A busca pela certificação de compliance ISO 37301 tem ganhado espaço no mercado brasileiro. De acordo com pesquisas realizadas pela ISO Survey, o motivo principal para essa busca é por conta da necessidade cada vez maior de as empresas terem que demonstrar a existência efetiva de um sistema de gestão de compliance. Uma das maneiras de mensurar essa gestão de compliance é por meio da certificação ISO 37301.
Essa certificação surgiu dentro desse contexto, em que as empresas almejam não apenas demonstrar que possuem um sistema de gestão de compliance, como, principalmente, uma cultura organizacional baseada em boas práticas de compliance.
Para que se possa buscar essa certificação é preciso muito mais do que “boas políticas”, garante o especialista Bruno Basso, sócio-fundador da consultoria GEP Soluções em Compliance. “Quando nos tornamos uma consultoria de Governança, Risco e Compliance com a dupla certificação nas normas ISO 37001 e ISO 37301, tivemos muito mais desafios do que esperávamos”, afirma.
Nesse contexto, a própria ISO 37301 é clara ao estabelecer que organizações que almejam ser bem-sucedidas a longo prazo precisam estabelecer e manter uma cultura de compliance, considerando as necessidades e expectativas das partes interessadas.
Ainda de acordo com o especialista, o sistema de gestão de compliance, regido pela ISO 37301, ao ser incorporado na cultura da organização, no comportamento e na atitude das pessoas, traduz-se em práticas mensuráveis, possibilitando futuras análises de desempenho de compliance, governança, ações antissuborno e anticorrupção.
O caminho trilhado no processo de certificação ISO 37301 pode ser criterioso. Para o especialista Bruno Basso, estes são os cinco passos mais importantes para as empresas considerarem:
Passo 1: buscar entender e levantar o modelo de negócio da organização, a natureza, o porte e as atividades por ela desenvolvidas, a natureza e o escopo dos negócios na relação com terceiras partes, o contexto regulatório e legal, a situação econômica, os contextos ambiental, cultural e social, as estruturas internas, as políticas, os processos, os procedimentos e os recursos, incluindo tecnologia, e, claro, a cultura de compliance;
Passo 2: compreender as necessidades e as expectativas das partes interessadas, definir o escopo do sistema de gestão de compliance e identificar as principais obrigações de compliance da empresa;
Passo 3: realizar a avaliação de riscos de compliance da organização, mapeando objetivos dos processos de negócio, riscos de compliance, causas, consequências, probabilidade, impacto, risco inerente, controles internos, avaliação dos controles e risco residual;
Passo 4: elaborar a parte documental baseada em sua análise de risco e não esquecer das principais políticas, como as de Compliance, Competências, Comunicação, Controle de informação documentada, Monitoramento, Medição, Análise e Avaliação, Auditoria Interna e Melhoria Contínua;
Passo 5: avaliar o desempenho do sistema de gestão por meio de ferramentas de monitoramento contínuo, tais como aferição da eficácia dos treinamentos, controles, tratamento das falhas de compliance identificadas, atualização das obrigações e análises críticas das estratégias de negócio comparadas com os riscos de compliance.
O Sócio-Fundador da GEP Compliance também salienta que a implementação de um sistema de gestão de compliance pode levar, em média, de 6 a 9 meses.
