Blog Post

Norma ISO 19600 X Norma ISO 37301 para gestão integrada de Compliance e Qualidade: O que mudou?

ISO 37301:2021

Dentro do ambiente corporativo ou, porque não, dos órgãos da administração pública (direta ou indireta), estar em Compliance é cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas às atividades, bem como prevenir, detectar e remediar qualquer desvio ou inconformidade que possa ocorrer – aos marinheiros de primeira viagem, aliás, vale, antes de navegarem na ISO 37301, o download deste e-book aqui, escrito por nossa equipe para ensinar o tema de maneira didática e ilustrada.

A implementação de um programa baseado nos valores empresariais de ética e de conformidade, quando alinhada nos riscos adequadamente mapeados, é vetor de manutenção da regularidade e licitude dos processos de gestão (evitando práticas de corrupção, fraudes, lavagem de dinheiro, dentre outros desvios), além da melhor alocação de recursos (humanos, financeiros e tecnológicos), aprimoramento de resultados e, finalmente, da gestão reputacional, impulsionando o branding valuation.

Fazer negócios compliant, no atual contexto político-econômico, deixou de ser mera tendência para assumir o status de exigência mundial, notadamente aos que querem se inserir nas cadeias globais de valor e celebrar negócios com grandes potências do mercado.

Atenta a esse paradigma, a ISO desenvolveu um padrão de implementação e monitoramento de Sistema de Compliance  facilmente aplicável a qualquer tipo de empresa ou corporação, independente do tamanho da planta ou modelo de negócio, e reconhecível por todas partes interessadas, favorecendo transações confiáveis, transparentes e perenes: a ISO 19600:2014 (mais conhecida como ISO Compliance).

No primeiro semestre de 2021, a norma ganhou sua substituta: a nova ISO 37301.

ISO COMPLIANCE

Diferentemente do antigo standard, ISO 37301 é uma norma de requisitos – portanto, certificável -, e é mais explícita na abordagem sobre temáticas valiosas à sustentabilidade de qualquer organização, independentemente do porte ou planta:

1) Democratiza o conceito de órgão de governança, sugerindo, àqueles que possuem a não estrutura sofisticada de um Conselho de Administração, a legitimação da Diretoria;

2) Aborda comportamento e, inclusive, define conduta (comportamento e prática que impacta o resultado entregue às partes relacionadas);

3) Elenca a cultura como elemento indispensável não apenas à completa compreensão do contexto organizacional e desenho do escopo do Sistema de Compliance, mas, sobretudo, à prevenção a comportamentos que possam comprometer a ética e a integridade na execução dos processos e tomadas de decisão;

4) Considera a possibilidade uma não-conformidades do sistema ou, mesmo, de uma conduta non compliance (em desacordo com algum instrumento legal ou regulatório cuja aderência e cumprimento sejam obrigatórios à organização) decorrerem da burla intencional de políticas e controles internos (fraudes).

A despeito dessas inovações (não disruptivas, ao nosso modo de ver), a nova ISO Compliance mantém a mesma estrutura arrojada das normas ISO mais recentes, erigida sobre as bases do risk based approaching – isto é, da abordagem de riscos e seu gerenciamento. 

Por isso, comporta a implementação integrada às outras normas e, especificamente no que se refere à Compliance, à ISO 37001 (ISO Antissuborno). 

Significa dizer que a empresa adepta à gestão de riscos da qualidade (ISO 9001:2015), por exemplo, poderá ter, ainda, mediante a implementação integrada da ISO 37301, mecanismos de prevenção à fraudes, desvios e outros ilícitos, garantindo a conformidade jurídica da gestão em todos os níveis hierárquicos e, por consequência, prevenindo danos de ordem financeira e reputacional.

Sempre gostamos de enfatizar a possibilidade de gestão integrada porque muitas organizações, embora familiarizadas com as normas ISO, escutam falar dos standards de Compliance (ISO 37301 e 37001) sem compreender, exatamente, como teriam o fit necessário com seus processos de gestão, preservando o cumprimento dos requisitos já implementados (ou seja, sem “mexer no time que está ganhando”).

iso 37301 - ISO compliance

Agora, outro aspecto que nunca é demais ser enfatizado, dadas as confusões percebidas em nossas auditorias, é: a ISO Compliance e a ISO Antissuborno, embora sirvam à implantação e/ou aprimoramento da gestão de Compliance, não suprem a necessidade de uma consultoria jurídica (seja ela in company ou externa).

