Como já discutido em post anterior, para uma organização que queira implementar um SGAS – Sistema de Gestão Antissuborno conforme a Norma ISO 37001 e um PI-Programa de Integridade conforme a Lei Anticorrupção 12.846/13 e Decreto 8.420/15, é importante analisar as suas interfaces, diferenças e semelhanças.
No presente artigo, baseado em dúvida de um Cliente, me atenho mais especificamente ao que o pessoal da organização deveria saber e estar consciente em um SGAS conforme a Norma ISO 37001, e quais destes requisitos são adicionais aos de um PI conforme a legislação brasileira.
DIFERENÇAS GERAIS ENTRE ISO 37001 E PROGRAMA DE INTEGRIDADE
Em linhas gerais, o que o SGAS – Sistema de Gestão Antissuborno conforme a ISO 37001 adiciona de requisitos em relação ao PI – Programa de Integridade legal (nos termos dos parâmetros listados no Art. 42 do Decreto 8.420/15)?
Seguem os principais pontos abaixo, baseados em artigo anterior:
- conexão estratégica do item 4 – contexto da organização, tanto no que se refere à determinação das questões internas e externas pertinentes ao seu propósito e que afetam sua capacidade de alcançar os objetivos do seu SGAS, como em relação à determinação das partes interessadas e seus requisitos pertinentes para o SGAS, reforçando a integração ao negócio da organização;
- comprometimento de toda a liderança, que vai além da Alta Direção
- conscientização requerida de todo o pessoal;
- ciclo de melhoria contínua e seus objetivos/planos – o art. 42 menciona o aperfeiçoamento do PI como um objetivo do monitoramento contínuo do programa de integridade, o que se mostra mais restrito do que o comprometimento com a melhoria contínua e a definição de objetivos e planos preconizado pela ISO 37001
- auditoria interna do SGAS – o Decreto 8.420/15 cita auditoria na definição do PI, mas o art. 42 não explicita a sua obrigatoriedade;
- análise crítica pela Alta Direção/Órgão Diretivo/Função Compliance Antissuborno – o art. 42 requisita o comprometimento da Alta Direção e o monitoramento do PI, mas não traz requisitos para a sua operacionalização como a ISO 37001;
- abordagem de elementos de suporte a um ambiente propício à operacionalização efetiva do SGAS, como gestão de recursos, competências do pessoal, requisitos para a contratação, cultura, conscientização, comunicação e controle de informação documentada (o PI explicita somente treinamentos periódicos);
- nos elementos que são comuns aos dois modelos (p.ex. avaliação de riscos, due-diligence, treinamentos, políticas/procedimentos, tratamento de não conformidades), a Norma ISO 37001 é de modo geral mais abrangente, robusta e detalhada, permitindo especificar melhor o requerido e habilitar a obtenção de um resultado mais efetivo em sua implementação. No caso do tratamento de não conformidade, a ISO 37001 adiciona o método de solução de problemas para que evitar que ele se repita.
Além disto, a certificação independente é uma característica importante do modelo ISO, que ajuda a atestar a efetiva implementação e melhoria contínua do SGAS, sendo que funcionários (e eventualmente até terceiros) de todos os níveis podem ser auditados, os quais devem conhecer e estar conscientes dos requisitos do SGAS. No tópico a seguir exploraremos mais este conteúdo de treinamento e conscientização.
O QUE O PESSOAL DEVE SER TREINADO E ESTAR CONSCIENTE NA ISO 37001 (VERSUS PI)
Na tabela a seguir exponho os requisitos do item 7.3 da ISO 37001, além de comentários sobre o seu entendimento e o que eles adicionam ao PI:
Requisito:
“A organização deve prover treinamento e conscientização antissuborno apropriados e adequados para o pessoal. Estes treinamentos devem abordar as seguintes questões, como apropriado, levando-se em conta os resultados do processo de avaliação de risco de suborno (ver 4.5):
a) a política antissuborno, os procedimentos e o sistema de gestão antissuborno da organização, e sua obrigação de cumpri-los;”
Comentário:
Neste tópico se demanda o treinamento e a conscientização do pessoal na política, nos procedimentos e no SGAS e sua obrigação de cumprí-los. Aqui pode se incluir o que é o SGAS, o que ele demanda do pessoal, e dos requisitos dos procedimentos requeridos, incluindo o código de conduta e os controles sobre riscos de suborno (seja em treinamentos separados por procedimento, ou através de treinamentos únicos ou por pacotes). É importante notar que há usualmente procedimentos do SGAS adicionais ao PI, como p.ex. tratamento de não conformidades.
Requisito:
“ b) os riscos de suborno e os danos causados a eles e à organização que podem resultar do suborno;”
Comentário:
O pessoal deve estar consciente dos riscos de suborno e suas consequências, oriundos do processo de avaliação de riscos. Cabe à organização decidir se treinará a todos na matriz de avaliação de riscos do processo/função como um todo, ou se irá treinar em um resumo desta mesma avaliação de riscos (que pode abordar minimamente a atividade em questão, riscos, consequências e controles)
Requisito:
“ c) as circunstâncias nas quais o suborno pode ocorrer em relação às suas obrigações, e como reconhecer essas circunstâncias;
d) como reconhecer e responder às solicitações ou ofertas de propina;
e) como eles podem ajudar a prevenir e evitar suborno, e reconhecer indicadores-chave de riscos de suborno;
h) como e para quem eles são capazes de relatar quaisquer preocupações (ver 8.9);
i) informações sobre treinamento e recursos disponíveis.”
