ISO e Compliance: como essa ferramenta auxilia na gestão do sistema?

Algumas normativas auxiliam e sustentam a gestão do sistema de compliance e do gerenciamento de risco. Conheça a ISO 31000 e 37301 e os benefícios de implementação.

Compartilhar:

Não nos cansamos de dizer: o Compliance está longe de ser simplesmente um cumprimento de regras. Ele é, na realidade, um Sistema de Gestão que protege e favorece empresas em várias frentes e vários níveis.

Cada vez mais, a presença de um compliance efetivo numa empresa eleva sua imagem frente aos clientes, acionistas, parceiros e outros stakeholders. E, é claro, protege a organização de riscos e gera uma grande vantagem no alcance de resultados.

Portanto, não se pode tomar esse desafio nas mãos e, ao mesmo tempo, querer “cortar caminho”.

Compliance é assunto sério e deve ser feito com todo o cuidado, caso se deseje obter todos os benefícios que o sistema pode gerar.

E, para auxiliar os donos, diretores e gerentes nesse projeto, existem as normativas internacionais ligadas ao Compliance, que estão em constante aprimoramento e fornecem diretrizes, orientações e direcionamentos sobre tais processos.

Neste artigo, vamos falar de duas normas: a ISO 31000 e a ISO 37301.

Passaremos uma visão geral sobre do que trata cada uma, e você entenderá melhor como essas ferramentas (ISO e outras normativas) auxiliam na gestão do sistema da sua organização.

Boa leitura!

Normas técnicas: visão geral

Fundada em 1940, a ABNT (Associação Brasileira de Normas Técnicas) tem como atribuição a definição e a administração de normas e regras técnicas, associadas ao comércio, indústria e prestação de serviços no Brasil.

Essa padronização serve para:

  • controle de qualidade;
  • fabricação de peças;
  • garantir a segurança de produtos e serviços;
  • escrita acadêmica;
  • dentre outros.

A ABNT está ligada diretamente à ISO: International Organization For Standardization (Organização Internacional de Normalização). 

A ISO, então, é a organização internacional responsável pela padronização e normalização. As entidades nacionais têm-na como referência, e assim podemos importar e exportar, ter um mínimo de padronização de produtos e serviços, e garantir que as normas de qualidade sejam sempre exigentes.

Por fim, NBR é a abreviação de “Normas Brasileiras”, usada pela ABNT.

A ABNT, portanto, é representante da ISO no Brasil, e é ela quem publica as normativas da instituição internacional.

Com essa visão geral sobre as normativas e seus respectivos órgãos, vamos direto ao assunto! ISO 31000 e ISO 37301 — como essas ferramentas auxiliam na gestão do sistema de compliance?

ISO 31000: a Norma Internacional para a Gestão de Riscos

Documento técnico elaborado para as pessoas que criam e protegem o valor nas organizações, através do gerenciamento de risco, tomada de decisões e de maneira a alcançar objetivos e melhorar o desempenho.

É uma metodologia internacional para aplicação ao gerenciamento de riscos nos Programas de Compliance.

Todas as empresas têm de lidar com influências e fatores internos e externos que podem ser obstáculos para o alcance dos objetivos propostos. A norma ISO 310 estabelece princípios, estrutura e delineamento de processos para o gerenciamento de riscos:

PRINCÍPIOS — ESTRUTURA — PROCESSOS

Princípios segundo a ISO 31000

Segundo a normativa, são princípios a serem seguidos, considerando a criação e proteção de valor, devendo a gestão de riscos ser:

  • Integrada;  a gestão de risco integra-se a todas as atividades da organização.
  • Estruturada e abrangente: abordagem deve ser estruturada e abrangente para alcance de resultados mais consistentes e mensuráveis.
  • Personalizada: estrutura e processo personalizados, proporcionais às realidades internas e externas da organização.
  • Inclusiva: partes interessadas devem se envolver adequadamente, para que pontos de vista e percepções diferentes sejam considerados.
  • Dinâmica: riscos são um fenômeno dinâmico. Podem se modificar, desaparecer ou surgir em qualquer movimentação da organização. Gestão de riscos deve seguir esse dinamismo, antecipando, detectando, reconhecendo e respondendo aos eventos.

Além disso, deve:

  • contar com a Melhor informação disponível: gestão baseada em informações da linha histórica, presentes e com expectativas futuras. Deve levar em conta as incertezas e limitações dessas informações. Informações devem ser claras, oportunas e disponibilizadas às partes interessadas.
  • considerar Fatores humanos e culturais: fatores humanos e culturais têm forte influência sobre a gestão de risco em todos os níveis.
  • princípio da Melhoria contínua: aprimoramento constante, levando em consideração aprendizados e experiências precedentes.