E isso porque Compliance e Jurídico, embora compartilhem da 2ª linha de defesa (modelo IIA), são funções distintas. Na prática, o primeiro otimiza a funcionalidade e desempenho do segundo, à medida que procedimentaliza a gestão dos riscos de infrações legais e regulatórias, garantindo, graças ao viés preventivo e de detecção tempestiva (modelagem de controles internos), maior segurança a cada etapa dos processos e diminuindo a judicialização. (Ju, temos um texto sobre controles internos, são? Podemos linkar ali no amarelo).

A questão é que quando se fala nas ISO 37301 e 37001, sua aplicação permite um olhar para além do trabalho jurídico consultivo que os advogados desenvolvem normalmente – contratos, manuais, códigos de conduta e políticas – , pautando o Sistema de Compliance num ciclo básico de gestão PDCA (Plan – Do – Check – Act), que ajudará na correção de eventuais falhas e no aprimoramento das práticas costumeiramente adotadas, rumo à melhoria contínua.

nova iso compliance

A ISO 37301 X outros guias internacionalmente reconhecidos

Antes da publicação das normas ISO para Compliance e Gestão Antissuborno, os “programas de integridade” pautavam-se, sem qualquer imperativo de isonomia, em guias e diretrizes internacionais, como:

  • A Convenção da ONU contra a Corrupção e a Convenção da OCDE sobre o combate ao suborno de funcionários públicos estrangeiros em transações comerciais internacionais;
  • Orientações publicadas por organizações governamentais internacionais, como a OCDE, as Nações Unidas e o Banco Mundial;
  • Princípios emitidos por organizações não governamentais, como o Fórum Econômico Mundial, a Transparência Internacional, o British Standards Institute e a Câmara Internacional de Comércio;
  • Leis anticorrupção e de prevenção à lavagem de dinheiro promulgadas nos Estados Unidos (FCPA e SOX) e na Grã Bretanha (UKBA), dos respectivos guias de implementação (FCPA Guide e The Bribery Act 2010 Guidance); e
  • Melhores práticas implementadas por empresas com eficiência comprovada.

A norma ISO 37301 vem a aparar as arestas e equacionar o que vinha sendo implantado sem a necessária aclimatação com a cultura e o jeito de fazer negócios em cada país, permitindo uma amoldagem menos traumática, sobretudo, às pequenas e médias empresas.

ISO 37301

Direcionemos nossos olhares, por exemplo, ao empreendedorismo brasileiro. 

De acordo com o SEBRAE (dados recentes, publicados em abril/2017), 95% das empresas brasileiras são MPEs e familiares. Dito isso, cabe perguntar: quantas operam na Bolsa de Valores Norte-Americana ou representam comercialmente os interesses de companhias daquele país, subtemendo-se à sua Lei Anticorrupção (FCPA)? quem sabe, aqui, o texto do Thiago sobre FCPA como link?)E quantas possuem sede (ou, no limite de sua representação societária) no Reino Unido, ou realizam negócios com empresas nele estabelecidas, submetendo-se às disposições do UKBA (quem sabe, aqui, o texto do Thiago sobre UKBA como link?)?

A grande minoria, com a absoluta certeza. Isso significa que os estudos e práticas baseados na legislação internacional anticorrupção são inúteis aos nossos negócios? Não, conquanto esses atos normativos sejam guias úteis aos trabalhos de Compliance desenvolvidos no Brasil, não conseguem absorver plenamente a necessidade de nossas empresas.

Da mesma forma, em âmbito nacional, a Lei Anticorrupção e o Decreto nº 8.420/2015 não servem isoladamente à construção de um programa de Compliance robusto e amparado por hábeis controles internos, embora indiscutível o valor desses diplomas no resgate ético das organizações.

Essa é a vantagem da ISO 37301 em detrimento da utilização de outros guias: está-se diante de um modelo que atende aos mais diversos negócios, conversando de maneira harmônica com as peculiaridades culturais e geográficas de cada localidade sem descurar daquilo que, obrigatoriamente, deve conter num programa de Compliance efetivo.

