ISO 37301: conheça mais sobre o sistema de gestão de compliance

A ISO 37301 e o novo sistema de gestão de compliance    

Antes de falarmos propriamente sobre a ISO 37301, é preciso esclarecer que um sistema de gestão nada mais é do que um conjunto de elementos inter-relacionados ou interativos de uma organização (estrutura, papéis e responsabilidades, planejamento e operação), para estabelecer políticas, objetivos e processos para alcançar esses objetivos.

Segundo a ISO 37301, organizações que almejam ser bem-sucedidas a longo prazo precisam estabelecer e manter uma cultura de compliance, considerando as necessidades e expectativas das partes interessadas. O compliance não é, portanto, apenas a base, mas também uma oportunidade para uma organização bem-sucedida e sustentável.

Sob essa ótica, a ISO 37301 afirma que o compliance é um processo contínuo e o resultado de uma organização que cumpre suas obrigações. O compliance se torna sustentável ao ser incorporado na cultura da organização, e no comportamento e na atitude das pessoas que trabalham para ela. Enquanto mantém sua independência, é preferível que a gestão de compliance seja integrada com os outros processos de gestão da organização e os seus requisitos e procedimentos operacionais.

Um sistema de gestão de compliance eficaz, portanto, permite que as organizações demonstrem, por meio de evidências objetivas, seu real comprometimento em não apenas dar cumprimento às leis pertinentes, como também, às normas organizacionais, aos princípios da governança corporativa, assim como com melhores práticas de mercado.

Em outras palavras, a integridade e o compliance são, portanto, elementos chave de uma gestão boa e diligente, contribuindo, também, para o comportamento socialmente responsável das organizações.

Leia mais: ISO 37301 e ISO 37001: sistema integrado de gestão de compliance e antissuborno

Elementos de um sistema de gestão de compliance segundo a ISO 37301

A ISO 37301 trouxe em seu corpo uma série de termos e definições para se ter um sistema de gestão de compliance efetivo dentro das organizações. Dentre eles, a ISO 37301 enumerou os seguintes elementos essenciais:

Além disso, a ISO 37301 busca destacar a importância da Liderança, da Governança e da Cultura como elementos-chaves de um sistema de gestão de compliance. E mais: a norma definiu, ainda, objetivos, princípios e o entendimento do contexto da organização como requisitos importantíssimos para a eficácia do sistema de gestão de compliance.

Como se percebe, a ISO 37301 lançou um olhar que não se restringe apenas à implementação de requisitos, incorporando, verdadeiramente, as melhores práticas de uma boa governança.

Termos e Definições da ISO 37301 

A ISO 37301 nos apresenta uma série de termos e definições, que são essenciais para o sistema de gestão de compliance. Dentre outros, destacamos estes:

Como se vê, há uma grande preocupação por parte da ISO 37301 em que as organizações observem não apenas as suas obrigações de compliance, mas, principalmente, os riscos do não compliance.

E mais: passa-se a valorizar a cultura de compliance, com o objetivo de promover uma verdadeira transformação organizacional permanente e contínua, por meio da implementação de estruturas de governança e de sistemas de controles eficazes.

Leia mais: Entenda o que é compliance empresarial e como implementar na prática

Requisitos da ISO 37301

A ISO 37301 nos fornece os requisitos e diretrizes para estabelecer, desenvolver, implementar, avaliar, manter, e melhorar um sistema de gestão de compliance eficaz dentro de uma organização. Eles encontram-se assim divididos:

1º Requisito: Contexto da organização

Antes de mais nada, é preciso entender o contexto da organização. O requisito 4 da ISO 37301 e da ISO 37001 define, respectivamente, que a organização deve determinar as questões internas e externas que são pertinentes para o seu propósito e que afetam sua capacidade de alcançar os resultados pretendidos do seu sistema de gestão de compliance, bem como os objetivos do seu sistema de gestão antissuborno.

