ISO 19600 -2014- Sistema de gestão de compliance Diretrizes

Prévia do material em texto

ISO 19600
Sistema de gestão
de compliance
 Diretrizes
ISBN 978-85-07-06228-8
Publicada
Junho/2016
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
 edição
ISONORMA 
INTERNACIONAL
ICS
Número de referência 
34 páginas
19600
Primeira
15-12-2014
Sistema de gestão de compliance — Diretrizes
03.100.01
ISO 19600:2014
 © ISO 2014
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
Prefácio ............................................................................................................................................................ iv
Introdução ........................................................................................................................................................ v
1 Escopo ............................................................................................................................................. 1
2 Referências normativas ............................................................................................................ 1
3	 Termos	e	definições ................................................................................................................... 1
4 Contexto da organização .......................................................................................................... 64.1 Entendendo a organização e seu contexto .......................................................................... 6
4.2 Entendendo as necessidades e expectativas das partes interessadas .................... 64.3 Determinando o escopo do sistema de gestão de compliance .................................... 64.4 Sistema de gestão de compliance e princípios de boa governança ........................... 64.5 Obrigações de compliance .......................................................................................................... 74.6 Identificação, análise e avaliação dos riscos de compliance ........................................ 8
5 Liderança ....................................................................................................................................... 95.1 Liderança e comprometimento ................................................................................................ 95.2 Política de compliance ............................................................................................................... 105.3 Papéis, responsabilidades e autoridades organizacionais ........................................ 12
6 Planejamento .............................................................................................................................166.1 Ações para abordar os riscos de compliance ................................................................... 166.2 Objetivos de compliance e planejamento para alcançá-los ....................................... 16
7 Apoio .............................................................................................................................................177.1 Recursos ..........................................................................................................................177.2 Competência e treinamento ........................................................................................177.3 Conscientização .............................................................................................................197.4 Comunicação ..................................................................................................................217.5 Informação documentada ............................................................................................21
8 Operação ......................................................................................................................................238.1 Planejamento e controle operacional ............................................................................... 238.2 Estabelecendo controles e procedimentos ..................................................................... 238.3 Processos terceirizados ............................................................................................................ 24
9 Avaliação de desempenho .....................................................................................................259.1 Monitoramento, medição, análise e avaliação ................................................................ 25
9.2 Auditoria ......................................................................................................................................... 309.3 Análise crítica pela direção ..................................................................................................... 31
10 Melhoria .......................................................................................................................................3210.1 Não conformidade, não cumprimento e ação corretiva ............................................. 3210.2 Melhoria contínua....................................................................................................................... 33
Bibliografia ....................................................................................................................................................34
iii
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Sumário Página
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
Prefácio
A International Organization for Standardization (ISO) é uma federação mundial de órgãos nacionais de normalização (órgãos membros da ISO). O trabalho de preparação de Normas Internacionais é normalmente realizado pelos Comitês Técnicos da ISO. Cada órgão membro interessado em um assunto para o qual foi estabelecido um Comitê Técnico tem o direito de ser representado neste Comitê. As organizações internacionais, governamentais e não governamentais, em ligação com a ISO, também participam no trabalho. A ISO colabora estreitamente com a International 
Electrotechnical Commission (IEC) em todos os assuntos de normalização eletrotécnica.Os procedimentos usados para desenvolver este documento e os destinados à sua posterior manutenção são descritos na Diretiva ISO/IEC, Parte 1. Particularmente, convém que os diferentes critérios de aprovação necessários para os diferentes tipos de documentos ISO sejam observados. Este documento foi elaborado em conformidade com as regras editoriais da ISO/IEC Directives, Part 2 (ver www.iso.org/directives).Chama-se a atenção para a possibilidade de que alguns dos elementos deste documento podem ser objeto de direitos de patente. A ISO não pode ser responsabilizada por identificação de quaisquer direitos de patentes. Os detalhes de quaisquer direitos de patente identificados durante o desenvolvimento do documento estarão na Introdução e/ou na lista ISO de declarações de patentes recebidas (ver www.isso.org/patents).Qualquer nome comercial usado neste documento é uma informação dada para a conveniência dos usuários e não constitui um endosso por parte da ISO.Para obter uma explicação sobre o significado de termos específicos ISO e expressões relacionadas à avaliação da conformidade, bem como informações sobre a adesão da ISO aos princípios da OMC sobre Barreiras Técnicas ao Comércio (BTC), consultar a seguinte URL: http://www.iso.org/iso/foreword O Comitê responsável por este documento é o Comitê de Projeto ISO/PC 271, Sistemas de Gestão 
de Compliance.Esta versão em portugês foi publicada em 10.06.2016.
iv
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermarkIntrodução
As organizações que pretendem ser bem-sucedidas em longo prazo precisam manter uma cultura 
de integridade e �ompliance, bem como considerar as necessidades e expectativas das partes interessadas. Portanto, integridade e compliance não somente são a base, mas também uma oportunidade para uma organização sustentável e bem-sucedida.
O compliance é a consequência de uma organização cumprir as suas obrigações, e é feito de forma sustentável, incorporando-o na cultura da organização e no comportamento e atitude de pessoas que trabalham para ela. Apesar de manter a sua independência, é preferível que a gestão de 
compliance seja integrada aos processos de gestão financeira, de risco, da qualidade, ambiental, de saúde e segurança da organização e aos seus requisitos e procedimentos operacionais.Um sistema de gestão de compliance eficaz abrangendo toda a organização permite que uma organização demonstre seu comprometimento com o cumprimento das leis pertinentes, incluindo requisitos legislativos, códigos da indústria e normas organizacionais, bem como as normas de boa governança corporativa, boas práticas, ética e expectativas da comunidade.A abordagem de uma organização quanto ao compliance é idealmente moldada pela liderança ao aplicar valores fundamentais de governança corporativa e padrões éticos e comunitários geralmente aceitos. Incorporar o compliance no comportamento das pessoas que trabalham para uma organização depende, sobretudo, da liderança em todos os níveis e da transparência dos valores de uma organização, bem como de um reconhecimento e implementação de medidas para promover um comportamento compatível. Se não for assim em todos os níveis de uma organização, existe o risco de não cumprimento.Em muitas jurisdições, os tribunais têm considerado o comprometimento de uma organização com 
o compliance por meio de seu sistema de gestão de compliance, ao determinar a sanção adequada a ser aplicada por infrações à legislação pertinente. Portanto, os órgãos regulamentadores e judiciais também podem se beneficiar desta Norma Internacional como referência.As organizações estão cada vez mais convencidas de que, por meio da aplicação de valores acordados e gestão de compliance apropriada, elas podem salvaguardar a sua integridade e evitar ou minimizar o não cumprimento da lei. Assim, a integridade e o compliance efetivos são elementos-chave de uma boa e diligente gestão. O compliance também contribui para o comportamento socialmente responsável das organizações.Esta Norma Internacional não especifica os requisitos, mas fornece diretrizes sobre sistemas de gestão de compliance e práticas recomendadas. A orientação desta Norma Internacional, no sentido de ser adaptável, e o uso desta diretriz podem ser diferentes, dependendo do porte e do nível de maturidade do sistema de gestão de compliance da organização e do contexto, natureza e complexidade das atividades da organização, incluindo a sua política e os objetivos de compliance.O fluxograma da Figura 1 é consistente com outros sistemas de gestão e se baseia no princípio de melhoria contínua (“Plan-Do-Check-Act”).
v
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
Identificação de 
questões externas e 
internas (4.1) Determinação do escopo 
e estabelecimento do 
sistema de gestão de 
compliance (4.3/4.4)
Identificação de obrigações 
de compliance e avaliação 
de riscos de compliance 
Planejamento 
operacional e 
controle dos riscos 
de compliance (8)
Planejamento para 
abordar riscos de 
compliance e alcançar 
objetivos (6)
Avaliação de 
desempenho e 
relatório de 
compliance (9)
Gestão de não 
cumprimentos e da 
melhoria contínua (10)
Comprometimento da 
liderança, independência 
da função compliance (5.1), 
responsabilidades em 
todos os níveis (5.3).
Funções de suporte (7)
 
Identificação dos 
requisitos das partes 
interessadas (4.2) 
Estabelecimento da 
política de compliance 
Princípios de boa
governança (4.4)
E
s
ta
b
e
le
c
e
r
M
e
lh
o
ra
r
Manter Desenvolver
ImplementarAvaliar
Figura 1 – Fluxograma de um sistema de gestão de complianceEsta Norma Internacional adotou a “estrutura de alto nível” (ou seja, sequência de seções, texto e terminologia comuns), desenvolvida pela ISO para melhorar o alinhamento entre as suas Normas Internacionais para sistemas de gestão. Além da sua orientação genérica sobre um sistema de gestão de compliance, esta Norma Internacional também fornece uma estrutura para ajudar na implementação de requisitos específicos relacionados ao compliance em qualquer sistema de gestão.As organizações que não adotaram normas de sistemas de gestão ou uma estrutura de gestão de 
compliance podem facilmente adotar esta Norma Internacional como diretriz autônoma dentro da sua organização.Esta Norma Internacional é adequada para ampliar os requisitos relacionados ao compliance em outros sistemas de gestão e para ajudar uma organização na melhoria da gestão global de todas as suas obrigações de compliance.Esta Norma Internacional pode ser combinada com normas de sistemas de gestão existentes (por exemplo, ISO 9001, ISO 14001, ISO 22000) e diretrizes genéricas (por exemplo, ISO 31000, ISO 26000).
vi
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
Sistema de gestão de compliance — Diretrizes
1 EscopoEsta Norma Internacional fornece orientações para o estabelecimento, desenvolvimento, imple-mentação, avaliação, manutenção e melhoria do sistema de gestão de compliance de forma efetiva e ágil em uma organização.As diretrizes relativas aos sistemas de gestão de compliance são aplicáveis a todos os tipos de organizações. A extensão da aplicação destas diretrizes depende do porte, estrutura, natureza e complexidade da organização. Esta Norma Internacional é baseada nos princípios da boa gover-nança, proporcionalidade, transparência e sustentabilidade.