A ISO 37301 aliada ao Sistema de Gestão de Qualidade 

A ISO 37301 propõe um conjunto de requisitos sobre como estabelecer, desenvolver, executar, avaliar, manter e melhorar um sistema eficaz de gestão de Compliance dentro da organização, sofisticando a boa governança através da proporcionalidade, transparência e sustentabilidade e simplificando a sinergia com outros sistemas de gestão já existentes nas organizações – como, por exemplo, a ISO 9001:2015, de Gestão da Qualidade.

Depreende-se daí que a ISO Compliance, diferentemente da ISO Antissuborno, não se dedica a uma única área de risco. Mais do que identificar e tratar atos fraudulentos, a ISO Compliance assegura uma gestão de risco legal multilateral, contemplando o correto pagamento de verbas trabalhistas e fiscais, o cumprimento de contratos civis e comerciais, o respeito às normas administrativas, regulatórias e concorrenciais, ademais da legislação ambiental.

Para o atingimento desse objetivo, a ISO Compliance reforça a necessidade de se fomentar um ambiente de controles em que todos os integrantes da organização saibam o que fazer, por que fazer e como fazer, atentando aos limites e responsabilidades de suas competências técnicas. 

Nessa lógica, o suporte da alta administração e do órgão diretivo é fundamental. Cabe-lhes, após avaliação do contexto, cultura, modelo de negócio e principais riscos à entrega de valor às partes interessadas, deliberar e estabelecer os mecanismos que se prestarão ao seu gerenciamento e mitigação – código de conduta, políticas e controles internos -, além de designar os encarregados pela liderança e monitoramento da performance do sistema.

Especificamente no que tange aos contratos, manuais, instruções e formulários, a ISO Compliance promove a gestão documental organizada e otimizada, bem como o treinamento do staff interno acerca das condições impostas por clientes e terceiros, propiciando o conhecimento e obediência dos envolvidos e, por derradeiro, obstando quebras de cláusulas, penalidades e, até mesmo, rescisões. Nesse aspecto, toda a semelhança com a ISO 9001:2015 é mais do que pura coincidência.Uma vez implantado o sistema segundo os ditames da ISO 37301, a checagem de falhas e necessidades de melhoria realiza-se também no modelo PDCA (como sucede na ISO da Qualidade), mas consoante a trilha abaixo (aliás, para quem quiser uma cópia dele, basta clicar aqui).

Por fim, é fundamental pontuar a diferença entre “Programa de Compliance” e “Sistema de Compliance”, de que advém o maior valor agregado às organizações que se desafiam à implementação e certificação ISO:

Os programas, geralmente, são lançados de forma isolada, sem o envolvimento multidisciplinar de gestores e consultores especialistas e relegando-se os fatores de ordem jurídica implicados nos processos. 

Em um sistema de Compliance, por sua vez, a colaboração das áreas componentes das 3 linhas de defesa, e a retroalimentação que viabilizam entre si para o eficaz gerenciamento de riscos, são imperativos e os únicos capazes de proporcionarem a maturação gradativa da cultura de integridade, através da melhoria contínua induzida pelo P-D-C-A.

Nessa linha, faz ainda mais sentido às organizações que já possuem um Sistema de Gestão ISO 9001 a implantação da ISO 37301, em uma excelente conjunção de qualidade e integridade, incluindo-se aí a identificação e o acesso estruturado à legislação aplicável à atividade, bem como às outras normas internamente convencionadas pela organização.

***

Se você gostou desse tema e deseja acompanhar nossos conteúdos, ative as notificações do nosso blog ou se inscreva em nossa newsletter!

Abraços e até a próxima!

mm

Sobre Roberta Volpato Hanoff

É CEO e Fundadora da Studio Estratégia - Governança, Riscos e Compliance, graduada em Direito pela Universidade Federal de Santa Catarina - UFSC, especialista em Direito Empresarial com ênfase em Recuperação Judicial, Falência e Administração de Crises pela FGV/Rio, CPC-A® (Anti-Corruption Compliance Certified Expert) e Auditora Líder para as Normas ISO 19600:2014 e ISO 37001:2016 (Sistemas de Gestão de Compliance e Antissuborno). Email: roberta@studioestrategia.com.br

One thought on “Norma ISO 19600 X Norma ISO 37301 para gestão integrada de Compliance e Qualidade: O que mudou?

Deixe seu comentário