Certificação ISO 37301 e ISO 37001: descubra como se preparar

Da preparação à certificação: o caminho até a ISO 37301 e ISO 37001

Para a sua empresa conseguir as certificações ISO 37301 e ISO 37001, há um caminho a ser percorrido e alguns conceitos a serem estabelecidos.

Em primeiro lugar, é preciso diferenciar o papel que a consultoria e a auditoria possuem nessa jornada.

Leia mais: Consultoria em Compliance: entenda o que é e porque contratar

A consultoria tem como principal papel o de apoiar a sua empresa na implementação dos requisitos e controles exigidos pela ISO 37301 e ISO 37001.

É ela que guiará, de maneira estruturada, as ações necessárias para a conformidade da sua organização com os requisitos normativos, cabendo à consultoria orientar, capacitar, treinar os colaboradores e acompanhar a empresa no momento da certificação.

A auditoria, por sua vez, será responsável por verificar se os requisitos estabelecidos pela ISO 37301 e ISO 37001 estão, de fato, implementados na sua empresa.

A consultoria participa, ativamente, desde o início do projeto de certificação. A auditoria, de outro modo, tem uma atuação mais incisiva na última fase da jornada.

Este, portanto, é um caminho seguro que a sua empresa deve seguir até a obtenção das certificações ISO 37301 e ISO 37001:

1ª fase: pré-auditoria ou gap analysis dos requisitos da ISO 37301 e ISO 37001

O 1º passo para se buscar a certificação da ISO 37301 e ISO 37001 é, justamente, o de realizar uma pré-auditoria ou um gap analysis dos principais requisitos estabelecidos pelas normas.

E a razão é simples: não há como se certificar uma organização sem que ela, minimamente, esteja adequada às principais exigências de um sistema de gestão integrada de compliance e antissuborno.

Por meio dela, a consultoria ou a própria auditoria realizará uma análise prévia do sistema de gestão integrada da sua empresa, a fim de identificar possíveis falhas que impedirão a sua futura certificação.

A pré-auditoria ou o gap analysis, muito embora, sejam considerados opcionais para algumas organizações, é extremamente recomendado, em especial, para aquelas empresas que já possuem algumas ações implementadas.

Na GEP compliance, sempre recomendamos a realização dessa fase, basicamente, por três de motivos:

Nessa primeira fase, portanto, buscamos:

• entender o contexto da organização e as principais questões internas e externas que podem afetar o objetivo do projeto;
• conhecer as principais obrigações de compliance;
• entender o nível de maturidade da organização em relação ao tema;
• Avaliar o status do Sistema de Gestão Integrada (SGI) de Compliance (ISO 37301) e Antissuborno (ISO 37001).

2ª fase: implementação dos requisitos da ISO 37301 e ISO 37001

A 2ª fase do processo de certificação passa, obrigatoriamente, pela implementação dos requisitos estabelecidos pela ISO 37301 e ISO 37001.

Nessa etapa, a consultoria, com base no que foi levantada na fase de gap analysis, apoia a organização a cumprir com as exigências de um sistema de gestão integrada de compliance e antissuborno.

E aqui fica um alerta: há sete grandes grupos de requisitos a serem cumpridos, estando assim divididos:

1º Pilar: Contexto da organização

Antes de mais nada, é preciso entender o contexto da organização. O requisito 4 da ISO 37301 e da ISO 37001 define, respectivamente, que a organização deve determinar as questões internas e externas que são pertinentes para o seu propósito e que afetam sua capacidade de alcançar os resultados pretendidos do seu sistema de gestão de compliance, bem como os objetivos do seu sistema de gestão antissuborno.

Dentre outras questões, é preciso avaliar o modelo de negócio, a natureza, o porte e a escala da complexidade e sustentabilidade das operações e atividades da organização, a natureza e o escopo dos negócios na relação com terceiras partes, o contexto regulatório e legal, a situação econômica, os contextos ambiental, cultural e social, as estruturas internas, as políticas, os processos, os procedimentos e os recursos, incluindo tecnologia, e, claro, a sua cultura de compliance.

Do mesmo modo, é necessário compreender as necessidades e as expectativas das partes interessadas e definir o escopo do sistema de gestão de compliance. Lembre-se de que a ISO 37301 exige, ainda, que se defina as obrigações de compliance, devendo, inclusive, estar disponibilizada como informação documentada.

E aqui é importante destacar: a organização deve, sistematicamente, identificar as suas obrigações de compliance resultantes das suas atividades, produtos e serviços, e avaliar os seus impactos nas suas operações, devendo ter processos estabelecidos para

Nessa fase, portanto, você pode definir quais serão as pessoas diretamente envolvidas com o projeto, levantar as principais preocupações da organização em relação ao tema e promover palestras de sensibilização na sua empresa.

