ISO 37301 escopo

ISO 37301 – Definição de Escopo, Riscos de Compliance e Certificação

Crédito da imagem: https://br.freepik.com/vetores/etiqueta

A ISO 37301 – Sistemas de Gestão de Compliance – Requisitos com Orientação para Uso, mal chegou e já causa discussão quanto ao seu entendimento… Mesmo ainda não estando implementado o esquema para a sua certificação, a definição do escopo do SGC pode representar diferenças radicais de implementação entre distintas organizações.

Segundo o entendimento de 2 profissionais reputados, representando a linha de raciocínio de 2 importantes certificadores da ISO 37001 (e certamente da ISO 37301), “A ORGANIZAÇÃO PODE ESCOLHER NO ESCOPO AQUELES RISCOS QUE CONSIDERAR MAIS IMPORTANTES NO MOMENTO”.

BASE NA ISO 37301 PARA ESTE ENTENDIMENTO

O ponto da ISO 37301 em que estes profissionais identificaram a previsão para este critério é o parágrafo 4.3, que inclui a nota:

“NOTA – O escopo do Sistema de Gestão de Compliance se destina a esclarecer os principais riscos de Compliance que a organização está enfrentando e os limites geográficos ou organizacionais, ou ambos, para os quais o Sistema de Gestão de Compliance será aplicado, especialmente se a organização é uma parte de uma entidade maior.”

CONSEQUÊNCIAS DESTE ENTENDIMENTO

Exemplificando, significaria que uma organização poderia decidir certificar somente os riscos de lavagem de dinheiro dentro de um dado escopo tradicional (atividades, geográfico e organizacional), enquanto outra poderá escolher se certificar somente sobre os riscos trabalhistas, ao mesmo tempo em que outra terceira pode pleitar para o seu SGC somente os riscos de privacidade de dados. O que dá um caráter totalmente distinto para o SGC. E possibilita, de forma perigosa, que a organização se certifique em um tema “fácil”, “valendo” igual a uma organização que adote a gestão de todos os riscos de Compliance (suborno, ou corrupção de forma mais ampla, lavagem de dinheiro, trabalhista, regulatório, concorrencial, social, ambiental, tributário, etc.).

Tal entendimento é muito diferente da definição consagrada há muitos anos para a certificação das demais normas de Sistemas de Gestão da ISO (p.ex. ISO 9001, ISO 14001, ISO 27001, ISO 37001, etc.).

DEFININDO O ESCOPO DENTRO DAS NORMAS DE SISTEMAS DE GESTÃO DA ISO

O escopo do SGC é de escolha da organização que implementa a ISO 37301, da mesma forma que para as demais normas de sistemas de gestão da ISO (sujeito a detalhes específicos de cada uma delas), devendo ser consensado com o organismo de certificação. O escopo é, de modo geral, definido por 3 componentes:

  • Atividades, produtos e/ou serviços,
  • Limites geográficos,
  • Limites organizacionais, em algumas normas (p.ex. ISO 14001 – meio ambiente), complementado por “sua autoridade e capacidade de exercer controle e influência”.

O escopo deve estar disponível como uma informação documentada, e consta do certificado emitido pelo organismo de certificador, com a chancela da entidade nacional de acreditação.

O escopo é determinado considerando os componentes acima, e o Sistema de Gestão deve ser aplicado dentro do mesmo, podendo haver exceções justificadas (seja de elementos da norma não aplicáveis, como na ISO 9001, ou de atividades/produtos/serviços específicos que podem não ser de autoridade da organização, somente influência, como na ISO 14001).

Situações típicas envolvem a certificação de somente uma linha de produtos, uma função, ou uma fábrica, ou uma divisão/unidade de negócios, um país, uma região, somente as unidades operacionais (sem a corporação/holding) ou vice-versa (o que não muito recomendado, mas é possível).

No entanto, em todos os casos, não há uma exclusão explícita de tipologias de riscos dentro do escopo considerado. No caso mais exemplificativo da ISO 14001 (meio ambiente) ou a ISO 45001 (saúde ocupacional e segurança), respectivamente, todos os seus aspectos ambientais e perigos ocupacionais aplicáveis dentro do escopo, deverão ser identificados, avaliados e com decisões sobre necessidade de controles.

CONCLUSÃO

O sistema de certificação ainda não está definido e implementado. Mesmo que uma organização esteja pronta para uma certificação acreditada, não será possível até que este passo seja dado.

Esperamos que esta questão sobre a escolha de riscos específicos de compliance dentro do escopo do SGC seja suficientemente analisada e consensada para não trazer importantes riscos à reputação da certificação pela ISO 37301.

Vamos acompanhar!

Michel Epelbaum – Diretor da Ellux Consultoria

Diretor da Ellux Consultoria. Tem mais de 25 anos de experiência nacional e internacional em gestão de sustentabilidade, qualidade, meio ambiente, saúde ocupacional e segurança, e compliance.  É membro dos Comitês Técnicos da ABNT de Gestão Ambiental, Antissuborno, Riscos, Governança, Responsabilidade Social e Energia. É Lead Assessor nas normas ISO 9001, ISO 14001, OHSAS 18001, ISO 45001, ISO 19600 e ISO 37001.

Consulte nossos serviços de ConsultoriaTreinamento e Auditoria em Sistemas de Gestão inclusive nas Normas ISO 37301, ISO 19600 compliance e ISO 37001 – antissuborno. Além de outras como ISO 9001, ISO 14001, ISO 45001, ISO 26000, NBR 16001 e ISO 50001.

Saiba mais sobre este assunto em nossos posts relacionados:

ISO 37301:2021 – etapa de Consulta Nacional

Agora é oficial: publicada a ISO 37301:2021

A ISO 37301 deverá ser publicada em abril/2021

Live de Lançamento da Norma ABNT NBR ISSO 37301: Sistema de Gestão de Compliance

Competências em Definição para Auditores de Certificação da ISO 37301 (Sistema de Gestão de Compliance)

Gostou? Compartilhe este post!

Leave Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Ellux Consultoria - há 25 anos trazendo soluções em Gestão da Sustentabilidade, Qualidade e Riscos.

Oferecemos auditorias, consultoria, treinamentos e gamificações em Sistemas de Gestão com base nas Normas ISO 14001, ISO 9001, ISO 45001, ISO 37001, ISO 37301, ISO 26000, NBR 16001, SA 8000, ISO 50001, ISO 31000, DSC 10000 e outros modelos.