ISO 37301

ISO 37301 – Sistemas de Gestão de Compliance – A Sorte está Lançada!

Design by Freepik

E a “futura” ISO 37301 – Sistemas de Gestão de Compliance – Requisitos com Orientação para Uso, já é quase “presente”!!  

O prazo para votação do último documento antes de sua aprovação, o FDIS (final draft international standard) iniciou-se em 01 de janeiro, e se encerra em 26 de fevereiro, a partir do qual espera-se a sua aprovação, para publicação no final do primeiro trimestre, ou início do segundo trimestre de 2021.

As eventuais sugestões de mudanças propostas para a aprovação do texto do FDIS são de caráter menos técnico, e mais editoriais. O seu conteúdo está quase que 100% sacramentado.

SUBSTITUIÇÃO DA ISO 19600

A ISO 37301, elaborada pelo Comitê Técnico 309 da ISO (Governança das Organizações, responsável por normas importantes como a ISO 19600, a ISO 37001 e as futuras normas de governança e “whistleblowing”), é uma norma certificável para sistemas de gestão de compliance, com esquemas governamentais dos países, similar à ISO 9001 e a ISO 37001. Ela deve substituir a ISO 19600 em termos de demanda de certificação de sistemas de gestão de Compliance, mas há até mesmo uma discussão sobre o cancelamento da ISO 19600 (cuja decisão deve ser votada até 3 de março) quando da publicação da ISO 37301.

MUDANÇAS MAIS IMPORTANTES NO TEXTO FDIS

Listo algumas das mudanças mais importantes do documento FDIS feitas frente à versão anterior DIS (Draft International Standard). Vale comentar que quanto mais o processo de normalização avança, menores as mudanças e menos importantes elas serão. As mudanças relacionadas a seguir tem menor impacto do que as que foram feitas para se chegar à versão DIS.

ISO 37301 PDCA

FONTE: ISO/FDIS 37301

  • Como comentado em artigo anterior, a figura geral constante da introdução do documento DIS anterior foi modificada para a apresentada na sequência, corrigindo-se inconsistências com o PDCA adotado usualmente pelas normas de sistemas de gestão da ISO. Ainda assim, ela se apresenta de maneira diferenciada de normas como a ISO 9001 e a ISO 14001, chamando a atenção para os objetivos, princípios, cultura, contexto e governança necessários a uma boa gestão de compliance.
  • A introdução do documento FDIS inclui agora uma lista de exemplos de benefícios da gestão de Compliance:

— melhoria das oportunidades e sustentabilidade dos negócios;

— proteção e melhoria da reputação e credibilidade da organização;

— levar em consideração as expectativas das partes interessadas;

— demonstração do compromisso da organização em gerenciar efetiva e eficazmente seus riscos de compliance;

— aumento da confiança de terceiras partes na capacidade da organização de alcançar sucesso sustentado;

— minimização dos riscos de ocorrência de contravenção e seus esperados custos e danos reputacionais;