Dentre outras questões, é preciso avaliar o modelo de negócio, a natureza, o porte e a escala da complexidade e sustentabilidade das operações e atividades da organização, a natureza e o escopo dos negócios na relação com terceiras partes, o contexto regulatório e legal, a situação econômica, os contextos ambiental, cultural e social, as estruturas internas, as políticas, os processos, os procedimentos e os recursos, incluindo tecnologia, e, claro, a sua cultura de compliance.

Do mesmo modo, é necessário compreender as necessidades e as expectativas das partes interessadas e definir o escopo do sistema de gestão de compliance. Lembre-se de que a ISO 37301 exige, ainda, que se defina as obrigações de compliance, devendo, inclusive, estar disponibilizada como informação documentada.

E aqui é importante destacar: a organização deve, sistematicamente, identificar as suas obrigações de compliance resultantes das suas atividades, produtos e serviços, e avaliar os seus impactos nas suas operações, devendo ter processos estabelecidos para

Nessa fase, portanto, você pode definir quais serão as pessoas diretamente envolvidas com o projeto, levantar as principais preocupações da organização em relação ao tema e promover palestras de sensibilização na sua empresa.

2º Requisito: Liderança

Este é um dos principais pilares de um sistema de gestão de compliance. A ISO 37301, inclusive, estabeleceu que o Órgão Diretivo e a Alta Direção devem demonstrar liderança e comprometimento em relação ao sistema de gestão de compliance, para, por exemplo,

É preciso, portanto, ir muito além do “tone at the top”. O comprometimento da Alta Direção e do Órgão Diretivo passa, necessariamente, pelo “Walk the talk”, ou seja, pelo apoio permanente e pela demonstração efetiva de sua liderança por meio de atitudes concretas.

3º Requisito: Planejamento

A ISO 37301 estabelece que, ao planejar o sistema de gestão de compliance, a organização deve considerar as questões levantadas por meio da análise do contexto da organização, bem como das expectativas e necessidades das partes interessadas, com o objetivo de determinar os riscos e oportunidades que precisam ser considerados para (a) prover garantia de que o sistema de gestão de compliance pode alcançar seus resultados pretendidos, (b) prevenir ou reduzir efeitos indesejados, (c) alcançar a melhoria contínua.

A ideia, acima de tudo, é planejar ações para abordar estes riscos e oportunidades, para integrar e implementar as ações em seus processos do sistema de gestão de compliance e poder avaliar a eficácia dessas ações.

Este passo vai exigir da organização um pouco mais de tempo, esforço e conhecimento técnico, em razão da necessidade de se buscar as principais fontes de riscos de compliance e de suborno dentro da sua empresa.

A avaliação de riscos de compliance e de suborno envolve as etapas de identificação, análise, avaliação, tratamento e comunicação dos riscos, por meio da análise de documentos e realização de entrevistas pessoais com os pontos focais da organização.

Cabe lembrar, da mesma forma, que a organização deve reter informação documentada que demonstre que o “processo de avaliação de riscos de compliance tem sido realizado e usado para conceber ou melhorar o sistema integrado de gestão”.

4º Requisito: Apoio

Não há como se implementar os requisitos estabelecidos na ISO 37301, sem que a organização proveja os recursos necessários para o estabelecimento, a implementação, a manutenção e a melhoria contínua do sistema de gestão de compliance.

Inicialmente, é muito importante que a organização determine para seus colaboradores a experiência e o conhecimento necessários para cumprir as suas atribuições, a fim de que se possa prover seus produtos e serviços ao cliente.

Em outras palavras, é necessário que a organização exija de seus colaboradores a capacidade de aplicar conhecimentos e a habilidade para alcançar resultados pretendidos, especialmente, em relação às suas obrigações de compliance.

A organização, do mesmo modo, precisa treinar e capacitar o Órgão Diretivo, a Alta Direção, bem como os colaboradores que têm obrigações de compliance, a fim de assegurar que as pessoas são competentes para cumprir os seus papéis de forma consistente com a cultura de compliance da organização e com o seu comprometimento com o compliance.

O apoio da organização passa, também, pela conscientização e comunicação, interna e externa, acerca das políticas de compliance e documentos relacionados ao sistema de gestão de compliance.

Por fim, e não menos importante, torna-se essencial elaborar a informação documentada acerca do sistema de gestão de compliance, que pode incluir, por exemplo, os procedimentos e as políticas de compliance da organização, os objetivos, as metas, a estrutura e o conteúdo do sistema de gestão de compliance, registros das obrigações de compliance pertinentes e registros de não compliance e investigações correlatas

5º Requisito: Operação

Para a ISO 37301, um sistema de gestão de compliance bem projetado compreende medidas que fornecem tanto o conteúdo, quanto o efeito para uma cultura de compliance. De um modo em geral, tais medidas tem como principal objetivo reduzir os riscos identificados como parte do processo de avaliação de riscos de compliance.

Neste ponto, vale à pena destacar um dos principais elementos da Operação: um código de conduta que estabeleça, entre outras coisas, o total comprometimento da organização com as obrigações de compliance pertinentes.

É importante, também, que se implemente controles operacionais em situações relacionadas aos processos de negócio onde uma ausência de controles pode levar a desvios da política de compliance ou a uma violação das obrigações de compliance.

Lembramos, ainda, de que o grau de controle pode variar dependendo de vários fatores, como a importância ou complexidade das funções desempenhadas, as consequências potenciais de não compliance ou o apoio técnico envolvido ou disponível.

Controles eficazes são necessários, porntato, para assegurar que as obrigações de compliance da organização sejam atendidas, e que os não compliances sejam prevenidos, detectados e corrigidos.

Dentre outros controles, a ISO 37301 menciona, por exemplo, políticas operacionais, processos, procedimentos e instruções de trabalho documentados claros, práticos e fáceis de serem adotados; sistemas e relatórios de exceções; aprovações; segregação de responsabilidades e papéis incompatíveis; comunicação frequente, ativa e aberta sobre o comportamento esperado do pessoal (normas e valores, códigos de conduta).

6º Requisito: Avaliação do desempenho

A avaliação do desempenho do sistema de gestão de compliance pode se dar por meio do monitoramento contínuo, tipicamente, por exemplo, por meio da aferição da eficácia dos treinamentos, controles, tratamento das falhas de compliance identificadas, atualização das obrigações de compliance e análises críticas das estratégias de negócio comparadas com os riscos de compliance.

Uma importante forma de avaliação do desempenho do sistema de gestão de compliance é a retroalimentação, por meio, de questões de compliance, não compliance e preocupações de compliance, questões de compliance emergentes; mudanças organizacionais e regulatórias em andamento; e comentários sobre o desempenho e a eficácia do compliance.

Convém, também que a organização crie indicadores e considere os resultados da avaliação dos riscos de compliance para se assegurar acerca da eficácia do sistema de gestão de compliance.

A ISO 37301 menciona, a título exemplificativo, os seguintes indicadores como pertinentes ao sistema de gestão de compliance: percentual de pessoas efetivamente treinadas; frequência de contato por órgãos reguladores; uso de mecanismos de retroalimentação; questões e não compliance identificados, reportados por tipo, área e frequência; consequências do não compliance, que podem incluir uma avaliação do impacto resultante sobre compensação monetária, multas e outras penalidades, custo da remediação, reputação ou custo do tempo do pessoal; quantidade de tempo gasta para reportar e tomar a ação corretiva.

7º Requisito: Melhoria Contínua

A melhoria contínua é essencial para medir a eficácia de um sistema de gestão de compliance. É que, de fato, os ambientes interno e externo da organização e os negócios mudam ao longo do tempo, assim como a natureza de seus clientes e as obrigações de compliance aplicáveis.

Por esse motivo, convém que a eficácia e a adequação do sistema de gestão de compliance sejam avaliadas de forma contínua e regular, por meio de vários métodos, por exemplo, análises críticas ou por auditorias internas.

Conclusão: implemente um sistema de gestão de compliance

A implementação de um sistema de gestão de compliance é muito importante para demonstrar que a sua organização adota boas práticas em relação ao tema. É, justamente, por meio dele que os requisitos da ISO 37301 são colocados em prática, facilitando-se, assim, a transformação da cultura organizacional.