2 Referências normativasNão há referências normativas.
3 Termos	e	definiçõesPara os efeitos deste documento, aplicam-se os seguintes termos e definições.
3.1 
organizaçãopessoa ou grupo de pessoas com suas próprias funções, com responsabilidades, autoridades e relações para atingir seus objetivos (3.9)NOTA O conceito de organização inclui, mas não é limitado a, empreendedor individual, companhia, corporação, firma, empresa, autoridade, parceria, caridade ou instituição, ou parte ou combinação destas, sejam elas incorporadas ou não, públicas ou privadas.
3.2 
parte interessada (termo preferido)
stakeholder (termo admitido)
pessoa ou organização (3.1) que pode afetar, ser afetada ou se perceber afetada por uma decisão 
ou atividade
3.3 
Alta Direçãopessoa ou grupo de pessoas que dirige e controla uma organização (3.1) no nível mais altoNOTA 1 A Alta Direção tem o poder de delegar autoridade e fornecer recursos na organização.NOTA 2 Se o objetivo do sistema de gestão (3.7) cobrir apenas parte de uma organização, então a Alta Direção se refere àqueles que dirigem e controlam aquela parte da organização.
3.4 
conselho de administração
pessoa ou grupo de pessoas que dirige uma organização (3.1), define orientações e a quem a Alta 
Direção (3.3) presta contas
ISO 19600:2014NORMA INTERNACIONAL
1© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
3.5 
empregadoindivíduo em um relacionamento reconhecido como uma relação de trabalho em uma lei ou prática nacional
3.6 
função de compliancepessoa(s) com a responsabilidade da gestão de compliance (3.17)NOTA De preferência, um indivíduo será designado responsávelgeral pela gestão de compliance (3.17).
3.7 
sistema de gestãoconjunto de elementos inter-relacionados ou interativos de uma organização (3.1), para estabelecer 
políticas (3.8), objetivos (3.9) e processos (3.10) para atingir estes objetivosNOTA 1 Um sistema de gestão pode abordar uma única disciplina ou várias disciplinas.NOTA 2 Os elementos do sistema incluem a estrutura da organização, papéis e responsabilidades, planejamento, operação etc.NOTA 3 O escopo de um sistema de gestão pode incluir a totalidade da organização, funções específicas e identificadas da organização, seções específicas e identificadas da organização, ou uma ou mais funções executadas por um grupo de organizações.
3.8 
políticaintenções e direção de uma organização (3.1), como formalmente expressas pela sua Alta Direção (3.3)
3.9 
objetivoresultado a ser atingidoNOTA 1 Um objetivo pode ser estratégico, tático e/ou operacional.NOTA 2 Objetivos podem se relacionar a diferentes disciplinas (como finanças, saúde e segurança, e metas ambientais) e podem se referir a diferentes níveis (como estratégico, de toda a organização, projeto, produto e processo (3.10)).NOTA 3 Um objetivo pode ser expresso de outras formas, como, por exemplo, como um resultado pretendido, um propósito, um critério operacional, um objetivo de compliance ou pelo uso de outras palavras com significado semelhante (por exemplo, finalidade, meta ou alvo).NOTA 4 No contexto dos sistemas de gestão de compliance, os objetivos de compliance são definidos pela organização, de acordo com a política de compliance, para alcançar os resultados específicos.
3.10 
processoconjunto de atividades inter-relacionadas ou interativas que transforma entradas em saídas
3.11 
riscoefeito da incerteza sobre os objetivos (3.9)NOTA 1 Um efeito é um desvio do esperado – positivo ou negativo.
2
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
NOTA 2 A incerteza é o estado, ainda que parcial, de deficiência de informação de compreensão ou conhecimento, relacionado a um evento, sua consequência ou probabilidade.NOTA 3 O risco é frequentemente caracterizado pela referência a “eventos” em potencial (como definido no ISO Guide 73:2009, 3.5.1.3) e “consequências” (conforme definido no ISO Guide 73:2009, 3.6.1.3), ou uma combinação destes.NOTA 4 O risco é frequentemente expresso em termos de uma combinação das consequências de um evento (incluindo mudanças nas circunstâncias) e da “probabilidade” associada (como definido no ISO Guide 73:2009, 3.6.1.1) de ocorrência.
3.12 
risco de complianceefeito da incerteza sobre os objetivos (3.9) de complianceNOTA Risco de compliance pode ser caracterizado pela probabilidade de ocorrência e pelas consequências de não cumprimento (3.18) com as obrigações de compliance (3.16) da organização.
3.13 
requisitonecessidade ou expectativa que é declarada, geralmente implícita ou obrigatóriaNOTA 1 “Geralmente implícita” significa que é costume ou prática comum para a organização e para as partes interessadas que a necessidade ou expectativa sob consideração seja implícita.NOTA 2 Um requisito especificado é aquele que é declarado, por exemplo, em informação documentada.
3.14 
requisito de compliance
requisito (3.13) que uma organização (3.1) tem que cumprir
3.15 
comprometimento de compliance
requisito (3.13) que uma organização (3.1) decide cumprir
3.16 
obrigação de compliance
requisito de compliance (3.14) ou comprometimento de compliance (3.15)
3.17 
compliance
atendimento a todas as obrigações de compliance (3.16) da organização
NOTA O compliance torna-se sustentado quando incorporado na cultura de uma organização (3.1), bem como no comportamento e na atitude de pessoas que trabalham para ela.
NOTA BRASILEIRA O entendimento comumente disseminado para o termo compliance é de que se trata do conjunto de mecanismos tendentes ao cumprimento de normas legais e regulamentares, políticas e diretrizes estabelecidas para o negócio e para as atividades da organização. O compliance visa a prevenir, detectar e sanar todo e qualquer desvio ou não cumprimento que ocorra.
3.18 
não cumprimentonão cumprimento de uma obrigação de compliance (3.16)
3
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
NOTA O não cumprimento pode ser um evento único ou múltiplo e pode ou não resultar de uma não 
compliance (3.33).
3.19 
cultura de compliancevalores, ética e crenças que existem em toda a organização (3.1) e interagem com as estruturas da organização e sistemas de controle, para produzir normas de comportamento que são favoráveis aos resultados de compliance (3.17)
3.20 
códigodeclaração de práticas desenvolvidas internamente ou por um órgão internacional, nacional ou industrial, ou outra organização (3.1)NOTA O código pode ser obrigatório ou voluntário.
3.21 
normas organizacionais e empresariais
códigos (3.20), boas práticas, estatutos, normas técnicas e industriais documentados, considerados 
pertinentes por uma organização (3.1)
3.22 
autoridade regulamentadora
organização (3.1) responsável por regulamentar ou exigir compliance (3.17) com os requisitos (3.13) legislativos e outros requisitos
3.23 
competênciacapacidade de aplicar conhecimentos e habilidades para alcançar os resultados pretendidos
3.24 
informação documentadainformação requerida para ser controlada e mantida por uma organização (3.1) e pelo meio no qual ela está contidaNOTA 1 Informação documentada pode estar em qualquer formato ou meio e proveniente de qualquer fonte.NOTA 2 Informação documentada pode se referir a:
 — sistema de gestão (3.7), incluindo processos (3.10) relacionados;
 — informação criada para que a organização opere (documentação);
 — evidência de resultados alcançados (registros).
3.25 
procedimentoforma especificada de executar uma atividade ou um processo (3.10)
3.26 
desempenhoresultado mensurável
4
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
NOTA 1 Desempenho pode se relacionar tanto a constatações quantitativas quanto qualitativas.NOTA 2 Desempenho pode se relacionar à gestão das atividades, processos (3.10), produtos (incluindo serviços), sistemas ou organizações (3.1).
3.27 
melhoria contínua
atividade recorrente ou processo (3.10) para aumentar o desempenho (3.26)
3.28 
terceirizar (verbo)fazer um arranjo onde uma organização (3.1) externa desempenha parte de uma função ou 
processo (3.10) de uma organizaçãoNOTA Uma organização externa está fora do sistema de gestão (3.7), embora a função terceirizada ou processo esteja dentro do escopo.
3.29 
monitoramentodeterminação da situação de um sistema, um processo (3.10) ou uma atividadeNOTA 1 Para determinar a situação, pode haver necessidade de verificar, supervisionar ou observar 
criticamente.NOTA 2 O monitoramento não é uma atividade que ocorre uma só vez, mas um processo de observação regular ou contínua de uma situação.
3.30 
medição
processo (3.10) para determinar um valor
3.31 
auditoria
processo (3.10) sistemático, independente e documentado para obter evidência de auditoria e para avaliá-la objetivamente, para determinar a extensão na qual os critérios de auditoria são atendidos 
NOTA 1 Uma auditoria pode ser uma auditoria interna (primeira parte) ou uma auditoria externa (segunda parte ou terceira parte), e pode ser uma auditoria combinada (combinando duas ou mais disciplinas).NOTA 2 “Evidência de auditoria” e “critérios de auditoria” são definidos na ISO 19011.NOTA 3 A independência pode ser demonstrada pela ausênciade responsabilidade em relação à atividade que está sendo auditada ou pela ausência de preconceitos e conflitos de interesse.