2º Pilar: Liderança

Este é um dos principais pilares de um sistema de gestão de compliance. A ISO 37301, inclusive, estabeleceu que o Órgão Diretivo e a Alta Direção devem demonstrar liderança e comprometimento em relação ao sistema de gestão de compliance, para, por exemplo,

É preciso, portanto, ir muito além do “tone at the top”. O comprometimento da Alta Direção e do Órgão Diretivo passa, necessariamente, pelo “Walk the talk”, ou seja, pelo apoio permanente e pela demonstração efetiva de sua liderança por meio de atitudes concretas.

3º Pilar: Planejamento

A ISO 37301 estabelece que, ao planejar o sistema de gestão de compliance, a organização deve considerar as questões levantadas por meio da análise do contexto da organização, bem como das expectativas e necessidades das partes interessadas, com o objetivo de determinar os riscos e oportunidades que precisam ser considerados para (a) prover garantia de que o sistema de gestão de compliance pode alcançar seus resultados pretendidos, (b) prevenir ou reduzir efeitos indesejados, (c) alcançar a melhoria contínua.

A ideia, acima de tudo, é planejar ações para abordar estes riscos e oportunidades, para integrar e implementar as ações em seus processos do sistema de gestão de compliance e poder avaliar a eficácia dessas ações.

Este passo vai exigir da organização um pouco mais de tempo, esforço e conhecimento técnico, em razão da necessidade de se buscar as principais fontes de riscos de compliance e de suborno dentro da sua empresa.

A avaliação de riscos de compliance e de suborno envolve as etapas de identificação, análise, avaliação, tratamento e comunicação dos riscos, por meio da análise de documentos e realização de entrevistas pessoais com os pontos focais da organização.

Cabe lembrar, da mesma forma, que a organização deve reter informação documentada que demonstre que o “processo de avaliação de riscos de compliance tem sido realizado e usado para conceber ou melhorar o sistema integrado de gestão”.

4º Pilar: Apoio

Não há como se implementar os requisitos estabelecidos na ISO 37301, sem que a organização proveja os recursos necessários para o estabelecimento, a implementação, a manutenção e a melhoria contínua do sistema de gestão de compliance.

Inicialmente, é muito importante que a organização determine para seus colaboradores a experiência e o conhecimento necessários para cumprir as suas atribuições, a fim de que se possa prover seus produtos e serviços ao cliente.

Em outras palavras, é necessário que a organização exija de seus colaboradores a capacidade de aplicar conhecimentos e a habilidade para alcançar resultados pretendidos, especialmente, em relação às suas obrigações de compliance.

A organização, do mesmo modo, precisa treinar e capacitar o Órgão Diretivo, a Alta Direção, bem como os colaboradores que têm obrigações de compliance, a fim de assegurar que as pessoas são competentes para cumprir os seus papéis de forma consistente com a cultura de compliance da organização e com o seu comprometimento com o compliance.

O apoio da organização passa, também, pela conscientização e comunicação, interna e externa, acerca das políticas de compliance e documentos relacionados ao sistema de gestão de compliance.

Por fim, e não menos importante, torna-se essencial elaborar a informação documentada acerca do sistema de gestão de compliance, que pode incluir, por exemplo, os procedimentos e as políticas de compliance da organização, os objetivos, as metas, a estrutura e o conteúdo do sistema de gestão de compliance, registros das obrigações de compliance pertinentes e registros de não compliance e investigações correlatas

5º Pilar: Operação

Para a ISO 37301, um sistema de gestão de compliance bem projetado compreende medidas que fornecem tanto o conteúdo, quanto o efeito para uma cultura de compliance. De um modo em geral, tais medidas tem como principal objetivo reduzir os riscos identificados como parte do processo de avaliação de riscos de compliance.

Neste ponto, vale à pena destacar um dos principais elementos da Operação: um código de conduta que estabeleça, entre outras coisas, o total comprometimento da organização com as obrigações de compliance pertinentes.

É importante, também, que se implemente controles operacionais em situações relacionadas aos processos de negócio onde uma ausência de controles pode levar a desvios da política de compliance ou a uma violação das obrigações de compliance.

Lembramos, ainda, de que o grau de controle pode variar dependendo de vários fatores, como a importância ou complexidade das funções desempenhadas, as consequências potenciais de não compliance ou o apoio técnico envolvido ou disponível.

Controles eficazes são necessários, porntato, para assegurar que as obrigações de compliance da organização sejam atendidas, e que os não compliances sejam prevenidos, detectados e corrigidos.

Dentre outros controles, a ISO 37301 menciona, por exemplo, políticas operacionais, processos, procedimentos e instruções de trabalho documentados claros, práticos e fáceis de serem adotados; sistemas e relatórios de exceções; aprovações; segregação de responsabilidades e papéis incompatíveis; comunicação frequente, ativa e aberta sobre o comportamento esperado do pessoal (normas e valores, códigos de conduta).

6º Pilar: Avaliação do desempenho

A avaliação do desempenho do sistema de gestão de compliance pode se dar por meio do monitoramento contínuo, tipicamente, por exemplo, por meio da aferição da eficácia dos treinamentos, controles, tratamento das falhas de compliance identificadas, atualização das obrigações de compliance e análises críticas das estratégias de negócio comparadas com os riscos de compliance.