Fechando, assim, o círculo da criação e proteção de valor, como na figura abaixo:

Estrutura segundo a ISO 31000

Tendo a Liderança e Comprometimento como elemento central, a estrutura do gerenciamento de riscos segundo a ISO 31000 abarca:

  • Integração: gestão de riscos pela compreensão das estruturas e do contexto da organização. O gerenciamento acontece em todos os níveis da estrutura, e toda a organização é responsável por ele.
  • Concepção: conceber a estrutura para o gerenciamento é examinar contexto interno e externo da organização; articular o comprometimento com a gestão de riscos, não somente mas principalmente através das lideranças; atribuição de papéis e responsabilidades; designar recursos; estabelecer comunicação e consulta.
  • Implementação: envolve planejamento com prazos e recursos; delineando tomada de decisões, adequação constante de processos, garantir que arranjos de gestão de risco sejam compreendidos e praticados por todos.
  • Avaliação: mensurar regularmente o desempenho da estrutura e determinar se ainda vale para apoiar os objetivos da organização.
  • Melhoria: adaptar e melhorar continuamente.

Processo segundo a ISO 31000

O processo, segundo a ISO 31000, envolve aplicar sistematicamente as políticas, os procedimentos e as práticas de:

  • Comunicação e consulta: diz respeito à compreensão do risco em todos os níveis — para gerar conscientização e feedback.
  • Escopo, contexto e critérios: personalização do processo de gestão; envolve definição de alvos da gestão, consideração do contexto interno e externo, e definição dos critérios de risco.
  • Processo de avaliação de risco: pela identificação, análise e avaliação, para apoio das decisões.
  • Tratamento de riscos: pela seleção de tratamento de riscos, estruturação e implementação de planos de tratamento.
  • Monitoramento e análise crítica: visa garantir qualidade e eficácia da concepção, implementação e resultados. Deve ocorrer em todos os estágios do processo.
  • Registro e relato: tudo deve ser documentado e relatado pelos mecanismos adequados. Objetiva comunicar as atividades, informar tomadas de decisão e melhorias, e auxiliar a interação das partes interessadas.

Importante lembrar que a ISO 31000, diferentemente da ISO 37301, não gera uma certificação. Ela é uma norma de apoio, que deve ser utilizada em harmonia com outras normas relativas ao Compliance e à Gestão de Riscos organizacionais.

ISO 37301: Sistemas de Gestão em Compliance

Em 2014, publicou-se a ISO 19600, idealizada como uma orientação geral e uma assistência para as organizações que quisessem realizar a implementação e a manutenção de um Sistema de Gestão Compliance.

Mais recentemente, em 2012, a ISO 37301 vem para normatizar os Sistemas de Gestão em Compliance, estabelecendo requisitos claros e mensuráveis de aplicação, gerando, inclusive, uma certificação para as organizações.

Ser certificado com a ISO 37301 significa que a empresa segue os padrões mais altos de qualidade relativa ao compliance.

O texto da normativa traz elementos vitais que rodeiam os Sistemas de Gestão em Compliance³:

  • Contexto da organização: compreensão de necessidades, gestão de riscos de compliance e riscos subsidiários.
  • Liderança: papel e responsabilidades, compliance officers, sistemas de gestão antissuborno, e outras obrigações relativas ao compliance.
  • Planejamento: implementação, objetivos e planejamento de mudanças.
  • Suporte: recursos, comunicação e conscientização.
  • Operação: controles internos, sustentabilidade e due diligence.
  • Avaliação de performance: auditorias internas, revisão pela alta administração.
  • Melhorias: promoção de uma cultura de melhoria contínua.

Certificação ISO 37301

O processo de certificação da ISO 37301 passa pela definição de objetivos, pré-auditorias e auditorias, avaliação do sistema e auditorias de manutenção.

O certificado vale por três anos, e pode ser reemitido para mais um ciclo de mesma duração.

Benefícios ISO 37301

A ISO 37301 leva a diversos benefícios para as organizações, incluindo:

  • Melhoria do clima e cultura organizacional;
  • Melhoria da eficiência e eficácia;
  • Reputação de marca positiva;
  • Credibilidade (dentro e fora da organização);
  • Confiança e Lealdade.

E, enfim, como normativa que apoia processos e sistemas de Compliance, leva a organização a melhores resultados, maior lucro, menos problemas jurídicos, assegurando uma empresa mais forte e mais duradoura.

Conclusão

As ISO 31000 e 37301 orientam, direcionam e fundamentam a estruturação e o processo da gestão de risco, e de implementação de Sistemas de Gestão em Compliance.

Os documentos assistem a diretores, gerentes, compliance officers e outros interessados na matéria a desenvolverem suas estruturas técnicas e suas bases de planejamento, aplicação e monitoramento.

Através de um Programa de Compliance efetivo, essas e outras normativas são colocadas em prática e geram benefícios enormes para as organizações.

Sendo assim, se a sua empresa ainda não possui um Compliance em ação, venha conhecer a Compliance Station!

Auxiliamos a sua organização na implementação personalizada do Programa de Compliance, através de uma plataforma digital de fácil acesso e compreensão.

Nos baseamos no que há de melhor em termos de teoria e prática voltadas ao Compliance, cumprindo as ISO e demais normativas sobre o tema.

Fale com um de nossos especialistas preenchendo o formulário ao lado!

Referências

  1. ABNT NBR ISO 31000:2018
  2. Certificação ISO 3100: Sistemas de Gestão de Compliance
  3. A Deep Dive Into ISO 37301: Compliance Management Systems 

Compartilhar:

Receba novidades

da Compliance Station

Receba o melhor do nosso conteúdo direto no seu e-mail.

Preencha seus dados para receber nossa news: