FAQ ISO 37301 - Sistema de Gestão de Compliance

O que é a Norma ISO 37301?

A ISO 37301 – Sistemas de Gestão de Compliance – Requisitos com Orientação para Uso, está em fase de votação (até o dia 05/06/2020) para validar a sua evolução de DIS (Draft International Standard) para FDIS (Final Draft International Standard – última fase antes da aprovação final e publicação).

O prazo interno para comentários no documento DIS definido pela Comissão da ABNT responsável por esta norma é 26/05/2020, a fim de preparar os comentários do Brasil para a discussão internacional.

Nesta série de artigos, abordaremos as principais novidades desta norma em relação ao tema Compliance, às normas ISO 19600 (Compliance) e em alguns pontos na ISO 37001 (antissuborno), e às demais normas de sistemas de gestão da ISO (p.ex. ISO 9001, ISO 45001).

Vale lembrar que a ISO 37301 se baseia amplamente na ISO 19600, e parcialmente na ISO 37001. A ISO 19600 é uma norma de diretrizes, não certificável, enquanto a futura ISO 37301 foi criada para ser objeto de certificação sob acreditação governamental (assim como a ISO 9001, ISO 14001, ISO 54001, ISO 50001, etc.), com requisitos mínimos que uma organização deve adotar para receber o certificado.

Quando será aprovada a Norma ISO 37301?

ISO 37301 – Sistema de Gestão de Compliance – Requisitos com orientações para uso, especificação objeto de certificação baseada na ISO 19600 (e na ISO 37001). Depois de considerar e resolver 503 comentários no documento CD2 (*), 39 países votaram a favor de avançar para a fase DIS (*), dentre eles o Brasil, China, Índia, Federação Russa, África do Sul, e os desenvolvidos Japão, Austrália, Reino Unido, Áustria, França, Alemanha, Itália, Holanda, Noruega, Portugal, Espanha e Suíça. 2 países foram contra: Estados Unidos e Canadá. 9 países votantes se abstiveram: República Tcheca, Costa do Marfim, Dinamarca, Malásia, Romênia, Singapura, Suécia, Tunísia e Emirados Árabes Unidos.

A futura ISO 37301 – Sistemas de Gestão de Compliance – Requisitos com Orientação para Uso, está sendo elaborada pelo ISO TC 309 (Governança das Organizações), e será uma norma certificável com esquemas governamentais dos países, diferentemente da ISO 19600 (de mesmo escopo, porém composta de diretrizes). O prazo de votação para validar a sua evolução de DIS (Draft International Standard) para FDIS (Final Draft International Standard – última fase antes da aprovação final e publicação) encerrou-se em 06/06/2020. Aguardamos os próximos passos.

O documento rascunho DIS (*) da ISO 37301 será circulado para tradução nos países e a votação sobre ele abrirá em 13/03/20 e se encerrará em 05/06/20. Após este período, os comentários recebidos serão circulados por um período mínimo de 3 semanas, e discutidos no próximo encontro do Grupo de Trabalho responsável por esta norma, previsto para 6 a 10/07/20.

Isso significa que o documento DIS (*) poderá, na hipótese mais otimista, ser aprovado e publicado ainda dentro deste ano (como previsto pelo TC 309).

Qual a necessidade de um Sistema de Gestão de Compliance ou de Antissuborno?

Pelo lado das corporações e organizações, continua crescente a necessidade de um sistema de gestão de compliance e integridade, que identifique os riscos, adote controles preventivos, detecte, investigue e puna exemplarmente os desvios/atos ilícitos ligados a fraude, corrupção, suborno e outras situações.

Distintos modelos foram desenvolvidos para abordar o tema, oriundos de convenções internacionais, legislações nacionais, associações e ONGs, como:

Convenção Anti-corrupção e Pacto Global (ONU).
Convenção Anti-suborno e Good Practice Guidance on Internal Controls, Ethics and Compliance (OECD);
Business Principles for Countering Bribery (Transparência Internacional);
Lei Federal 12.846/13 (Anti-corrupção) e Decreto 8.420/15;
Proética (CGU);
Pacto Empresarial pela Integridade/Guia Temático (Instituto Ethos);
ISO 19600 – Sistemas de Gestão de Compliance – Diretrizes;
ISO 37001 – Sistemas de Gestão Antissuborno;
DSC 10000 – Diretrizes para o Sistema de Compliance (EBANC – Empresa Brasileira Acreditadora de Normas de Compliance).

Quais as diferenças entre Compliance x Antissuborno?

Os temas envolvidos no Compliance (ISO 19600 e ISO 37301) são multifacetados, abrangendo, dentre outros, legislação e riscos relacionados à governança, tributos, trabalhista, ambiental, responsabilidade social, conduta profissional, concorrencial, segurança da informação, etc., incluindo também os requisitos anticorrupção e Antissuborno (ISO 37001).

O tema abrangido pela ISO 37001 é restrito a suborno (não aborda especificamente fraude, cartéis e outros delitos antitruste/ anticoncorrencial, lavagem de dinheiro ou outras atividades relacionadas a práticas corruptas):

Nos setores público, privado e sem fins lucrativos;
Da ou pela organização;
Do e pelo pessoal da organização ou para seu benefício;
Dos e pelos parceiros de negócio da organização;
Direto ou indireto.

Quais as vantagens de implantar a Norma ISO 37301?

Na pandemia, nada tão necessário e atual:

emergência e calamidade pública decretada,
“modo sobrevivência” vigorando,
receitas/renda diminuindo,
muitas pessoas trabalhando em casa e “mais longe” da supervisão
decisões têm de ser mais ágeis.

Modelos normativos voluntários de gestão de compliance ajudam na evolução da cultura organizacional baseada em visão/valores/princípios, instrumentalizando as pessoas para avaliar o seu senso interior e decidir com bom senso e ética, e não somente em condutas automatizada.

Como implantar a ISO 37301?

Para as organizações que queiram implementar e certificar-se pela ISO 37301, recomenda-se desenvolver as seguintes ações:

Obter a norma;
Avaliar os “gaps” no Sistema de Gestão de Compliance frente à nova norma;
Elaborar um plano de ação compatível com as suas necessidades;
Treinar e conscientizar a liderança e os colaboradores quanto aos requisitos da nova norma;
Desenvolver/atualizar os necessários levantamentos, documentação, critérios, regras e práticas, conforme o plano de ação, e implementar os novos requisitos e mudanças;
Realizar a auditoria interna considerando a nova norma como critério, com auditores qualificados;
Realizar a análise crítica pela Alta Direção conforme os novos requisitos;
Tratar eventuais não conformidades, observações ou oportunidades de melhoria, oriundas do processo de auditoria e análise crítica.

Quais os pilares da ISO 37301?

A Norma ISO 37001 tem como pilares:

Item 4 – Avaliação estratégica interna e externa – que serve como o molde onde o Sistema de Gestão de Compliance será criado, estruturado e mantido.

4.1 Entendendo a organização e seu contexto.

4.2 Entendendo as necessidades e expectativas das partes interessadas.

4.3 Determinando o escopo do sistema de gestão de Compliance.

4.4 Sistema de gestão de Compliance.

O primeiro pilar da futura ISO 37301 é praticamente idêntico ao da ISO 19600, só não contando com a orientação de levar em consideração os princípios de governança relativos à Função Compliance, que foram deslocados para o pilar de Liderança e Comprometimento da Norma, item 5.1.3. Ele também é similar às demais normas de Sistemas de Gestão.

O Sistema de Gestão de Compliance está imerso em uma cultura organizacional, e faz-se necessário que ele reflita os valores, objetivos, estratégia e riscos de compliance da organização.

Como certificar o Sistema de Gestão de Compliance?

Para a certificação do Sistema de Gestão, a empresa deve implementar todos os elementos, demonstrando que tem condições de atender à legislação ocupacional e que desenvolve ações para a melhoria contínua de seus processos e resultados, e à prevenção de riscos.

A ISO 37301 é certificável.

