ISO 37301 - Sistemas de Gestão de Compliance -Parte 3

Desing by Freepik

Neste artigo continuo a série sobre a futura ISO 37301 – Sistemas de Gestão de Compliance – Requisitos com Orientação para Uso, em gestação no Comitê Técnico 309 da ISO (Governança das Organizações), responsável por normas importantes como a ISO 19600, a ISO 37001 e as futuras normas de governança e whistleblowing.

Ressalte-se que ISO 37301 será uma norma certificável com esquemas governamentais dos países, como a ISO 9001 e ISO 37001, e deve substituir a ISO 19600 em termos de certificação de sistemas de gestão de compliance (SGC). O prazo para a votação para passar para o último estágio normativo antes de sua finalização (FDIS – Final Draft International Standard) encerrou-se em 06/06/2020, o que gera expectativas de que pode ser publicada ainda em 2020 (ou no começo de 2021).

E os escândalos se sucedem: desde o ministro que “exagerou” o seu currículo (e já se demitiu após 5 dias de serviços) até a fraude contábil de cerca de US$ 2 bilhões e falência da empresa alemã de pagamentos Wirecard (comparada à Enron, que arrastou a Arthur Andersen à falência, mas a Big 4 da vez é a E&Y). Isso sem falar, no Brasil, das dezenas ou centenas de bilhões de reais ligados à saúde e à pandemia escoando pelo ralo da corrupção, lavagem de dinheiro e fraude, que fazem os demais escândalos parecerem “jogo de comadre” (expressão que quem jogou pingue-pongue conhece bem).

A gestão de Compliance continua imprescindível, e mais instrumentos de detecção, prevenção e reação de riscos são necessários.

Segundo Pilar da ISO 37301 – Item 5 – Liderança

Continuando nossa jornada do sistema de gestão de Compliance (SGC), falamos a seguir neste artigo sobre o seu segundo pilar, traduzido na linguagem usual do ramo por Top of the Tone, adicionado de elementos associados à alta direção e conselho de administração.

Ele está divido em 3 grandes blocos, apresentados a seguir:

5.1 Liderança e Comprometimento

Este item é dividido em:

Órgão diretivo e alta direção – requisita que o mais alto nível da gestão e governança da organização demonstre a sua liderança e comprometimento através de várias rotinas, ações e responsabilidades, como estabelecimento da políticas, objetivos, procedimentos e processos alinhados ao direcionamento estratégico e integrados aos processos de negócio (!!!), recursos, comunicação, direcionar e liderar gestores e pessoas para este comprometimento, inclusão de responsabilidades nas descrições de cargo e designar uma função de compliance;

Nota: o órgão diretivo é o conceito adotado nas normas da ISO, equivalendo ao Conselho de Administração, onde existam.

Cultura de compliance – a organização, começando pelo Órgão diretivo e alta direção, deve desenvolver, manter e promover a tão necessária cultura de compliance em todos os níveis, encorajando condutas e comportamentos que criam e suportam o Compliance, e prevenir e não tolerar condutas e comportamentos que denigrem o Compliance. Vale comentar que, como já abordado em artigo anterior, esta norma (e a ISO 19600, sua origem) talvez sejam as mais elaboradas Norma ISO de Sistemas de Gestão quanto à cultura organizacional, remetendo a uma definição e requisito específico para tanto;

Governança de compliance – esta norma também inova, mesmo que de forma limitada à função Compliance (acesso direto, independência, autoridade e competência), ao introduzir a governança dentro dos sistemas de gestão, remetendo ao conhecido trio de ferro (não é o dos times de São Paulo) GRC – Governança, Riscos e Compliance;

5.2 Política

O item requisita o estabelecimento de uma política de compliance apropriada ao seu propósito e alinhada à visão, objetivos e estratégia da organização. Tal política deve prover uma estrutura para estabelecimento de objetivos de Compliance, e deve incluir comprometimento com o cumprimento das obrigações de Compliance e com a melhoria contínua. Deve ainda suportar os princípios de governança estabelecidos no item anterior, delinear as consequências do não cumprimento, e encorajar o relato de preocupações e denúncias, sem retaliação. Por fim, ela deve ser implementada, documentada, comunicada, compreensível pelo pessoal e disponível para as partes interessadas.

