Neifer FrançaDentro da norma ISO 37301, há o requisito 4.5 Obrigações de Compliance, este é o que muitos pensam ser o mais simples, até mesmo por muitas empresas já terem um programa de Compliance implementado, no entanto merece muito mais atenção.
A organização deve identificar essas obrigações de Compliance de forma sistemática, ou seja, deve haver um processo contínuo e não um levantamento pontual.
Sendo assim, o auditor responsável pelo sistema de gestão deve realizar a cobrança contínua da busca por novas obrigações de Compliance e também a verificação se houve revisão das obrigações já identificadas.
Essa questão da revisão é extremamente importante, principalmente no Brasil, onde temos uma instabilidade jurídica muito grande, a todo momento leis são revisadas, há novas leis, novos regulamentos, deixando a organização à mercê deste risco.
Informação documentada no requisito 4.5
A norma exige que essas obrigações de Compliance sejam informação documentada e você pode realizar essa coleta de diversas formas.
Dentro do mercado você irá encontrar inúmeros sistemas, onde além de um software e paralelamente há uma equipe trabalhando continuamente nesse levantamento das obrigações de Compliance.
Apesar da existência de sistemas, podemos usar meios mais simples caso você não tenha tantos recursos, tais como uma planilha ou matriz, desde que, seja estabelecida datas de revisão.
Convém mapear: o impacto e a gestão das obrigações de Compliance
A norma também aponta no Anexo A algumas orientações, ou seja, não é obrigatório, porém na minha opinião, essa recomendação é a mais importante:
“Convém que uma abordagem de avaliação de risco seja tomada, isto é, convém que as organizações comecem com a identificação das obrigações de Compliance mais importantes que seja pertinente aos negócios e então concentrem em todas as outras obrigações de Compliance”. – ABNT ISO 37301:2021
Essa recomendação parte do princípio de Pareto (regra 80/20), esse princípio prevê que 80% dos efeitos surgem de apenas 20% das causas. Sendo assim, comece focando nas obrigações de Compliance que trazem maior risco ao seu negócio, faça essa análise para o seu negócio e determine suas prioridades.
Partindo dessa recomendação, seguimos involuntariamente pelas demais: mapeie os impactos dessas obrigações de Compliance e também como estão sendo geridas, além de criar controles. A parte da gestão dessas obrigações é extremamente importante para que caso aconteça uma revisão em uma das obrigações, você auditor, possa reorganizar de forma mais fácil como lidar com a mudança e se isso irá impactar em outros processos.
Obviamente essas recomendações podem acabar entrando na parte de análise de riscos da empresa, porém cabe a cada empresa verificar a melhor forma.
A ISO 37301 é uma norma de retaguarda!
Tendo ciência desse risco, podemos fazer uma analogia muito simples para compreendermos o objetivo da norma: dentro de uma partida de futebol a ISO 37001 são os atacantes e a ISO 37301 são os zagueiros, ou seja, enquanto a ISO 37001 está combatendo o risco de suborno, a ISO 37301 está protegendo sua organização de outros riscos. Você pode compreender melhor essa diferença no meu vídeo:
Blog antissuborno
Gabriela Maluf
Adicionar Comentário