3.32 
conformidade
atendimento a um requisito (3.13) do sistema de gestão
3.33 
não conformidadenão atendimento a um requisito (3.13) do sistema de gestãoNOTA A não conformidade não é necessariamente um não cumprimento (3.18).
5
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
3.34 
correçãoação para eliminar uma não conformidade (3.33) identificada ou um não cumprimento (3.18)
3.35 
ação corretivaação para eliminar a causa de uma não conformidade (3.33) ou um não cumprimento (3.18), e para prevenir a recorrência
4 Contexto da organização
4.1 Entendendo a organização e seu contextoConvém que a organização determine as questões externas e internas, como as relacionadas aos 
riscos de compliance, que são pertinentes para a sua finalidade e que afetam sua capacidade de atingir o(s) resultado(s) pretendido(s) de seu sistema de gestão de compliance. Ao fazer isto, convém que a organização considere uma ampla série de aspectos externos e internos, como os contextos regulamentares, sociais e culturais, a situação econômica e as políticas, procedimentos, 
processos e recursos internos.
4.2 Entendendo as necessidades e expectativas das partes interessadasConvém que a organização determine:
 — as partes interessadas que são pertinentes ao sistema de gestão de compliance;
 — os requisitos destas partes interessadas.
4.3 Determinando o escopo do sistema de gestão de complianceConvém que a organização determine os limites e a aplicabilidade do sistema de gestão de compliance para estabelecer o seu escopo.NOTA O escopo do sistema de gestão de compliance é destinado a esclarecer os limites geográficos e/ou organizacionais aos quais se aplica o sistema de gestão de compliance, especialmente se a organização for parte de uma organização maior em determinado local.Ao determinar esse escopo, convém que a organização considere:
 — as questões externas e internas referidas em 4.1;
 — os requisitos referidos em 4.2 e 4.5.1.Convém que o escopo esteja prontamente disponível como informação documentada.
4.4 Sistema de gestão de compliance e princípios de boa governançaConvém que a organização estabeleça, desenvolva, implemente, avalie, mantenha e melhore conti-nuamente um sistema de gestão de compliance, incluindo os processos necessários e suas intera-ções, de acordo com esta Norma Internacional, levando em consideração os seguintes princípios de governança:
 — acesso direto da função de compliance ao órgão regulamentador;
6
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
 — independência da função de compliance;
 — autoridade apropriada e recursos adequados alocados à função de compliance.Convém que o sistema de gestão de compliance reflita os valores, objetivos, estratégia e riscos de 
compliance da organização.
4.5 Obrigações	de	compliance
4.5.1 Identificação	das	obrigações	de	complianceConvém que a organização identifique sistematicamente as suas obrigações de compliance e suas implicações para as suas atividades, produtos e serviços. Convém que a organização leve estas obrigações em consideração no estabelecimento, desenvolvimento, implementação, avaliação, manutenção e melhoria do sistema de gestão de compliance.Convém que a organização documente suas obrigações de compliance de forma apropriada ao seu porte, complexidade, estrutura e operações.Convém que fontes de obrigações de compliance incluam requisitos de compliance e possam incluir comprometimento de compliance.EXEMPLO 1 Exemplos de requisitos de compliance incluem:
 — leis e regulamentos;
 — permissões, licenças ou outras formas de autorização;
 — ordens, regras ou diretrizes emitidas pelas agências reguladoras;
 — decisões de tribunais de justiça ou tribunais administrativos;
 — tratados, convenções e protocolos.EXEMPLO 2 Exemplos de comprometimento de compliance incluem:
 — acordos com grupos comunitários ou organizações não governamentais;
 — acordos com as autoridades públicas e os clientes;
 — requisitos organizacionais, como as políticas e os procedimentos;
 — princípios voluntários ou códigos de prática;
 — rotulagem voluntária ou compromissos ambientais;
 — obrigações decorrentes de acordos contratuais com a organização;
 — normas organizacionais e industriais pertinentes.
7
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
4.5.2 Manutenção	das	obrigações	de	complianceConvém que as organizações disponham de processos para identificar novas leis e alterações de leis, regulamentos, códigos e outras obrigações de compliance para assegurar a sua continuidade. Convém que as organizações tenham processos para avaliar o impacto das mudanças identificadas e para implementar quaisquer mudanças na gestão das obrigações de compliance.EXEMPLO Exemplos de processos para a obtenção de informações sobre as alterações às leis e outras obrigações de compliance incluem:
 — estar nas listas de distribuição de destinatários de regulamentadores pertinentes;
 — participar de grupos profissionais;
 — subscrever serviços de informação pertinentes;
 — participar de fóruns e seminários empresariais;
 — monitorar os sites dos regulamentadores;
 — reunir-se com os regulamentadores;
 — contatar assessores jurídicos; 
 — monitorar as fontes das obrigações de compliance (por exemplo, declarações de regulamentação e decisões judiciais).
4.6 Identificação,	análise	e	avaliação	dos	riscos	de	complianceConvém que a organização identifique e avalie os seus riscos de compliance. Esta avaliação pode ser baseada em uma avaliação formal do risco de compliance ou conduzida por abordagens alternativas. A avaliação do risco de compliance constitui a base para a implementação do sistema de gestão de compliance e para a alocação planejada de recursos e processos apropriados e 
adequados para gerir os riscos de compliance identificados.Convém que a organização identifique os riscos de compliance, relacionando as suas obrigações 
de compliance às suas atividades, produtos, serviços e aspectos pertinentes de suas operações, a fim de identificar situações em que pode ocorrer o não cumprimento. Convém que a organização identifique as causas e consequências do não cumprimento.Convém que a organização analise os riscos de compliance, considerando as causas e fontes de não cumprimento e a gravidade de suas consequências, bem como a probabilidade de que os não cumprimentos e consequências associadas possam ocorrer. As consequências podem incluir, por exemplo, danos pessoais e ambientais, perda econômica, danos à sua reputação e responsabilidade civil administrativa.A avaliação de riscos envolve a comparação do nível de risco de compliance encontrado durante o processo de análise com o nível de risco de compliance que a organização pode e está disposta a aceitar. Com base nesta comparação, as prioridades podem ser definidas como uma base para determinar a necessidade de implementação de controles e a extensão destes controles (ver 6.1).
Convém que os riscos de compliance sejam reavaliados periodicamente e sempre que houver:
 — atividades, produtos ou serviços novos ou alterados;
8
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
 — alterações na estrutura ou na estratégia da organização;
 — mudanças externassignificativas, como circunstâncias econômico-financeiras, condições de mercado, passivos e relacionamento com o cliente;
 — alterações em obrigações de compliance (ver 4.5);
 — não cumprimento(s).NOTA 1 A extensão e o nível de detalhes da avaliação do risco de compliance dependem da situação de risco, do contexto, do porte e dos objetivos da organização, e podem variar para as subáreas específicas (por exemplo, meio ambiente, finanças, social).NOTA 2 A abordagem baseada no risco para a gestão de compliance não significa que, para situações de baixo risco de compliance, o não cumprimento seja aceito pela organização. Ela auxilia as organizações a focarem a atenção e os recursos primários nos riscos mais elevados como uma prioridade e, finalmente, irá cobrir todos os riscos de compliance. Todos os riscos/situações de compliance identificados estão sujeitos a monitoramento, correção e ação corretiva.NOTA 3 A ISO 31000 fornece orientações detalhadas sobre a avaliação de riscos.
5 Liderança
5.1 Liderança e comprometimentoConvém que o conselho de administração e a Alta Direção demonstrem liderança e comprometi-mento com relação ao sistema de gestão de compliance por: a) estabelecer e defender os valores fundamentais da organização; b) assegurar que os objetivos e a política de compliance sejam estabelecidos e consistentes com os valores, objetivos e direcionamento estratégico da organização (ver 6.2); c) assegurar que as políticas, procedimentos e processos sejam desenvolvidos e implementados para atingir os objetivos de compliance; d) assegurar que os recursos necessários para o sistema de gestão de compliance estejam disponíveis, reservados e atribuídos; e) assegurar a integração dos requisitos do sistema de gestão de compliance aos processos do negócio da organização; f) comunicar a importância de um sistema de gestão de compliance eficaz e a importância da conformidade nos requisitos do sistema de gestão de compliance; g) dirigir e apoiar as pessoas que contribuem para a eficácia do sistema de gestão de compliance; h) apoiar outros papéis de gestão pertinentes para demonstrar à sua liderança como se aplicam as suas áreas de responsabilidade de compliance; i) assegurar o alinhamento entre as metas operacionais e as obrigações de compliance; j) estabelecer e manter mecanismos de responsabilização por prestar contas, incluindo o relato tempestivo sobre assuntos de compliance, inclusive o não cumprimento;
9
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
 k) assegurar que o sistema de gestão de compliance atinja o(s) seu(s) resultado(s) pretendido(s); l) promover melhoria contínua.
