FAQ ISO 37301 - Sistema de Gestão de Compliance

O que é a Norma ISO 37301?

A ISO 37301 – Sistemas de Gestão de Compliance – Requisitos com Orientação para Uso, está em fase de votação (até o dia 05/06/2020) para validar a sua evolução de DIS (Draft International Standard) para FDIS (Final Draft International Standard – última fase antes da aprovação final e publicação).

O prazo interno para comentários no documento DIS definido pela Comissão da ABNT responsável por esta norma é 26/05/2020, a fim de preparar os comentários do Brasil para a discussão internacional.

Nesta série de artigos, abordaremos as principais novidades desta norma em relação ao tema Compliance, às normas ISO 19600 (Compliance) e em alguns pontos na ISO 37001 (antissuborno), e às demais normas de sistemas de gestão da ISO (p.ex. ISO 9001, ISO 45001).

Vale lembrar que a ISO 37301 se baseia amplamente na ISO 19600, e parcialmente na ISO 37001. A ISO 19600 é uma norma de diretrizes, não certificável, enquanto a futura ISO 37301 foi criada para ser objeto de certificação sob acreditação governamental (assim como a ISO 9001, ISO 14001, ISO 54001, ISO 50001, etc.), com requisitos mínimos que uma organização deve adotar para receber o certificado.

Quando será aprovada a Norma ISO 37301?

ISO 37301 – Sistema de Gestão de Compliance – Requisitos com orientações para uso, especificação objeto de certificação baseada na ISO 19600 (e na ISO 37001). Depois de considerar e resolver 503 comentários no documento CD2 (*), 39 países votaram a favor de avançar para a fase DIS (*), dentre eles o Brasil, China, Índia, Federação Russa, África do Sul, e os desenvolvidos Japão, Austrália, Reino Unido, Áustria, França, Alemanha, Itália, Holanda, Noruega, Portugal, Espanha e Suíça. 2 países foram contra: Estados Unidos e Canadá. 9 países votantes se abstiveram: República Tcheca, Costa do Marfim, Dinamarca, Malásia, Romênia, Singapura, Suécia, Tunísia e Emirados Árabes Unidos.

A futura ISO 37301 – Sistemas de Gestão de Compliance – Requisitos com Orientação para Uso, está sendo elaborada pelo ISO TC 309 (Governança das Organizações), e será uma norma certificável com esquemas governamentais dos países, diferentemente da ISO 19600 (de mesmo escopo, porém composta de diretrizes). O prazo de votação para validar a sua evolução de DIS (Draft International Standard) para FDIS (Final Draft International Standard – última fase antes da aprovação final e publicação) encerrou-se em 06/06/2020. Aguardamos os próximos passos.

O documento rascunho DIS (*) da ISO 37301 será circulado para tradução nos países e a votação sobre ele abrirá em 13/03/20 e se encerrará em 05/06/20. Após este período, os comentários recebidos serão circulados por um período mínimo de 3 semanas, e discutidos no próximo encontro do Grupo de Trabalho responsável por esta norma, previsto para 6 a 10/07/20.

Isso significa que o documento DIS (*) poderá, na hipótese mais otimista, ser aprovado e publicado ainda dentro deste ano (como previsto pelo TC 309).

Qual a necessidade de um Sistema de Gestão de Compliance ou de Antissuborno?

Pelo lado das corporações e organizações, continua crescente a necessidade de um sistema de gestão de compliance e integridade, que identifique os riscos, adote controles preventivos, detecte, investigue e puna exemplarmente os desvios/atos ilícitos ligados a fraude, corrupção, suborno e outras situações.

Distintos modelos foram desenvolvidos para abordar o tema, oriundos de convenções internacionais, legislações nacionais, associações e ONGs, como:

  • Convenção Anti-corrupção e Pacto Global (ONU).
  • Convenção Anti-suborno e Good Practice Guidance on Internal Controls, Ethics and Compliance (OECD);
  • Business Principles for Countering Bribery (Transparência Internacional);
  • Lei Federal 12.846/13 (Anti-corrupção) e Decreto 8.420/15;
  • Proética (CGU);
  • Pacto Empresarial pela Integridade/Guia Temático (Instituto Ethos);
  • ISO 19600 – Sistemas de Gestão de Compliance – Diretrizes;
  • ISO 37001 – Sistemas de Gestão Antissuborno;
  • DSC 10000 – Diretrizes para o Sistema de Compliance (EBANC – Empresa Brasileira Acreditadora de Normas de Compliance).