  • Inclusão de requisito no item 4.2 (Entendendo as necessidades e expectativas de partes interessadas): “— quais desses requisitos serão endereçados por meio do sistema de gestão de compliance”, requisito este que encontra similares em outras normas de sistemas de gestão como a ISO 14001;
  • Os itens Obrigações de compliance (6.3) e Avaliação de riscos de compliance (6.4) foram deslocados para o capítulo 4 (Contexto da organização), tornando-se os itens 4.5 e 4.6 (como na ISO 19600, norma de base para a elaboração da ISO 37301). Além disto, foi transferido do item 8.1 (Planejamento e controle operacionais) para o item 4.6 (Avaliação de riscos de Compliance) o requisito: “A organização deve avaliar os riscos de compliance relacionados a processos terceirizados e de terceira parte. Tal requisito foi explicitado em outros elementos da ISO 37301, reforçando a necessidade de se gerenciar os riscos e controles sobre prestadores de serviço terceiros e terceirização do processo fim da empresa.
  • Ocorreram algumas mudanças no elemento 5 (Liderança), e responsabilidades –:
    • item 5.1.1 (Liderança e comprometimento – Órgão Diretivo e Alta Direção) – acrescentado que o órgão diretivo e a alta direção devem: “— Assegurar que o Sistema para levantar e tratar preocupações é estabelecido (de acordo com o item 8.3)”;
    • item 5.2 (Política de compliance):acrescentado que a política deve: “— fazer referência e descrever a função compliance”;
    • item 5.3.1 (Papéis, responsabilidades e autoridades – Órgão diretivo e alta direção) – eliminado requisito da Alta Direção de atribuir responsabilidade para relatar sobre o sistema de gestão de compliance ao órgão diretivo e ela mesmo”;
    • item 5.3.2 (Papéis, responsabilidades e autoridades – Função compliance) com melhor redação, inclusões, alteração de responsabilidades exclusivas desta função para outras funções na empresa com supervisão da função compliance):
    • inclusão — alinhamento do sistema de gestão de compliance com os objetivos de compliance;
    • mudança: “a função compliance deve exercer supervisão de modo que:
      • as obrigações de compliance sejam integradas nas políticas, processos e procedimentos” (no DIS parte desta atividade era de responsabilidade exclusiva da função compliance);
      • indicadores de desempenho em compliance sejam estabelecidos” (no DIS esta atividade era de responsabilidade exclusiva da função compliance);
    • item 5.3.3 (Gerência) com uma mudança sutil, que foi feita em alguns pontos da norma, para contemplar não somente os funcionários, mas também pessoal atuando em nome da organização ou sob seu controle, como terceiros e processos terceirizados (como supracitado):
      • “A gerência deve ser responsável pelo compliance dentro de suas áreas de responsabilidade através de:
        • Assegurar-se que todo o pessoal dentro de seu controle está em conformidade com as obrigações, políticas, processos e procedimentos de compliance (antes referia-se somente ao pessoal da organização)”;
  • Um novo item e requisito foi acrescentado, 6.3 (Planejamento de mudanças), reforçando esta disciplina dentro do sistema de gestão: “Quando a organização determina a necessidade de mudanças no sistema de gestão de compliance, as mudanças devem ser executadas de uma maneira planejada”. No item 8.1 (Planejamento e Controle Operacionais) já existia (e foi mantido) requisito sobre gestão de mudanças;
  • No item 7.3 (Conscientização), foi adicionado que as pessoas fazendo trabalhos sob o controle da organização devem estar cientes também da relação da política de compliance e as obrigações decompliance pertinentes ao seu papel, avançando em um tópico não abordado explicitamente em outras normas de sistemas de gestão;
  • No item 8.1 (Planejamento e Controle Operacionais), foi melhor redigido e ampliado o requisito relativo a controle de processos terceirizados nesta versão da norma, definindo que “A organização deve assegurar que os processos, produtos e serviços providos externamente que são pertinentes ao sistema de gestão de compliance sejam controlados.” (na versão DIS o requisito se limitava a processos terceirizados, e não fazia referência à sua pertinência);
  • No item 9.3 (Análise crítica pela direção) os requisitos foram separados em 3 subitens criados:
    • o item 9.3.1 (Geral), sem mudanças do texto em relação ao documento anterior;
    • o item 9.3.2 (Entradas da análise crítica pela direção), onde foram acrescentadas:
      • a necessidade de consideração de “mudanças nas necessidades e expectativas das partes interessadas pertinentes ao sistema de gestão de compliance”;
      • a consideração, na análise, da “independência da função compliance”;
    • o item 9.3.3 (Management review results), sem mudanças do texto em relação ao documento anterior.