5.3 Papéis, Responsabilidades e Autoridades

São definidos para:

Órgão Diretivo e Alta Direção – de modo geral, garantir que em suas responsabilidades empresariais, eles incorporem as responsabilidades e autoridades de Compliance, incluindo a designação e comunicação de responsabilidades e autoridades através da organização, a garantia de implementação efetiva do SGC e o reporte do seu desempenho para análise crítica, bem como a alocação de recursos, desdobramento de objetivos e metas, prestação de contas, avaliações de desempenho, etc.

Função Compliance – operacionalizar o SGC em todos os seus elementos, como identificação de obrigações de compliance, avaliação de riscos, garantir a inclusão dos aspectos de compliance nas políticas, processos e procedimentos de forma integrada aos processos de negócios, indicadores e monitoramento, avaliação do desempenho do SGC para preparar a análise crítica pela Alta Direção e Órgão Diretivo, prestar consultoria interna aos processos/áreas, etc.;

Gestores – responsáveis por integrar o SGC (e riscos e obrigações de compliance) em seus processos/áreas/práticas/procedimentos e garantir o seu cumprimento, envolvendo, comunicando, treinando e encorajando os colaboradores a participar, cumprir e relatar sugestões/desvios/ denúncias;

Pessoal – participar e aderir aos requisitos de compliance, bem como relatar falhas, preocupações, sugestões e denúncias;

Vale comentar que a função compliance pode ser idêntica à área de Compliance de uma organização, chefiada pelo Compliance Officer (CCO), mas pode ser distribuída parcialmente com outros departamentos ou processos. Percebemos de nossos serviços em clientes que a área de Compliance por vezes entende que ela deve ser a operacionalizadora de toda a gestão de Compliance, quando a otimização da gestão empresarial requer que este Compliance seja integrado aos processos de negócios (p.ex. o compliance trabalhista é em grande parte operacionalizado pelos processos selecionar, contratar, desenvolver, avaliar e gerir pessoas; da mesma forma o compliance tributário, o compliance ambiental, etc.)

Conclusão

Como é possível perceber, Compliance não é somente a área de Compliance!! Assim como o coração tem de bombear sangue, os pés devem mover, a pele proteger, transmitir e sentir, em um SGC Compras deve comprar, vendas tem vender, operação deve operar, contabilidade tem que contabilizar. A área de Compliance, como segunda linha de defesa, não pode fazer estas atividades, mas deve orquestrar a sinfônica para que, sob a direção e comprometimento fundamentais da Alta Direção e Conselho de Administração (onde exista), as obrigações/riscos/políticas de compliance sejam inseridos nos processos de negócios.

Isto sim é um sistema, diferente de um programa!!

Confira os próximos capítulos!

Michel Epelbaum – Diretor da Ellux Consultoria

Diretor da Ellux Consultoria. Tem mais de 25 anos de experiência nacional e internacional em gestão de sustentabilidade, qualidade, meio ambiente, saúde ocupacional e segurança, e compliance. É membro dos Comitês Técnicos da ABNT de Gestão Ambiental, Antissuborno, Riscos, Governança, Responsabilidade Social e Energia. É Lead Assessor nas normas ISO 9001, ISO 14001, OHSAS 18001, ISO 45001, ISO 19600 e ISO 37001.

Consulte nossos serviços de Consultoria, Treinamento e Auditoria em Sistemas de Gestão inclusive nas Normas ISO 37301, ISO 19600 – compliance e ISO 37001 – antissuborno, . Além de outras como ISO 9001, ISO 14001, ISO 45001, ISO 26000, NBR 16001 E ISO 50001.

Saiba mais sobre este assunto em nossos posts relacionados: