Denominada Sistema de Gestão de Compliance, a ISO 37301 reúne princípios para a empresa estabelecer um bom programa de compliance, que a abranja como um todo, previna contra os mais diversos tipos de riscos, seja desenvolvido para o longo prazo e atenda a todas as partes interessadas.
Além da teoria, presente em requisitos e pilares, o escopo da certificação prevê ações práticas e que podem efetivamente ser demonstradas e comprovadas, assegurando a todos que a empresa direciona esforços e recursos para manter sua conformidade e trabalha no dia a dia para que o programa seja sustentável e durável.
Os objetivos, portanto, são tanto alcançar quanto preservar aspectos como integridade, responsabilidade social, gestão de riscos, cultura de compliance e, claro, conformidade em vários níveis.
Abaixo, vamos explicar a diferença dessa certificação para outra com a qual ela se relaciona e abordar mais profundamente o Sistema de Gestão de Compliance.
Diferenças entre a ISO 37301 e a ISO 37001
A ISO 37001 traz o nome de Sistema de Gestão Antissuborno. Ou seja, trata-se de um escopo direcionado a um risco específico e seus efeitos negativos, focado em prevenir o suborno ativo ou passivo, detectá-lo, se ocorrer, e responder a ele, quando detectado.
Ou seja, enquanto a ISO 37301 diz respeito a um sistema global de compliance, uma gestão mais complexa, compartimentada e que tem de ser efetivada em ações nos mais diferentes setores, a 37001 tem um escopo gerencial menor e é mais específica no que se refere a boas práticas e rotinas de negócios.
Apesar das diferenças, os sistemas se relacionam e até possuem objetivos comuns entre eles, como evitar a corrupção ativa ou passiva na empresa, algo necessário para a manutenção da integridade. Portanto, cabe observar ambos os escopos em conjunto e trabalhar os pilares e critérios da ISO 37001 como parte do programa global que atende à ISO 37301.
Estruturação para obter a ISO 37301
Para saber como se estruturar para implementar o Sistema de Gestão de Compliance, é preciso saber quais são os requisitos dessa ISO, o que permite entender como agir. E esses requisitos são os seguintes:
- contexto da empresa;
- liderança;
- planejamento;
- apoio;
- operação;
- avaliação do desempenho;
- melhoria.
Agora, vamos passar pelos requisitos individualmente para compreender o que deve ser feito pela empresa em cada ponto.
Análise do contexto
O contexto do negócio envolve as características da empresa, como porte, ramo de atuação e modelo de negócio, e também fatores internos e externos que influenciam no que acontece dentro da empresa e nos resultados que o programa de compliance pode alcançar, como leis e regulamentos a serem seguidos e rotinas dos setores.
Dentro desse contexto também temos a identificação de todas as partes interessadas na empresa, além de suas necessidades e expectativas, já que diferentes agentes se relacionam de forma distinta com um mesmo negócio.
Com o mapeamento de fatores, processos, partes interessadas e formas de relacionamento da empresa com essas partes, monta-se o escopo, o que o negócio propõe para seu programa, incluindo:
- obrigações do compliance;
- riscos mapeados e gerenciados;
- controles planejados;
- formas de validação e avaliação do desempenho do programa;
- impactos do programa;
- pilares da comunicação interna e externa.
Participação das lideranças empresariais
É claro que nada em uma organização ocorre sem que a cúpula dê sua aprovação ou, no mínimo, sua autorização. Mas a ISO 37301 exige que, mais do que apoio, ocorra envolvimento da alta direção e participação ativa necessária para permear o programa e influenciar todos na hierarquia a adquirirem a cultura de compliance.
Por isso, é importante que membros da parte mais alta da hierarquia façam parte da equipe gestora do programa de compliance, incluindo pelo menos um membro da diretoria.
Planejamento prático
A parte de análise de contexto e definição de escopo é extremamente necessária, porém é mais teórica e de projeção. Aqui é a etapa na qual são feitas as proposições práticas e a empresa coloca diretamente ações para funcionamento do programa e melhoria contínua. Como principais pontos, podemos listar:
- riscos mapeados, efeitos negativos associados a eles e como serão controlados;
- processos desenhados para os diversos setores no sentido de manter integridade e transparência;
- como a comunicação será feita;
- tipos de controles implementados para as rotinas-chave e demais que representam riscos;
- relatórios e outros documentos gerados para terceiros e partes interessadas;
- canais de denúncia utilizados;
- método de avaliação do programa, indicadores escolhidos e periodicidade;
- responsabilidades das diferentes pessoas envolvidas no gerenciamento do programa.
Apoio pela alocação de recursos
Esse requisito pode ser confundido com os de liderança da alta direção e planejamento prático, mas ele é considerado individualmente na ISO e trata-se de outro ponto necessário ao funcionamento do sistema: colocação da estrutura da empresa à disposição do compliance.
Para atender a esse requisito, a empresa deve capacitar profissionais para que entendam o programa e participem da sua gestão e promover mudanças e investimentos necessários à aplicação e à melhoria contínua, como implementação de tecnologias e contratação de assessoria especializada em compliance.
Direcionamento da operação e prevenção
A ISO 37301 requisita que a empresa direcione as operações em geral e de compliance por meio de instruções e regulamentos documentados, elaborando código de conduta, políticas de processos e relacionamento, instruções de trabalho e demais materiais internos que são simultaneamente instrutivos, regulatórios e preventivos.
Avaliação de desempenho
O atendimento a esse requisito depende de o negócio deixar claro as formas como analisa o andamento do seu programa e colhe dados para tomada de decisões e aplicação de melhorias.
Alguns bons exemplos são:
- relatórios de falhas ou problemas gerados por mecanismos de controle, utilizados depois para fazer correções;
- resultados de monitoramento do desempenho de profissionais após fornecimento de treinamentos e cursos de aperfeiçoamento;
- demonstrações financeiras com redução de custos em multas e outras penalizações.
Promoção da melhoria contínua
Por fim, temos o requisito que envolve documentos, mecanismos e ações para promoção da qualificação permanente.
Trata-se, entre diversas possibilidades, de definir quais documentos serão gerados com esse objetivo, estabelecer auditorias internas e envolver auditores e assessores externos independentes nas análises mais críticas.
Obtenção da ISO 37301
O primeiro passo para buscar a certificação é fazer o trabalho interno, entendendo o que diz a norma e fazendo os movimentos teóricos e práticos que a empresa precisa para atender aos seus requisitos e pilares. Para isso, contar com uma assessoria especializada em planejamento e operação de compliance tende a ser um grande diferencial.
A assessoria é importante também para a etapa seguinte, de solicitar o certificado junto à Associação Brasileira de Normas Técnicas (ABNT), momento no qual é fundamental apresentar de forma adequada e clara o planejamento do negócio para atender ao que a norma exige. Se isso não for feito corretamente, a certificação pode não ser fornecida mesmo estando o programa bem fundamentado e funcionando na prática, pelo fato de o comitê de avaliação não ser colocado corretamente a par dele.
Obtendo ou não a certificação, ter um programa de compliance sempre é importante, além de tê-lo alinhado à gestão empresarial e ao planejamento estratégico. Veja como fazer esse alinhamento e garantir integridade e segurança nas ações e decisões da diretoria.