OUTRAS MUDANÇAS MENORES NO TEXTO FRENTE À VERSÃO DIS

Outras alterações menos significativas foram feitas desde a versão DIS, como:

  • pequenos ajustes em definições;
  • ajustes nos textos dos requisitos de informação documentada em grande partes dos itens da norma;
  • complementos no item 7.2.2 (Processo de emprego), como considerar os riscos de compliance representados também pelos papéis (além do pessoal), e aplicar procedimentos de due diligence também previamente a transferências de pessoal;
  • no item 7.4 (Comunicação), explicitou-se que a organização deve se assegurar também de que o seu processo de comunicação permita que o pessoal levante preocupações (assunto que já era e continua sendo explicitado no item 8.3);
  • o primeiro parágrafo do item 8.4 (Processo de Investigação) foi reescrito para melhor entendimento;
  • no item 9.2 (auditoria interna) foram criados os subitens 9.2.1 (Geral) e 9.2.2 (Programa de auditoria interna), com pequenas mudanças de texto (como “a organização deve definir o objetivo de auditoria”, e deve “assegurar que os resultados da auditoria sejam reportados para os gerentes”);
  • houve uma inversão dos itens 10.1 e 10.2, ficando na versão FDIS: 10.1 (Melhoria contínua) e 10.2 (Não conformidade e ação corretiva). Neste último item, foi reforçado que as etapas e ações para tratamento de não conformidades ou não compliances podem também envolver ambos.

CONCLUSÃO

A demanda pela gestão de compliance é premente, como demonstram os diversos casos noticiados cotidianamente de corrupção, acidente ambiental, assédio, vazamento de dados, lavagem de dinheiro, uso de informação privilegiada, conflito de interesses, dentre outros.

A norma ISO 19600 já vinha sendo adotada como modelo para algumas organizações brasileiras, públicas e privadas. Outras usaram o modelo do programa de integridade da legislação anticorrupção. Outro grupo de organizações expandiram a ISO 37001 para os demais assuntos de compliance. Multinacionais implementaram os requisitos de compliance de suas matrizes.

Com a publicação iminente da ISO 37301, as organizações podem dispor de um modelo reconhecido internacionalmente para o seu sistema de gestão de compliance. E avançar na redução de riscos e melhoria de sua reputação neste assunto tão crítico para a sustentabilidade das organizações.

Vamos acompanhar!

Michel Epelbaum – Diretor da Ellux Consultoria

Diretor da Ellux Consultoria. Tem mais de 25 anos de experiência nacional e internacional em gestão de sustentabilidade, qualidade, meio ambiente, saúde ocupacional e segurança, e compliance.  É membro dos Comitês Técnicos da ABNT de Gestão Ambiental, Antissuborno, Riscos, Governança, Responsabilidade Social e Energia. É Lead Assessor nas normas ISO 9001, ISO 14001, OHSAS 18001, ISO 45001, ISO 19600 e ISO 37001.

Consulte nossos serviços de ConsultoriaTreinamento e Auditoria em Sistemas de Gestão inclusive nas Normas ISO 37301, ISO 19600 – compliance e ISO 37001 – antissuborno, . Além de outras como ISO 9001, ISO 14001, ISO 45001, ISO 26000, NBR 16001 E ISO 50001.

Saiba mais sobre este assunto em nossos posts relacionados:

Live de Lançamento da Norma ABNT NBR ISSO 37301: Sistema de Gestão de Compliance

Competências em Definição para Auditores de Certificação da ISO 37301 (Sistema de Gestão de Compliance)

ISO 37301 – Sistemas de Gestão de Compliance – A Sorte está Lançada!

Avanços Normativos da ISO 37301 e outras Normas do ISO TC 309 (Governança e Compliance)

ISO 37301 – Planejamento do SGC – O Coração da Norma -Parte 4

ISO 37301 – SGC – Parte 3 – A Liderança tão necessária

ISO 37301 – SGC – Parte 2 – Contexto

Estrutura ISO 37301 – Sistemas de Gestão de Compliance – Parte 1

Treinamento e Conscientização ISO 37001 X Programa de Integridade

Certificações ISO 37001: Estatísticas Mundiais e do Brasil

ISO 37001 x Programa de Integridade

Gostou? Compartilhe este post!

Leave Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Ellux Consultoria - há 25 anos trazendo soluções em Gestão da Sustentabilidade, Qualidade e Riscos.

Oferecemos auditorias, consultoria, treinamentos e gamificações em Sistemas de Gestão com base nas Normas ISO 14001, ISO 9001, ISO 45001, ISO 37001, ISO 37301, ISO 26000, NBR 16001, SA 8000, ISO 50001, ISO 31000, DSC 10000 e outros modelos.