ISO 37301 – Planejamento do SGC – O Coração da Norma -Parte 4

Design by Freepik Continuando a série sobre a futura ISO 37301 – Sistemas de Gestão de Compliance – Requisitos com Orientação para Uso, em discussão no Comitê Técnico 309 da ISO (Governança das Organizações), neste artigo comentamos sobre o Planejamento (P do PDCA), seu elemento central. Ressalte-se que a ISO 37301 será uma norma certificável com esquemas governamentais dos países, como a ISO 9001 e a ISO 37001, e deve substituir a ISO 19600 em termos de certificação de sistemas de gestão de compliance (SGC). O prazo para a votação para passar para o último estágio normativo antes de sua finalização (FDIS – Final Draft International Standard) encerrou-se em 06/06/2020, o que gera expectativas de que avançará de fase em pouco tempo, e poderá ser publicada ainda em 2020 (ou no começo de 2021). A cada artigo da série, nos espantamos com a patogenia humana que sai da “caixa de pandora”, dentre os quais vários e vários casos de corrupção sobre verbas da saúde e compra de respiradores.  Pesquisa do Instituto Locomotiva mostra que 3,89 milhões de famílias com renda maior do que a definida pelo Governo receberam o auxílio emergencial na pandemia. Agora, imaginem trilhões de dólares sendo injetados nas economias no mundo inteiro… Instrumentos de gestão de compliance se tornam mais e mais necessários…

TERCEIRO PILAR DA ISO 37301 – ITEM 6 – PLANEJAMENTO

Continuando a jornada do CCO (Chief Compliance Officer), analisamos o terceiro pilar da ISO DIS 37301, o coração de um SGC: o Planejamento. Ele está divido em 4 elementos, apresentados a seguir. Vale comentar que nestes artigos, não estamos muito preocupados em listar a informação documentada requerida em cada elemento, mas sim com a essência dos requisitos da norma.

6.1 AÇÕES PARA ABORDAR RISCOS E OPORTUNIDADES

Com o objetivo de que o SGC atinja seus resultados pretendidos (buscando a melhoria contínua e redução de riscos), a organização deve determinar os riscos e oportunidades que ela decide abordar, sejam estratégicos, reputacionais, ligados a requisitos das partes interessadas (incluindo os legais e voluntários), oriundos dos objetivos (de compliance) da organização e da avaliação de riscos relacionados aos processos/operacionais. Para os riscos e oportunidades selecionados, por um critério definido pela organização, deve se planejar as ações definidas (p.ex. plano de ação) e avaliar a sua eficácia, buscando que a sua gestão seja integrada aos seus processos de negócios. O sucesso em tratar com eficácia os riscos e oportunidades está claramente relacionado ao sucesso do SGC como um todo.

5.2 OBJETIVOS DE COMPLIANCE E PLANEJAMENTO PARA ALCANÇÁ-LOS

Como é comum nas normas de sistemas de gestão, a organização deve estabelecer objetivos mensuráveis (quando possível) de compliance nas funções e níveis pertinentes, que sejam consistentes (alinhados ou derivados) com a Política de Compliance, e considerem os requisitos aplicáveis. Cabe à organização definir quais são estas funções e níveis pertinentes (o que a sua definição, ítem 3.8 desta norma, ajuda a compreender). A norma requisita que estes objetivos sejam monitorados, comunicados e atualizados (quando necessário). A norma não usa esta expressão nem contém todos os requisitos deste acróstico, mas recomenda-se que os objetivos sejam SMART (S – específicos, M – mensuráveis, A – atingíveis, R – pertinentes e T – temporais). A ISO 37301 também requisita um planejamento para alcançar estes objetivos, centrando-se nos elementos essenciais de um plano de ação (o que, com que, quem, quando executar), além da definição de como os resultados serão avaliados. Se compararmos com a ISO 37001, e outras normas de sistemas de gestão da ISO, o elemento não traz nenhuma “pitada” diferencial de compliance.