EXEMPLO Um compliance eficaz requer um comprometimento ativo do órgão de controle e da Alta Direção, que permeie toda a organização. O nível de comprometimento é indicado pelo grau em que:
 — o órgão regulamentador e todos os níveis da administração demonstrem ativamente o comprometimento em estabelecer, desenvolver, implementar, avaliar, manter e melhorar um sistema de gestão de compliance eficaz e ágil por meio de suas ações e decisões;
 — a política de compliance seja formalmente aprovada pelo órgão regulamentador;
 — a Alta Direção assuma a responsabilidade por assegurar que o comprometimento com o compliance da organização seja realizado plenamente;
 — todos os níveis de gestão consistentemente transmitam uma mensagem clara (demonstrada por pala-vras e ações) para os empregados de que a organização irá atender às suas obrigações de compliance;
 — o comprometimento de compliance seja comunicado amplamente em declarações claras e convincentes, apoiadas por ação;
 — a função de compliance seja dada a um nível de autoridade que reflita a importância do compliance efetivo e tenha acesso direto ao órgão regulamentador;
 — os recursos sejam alocados para o estabelecimento, desenvolvimento, implementação, avaliação, manutenção e melhoria de uma cultura sólida de compliance, por meio de atividades de conscientização e treinamento;
 — políticas, procedimentos e processos reflitam não apenas os requisitos legais, mas também códigos voluntários e valores fundamentais da organização;
 — a organização atribua e requeira a responsabilização por prestar contas à direção do compliance em todos os níveis da organização;
 — seja necessária uma análise crítica regular do sistema de gestão de compliance;
 — o desempenho de compliance da organização seja continuamente melhorado;
 — ações corretivas sejam adotadas.
5.2 Política de compliance
5.2.1 GeneralidadesConvém que o conselho de administração e a Alta Direção, de preferência em consulta com os empregados, estabeleçam uma política de compliance que
 — seja apropriada ao propósito da organização;
 — forneça uma estrutura para definir os objetivos de compliance;
 — inclua um comprometimento para satisfazer os requisitos aplicáveis;
 — inclua um comprometimento de melhoria contínua do sistema de gestão de compliance.
10
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
Convém que a política de compliance articule:
 — o escopo do sistema de gestão de compliance;
 — a aplicação e o contexto do sistema em relação ao porte, natureza e complexidade da organização e seu ambiente operacional;
 — a extensão à qual o compliance será integrado com outras funções, como governança, risco, auditoria e departamento jurídico;
 — o grau em que o compliance será incorporado nas políticas operacionais, procedimentos e processos;
 — o grau de independência e autonomia da função de compliance;
 — a responsabilidade para gerenciar e relatar questões de compliance;
 — os princípios a partir dos quais as relações com as partes interessadas internas e externas serão gerenciadas;
 — o padrão de conduta e a responsabilização por prestar contas requeridos;
 — as consequências do não cumprimento.Convém que a política de compliance:
 — esteja disponível como informação documentada;
 — seja escrita em linguagem simples para que todos os empregados possam facilmente compreender os princípios e intenções;
 — seja traduzida para outras línguas, se necessário;
 — seja comunicada claramente dentro da organização e seja prontamente disponibilizada para todos os empregados;
 — esteja disponível para as partes interessadas, conforme apropriado;
 — seja atualizada, conforme requerido, para assegurar que ela permaneça relevante.Convém que a política de compliance seja estabelecida em alinhamento com os valores, os objetivos e a estratégia da organização, e seja aprovada pelo conselho de administração.A política de compliance estabelece os princípios globais e o comprometimento com a ação para uma organização atingir o compliance. Ela define o nível de responsabilidade e o desempenho necessários, bem como as expectativas para as ações que serão avaliadas. Convém que a política seja adequada às obrigações de compliance da organização, decorrentes de suas atividades.Não convém que a política de compliance seja um documento autônomo, mas convém que seja apoiada por outros documentos, incluindo as políticas operacionais, os procedimentos e os processos.
11
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
5.2.2 DesenvolvimentoNo desenvolvimento da política de compliance, convém considerar: a) obrigações internacionais, regionais ou locais específicas; b) estratégia, objetivos e valores da organização; c) estrutura e quadro de governança da organização; d) natureza e nível de risco associado ao não cumprimento; e) outras políticas, normas e códigos internos.5.3 Papéis,	responsabilidades	e	autoridades	organizacionais
5.3.1 GeneralidadesConvém que a Alta Direção assegure que as responsabilidades e autoridades dos papéis pertinentes sejam atribuídas e comunicadas dentro da organização.Convém que o conselho de administração e a Alta Direção atribuam a responsabilidade e a auto-ridade para a função de compliance para: a) assegurar que o sistema de gestão de compliance seja consistente com esta Norma Internacional; b) relatar o desempenho do sistema de gestão de compliance para o órgão regulamentador e a Alta Direção.NOTA As atribuições específicas da função de compliance não isentam outros empregados de res-ponsabilidades para relatar a respeito de compliance que possa existir.
5.3.2 Atribuição de responsabilidade pelo compliance na organizaçãoA participação ativa e a supervisão do conselho de administração e da Alta Direção são parte integrante de um sistema de gestão de compliance efetivo. Isso ajuda a assegurar que os empregados entendam plenamente a política da organização e os procedimentos operacionais, e como estes se aplicam aos seus postos de trabalho, para que eles realizem as obrigações de compliance de forma eficaz.Para um sistema de gestão de compliance ser eficaz, o conselho de administração e a Alta Direção precisam dar o exemplo, aderindo e apoiando ativamente o compliance e o sistema de gestão de 
compliance.Muitas organizações têm uma pessoa dedicada (por exemplo, um gestor de compliance), responsável pela gestão de compliance no dia a dia, e algumas têm um comitê de compliance funcional para coordenar o compliance em toda a organização.Algumas organizações - dependendo do seu porte - também têm alguém com a responsabilidade geral para a gestão de compliance, embora isso possa ser um papel ou função adicional, incluindo comitês, unidade organizacional ou elementos terceirizados para especialistas de compliance.Não convém que isto seja visto como absolvendo outros níveis de gestão das suas responsabilidades 
de compliance, já que todos os gestores têm um papel a desempenhar no que diz respeito ao 
12
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
sistema da gestão de compliance. Portanto, é importante que as respectivas responsabilidades sejam claramente definidas e incluídas em suas descrições de trabalho.As responsabilidades dos gestores de compliance irão, por necessidade, variar de acordo com os níveis de autoridade, influência e outros fatores, como a natureza e o porte da organização. No entanto, algumas responsabilidades são suscetíveis de serem comuns em uma variedade de organizações.NOTA Esta Norma Internacional não faz distinção entre o conceito de responsabilidade e o de res-ponsabilização por prestar contas. A responsabilização por prestar contas está implícita no uso do termo “responsabilidade”.
5.3.3 Papel e responsabilidade do conselho de administração e da Alta DireçãoConvém que o conselho de administração e a Alta Direção: a) estabeleçam uma política de compliance de acordo com 5.2.2; b) assegurem que o comprometimento com o compliance seja mantido e que o não cumprimento e o comportamento incompatíveis sejam tratados de forma adequada; c) incluam responsabilidades de compliance em tomadas de posição da Alta Direção; d) nomeiem ou designem uma função de compliance com: 1) autoridade e responsabilidade pelo projeto, consistência e integridade do sistema de gestão 
de compliance; 2) apoio claro e inequívoco e acesso direto ao órgão regulamentador e à Alta Direção; 3) acesso a:
 — tomadores de decisão seniores e a oportunidade de contribuir no início dos processos de tomada de decisão;
 — todos os níveis da organização:
 — todas as informações documentadas e dados necessários para executar as tarefas 
de compliance;
 — consultoria especializada em leis, regulamentos, códigos e normas organizacionais; 4) autoridade e capacidade para executar o poder de oposição, mostrando as eventuais consequências para o compliance em processos de tomada de decisão pertinentes; e) assegurem que a função de compliance tenha autoridade para agir de forma independente e que não seja comprometida por prioridades conflitantes, particularmente quando o compliance está embutido no negócio.Convém que a Alta Direção:
 — aloque recursos adequados e apropriados para estabelecer, desenvolver, implementar, avaliar, manter e melhorar o sistema de gestão de compliance e os resultados de desempenho;
 — assegure que as responsabilidades e autoridades para papéis pertinentes sejam atribuídas e comunicadas dentro da organização;
13
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
 — assegure que os sistemas eficazes e oportunos de relatórios estejam em vigor;
 — seja avaliada de acordo com as medidas-chave de desempenho de compliance ou resultados;
 — atribua a responsabilidade de relatar o desempenho do sistema de gestão de compliance para o órgão regulamentador e a Alta Direção.
5.3.4 Função de complianceNem todas as organizações irão criar uma função de compliance específica, porém algumas podem atribuir esta função a uma posição existente.Convém que a função de compliance, trabalhando em conjunto com a direção, seja responsável por: a) identificar as obrigações de compliance com o apoio de recursos pertinentes e traduzir essas obrigações em políticas, procedimentos e processos acionáveis; b) integrar obrigações de compliance nas políticas, procedimentos e processos existentes; c) fornecer ou organizar apoio contínuo de treinamento para os empregados, para assegurar que todos os empregados relevantes sejam treinados regularmente; d) promover a inclusão das responsabilidades de compliance em descrições de cargos e processos de gestão de desempenho de empregados; e) definir um sistema de relatórios de compliance e documentação em vigor; f) desenvolver e implementar processos para a gestão da informação, como reclamações e/ou retroalimentação por meio de linhas diretas, um sistema de comunicação de irregularidades e de outros mecanismos de execução; g) estabelecer indicadores de desempenho de compliance e monitorar e medir o desempenho 
em compliance; h) analisar o desempenho para identificar a necessidade de ações corretivas; i) identificar riscos de compliance e gestão destes riscos de compliance relativos a terceiros, como fornecedores, agentes, distribuidores, consultores e contratados; j) assegurar que o sistema de gestão de compliance seja analisado criticamente em intervalos planejados; k) assegurar que haja acesso a aconselhamento profissional adequado no estabelecimento, implementação e manutenção do sistema de gestão de compliance; l) fornecer aos empregados acesso a recursos sobre os procedimentos e referências de compliance; m) fornecer aconselhamento objetivo para a organização sobre assuntos relacionados ao compliance.NOTA Diretrizes sobre como lidar com reclamações são fornecidas na ISO 10002.Ao atribuir a responsabilidade pela gestão de compliance, convém assegurar que a função 
de compliance não tenha conflito de interesses e tenha demonstrado:
 — integridade e comprometimento com o compliance;
14
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
 — comunicação eficaz e habilidades de influência;
 — uma capacidade e legitimidade para comandar a aceitação de aconselhamento e orientação;
 — competência pertinente.