Uma importante forma de avaliação do desempenho do sistema de gestão de compliance é a retroalimentação, por meio, de questões de compliance, não compliance e preocupações de compliance, questões de compliance emergentes; mudanças organizacionais e regulatórias em andamento; e comentários sobre o desempenho e a eficácia do compliance.

Convém, também que a organização crie indicadores e considere os resultados da avaliação dos riscos de compliance para se assegurar acerca da eficácia do sistema de gestão de compliance.

A ISO 37301 menciona, a título exemplificativo, os seguintes indicadores como pertinentes ao sistema de gestão de compliance: percentual de pessoas efetivamente treinadas; frequência de contato por órgãos reguladores; uso de mecanismos de retroalimentação; questões e não compliance identificados, reportados por tipo, área e frequência; consequências do não compliance, que podem incluir uma avaliação do impacto resultante sobre compensação monetária, multas e outras penalidades, custo da remediação, reputação ou custo do tempo do pessoal; quantidade de tempo gasta para reportar e tomar a ação corretiva.

7º Pilar: Melhoria Contínua

A melhoria contínua é essencial para medir a eficácia de um sistema de gestão de compliance. É que, de fato, os ambientes interno e externo da organização e os negócios mudam ao longo do tempo, assim como a natureza de seus clientes e as obrigações de compliance aplicáveis.

Por esse motivo, convém que a eficácia e a adequação do sistema de gestão de compliance sejam avaliadas de forma contínua e regular, por meio de vários métodos, por exemplo, análises críticas ou por auditorias internas.

3ª fase: auditoria dos requisitos da ISO 37301 e ISO 37001

A 3ª fase é destina à verificação do cumprimento dos requisitos da ISO 37301 e ISO 37001 e é realizada, exclusivamente, por uma auditoria de 3ª parte acreditada.

Lembre-se de que segundo a ISO 19011, que trata sobre diretrizes para auditoria de sistemas de gestão, há diferentes tipos de auditorias:

Nunca é demais lembrar, também, que há poucas auditorias acreditadas pelo INMETRO, para certificar as organizações em relação ao sistema de gestão antissuborno.

Auditoria Fase 1

A Auditoria fase 1 é parte da auditoria inicial de certificação e é conduzida, basicamente, para:

• auditar a informação documentada do sistema de gestão integrada
• avaliar as condições específicas da organização
• analisar a compreensão da empresa em relação aos requisitos das normas,
• identificar os aspectos-chave de desempenho, processos, objetivos e operação do Sistema de Gestão;
• obter informações necessárias em relação ao escopo do Sistema de Gestão
• analisar a alocação de recursos e planejamento para a auditoria fase 2
• avaliar se as auditorias internas e as análises críticas pela Direção estão sendo planejadas e realizadas

Essa fase, portanto, nada mais é do que uma etapa de análise documental.

Ah, e fique calmo! Em regra, não existe “reprovação” da Auditoria Fase 1, cabendo à empresa implantar as recomendações de melhoria ou de não-conformidade, em um determinado período de tempo.

Auditoria Fase 2

A Auditoria fase 2 é parte da auditoria inicial de certificação, sendo realizada no local da empresa para avaliar a implementação e eficácia do sistema de gestão da organização, por meio de:

• entrevistas de colaboradores da organização.
• Informações adicionais e evidências sobre a conformidade com todos os requisitos da norma aplicável do Sistema de Gestão;
• monitoramento, medições, comunicação e análise de desempenho em relação aos principais objetivos e metas de desempenho;

Auditoria de Recertificação

A auditoria de recertificação ocorre com o propósito de renovar um novo ciclo de certificação em continuidade de uma certificação já válida.

A auditoria de recertificação é realizada para avaliar a continuidade, evolução e eficácia do Sistema de Gestão, por meio de:

• informações e evidências sobre a conformidade com todos os requisitos do Sistema de Gestão;
• monitoramento, medições, comunicação e análise de desempenho em relação aos principais objetivos e metas de desempenho;
• eficácia de todo o Sistema de Gestão, considerando mudanças internas ou externas
• comprometimento demonstrado para manter a eficácia e melhoria do Sistema de Gestão

Ao final, a auditoria poderá recomendar a recertificação ou a indicação de não-conformidades, oportunidades de melhoria e comentários sobre o Sistema de Gestão.

Auditorias “extras” ou de “follow-up”

Resumidamente, as auditorias “extras” ou de “follow-up” consistem em auditorias realizadas para verificar a correção e a implantação das medidas corretivas e a continuidade da conformidade do Sistema de Gestão.

Conclusão: conte com o apoio de especialistas para a obtenção da ISO 37301 e ISO 37001

Como se viu, a implementação de um sistema de gestão integrada de compliance e antissuborno requer uma série de medidas, por parte da sua empresa. Por isso, busque o apoio de especialistas, que, de fato, agreguem na jornada de certificação da ISO 37301 e ISO 37001.

E nunca se esqueça: integridade sempre gera valor!