Comentário:
Tais requisitos usualmente podem já estar contemplados em treinamentos dentro do PI, não necessariamente nestes termos. Cabe uma reavaliação dos treinamentos para o SGAS quanto ao atendimento a estes aspectos.
Requisito:
“ f) sua contribuição para a eficácia do sistema de gestão antissuborno, incluindo os benefícios de melhoria do desempenho antissuborno e de relatar suspeitas de subornos;”
Comentário:
Parte deste requisito (contribuição individual e relato de denúncias) já é usual dentro dos treinamentos do PI, mas a mensagem referente ao SGAS e à melhoria do desempenho deve ser acrescentada em treinamento para a ISO 37001. Vale lembrar que a melhoria contínua, e os objetivos e planos são elementos adicionais do SGAS conforme a ISO 37001.
Requisito:
“ g) as implicações e potenciais consequências de não estar em conformidade com os requisitos do sistema de gestão antissuborno;”
Comentário:
Parte deste assunto referente a denúncias (e às medidas disciplinares) já fazem naturalmente parte de um treinamento no PI, mas aquilo que se refere às implicações e potenciais consequências de não conformidades de requisitos do sistema (falhas de processos e procedimentos que não se caracterizam em atos ilícitos) deveria ser reforçado no treinamento na ISO 37001. Poderia haver também uma referencia ao papel de cada um dentro do procedimento de tratamento de não conformidades.
Requisito:
“O pessoal deve receber conscientização e treinamento antissuborno regularmente (a intervalos planejados definidos pela organização), como apropriado aos seus papéis, aos riscos de suborno a que eles estão expostos e a quaisquer mudanças de circunstâncias. Os programas de conscientização e treinamento devem ser atualizados periodicamente, quando necessário para refletir novas informações pertinentes.”
Comentário:
O Art. 42 do Decreto 8.420 já demanda treinamentos periódicos. A adequação aos papéis/riscos e mudanças de circunstâncias são usualmente considerados na definição dos treinamentos de um bom PI, bem como a sua atualização.
Requisito:
“Levando-se em conta os riscos de suborno identificados (ver 4.5), a organização deve também implementar procedimentos abordando a conscientização e o treinamento antissuborno para os parceiros de negócio que atuam em nome da organização ou para o seu benefício, e que podem representar mais do que um baixo risco de suborno para a organização. Estes procedimentos devem identificar os parceiros de negócio para os quais a conscientização e o treinamento sejam necessários, seu conteúdo e os meios pelos quais o treinamento deve ser fornecido.
A organização deve reter informação documentada sobre os procedimentos de treinamento, o conteúdo do treinamento e quando e para quem ele foi dado.
NOTA 1 Os requisitos de conscientização e treinamento para os parceiros de negócio podem ser comunicados por meio de requisitos contratuais ou similares, e ser implementados pela organização, pelo parceiro de negócio ou por outras partes indicadas para este propósito.”
Comentário:
Apesar de se poder supor que os treinamentos periódicos sobre o PI definidos no art 42. possam envolver parceiros de negócios (listados no PI como terceiros, tais como, fornecedores, prestadores de serviço, agentes intermediários e associados), não necessariamente a prática é esta. O texto da ISO 37001 leva à necessidade de fazer a análise do meio, conteúdo e abrangência dos parceiros de negócio para os quais a conscientização e o treinamento sejam necessários (ou que o treinamento seja fornecido), podendo se dar através de cláusulas contratuais ou similares, como explicado na Nota 1.
A Norma também determina a necessidade de retenção de informação documentada sobre os procedimentos de treinamento, o conteúdo do treinamento e quando e para quem ele foi dado. Apesar de não ser explícito no art. 42 para o PI, ele pode ser feito no mesmo, mas o texto da ISO 37001 é mais detalhado e pode levar a ampliação de requisitos.
CONCLUSÃO
Percebemos pela análise exposta que o SGAS conforme a ISO 37001 tem requisitos adicionais em relação ao PI conforme a Lei Anticorrupção e seu decreto regulamentador. Naturalmente, os requisitos de treinamento e conscientização aplicáveis aos programas de treinamento e outros meios para se atingir a conscientização (como comunicação, eventos, campanhas), devem abordar estes assuntos adicionais requeridos pela ISO 37001, como requisitos e procedimentos do SGAS, as implicações e potenciais consequências de não estar em conformidade com o mesmo e benefícios de melhoria do desempenho antissuborno.
Tais requisitos agregam valor neste elemento de suma importância para o SGAS, auxiliando a sua operacionalização e efetividade.
Vale atentar para isso durante o desenho e implementação de um SGAS em uma empresa que já tem um PI implementado!
Michel Epelbaum – diretor da Ellux Consultoria
Consulte nossos serviços de Consultoria, Treinamento e Auditoria em Sistemas de Gestão inclusive nas Normas ISO 37001 – antissuborno, ISO 19600 e ISO 37301– compliance.
Saiba mais sobre este assunto em nossos posts relacionados:
Certificações ISO 37001: Estatísticas Mundiais e do Brasil
ISO 37001 x Programa de Integridade
Estatísticas de Certificações ISO – 2018 para Normas de Sistemas de Gestão
Atualização Normativa ISO – Governança, Compliance e Antissuborno
Reflexões sobre a Avaliação dos Programas de Integridade (Leis Anticorrupção)
Causa e Consequência, Versões e Verdades: O Movimento Anticorrupção Global Está Evoluindo?
Brasil despenca em ranking de percepção da corrupção: os riscos e as exigências aumentam!