Os processos de acreditação governamental estão avançando em vários países. Nos Estados Unidos, alguns organismos de certificação já iniciaram este processo junto ao órgão acreditador ANAB. Na Europa, a ACCREDIA (organismo de acreditação italiano) já tem um processo de credenciamento em vigor para a Norma ISO 37001, e algumas empresas já estão certificadas (p.ex. no site da certificadora RINA, são listadas 7 empresas aprovadas por esta norma, sendo 4 na Itália, 2 no Brasil e 1 em Dubai) . A UKAS (United Kingdom Accreditation Services – entidade responsável pelo sistema de certificação e acreditação) ainda estava na etapa de avaliação da demanda e planejamento deste esquema.

O que é o modelo de Gestão ISO?

O modelo de sistema de gestão da ISO adota uma série de boas práticas internacionais, com as principais características (adaptado de EPELBAUM, 2017):

Base no ciclo PDCA – (P-planejar), (D-executar), (C-avaliar) e (A-agir);
Evolução do desempenho lastreada em gestão por objetivos e no princípio da melhoria contínua, não sendo uma norma de excelência;
Comprometimento da liderança, com gestão estratégica, política, objetivos, planos e análise periódica do tema, integradas ao negócio;
Mentalidade de riscos;
Tratamento sistemático de problemas – eventuais falhas devem ser tratadas para eliminar seus efeitos e evitar a recorrência;
Auditorias internas como modelo de avaliação;
Certificação;
Controle de informação documentada atualmente flexibilizada.

É possível realizar remotamente uma auditoria de certificação completa? - novas orientações do IAF(International Accreditation Forum)

R5: Sim, em teoria é possível, se para o esquema específico todos os requisitos podem ser avaliados remotamente, incluindo a observação de atividades. Entretanto, isto pode mudar para esquemas específicos.

Importante frisar que o IAF definiu para o Sistema de Gestão de Compliance uma FAQ específica sobre auditoria remota, com restrições sobre o controle de processos e de riscos:

P14: Para o Sistema de Gestão de Compliance, de acordo com o IAF MD5:2019 (aplicável a partir de 7 de maio de 2020), técnicas de auditoria remota, devem se limitar a análise crítica de documentos/registros, e a entrevistas com trabalhadores. Em adição para o SGSOS, controle de processo e de controle de riscos de SOS não podem ser auditados usando técnicas de auditoria remota. Considerando as circunstâncias específicas, isto é válido?

R14: Não, considerando as circunstâncias específicas, e o fato de que o IAF MD5:2019 será aplicável a partir de 7 de maio de 2020, a restrição colocada sobre atividades de auditoria remota pelo IAF MD 5 não se aplicam. Isto significa que o controle de processo e de controle de riscos de SOS podem ser auditados usando técnicas de auditoria remota, até o fim da emergência da COVID-19.

O que é a abordagem baseada em Riscos?

Percebemos uma tendência internacional de crescimento da gestão baseada em risco nas diversas disciplinas, ambientes, organizações e países. Normas como a ISO 31000 ou o COSO (ambas atualizadas em 2018) estão se estabelecendo como referências internacionais relevantes. A ISO adotou a abordagem e a mentalidade de riscos em todas as suas normas de sistemas de gestão (como a ISO 9001, a ISO 45001, a ISO 37001, a ISO 37301, etc.), sendo a ISO 31000 e seus desdobramentos/complementos referências metodológicas para a implementação da gestão empresarial.

Essa gestão baseada em riscos procura o ponto ótimo de controles (nem exagerar para menos nem para mais), buscando o balanço entre a proteção desejada e os custos envolvidos.

Neste sentido, a ISO 37301 tem esta abordagem, mas também a legislação deveria buscar se alinhar mais a esta abordagem. Alguns pontos chave da modernização legal pretendida no Brasil são a simplificação, a gestão de riscos e a menor intervenção do Estado.

Por exemplo, há muito detalhamento técnico genérico, excessivamente prescritivo, não totalmente fundamentados em avaliações de riscos.

"A Ellux é uma empresa que demonstra segurança nas informações prestadas e gera confiança a equipe e a crença de que o resultado será atingido. Agrega valor ao trabalho e desenvolve competências junto aos envolvidos, estimulando cada pessoa participante do projeto. Os resultados obtidos em parceria com a Ellux atenderam as expectativas da organização, sempre seguidos de um ambiente com fatores de motivação e vibração pelo consultor."