Quais as diferenças entre Compliance x Antissuborno?

Os temas envolvidos no Compliance (ISO 19600 e ISO 37301) são multifacetados, abrangendo, dentre outros, legislação e riscos relacionados à governança, tributos, trabalhista, ambiental, responsabilidade social, conduta profissional, concorrencial, segurança da informação, etc., incluindo também os requisitos anticorrupção e Antissuborno (ISO 37001).

O tema abrangido pela ISO 37001 é restrito a suborno (não aborda especificamente fraude, cartéis e outros delitos antitruste/ anticoncorrencial, lavagem de dinheiro ou outras atividades relacionadas a práticas corruptas):

  • Nos setores público, privado e sem fins lucrativos;
  • Da ou pela organização;
  • Do e pelo pessoal da organização ou para seu benefício;
  • Dos e pelos parceiros de negócio da organização;
  • Direto ou indireto.

Quais as vantagens de implantar a Norma ISO 37301?

Na pandemia, nada tão necessário e atual:

  • emergência e calamidade pública decretada,
  • “modo sobrevivência” vigorando,
  • receitas/renda diminuindo,
  • muitas pessoas trabalhando em casa e “mais longe” da supervisão
  • decisões têm de ser mais ágeis.

Modelos normativos voluntários de gestão de compliance ajudam na evolução da cultura organizacional baseada em visão/valores/princípios, instrumentalizando as pessoas para avaliar o seu senso interior e decidir com bom senso e ética, e não somente em condutas automatizada.

Como implantar a ISO 37301?

Para as organizações que queiram implementar e certificar-se pela ISO 37301, recomenda-se desenvolver as seguintes ações:

  • Obter a norma;
  • Avaliar os “gaps” no Sistema de Gestão de Compliance frente à nova norma;
  • Elaborar um plano de ação compatível com as suas necessidades;
  • Treinar e conscientizar a liderança e os colaboradores quanto aos requisitos da nova norma;
  • Desenvolver/atualizar os necessários levantamentos, documentação, critérios, regras e práticas, conforme o plano de ação, e implementar os novos requisitos e mudanças;
  • Realizar a auditoria interna considerando a nova norma como critério, com auditores qualificados;
  • Realizar a análise crítica pela Alta Direção conforme os novos requisitos;
  • Tratar eventuais não conformidades, observações ou oportunidades de melhoria,  oriundas do processo de auditoria e análise crítica.

Quais os pilares da ISO 37301?

A Norma ISO 37001 tem como pilares:

Item 4 – Avaliação estratégica interna e externa –  que serve como o molde onde o Sistema de Gestão de Compliance será criado, estruturado e mantido.

4.1 Entendendo a organização e seu contexto.

4.2 Entendendo as necessidades e expectativas das partes interessadas.

4.3 Determinando o escopo do sistema de gestão de Compliance.

4.4 Sistema de gestão de Compliance.

O primeiro pilar da futura ISO 37301 é praticamente idêntico ao da ISO 19600, só não contando com a orientação de levar em consideração os princípios de governança relativos à Função Compliance, que foram deslocados para o pilar de Liderança e Comprometimento da Norma, item 5.1.3. Ele também é similar às demais normas de Sistemas de Gestão.

O Sistema de Gestão de Compliance está imerso em uma cultura organizacional, e faz-se necessário que ele reflita os valores, objetivos, estratégia e riscos de compliance da organização. 

Como certificar o Sistema de Gestão de Compliance?

Para a certificação do Sistema de Gestão, a empresa deve implementar todos os elementos, demonstrando que tem condições de atender à legislação ocupacional e que desenvolve ações para a melhoria contínua de seus processos e resultados, e à prevenção de riscos.

A ISO 37301 é certificável. 

Os processos de acreditação governamental estão avançando em vários países. Nos Estados Unidos, alguns organismos de certificação já iniciaram este processo junto ao órgão acreditador ANAB. Na Europa, a ACCREDIA (organismo de acreditação italiano) já tem um processo de credenciamento em vigor para a Norma ISO 37001, e algumas empresas já estão certificadas (p.ex. no site da certificadora RINA, são listadas 7 empresas aprovadas por esta norma, sendo 4 na Itália, 2 no Brasil e 1 em Dubai) .  A UKAS (United Kingdom Accreditation Services – entidade responsável pelo sistema de certificação e acreditação) ainda estava na etapa de avaliação da demanda e planejamento deste esquema.

O que é o modelo de Gestão ISO?