5.3.5 Responsabilidades da direçãoConvém que a direção seja responsável pelo compliance dentro de sua área de responsabilidade. Isso inclui: a) cooperarcom e apoiar a função de compliance, bem como incentivar os empregados a fazer o mesmo; b) cumprir pessoalmente e ser visto cumprindo as políticas, procedimentos e processos, 
participar e apoiar atividades de treinamento de compliance; c) identificar e comunicar os riscos de compliance em suas operações; d) realizar ativamente e incentivar a orientação, coaching e supervisão dos empregados para promover um comportamento compatível; e) incentivar os empregados a levantar preocupações de compliance; f) participar ativamente na gestão e resolução de incidentes e questões relacionados ao 
compliance; g) conscientizar os empregados sobre as obrigações de compliance, direcionando-os para atender aos requisitos de treinamento e competência; h) assegurar que o compliance seja levado em conta nas descrições das funções; i) integrar o desempenho de compliance nas avaliações de desempenho dos empregados (por exemplo, indicadores-chave de desempenho, metas e critérios de promoção); j) integrar obrigações de compliance em práticas e procedimentos de negócios existentes em suas áreas de responsabilidade; k) em conjunto com a função de compliance, assegurar que, uma vez que a necessidade de ação corretiva seja identificada, ela seja implementada; l) supervisionar acordos de terceirização para assegurar que as obrigações de compliance sejam levadas em conta.
5.3.6 Responsabilidade do empregadoConvém que todos os empregados, incluindo gerentes: a) adiram às obrigações de compliance da organização, que são relevantes para a sua posição e atribuições; b) participem de treinamento de acordo com o sistema de gestão de compliance; c) utilizem os recursos de compliance disponíveis como parte do sistema de gestão de compliance; d) relatem preocupações de compliance, problemas e falhas.
15
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
6 Planejamento
6.1 Ações	para	abordar	os	riscos	de	complianceDurante o planejamento do sistema de gestão de compliance, convém que a organização considere as questões referidas em 4.1, os requisitos referidos em 4.2, os princípios da boa governança referidos em 4.4, as obrigações de compliance identificadas em 4.5 e os resultados da avaliação de 
risco de compliance referidos em 4.6 para determinar os riscos de compliance que necessitam ser abordados para:
 — garantir que o sistema de gestão de compliance atinja o(s) seu(s) resultado(s) pretendido(s);
 — prevenir, detectar e reduzir os efeitos indesejáveis;
 — promover melhoria contínua.Convém que a organização planeje: a) ações para abordar esses riscos de compliance e b) como:
 — integrar e implementar as ações em seus processos do sistema de gestão de compliance;
 — avaliar a eficácia dessas ações.Convém que a organização retenha a informação documentada sobre os riscos de compliance e sobre as ações planejadas para abordá-los.
6.2 Objetivos de compliance e planejamento para alcançá-losConvém que a organização estabeleça os seus objetivos do sistema de gestão de compliance em funções e níveis relevantes.Convém que os objetivos de compliance: a) sejam consistentes com a política de compliance; b) sejam mensuráveis (se possível); c) levem em consideração os requisitos aplicáveis; d) sejam monitorados; e) sejam comunicados; f) sejam atualizados e/ou revisados, caso necessário.Ao planejar como alcançar seus objetivos de compliance, convém que a organização determine:
 — o que será feito;
 — os recursos que serão necessários;
16
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
 — quem será responsável;
 — quando será concluído;
 — como os resultados serão avaliados, por exemplo, nos termos das medidas-chave de desem-penho de compliance identificadas e resultados.Convém que a organização retenha a informação documentada sobre os objetivos de compliance e sobre as ações planejadas para alcançá-los.
7 Apoio
7.1 RecursosConvém que a organização determine e forneça os recursos necessários para o estabelecimento, desenvolvimento, implementação, avaliação, manutenção e melhoria contínua do sistema de gestão de compliance adequado ao seu porte, complexidade, estrutura e operações.Convém que a Alta Direção e todos os outros níveis de direção assegurem que os recursos neces-sários sejam implementados de forma eficaz, para assegurar que o sistema de gestão de compliance atenda aos seus objetivos e que o compliance seja alcançado.Os recursos incluem recursos humanos e financeiros, como acesso a aconselhamento externo e habilidades especializadas, infraestrutura organizacional, material de referência contemporânea sobre gestão de compliance e as obrigações legais, desenvolvimento profissional e tecnologia.
7.2 Competência e treinamento
7.2.1 CompetênciaConvém que a organização: a) determine as competências necessárias do(s) empregado(s) que faz(em) o trabalho sob o seu controle e que afeta(m) o desempenho do sistema de gestão de compliance; b) assegure que esses empregados sejam competentes, com base em educação, treinamento e/ou experiência de trabalho; c) onde aplicável, tome ações para adquirir a competência necessária e avalie a eficácia das ações tomadas; d) retenha a informação documentada adequada, incluindo evidências de competência.NOTA As ações aplicáveis podem incluir, por exemplo, a oferta de treinamento, orientação ou rema-nejamento de empregados; ou a contratação de pessoas competentes.
7.2.2 TreinamentoO órgão regulamentador, a direção e todos os empregados têm obrigações de compliance e convém que sejam competentes para desempenhá-las de forma eficaz. A obtenção da competência pode ser alcançada de várias maneiras, incluindo habilidades e conhecimentos necessários, por meio de educação, treinamento ou experiência de trabalho.
17
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
O objetivo de um programa de treinamento é assegurar que todos os empregados sejam compe-tentes para cumprir seu papel no trabalho, de forma consistente com a cultura de compliance da organização e com o seu comprometimento com o compliance.Treinamento bem concebido e executado pode fornecer uma maneira eficaz para os empregados 
comunicarem os riscos de compliance anteriormente não identificados.Convém que a educação e o treinamento dos empregados sejam: a) adaptados às obrigações e riscos de compliance relacionados com os papéis e responsabilidades do empregado; b) se for o caso, com base na avaliação de lacunas no conhecimento e competência dos empregados; c) realizados por ocasião da admissão na organização e contínuos; d) alinhados com o programa de treinamento corporativo e incorporados em planos de treinamentos anuais; e) práticos e facilmente compreendidos pelos empregados; f) relevantes para o trabalho do dia a dia dos empregados e ilustrativos da indústria, organização ou setor em questão; g) suficientemente flexíveis para levar em consideração uma série de técnicas para satisfazer as diferentes necessidades das organizações e dos empregados;NOTA Treinamento interativo pode ser a melhor forma de treinamento, se o não cumprimento puder resultar em consequências graves. h) avaliados quanto à eficácia; i) atualizados conforme a necessidade; j) registrados e retidos.
Convém que retreinamento em compliance seja considerado sempre que houver:
 — mudança de cargo ou responsabilidades;
 — mudanças em políticas, procedimentos e processos internos;
 — mudanças na estrutura da organização;
 — mudanças nas obrigações de compliance, especialmente nos requisitos legais ou das partesinteressadas;
 — mudanças nas atividades, produtos ou serviços;
 — questões decorrentes do monitoramento, auditoria, análises críticas, reclamações e não cum-primento, incluindo retroalimentação das partes interessadas.
18
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
7.3 Conscientização
7.3.1 GeneralidadesConvém que as pessoas que executem trabalho sob controle da organização estejam conscientes: a) da política de compliance; b) de seu papel e contribuição para a eficácia do sistema de gestão de compliance, incluindo os benefícios da melhoria do desempenho do sistema de gestão de compliance; c) das implicações ao não cumprir os requisitos do sistema de gestão de compliance.
7.3.2 Comportamento
7.3.2.1 Generalidades
Convém que o comportamento que cria e apoia o compliance seja incentivado e que o comporta-
mento que compromete o compliance não seja tolerado.
7.3.2.2 Papel da Alta Direção ao incentivar o complianceA Alta Direção tem uma responsabilidade-chave por: a) alinhar o comprometimento da organização para o compliance de seus valores, objetivos e estratégia, a fim de colocar o compliance adequadamente; b) comunicar seu comprometimento de compliance, a fim de construir a consciência e motivar os empregados a adotar o sistema de gestão de compliance; c) incentivar todos os empregados a aceitar a importância de alcançar os objetivos de compliance pelos quais são responsabilizados; d) criar um ambiente onde o relato de não cumprimento é incentivado e o relato do empregado estará a salvo de retaliação; e) incentivar os empregados a fazer sugestões que facilitem a melhoria contínua do desempenho 
de compliance; f) assegurar que o compliance seja incorporado às iniciativas mais amplas da cultura e da mudança da cultura organizacional; g) identificar e agir prontamente para corrigir ou resolver o não cumprimento; h) assegurar que as políticas organizacionais, procedimentos e processos apoiem e incentivem 
o compliance; i) assegurar que os objetivos e metas operacionais não comprometam o comportamento compatível.
7.3.2.3 Cultura de complianceO desenvolvimento de uma cultura de compliance requer o comprometimento ativo, visível, consistente e sustentado do conselho de administração da Alta Direção e direção a um padrão comum de comportamento, publicado, e que seja requerido em todas as áreas da organização.
