Não nos cansamos de dizer: o Compliance está longe de ser simplesmente um cumprimento de regras. Ele é, na realidade, um Sistema de Gestão que protege e favorece empresas em várias frentes e vários níveis.
Cada vez mais, a presença de um compliance efetivo numa empresa eleva sua imagem frente aos clientes, acionistas, parceiros e outros stakeholders. E, é claro, protege a organização de riscos e gera uma grande vantagem no alcance de resultados.
Portanto, não se pode tomar esse desafio nas mãos e, ao mesmo tempo, querer “cortar caminho”.
Compliance é assunto sério e deve ser feito com todo o cuidado, caso se deseje obter todos os benefícios que o sistema pode gerar.
E, para auxiliar os donos, diretores e gerentes nesse projeto, existem as normativas internacionais ligadas ao Compliance, que estão em constante aprimoramento e fornecem diretrizes, orientações e direcionamentos sobre tais processos.
Neste artigo, vamos falar de duas normas: a ISO 31000 e a ISO 37301.
Passaremos uma visão geral sobre do que trata cada uma, e você entenderá melhor como essas ferramentas (ISO e outras normativas) auxiliam na gestão do sistema da sua organização.
Boa leitura!
Normas técnicas: visão geral
Fundada em 1940, a ABNT (Associação Brasileira de Normas Técnicas) tem como atribuição a definição e a administração de normas e regras técnicas, associadas ao comércio, indústria e prestação de serviços no Brasil.
Essa padronização serve para:
- controle de qualidade;
- fabricação de peças;
- garantir a segurança de produtos e serviços;
- escrita acadêmica;
- dentre outros.
A ABNT está ligada diretamente à ISO: International Organization For Standardization (Organização Internacional de Normalização).
A ISO, então, é a organização internacional responsável pela padronização e normalização. As entidades nacionais têm-na como referência, e assim podemos importar e exportar, ter um mínimo de padronização de produtos e serviços, e garantir que as normas de qualidade sejam sempre exigentes.
Por fim, NBR é a abreviação de “Normas Brasileiras”, usada pela ABNT.
A ABNT, portanto, é representante da ISO no Brasil, e é ela quem publica as normativas da instituição internacional.
Com essa visão geral sobre as normativas e seus respectivos órgãos, vamos direto ao assunto! ISO 31000 e ISO 37301 — como essas ferramentas auxiliam na gestão do sistema de compliance?
ISO 31000: a Norma Internacional para a Gestão de Riscos
Documento técnico elaborado para as pessoas que criam e protegem o valor nas organizações, através do gerenciamento de risco, tomada de decisões e de maneira a alcançar objetivos e melhorar o desempenho.
É uma metodologia internacional para aplicação ao gerenciamento de riscos nos Programas de Compliance.
Todas as empresas têm de lidar com influências e fatores internos e externos que podem ser obstáculos para o alcance dos objetivos propostos. A norma ISO 310 estabelece princípios, estrutura e delineamento de processos para o gerenciamento de riscos:
| PRINCÍPIOS — ESTRUTURA — PROCESSOS |
Princípios segundo a ISO 31000
Segundo a normativa, são princípios a serem seguidos, considerando a criação e proteção de valor, devendo a gestão de riscos ser:
- Integrada; a gestão de risco integra-se a todas as atividades da organização.
- Estruturada e abrangente: abordagem deve ser estruturada e abrangente para alcance de resultados mais consistentes e mensuráveis.
- Personalizada: estrutura e processo personalizados, proporcionais às realidades internas e externas da organização.
- Inclusiva: partes interessadas devem se envolver adequadamente, para que pontos de vista e percepções diferentes sejam considerados.
- Dinâmica: riscos são um fenômeno dinâmico. Podem se modificar, desaparecer ou surgir em qualquer movimentação da organização. Gestão de riscos deve seguir esse dinamismo, antecipando, detectando, reconhecendo e respondendo aos eventos.
Além disso, deve:
- contar com a Melhor informação disponível: gestão baseada em informações da linha histórica, presentes e com expectativas futuras. Deve levar em conta as incertezas e limitações dessas informações. Informações devem ser claras, oportunas e disponibilizadas às partes interessadas.
- considerar Fatores humanos e culturais: fatores humanos e culturais têm forte influência sobre a gestão de risco em todos os níveis.
- princípio da Melhoria contínua: aprimoramento constante, levando em consideração aprendizados e experiências precedentes.
Fechando, assim, o círculo da criação e proteção de valor, como na figura abaixo:
Estrutura segundo a ISO 31000
Tendo a Liderança e Comprometimento como elemento central, a estrutura do gerenciamento de riscos segundo a ISO 31000 abarca:
- Integração: gestão de riscos pela compreensão das estruturas e do contexto da organização. O gerenciamento acontece em todos os níveis da estrutura, e toda a organização é responsável por ele.
