Certificação ISO 37301: saiba como obter

O que é e para que serve a ISO 37301

A ISO 37301 nada mais é do que uma importante ferramenta para a implementação de um sistema de gestão de compliance efetivo.

Por meio dela, é possível implementar não apenas uma série de políticas e procedimentos, com o objetivo de melhor definir papeis e responsabilidades, como, também, buscar estabelecer uma cultura de compliance permanente.

O sistema de gestão de compliance permite, ainda, compreender as necessidades e expectativas das partes interessadas, além, claro, de possibilitar um acompanhamento mais próximo das obrigações de compliance da organização.

Um sistema de gestão de compliance eficaz, portanto, permite que as organizações demonstrem, por meio de evidências objetivas, seu real comprometimento com os requisitos estabelecidos pela ISO 37301.

Saiba mais em Consultoria GEP ISO 37301 e ISO 37001

Como obter a certificação ISO 37301

Para se obter a certificação ISO 37301, é preciso ter muito mais do que boas políticas. É necessário evidenciar, efetivamente, a existência de uma cultura de compliance e seguir alguns passos básicos. Vamos, então, a eles.

1ª Passo: evidencie o contexto da sua organização

O 1º passo é, justamente, evidenciar o contexto da organização.

O requisito 4 da ISO 37301 é expresso ao afirmar que a organização deve determinar as questões internas e externas que são pertinentes para o seu propósito e que afetam sua capacidade de alcançar os resultados pretendidos do seu sistema de gestão de compliance.

É preciso evidenciar, dentre outras questões, o modelo de negócio, a natureza, o porte e as atividades da organização, a natureza e o escopo dos negócios na relação com terceiras partes, o contexto regulatório e legal, a situação econômica, os contextos ambiental, cultural e social, as estruturas internas, as políticas, os processos, os procedimentos e os recursos, incluindo tecnologia, e, claro, a sua cultura de compliance.

Além disso, é muito importante compreender as necessidades e as expectativas das partes interessadas, definir o escopo do sistema de gestão de compliance e, claro, identificar as principais obrigações de compliance da empresa.

É, justamente, a partir dessa macrovisão, que poderemos bem definir o escopo do nosso sistema de gestão de compliance.

2º Passo: realize a avaliação de riscos de compliance

Esse é um dos principais passos para a certificação da ISO 37301. É que, de fato, a realização da avaliação de riscos de compliance da organização exige um certo grau de maturidade em relação ao tema.

Inicialmente, é preciso realizar entrevistas com as principais lideranças da organização, a fim de identificar os seguintes elementos:

Após esse mapeamento inicial, é imprescindível que a organização estabeleça os principais planos de ação, a fim de evidenciar a mitigação desses riscos.

É que, de fato, a ISO 37301 estabelece que, ao planejar o sistema de gestão de compliance, a organização deve considerar as questões levantadas por meio da análise do contexto da organização, bem como das expectativas e necessidades das partes interessadas, com o objetivo de determinar os riscos e oportunidades que precisam ser considerados para (a) prover garantia de que o sistema de gestão de compliance pode alcançar seus resultados pretendidos, (b) prevenir ou reduzir efeitos indesejados, (c) alcançar a melhoria contínua.

A ideia, acima de tudo, é planejar ações para abordar estes riscos e oportunidades, para integrar e implementar as ações em seus processos do sistema de gestão de compliance e poder avaliar a eficácia dessas ações.

3º Passo: elabore a documentação exigida pela ISO 37301

Uma coisa é certa: não há como fugir da parte documental!

Só que não basta demonstrar a existência de toda a documentação…é preciso evidenciar que as políticas e os procedimentos foram elaborados com base no contexto da organização e na avaliação de riscos de compliance.

Não é demais lembrar, também, de que é preciso demonstrar que tudo o que está escrito nas políticas funciona realmente na prática…e essa é a parte mais difícil!

De qualquer forma, há alguns documentos que são obrigatórios. São eles:

É que para a ISO 37301, um sistema de gestão de compliance bem projetado compreende medidas que fornecem tanto o conteúdo, quanto o efeito para uma cultura de compliance. De um modo em geral, tais medidas tem como principal objetivo reduzir os riscos identificados como parte do processo de avaliação de riscos de compliance.

Neste ponto, vale à pena destacar um dos principais elementos da Operação: um código de conduta que estabeleça, entre outras coisas, o total comprometimento da organização com as obrigações de compliance pertinentes.

É importante, também, que se implemente controles operacionais em situações relacionadas aos processos de negócio onde uma ausência de controles pode levar a desvios da política de compliance ou a uma violação das obrigações de compliance.

Por fim, não se pode esquecer a evidência de que foram realizados treinamentos e de que as pessoas que foram capacitadas absorveram o seu conteúdo.

4º Passo: monitore e avalie a eficácia do seu sistema de gestão de compliance

A avaliação do desempenho do sistema de gestão de compliance pode se dar por meio do monitoramento contínuo, tipicamente, por exemplo, por meio da aferição da eficácia dos treinamentos, controles, tratamento das falhas de compliance identificadas, atualização das obrigações de compliance e análises críticas das estratégias de negócio comparadas com os riscos de compliance.

Uma importante forma de avaliação do desempenho do sistema de gestão de compliance é a retroalimentação, por meio, de questões de compliance, não compliance e preocupações de compliance, questões de compliance emergentes; mudanças organizacionais e regulatórias em andamento; e comentários sobre o desempenho e a eficácia do compliance.

Convém, também que a organização crie indicadores e considere os resultados da avaliação dos riscos de compliance para se assegurar acerca da eficácia do sistema de gestão de compliance.

A ISO 37301 menciona, a título exemplificativo, os seguintes indicadores como pertinentes ao sistema de gestão de compliance: percentual de pessoas efetivamente treinadas; frequência de contato por órgãos reguladores; uso de mecanismos de retroalimentação; questões e não compliance identificados, reportados por tipo, área e frequência; consequências do não compliance, que podem incluir uma avaliação do impacto resultante sobre compensação monetária, multas e outras penalidades, custo da remediação, reputação ou custo do tempo do pessoal; quantidade de tempo gasta para reportar e tomar a ação corretiva.

A melhoria contínua é essencial para medir a eficácia de um sistema de gestão de compliance. É que, de fato, os ambientes interno e externo da organização e os negócios mudam ao longo do tempo, assim como a natureza de seus clientes e as obrigações de compliance aplicáveis.

Por esse motivo, convém que a eficácia e a adequação do sistema de gestão de compliance sejam avaliadas de forma contínua e regular, por meio de vários métodos, por exemplo, análises críticas ou por auditorias internas.

Conclusão: implemente um sistema de gestão de compliance

A implementação de um sistema de gestão de compliance é muito importante para demonstrar que a sua organização adota boas práticas em relação ao tema.

Quer saber como a GEP Compliance, que foi a primeira consultoria do País a conquistar a dupla certificação ISO 37001 e ISO 37301, pode te ajudar? Entre em contato com um de nossos especialistas.