19
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
EXEMPLO Os exemplos de fatores que irão apoiar o desenvolvimento de uma cultura de compliance incluem:
 — um conjunto transparente de valores publicados;
 — gestão ativamente vista para implementar e cumprir os valores;
 — coerência no tratamento de ações semelhantes, independentemente do cargo;
 — orientação, coaching e liderança por meio de exemplo;
 — avaliação pré-emprego adequada de potenciais empregados;
 — um programa de indução ou orientação que enfatize o compliance e os valores da organização;
 — treinamento contínuo de compliance, incluindo atualizações para o treinamento;
 — comunicação contínua sobre as questões de compliance;
 — sistemas de avaliação de desempenho que considerem a avaliação do comportamento de compliance e levem em consideração o pagamento pelo desempenho em alcançar medidas-chave e resultados de desempenho de compliance;
 — reconhecimento visível das realizações da gestão de compliance e dos resultados;
 — medidas disciplinares imediatas e proporcionais, no caso de violações intencionais ou negligentes das obrigações de compliance;
 — uma ligação clara entre os papéis individuais e a estratégia da organização, refletindo o compliance como essencial para alcançar os resultados organizacionais;
 — uma comunicação aberta e adequada sobre compliance.A evidência de uma cultura de compliance é indicada pelo grau em que:
 — os itens anteriores são implementados;
 — as partes interessadas (particularmente os empregados) acreditam que os itens anteriores foram implementados;
 — os empregados compreendem a relevância das obrigações de compliance relacionadas às suas próprias atividades e às de sua unidade de negócios;
 — a remediação por não cumprimento é ‘propriedade’ e é acionada em todos os níveis apropriados da organização, conforme necessário;
 — o papel da função de compliance e os seus objetivos são valorizados;
 — empregados são habilitados e incentivados a levantar preocupações de compliance ao nível de gestão apropriado.
20
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
7.4 Comunicação
7.4.1 GeneralidadesConvém que a organização determine a necessidade de comunicações internas e externas relevantes para o sistema de gestão de compliance, incluindo: a) o que irá comunicar; b) quando comunicar; c) para quem irá comunicar; d) como irá comunicar.NOTA Orientação sobre os relatórios de compliance internos e externos é apresentada em 9.1.7 e 9.1.8.
7.4.2 Comunicação internaConvém que a organização adote métodos de comunicação adequados para assegurar que a men-
sagem de compliance seja ouvida e compreendida por todos os empregados em uma base contí-nua. Convém que a comunicação estabeleça claramente a expectativa dos empregados quanto aos não cumprimentos que são esperados para ser escalados e sob quais circunstâncias e para quem na organização. 
7.4.3 Comunicação externaConvém que uma abordagem prática para a comunicação externa, tendo como meta todas as partes interessadas, seja adotada de acordo com a política da organização.As partes interessadas podem incluir, mas não estão limitadas a, conselhos de administração, clientes, contratados, fornecedores, investidores, serviços de emergência, organizações não governamentais e vizinhança.Os métodos de comunicação podem incluir sites e e-mails, comunicados de imprensa, anúncios e boletins periódicos, relatórios (ou outros periódicos) anuais, discussões informais, eventos, grupos de discussão, diálogo com a comunidade, participação em eventos comunitários e linhas diretas. Essas abordagens podem incentivar a compreensão e a aceitação do comprometimento de uma organização para o compliance.
7.5 Informação documentada
7.5.1 GeneralidadesConvém que o sistema de gestão de compliance da organização inclua: a) informação documentada recomendada por esta Norma Internacional; b) informação documentada determinada pela organização como sendo necessária para a eficácia do sistema de gestão de compliance.EXEMPLO Exemplos de informações documentadas incluem:
 — a política de compliance da organização;
21
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
 — os objetivos, metas, estrutura e conteúdo do sistema de gestão de compliance;
 — atribuição de papéis e responsabilidades para o compliance;
 — registro das obrigações de compliance;
 — registros de riscos de compliance e priorização do tratamento com base no processo de avaliação de 
risco de compliance;
 — registro de não cumprimento e quase acidente; 
 — planos anuais de compliance;
 — registros de pessoal, incluindo, mas não limitados a, registros de treinamento.NOTA 1 Informação documentada pode incluir assuntos relativos aos requisitos de relatórios regulamentares.NOTA 2 A extensão de informações documentadas para um sistema de gestão de compliance pode diferir de uma organização para outra, devido:
 — ao porte da organização e ao seu tipo de atividades,processos, produtos e serviços;
 — à complexidade dos processos e suas interações;
 — à competência dos empregados;
 — à maturidade do sistema de gestão de compliance.
7.5.2 Criando e atualizandoAo criar e atualizar informações documentadas, convém que a organização assegure apropriados: 
 — identificação e descrição (por exemplo, um título, data, autor, ou referência ou número da versão);
 — formato (por exemplo, linguagem, versão do software, gráficos) e meios (por exemplo, papel, eletrônicos);
 — análise crítica e aprovação por suficiência e adequação. 
7.5.3 Controle de informação documentadaConvém que a informação documentada recomendada pelo sistema de gestão de compliance e por esta Norma Internacional seja controlada para assegurar que: a) ela esteja disponível, acessível e adequada para uso, onde e quando for necessário; b) ela esteja protegida suficientemente (por exemplo, perda de confidencialidade, uso impróprio 
ou perda de integridade).Para o controle de informação documentada, convém que a organização aborde as seguintes ativi-dades, como aplicável:
 — distribuição, acesso, recuperação e uso;
22
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
 — armazenamento e conservação, incluindo a preservação de legibilidade;
 — controle de alterações (por exemplo, controle de versão);
 — retenção, disposição e eliminação;
 — papel de terceira parte na criação e controle de informação documentada.Convém que a informação documentada de origem externa determinada pela organização como necessária para o planejamento e operação do sistema de gestão de compliance seja identificada, como apropriado, e controlada.Informação documentada pode ser preparada com a finalidade de obtenção de aconselhamento jurídico e, portanto, pode ser objeto de privilégio legal.NOTA O acesso implica uma decisão quanto à permissão para ver somente a informação documentada, ou a permissão e autoridade para ver e alterar a informação documentada etc.
8 Operação
8.1 Planejamento e controle operacional Convém que a organização planeje, implemente e controle os processos necessários para atender às obrigações de compliance e implementar as ações determinadas em 6.1, ao:
 — definir os objetivos dos processos;
 — estabelecer critérios para os processos;
 — implementar um controle de processos de acordo com os critérios;
 — manter informação documentada, na extensão necessária, para ter a confiança de que os processos foram realizados conforme o planejado.Convém que a organização controle mudanças planejadas e analise criticamente as consequências de mudanças não intencionais, tomando ações para minimizar quaisquer efeitos adversos, 
quando necessário.
8.2 Estabelecendo controles e procedimentos Convém que os controles sejam colocados em vigor para gerir as obrigações de compliance identificadas e os riscos de compliance associados e para alcançar o comportamento desejado.São necessários controles eficazes para assegurar que as obrigações de compliance da organização sejam atendidas e que o não cumprimento seja impedido, ou detectado e corrigido. Convém que os tipos e níveis de controles sejam projetados com rigor suficiente para facilitar o alcance das obrigações de compliance que são específicas para as atividades da organização e do ambiente operacional. Convém que estes controles sejam, sempre que possível, incorporados em processos organizacionais normais.EXEMPLO Exemplos de controles incluem:
 — políticas operacionais documentadas, procedimentos, processos e instruções de trabalho, claros, prá-ticos e fáceis de seguir;
23
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
 — sistemas e relatórios de exceção;
 — aprovações; 
 — segregação dos papéis e responsabilidades incompatíveis;
 — processos automatizados;
 — planos anuais de compliance;
 — planos de desempenho de empregados;
 — avaliações de compliance e auditorias;
 — comprometimento e comportamento exemplar demonstrado da direção e outras medidas para promover um comportamento compatível;
 — comunicação ativa, aberta e frequente sobre o comportamento esperado de empregados (normas e valores, códigos de conduta).Convém que esses controles sejam mantidos, periodicamente avaliados e verificados para assegurar a sua eficácia contínua.Convém que os procedimentos sejam estabelecidos, documentados, implementados e mantidos para apoiar a política de compliance e para transformar as obrigações de compliance em prática.Ao desenvolver estes procedimentos, convém considerar: a) integração das obrigações de compliance em procedimentos, incluindo sistemas de computa-dor, formulários, sistemas de relatórios, contratos e outra documentação legal; b) coerência com outras funções de análise crítica e controle da organização; c) monitoramento e medição contínuos; d) avaliação e relatório (incluindo supervisão da direção) para assegurar que os empregados cumpram os procedimentos; e) modalidades específicas de identificação, relatos e casos de escalonamento de não cumpri-mento e riscos de não cumprimento.
8.3 Processos terceirizadosConvém que a organização assegure que os processos terceirizados sejam controlados e monitorados.A terceirização de operações de uma organização não costuma isentar a organização de suas responsabilidades legais ou obrigações de compliance. Se houver qualquer terceirização das atividades da organização, a organização precisa realizar due diligence efetiva para assegurar 
que as suas normas e comprometimento com o compliance não sejam reduzidos. Convém que os controles sobre contratados também estejam em vigor para assegurar que o contrato seja cumprido de forma eficaz (por exemplo, avaliações de desempenho de terceira parte).