- Concepção: conceber a estrutura para o gerenciamento é examinar contexto interno e externo da organização; articular o comprometimento com a gestão de riscos, não somente mas principalmente através das lideranças; atribuição de papéis e responsabilidades; designar recursos; estabelecer comunicação e consulta.
- Implementação: envolve planejamento com prazos e recursos; delineando tomada de decisões, adequação constante de processos, garantir que arranjos de gestão de risco sejam compreendidos e praticados por todos.
- Avaliação: mensurar regularmente o desempenho da estrutura e determinar se ainda vale para apoiar os objetivos da organização.
- Melhoria: adaptar e melhorar continuamente.
Processo segundo a ISO 31000
O processo, segundo a ISO 31000, envolve aplicar sistematicamente as políticas, os procedimentos e as práticas de:
- Comunicação e consulta: diz respeito à compreensão do risco em todos os níveis — para gerar conscientização e feedback.
- Escopo, contexto e critérios: personalização do processo de gestão; envolve definição de alvos da gestão, consideração do contexto interno e externo, e definição dos critérios de risco.
- Processo de avaliação de risco: pela identificação, análise e avaliação, para apoio das decisões.
- Tratamento de riscos: pela seleção de tratamento de riscos, estruturação e implementação de planos de tratamento.
- Monitoramento e análise crítica: visa garantir qualidade e eficácia da concepção, implementação e resultados. Deve ocorrer em todos os estágios do processo.
- Registro e relato: tudo deve ser documentado e relatado pelos mecanismos adequados. Objetiva comunicar as atividades, informar tomadas de decisão e melhorias, e auxiliar a interação das partes interessadas.
Importante lembrar que a ISO 31000, diferentemente da ISO 37301, não gera uma certificação. Ela é uma norma de apoio, que deve ser utilizada em harmonia com outras normas relativas ao Compliance e à Gestão de Riscos organizacionais.
ISO 37301: Sistemas de Gestão em Compliance
Em 2014, publicou-se a ISO 19600, idealizada como uma orientação geral e uma assistência para as organizações que quisessem realizar a implementação e a manutenção de um Sistema de Gestão Compliance.
Mais recentemente, em 2012, a ISO 37301 vem para normatizar os Sistemas de Gestão em Compliance, estabelecendo requisitos claros e mensuráveis de aplicação, gerando, inclusive, uma certificação para as organizações.
Ser certificado com a ISO 37301 significa que a empresa segue os padrões mais altos de qualidade relativa ao compliance.
O texto da normativa traz elementos vitais que rodeiam os Sistemas de Gestão em Compliance³:
- Contexto da organização: compreensão de necessidades, gestão de riscos de compliance e riscos subsidiários.
- Liderança: papel e responsabilidades, compliance officers, sistemas de gestão antissuborno, e outras obrigações relativas ao compliance.
- Planejamento: implementação, objetivos e planejamento de mudanças.
- Suporte: recursos, comunicação e conscientização.
- Operação: controles internos, sustentabilidade e due diligence.
- Avaliação de performance: auditorias internas, revisão pela alta administração.
- Melhorias: promoção de uma cultura de melhoria contínua.
Certificação ISO 37301
O processo de certificação da ISO 37301 passa pela definição de objetivos, pré-auditorias e auditorias, avaliação do sistema e auditorias de manutenção.
O certificado vale por três anos, e pode ser reemitido para mais um ciclo de mesma duração.
Benefícios ISO 37301
A ISO 37301 leva a diversos benefícios para as organizações, incluindo:
- Melhoria do clima e cultura organizacional;
- Melhoria da eficiência e eficácia;
- Reputação de marca positiva;
- Credibilidade (dentro e fora da organização);
- Confiança e Lealdade.
E, enfim, como normativa que apoia processos e sistemas de Compliance, leva a organização a melhores resultados, maior lucro, menos problemas jurídicos, assegurando uma empresa mais forte e mais duradoura.
Conclusão
As ISO 31000 e 37301 orientam, direcionam e fundamentam a estruturação e o processo da gestão de risco, e de implementação de Sistemas de Gestão em Compliance.
Os documentos assistem a diretores, gerentes, compliance officers e outros interessados na matéria a desenvolverem suas estruturas técnicas e suas bases de planejamento, aplicação e monitoramento.
Através de um Programa de Compliance efetivo, essas e outras normativas são colocadas em prática e geram benefícios enormes para as organizações.
Sendo assim, se a sua empresa ainda não possui um Compliance em ação, venha conhecer a Compliance Station!
Auxiliamos a sua organização na implementação personalizada do Programa de Compliance, através de uma plataforma digital de fácil acesso e compreensão.
Nos baseamos no que há de melhor em termos de teoria e prática voltadas ao Compliance, cumprindo as ISO e demais normativas sobre o tema.
Fale com um de nossos especialistas preenchendo o formulário ao lado!
Referências
