE VERSÕES DIFERENTES DE NORMAS

De forma similar ao FAQ15 exposto anteriormente, a FAQ20 do IAF trata de situações de atualização de versão de normas diante da certificação (p.ex. a ISO 50001 foi atualizada em 2018, a ISO 22301 foi atualizada em 2019)

Sim, os períodos de transição são estendidos por 6 meses. A auditoria de transição pode ser feita com técnicas de auditoria remota, seguindo o que já foi esclarecido em Q5.

É possível realizar remotamente uma auditoria de certificação completa? - novas orientações do IAF(International Accreditation Forum)

R5: Sim, em teoria é possível, se para o esquema específico todos os requisitos podem ser avaliados remotamente, incluindo a observação de atividades. Entretanto, isto pode mudar para esquemas específicos.

Importante frisar que o IAF definiu para o Sistema de Gestão Antissuborno uma FAQ específica sobre auditoria remota, com restrições sobre o controle de processos e de riscos:

P14: Para o Sistema de Gestão Antissuborno, de acordo com o IAF MD5:2019 (aplicável a partir de 7 de maio de 2020), técnicas de auditoria remota, devem se limitar a análise crítica de documentos/registros, e a entrevistas com trabalhadores. Em adição para o SGSOS, controle de processo e de controle de riscos de SOS não podem ser auditados usando técnicas de auditoria remota. Considerando as circunstâncias específicas, isto é válido?

R14: Não, considerando as circunstâncias específicas, e o fato de que o IAF MD5:2019 será aplicável a partir de 7 de maio de 2020, a restrição colocada sobre atividades de auditoria remota pelo IAF MD 5 não se aplicam. Isto significa que o controle de processo e de controle de riscos de SOS podem ser auditados usando técnicas de auditoria remota, até o fim da emergência da COVID-19.

Qual a participação do Brasil na elaboração da ISO 37001?

O fato do Brasil 

O que é a abordagem baseada em Riscos?

Percebemos uma tendência internacional de crescimento da gestão baseada em risco nas diversas disciplinas, ambientes, organizações e países. Normas como a ISO 31000 ou o COSO (ambas atualizadas em 2018) estão se estabelecendo como referências internacionais relevantes. A ISO adotou a abordagem e a mentalidade de riscos em todas as suas normas de sistemas de gestão (como a ISO 9001, a ISO 45001, a ISO 37001, etc.), sendo a ISO 31000 e seus desdobramentos/complementos referências metodológicas para a implementação da gestão empresarial.

Essa gestão baseada em riscos procura o ponto ótimo de controles (nem exagerar para menos nem para mais), buscando o balanço entre a proteção desejada e os custos envolvidos.

Neste sentido, a ISO 37001 tem esta abordagem, mas também a legislação deveria buscar se alinhar mais a esta abordagem. Alguns pontos chave da modernização legal pretendida no Brasil são a simplificação, a gestão de riscos e a menor intervenção do Estado.

Por exemplo, há muito detalhamento técnico genérico, excessivamente prescritivo, não totalmente fundamentados em avaliações de riscos.

"A Ellux é uma empresa que demonstra segurança nas informações prestadas e gera confiança a equipe e a crença de que o resultado será atingido. Agrega valor ao trabalho e desenvolve competências junto aos envolvidos, estimulando cada pessoa participante do projeto. Os resultados obtidos em parceria com a Ellux atenderam as expectativas da organização, sempre seguidos de um ambiente com fatores de motivação e vibração pelo consultor."
Ricardo Cavalini
Ricardo Cavalini
Gerente de Saúde, Segurança e Meio Ambiente na Gerdau
1
Clientes Certificados
5000
Colaboradores Treinados
10
Auditorias Realizadas

Ellux Consultoria - há 25 anos trazendo soluções em Gestão da Sustentabilidade, Qualidade e Riscos.

Oferecemos auditorias, consultoria, treinamentos e gamificações em Sistemas de Gestão com base nas Normas ISO 14001, ISO 9001, ISO 45001, ISO 37001, ISO 37301, ABNT PR 2030, ISO 26000, NBR 16001, SA 8000, ISO 50001, ISO 31000, DSC 10000 e outros modelos.