NOTA BRASILEIRA Entende-se pelo termo due dilligence o processo que tem por finalidade avaliar a natureza e a extensão dos riscos envolvidos, visando auxiliar a organização na tomada decisão específica em relação a transações, projetos, atividades, parceiros de negócios e pessoal.
24
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
Convém que a organização considere os riscos de compliance relacionados com outros processos relacionados com o de terceira parte, como o fornecimento de bens e serviços e distribuição de produtos, e disponha de controles em vigor, conforme necessário (por exemplo, obrigações de 
compliance em cláusulas contratuais).
9 Avaliação de desempenho 
9.1 Monitoramento,	medição,	análise	e	avaliação
9.1.1 GeneralidadesConvém que a organização determine: a) o que precisa ser monitorado, medido e por quê; b) os métodos de monitoramento, medição, análise e avaliação, conforme o caso, para assegurar resultados válidos; c) quando convém que o monitoramento e a medição sejam realizados; d) quando convém que os resultados de monitoramento e medição sejam analisados, avaliados e relatados.Convém que a organização retenha informação documentada apropriada como evidência dos resultados.Convém que a organização avalie o desempenho do sistema de gestão de compliance e da eficácia do sistema de gestão de compliance.
9.1.2 MonitoramentoConvém que o sistema de gestão de compliance seja monitorado para assegurar que o desempenho 
de compliance seja alcançado. Convém que um plano de monitoramento contínuo seja estabelecido, determinando processos de monitoramento, cronogramas, recursos e informações a serem coletadas.
O monitoramento de compliance é o processo de coleta de informações para os efeitos de avaliação da eficácia do sistema de gestão de compliancee de desempenho de compliance da organização.O monitoramento do sistema de gestão de compliance normalmente inclui:
 — eficácia do treinamento;
 — eficácia dos controles, por exemplo, por resultados de teste de amostra;
 — alocação efetiva de responsabilidades para o cumprimento das obrigações de compliance;
 — grau de atualização das obrigações de compliance;
 — eficácia na resolução das falhas de compliance previamente identificadas;
 — casos em que as inspeções internas de compliance não são realizadas como programado.
25
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
Monitoramento de desempenho de compliance normalmente inclui:
 — não cumprimento e “quase acidentes” (ou seja, incidentes sem efeitos adversos);
 — casos em que as obrigações de compliance não são cumpridas;
 — casos em que os objetivos não são alcançados;
 — status da cultura de compliance;
 — indicadores direcionadores e de resultado, estabelecidos em 9.1.6.
9.1.3 Fontes de retroalimentação sobre desempenho de complianceConvém que a organização estabeleça, implemente, avalie e mantenha procedimentos para buscar e receber retroalimentação sobre seu desempenho de compliance de uma série de fontes, incluindo:
 — empregados, por exemplo, por meio de instalações de denúncia, linhas telefônicas de apoio, retroalimentação, caixas de sugestões;
 — clientes, por exemplo, por meio de um sistema de tratamento de reclamações;
 — fornecedores;
 — regulamentadores;
 — registros de controle de processo e registros de atividade (tanto em computador como em papel).EXEMPLO Exemplos de retroalimentação sobre o desempenho de compliance incluem:
 — questões de compliance,
 — não cumprimentos e preocupações de compliance,
 — questões de compliance que surgirem,
 — alterações regulamentares e organizacionais em andamento e
 — comentários sobre a eficácia de compliance e desempenho.Convém que a retroalimentação sirva como uma fonte fundamental de melhoria contínua do sistema de gestão de compliance.
9.1.4 Métodos	de	coleta	de	informaçõesExistem muitos métodos de coleta de informações. Cada método listado a seguir é relevante em diferentes circunstâncias e convém que seja tomado cuidado para selecionar a variedade de ferramentas apropriadas para o porte, escala, natureza e complexidade da organização.EXEMPLO Exemplos de coleta de informações incluem:
 — relatórios ad hoc de não cumprimento da forma como surgem ou são identificados;
 — informações obtidas por meio de centrais de atendimento, reclamações e outras retroalimentações, incluindo as denúncias;
26
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
 — discussões informais, workshops e grupos de discussões;
 — testes de amostragem e integridade, como mystery shopping;
NOTA BRASILEIRA O termo mistery shopping é entendido como a ferramenta utilizada pelas organizações de diferentes setores para avaliar, medir e testar a qualidade de seus serviços ou aplicação de normas, definidos pelas próprias organizações, por meio de reunião de informações específicas para o aprimoramento do serviço ou produto oferecido, utilizando, para tanto, clientes ocultos ou secretos que simulam ser clientes habituais da organização.
 — resultados de pesquisas de percepção;
 — observações diretas, entrevistas formais, vistoria em instalações e inspeções;
 — auditorias e análises críticas;
 — consultas das partes interessadas, solicitações de treinamento e retroalimentação fornecida durante o treinamento (especialmente aqueles de empregados).
9.1.5 Análise	e	classificação	de	informaçõesA classificação eficaz e a gestão das informações são fundamentais.Convém que um sistema seja desenvolvido para a classificação, armazenamento e recuperação das informações.EXEMPLO Exemplos de critérios de classificação das informações incluem:
 — fonte;
 — departamento;
 — descrição do não cumprimento;
 — referência de obrigação;
 — indicadores;
 — severidade;
 — impacto real ou potencial.Convém que os sistemas de gestão da informação capturem tanto as questões como as reclamações e permitam a classificação e análise das que dizem respeito ao compliance.Uma vez que a informação foi coletada, ela precisa ser analisada e avaliada criticamente para identificar as causas-raiz e as medidas adequadas a serem tomadas. Convém que a análise considere problemas sistêmicos e recorrentes para retificação ou melhoramento, uma vez que estes são suscetíveis de acarretar riscos de compliance significativos para a organização e podem ser mais difíceis de identificar.
27
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
9.1.6 Desenvolvimento de indicadoresÉ importante que as organizações desenvolvam um conjunto de indicadores mensuráveis que irá auxiliar a organização na medição da realização dos seus objetivos (ver 6.2) e quantificar o seu desempenho de compliance. Convém que este processo leve em consideração os resultados de avaliação de riscos de compliance (ver 4.6) para assegurar que os indicadores considerem as 
características pertinentes dos riscos de compliance da organização. A questão do que e como medir o desempenho de compliance pode ser um desafio, em alguns aspectos, mas é, no entanto, uma parte vital para demonstrar a eficácia do sistema de gestão de compliance. Além disso, os indicadores necessários irão variar de acordo com a maturidade da organização e da época e do âmbito de programas novos e revisados a serem implementados.EXEMPLO 1 Exemplos de indicadores de atividade incluem:
 — porcentagem de empregados treinados de forma eficaz;
 — frequência dos contatos por parte dos regulamentadores;
 — utilização de mecanismos de retroalimentação (incluindo comentários sobre o valor desses mecanis-mos pelos usuários);
 — qual tipo de ação corretiva foi tomado para cada não cumprimento.EXEMPLO 2 Exemplos de indicadores reativos incluem:
 — questões e não cumprimentos identificados, relatados por tipo, área e frequência;
 — consequência de não cumprimento, o que pode incluir a avaliação do impacto resultante da compen-sação monetária, multas e outras penalidades, custos de reparação, reputação ou custo de tempo dos empregados;
 — tempo necessário para relatar e tomar ações corretivas.EXEMPLO 3 Exemplos de indicadores preditivos incluem:
 — riscos de não cumprimento (medidos como potencial de perda/ganho de objetivos (receitas, saúde e segurança, reputação etc.) ao longo do tempo;
 — tendências de não cumprimento (taxa de compliance esperada com base em tendências passadas).
9.1.7 Relatório de complianceConvém que o órgão regulamentador, a direção e a função de compliance assegurem que eles sejam eficazmente informados sobre o desempenho do sistema de gestão de compliance da organização e de sua adequação contínua, incluindo todos os não cumprimentos relevantes, em tempo hábil, e promovam ativamente o princípio de que a organização incentiva e apoia uma cultura de comunicação completa e franca. Convém que o regime de relatórios internos assegure que: a) critérios adequados e obrigações de notificação sejam definidos; b) prazos para a apresentação de relatórios regulares sejam estabelecidos; c) um sistema de relatórios de exceção esteja em vigor, facilitando relatórios ad hoc de não cumprimento emergentes;
28
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
 d) sistemas e processosestejam em vigor para assegurar a exatidão e a integridade das informações; e) informações precisas e completas sejam fornecidas para as funções corretas ou áreas da organização, para permitir as ações preventiva, corretiva e de reparação a serem tomadas; f) haja aprovação com relação à precisão dos relatórios ao órgão regulamentador, inclusive pela função de compliance.Convém que uma organização escolha um formato, conteúdo e calendário do seu relatório de 
compliance interno, que seja adequado às suas circunstâncias, salvo indicação em contrário por lei.Convém que relatórios de compliance sejam incorporados aos relatórios organizacionais padrão.Convém que relatórios separados somente sejam preparados para não cumprimentos relevantes e para questões emergentes.Todos os não cumprimentos precisam ser devidamente relatados. Enquanto o relato de problemas sistêmicos e recorrentes é particularmente importante, um não cumprimento pontual pode ser de igual preocupação, se for relevante ou deliberado. Mesmo uma pequena falha pode indicar séria fraqueza do processo atual e do sistema de gestão de compliance. Se a falha não for relatada em tempo hábil, pode levar à visão de que ela não é importante, podendo resultar em um problema sistêmico.Convém que os empregados sejam incentivados a responder e relatar o não cumprimento da lei e outros incidentes de não cumprimento, e que vejam sem medo de retaliação tais relatórios como uma ação positiva, e não ameaçadora.Convém que as obrigações de relatar sejam definidas claramente na política e procedimentos 
de compliance da organização e reforçadas por outros métodos, como o reforço informal pelos gestores durante o seu trabalho diário com os empregados.