O modelo de sistema de gestão da ISO adota uma série de boas práticas internacionais, com as principais características (adaptado de EPELBAUM, 2017):
 
  •  Base no ciclo PDCA – (P-planejar), (D-executar), (C-avaliar) e (A-agir);
  •  Evolução do desempenho lastreada em gestão por objetivos e no princípio da melhoria contínua, não sendo uma norma de excelência;
  •  Comprometimento da liderança, com gestão estratégica, política, objetivos, planos e análise periódica do tema, integradas ao negócio;
  •  Mentalidade de riscos;
  •  Tratamento sistemático de problemas – eventuais falhas de­vem ser tratadas para eliminar seus efei­tos e evitar a recorrência;
  •  Auditorias internas como modelo de avaliação;
  •  Certificação;
  •  Controle de informação documentada atualmente flexibilizada.

É possível realizar remotamente uma auditoria de certificação completa? - novas orientações do IAF(International Accreditation Forum)

R5: Sim, em teoria é possível, se para o esquema específico todos os requisitos podem ser avaliados remotamente, incluindo a observação de atividades. Entretanto, isto pode mudar para esquemas específicos.

Importante frisar que o IAF definiu para o Sistema de Gestão de Compliance uma FAQ específica sobre auditoria remota, com restrições sobre o controle de processos e de riscos:

P14: Para o Sistema de Gestão de Compliance, de acordo com o IAF MD5:2019 (aplicável a partir de 7 de maio de 2020), técnicas de auditoria remota, devem se limitar a análise crítica de documentos/registros, e a entrevistas com trabalhadores. Em adição para o SGSOS, controle de processo e de controle de riscos de SOS não podem ser auditados usando técnicas de auditoria remota. Considerando as circunstâncias específicas, isto é válido?

R14: Não, considerando as circunstâncias específicas, e o fato de que o IAF MD5:2019 será aplicável a partir de 7 de maio de 2020, a restrição colocada sobre atividades de auditoria remota pelo IAF MD 5 não se aplicam. Isto significa que o controle de processo e de controle de riscos de SOS podem ser auditados usando técnicas de auditoria remota, até o fim da emergência da COVID-19.

O que é a abordagem baseada em Riscos?

Percebemos uma tendência internacional de crescimento da gestão baseada em risco nas diversas disciplinas, ambientes, organizações e países. Normas como a ISO 31000 ou o COSO (ambas atualizadas em 2018) estão se estabelecendo como referências internacionais relevantes. A ISO adotou a abordagem e a mentalidade de riscos em todas as suas normas de sistemas de gestão (como a ISO 9001, a ISO 45001, a ISO 37001, a ISO 37301, etc.), sendo a ISO 31000 e seus desdobramentos/complementos referências metodológicas para a implementação da gestão empresarial.

Essa gestão baseada em riscos procura o ponto ótimo de controles (nem exagerar para menos nem para mais), buscando o balanço entre a proteção desejada e os custos envolvidos.

Neste sentido, a ISO 37301 tem esta abordagem, mas também a legislação deveria buscar se alinhar mais a esta abordagem. Alguns pontos chave da modernização legal pretendida no Brasil são a simplificação, a gestão de riscos e a menor intervenção do Estado.

Por exemplo, há muito detalhamento técnico genérico, excessivamente prescritivo, não totalmente fundamentados em avaliações de riscos.

"A Ellux é uma empresa que demonstra segurança nas informações prestadas e gera confiança a equipe e a crença de que o resultado será atingido. Agrega valor ao trabalho e desenvolve competências junto aos envolvidos, estimulando cada pessoa participante do projeto. Os resultados obtidos em parceria com a Ellux atenderam as expectativas da organização, sempre seguidos de um ambiente com fatores de motivação e vibração pelo consultor."
Ricardo Cavalini
Ricardo Cavalini
Gerente de Saúde, Segurança e Meio Ambiente na Gerdau
1
Clientes Certificados
5000
Colaboradores Treinados
10
Auditorias Realizadas

Ellux Consultoria - há 25 anos trazendo soluções em Gestão da Sustentabilidade, Qualidade e Riscos.

Oferecemos auditorias, consultoria, treinamentos e gamificações em Sistemas de Gestão com base nas Normas ISO 14001, ISO 9001, ISO 45001, ISO 37001, ISO 37301, ABNT PR 2030, ISO 26000, NBR 16001, SA 8000, ISO 50001, ISO 31000, DSC 10000 e outros modelos.