5.3 OBRIGAÇÕES DE COMPLIANCE

Segundo a norma, a organização deve ter processos para identificar as suas obrigações de compliance (definidos como requisitos que a organização deve cumprir obrigatoriamente e aqueles que ela escolheu voluntariamente cumprir) resultantes de suas atividades, produtos e serviços. Estes processos incluem a identificação de obrigações novas/alteradas, a avaliação de seu impacto às suas operações/negócios e a tomadas de ações para gerenciar estas mudanças. Não há como haver um SGC sem ter este processo de base implementado e eficaz. Vale comentar sobre a natureza ampla dos temas de compliance, que inclui temas como corrupção e lavagem de dinheiro; legislação tributária/trabalhista; governança corporativa e legislação societária; assuntos regulatórios, legislação de meio ambiente, saúde ocupacional e segurança, direitos humanos e responsabilidade social; até segurança da informação e a contemporânea privacidade de dados. No geral, não há nenhuma grande novidade “bombástica” nos requisitos deste elemento.

5.4 AVALIAÇÃO DE RISCOS DE COMPLIANCE

Surpreendentemente, os requisitos do “coração” da norma são bastante “econômicos” desta versão DIS. Segundo a ISO DIS 37301, a organização deverá identificar, analisar e avaliar periodicamente (e quando de mudanças) seus riscos de Compliance baseado em uma avaliação de riscos. Ela define que os riscos devem ser identificados pela correlação entre as obrigações de compliance pertinentes (já identificadas e avaliadas no item 6.3) com as suas atividades, produtos, serviços/aspectos de suas operações. A norma contém um anexo de orientações para o uso, que detalha mais profundamente os critérios que podem ser abordados (p.ex. análise de fatores/fontes causais e as consequências do evento; nível de aceitação; risco inerente x risco residual; adequação e eficácia dos controles existentes da organização), mas que não faz parte dos requisitos da Norma. Além disto, a Norma ISO 19600 contempla diversas diretrizes para o processo de avaliação de riscos. Nota-se que a norma evita requerer diretamente um “processo” neste item, (como o faz na ISO 37001), o que soa estranho, pois se trata efetivamente de um processo.

CONCLUSÃO

Como pode se notar, o pilar de planejamento da Norma (item 6) é fundamental para o sucesso do SGC. Ter uma base sólida de avaliação e gestão de riscos, e de identificação e gestão das obrigações de Compliance, ajuda muito na construção de um SGC robusto e “risk based”. O coração do sistema de gestão de Compliance precisa “bater forte” para manter vivo todo o corpo. Confira os próximos capítulos! Michel Epelbaum – Diretor da Ellux Consultoria Diretor da Ellux Consultoria. Tem mais de 25 anos de experiência nacional e internacional em gestão de sustentabilidade, qualidade, meio ambiente, saúde ocupacional e segurança, e compliance.  É membro dos Comitês Técnicos da ABNT de Gestão Ambiental, Antissuborno, Riscos, Governança, Responsabilidade Social e Energia. É Lead Assessor nas normas ISO 9001, ISO 14001, OHSAS 18001, ISO 45001, ISO 19600 e ISO 37001. Consulte nossos serviços de Consultoria, Treinamento e Auditoria em Sistemas de Gestão inclusive nas Normas ISO 37301, ISO 19600 – compliance e ISO 37001 – antissuborno, . Além de outras como ISO 9001, ISO 14001, ISO 45001, ISO 26000, NBR 16001 E ISO 50001.  Saiba mais sobre este assunto em nossos posts relacionados: ISO 37301 – SGC – Parte 3 – A Liderança tão necessária ISO 37301 – SGC – Parte 2 – Contexto tura ISO 37301 – Sistemas de Gestão de Compliance – Parte 1 Treinamento e Conscientização ISO 37001 X Programa de Integridade Certificações ISO 37001: Estatísticas Mundiais e do Brasil ISO 37001 x Programa de Integridade Atualização Normativa ISO – Governança, Compliance e Antissuborno