9.1.8 Conteúdo dos relatórios de complianceRelatórios de compliance podem incluir: a) quaisquer assuntos que a organização seja requerida a notificar a qualquer autoridade regulamentadora; b) alterações nas obrigações de compliance, seu impacto sobre a organização e o curso de ação proposto para atender às novas obrigações; c) medidas de desempenho de compliance, incluindo não cumprimento e melhoria contínua; d) números e detalhes dos possíveis não cumprimentos e suas posteriores análises; e) ações corretivas tomadas; f) informações sobre eficácia, alcance e tendências do sistema de gestão de compliance; g) contatos e desenvolvimentos nos relacionamentos com os regulamentadores; h) resultados de auditorias, bem como de atividades de monitoramento.
29
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
Convém que a política de compliance promova o relato imediato de assuntos materialmente significativos que surjam fora dos prazos para apresentação de relatórios regulares.
9.1.9 Manutenção de registrosConvém que registros precisos e atualizados de atividades de compliance da organização sejam mantidos para ajudar no processo de monitoramento e análise crítica e para demonstrar a conformidade com o sistema de gestão de compliance.Convém que a manutenção de registros inclua o registro e a classificação de reclamações e litígios do suposto descumprimento e as medidas tomadas para resolvê-los.Convém que os registros sejam armazenados de uma forma que assegurem que eles permaneçam legíveis, prontamente identificáveis e recuperáveis.Convém que estes registros sejam protegidos contra qualquer adição, exclusão, alteração, uso não autorizado ou ocultação.Os registros do sistema de gestão de compliance da organização podem incluir: a) informações sobre o desempenho de compliance, incluindo os relatórios de compliance; b) reclamações, sua resolução e comunicações das partes interessadas; c) detalhes de não cumprimento e as ações corretivas e preventivas; d) resultados de análises críticas e auditorias do sistema de gestão de compliance e as ações 
tomadas.
9.2 AuditoriaConvém que a organização conduza auditorias pelo menos em intervalos planejados para fornecer informações, se o sistema de gestão de compliance: a) estiver em conformidade com: 1) os critérios próprios da organização para seu sistema de gestão de compliance; 2) as recomendações desta Norma Internacional; b) estiver implementado e mantido eficazmente.Auditorias adicionais também podem ser conduzidas, conforme necessário.Convém que a organização:
 — planeje, estabeleça, implemente e mantenha um programa de auditoria, incluindo frequência, métodos, responsabilidades, requisitos para planejar e para relatar. Convém que o programa de auditoria leve em consideração a importância dos processos concernentes e os resultados de auditorias anteriores;
 — defina os critérios de auditoria e o escopo de cada auditoria;
 — selecione auditores e conduza auditorias para assegurar a objetividade e a imparcialidade do processo de auditoria;
30
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
 — assegure que os resultados das auditorias sejam relatados para a direção pertinente;
 — retenha informações documentadas como prova da execução do programa de auditoria e dos resultados de auditoria.
9.3 Análise crítica pela direçãoConvém que a Alta Direção analise criticamente o sistema de gestão de compliance da organi-zação, a intervalos planejados, para assegurar sua contínua adequação, suficiência e eficácia. A profundidade real e a frequência dessas análises críticas irão variar de acordo com a natureza da organização e das suas políticas.Convém que a análise crítica pela direção inclua considerações sobre: a) a situação das ações das análises críticas anteriores pela direção; b) a suficiência da política de compliance; c) a extensão de quais objetivos de compliance foram atendidos; d) suficiência dos recursos; e) mudanças em questões externas e internas que sejam pertinentes para o sistema de gestão 
de compliance; f) informações sobre o desempenho de compliance, incluindo as tendências em:
 — não cumprimentos, ações corretivas e prazos de resolução;
 — resultados de monitoramento e medição;
 — comunicação das partes interessadas, incluindo reclamações;
 — resultados das auditorias; g) oportunidades de melhoria contínua.Convém que os resultados da análise crítica pela direção incluam decisões relacionadas às oportunidades de melhoria contínua e qualquer necessidade de mudanças no sistema de gestão 
de compliance.Convém incluir também recomendações sobre: a) a necessidade de mudanças na política de compliance, seus objetivos associados, sistemas, estrutura e pessoal; b) alterações em processos de compliance para assegurar a integração eficaz com as práticas e sistemas operacionais; c) áreas a serem monitoradas por potencial não cumprimento futuro; d) ações corretivas com relação ao não cumprimento; e) lacunas ou falhas nos sistemas de compliance atuais e iniciativas de melhoria contínua a longo prazo;
31
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
 f) reconhecimento do comportamento de compliance exemplar dentro da organização.Convém que a organização retenha a informação documentada como evidência dos resultados das análises críticas pela direção e que uma cópia seja fornecida para o órgão regulamentador.
10 Melhoria
10.1 Não	conformidade,	não	cumprimento	e	ação	corretiva
10.1.1 GeneralidadesQuando uma não conformidade e/ou não cumprimento ocorre, convém que a organização: a) reaja à não conformidade e/ou ao não cumprimento e, conforme o caso:
 — tome medidas para controlar e corrigir; e/ou
 — gerencie as consequências; b) avalie a necessidade de ações para eliminar as causas fundamentais da não conformidadee/ou não cumprimento, a fim de que não se repita ou ocorra em outros lugares, ao:
 — analisar criticamente a não conformidade e/ou não cumprimento;
 — determinar as causas de não conformidade e/ou não cumprimento;
 — determinar se existem não conformidades e/ou não cumprimentos similares, ou se poderiam potencialmente ocorrer; c) implemente qualquer ação necessária; d) analise criticamente a eficácia das medidas corretivas tomadas; e) faça alterações no sistema de gestão de compliance, se necessário.A falha em prevenir ou detectar um não cumprimento pontual não significa necessariamente que o sistema de gestão de compliance não seja geralmente eficaz na prevenção e detecção de não 
cumprimentos.Convém que as ações corretivas sejam apropriadas aos efeitos das não conformidades e/ou não cumprimentos encontrados. Convém que a organização retenha a informação documentada como evidência de:
 — natureza das não conformidades e/ou não cumprimento e quaisquer ações tomadas subse-quentemente;
 — resultados de qualquer ação corretiva.Informações da análise de não conformidade e/ou não cumprimento podem ser usadas para 
considerar:
 — avaliação do desempenho do produto e serviço;
 — melhoria e/ou redefinição de produtos e serviços;
32
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
 — mudança das práticas e procedimentos organizacionais;
 — reciclagem de empregados;
 — reavaliação da necessidade de informar as partes interessadas;
 — fornecimento de aviso antecipado de potencial não cumprimento;
 — redefinição ou análise crítica de controles;
 — aumento dos passos de notificação e escalonamentos (internos e externos).
10.1.2 EscalonamentoConvém que um processo de escalonamento transparente e oportuno seja adotado e comunicado para assegurar que todos os não cumprimentos sejam levantados, relatados e, eventualmente, escalonados para a direção pertinente, em que a função de compliance seja informada e capacitada a suportar o escalonamento. Quando apropriado, convém que o escalonamento venha da Alta Direção e do órgão regulamentador, incluindo comitês pertinentes. Convém que o processo especifique para quem, como e quando as questões são para serem relatadas e os prazos para os relatos internos e externos.Quando for requerido por lei que as organizações relatem o não cumprimento, as autoridades regulamentadoras precisam ser informadas de acordo com os regulamentos aplicáveis ou conforme acordado.Mesmo que as organizações não sejam obrigadas por lei a relatar o não cumprimento, elas podem considerar a autodivulgação voluntária do não cumprimento às autoridades regulamentadoras para mitigar as consequências do não cumprimento.Convém que um sistema de gestão de compliance eficiente inclua um mecanismo para os empregados de uma organização e/ou outras pessoas relatarem suspeitas de má conduta ou violações das obrigações de compliance da organização, de forma confidencial e sem medo de retaliação.
10.2 Melhoria contínuaConvém que a organização procure melhorar continuamente a adequação, a suficiência e a eficácia do sistema de gestão de compliance.Convém que as informações coletadas, analisadas e avaliadas em conformidade, e incluídas nos relatórios de compliance, sejam usadas como base para identificar oportunidades de melhoria do desempenho de compliance da organização.
33
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
Bibliografia
[1]  ISO 9001, Quality management systems — Requirements[2]  ISO 10002, Quality management — Customer satisfaction — Guidelines for complaints handling 
in organizations[3]  ISO 14001, Environmental management systems — Requirements with guidance for use[4]  ISO 19011, Guidelines for auditing management systems[5]  ISO 22000, Food safety management systems — Requirements for any organization in the food 
chain[6]  ISO 26000, Guidance on social responsibility[7]  ISO 31000, Risk management — Principles and guidelines[8]  ISO Guide 73:2009, Risk management — Vocabulary
34
ISO 19600:2014
© ISO 2014 - Todos os direitos reservados
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
 
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark
Conjunto de vantagens para você e sua empresa
www.abnt.org.br/publicacoes
Associação Brasileira de Normas Técnicas
Av. Treze de Maio, 13/28º andar - 20031-901 - Rio de Janeiro - RJ
Tel.: (21) 3974-2300 - www.abnt.org.br
Document shared on www.docsity.com
Downloaded by: luiz-breim-2 (breim@breim.med.br)
https://www.docsity.com/?utm_source=docsity&utm_medium=document&utm_campaign=watermark